뇌파 기반 BCI를 위한 쿼리 합성형 능동학습 기반 블랙박스 적대적 공격

본 논문은 EEG 기반 뇌‑컴퓨터 인터페이스(BCI) 시스템에 적용되는 딥러닝 모델이 적대적 공격에 취약함을 전제로, 블랙박스 환경에서 효율적인 공격을 수행하기 위한 새로운 프레임워크를 제시한다. 블랙박스 공격은 목표 모델의 내부 구조와 파라미터를 알 수 없고, 입력에 대한 출력(라벨)만을 조회할 수 있는 상황을 가정한다. 기존 전이 기반 공격은 목표 모델과 유사한 대체 모델을 학습한 뒤, 대체 모델에서 만든 적대적 샘플을 목표 모델에 전달하는 방식이다. 그러나 대체 모델을 충분히 정확히 학습하려면 수천~수만 번의 쿼리가 필요해 실용성이 떨어진다. 이를 해결하기 위해 저자들은 “쿼리 합성 기반 능동학습”(Query‑synthesis Active Learning) 전략을 도입한다. 초기에는 목표 모델에 소량의 EEG epoch을 쿼리해 라벨을 얻고, 이를 바탕으로 초기에 대체 모델을 학습한다. 이후 매 학습 반복에서 다음 과정을 수행한다. 1. **반대 쌍 선택**: 현재 라벨링된 데이터 집합에서 서로 다른 클래스를 가진 두 샘플을 무작위로 선택한다. 2. **이진 탐색 합성**: 선택된 두 샘플 사이의 중간점을 계산하고, 대체 모델이 예측한 라벨에 따라 구간을 반으로 좁혀가며 결정 경계에 가까운 새로운 “반대 쌍”을 만든다. 이는 알고리즘 1에 명시된 이진 탐색 절차이다. 3. **중심 직교 합성**: 찾은 반대 쌍의 차벡터를 기준으로 직교 방향을 구하고, Gram‑Schmidt 과정을 통해 정규화된 직교 벡터를 만든다. 이 벡터에 일정 크기(q)를 곱해 기존 반대 쌍의 중점에 더함으로써 새로운 샘플을 생성한다(알고리즘 2). 이 단계는 샘플이 한쪽에 몰리는 현상을 방지하고, 입력 공간 전반에 걸쳐 다양성을 확보한다. 4. **데이터 집합 업데이트**: 합성된 샘플을 목표 모델에 쿼리해 라벨을 획득하고, 기존 데이터와 합쳐 대체 모델을 재학습한다(알고리즘 3). 다중 클래스 문제는 일대일(One‑vs‑One) 방식으로 이진 분류 문제들로 분해하고, 각 서브태스크마다 위 과정을 독립적으로 적용한다. 대체 모델이 충분히 학습되면, 적대적 샘플을 생성하기 위해 UFGSM(Unsup‑ervised Fast Gradient Sign Method)을 사용한다. 기존 FGSM은 목표 모델의 파라미터와 손실 함수를 이용해 그래디언트를 계산하지만, UFGSM은 대체 모델이 예측한 라벨을 손실에 삽입해 라벨이 없는 상황에서도 그래디언트를 얻는다. 최종 적대적 샘플은 다음과 같이 정의된다. \(x^{*}=x+\epsilon\cdot \text{sign}(\nabla_{x}J(\theta',x,y'))\) 여기서 \(\theta'\)는 대체 모델 파라미터, \(y'\)는 대체 모델이 예측한 라벨이며, \(\epsilon\)은 허용되는 최대 퍼터베이션 크기이다. 실험은 세 가지 공개 EEG 데이터셋(P300, ERN, MI)과 세 종류의 CNN(EEGNet, DeepCNN, ShallowCNN)을 대상으로 수행되었다. 각 데이터셋은 두 그룹(A, B)으로 나뉘어, A 그룹은 목표 모델 학습에 사용하고, B 그룹은 초기 라벨링 데이터(S₀)로 활용했다. 실험은 단일 분할(One‑division)과 다중 분할(Multi‑division) 두 시나리오에서 5회 반복하여 평균 성능을 보고한다. 평가 지표는 원시 정확도(RCA)와 클래스 균형 정확도(BCA)이며, 공격 성공률은 목표 모델이 원래 라벨과 다른 라벨을 출력하는 비율로 측정한다. 결과는 다음과 같다. - 동일한 쿼리 예산(예: 2 000 쿼리)에서 능동학습 기반 방법은 공격 성공률을 평균 10~15%p 상승시켰다. - 목표 성공률 80%를 달성하기 위해 필요한 쿼리 수는 기존 Jacobian‑기반 방법 대비 30~50% 감소하였다. - 대체 모델의 학습 곡선은 초기 몇 백 번의 쿼리만으로도 급격히 수렴했으며, 이후 추가 쿼리는 주로 경계 근처 샘플을 보강하는 데 사용되었다. 이러한 결과는 (1) 쿼리 효율성을 크게 개선한 새로운 데이터 증강 메커니즘, (2) 고차원 연속 EEG 신호에 적용 가능한 능동학습 설계, (3) 실제 BCI 시스템에서 실시간 공격 시나리오를 고려한 실용적 평가라는 세 가지 측면에서 의미가 크다. 특히, “쿼리 합성”이라는 접근은 라벨링 비용이 높은 의료·뇌과학 분야에 널리 확장될 가능성을 제시한다.