A Consensus-Bayesian Framework for Detecting Malicious Activity in Enterprise Directory Access Graphs

이 논문은 기업 디렉토리 접근 그래프에서 사용자를 에이전트, 디렉토리를 토픽으로 모델링하고 영향력 기반 의견 동역학 및 베이지안 이상 점수 기법을 결합하여 구조적 규범을 위반하는 악성 활동을 탐지하는 합의 기반 프레임워크를 제안합니다.

핵심

이 논문은 **"기업 내부에서 누가 이상한 행동을 하고 있는지, 마치 '소문'이 퍼지는 원리를 이용해 찾아내는 새로운 방법"**을 제안합니다.

기존의 보안 시스템이 "이 파일은 암호화되어 있으니 안전하다"거나 "지난달과 다르게 접근했으니 위험하다"라고 단순히 규칙을 따르는 반면, 이 연구는 **"사람들 사이의 관계와 신뢰가 어떻게 변하는지"**를 수학적으로 분석하여 악의적인 행동을 미리 감지합니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 핵심 아이디어: "회사라는 마을과 소문 (Opinion Dynamics)"

이 연구는 기업을 하나의 작은 마을로 상상합니다.

• 직원 (사용자): 마을의 주민들입니다.
• 파일/폴더 (디렉토리): 마을의 다양한 장소 (도서관, 창고, 회의실 등) 입니다.
• 접속 기록: 주민들이 이 장소들을 오가는 행동입니다.

일반적으로 직원들은 동료끼리 자연스럽게 소문 (Opinion) 을 나누며 행동합니다. 예를 들어, 개발 팀원들은 서로의 코드 저장소를 자주 공유하고, 재무팀은 서로의 급여 파일을 함께 봅니다. 이때는 모두 **합의 (Consensus)**가 이루어져 있고, 행동이 예측 가능합니다.

하지만 **악성 행위 (해커나 내부 고발자)**는 이 자연스러운 흐름을 깨뜨립니다. 마치 "평소에는 도서관만 가던 사람이 갑자기 금고실로 뛰어들어 가거나, 전혀 모르는 사람의 행동을 무작정 따라 하는" 것과 같습니다.

2. 이 시스템이 어떻게 작동할까요? (3 단계 비유)

이 시스템은 크게 세 가지 단계를 거칩니다.

① 관계 지도 그리기 (그래프 이론)

시스템은 먼저 "누가 누구와 어떤 파일을 공유하는지"를 관계 지도로 그립니다.

• SCC(강하게 연결된 구성 요소): 마치 '친구 동아리'처럼 서로 긴밀하게 소통하는 그룹입니다. (예: A, B, C 는 서로만 대화함)
• 영향력 행렬 (W): "누가 누구의 말에 더 귀를 기울이는가?"를 수치화한 것입니다. (예: 팀장은 팀원의 말을 80% 반영, 팀원은 팀장의 말을 20% 반영)

② 소문의 진화 시뮬레이션 (베이지안 프레임워크)

이제 시스템은 **"만약 모든 사람이 정상적으로 행동한다면, 소문은 어떻게 변할까?"**를 수학적으로 시뮬레이션합니다.

• 정상적인 상황에서는 소문이 안정적으로 퍼지거나, 그룹 내에서 합의에 도달합니다.
• 하지만 누군가 이상한 행동을 하면 (악성 코드 주입), 이 '소문의 흐름'이 뒤틀립니다.
  • 비유: 평소에는 조용히 책을 읽던 도서관에서, 갑자기 한 사람이 큰 소리로 노래를 부르기 시작하면, 다른 사람들의 행동 패턴이 급격히 변하고 당황하게 됩니다. 이 '당황함 (변동성)'을 감지하는 것입니다.

③ 이상 징후 점수 매기기 (베이지안 스코어)

시스템은 이 '변동성'을 점수로 매깁니다.

• 작은 변동: "아, 오늘 팀장이 좀 바빠서 평소와 다르게 행동했나?" (일시적 오해)
• 큰 변동: "저 사람, 갑자기 금고실로 뛰어가면서 다른 팀원들에게 이상한 지시를 내리고 있어! 이건 확실히 위험해!" (악성 행위)

이때 베이지안 추론을 사용합니다. 이는 마치 **"수사관이 사건을 조사할 때, 처음엔 '의심 10%'로 시작하다가, 새로운 증거가 나올 때마다 의심 확률을 20%, 50%, 90% 로 계속 업데이트해 나가는 과정"**과 같습니다. 시간이 지날수록 더 정확한 판단을 내릴 수 있습니다.

3. 왜 이 방법이 특별한가요?

기존의 보안 시스템은 **"지난달에 안 했으면 이번 달에 해도 안 된다"**는 식의 고정된 규칙을 따르거나, 과거 데이터를 학습하는 데만 의존합니다. 하지만 이 방법은 다음과 같은 장점이 있습니다.

• 유연성: 직원의 역할이 바뀌거나 새로운 팀이 생기는 등 정상적인 변화는 '소문의 흐름'이 자연스럽게 변하는 것으로 받아들입니다.
• 민감도: 하지만 논리적 구조를 깨는 이상한 행동 (예: 개발자가 갑자기 인사팀의 기밀 파일에 접근하며, 그 파일이 다른 개발자들에게 이상한 영향을 미치는 경우) 은 즉시 감지합니다.
• 예측력: 문제가 터진 후 (사후) 에 조사하는 것이 아니라, **행동이 변하는 순간 (사전)**에 "뭔가 이상해"라고 경고합니다.

4. 결론: "디지털 마을의 치안 유지관"

이 논문의 핵심은 **"사람들의 행동 패턴을 '소문의 전파'로 모델링하고, 그 소문이 비정상적으로 흔들릴 때 악성 행위를 찾아낸다"**는 것입니다.

마치 치안 유지관이 마을의 소문 흐름을 지켜보다가, "어? 저 사람, 평소와 다른 소문을 퍼뜨리고 있네? 이건 위험해!"라고 감지하여 기업 내의 해킹이나 내부 위협을 미리 막아내는 똑똑한 시스템이라고 생각하시면 됩니다.

이 기술은 클라우드 보안이나 기업 내부 보안 (UEBA) 분야에서, 더 정교하고 빠른 위협 탐지를 가능하게 할 것으로 기대됩니다.

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: 온프레미스 및 클라우드 인프라에서의 보안 위협 (랜섬웨어, 내부자 위협, 우발적 접근 위반 등) 이日益 복잡해지고 있습니다. 기존 엔드포인트 보호나 암호화는 성능 오버헤드가 크거나 사후 대응에 치중하는 한계가 있습니다.
• 기존 접근법의 한계: 사용자 행동 분석 (UEBA) 은 유용하지만, 주로 정적 기준선이나 LSTM 과 같은 딥러닝 모델에 의존합니다. 이러한 모델들은 행동 패턴의 변화에 따라 재학습이 필요하며, 사용자 - 리소스 관계에 내재된 다중 계층적 그래프 구조 (Multi-level graph structure) 를 충분히 활용하지 못합니다.
• 핵심 문제: 기업 환경에서 사용자와 디렉토리 간의 논리적 의존성과 상호작용 패턴을 모델링하여, 정상적인 합의 (Consensus) 에서 벗어난 악의적인 활동을 실시간으로 탐지하는 적응형 프레임워크가 필요합니다.

2. 제안된 방법론 (Methodology)

저자들은 합의 기반 베이지안 프레임워크 (Consensus-Bayesian Framework) 를 제안하며, 이를 위해 의견 동역학 (Opinion Dynamics) 이론을 기업 디렉토리 접근 그래프에 적용합니다.

가. 다중 계층 상호작용 그래프 모델링

• 구조: 디렉토리를 '주제 (Topics)', 사용자를 '에이전트 (Agents)' 로 간주합니다.
• 그래프 구성:
  • 디렉토리 유사성 그래프 ($G[W]$): 행렬 $W$는 디렉토리 간의 콘텐츠 또는 행동 기반 유사성을 나타내며, 행 확률 행렬 (Row-stochastic) 로 정규화됩니다.
  • 사용자 - 사용자 의존성 그래프 ($G[C_i]$): 각 디렉토리 $D_i$ 내에서 사용자 간의 논리적 영향을 행렬 $C_i$로 인코딩합니다.
• 강하게 연결된 구성 요소 (SCCs): 사용자들은 자연스러운 그룹 (예: 개발 팀) 을 형성하며, 이를 SCC 로 정의합니다.
  • 폐쇄형 SCC (Closed SCC): 외부 영향이 없는 내부 그룹.
  • 개방형 SCC (Open SCC): 외부에서 영향을 받는 그룹.

나. 의견 동역학 및 수학적 기반

• 수식: 사용자의 의견 (접근 행동) $x(t)$는 영향 행렬 $W$와 논리 행렬 $C_i$를 통해 업데이트됩니다.
  • 단일 주제 동역학, 개방형/폐쇄형 SCC 에 대한 다양한 정리 (Theorem 2, 3, 4 등) 를 기반으로 수렴 (Convergence) 조건을 정의합니다.
• 정상 상태: 안정적인 환경에서는 의견이 수렴하거나 제한된 불일치를 보입니다.
• 이상 탐지 신호:
  • 구조적 변화: $C_i$ 행렬의 급격한 변화 ($\|C_i(t) - C_i(t-1)\|_F > \delta$).
  • 의견 분산 (Opinion Variance): 정상적인 SCC 내에서는 분산이 낮아야 하지만, 악의적인 교란 (Logical Perturbation) 이 발생하면 분산이 급격히 증가합니다.

다. 베이지안 이상 점수 (Bayesian Anomaly Scoring)

• 확률적 추론: 의견 분산의 변화 ($\Delta v$) 를 기반으로 이상 가능성을 점수화합니다.
• 알고리즘:
  1. Likelihood 계산: 분산 증가에 따른 지수적 가능도 $L = 1 - \exp(-\alpha \cdot \Delta v)$를 계산합니다.
  2. 베이지안 업데이트: 사전 확률 (Prior) 을 사용하여 사후 확률 (Posterior) 을 업데이트합니다.
     • Static Prior: 고정된 초기 확률 사용.
     • Online Prior: 이전 시간 단계의 사후 확률을 다음 단계의 사전 확률로 사용하여 점진적 학습 및 민감도 향상.

3. 주요 기여 (Key Contributions)

1. 이론적 융합: 기업 보안 (UEBA) 과 다중 에이전트 시스템의 의견 동역학 이론을 결합하여, 그래프 구조적 특성을 활용한 이상 탐지 모델을 개발했습니다.
2. 동적 논리 행렬 모델링: 정적 기준선이 아닌, 사용자 간 논리적 의존성 ($C_i$) 이 시간에 따라 진화하는 모델을 제시하며, SCC 기반의 수렴 조건을 통해 정상/비정상 행동을 수학적으로 정의했습니다.
3. 적응형 베이지안 탐지: 정적 및 온라인 사전 확률을 활용한 점진적 이상 점수화 메커니즘을 도입하여, 초기 교란부터 누적된 이상까지 민감하게 탐지할 수 있도록 했습니다.
4. 시뮬레이션 검증: 합성 데이터와 기존 연구 [10] 의 시나리오를 재현하여, 논리적 불일치와 구조적 교란에 대한 모델의 민감도와 견고성을 입증했습니다.

4. 실험 결과 (Results)

• 수렴 검증: 제안된 알고리즘이 기존 논문 [10] 의 이론적 결과 (SCC 분해 및 정리 적용) 와 일치하는지 검증하여 구현의 정확성을 확인했습니다.
• 이상 탐지 성능:
  • 가중치 변화 ($w_t$): 악의적인 교란 (예: 사용자 2 가 D4/D5 에 영향을 미치는 구조 변경) 의 강도를 변화시켰을 때, ** scaled variance(스케일링된 분산)** 와 이상 점수가 모두 증가하는 것을 확인했습니다.
  • 온라인 vs 정적: 온라인 사전 업데이트 (Online Prior Update) 방식이 고정된 사전 확률 방식보다 더 일찍 이상을 탐지하고, 교란 강도가 낮을 때도 더 날카롭게 반응함을 보였습니다.
  • 시각화: 시간이 지남에 따라 분산이 급증하고 이상 확률이 1 에 수렴하는 그래프를 통해 모델의 동작을 시각적으로 입증했습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 구조적·통계적 인식: 단순한 통계적 이상 탐지를 넘어, 그래프의 위상적 구조 (SCC, 논리적 의존성) 와 통계적 불일치를 동시에 고려하여 더 정교한 탐지가 가능합니다.
• 실시간 대응: 재학습 없이도 사용자의 행동 변화와 논리적 구조 변화를 실시간으로 반영하여 적응형 보안이 가능합니다.
• 미래 과제: 확장성 (수천 명의 사용자/디렉토리 처리), 오탐지 (False Positive) 감소 (정상적인 역할 변경과 악의적 행동 구분), 그리고 실제 SIEM/UEBA 시스템과의 통합을 위한 설명 가능성 (Explainability) 강화가 필요합니다.

이 연구는 그래프 기반 머신러닝과 확률적 추론을 결합하여 기업 환경의 디렉토리 접근 로그에서 숨겨진 악의적 활동을 선제적으로 탐지할 수 있는 새로운 패러다임을 제시합니다.