대칭 파괴 차원 확장으로 보는 정확도‑견고성 역설: 날카로운 경계와 손실 지형의 비밀

초록

본 논문은 입력 이미지에 일정값 픽셀을 삽입해 대칭을 깨는 “대칭‑파괴 차원 확장(SBDE)” 기법을 이용해 정확도와 견고성 사이의 기하학적 트레이드오프를 정량·시각화한다. SBDE는 파라미터 퇴화(degeneracy)를 감소시켜 깨끗한 정확도를 크게 올리지만, 삽입된 보조 차원에서 손실이 급격히 상승하는 ‘날카로운 경계’를 형성한다. 테스트 시 마스크 투영(Π)을 적용해 보조 픽셀을 원래 값으로 복원하면 공격이 무력화되고 견고성이 회복됨으로써, 정확도 향상이 보조 차원의 급경사 손실면에 의존한다는 기하학적 설명을 제시한다.

상세 분석

본 연구는 딥러닝 모델이 왜 높은 정확도를 달성하면서도 적은 규모의 적대적 교란에 취약해지는지를, 입력 공간을 인위적으로 확장하는 SBDE라는 실험적 “노브”를 통해 탐구한다. SBDE는 원본 이미지의 픽셀 사이에 일정값(예: 0, 0.2 등)으로 채워진 행·열을 삽입함으로써 입력 차원을 늘리고, 이미지의 평행이동 대칭을 깨뜨린다. 이 과정은 물리학에서 외부장에 의해 대칭이 깨지는 현상과 유사하게, 네트워크 파라미터 공간의 다중 동등 최소점들을 구분시켜 파라미터 퇴화를 감소시킨다. 결과적으로 학습은 더 풍부한 기울기 정보를 얻어 손실 함수의 깊은 골짜기로 수렴하고, CIFAR‑10에서 ResNet‑18 기준 깨끗한 정확도가 90.47 % → 95.63 %로 크게 상승한다.

하지만 손실 지형을 면밀히 살펴보면, SBDE가 삽입한 보조 차원(Ω_aux)에서는 손실이 매우 급격히 상승하는 ‘날카로운 경계’가 형성된다. 이는 학습 시 보조 픽셀을 고정값(c)으로 유지했음에도 불구하고, 손실 함수가 해당 차원에 대해 강한 제약을 두지 않아 작은 변동에도 큰 기울기가 발생하기 때문이다. 따라서 PGD, APGD, BIM, AutoAttack 등 반복적 백‑박스 공격은 손실이 가장 가파르게 상승하는 방향을 따라 보조 차원에 거의 전부의 교란 예산(ε)을 집중시킨다. 실험 결과, 공격이 생성한 적대적 샘플은 보조 픽셀 값이 원래 고정값에서 크게 벗어나며, 신호 차원(Ω_sig)에는 거의 변화가 없음을 시각화(그림 3)로 확인한다.

핵심 검증 수단으로 제안된 마스크 투영 연산 Π는 테스트 시 보조 픽셀을 다시 고정값(c)으로 되돌린다. 이 연산은 보조 차원에 존재하던 급경사 손실면을 평탄한 베이스라인으로 “투사”함으로써, 공격이 만든 변형을 원래 위치로 복귀시킨다. Π 적용 후 모델의 견고성은 거의 원래 수준(자연 이미지와 동등)으로 회복되며, 이는 정확도 향상이 보조 차원의 날카로운 경계에 의존한다는 가설을 강력히 뒷받침한다.

또한 다양한 삽입 상수와 주기적 패턴(0.2‑GapCycle, 0.3‑GapCycle) 등을 실험했을 때, 정확도 상승과 견고성 저하 현상이 일관되게 나타나며, 현상이 특정 상수값에 국한되지 않고 구조적(기하학적)임을 확인한다. 실험 설정은 ResNet‑18의 첫 합성곱 레이어를 7×7 커널·스트라이드 2로 교체하고, 최대 풀링을 아이덴티티로 대체해 확장된 입력을 그대로 처리하도록 설계되었다. 학습은 200 epoch, cosine‑annealing LR, SGD(모멘텀 0.9) 등 표준 파이프라인을 그대로 사용했으며, 재현성을 위해 시드 고정과 혼합 정밀도 훈련을 적용했다.

이러한 결과는 기존 “정확도‑견고성 트레이드오프는 데이터·표현의 근본적 한계”라는 관점을 보완한다. 정확도 향상을 위해 손실 골짜기를 깊게 만들면, 그 골짜기의 경계가 특정 차원에서 급격히 가팔라지는 부작용이 발생한다는 기하학적 메커니즘을 제시한다. 따라서 모델 설계 시 보조 차원이나 인위적 대칭 파괴가 가져올 손실 지형의 비등방성(anisotropy)을 고려해야 하며, 견고성을 유지하면서 정확도를 높이려면 이러한 급경사 경계를 완화하거나, 공격이 접근할 수 없는 하이퍼플레인으로 제한하는 방안이 필요하다.