학습 기반 컨포멀 신기능 탐지의 적대적 견고성

초록

본 논문은 오류 제어가 가능한 컨포멀 신기능 탐지 기법인 AdaDetect와 Bates 등(2023)의 일급 분류기 기반 방법을 대상으로, 적대적 교란이 FDR(거짓 발견 비율)에 미치는 영향을 체계적으로 분석한다. 오라클 공격 모델을 통해 최악의 FDR 악화 상한을 도출하고, 실제 라벨 쿼리만으로 구현 가능한 실용적인 공격을 설계한다. HopSkipJump과 Boundary Attack이라는 두 종류의 블랙박스 공격 알고리즘을 결합해 합성·실데이터에서 실험한 결과, 공격이 FDR를 크게 상승시키면서도 탐지 파워는 유지되는 것을 확인하였다. 이는 현재 오류 제어가 보장된 신기능 탐지 방법이 적대적 위협에 취약함을 보여주며, 보다 견고한 대안 개발의 필요성을 강조한다.

상세 분석

이 연구는 먼저 컨포멀 신기능 탐지 분야에서 가장 주목받는 두 프레임워크, 즉 양성‑비라벨(PU) 학습을 기반으로 하는 AdaDetect와 일급 분류기(one‑class classifier)를 이용한 Bates et al. 방식을 선택한다. 두 방법 모두 교환 가능성(exchangeability) 가정 하에 유한 표본 FDR 제어를 이론적으로 보장하지만, 실제 시스템에 적대적 교란이 가해질 경우의 거동은 아직 밝혀지지 않았다. 논문은 이를 메우기 위해 ‘오라클 공격’이라는 이상적인 설정을 정의한다. 여기서 공격자는 전체 데이터와 정답 라벨, 그리고 AdaDetect 내부의 스코어 함수와 파라미터까지 완전하게 알 수 있다. 공격자는 실제 null(정상) 테스트 샘플 중 일정 비율을 선택해, 라벨을 유지하면서도 스코어가 임계값을 넘어서도록 미세 교란을 가한다. 이 과정에서 제시된 핵심 정리는, 공격자가 결정 경계(decision boundary)를 바꾸는 최소 교란량을 구하면, FDR 악화의 상한을 명시적으로 계산할 수 있음을 증명한다. 즉, 공격자가 가능한 최악의 경우에 달성할 수 있는 FDR 상승량을 이론적으로 제한한다.

이론적 분석을 바탕으로, 논문은 실용적인 ‘서베이티브 결정 기반 공격(surrogate decision‑based attack)’을 설계한다. 여기서는 오라클 정보 대신 테스트 데이터에 대한 라벨 쿼리만을 이용한다. 공격자는 먼저 기존 프레임워크와 동일한 구조의 서베이 모델을 학습하고, HopSkipJump이나 Boundary Attack 같은 블랙박스 결정 기반 공격을 적용해 라벨이 바뀌는 최소 교란을 찾는다. 중요한 점은, 이러한 공격이 스코어 자체가 아니라 원시 입력 데이터에 직접 작용한다는 것이다. 따라서 기존 연구가 p‑값 자체를 조작하는 것과 달리, 실제 시스템에 더 현실적인 위협을 가한다.

실험에서는 합성 데이터와 UCI, 이미지 등 다양한 실데이터셋을 사용해 두 프레임워크의 취약성을 정량화한다. 결과는 다음과 같다. (1) 공격 전후의 FDR 차이가 30%‑70% 수준으로 크게 증가한다. (2) 검출 파워(재현율)는 거의 변하지 않아, 공격이 ‘거짓 양성’만을 늘리는 특성을 보인다. (3) AdaDetect는 PU 학습으로 얻은 스코어가 비교적 복잡해 보이지만, 실제로는 일급 분류기와 유사한 수준의 취약성을 나타낸다. (4) 두 블랙박스 공격 모두 라벨 쿼리 수가 수천 회 수준이면 충분히 성공적인 교란을 만들 수 있다.

이러한 발견은 현재 FDR 제어가 보장된 신기능 탐지 기법이 ‘통계적 오류 제어’와 ‘적대적 견고성’ 사이에 트레이드오프가 존재함을 명확히 보여준다. 특히, 훈련 데이터는 안전하게 보호되더라도 테스트 단계에서의 미세 교란만으로도 시스템 전체의 신뢰성을 크게 해칠 수 있음을 시사한다. 따라서 향후 연구는 (i) 교환 가능성 가정 하에 강인한 스코어 함수를 설계하거나, (ii) 적대적 교란을 탐지·완화하는 메타‑검증 절차를 도입하는 방향으로 나아가야 할 것이다.