연합 그래프 학습을 위협하는 은밀한 적대적 공격: FedShift

초록

FedShift는 연합 그래프 학습(FedGL) 환경에서 두 단계로 이루어진 “숨기고 찾기” 공격 프레임워크를 제안한다. 첫 단계에서는 학습 전 데이터에 은밀한 “shifter”를 주입해 그래프 임베딩을 목표 클래스의 결정 경계 쪽으로 살짝 이동시키고, 두 번째 단계에서는 완성된 글로벌 모델을 활용해 이 shifter를 초기값으로 삼아 효율적인 적대적 교란을 찾아낸다. 다중 악성 클라이언트가 생성한 교란을 집합해 최종 공격 샘플을 만들며, 기존 방법 대비 공격 성공률·은폐성·연산 효율 모두에서 크게 우수함을 실험으로 입증한다.

상세 분석

FedShift는 기존 연합 그래프 학습에 대한 백도어 공격과 적대적 공격의 한계를 동시에 해소하려는 시도로, 두 단계에 걸친 설계가 핵심이다. 1단계인 “Gentle Data Poisoning”에서는 악성 클라이언트마다 적응형 shifter generator를 학습시킨다. 이 generator는 두 가지 서브모듈, 즉 shifter 위치 학습과 shifter 형태 학습으로 구성된다. 위치 학습에서는 클러스터링 계수와 노드 중심성을 기반으로 그래프 내에서 영향력이 큰 노드 집합 Vₚ를 선택한다. 형태 학습에서는 사전 학습된 로컬 GNN(여기서는 GAT)을 이용해 임베딩 공간에서 목표 클래스의 클러스터 중심에 가깝게 만들면서도 라벨을 바꾸지 않는 ‘분포 근접 손실(L_dist)’을 최소화한다. 즉, 그래프 임베딩을 목표 클래스 쪽으로 살짝 이동시키지만 결정 경계를 넘지 않게 함으로써, 정상 클라이언트와 구분하기 어려운 은밀한 백도어 신호를 만든다. 이러한 은밀성은 기존 백도어가 라벨을 강제로 바꾸어 발생하는 급격한 분포 변화를 회피하게 해, 연합 평균(FedAvg) 과정에서 정상 업데이트에 의해 쉽게 희석되지 않는다.

2단계인 “Adversarial Perturbation Finding”에서는 연합 학습이 종료된 후 글로벌 모델 파라미터 θᵍ를 활용한다. 여기서 shifter generator의 파라미터를 초기값으로 사용함으로써, 전통적인 적대적 공격이 처음부터 무작위 초기화로 시작해 겪는 비볼록 최적화 문제와 수렴 불안정을 크게 완화한다. 구체적으로, 글로벌 모델에 삽입된 은밀한 백도어가 이미 목표 클래스와의 경계 근처에 존재하므로, 미세 조정만으로도 높은 공격 성공률(ASR)을 달성할 수 있다. 다중 악성 클라이언트가 각각 독립적으로 최적화한 교란 δ₁, δ₂,…를 집합(aggregation)하면 “1+1>2” 효과가 발생, 단일 클라이언트보다 더 강력한 적대적 샘플을 생성한다.

실험에서는 6개의 대규모 그래프 데이터셋(Cora, Pubmed, Reddit 등)과 3가지 최신 연합 방어 메커니즘(예: Differential Privacy, Robust Aggregation, Byzantine‑Resilient FL)을 대상으로 비교했다. FedShift는 기존 최첨단 공격 대비 백도어 신호가 80.5%~90.6% 적게 희석되고, 방어 적용 시에도 가장 높은 ASR을 유지했다. 또한, 동일한 ASR을 달성하기 위해 필요한 학습 epoch 수가 90% 이상 감소했으며, 이는 전체 공격 시간 비용이 90% 이상 절감된다는 의미다.

이 논문의 주요 기여는 (1) 연합 학습 전·후 정보를 모두 활용한 “implant‑find” 공격 패러다임을 제시, (2) 분포 근접 손실을 통한 은밀한 데이터 포이즈닝 기법을 도입, (3) 다중 악성 클라이언트의 교란을 집합해 시너지 효과를 얻는 설계이다. 한편, 제한점으로는 shifter generator의 학습이 각 클라이언트의 로컬 연산 능력에 의존한다는 점, 그리고 클러스터링 기반 위치 선정이 그래프 구조에 따라 민감하게 변할 수 있다는 점을 들 수 있다. 향후 연구에서는 보다 경량화된 generator 설계와, 비동기 연합 환경에서의 적용 가능성을 탐색할 여지가 있다.