[Paper] RAVEN: 새로운 뷰 합성을 통한 보이지 않는 워터마크 제거

Source: arXiv - 2601.08832v1

개요

보이지 않는 워터마크는 AI‑생성 이미지의 출처를 증명하기 위해 점점 더 많이 사용되고 있지만, 교묘한 공격에 대한 견고성은 아직 미해결 질문으로 남아 있습니다. 논문 **“RAVEN: Erasing Invisible Watermarks via Novel View Synthesis”**는 워터마크를 단순히 같은 장면을 약간 이동된 새로운 시점에서 생성함으로써 제거할 수 있음을 보여줍니다—마치 물체를 다른 각도에서 보는 것과 같습니다. 워터마크 제거를 뷰‑합성 문제로 다룸으로써, 저자들은 현재 워터마크 설계의 근본적인 약점을 드러내고, 워터마크나 그 탐지기에 대한 어떠한 사전 지식도 없이 작동하는 확산 기반 제로‑샷 공격을 제안합니다.

주요 기여

• 워터마크 제거를 재구성을 새로운 뷰 합성 작업으로, 의미를 보존하는 기하학적 변형이 보이지 않는 마크를 자연스럽게 지워버린다는 것을 보여줍니다.
• RAVEN 프레임워크: 뷰‑대응 어텐션 모듈에 의해 안내되는 제어된 잠재‑공간 변환을 수행하는 제로‑샷 디퓨전 파이프라인으로, 구조를 보존하면서 워터마크를 제거합니다.
• 모델‑불가지론 공격: 고정된 사전‑학습된 디퓨전 모델에서 작동하며, 워터마크 탐지기, 워터마크 키에 대한 접근이나 대상 워터마크 방법에 대한 어떠한 학습도 필요하지 않습니다.
• 포괄적인 평가: 15개의 최신 보이지 않는 워터마크 스킴을 대상으로 수행했으며, 워터마크 억제와 시각적 품질 모두에서 14개의 기존 제거 공격을 능가했습니다.
• 오픈‑소스 공개: 코드와 사전‑학습된 구성 요소를 공개하여 재현 가능한 연구를 가능하게 하고, 보다 탄력적인 워터마크 기술 개발을 촉진합니다.

방법론

1. Latent‑Space View Perturbation – 사전 학습된 확산 모델에 의해 생성된 입력 이미지의 잠재 표현에서 시작하여, RAVEN은 새로운 카메라 시점을 모방하는 작은 기하학적 변환(예: 약간의 회전 또는 이동)을 적용합니다.
2. View‑Guided Correspondence Attention – 재구성된 이미지가 원본 내용에 충실하도록, 어텐션 모듈은 원본과 변환된 잠재 맵 사이의 패치를 정렬하여 가장자리, 텍스처 및 객체 레이아웃이 일관되게 유지되도록 합니다.
3. Diffusion‑Based Reconstruction – 교란된 잠재를 확산 디코더에 다시 입력하면, “새로운 뷰”의 고품질 이미지를 합성합니다. 워터마크가 원본 픽셀 배열에 밀접하게 결합되어 있기 때문에, 시점 이동은 워터마크 임베딩을 효과적으로 방해하면서 시각 장면은 그대로 유지됩니다.
4. Zero‑Shot Operation – 파인튜닝이나 워터마크 전용 학습이 필요 없으며, 파이프라인을 확산 모델이 생성한 모든 이미지에 직접 적용할 수 있어 범용 제거 도구가 됩니다.

결과 및 발견

• 워터마크 억제: RAVEN은 15가지 워터마크 기법의 탐지율을 평균 78 % 감소시켜, 가장 강력한 베이스라인(주파수‑도메인 필터)보다 억제 효과가 +12 % 더 높습니다.
• 지각 품질: LPIPS와 SSIM으로 측정한 결과, 합성된 이미지가 >0.95 SSIM 및 <0.08 LPIPS를 유지하여 시각적 충실도가 크게 변하지 않음을 보여줍니다.
• 데이터셋 전반에 걸친 견고성: COCO, LAION‑Aesthetics, 그리고 독점 AI‑아트 데이터셋에 대한 실험에서 일관된 성능을 보여, 이 공격이 특정 이미지 도메인에 국한되지 않음을 확인했습니다.
• 소거 연구: correspondence attention 모듈을 제거하면 SSIM이 약 0.07 감소하여 구조적 일관성을 유지하는 데 이 모듈의 역할이 중요함을 강조합니다. 시점 이동의 크기를 변화시켰을 때, 약 2–3 ° 회전 또는 5 % 이동 정도에서 워터마크 제거가 최대화되면서 눈에 띄는 아티팩트가 발생하지 않는 최적 지점을 발견했습니다.

실용적 시사점

• 플랫폼 엔지니어를 위해: 픽셀 공간이나 주파수 도메인 강인성에만 의존하는 현재의 보이지 않는 워터마크 방식은 충분하지 않을 수 있습니다. 시스템은 이미지의 의미론적 기하학을 변경하는 공격을 고려해야 합니다.
• 워터마크 설계자를 위해: 임베딩 전략은 시점 불변이어야 합니다—예를 들어, 워터마크를 3‑D 장면 표현 전체에 분산시키거나 검증 과정에서 다중 시점 일관성 검사를 활용하는 방식입니다.
• 생성 모델 개발자를 위해: RAVEN 파이프라인은 배포 전에 새로운 워터마크 방법을 스트레스 테스트할 수 있는 진단 도구로 통합될 수 있습니다.
• 법률 및 컴플라이언스: 저비용·제로샷 제거 공격의 존재는 저작권 분쟁에서 보이지 않는 워터마크의 증거 가치를 약화시킬 수 있으며, 이러한 마크에만 의존하는 방식을 재평가하도록 요구합니다.

제한 사항 및 향후 연구

• Diffusion 모델 의존성: RAVEN은 이미지 소스와 호환되는 diffusion 디코더에 대한 접근을 전제로 합니다; 비‑diffusion 생성기에 적용하려면 추가적인 적응이 필요할 수 있습니다.
• 작은 시점 교란: 매우 큰 시점 변화는 눈에 띄는 왜곡을 초래할 수 있어, 특정 이미지 유형(예: 고도로 구조화된 그래픽)에서 공격의 은밀성을 제한합니다.
• 대응 방안 미탐구: 논문에서는 view‑synthesis 공격에 저항할 수 있는 구체적인 워터마크 설계를 제시하지 않아, 이를 향후 연구 과제로 남겨두었습니다.
• 향후 연구 방향: 이 접근법을 비디오 프레임에 확장하고, view synthesis에 대한 워터마크의 적대적 학습을 조사하며, 기하학적 및 주파수 영역 교란을 결합한 하이브리드 공격을 탐구하는 것 등이 포함됩니다.

저자

• Fahad Shamshad
• Nils Lukas
• Karthik Nandakumar

논문 정보

• arXiv ID: 2601.08832v1
• Categories: cs.CV
• Published: 2026년 1월 13일
• PDF: PDF 다운로드