DNN 기반 의미 통신의 적대적 노이즈에 대한 형식 검증 프레임워크 VSCAN

초록

본 논문은 의미 통신 시스템에서 딥러닝 인코더·디코더와 다운스트림 작업 모델을 하나의 파이프라인으로 묶어, 전력 제한 및 통계적 은폐성을 갖는 적대적 노이즈를 혼합정수계획(MIP)으로 모델링하고 최신 DNN 검증 도구를 활용해 엔드‑투‑엔드 견고성을 형식적으로 증명한다. 600개의 검증 속성을 대상으로 실험한 결과, 44 %에 대해 완전한 견고성을 보장했으며, 차원 축소(16‑dim)와 고차원(64‑dim) 사이에 보안‑효율성 트레이드오프가 존재함을 밝혀냈다.

상세 분석

VSCAN은 의미 통신(SemCom) 시스템의 고유한 구조적 복잡성을 정량화하기 위해 세 가지 핵심 기술을 결합한다. 첫째, 적대적 노이즈 생성기를 입력‑불변적인 생성 모델(PGM)로 정의하고, 전력 제한(ℓ₂‑norm)과 통계적 은폐성(분포 일치) 제약을 혼합정수계획(MIP) 형태의 논리식으로 변환한다. 이 과정에서 ReLU 활성화와 이차 전력 제약을 선형 이완(linear relaxation)으로 근사함으로써, 기존 DNN 검증기들이 다룰 수 있는 형태로 만든다. 둘째, 인코더 E, 디코더 D, 그리고 실용 모델 F를 하나의 합성 네트워크 N에 연결하고, 입력 블러, 채널 AWGN, 그리고 위에서 얻은 적대적 노이즈 n을 모두 포함한 복합 입력 구간을 정의한다. 검증 속성은 “입력 구간 내 모든 변형에 대해 F의 출력 라벨이 변하지 않는다”는 형태의 전후조건(ϕ_in ⇒ ϕ_out)으로 기술된다. 셋째, αβ‑Crown 및 NeuralSAT 같은 최신 SAT‑based DNN 검증 엔진을 블랙박스로 활용해, 합성 네트워크 N에 대해 만족도(sat/unsat)를 판단한다. Unsat이면 속성이 보장된 것이며, sat이면 반례가 존재함을 의미한다.

실험에서는 600개의 속성을 두 축(전력 제한 강도, 잠재 차원 수)으로 변형시켜 평가했으며, VSCAN은 기존 PGD 공격과 동일한 성공률로 취약점을 찾아내면서도 263개(≈44 %)에 대해 완전한 견고성을 증명했다. 전력 제한이 엄격할수록(예: ‖n‖₂ ≤ 0.2) 검증 성공률이 상승했으며, 이는 공격자가 탐지 회피를 위해 노이즈 에너지를 낮춰야 할 경우 시스템이 자연스럽게 방어력을 얻는다는 의미다. 또한, 잠재 차원을 16으로 축소했을 때 50 % 이상의 속성이 검증 성공했지만, 64 차원에서는 거의 모든 속성이 공격에 취약하거나 검증이 미정(unknown) 상태였다. 이는 차원 축소가 의미 정보 손실을 초래하면서도 적대적 변조에 대한 민감도를 낮추는 효과를 가짐을 시사한다.

VSCAN의 주요 공헌은 (1) 현실적인 적대적 위협 모델을 수학적으로 정형화하여 DNN 검증 문제에 매핑한 점, (2) 다중 네트워크와 다중 노이즈 소스를 동시에 다루는 엔드‑투‑엔드 검증 파이프라인을 구현한 점, (3) 보안‑효율성 트레이드오프를 정량적으로 밝힘으로써 설계 단계에서 차원 선택과 전력 제한을 조절할 수 있는 실용적인 가이드를 제공한 점이다. 이러한 접근은 안전‑중요 애플리케이션(자율주행, 산업 IoT)에서 의미 통신을 채택하려는 엔지니어에게 형식적 안전성을 확보하는 새로운 기준을 제시한다.