Core Concepts
자율주행 시스템은 안전과 정확한 주행 결정을 위해 AI 구성 요소에 크게 의존하지만, 이러한 AI 구성 요소는 일반적으로 악의적인 공격에 취약하다. 이러한 AI 구성 요소 수준의 취약성이 시스템 수준의 의미론적 영향을 미치기 위해서는 시스템-AI 및 AI-시스템 간 의미론적 격차를 해결해야 한다.
Abstract
이 논문은 자율주행 시스템의 의미론적 AI 보안 연구 분야에 대한 체계적 분석을 수행한다. 지난 5년간 이 분야에서 발표된 53편의 논문을 수집하고 분석하여 다음과 같은 내용을 정리하였다:
공격/방어 대상 AI 구성 요소: 대부분의 연구(86%)가 인지 모듈(특히 카메라와 LiDAR)을 대상으로 하고 있으며, 예측 및 계획 모듈은 거의 다루어지지 않고 있다.
공격 목표: 대부분의 공격(96.3%)이 무결성(안전 위협, 교통 규칙 위반, 이동성 저하)을 목표로 하고 있으며, 기밀성(프라이버시)과 가용성은 아직 다루어지지 않고 있다.
공격 벡터: 물리적 공격 벡터(90.8%)가 주를 이루고 있으며, 특히 물체 텍스처 변경이 가장 많이 사용되고 있다. 사이버 공격 벡터는 11.1%에 불과하다.
공격자 지식: 백박스 공격(66.7%)이 가장 많이 사용되고 있으나, 최근 2년 사이 그레이박스(24.1%)와 블랙박스(9.3%) 공격도 증가하고 있다.
방어 기법: 일관성 검사(66.7%)와 적대적 견고성 향상(33.3%)이 주요 방어 기법이다.
방어 배포성: 대부분의 방어 기법(87.5%)이 배포성 측면을 고려하고 있으나, 모델 학습 불필요, 자원 오버헤드 최소화, 추가 데이터셋 불필요 등의 측면은 상대적으로 부족하다.
평가 방법: 대부분의 연구(90.5%)가 구성 요소 수준의 평가만 수행하고 있으며, 시스템 수준의 평가는 25.4%에 불과하다.
이를 바탕으로 6가지 주요 과학적 격차와 향후 연구 방향을 제시하였다.
Stats
"자율주행 시스템은 안전과 정확한 주행 결정을 위해 AI 구성 요소에 크게 의존한다."
"AI 알고리즘, 특히 딥러닝은 일반적으로 적대적 공격에 취약한 것으로 알려져 있다."
"AI 구성 요소 수준의 취약성이 시스템 수준의 취약성으로 이어지지 않는 이유는 시스템-AI 및 AI-시스템 간 의미론적 격차 때문이다."
Quotes
"자율주행 시스템은 안전과 정확한 주행 결정을 위해 AI 구성 요소에 크게 의존한다."
"AI 알고리즘, 특히 딥러닝은 일반적으로 적대적 공격에 취약한 것으로 알려져 있다."
"AI 구성 요소 수준의 취약성이 시스템 수준의 취약성으로 이어지지 않는 이유는 시스템-AI 및 AI-시스템 간 의미론적 격차 때문이다."