Soft-label vs. Hard-label Attack(확률 기반 vs. 라벨 기반 적대적 공격)

개요

Soft-label Attack과 Hard-label Attack은 적대적 머신러닝(Adversarial Machine Learning)에서 모델 출력 정보의 접근 수준에 따라 구분되는 대표적인 공격 유형이다. Soft-label Attack은 모델의 확률값(Confidence Score) 또는 로짓(Logit)에 접근 가능한 환경에서 수행되며, Hard-label Attack은 오직 최종 예측 라벨 정보만 활용하는 블랙박스 기반 공격이다. 두 방식은 쿼리 효율성, 공격 난이도, 방어 전략 측면에서 뚜렷한 차이를 보인다.

---

1. 개념 및 정의

Soft-label Attack은 모델 출력 확률 분포 P(y|x) 또는 로짓 값을 활용하여 그래디언트 또는 손실 함수 기반 최적화를 수행하는 공격 방식이다.

Hard-label Attack은 모델이 반환하는 최종 클래스 라벨 f(x)만을 활용하여 결정 경계를 추정하는 공격 방식이다.

정보 접근 수준이 공격 효율성을 결정하는 핵심 요소이다.

---

2. 특징 비교

구분	Soft-label Attack	Hard-label Attack
출력 정보	확률값/로짓	최종 라벨만
공격 방식	Gradient 기반	Boundary 탐색
쿼리 효율성	상대적으로 높음	상대적으로 낮음
현실 적용성	제한적(API 공개 필요)	매우 높음(API 환경)

Soft-label은 정밀하지만 접근 제약이 존재하며, Hard-label은 정보가 제한적이지만 현실성이 높다.

---

3. 구성 요소

요소	Soft-label	Hard-label
최적화 기법	FGSM, PGD, CW	Boundary Attack, HSJA
정보 요구도	High	Low
탐색 방식	Gradient Descent	Zeroth-order Optimization

Soft-label 공격은 손실 함수 기반 미분 계산을 활용하고, Hard-label은 미분 불가 환경에서의 경계 추정을 수행한다.

---

4. 기술 요소

기술 영역	Soft-label 적용	Hard-label 적용
적대적 학습	확률 기반 학습 강화	경계 강건성 강화
방어 기법	Logit Masking	Query 제한
연구 사례	Goodfellow et al., 2015	Brendel et al., 2018

최근 연구에서는 Hard-label 공격의 쿼리 효율 개선이 활발히 진행되고 있으며, 실제 상용 API 환경에서는 Hard-label 기반 위협 모델이 더욱 중요하게 평가된다.

---

5. 장점 및 한계

구분	장점	한계
Soft-label	빠른 수렴	내부 정보 필요
Hard-label	현실적 위협	높은 쿼리 비용

두 공격 방식은 정보 접근 수준과 효율성 간의 트레이드오프 관계를 가진다.

---

6. 주요 활용 사례 및 고려사항

적용 환경	Soft-label	Hard-label
연구 환경	모델 내부 접근 가능	실험적 비교
상용 API	제한적	주된 위협 모델
보안 설계	Adversarial Training	Rate Limiting, 탐지 시스템

NIST AI RMF와 ENISA AI Threat Landscape에서는 블랙박스 기반 공격을 주요 리스크로 분류하며, Hard-label 공격 방어를 위한 이상 탐지 및 질의 모니터링을 권고한다.

한 줄 첨언: 출력 정보의 공개 수준이 곧 공격 난이도를 결정한다.

---

7. 결론

Soft-label Attack과 Hard-label Attack은 정보 접근 수준에 따른 전략적 차이를 보이는 적대적 공격 유형이다. Soft-label은 정밀 최적화가 가능하지만 접근 제한이 존재하며, Hard-label은 정보 제약 속에서도 현실적인 위협으로 작용한다. 향후 AI 보안 설계에서는 출력 최소화 전략, 질의 기반 이상 탐지, 적대적 학습 강화가 핵심 대응 전략이 될 것이다.