적대적 공격에 대한 모델 평가: FGSM, Carlini-Wagner 공격 및 방어 기제로서의 증류 역할 비교

이 연구는 이미지 분류 모델의 적대적 공격에 대한 취약성을 평가하고, 방어 기법으로서의 증류 기법의 효과를 분석하였다. FGSM 및 Carlini-Wagner 공격에 대한 모델의 성능 저하를 확인하였으며, 증류 기법이 FGSM 공격에는 효과적이지만 Carlini-Wagner 공격에는 취약함을 밝혔다.

이 연구는 이미지 분류 모델의 적대적 공격에 대한 취약성을 평가하고 방어 기법으로서의 증류 기법의 효과를 분석하였다. 먼저 Resnext50_32x4d, DenseNet201, VGG19 모델을 Tiny ImageNet 데이터셋으로 평가하여 기준 성능을 확인하였다. 이후 FGSM 및 Carlini-Wagner 공격을 적용하여 모델의 성능 저하를 관찰하였다. FGSM 공격의 경우 ε 값 증가에 따라 모델의 Top-1, Top-5 오류율이 점진적으로 증가하였다. Resnext50_32x4d 모델의 최대 오류율은 Top-1 91.80%, Top-5 61.66%였다. Carlini-Wagner 공격의 경우에도 ε 값 증가에 따라 모델의 성능이 크게 저하되었다. Resnext50_32x4d 모델의 최대 오류율은 Top-1 91.80%, Top-5 61.66%로 FGSM과 유사한 수준이었다. 방어 기법으로 적용한 증류 기법은 FGSM 공격에 대해 효과적이었다. Resnext50_32x4d 모델의 정확도가 공격 전 0.79에서 공격 후 0.55로 떨어졌지만, 증류 기법 적용 후 0.87로 회복되었다. 그러나 Carlini-Wagner 공격에 대해서는 증류 기법이 효과적이지 않았다. 증류 기법 적용 전후 모델의 정확도 변화가 크지 않았다. 이를 통해 증류 기법이 FGSM과 같은 단순한 공격에는 효과적이지만, Carlini-Wagner와 같은 고도화된 공격에는 취약함을 확인하였다. 향후 연구에서는 더 강력한 방어 기법 개발이 필요할 것으로 보인다.

FGSM 공격 시 Resnext50_32x4d 모델의 최대 Top-1 오류율은 91.80%, Top-5 오류율은 61.66%였다. Carlini-Wagner 공격 시 Resnext50_32x4d 모델의 최대 Top-1 오류율은 91.80%, Top-5 오류율은 61.66%였다. FGSM 공격 후 Resnext50_32x4d 모델의 정확도가 0.79에서 0.55로 하락했지만, 증류 기법 적용 후 0.87로 회복되었다.

"적대적 공격은 기계 학습 시스템의 신뢰성과 보안에 심각한 위협을 가한다." "Carlini-Wagner 공격은 더 정교한 공격 기법으로, 이전 기법들을 능가하는 성공률과 최소한의 교란을 보인다." "증류 기법은 FGSM과 같은 단순한 공격에는 효과적이지만, Carlini-Wagner와 같은 고도화된 공격에는 취약하다."