사전 방어를 위한 최소 연쇄 그래디언트 스무딩: 초고속 전이형 적대적 방어

초록

본 논문은 사전 방어(preemptive defense) 개념을 확장하여, 목표 모델이나 공격 그래디언트에 접근하지 않고도 이미지에 가볍고 빠른 보호 교란을 삽입하는 프레임워크인 MSPD를 제안한다. 핵심 알고리즘인 최소 연쇄 그래디언트 스무딩(MCGS)은 두 번의 에포크(전방·후방)만으로 입력을 경계에서 멀어지게 하고, 공격 방향을 역전시키는 단일 단계 스무딩을 수행한다. CIFAR‑10에서 0.02 초, ImageNet에서 0.26 초의 처리 속도로 기존 사전 방어 대비 28~1696배 가속하면서, 11개 모델·7개 공격에 대해 강인 정확도를 평균 +5 %, 클린 정확도를 +3.7 % 향상시킨다. 또한, 완전 백색‑박스 공격인 ‘Preemptive Reversion’에 대한 실험에서도 기존 방어 대비 +2.2 %의 견고함을 유지한다.

상세 분석

MSPD는 기존 사전 방어가 갖는 “고비용·모델 결합·취약성”이라는 세 가지 한계를 근본적으로 재설계한다. 첫 번째로, 방어는 목표 모델의 구조나 파라미터에 의존하지 않으며, 오직 하나의 서브시스템(백본)만을 사용해 사전 학습한다. 이는 백본과 목표 모델 사이의 그래디언트 정렬(vulnerable subspace) 가정을 기반으로, 백본의 입력 그래디언트가 다양한 모델에서 공유되는 약점 영역을 포착한다는 이론적 근거(Lemma 1)를 제시한다. 두 번째로, MCGS는 “전방(F) → 후방(B)” 두 단계만으로 충분히 수렴한다는 놀라운 발견을 제시한다. 전방 단계에서는 입력을 고신뢰 영역으로 이동시켜 경계 민감도를 감소시키고, 후방 단계에서는 흔히 공격자가 이용하는 그래디언트 방향을 역전시켜 방어 교란이 공격 교란과 상쇄되도록 설계한다. 각 단계마다 ℓₚ 투사와 단일 스텝 스무딩을 적용함으로써, 100‑epoch 수준의 적대적 훈련과 동등하거나 상회하는 강인성을 달성하면서 연산량을 최소화한다. 세 번째로, 방어 교란 자체가 “비밀 키”처럼 작동하도록 백본을 독립적으로 유지함으로써, 공격자가 방어 파라미터를 추정하거나 역공학하기 어렵게 만든다. 실험에서는 JPEG 압축·디퓨전 정화와 같은 일반적인 이미지 처리에도 방어 효과가 크게 손실되지 않음을 확인하였다. 마지막으로, 적응형 위협 모델을 위해 제안된 Preemptive Reversion은 방어 교란을 완전히 제거하려는 백색‑박스 공격이다. 이 공격조차도 방어가 적용된 이미지에 대해 완전 복구에 실패하며, MSPD는 여전히 기본 방어보다 +2.2 % 높은 강인 정확도를 유지한다. 전반적으로, 최소한의 학습 단계와 그래디언트 정렬 기반 전이성을 결합한 설계는 사전 방어 분야에서 비용‑효율·범용성·적응성이라는 세 축을 모두 만족시키는 혁신적 접근이라 평가할 수 있다.