PUF 기반 지식 증류 모델 지문 추적 시스템

초록

본 논문은 물리적 비복제 함수(PUF) 서명을 교사 모델의 로짓에 겹쳐 넣어, 증류된 학생 모델에서도 해당 서명이 유지되도록 하는 경량 지문 프레임워크를 제안한다. 두 단계 디코더와 비트 압축 기법을 통해 높은 키 복구율과 최소한의 정확도 손실을 달성하며, 모델 도난 후 책임 추적이 가능하도록 설계되었다.

상세 분석

이 연구는 지식 증류 과정에서 교사 모델의 출력 로짓에 디바이스 고유의 PUF 비트를 부호화한 작은 교란(δ)을 더함으로써, 학생 모델이 학습 과정에서 해당 교란을 그대로 물려받게 한다. PUF 키는 0/1 비트열이며, 각 비트는 ±ε(ε는 조절 가능한 강도)로 매핑되어 로짓에 선형적으로 삽입된다. 논문은 PUF의 비결정성(온도·전압·노화에 따른 1~5% 비트 플립)과 실제 엔트로피 감소를 시뮬레이션에 반영해, 노이즈 마스크 M을 XOR 연산으로 적용해 실제 하드웨어 동작을 모사한다.

키 복구는 두 단계로 이루어진다. 첫 번째 단계는 합성 데이터셋을 이용해 다층 퍼셉트론 디코더를 학습시키는 것으로, 로그 차이 Δz = z_s – z_t 를 입력으로 받아 각 비트의 존재 확률을 출력한다. 이 단계는 학생 모델 내부 파라미터에 접근하지 않아도 되며, 대규모 키 공간에 대해 일반화된다. 두 번째 단계는 Hamming 거리 디코더로, 디코더가 출력한 이진 키와 사전에 등록된 모든 PUF 키 집합 K 사이의 해밍 거리를 계산해 최소 거리 키를 최종 복구한다. 이는 소량의 디코딩 오류를 효과적으로 정정한다.

또한, 논문은 비트 압축 기법을 도입해 여러 PUF 비트를 하나의 로짓 벡터에 매핑함으로써 디바이스 수용량을 크게 확대한다. 압축 후에도 복구 정확도는 유지되며, 압축 비율과 ε 값을 조절해 정확도 손실과 복구율 사이의 트레이드오프를 자유롭게 설정할 수 있다. 실험에서는 CIFAR‑10/100 및 ImageNet 기반 모델에 적용해, ε를 0.01~0.05 범위에서 조정했을 때 학생 모델 정확도 저하가 0.2% 이하로 억제되면서 키 복구율이 95% 이상임을 보였다.

전체적으로 이 프레임워크는 기존 워터마크가 파라미터 기반이거나 트리거 의존적인 반면, 로짓 수준의 미세 교란을 이용해 모델 구조와 무관하게 적용 가능하고, 하드웨어 루트의 PUF를 활용해 역공학 및 변조에 강인한 특성을 제공한다. 경량화된 구현과 별도 암호화 모듈이 필요 없다는 점에서 엣지 디바이스에 적합한 실용적 방안으로 평가된다.