학습 없이 방어하는 이미지 압축 모델의 적대적 견고성

본 논문은 딥러닝 기반 이미지 압축 모델이 적대적 교란에 의해 심각한 성능 저하를 겪는 문제를 제기하고, 추가 학습 없이 적용 가능한 방어 프레임워크를 설계한다. 서론에서는 이미지 인식 분야에서 적대적 공격이 널리 연구된 반면, 압축 분야에서는 아직 연구가 미비함을 지적한다. 특히 비트스트림 길이 증가와 재구성 품질 저하, 시각적 아티팩트가 발생하면 후속 영상 분석 작업까지 악영향을 미친다. 관련 연구에서는 기존 적대적 공격(FGSM, PGD, C&W 등)과 방어(적대적 학습, 입력 전처리) 방법을 정리하고, 압축 모델에 대한 최근 공격 연구(Chen & Ma, Liu et al., Sui et al., Yu et al.)를 소개한다. 기존 방어는 압축 모델을 재학습하거나, 가우시안 블러·비트 깊이 감소와 같은 전처리를 적용하지만, 이는 정상 이미지에서도 품질 손실을 초래한다. 본 논문의 핵심은 두 단계 압축(two‑way compression) 방어 메커니즘이다. 먼저, 입력 이미지 x에 대해 변환 집합 T={τ₁,…,τₙ}에서 무작위 변환 τ_θ를 샘플링한다. 변환된 이미지 x_t=τ_θ(x)를 기존 압축 파이프라인(E, Q, D)에 그대로 투입해 ˆy=Q(E(x_t))를 얻고, 디코더 D를 통해 ˆx_t를 복원한다. 이후 역변환 τ_θ⁻¹을 적용해 최종 복원 이미지 ˆx=τ_θ⁻¹(ˆx_t)를 만든다. 이와 동시에 원본 이미지 x에 대해서도 동일한 압축·복원 과정을 수행한다. 두 결과에 대해 손실 L_total=−log P(ˆy)+λ·d(x, ˆx) (또는 동일한 식을 변환 이미지에 적용) 를 계산하고, 손실이 더 작은 쪽을 최종 출력으로 선택한다. 알고리즘 1·2에 상세히 기술되어 있으며, 엔트로피 코딩 단계는 생략하였다. 실험 설정은 BÉGAINT 등에서 제공하는 네 가지 사전 학습 압축 모델(SH, M&S, M&S+C, Anchor)을 사용하고, PGD 공격을 통해 비트스트림 길이와 PSNR·MS‑SSIM을 측정한다. ε를 0.001부터 0.01까지 변화시키며, 고비트레이트 모델이 저비트레이트 모델보다 더 큰 성능 저하를 보이는 것을 확인한다. 방어 적용 전후를 비교한 표와 그림(3·5·6)에서는, 무작위 변환만 적용했을 때는 정상 이미지에서도 약간의 품질 저하가 발생하지만, 두‑방향 압축을 적용하면 정상 이미지에서는 원본과 거의 동일한 bpp와 PSNR를 유지하면서, 공격 이미지에 대해서는 비트스트림 증가율을 30 % 이하로 억제하고 PSNR 회복을 80 % 이상 달성한다. 변환 종류별 영향 분석에서는 크롭은 정보 손실이 커서 압축 효율을 크게 떨어뜨리고, 회전·리사이징·시프트는 역변환 시 약간의 보간 오차가 있지만 전체 성능에 미치는 영향이 미미함을 보였다. 변환 인덱스는 log n 비트만 추가하면 되므로 전체 비트스트림에 대한 부하가 무시할 수준이다. 논문의 한계로는 무작위 변환 선택이 매번 두 번의 압축·복원을 필요로 하여 연산량이 두 배가 된다는 점, 실시간 스트리밍 환경에서 지연이 발생할 가능성, 변환 집합 T를 어떻게 설계하느냐에 따라 방어 효과가 달라질 수 있다는 점을 언급한다. 향후 연구 방향으로는 변환 후보를 데이터‑특정하게 최적화하거나, 변환 선택을 경량화된 메타‑모델로 예측하는 방법, 그리고 다른 압축 프레임워크(예: 비디오 압축)로 확장하는 가능성을 제시한다. 결론적으로, 이 논문은 “학습‑프리” 방어라는 새로운 패러다임을 제시하고, 기존 압축 모델을 그대로 활용하면서도 적대적 공격에 대한 견고성을 크게 향상시킬 수 있음을 실험적으로 입증한다.