연합학습에서 소스 추론 공격을 방어하는 파라미터‑레벨 셔플링과 잔여수 체계

초록

연합학습(FL)에서 중앙 서버가 특정 데이터 포인트의 소유 클라이언트를 추론하는 소스 인퍼런스 공격(SIA)을 기존 셔플링만으로는 막을 수 없다는 점을 밝히고, 파라미터‑레벨 셔플링에 잔여수 체계(RNS)를 결합한 새로운 방어 메커니즘을 제안한다. 제안 방법은 모델 정확도를 유지하면서 SIA 성공률을 무작위 추측 수준으로 낮추고, 기존 DP 등 다른 프라이버시 보호 기법과도 원활히 통합될 수 있다.

상세 분석

본 논문은 연합학습 환경에서 최근 주목받고 있는 소스 인퍼런스 공격(SIA)의 위협을 체계적으로 분석한다. SIA는 중앙 서버가 특정 데이터 포인트가 어느 클라이언트의 학습 데이터에 포함되었는지를 추정하는 공격으로, 기존의 차등 프라이버시(DP) 기반 그래디언트 노이즈 삽입이 모델 정확도를 크게 손상시키지 않고는 방어에 한계가 있음을 지적한다. 특히, 클라이언트 간 데이터 분포가 이질적일수록 SIA 성공률이 상승한다는 점을 실험적으로 확인한다.

셔플 모델은 클라이언트 업데이트를 중간에 신뢰할 수 있는 셔플러가 무작위 순열을 적용해 서버에 전달함으로써 데이터 소유자를 익명화한다. 그러나 저자는 모델‑레벨, 레이어‑레벨, 파라미터‑레벨 셔플링 모두에 대해 “재구성 공격”을 설계하여, 공격자가 각 클라이언트의 섀도우 데이터셋을 이용해 순열을 역추적할 수 있음을 증명한다. 특히 파라미터‑레벨 셔플링에서는 각 파라미터를 독립적으로 섞어도, 섀도우 데이터셋에 대한 정확도 평가를 통해 원래 소유자를 복원할 수 있다. 이는 셔플링만으로는 충분히 정보 흐름을 차단하지 못한다는 강력한 반증이다.

이를 극복하기 위해 논문은 잔여수 체계(RNS)를 활용한 파라미터‑레벨 셔플링을 제안한다. RNS는 정수를 서로소인 여러 모듈러로 분해해 각각을 독립적으로 셔플하고, 복원 시에는 중국 나머지 정리를 이용한다. 이 방식은 파라미터를 다차원 잔여수 벡터로 변환함으로써, 단일 파라미터 수준에서의 순열 역추적을 수학적으로 불가능하게 만든다. 또한, RNS 기반 셔플링은 파라미터 값 자체를 변형하지 않으므로 모델 학습에 미치는 영향을 최소화한다. 실험에서는 MNIST, CIFAR‑10, CIFAR‑100 데이터셋과 CNN, ResNet‑18 모델을 대상으로 기존 셔플링(모델‑레벨, 레이어‑레벨)과 비교했을 때, 제안 방법은 SIA 성공률을 무작위 추측(1/n) 수준으로 낮추면서 전체 모델 정확도는 변동이 없었다. 통신 비용은 파라미터를 다중 모듈러로 인코딩하는 과정에서 약간 증가하지만, 크로스‑실로 환경(수십 명의 클라이언트)에서는 여전히 실용적인 수준으로 유지된다. 또한, 제안 방어는 차등 프라이버시, 안전한 집계(Secure Aggregation) 등 기존 프라이버시 강화 기법과 병행 적용이 가능하도록 설계돼, 최소 신뢰 가정(S.5) 하에 구현될 수 있다.

핵심 기여는 (1) 기존 셔플링이 SIA에 취약함을 입증하는 재구성 공격 설계, (2) RNS 기반 파라미터‑레벨 셔플링이라는 새로운 방어 메커니즘 제시, (3) 다양한 모델·데이터셋에 대한 실험을 통해 방어 효과와 정확도 보존을 동시에 달성함을 검증한 점이다. 이 연구는 연합학습에서 프라이버시 보호를 위한 셔플 모델의 설계 방향을 재정의하고, 차등 프라이버시만으로는 해결되지 않는 소스 추론 위협에 대한 실질적인 해결책을 제공한다.