논문 링크:
Privacy-Enhanced Over-the-Air Federated Learning via Client-Driven Power Balancing
This paper introduces a novel privacy-enhanced over-the-air Federated Learning (OTA-FL) framework using client-driven power balancing (CDPB) to address privacy concerns in OTA-FL systems. In recent studies, a server determines the power balancing based on
ieeexplore.ieee.org
출처: B. Kim, H. Seo and W. Choi, "Privacy-Enhanced Over-the-Air Federated Learning via Client-Driven Power Balancing," in IEEE Transactions on Communications, vol. 73, no. 12, pp. 15537-15553, Dec. 2025.
요약
이 논문에선 over-the-air Federated Learning(OTA-FL) 로컬 모델 집계 과정에서의 보안을 강화하기 위해 client-driven power balancing(CDPB) 방법을 제안한다. 기존 방법들에선 서버가 전력 할당을 결정했기에 클라이언트들은 서버에 CSI를 계속 전송하고 매 iteration마다 DP privacy 요구 사항을 충족하려 했다. 하지만 이 방법은 학습이 길어질수록 데이터가 노출되어 프라이버시 침해 위험이 크다. 이러한 위험을 줄이기 위해 클라이언트들이 스스로 전송 전력을 조절하는 client-driven power balancing(CDPB) 방법이 제안된다. 이 방법에선 매 iteration마다 클라이언트들은 채널 상태에 따라 신뢰할 수 있는/없는 클라이언트로 나뉜다.
아래 그림에 나타나 있듯, 채널 품질이 임계값 이상인 신뢰 가능한 클라이언트는 채널 분포가 변할 때만 서버가 제공하는 전력 균형 파라미터를 통해 SNR을 스스로 조정한다. 서버는 각 클라이언트의 채널 상태 정보를 매번 받지 않기 때문에 어떤 클라이언트가 특정 라운드에 참여하는지 알 수 없다. 이는 추가적인 RDP 보장을 제공한다. 채널 품질이 임계값 아래인 신뢰할 수 없는 클라이언트에 대해서는 noisy와 idle 두 가지 전략이 제시된다. CDPB-n은 인공 잡음을 신호에 추가해 네트워크 전체의 프라이버시를 강화한다. CDPB-i는 채널 상태가 나쁠 때는 송신을 중단하고, 채널 이득이 기준치 이상으로 회복되었을 때만 클라이언트가 참여하는 전략이다.
예시에서 신뢰할 수 없는 Bob은 gradient대신 noise만 전송해 모델 업데이트에 직접적인 영향을 주지 않는 noisy 전략을 선택한다. 동일하게 신뢰할 수 없지만 Carol은 아예 전송을 하지 않는 idle 전략을 선택한다. 신뢰할 수 있는 Alice는 gradient와 noise를 모두 전송한다. 이에 따라 noisy와 idle aggregation에서 더해지는 노이즈와 그래디언트 요소에 차이가 생긴다.
이 논문에선 OTA-FL 학습 과정에서 수렴 오차와 프라이버시 손실(RDP)을 동시에 만족시키기 위한 수학적인 최적화 방법 또한 도입했다. 이 최적화 문제의 핵심은 전력 균형 파라미터 ρ와 필요한 학습 횟수 τ다. 이를 통해 두 가지 전략(CDPB-n과 CDPB-i)에 대해 각각 학습 효율성과 프라이버시 보호 수준을 균형 있게 조절할 수 있다.
아래 그림의 (a)에선 전력 균형 파라미터 ρ가 증가할수록 더 많은 전력을 사용하므로 프라이버시 손실이 감소하는 것을 확인할 수 있다. 또한 너무 낮거나 높은 전력은 오차를 증가시켰다. (b)에선 학습 횟수(τ)가 늘어날수록 클라이언트 정보가 노출되어 프라이버시 손실이 증가했으며 수렴 오차는 감소했다. 반복 횟수를 늘리면 정확도는 좋아지지만 프라이버시 손실도 커져 적절한 학습 횟수가 필요함을 알 수 있다. 여기서 RDP 지표는 개별 사용자의 데이터가 학습 과정에서 얼마나 노출될 수 있는지를 수학적으로 나타내는 도구이다. 즉 RDP가 커질수록 개인 데이터가 노출될 위험이 커지며 값이 작을수록 프라이버시 보호가 강하다는 뜻이다.
제안한 방법의 프라이버시 강화 효과를 검증하기 위해 기존 baseline 방법과 CDPB-n, CDPB-i를 비교했다. 실험 결과 제안한 CDPB 방법들은 기존의 방법보다 정확도와 RDP 프라이버시 보장, 전력 효율성 면에서 더 우수한 성능을 보여주었다. 두 방법 중 CDPB-i가 더 높은 정확도, 프라이버시, 전력 효율을 가지며 전반적으로 더 뛰어났지만 CDPB-n은 계산 속도가 빠르기에 채널이 자주 변하는 환경에 더 적합하다.
CDPB는 기존 baseline보다 더 낮은 G를 기록했으며 이는 학습 효율성과 프라이버시 보호를 동시에 만족시킴을 의미한다. 여기서 효용함수 G는 프라이버시 보호와 학습 정확도 사이의 균형을 수치화한 함수이다. 이 함수는 전력 균형 파라미터와 최적의 반복 횟수를 반영하며 두가지 목표를 동시에 만족시키는 최적의 전략을 선택하기 위한 기준으로 사용된다.
CDPB는 더 적은 반복으로 높은 정확도를 달성했다. Noise-Free는 노이즈를 섞지 않았기에 정확도에서 가장 높은 성능을 달성한다.
프라이버시 보장면에서도 아래 그림과 같이 우수한 성능을 나타냈다. Noise-Free는 노이즈를 섞지 않았기에 초기 G손실과 정확도에서 유리하지만 프라이버시 성능이 떨어지는 것을 확인할 수 있다.
아래 결과는 허용 가능 수렴 오차와 참여 클라이언트 수 K가 증가함에 따라 CDPB-n과 i의 성능 차이가 줄어듬을 보여준다.
참여 클라이언트 수가 많아질수록 효용 함수 G의 격차도 감소했다. 그러나 전력 P가 커질수록 잡음을 이용하는 CDPB-n의 성능이 떨어져 CDPB-i와의 격차가 증가했다.
아래의 (a)는 채널 분포가 매 반복마다, (b)는 10번 반복마다 바뀌는 상황이다. 채널 변화가 잦은 경우 CDPB-n이 유리하고 그 반대의 경우 CDPB-i가 유리함을 확인할 수 있다.
앞서 소개한 두 방식을 결합한 CDPB-mixed도 도입되었으며 이를 통해 프라이버시 강화 효과와 학습 효율성을 동시에 얻을 수 있다. 아래 그림에서 portion이 0일 때는 CDPB-i, 1일 때는 CDPB-n을 나타낸다. 두 방법을 섞어 잡음을 통해 프라이버시를 보호하면서도 참여 확률을 활용할 수 있다. 혼합 전략을 통해 학습 효율성과 프라이버시 보호를 동시에 강화할 수 있음을 보여준다.
한계
- 제안된 방법은 Rayleigh 페이딩 채널과 특정한 수학적 가정을 기반으로 분석되었기에 제안된 전략이 현실적인 네트워크에서 동일한 성능을 보장할 수 있을지는 불확실하다.
- CDPB-i는 최적 전력 균형 파라미터를 계산하는 과정에서 수학적 복잡성이 높아 채널 분포가 자주 변하는 환경에서 실시간 적용이 어려울 수 있다. 논문에서 CDPB-n의 계산속도가 이보다 빠르다고 언급했지만 이는 가정한 환경에서만 유효할 수 있다.
- RDP를 프라이버시 보장 지표로 사용했지만 이는 특정 공격 시나리오에 대한 방어만을 수학적으로 평가하며 실제 공격자는 더 정교한 방법을 사용할 수 있다.
- CDPB-m 방법에서 두 방법사이의 최적의 균형을 어떻게 설정해야 하는지에 대한 이론적 근거가 부족할 수 있다.