기계 학습 모델 추출 공격을 위한 개인 반사실적 설명 기반 지식 증류

개인 반사실적 설명을 활용하여 지식 증류 기반 모델 추출 공격을 수행하고, 차등 프라이버시를 통해 이를 완화하는 방법을 제안한다.

이 논문은 기계 학습 모델 서비스(MLaaS) 환경에서 발생할 수 있는 모델 추출 공격(MEA)에 대해 다룹니다. 특히 반사실적 설명(CF)을 활용하여 효과적으로 MEA를 수행하는 새로운 방법을 제안합니다. 또한 차등 프라이버시(DP)를 CF 생성 과정에 통합하여 MEA를 완화하고 CF의 품질에 미치는 영향을 분석합니다. 주요 내용은 다음과 같습니다: 지식 증류(KD) 기반 MEA 방법 제안: 공격자가 CF를 활용하여 타깃 모델의 대체 모델을 효과적으로 학습할 수 있는 새로운 접근법을 제안합니다. DP 기반 개인 CF 생성: CF 생성 과정에 DP를 통합하여 개인 정보 보호를 강화하고 CF의 품질에 미치는 영향을 분석합니다. 실험 결과 분석: 제안 방법의 MEA 성능과 CF 품질을 다양한 지표로 평가하여 DP가 미치는 영향을 확인합니다. 결과적으로 CF를 활용한 MEA가 효과적이지만, DP를 통해 개인 정보 보호를 강화하면서도 CF 품질을 어느 정도 유지할 수 있음을 보여줍니다. 이는 MLaaS 환경에서 모델 설명과 프라이버시 보호 간의 균형을 모색하는 데 중요한 시사점을 제공합니다.

반사실적 설명을 활용한 모델 추출 공격은 기존 방법보다 적은 쿼리로도 높은 수준의 일치도를 달성할 수 있다. 차등 프라이버시를 적용하여 개인 반사실적 설명을 생성하면 모델 추출 공격 성능이 감소하지만, 반사실적 설명의 품질도 일부 저하된다. 개인 반사실적 설명은 원본 데이터 분포와 유사한 수준의 현실성을 유지한다.

"반사실적 설명은 모델의 내부 작동 방식에 대한 통찰을 제공할 수 있어 모델 추출 공격에 악용될 수 있다." "차등 프라이버시를 적용하여 개인 반사실적 설명을 생성하면 모델 추출 공격 성능이 감소하지만, 반사실적 설명의 품질도 일부 저하된다."