Federated Learning에서 개선된 백도어 공격 방법

Abstract

높은 성능의 딥러닝 모델을 얻기 위해서는 최적화된 알고리즘과 많은 양의 학습 데이터가 필요하다. 여러 개의 학습 데이터 중 특히 의료 데이터는 사용자의 개인 정보가 침해될 수 있거나 민감한 정보가 포함된 경우가 많아 데이터 수집의 어려운 한계점을 가지고 있다. 이러한 한계점을 해결하고자 2017년 McMahan은 Federated learning을 제안하였다. Federated learning은 중앙 서버가 직접 학습 데이터를 수집하지 않고, 제 3자가 학습 데이터를 가공하여 얻은 Gradient 값으로 딥러닝 모델을 학습시킨다. 하지만, Federated learning은 제 3자가 어떤 학습 데이터를 사용했는지 알 수 없으며, 딥러닝 모델의 예측/추론 오류를 일으키는 백도어 공격의 가능성이 있다. 일반적인 Federated learning 학습에서 백도어 공격 성공률은 낮다. 이러한 백도어 공격 성공률을 높이기 위해서 Model replacement 연구가 발표되었고, 이후 Model replacement에 분산화 기법을 적용하였을 때 백도어 공격 성공률을 더욱 높인 연구가 DBA의 이름으로 2020년 발표되었다. 본 논문은 이전의 DBA 방식에서 딥러닝 모델의 가중치 중 일부를 축소/확대 조절할 경우 DBA보다 높은 백도어 공격 성공률을 갖출 수 있도록 개선하였으며, DBA에서 진행한 동일한 알고리즘 환경으로 비교 우위를 확인하였다.