암호학적 관점에서 본 AI의 방어 전략: 탐지 vs. 완화

본 논문은 AI의 적대적 공격 방어 전략인 탐지와 완화를 암호학적 관점에서 분석하여, 분류 작업과 생성 학습 작업에서 전략 효과의 차이를 밝히고, 특히 생성 학습에서 완화 전략의 효율성을 강조합니다. 암호학적 가정 하에 완화 전략이 탐지 전략보다 효과적일 수 있음을 증명하였으나, 암호학적 가정의 현실적 실현 가능성에 대한 추가 연구가 필요합니다.

Greg Gluch와 Shafi Goldwasser가 발표한 논문 "A Cryptographic Perspective on Mitigation vs. Detection in Machine Learning"은 AI의 적대적 공격에 대한 방어 전략을 암호학적 관점에서 새롭게 조명합니다. 이 논문은 기계 학습 알고리즘의 추론 단계에서 발생하는 적대적 입력에 대한 탐지(Detection) 방어와 완화(Mitigation) 방어를 공식적으로 정의하고, 두 전략의 효과를 비교 분석합니다.

논문에서는 훈련자/방어자와 공격자 간의 3라운드 프로토콜을 통해 DbD(Defense by Detection) 와 DbM(Defense by Mitigation) 을 정의합니다. 공격자는 훈련 알고리즘을 속이는 추론 시간 입력을 생성하려고 시도하며, 성공적인 방어를 위한 정확성, 완전성, 건전성 속성이 정의됩니다. 핵심은 알고리즘의 훈련 분포 입력에 대한 성능 저하를 최소화하는 것입니다.

흥미로운 점은, 분류 작업에서는 DbD와 DbM이 동등한 효과를 가진다는 것을 보여줍니다. 하지만 생성 학습 작업에서는 상황이 달라집니다. 생성 학습에서는 각 입력에 대해 생성될 수 있는 정답이 여러 개 존재하기 때문입니다.

놀랍게도, 논문은 생성 학습 작업에서 DbD와 DbM 사이에 차이가 있음을 증명합니다. IB-FHE(Identity-Based Fully Homomorphic Encryption), zk-SNARK(publicly-verifiable zero-knowledge Succinct Non-Interactive Arguments of Knowledge), 강한 무효화 서명의 존재를 가정할 때, 완화로는 방어가 가능하지만 탐지로는 방어가 불가능한 생성 학습 작업의 예를 제시합니다. 특히, 완화 단계는 초기 훈련 알고리즘보다 훨씬 적은 샘플을 사용한다는 점도 주목할 만합니다. 이는 곧, 생성 학습에서 완화 전략이 탐지 전략보다 훨씬 효율적일 수 있음을 시사합니다.

결론적으로, 이 논문은 암호학적 이론을 바탕으로 기계 학습의 방어 전략에 대한 새로운 시각을 제공하며, 특히 생성 학습 분야에서 완화 전략의 중요성을 강조합니다. 향후 연구에서는 IB-FHE, zk-SNARK와 같은 암호학적 기술을 활용하여 더욱 강력하고 효율적인 AI 방어 시스템을 개발하는 데 기여할 것으로 예상됩니다. 하지만, 이러한 암호학적 가정의 현실적인 실현 가능성에 대한 추가적인 연구가 필요합니다.