로봇 인식의 적대적 공격 탐지와 레지듀얼 네트워크 비교

** 본 연구는 로봇 비전 시스템에서 핵심적인 역할을 하는 시맨틱 세그멘테이션 모델이 적대적 교란에 취약함을 지적하고, 이를 탐지하기 위한 새로운 프레임워크를 제시한다. 저자들은 ResNet‑18과 ResNet‑50이라는 두 가지 대표적인 잔차 네트워크를 사전 학습된 상태에서 가져와, 마지막 fully‑connected 레이어만 102‑클래스(또는 2‑클래스)로 재학습한다. 이 과정에서 백본의 모든 파라미터는 고정하고, 새로운 헤드만 SGD(learning rate = 0.001, momentum = 0.9)로 최적화한다. 입력 전처리 단계에서는 이미지에 랜덤 크롭, 수평 플립(50 % 확률), ImageNet 평균·표준편차 정규화를 적용해 입력 분포를 일관되게 만든다. 재학습된 모델은 정상 이미지와 적대적 이미지에 대해 각각 예측을 수행하고, 중간 레이어에서 추출한 특징 벡터에 대해 세 가지 통계적 메트릭을 계산한다. 1. **Confidence Score** – 모델이 가장 높은 확률을 부여한 클래스의 신뢰도. 2. **Non‑Maximum Entropy (non‑ME)** – 정답이 아닌 클래스들의 확률 분포 엔트로피, 공격 시 확률이 고르게 퍼지는 현상을 포착. 3. **Kernel Density (K‑density)** – 훈련 데이터 특징 공간에 대한 밀도 추정값, 정상 샘플은 고밀도 영역, 교란 샘플은 저밀도 영역에 위치. 각 메트릭은 사전에 설정된 임계값 T와 비교해, 임계값 이하이면 “적대적”으로 라벨링한다. 이 방식은 별도 추가 학습 없이 기존 모델의 내부 정보를 활용한다는 점에서 효율적이다. 실험에서는 FGSM 공격을 다양한 ε(0.00 ~ 0.10) 값으로 적용했으며, 주요 성능 지표인 픽셀 정확도, 평균 IoU(mIoU), F1‑score 등을 측정했다. 결과는 Table 1과 Figure 2에 요약되어 있다. ε가 0.02일 때 mIoU가 0.48로 급락하고, ε = 0.10에서는 0.10 이하로 감소한다. 이는 시각적으로 거의 차이가 없지만, 내부 특징 분포가 크게 변한다는 것을 의미한다. 두 모델의 비교에서는 ResNet‑50이 전반적으로 높은 정확도(≈0.7 ~ 0.8)와 낮은 손실을 유지하며, 학습 과정에서도 epoch 간 정확도 변동이 작았다(최대 변동 ≈ 0.1). 반면 ResNet‑18은 초기 epoch에서 정확도가 0.2 ~ 0.4 수준에 머물다가 급격히 상승·하강을 반복해 학습 안정성이 떨어졌다. 이러한 차이는 ResNet‑50이 더 깊은 층에서 복잡한 패턴을 학습해 일반화와 견고성에서 이점을 갖지만, 탐지 임계값을 더 엄격히 설정해야 할 필요성을 시사한다. 논문은 기존 적대적 탐지 기법(예: 입력 변환, feature squeezing, 그래프 기반 라티스 분석, 고주파 분석)과 비교해, 제안 방법이 사전 학습된 백본을 재활용함으로써 구현 비용과 연산량을 크게 절감한다는 장점을 강조한다. 또한, “Lost Classes”라는 새로운 지표를 도입해, 공격에 의해 완전히 사라진 클래스들을 식별하고, 모델이 어떤 클래스에 취약한지를 정량화한다. 한계점으로는 현재 실험이 FGSM에 국한되어 있으며, PGD, CW, DeepFool 등 보다 강력하고 다변량적인 공격에 대한 평가가 부족하다. 또한, 탐지 메트릭 자체를 목표로 설계된 adaptive attack에 대한 방어력 검증이 미비하다. 실시간 로봇 시스템에 적용하기 위해서는 탐지 연산의 지연 시간과 하드웨어 제한을 고려한 최적화가 필요하다. 결론적으로, 본 연구는 로봇 시맨틱 세그멘테이션 모델에 대한 적대적 공격 탐지 프레임워크를 제시하고, ResNet‑50이 전반적으로 더 높은 견고성을 보이지만 여전히 공격에 취약함을 실험적으로 입증한다. 향후 연구는 다양한 공격 유형, 실시간 적용, 그리고 탐지‑방어 통합 시스템 구축을 목표로 해야 할 것이다. **