당신의 프라이버시, 나의 망토: 차분 프라이버시 연합 학습(DP-FL)에 대한 백도어 공격

이전 연구들은 차분 프라이버시 (Differential Privacy, DP)가 백도어 공격 (Backdoor Attacks)에 대한 연합 학습 (Federated Learning, FL)의 강건성을 본질적으로 향상시킨다고 시사합니다. 본 논문에서는 이러한 가설에 이의를 제기합니다. 두 가지 베이스라인 공격 전략에 대한 실증적 분석을 통해, 우리는 DP-FL 내의 근본적인 긴장 관계를 발견했습니다. 즉, DP를 우회하면 최신 방어 기제들이 악성 업데이트를 탐지하고 필터링할 수 있지만, DP를 준수하면 악성 업데이트의 구별되는 통계적 특성이 의도치 않게 가려지게 됩니다. 결과적으로 DP가 가공되지 않은 백도어 신호를 감소시킴에 따라 기존의 방어 기제들은 무력화됩니다. 이러한 마스킹 효과 (Masking effect)를 기반으로, 우리는 공격 영향을 극대화하면서 악성 기여를 숨기기 위해 DP를 명시적으로 악용하는 새로운 공격 방식인 RING을 제안합니다. 침해된 클라이언트들은 적대적 섭동 (Adversarial perturbations)을 협력적으로 설계함으로써, 이상 탐지 (Anomaly detection)를 트리거하지 않고 집계 (Aggregation) 과정에서 강력한 백도어 신호를 재구성합니다. RING은 기저의 백도어 기술에 구애받지 않는 섭동 계층 (Perturbation layer)으로 작동하여 광범위하게 적용 가능하며 기존 공격들과 결합할 수 있는데, 이러한 특성은 DP-FL에 가해지는 위협을 크게 증폭시킵니다. Non-IID 분포 하의 4가지 이미지 및 텍스트 데이터셋에 대한 광범위한 평가 결과, RING은 적절한 프라이버시 예산 (Privacy budget) 하에서 6가지 최신 방어 기제를 상대로 평균 90.3%의 공격 성공률을 달성하였으며, 이는 베이스라인 전략 대비 최대 26.08배 향상된 수치입니다. 마지막으로, 우리는 잠재적인 대응책을 평가하였으며, 이러한 위협을 완화하는 것이 상당한 유틸리티 트레이드오프 (Utility trade-offs)를 초래한다는 것을 발견하였고, 이는 차분 프라이버시 연합 학습 배포 시 발생하는 근본적인 보안 격차를 드러냅니다.