의료 영상 연합학습의 개인정보 보호 기술이 달라졌다. 선택적 동형암호가 통신 비용을 7배 이상 줄인 PASHE-FL 연구


최근 의료 AI는 여러 병원이 데이터를 직접 공유하지 않고 공동으로 인공지능을 학습하는 연합학습(Federated Learning)이 빠르게 확산되고 있다. 하지만 연합학습 역시 모델 업데이트만으로 환자의 의료 영상이 복원될 수 있다는 연구들이 발표되면서 개인정보 보호는 여전히 해결해야 할 중요한 과제로 남아 있다.

이번 연구는 이러한 문제를 해결하기 위해 필요한 부분만 선택적으로 암호화하는 새로운 방법을 제안했다. 기존처럼 모델 전체를 암호화하지 않고 정보 유출 가능성이 높은 파라미터만 보호함으로써 실제 의료기관에서도 적용 가능한 수준으로 통신 비용과 계산 시간을 크게 줄였다. 의료 AI의 실용성과 개인정보 보호를 동시에 개선할 수 있다는 점에서 이번 연구는 연합학습 기술의 현실적인 발전 방향을 보여주는 사례라고 할 수 있다.

의료기관이 연합학습(Federated Learning)을 활용하면 환자 데이터를 병원 밖으로 보내지 않고도 공동으로 인공지능 진단 모델을 학습할 수 있다. 하지만 기존 연합학습은 모델 업데이트 정보만으로도 환자의 의료 영상을 복원할 수 있는 공격에 취약하다는 문제가 있었다. 


2026년 베이징전자과학기술연구소(Beijing Electronic Science and Technology Institute) 연구진은 이러한 문제를 해결하기 위해 PASHE-FL(Privacy-Preserving Federated Learning with Selective Homomorphic Encryption)을 제안했다.

 연구 결과 PASHE-FL은 기존 전체 모델 동형암호 방식보다 통신량을 약 7.1~7.6배, 암호화 시간을 약 8배 줄이면서도 개인화 연합학습(FedPer)과 거의 동일한 정확도를 유지하는 것으로 나타났다. 이 연구는 의료 AI에서 개인정보 보호와 실제 운영 비용 사이의 균형을 개선할 수 있는 새로운 접근법을 제시했다.


의료 영상 연합학습에서 개인정보 유출 문제가 발생하는 이유

연합학습은 병원마다 환자 데이터를 내부에 보관한 채 모델의 가중치만 서버와 공유하는 분산학습 방식이다. 원본 의료 영상은 외부로 전송되지 않기 때문에 오랫동안 안전한 학습 방식으로 평가받아 왔다.

그러나 최근 다양한 연구에서는 모델의 그래디언트(Gradient)나 파라미터 업데이트만으로도 원래의 의료 영상을 상당 부분 복원할 수 있는 Gradient Inversion Attack이 가능하다는 사실이 확인됐다. 또한 특정 환자의 데이터가 학습에 사용되었는지를 추론하는 Membership Inference Attack 역시 연합학습 환경에서 현실적인 위협으로 평가된다.

즉, 데이터를 직접 공유하지 않더라도 모델 업데이트 자체가 민감한 의료 정보를 노출할 가능성이 있다는 점이 연합학습의 가장 큰 보안 문제로 지적되고 있다.


기존 동형암호 방식의 한계

동형암호(Homomorphic Encryption)는 암호화된 상태 그대로 계산을 수행할 수 있는 암호 기술이다. 연합학습에서는 병원이 모델 업데이트를 암호화하여 서버에 전송하고, 서버는 복호화하지 않은 상태에서 여러 병원의 결과를 합산할 수 있기 때문에 개인정보 보호 기술로 널리 연구되고 있다.

하지만 의료 영상 AI 모델은 수백만 개 이상의 파라미터를 포함하는 경우가 많다. 기존 방식처럼 모든 파라미터를 CKKS 동형암호로 암호화하면 암호문 크기가 매우 커지고 통신량과 계산량이 급격하게 증가한다. 실제 의료기관 환경에서는 네트워크 대역폭과 서버 자원에 큰 부담이 발생하기 때문에 이러한 방식은 현실적인 적용에 어려움이 있었다.


PASHE-FL은 중요한 파라미터만 선택적으로 암호화한다

이번 연구의 핵심 아이디어는 모든 모델을 암호화하는 대신 정보 유출 위험이 높은 일부 파라미터만 선택적으로 보호하는 것이다.

연구진은 개인화 연합학습(FedPer)의 구조를 활용했다. FedPer는 모델을 모든 병원이 함께 사용하는 Backbone과 병원마다 개별적으로 유지하는 Classifier Head로 분리한다. Classifier Head는 원래 서버로 전송되지 않기 때문에 암호화 대상에서 제외할 수 있으며, 연구진은 공유되는 Backbone 내부에서도 중요도가 높은 상위 일부 좌표만 CKKS 방식으로 암호화하도록 설계했다.

암호화되지 않은 나머지 파라미터는 저비트 양자화(Quantization)를 적용해 전송함으로써 통신 비용을 크게 절감했다. 또한 학습 초기에는 암호화 비율을 높이고 학습이 진행될수록 암호화 비율을 점차 낮추는 Annealing Schedule을 적용해 개인정보 유출 위험이 가장 큰 초기 학습 단계에서 더 강한 보호가 이루어지도록 설계했다.


연구진은 네 개의 의료 영상 데이터셋으로 성능을 검증했다

중국 연구진은 BloodMNIST, DermaMNIST, PneumoniaMNIST, Fed-ISIC2019 등 총 네 개의 의료 영상 데이터셋을 이용해 PASHE-FL의 성능을 검증했다. 세 개의 MedMNIST 데이터셋은 20개의 클라이언트로 구성된 비균일(Non-IID) 환경에서 평가했으며, Fed-ISIC2019는 실제 병원 간 데이터 분포를 반영한 6개 의료기관 환경에서 실험을 진행했다.

평가 항목은 정확도(Accuracy), Balanced Accuracy, Macro-F1, Macro-AUC뿐 아니라 통신량, 암호화 시간, Gradient Inversion Attack, Membership Inference Attack까지 포함했다. 단순히 모델 성능뿐 아니라 실제 의료 환경에서 중요한 통신 효율성과 개인정보 보호 성능까지 함께 평가한 점이 이번 연구의 특징이다.


PASHE-FL은 정확도를 유지하면서 통신량을 7배 이상 줄였다

PASHE-FL은 네 개의 의료 영상 분류 과제에서 개인화 연합학습 기준 모델인 FedPer와 비교해 정확도 차이를 약 1%포인트 이내로 유지했다. 연구진이 5개 시드로 MedMNIST 과제를 추가 분석한 결과, PASHE-FL의 정확도 감소 폭은 BloodMNIST 0.73%포인트, DermaMNIST 0.28%포인트, PneumoniaMNIST 0.83%포인트였다. 통계적으로는 차이가 확인됐지만 실제 성능 감소 폭은 모든 과제에서 1%포인트 미만이었다.

BloodMNIST에서 PASHE-FL의 정확도는 94.7%로 FedPer의 95.6%와 비슷한 수준을 기록했다. DermaMNIST에서는 PASHE-FL이 91.6%, FedPer가 91.9%였으며, PneumoniaMNIST에서는 PASHE-FL이 94.9%, FedPer가 95.7%였다. 실제 6개 의료기관의 데이터 분포를 반영한 Fed-ISIC2019에서는 PASHE-FL이 82.4%로 FedPer의 82.1%보다 소폭 높은 정확도를 보였다.

이번 연구에서 높은 정확도는 동형암호 자체가 아니라 병원별 분류 헤드를 유지하는 개인화 연합학습 구조에서 비롯됐다. 전체 모델을 암호화하지만 개인화하지 않는 FedHE는 FedAvg와 유사한 정확도를 보였고, 개인화 구조를 사용하는 FedPer와 PASHE-FL은 데이터 분포가 서로 다른 의료기관 환경에서 훨씬 높은 성능을 기록했다.


라운드당 업로드 통신량이 약 7.1배에서 7.6배 감소했다

PASHE-FL은 전체 모델을 암호화하는 FedHE와 비교해 라운드당 업로드 통신량을 약 7.1배에서 7.6배 줄였다. MedMNIST 실험에서 전체 모델 암호화 방식은 라운드당 약 905~912MB를 전송했지만, PASHE-FL은 약 120MB만 전송했다.

BloodMNIST와 DermaMNIST에서 FedHE의 라운드당 업로드 통신량은 약 911.8MB였으며, PASHE-FL의 통신량은 약 120.3MB였다. PneumoniaMNIST에서도 FedHE는 약 905.4MB를 전송했지만 PASHE-FL은 약 120.0MB만 전송했다.

EfficientNet-B0 백본을 사용한 Fed-ISIC2019에서 통신 비용 차이는 더욱 크게 나타났다. 전체 모델을 암호화한 FedHE는 라운드당 약 1,876.5MB를 전송한 반면, PASHE-FL은 약 264.0MB를 전송해 통신량을 약 7.1배 줄였다.


클라이언트 암호화 시간이 약 8배 단축됐다

PASHE-FL은 클라이언트의 암호화 시간도 전체 모델 동형암호 방식보다 약 8배 단축했다. MedMNIST 실험에서 FedHE의 클라이언트 암호화 시간은 라운드당 약 20초였지만 PASHE-FL은 약 2.4~2.5초가 필요했다.

BloodMNIST에서 암호화 시간은 FedHE 20.36초, PASHE-FL 2.48초였고, DermaMNIST에서는 각각 20.45초와 2.47초였다. PneumoniaMNIST에서도 FedHE는 19.79초가 필요했지만 PASHE-FL은 2.42초에 암호화를 마쳤다.

Fed-ISIC2019에서는 전체 모델 암호화에 약 41.94초가 필요했지만 PASHE-FL은 약 4.91초만 사용했다. PASHE-FL의 비용 절감은 개인화 분류 헤드를 전송하지 않고, 공유 백본의 일부만 암호화하며, 나머지 좌표를 양자화해 전송한 결과이다.


상위 5~10%의 중요 좌표 암호화가 영상 복원을 어렵게 했다

중요도가 높은 백본 좌표의 상위 5~10%만 암호화해도 그래디언트 역전 공격으로 생성되는 의료 영상의 복원 품질이 크게 낮아졌다. 연구에서 암호화하지 않은 상태의 구조적 유사도 지수인 SSIM은 약 0.98에 가까웠지만, 중요 좌표를 선택적으로 암호화한 뒤에는 약 0.23~0.58 수준으로 떨어졌다.

동일한 비율의 좌표를 무작위로 암호화한 실험에서는 영상 복원 방해 효과가 충분히 나타나지 않았다. 이 결과는 암호화 비율 자체보다 공격자가 활용할 가능성이 높은 정보량이 큰 좌표를 선택하는 방식이 중요하다는 점을 보여준다.

PASHE-FL은 이전 라운드와 현재 라운드 사이에서 가중치 변화량이 큰 좌표를 중요한 좌표로 판단했다. 서버는 공개된 글로벌 백본만 이용해 모든 클라이언트에 동일한 암호화 마스크를 생성하기 때문에 병원 간 별도의 마스크 조정이나 추가 합의 과정이 필요하지 않다.


학습 초기의 암호화 비율을 높이는 방식이 비용을 절감했다

PASHE-FL은 학습 초기에는 공유 백본의 최대 50%를 암호화하고, 학습이 진행될수록 암호화 비율을 최소 5% 수준으로 낮추는 감쇠 일정을 사용했다. 연구진은 학습 초기에 그래디언트 역전 공격의 영상 복원 위험이 더 크다는 기존 연구 결과를 반영해 초기 라운드에 보호를 집중했다.

MedMNIST에서 암호화 비율을 50%로 고정하면 라운드당 약 458MB의 업로드가 필요했지만, 암호화 비율을 점차 낮춘 PASHE-FL은 약 120MB만 사용했다. 두 방식의 정확도 차이는 크지 않아 암호화 감쇠 일정은 정확도보다 통신 비용을 줄이는 데 주로 기여한 것으로 분석됐다.

연구진이 감쇠 속도와 최소·최대 암호화 비율을 바꾸어 실험한 결과, 여러 감쇠 설정의 정확도 차이는 약 0.2%포인트 이내였다. 암호화 일정은 모델 성능을 크게 바꾸지 않았지만 평균 암호화 좌표 수와 통신 비용에는 직접적인 영향을 미쳤다.


양자화는 통신 효율을 높였지만 개인정보 보호 수단은 아니었다

PASHE-FL은 암호화하지 않은 백본 좌표를 낮은 비트 수로 양자화해 전송했다. MedMNIST에서는 8비트 양자화를 사용했고, 사전 학습된 EfficientNet-B0를 사용하는 Fed-ISIC2019에서는 텐서별 16비트 양자화를 적용했다.

연구진은 양자화 비트 수를 변경해도 영상 복원 품질이 본질적으로 달라지지 않았다고 설명했다. PASHE-FL에서 개인정보 유출 감소는 중요한 좌표의 선택적 암호화와 개인화 분류 헤드의 로컬 보관에서 발생했으며, 양자화는 주로 전송 데이터의 크기를 줄이는 역할을 했다.

Fed-ISIC2019처럼 가중치 분포가 한쪽으로 크게 치우친 사전 학습 모델에서는 전체 백본에 하나의 양자화 기준을 적용하면 작은 가중치의 정보가 손상될 수 있다. 연구진은 각 텐서에 별도의 스케일을 적용하는 텐서별 양자화를 사용해 학습 불안정을 줄였다.


이번 연구는 의료 AI의 개인정보 보호와 운영 효율을 함께 다뤘다

PASHE-FL 연구의 가장 큰 의미는 의료 영상 연합학습에서 개인정보 보호와 통신·연산 비용을 하나의 설계 안에서 함께 고려했다는 점이다. 기존 전체 모델 동형암호는 강력한 보호 수단이지만 대규모 의료 영상 모델에 적용할 경우 암호문 크기와 처리 시간이 커지는 문제가 있었다.

PASHE-FL은 병원별 분류 헤드를 로컬에 유지하고 공유 백본에서 중요한 좌표만 암호화함으로써 전체 암호화가 제공하는 보호 효과의 일부를 훨씬 낮은 비용으로 구현했다. 특히 데이터 분포가 병원마다 다른 환경에서 개인화 모델의 정확도를 유지했다는 점은 실제 다기관 의료 AI 개발에 중요한 의미를 가진다.

이번 연구는 모든 정보를 동일하게 암호화하는 방식보다 정보 유출 위험이 높은 부분을 우선 보호하는 전략이 의료 AI 시스템의 현실적인 대안이 될 수 있음을 보여준다. 다만 PASHE-FL의 결과는 특정 공격과 위협 모델에서 확인된 실험적 성과이며, 모든 개인정보 공격을 차단한다는 의미로 해석해서는 안 된다.


이번 연구에는 공식적인 개인정보 보호 보장이 없다

PASHE-FL은 차등 개인정보보호처럼 수학적으로 정의된 프라이버시 보장을 제공하지 않는다. 연구진은 그래디언트 역전 공격과 멤버십 추론 공격을 통해 선택적 암호화의 효과를 평가했지만, 새로운 공격이나 더 강력한 공격자가 등장할 경우 동일한 보호 수준이 유지된다고 단정할 수 없다.

이번 연구의 위협 모델은 프로토콜을 정상적으로 따르면서 업로드 정보에서 데이터를 추론하려는 정직하지만 호기심 많은 서버와 네트워크 도청자를 가정한다. 프로토콜을 조작하는 악의적인 서버, 여러 참여자의 공모, 암호 키 탈취와 같은 상황은 연구 범위에 포함되지 않았다.

연구의 구현은 단일 프로세스 시뮬레이션 환경에서 수행됐으며, 실제 배포에서는 서버가 비밀키를 보유하지 않도록 임계값 복호화나 다중 키 CKKS 같은 추가 기술이 필요하다. 이러한 키 관리 방식은 통신 왕복 횟수와 복호화 비용을 늘릴 수 있으므로 실제 병원 네트워크에서의 종단 간 성능 검증이 후속 연구로 필요하다.


향후 연구는 실제 의료기관 환경과 더 강한 공격을 검증해야 한다

향후 연구에서는 실제 병원 네트워크의 대역폭, 클라이언트 이탈, 비동기 통신, 다양한 영상 해상도와 더 큰 의료 AI 모델을 포함한 평가가 필요하다. PASHE-FL이 실제 운영 환경에서도 동일한 비용 절감 효과를 유지하는지는 임상기관 규모의 실증 연구를 통해 확인해야 한다.

선택 좌표의 중요도를 글로벌 모델 변화량으로 계산하는 방식도 추가 검증이 필요하다. 글로벌 가중치 변화량은 공격에 유용한 정보를 포함한 좌표를 찾는 휴리스틱이며, 특정 환자 데이터의 실제 유출 위험을 직접 측정하는 지표는 아니다.

후속 연구에서는 차등 개인정보보호, 보안 집계, 악성 클라이언트 탐지와 선택적 동형암호를 결합해 공식적인 개인정보 보호 보장과 현실적인 계산 비용을 동시에 확보하는 방향이 중요하다.


자주 묻는 질문


Q. 의료 영상 연합학습은 원본 데이터를 보내지 않는데도 개인정보가 유출될 수 있나?
A. 의료 영상 연합학습은 원본 영상을 공유하지 않지만, 클라이언트가 전송한 그래디언트나 모델 업데이트를 분석해 학습 이미지를 복원하거나 특정 환자의 학습 참여 여부를 추론하는 공격이 가능하다.


Q. PASHE-FL은 어떤 기술인가?
A. PASHE-FL은 병원별 분류 헤드를 로컬에 보관하고, 공유 백본에서 중요도가 높은 일부 좌표만 CKKS 동형암호로 보호하는 개인화 연합학습 방식이다. 암호화하지 않은 좌표는 양자화해 전송한다.


Q. PASHE-FL은 통신 비용을 얼마나 줄였나?
A. PASHE-FL은 네 개의 의료 영상 분류 과제에서 전체 모델을 암호화한 FedHE보다 라운드당 업로드 통신량을 약 7.1~7.6배 줄이고, 클라이언트 암호화 시간을 약 8배 단축했다.


Q. 일부 파라미터만 암호화해도 의료 영상 복원을 막을 수 있나?
A. 연구에서는 중요도가 높은 상위 5~10%의 좌표를 암호화했을 때 그래디언트 역전 공격의 영상 복원 품질이 크게 감소했다. 동일한 비율을 무작위로 암호화한 경우에는 보호 효과가 충분하지 않았다.


Q. PASHE-FL은 개인정보를 완전히 보호하나?
A. PASHE-FL은 특정 공격에서 정보 유출을 줄인 실험적 방법이며 공식적인 차등 개인정보보호 보장을 제공하지 않는다. 악의적인 서버나 공모 공격을 포함한 더 강한 위협에 대한 추가 검증이 필요하다.


출처

Li, Z., Mo, M., Du, C., & Wei, Z. (2026). Privacy-preserving federated learning for medical image classification with selective homomorphic encryption. AI, 7, 264. https://doi.org/10.3390/ai7070264