플로우 매칭 기반 프라이버시 보호와 견고한 연합 학습

본 논문은 연합 학습(Federated Learning, FL) 환경에서 개인정보 유출과 모델 중독이라는 두 가지 핵심 위협을 동시에 해결하고자 하는 목표를 갖는다. 기존 연구들은 프라이버시 보호를 위해 암호화, 차등프라이버시(DP), 모델 마스킹 등을 제안했지만, 이러한 방법들은 서버가 클라이언트 업데이트를 직접 검증하기 어렵게 만들거나, 강력한 노이즈 삽입으로 모델 정확도를 크게 저하시킨다. 반면, 견고한 집계 기법(Krum, Median, TrimmedMean 등)은 비동질적 데이터 분포에서 정상 클라이언트의 업데이트까지 억제하는 부작용이 있다. 이러한 딜레마를 해소하기 위해 저자들은 “합성 데이터”를 매개체로 활용하는 새로운 설계축을 제시한다. **1. 시스템 구조 및 핵심 아이디어** FedFG는 클라이언트와 서버 양쪽에 흐름‑매칭(Flow‑Matching) 기반 생성기를 도입한다. 클라이언트는 사적 특징 추출기 Eᵢ와 공개 분류기 Cᵢ로 모델을 분리하고, Eᵢ가 추출한 특징 분포를 근사하는 생성기 Fᴳᵢ를 학습한다. 흐름‑매칭은 연속 정규화 흐름(CNF)의 벡터장 vθ를 직접 회귀 학습함으로써, 복잡한 역전파 없이도 소스 분포(표준 정규분포)에서 목표 데이터 분포로의 변환을 효율적으로 학습한다. 클라이언트는 로컬 업데이트 시 실제 추출기 대신 Fᴳᵢ를 통해 합성 특징을 서버에 전송한다. 이 과정에서 원본 이미지나 고차원 특징이 노출되지 않으므로 프라이버시 위험이 크게 감소한다. 서버는 전역 생성기 Fᴳ𝓰와 전역 분류기 C𝓰를 유지한다. 각 라운드에서 클라이언트가 업로드한 파라미터와 함께 전역 생성기가 만든 합성 샘플을 이용해 두 가지 점수를 산출한다. 첫 번째는 **이상치 점수**(Outlier Score)로, 합성 샘플을 각 클라이언트의 분류기에 입력했을 때 출력 확률분포 간의 헬링거 거리(Hellinger distance)를 측정한다. 이 거리값이 크게 변하면 해당 클라이언트가 비정상적인 업데이트를 제공했을 가능성이 높다. 두 번째는 **정확도 점수**(Accuracy Score)로, 합성 샘플에 대한 각 클라이언트 분류기의 정확도를 직접 평가한다. 이 점수는 클라이언트가 실제 데이터와 얼마나 일치하는 특징을 생성했는지를 반영한다. **2. 악성 클라이언트 탐지 및 재가중 집계** 서버는 Hampel 규칙을 적용해 이상치 점수의 통계적 임계값 τᵣ를 자동으로 설정하고, 사전에 정의한 정확도 임계값 κ와 결합해 악성 클라이언트를 식별한다. 식별된 클라이언트는 집계에서 제외하고, 남은 정상 클라이언트에 대해서는 **정확도 기반 가중치** αᵣᵢ를 계산해 재가중 집계를 수행한다. 즉, 합성 샘플을 통한 정량적 평가가 직접적인 파라미터 검증을 대체하면서도, 정확도에 기반한 가중치 부여가 전체 모델 성능을 유지·향상시킨다. **3. 이론적 분석** 논문은 FedFG가 비볼록(non‑convex) 목표함수에 대해 1차 정류성(first‑order stationarity)을 만족한다는 수학적 증명을 제공한다. 흐름‑매칭 손실 L_FM과 분류 손실 L_cls을 동시에 최소화함으로써, 생성기와 분류기가 서로 보완적인 역할을 수행한다. 이는 기존의 GAN‑기반 생성기와 달리 역전파 과정에서 발생하는 불안정성을 크게 줄이며, 비동질적 데이터 환경에서도 안정적인 합성 샘플을 생성할 수 있음을 의미한다. **4. 실험 설정 및 결과** 실험은 MNIST, FMNIST, CIFAR‑10 세 데이터셋을 사용했으며, 각 데이터셋에 대해 10%~30% 비율의 악성 클라이언트를 포함한 다양한 공격 시나리오(라벨 플립, 백도어, 모델 중독 등)를 적용했다. 비교 대상은 기존 암호화 기반, 차등프라이버시, Krum, Median, GAN‑Defense 등이다. 주요 결과는 다음과 같다. - **정확도**: FedFG는 동일한 공격 강도 하에서 기존 방어기법 대비 평균 3~7% 높은 최종 정확도를 달성했다. 특히, 비동질적(Non‑IID) 데이터 분포에서 기존 강건 집계가 급격히 성능이 떨어지는 반면, FedFG는 합성 샘플 기반 검증으로 안정적인 성능을 유지했다. - **프라이버시**: 차등프라이버시와 비교했을 때 동일한 ε(프라이버시 예산) 하에서 정보 누출 위험이 현저히 낮았다. 이는 서버가 실제 특징을 전혀 보지 않기 때문이다. - **통신·연산 비용**: 암호화 기반 방법에 비해 통신량이 30% 이하로 감소했으며, 흐름‑매칭 생성기의 ODE 기반 연산은 기존 GAN 대비 2배 이상 빠른 샘플링 속도를 보였다. **5. 한계 및 미래 연구** FedFG는 현재 합성 샘플이 충분히 실제 데이터 분포를 근사해야 검증이 유효하다는 가정에 의존한다. 매우 복잡하거나 고차원적인 데이터(예: 의료 영상)에서는 흐름‑매칭 모델의 학습이 어려울 수 있다. 또한, 현재는 서버가 전역 생성기와 전역 분류기만을 유지하므로, 전역 모델이 초기 단계에서 크게 손상될 경우 악성 클라이언트 탐지가 어려워지는 점이 있다. 향후 연구에서는 (1) 다중 모달 데이터에 대한 흐름‑매칭 확장, (2) 전역 모델이 손상될 경우를 대비한 이중‑검증 메커니즘, (3) 클라이언트 간 협업 생성기 학습을 통한 생성 품질 향상 등을 탐색할 계획이다. **6. 결론** FedFG는 흐름‑매칭 기반 생성기를 활용해 클라이언트의 사적 특징을 보호하고, 서버는 합성 샘플을 이용해 업데이트를 검증·재가중함으로써 프라이버시와 견고성을 동시에 만족하는 연합 학습 프레임워크를 제시한다. 실험 결과는 다양한 공격 상황에서도 높은 정확도와 낮은 프라이버시 위험을 동시에 달성함을 입증한다. 이는 연합 학습이 실제 민감한 도메인(의료, 금융 등)에서 안전하게 적용될 수 있는 중요한 발판이 된다.