작은 잡음 큰 위협 뇌컴퓨터 인터페이스 스펠러에 대한 적대적 교란

본 논문은 EEG 기반 뇌‑컴퓨터 인터페이스(BCI) 스펠러의 보안 취약성을 최초로 체계적으로 조사한다. 연구 배경으로, BCI 스펠러는 중증 장애인, 특히 ALS 환자에게 생각만으로 텍스트를 입력할 수 있는 중요한 의사소통 수단으로 널리 활용되고 있다. 기존 연구는 주로 스펠러의 정확도와 전송 속도(ITR)를 향상시키는 데 집중했으며, 보안 문제는 거의 다루어지지 않았다. 저자들은 이러한 공백을 메우기 위해, P300과 SSVEP 두 가지 전형적인 EEG 스펠러가 눈에 띄지 않는 미세한 적대적 교란(adversarial perturbation)에 의해 쉽게 오작동할 수 있음을 입증한다. **연구 목표 및 기여** 1. P300 및 SSVEP 스펠러가 미세 교란에 의해 목표 문자로 강제 전환될 수 있음을 최초로 보여준다. 2. 기존 딥러닝 기반 공격이 아니라, 전통적인 BCI 파이프라인(특징 추출 + 분류) 자체를 공격 대상으로 삼는다. 이는 현재 실무에서 가장 많이 사용되는 구조이다. 3. 교란 템플릿을 사전 학습 데이터에서 추출하고, 테스트 단계에서는 실시간으로 그대로 적용함으로써 **인과성(causality)**을 보장한다. 즉, 테스트 EEG 신호를 미리 알 필요 없이 실시간 공격이 가능하다. **실험 설계** - **P300 스펠러**: 공개 데이터셋(I) 사용, 64채널, 240 Hz 샘플링, 0.1‑40 Hz 대역통과, 2명 피험자(A, B). 각 문자 입력은 12번(6행 + 6열) 강조를 15번 반복해 3.15 s 소요. 피해 모델은 2015년 Kaggle BCI 챌린지 우승 모델인 Riemannian Geometry 기반 파이프라인이다. 16개의 xDAWN 공간 필터링 후 텐서플로우 구현으로 미분 가능하게 하여 교란 생성에 필요한 그래디언트를 계산한다. - **SSVEP 스펠러**: Wang 등(2019) 데이터셋 사용, 35명 피험자, 64채널, 250 Hz 다운샘플링, 6 s 트라이얼(0.5 s 전처리 + 5 s 자극 + 0.5 s 후처리). 40개의 문자에 8 Hz‑15.8 Hz 주파수를 할당. 피해 모델은 전통적인 CCA 기반 주파수 추출 후 로지스틱 회귀 분류기이다. **교란 템플릿 생성 및 적용** 교란 템플릿은 훈련 데이터의 손실 함수(분류 확률) 대비 그래디언트를 이용해 최적화한다. 템플릿은 특정 시간 구간에만 삽입되며, 전체 트라이얼에 대한 신호대잡음비(SPR)를 20 dB 이상으로 유지한다. 이는 인간이 시각적으로 구분하기 어려운 수준이다. 교란은 테스트 EEG에 실시간으로 더해지며, 인과성을 만족한다(테스트 신호를 사전에 알 필요 없음). **주요 결과** - **P300 스펠러**: 공격자 점수(attacker score)가 90 % 이상, 사용자 점수(user score)는 거의 0에 수렴. 반복 횟수가 늘어날수록 공격 성공률이 증가한다. Gaussian 노이즈와 비교했을 때, 동일 에너지 수준의 무작위 잡음은 거의 영향을 주지 않으며, 오히려 교란 템플릿만이 높은 성공률을 보인다. 시각화(EEG 파형, 스펙트럼, 토포플롯)에서도 교란 전후 차이가 인간 눈으로는 구분되지 않는다. - **SSVEP 스펠러**: 공격자 점수가 85 % 이상, 사용자 점수는 급격히 감소. 교란 템플릿이 주파수 영역에 미세하게 영향을 주어, CCA 기반 주파수 매칭을 오도한다. 역시 Gaussian 노이즈는 효과가 없으며, 교란 템플릿만이 목표 문자로 강제 전환한다. **보안적 함의** BCI 스펠러는 의료 진단, 보조 의사소통, 군사·산업용 인터페이스 등 다양한 분야에 적용된다. 공격자가 교란 템플릿을 사전에 확보하고 실시간으로 EEG 신호에 삽입한다면, 사용자는 의도와 전혀 다른 명령을 수행하게 된다. 이는 단순한 사용자 불편을 넘어, 오진, 오작동, 심리적 스트레스, 심지어 생명 위협까지 초래할 수 있다. 현재 논문에서 제시된 방어책은 없으며, 향후 연구는 다음과 같은 방향을 제시한다. 1. **인증된 견고성(certified robustness)**: 적대적 교란에 대한 이론적 보증을 제공하는 방법 개발. 2. **실시간 탐지 및 필터링**: 교란 템플릿의 특성을 이용해 실시간으로 이상 신호를 감지하고 제거하는 알고리즘. 3. **다중 모달 방어**: EEG 외에 눈동자 움직임, 근전도(EMG) 등 다른 생체 신호와 결합해 교란을 상호 검증. **결론** 본 연구는 (1) 기존 BCI 파이프라인이 적대적 교란에 매우 취약함을 실험적으로 입증, (2) 비인과적 교란 템플릿을 통해 실시간 공격이 가능함을 시연, (3) 교란이 인간 감지 수준 이하로 작동하면서도 높은 성공률을 보임을 보여준다. 이는 EEG 기반 BCI 전반에 대한 보안 패러다임 전환을 요구한다. 향후 연구는 견고한 방어 메커니즘을 설계하고, 실제 의료·보조기기 환경에서의 보안 표준을 마련하는 것이 시급하다.