이웃이 알고 있다: 분산 학습 (Decentralized Learning)에서의 백도어 탐지를 위한 로컬 이웃 활용법

분산 학습 (Decentralized Learning, DL)은 중앙 서버 없이 노드들이 협력하여 모델을 훈련하는 신흥 머신러닝 (Machine Learning) 패러다임입니다. 그러나 DL의 협력적인 특성은 백도어 공격 (Backdoor Attacks)에 취약하게 만듭니다. 백도어 공격은 모델이 표준 입력에 대해서는 정상적으로 동작하도록 학습되면서도, 특정 트리거 (Trigger)가 포함된 데이터를 마주할 때는 숨겨진 악의적인 동작을 수행하도록 만드는 공격입니다. DL에서의 백도어 공격은 아직 연구가 미흡하며, 기존의 방어 기제들은 DL의 제약 사항을 간과하는 경우가 많습니다. 본 논문에서는 중앙 코디네이터 (Central Coordinator)나 트리거에 대한 사전 지식이 필요하지 않은, DL에 최적화된 새로운 백도어 탐지 프레임워크인 Argus를 소개합니다. Argus에서 정직한 노드들은 수신된 모델 업데이트 (Model Updates)를 로컬에서 분석하여 잠재적인 백도어 트리거를 식별합니다. 이후 노드들은 자신들이 발견한 트리거를 이웃들과 공동으로 공유하며, 구조적 유사성 지표 (Structural Similarity Metric)를 사용하여 데이터 이질성 (Data Heterogeneity)으로 인해 발생하는 오탐 (False Alarms)과 실제 백도어를 구분합니다. 핵심적인 통찰은 오탐 트리거는 참여자들 사이에서 불일치를 보이는 반면, 진탐 (True Positive) 트리거는 일관된 패턴을 보인다는 점입니다. 이 협력적 테스트를 통과하지 못한 모델 업데이트는 거부되며, 지속적으로 악의적인 행위를 하는 송신자는 결국 퇴출됩니다. 우리는 DL 특화 백도어 탐지 메커니즘에 대한 최초의 이론적 수렴 보장 (Theoretical Convergence Guarantees)을 제공하며, 의심스러운 모델 업데이트를 높은 확률로 필터링하더라도 표준 DL과 유사한 수렴 속도 (Convergence Rate)를 유지함을 보여줍니다. 우리는 세 가지 표준 데이터셋과 세 가지 최신 베이스라인 (State-of-the-art Baselines)을 대상으로 Argus를 구현하고 평가했습니다. 다양한 설정에서 Argus는 방어 기제가 없을 때와 비교하여 공격 성공률 (Attack Success Rates)을 최대 90포인트까지 낮추는 동시에, 전지적 오라클 (Omniscient Oracle) 대비 모델 유용성 (Model Utility)을 5%포인트 이내로 유지합니다. 또한, 데이터 이질성이 증가할수록 베이스라인 대비 Argus의 효과가 더욱 향상됩니다.