색상이 중요하다: 트리거 색상이 연합 백도어 공격의 성공에 미치는 영향

연합 학습 (Federated learning)은 악의적인 클라이언트가 정상적인 작업 성능을 유지하면서 오염된 업데이트를 주입하는 백도어 공격 (backdoor attacks)에 취약합니다. 본 논문에서는 공격자가 자연적인 시각적 액세서리를 트리거 (trigger)로 사용하고, 공격 파이프라인을 고정시킨 채 트리거 색상만을 조작하는 의미론적 주도 백도어 메커니즘 (semantics-driven backdoor mechanism)을 연구합니다. 우리의 프레임워크는 마스크나 선글라스와 같은 의미론적 트리거 객체를 고려하며, 이를 흑백 변형으로 구현하여 통제된 연합 학습 환경에서 그 효과를 평가합니다. 악의적인 클라이언트는 소스 클래스 (source-class) 이미지에 트리거를 적용하고 이를 공격자가 선택한 타겟 클래스 (target class)로 레이블을 다시 지정하여 오염된 샘플을 생성하는 반면, 선량한 클라이언트는 깨끗한 데이터로만 학습합니다. 우리는 표준적인 오염 목적 함수 (poisoning objective)와, 깨끗한 분류 손실 (clean classification loss), 트리거된 타겟 손실 (triggered target loss), 마지막 전 층 표현 공간에서의 특징 분리 손실 (feature-separation loss), 그리고 악의적인 업데이트를 글로벌 모델에 가깝게 유지하기 위한 정규화 (regularization)를 결합한 더 강력한 SABLE 기반 목적 함수 하에서 이 메커니즘을 분석합니다. 이러한 설계는 과도한 업데이트 드리프트 (update drift)를 줄이면서도 공격이 효과적으로 유지될 수 있도록 합니다. 4개 클래스의 CelebA 헤어 컬러 태스크에 대한 실험 결과, 트리거의 의미론, 배치, 오염 예산 (poisoning budget)이 변하지 않더라도 트리거 색상이 공격 성공률을 크게 변화시킨다는 것을 보여줍니다. 금발 (blond) 클래스를 타겟으로 하는 공격에는 흰색 트리거가 더 효과적인 반면, 검은색 (black) 클래스를 타겟으로 하는 공격에는 검은색 트리거가 더 나은 성능을 보입니다. 이러한 경향은 강건한 집계 (robust aggregation) 하에서도 지속되며, 이는 트리거 색상이 연합 학습에서 의미론적 백도어 메커니즘의 작동, 지속성 및 평가에 있어 유의미한 요소임을 보여줍니다.