이 아키텍처는 신뢰할 수 있는 실행 환경 (TEE) 기반의 다자간 계산 (MPC) 메쉬와 비잔틴 결함 공내성 (BFT) 합의를 결합하여 의존합니다. 각 참가자는 자신의 인프라 내에서 Intel SGX 또는 AMD SEV-SNP 인클레이브를 배포하며, 원시 데이터가 암호화되지 않은 채로 조직 경계를 넘지 않도록 합니다. 이 시스템은 TEE 내부에서 실행되는 보안 집계 (SecAgg) 프로토콜을 사용하여, 그래디언트가 전송 전에 임시 공개 키로 암호화되고 집계를 위해서는 확인된 인클레이브 내에서만 복호화됩니다.
BFT 합의 레이어(예: HotStuff 또는 Tendermint)는 탈중앙화된 검증자 노드 위원회 간의 학습 라운드를 조정하며, f < n/3 노드가 악의적이거나 손상되더라도 진행을 보장합니다. **차별 개인 정보 (DP)**는 데이터 소스에서 로컬 DP-SGD와 보안 노이즈 주입이 결합되어 집계 인클레이브 내에서 적용되어, 회원 추정 공격에 대한 수학적 개인 정보 보장을 제공합니다.
인프라스트럭처는 비밀 컨테이너 (예: SGX 지원을 가진 Kata Containers)를 사용하여 지리적으로 분산된 Kubernetes 클러스터를 포함하며, 검증된 엔드포인트 간에만 트래픽을 라우팅하도록 orchestrated 된 서비스 메쉬 (예: mTLS 및 SPIFFE 식별자를 사용하는 Istio)에 의해 관리됩니다. Intel DCAP 또는 AMD SEV-SNP 인증 보고서를 통한 원격 인증은 그래디언트 교환이 발생하기 전에 인클레이브의 무결성을 검증합니다.
이 시스템은 체크포인트와 함께 세대 기반 학습 라운드를 구현하고, 감사 및 롤백 기능을 위한 불변 원장 (예: 블록체인 애착을 가진 IPFS)에 기록합니다.
다섯 개의 주요 국제 은행 컨소시엄은 정교한 국경 간 자금 세탁 조직을 감지하기 위한 **그래프 신경망 (GNN)**을 공동으로 학습하고자 했습니다. 각 은행은 원시 데이터 수출이나 중앙 집중화를 금지하는 GDPR 및 GLBA 규정에 따라 관리되는 격리된 거래 기록을 보유하고 있었습니다. 주요 도전 과제는 고객 식별이나 거래 세부 정보를 경쟁사에게 노출하지 않으면서 공동 모델 학습을 가능하게 하는 것이며, 단일 은행이나 인프라 제공자가 글로벌 모델을 조작하거나 공유된 그래디언트에서 정보를 추출하지 못하도록 하는 것이었습니다.
한 가지 가능한 솔루션은 **동형 암호 (HE)**로, 은행이 암호화된 데이터에서 직접 계산하는 방식입니다. 이 접근법은 하드웨어 신뢰 가정을 기본으로 하지 않고 수학적으로 검증 가능한 강력한 이론적 개인 정보 보장을 제공했습니다. 그러나 **완전 동형 암호화 (FHE)**의 계산 오버헤드는 확률적 경량화를 비현실적으로 만들었고, 단일 세대에 대해 교육 시간이 그들의 데이터셋 볼륨에서 6개월을 초과하게 되었습니다. 대기 시간과 계산 비용은 이 솔루션을 생산 배포에서 경제적으로 비현실적으로 만들었습니다.
또 다른 고려된 접근법은 중앙 집중형 매개변수 서버가 있는 표준 연합 학습을 활용하는 것이었습니다. 이는 데이터 로컬리티를 유지하고 합리적인 성능을 제공하였으나, 매개변수 서버는 그래디언트 역전 공격이나 모델 중독을 통해 민감한 정보를 추론할 수 있었습니다. 추가로 이 아키텍처는 단일 실패 지점을 나타내며 매개변수 서버를 호스팅하는 제3자 클라우드 제공자에 대한 절대 신뢰를 요구하여 경쟁하는 금융 기관 간의 제로 트러스트 요구 사항을 위반했습니다.
선택된 아키텍처는 Azure Confidential Computing 및 AWS Nitro Enclaves를 사용하여 TEE 기반 MPC 네트워크를 구현했습니다. 각 은행은 SGX 인클레이브 내에서 Gramine으로 보호된 PyTorch 훈련 작업을 배포하였으며, 그래디언트는 네트워크 전송 전에 ECIES를 사용하여 암호화되었습니다. 중립적인 제3자 감사인이 운영하는 BFT 검증자 노드 위원회가 HotStuff 프로토콜을 사용하여 학습 라운드를 조정하였습니다. 차별 개인 정보 예산은 보안 집계 인클레이브 내에서 보정된 노이즈를 추가하여 엄격히 시행되었습니다. 이 솔루션은 암호화된 개인 정보 보장 그리고 하나의 참여 은행의 인프라 손상이 허용되는 조건에서도 72시간 이내에 훈련 완료를 달성하였습니다.
이 배포는 개별 은행 모델보다 40% 더 많은 의심스러운 거래 패턴을 식별하였고, 공동 프레임워크에 대한 규제 승인을 얻었습니다. 시스템은 데이터 유출이나 성공적인 모델 추출 공격 없이 18개월 동안 지속적으로 운영되었으며, 하드웨어 지원 비밀 컴퓨팅이 경쟁적인 개인 정보 요구 사항과 적대적인 다자간 환경에서의 규제 준수를 충족할 수 있음을 입증하였습니다.
악의적인 참가자가 자신의 원시 데이터를 드러내지 않고 잘못된 그래디언트를 제출하는 모델 중독 공격을 어떻게 방지합니까?
후보자들은 종종 복호화된 그래디언트에서 이상 탐지를 제안하며, 이는 개인 정보 제약을 위반합니다. 올바른 접근법은 제로 지식 증명 (ZKPs), 특히 zk-SNARKs 또는 Bulletproofs를 포함하여 참가자의 TEE 내에서 생성되어, 그래디언트가 합의된 학습 알고리즘을 따라 로컬 데이터셋에서 올바르게 계산되었다는 것을 증명하는 것입니다. 보안 집계 인클레이브는 집계를 진행하기 전에 이 증명을 확인합니다. 추가로, Multi-Krum 또는 다듬은 평균 집계 알고리즘이 TEE에 맞게 조정되어 개인 기여를 복호화하지 않고도 암호화된 영역에서 통계적 이상값을 탐지하여 비잔틴 내구성을 보장하면서 기밀성을 유지합니다.
훈련 라운드 중 손상된 참가자의 TEE 인증서가 철회되는 경우 시스템은 어떻게 처리하나요?
많은 후보자들이 인증 및 신뢰의 동적인 특성을 간과합니다. 아키텍처는 플러그 가능한 합의가 있는 세대 기반 훈련을 구현해야 합니다. 인증 철회가 발생할 경우 (인증서 철회 목록 또는 OCSP를 통해 탐지됨), BFT 합의 레이어는 현재 훈련 세대에서 해당 노드를 제거하기 위한 구성 변경 트랜잭션을 제안합니다. 체크포인트는 N 라운드마다 불변 원장(예: Hyperledger Fabric 또는 Quorum)에 기록됩니다. 시스템은 전진 안전한 암호화를 사용하여 인클레이브 간 통신을 보장하여 현재 키의 손상이 과거 그래디언트 트래픽을 복호화하지 못하도록 하였습니다. 훈련은 최신 합의된 체크포인트에서 시작하고 철회된 참가자의 영향을 제외한 상태로 계속되어 전체 계산을 재시작하지 않고 운영됩니다.
Underlying TEE 하드웨어가 Spectre나 Foreshadow와 같은 사이드 채널 공격에 의해 손상된 경우 차별 개인 정보 보장 기능이 어떻게 유지됩니까?
이는 종종 간과되는 방어 깊이를 요구하는 질문입니다. 하드웨어 보안에만 의존하는 것은 불충분합니다. 해결책은 텐서가 TEE에 들어가기 전에 데이터 출처에서 적용되는 로컬 차별 개인 정보를 요구하여, 각 개별 훈련 예제가 집계 단계와 독립적으로 개인 정보 노이즈를 갖도록 보장하는 것입니다. 암호화 블라인딩 기술은 TEE 내부의 그래디언트에 랜덤 마스크를 추가하기 전에 적용되며, 마스크는 보안 집계 동안에만 제거됩니다. 개인 정보 예산 회계는 BFT 합의 레이어에 의해 추적되는 조합 정리 (고급 또는 순간 회계사)를 사용하여 다수의 훈련 라운드 간에 과도한 노출을 방지합니다. 공격자가 손상된 TEE에서 데이터를 추출하더라도, 그들은 이미 노이즈가 추가된 블라인드 값만 얻을 수 있으며 이는 하드웨어에 의해 아닌 수학적 프레임워크에 의해 집행되는 epsilon-delta 차별 개인 정보 보장을 유지합니다.