A stochastic Gordon-Loeb model for optimal cybersecurity investment under clustered attacks

이 논문은 사이버 공격의 군집 현상을 포착하는 호크스 과정을 도입하여 고든 - 로브 모델을 확장하고, 동적 프로그래밍을 통해 최적의 사이버 보안 투자 전략을 도출함으로써 정적 및 포아송 기반 전략보다 효과적인 위험 관리 방안을 제시합니다.

핵심

이 논문은 **"사이버 공격이 몰려올 때, 언제 얼마나 많은 돈을 보안에 투자해야 가장 효율적인가?"**라는 질문에 답하는 연구입니다.

기존의 보안 투자 모델은 "공격이 무작위로 일어난다"고 가정했지만, 이 연구는 **"공격은 종종 떼지어 (클러스터) 온다"**는 현실을 반영했습니다. 마치 비가 한 방울씩 오는 게 아니라, 소나기처럼 몰아치는 것과 비슷하죠.

이 복잡한 수학적 모델을 일반인이 이해하기 쉽게 비유와 이야기로 풀어보겠습니다.

---

🛡️ 핵심 비유: "방화벽과 소나기"

상상해 보세요. 당신은 거대한 성을 지키는 성주입니다.

• 사이버 공격 = 성벽을 두드리는 적군.
• 보안 투자 = 성벽을 튼튼하게 수리하거나 병사를 더 배치하는 것.
• Hawkes 과정 (클러스터링) = 적군이 한 번 공격하면, 그 소식이 퍼져서 단시간에 더 많은 적군이 몰려오는 현상.

1. 기존 모델의 문제점 (고든 - 로브 모델)

과거의 모델은 "적군이 하루에 평균 10 명씩 무작위로 온다"고 가정했습니다. 그래서 성주는 "하루에 10 명을 막을 수 있는 만큼만 성벽을 튼튼하게 하면 되겠지"라고 계산하고, 매일 똑같은 양의 자금을 투자했습니다.
하지만 현실은 다릅니다. 어떤 날은 적군이 1 명도 오지 않지만, 어떤 날은 갑자기 100 명이 몰려와 성벽을 뚫으려 합니다. 이때는 미리 준비해 둔 고정된 방어력으로는 감당할 수 없습니다.

2. 이 연구의 혁신: "소나기에 맞춰 방어력을 조절하라"

이 논문은 **"공격이 몰려오는 순간 (클러스터) 에 방어력을 즉각적으로 높여야 한다"**는 아이디어를 제시합니다.

• 감지 시스템 (Hawkes 과정): 적군이 한 명 나타나면, "아, 지금부터 소나기가 시작될지도 모른다"고 경보가 울립니다. (공격의 강도가 높아짐)
• 적응형 투자: 경보가 울리면, 평소보다 훨씬 더 많은 돈을 써서 성벽을 즉시 강화하거나 병사를 급파합니다. 소나기가 그치면 다시 평소 수준으로 투자를 줄입니다.
• 결과: 이렇게 상황에 따라 유연하게 대응하는 전략이, 무조건 똑같은 돈을 쓰는 전략보다 훨씬 더 큰 손실을 막아주고 비용도 아껴줍니다.

---

📊 주요 발견 사항 (이야기로 풀어낸 결론)

1. "소나기"를 무시하면 큰 손해를 봅니다

연구팀은 두 가지 시나리오를 비교했습니다.

• A 시나리오 (기존): 공격이 무작위로 온다고 믿고 고정된 방어력을 유지.
• B 시나리오 (새로운 모델): 공격이 몰려올 수 있다고 예측하고, 몰려오면 방어력을 급격히 높임.

결과적으로 B 시나리오가 훨씬 더 효과적이었습니다. 특히 공격이 몰려오는 (클러스터링) 상황에서는 B 시나리오가 A 시나리오보다 약 15% 이상 더 큰 이익을 냈습니다. 이는 "소나기"를 무시하고 우산 하나만 들고 다니는 것과 같습니다.

2. 보험료도 달라집니다 (보험사의 관점)

이 연구는 보험사에게도 중요한 메시지를 줍니다.

• **보안 투자가 곧 '자기 보험'**입니다. 성주가 성벽을 잘 수리하면 (보안 투자를 잘하면), 성이 뚫릴 확률이 줄어듭니다.
• 연구에 따르면, 최적의 방어 전략을 쓰면 손실 발생 확률이 65% 이상 감소하고, 손실의 변동성도 줄어듭니다.
• 이는 보험사 입장에서는 보험료를 크게 낮춰줄 수 있다는 뜻입니다. "보안을 잘 지키는 기업"에게는 더 싼 보험료를, "방어를 안 하는 기업"에게는 비싼 보험료를 매기는 것이 합리적이라는 결론입니다.

3. 기술은 금방 낡습니다 (감가상각)

성벽을 쌓아도 시간이 지나면 녹이 슬거나 기술이 낙후됩니다. 연구는 이 점도 고려했습니다.

• 기술이 빨리 낡을수록 (감가상각률이 높을수록), 더 자주, 더 빠르게 투자를 해야 합니다. 한 번에 큰돈을 쓰고 끝내는 게 아니라, 지속적으로 유지보수하는 것이 핵심입니다.

---

💡 한 줄 요약

"사이버 공격은 예고 없이 몰려옵니다. 그래서 우리는 평소에는 조용히 지내다가, 적군이 몰려오는 소나기 순간에 즉각적으로 방어력을 높이는 '유동적인 보안 투자'를 해야 가장 큰 손실을 막을 수 있습니다."

이 연구는 단순히 "보안에 돈을 더 써라"가 아니라, **"언제, 얼마나, 어떻게 써야 가장 효율적인가"**에 대한 과학적인 답을 제시합니다. 마치 비가 올 때 우산을 펴는 것처럼, 위험의 흐름에 맞춰 유연하게 대응하는 것이 현명한 보안 전략이라는 것입니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 배경: 사이버 위험은 현대 조직의 주요 운영 리스크로 부상했으며, 공격 비용과 빈도가 급증하고 있습니다. 기존의 사이버 보안 투자 결정 모델인 고든 - 로브 (Gordon-Loeb) 모델은 정적 (static) 인 접근법을 취하여 투자 타이밍과 공격의 동적 특성을 반영하지 못했습니다.
• 핵심 문제: 사이버 공격은 무작위적으로 발생하는 것이 아니라, 특정 취약점 발견이나 악성코드 확산 등으로 인해 시간적으로 군집화 (clustering) 되어 발생하는 경향이 있습니다. 기존 포아송 (Poisson) 과정 기반 모델은 이러한 '자기 자극 (self-exciting)' 특성을 포착하지 못해 최적 투자 시점과 규모를 왜곡할 수 있습니다.
• 목표: 공격의 군집화 현상을 반영한 연속 시간 확률적 모델을 개발하고, 공격 발생에 실시간으로 반응하는 적응형 (adaptive) 사이버 보안 투자 정책을 도출하여 기대 순 편익을 극대화하는 것입니다.

2. 방법론 (Methodology)

이 연구는 고든 - 로브 모델을 확장하여 다음과 같은 수학적 프레임워크를 구축했습니다.

• 공격 도착 모델 (Hawkes Process):
  • 공격의 도착을 Hawkes 과정으로 모델링합니다. 이는 한 번의 공격 발생이 이후 공격 발생 확률 (강도, $\lambda_t$) 을 증가시키는 자기 자극 (self-excitation) 특성을 가집니다.
  • 강도 방정식: $d\lambda_t = \xi(\alpha - \lambda_t)dt + \beta dN_t$. 여기서 $\beta$는 자기 자극의 크기, $\xi$는 감쇠율을 나타냅니다.
• 시스템 취약성 및 투자:
  • 투자 ($z_t$) 는 시스템의 사이버 보안 수준 ($H_t$) 을 높여 공격 성공 확률 (침해 확률) 을 낮춥니다.
  • 보안 수준은 기술적 노후화 (depreciation, $\rho$) 를 고려하여 동적으로 변화하며, 투자에 따라 회복됩니다.
  • 침해 확률 함수 $S(H_t, v)$는 고든 - 로브 모델의 가정을 따르며, 투자에 따라 감소합니다.
• 최적화 문제 (Stochastic Optimal Control):
  • 목표는 기대 손실 감소분과 투자 비용 (비선형 비용 함수 포함) 의 차이를 극대화하는 것입니다.
  • 이는 2 차원 확률적 최적 제어 문제로 공식화되며, 상태 변수는 현재 보안 수준 ($h$) 과 공격 강도 ($\lambda$) 입니다.
  • 해법은 동적 프로그래밍 (Dynamic Programming) 을 통해 유도된 해밀턴 - 자코비 - 벨만 (HJB) 편적분미분방정식 (PIDE) 을 수치적으로 푸는 것입니다.
  • 최적 투자율 $z^*_t$는 현재 시간, 공격 강도 $\lambda_t$, 보안 수준 $h$에 의존하는 적응형 정책으로 도출됩니다.

3. 주요 기여 (Key Contributions)

1. 군집화된 공격을 고려한 동적 고든 - 로브 모델: 기존의 정적 모델을 넘어, Hawkes 과정을 도입하여 공격의 시간적 군집화 (clustering) 를 반영한 최초의 확률적 확장 모델을 제시했습니다.
2. 실시간 적응형 투자 정책: 공격 발생 시 강도가 급증하는 특성을 인식하고, 이에 실시간으로 대응하여 투자 수준을 조절하는 최적 정책 ($z^*_t$) 을 유도했습니다. 이는 공격이 빈번해지는 시기에 투자를 집중하는 전략을 제공합니다.
3. 수치적 해법 및 비교 분석: 복잡한 PIDE 를 해결하기 위한 효율적인 수치 알고리즘 (Method of Lines) 을 개발하고, 이를 통해 다양한 시나리오 하에서의 최적 정책을 계산했습니다.

4. 주요 결과 (Results)

수치 실험을 통해 다음과 같은 결과를 도출했습니다.

• 군집화 효과의 중요성: 공격이 군집화될수록 (Hawkes 과정, $\xi=15$), 공격이 덜 군집화된 경우 ($\xi=50$) 에 비해 최적 투자 수준과 기대 편익이 현저히 증가합니다. 이는 빠른 연속 공격에 대비해 선제적으로 투자를 늘려야 함을 시사합니다.
• 동적 전략 vs 정적 전략:
  • 제안된 동적 최적 전략은 일정 투자율 (Constant investment) 전략보다 약 9%~15% 더 높은 상대적 편익을 제공합니다.
  • 특히 초기 보안 수준이 낮거나 공격 위험이 높은 상황에서 동적 전략의 우월성이 두드러집니다.
• 포아송 모델 vs Hawkes 모델:
  • 공격 평균 빈도만 일치시키는 포아송 모델 (Benchmark) 은 군집화 현상을 무시하여 하위 최적 (suboptimal) 투자 결정을 유도합니다.
  • Hawkes 기반 모델은 공격 강도가 임계값을 초과할 때 투자율을 급격히 높이는 반면, 포아송 모델은 일정한 투자율을 유지하여 위험 대응이 느립니다.
• 보험료 (Premium) 에 미치는 영향:
  • 최적 동적 예방 전략을 채택하면 기대 손실이 약 65% 감소하고, 손실 변동성 (표준편차) 도 약 53~57% 감소합니다.
  • 이는 표준 편차 원칙 (Standard Deviation Principle) 하에서 사이버 보험료가 약 63% 감소할 수 있음을 의미하며, 예방 투자가 보험료 할인에 직접적인 기여함을 보여줍니다.

5. 의의 및 결론 (Significance)

• 실무적 함의: 조직은 사이버 공격이 무작위적이지 않고 군집화되어 발생한다는 사실을 인식해야 합니다. 공격이 집중되는 시기에 투자 자원을 동적으로 재배분하는 적응형 관리 전략이 필수적입니다.
• 보험 및 리스크 관리: 사이버 보험사는 예방 조치 (투자 수준) 를 정량화하여 보험료 차등화 (Premium Differentiation) 를 수행할 수 있는 이론적 근거를 얻었습니다. 효과적인 예방 투자는 기대 손실뿐만 아니라 손실의 불확실성 (변동성) 을 줄여 보험사의 리스크를 감소시킵니다.
• 학술적 가치: 사이버 리스크 관리에 Hawkes 과정과 확률적 제어 이론을 성공적으로 접목하여, 기존 정적 모델의 한계를 극복하고 현실적인 위협 동학을 반영한 새로운 분석 프레임워크를 제시했습니다.

요약하자면, 이 논문은 사이버 공격의 군집화 특성을 수학적으로 모델링하고, 이에 대응하는 실시간 최적 투자 전략을 제시함으로써, 조직의 사이버 보안 예산 배분과 보험료 책정에 있어 동적이고 적응적인 접근의 중요성을 강력하게 입증했습니다.