PEANUT: 그래프 신경망을 무너뜨리는 가상 노드 주입 공격

본 논문은 그래프 신경망(GNN)이 인접 행렬이나 라플라시안과 같은 토폴로지 정보를 직접 입력으로 사용한다는 구조적 특성을 악용한 새로운 공격 기법, **PEANUT (Perturbations by Eigenvector Alignment for Attacking Graph Neural Networks Under Topology‑Driven Message Passing)**을 제안한다. 기존의 그래프 구조 공격은 주로 기존 엣지를 직접 수정하거나, 가상 노드의 특성을 학습·강화학습을 통해 최적화하는 방식으로, 매 그래프마다 반복적인 최적화 과정이 필요하거나 서브시리얼 모델을 사전에 학습해야 하는 비효율성이 있었다. 이에 반해 PEANUT은 **제한된 블랙박스** 설정을 채택해, 모델 파라미터, 그래디언트, 훈련 데이터에 전혀 접근하지 않는다. 공격자는 오직 모델이 반환하는 최종 노드 임베딩(예: 로그 확률, 풀링 전 임베딩)만을 관찰한다. ### 위협 모델 및 목표 - **시점**: 추론 단계(evasion attack)에서 가상 노드 삽입. - **권한**: 모델 파라미터·그래디언트·훈련 데이터에 접근 불가, 단일 호출을 통해 최종 노드 임베딩 획득 가능. - **제한**: 삽입 가능한 가상 노드 수 n_v와 전체 추가 엣지 수를 제어하는 예산 Δ. - **목표**: 원본 그래프와 교란된 그래프의 임베딩 차이 ‖Z_p−Z‖_F를 최대화하여, 다운스트림 작업(노드 분류, 그래프 분류, 그래프 회귀)의 성능을 크게 저하시키는 것. ### 핵심 아이디어 1. **임베딩 기반 고유벡터 추출** 원본 그래프의 노드 임베딩 행렬 Z∈ℝ^{N×d}를 얻고, Z·Zᵀ의 가장 큰 고유값에 대응하는 고유벡터 u₁을 계산한다. u₁은 임베딩 공간에서 가장 큰 변동 방향을 나타낸다. 2. **가상‑실제 연결 행렬 설계** 가상 노드와 기존 노드 사이의 연결 가중치 행렬 S_v∈ℝ^{N×n_v}를 u₁·vᵀ 형태로 설정한다. 여기서 v는 임의의 단위벡터(보통 표준 기저 중 하나)이며, S_v는 0/1 행렬로 이산화한다. 3. **목표 함수와 제약** 교란된 그래프의 노드 임베딩 Z_p는 정규화 인접 행렬 S_p를 이용해 Z_p = S_p² X_Θ (2‑Layer SGC 기준)로 계산된다. 차이 제곱 ‖Z_p−Z‖_F²는 결국 ‖S_vS_vᵀ X_Θ‖_F²와 동등해지며, 이는 S_v의 Frobenius norm ‖S_vS_vᵀ‖_F가 클수록 커진다. 따라서 최적화 문제는 \