SoK: Harmonizing Attack Graphs and Intrusion Detection Systems

이 논문은 공격 그래프와 침입 탐지 시스템의 통합을 체계적으로 분석하고, 기존 연구의 한계를 지적하며 양자가 상호 보완적으로 작동하는 새로운 통합 프레임워크와 생명주기를 제안합니다.

핵심

🕵️‍♂️ 비유: "치밀한 도둑 계획서"와 "경비원"

이 논문의 주제를 이해하기 위해 두 가지 역할을 상상해 보세요.

1. 공격 그래프 (AG): "치밀한 도둑 계획서"

   • 해커가 건물을 뚫기 위해 어떤 문 (취약점) 을 열고, 어떤 계단 (경로) 을 올라가서 금고 (중요 데이터) 에 도달할지 그리는 지도입니다.
   • 이 지도는 "만약 A 문을 열면 B 문이 열리고, 그다음 C 문으로 갈 수 있다"는 식의 이론적인 시나리오를 모두 보여줍니다.
   • 문제점: 이 지도가 너무 방대해서, 실제로 해커가 올지 안 올지 알 수 없는 가상의 경로가 수만 개나 됩니다. 마치 "내일 비가 오면 우산을 쓰고, 우산을 쓰면 신발이 젖고..."라고 모든 가능성을 다 나열해 둔 것과 비슷합니다.

2. 침입 탐지 시스템 (IDS): "현실의 경비원"

   • 건물 곳곳에 설치된 CCTV 와 센서입니다.
   • 누군가 문을 열거나 이상한 소리가 나면 "경보! 경보!"라고 울립니다.
   • 문제점: 경비원은 너무 예민해서, 바람이 불거나 고양이가 지나가도 "도둑이다!"라고 거짓 경보를 자주 냅니다 (거짓 양성). 또한, 한 경비원이 A 구역의 소리를 듣고, 다른 경비원이 B 구역의 소리를 들었을 때, "아, 이건 같은 도둑이 한 짓이구나!"라고 연결해서 생각하지 못합니다.

🚧 현재의 문제: "서로 말을 안 통하는 두 팀"

지금까지의 연구들은 이 두 팀을 연결하려고 했지만, 반쪽짜리 연결만 해왔습니다.

• 상황 1: 경비원 (IDS) 이 울린 소리를 보고 도둑 계획서 (AG) 를 수정합니다. (경비원의 말만 듣고 계획서를 고침)
• 상황 2: 도둑 계획서 (AG) 를 보고 경비원 (IDS) 의 경보 기준을 바꿉니다. (계획서만 보고 경비원을 훈련시킴)

하지만 문제는 이 두 가지가 동시에, 그리고 끊임없이 서로를 업데이트해주지 않는다는 점입니다. 마치 경비원이 도둑의 새로운 수법을 배웠는데, 그 정보가 도둑 계획서에는 반영되지 않아서 여전히 구식 지도를 보고 있는 꼴입니다.

💡 이 논문의 해결책: "상호 학습의 선순환 사이클"

저자들은 **"AG-IDS 라이프사이클 (Life Cycle)"**이라는 새로운 개념을 제안합니다. 이는 한 번만 하는 작업이 아니라, 끊임없이 돌아가는 회전목마 같은 시스템입니다.

어떻게 돌아가나요?

1. 경비원이 이상을 감지하면 (IDS → AG):

   • 경비원이 "이상한 소리가 났어!"라고 보고하면, 그 정보를 바탕으로 실제 도둑이 걸을 법한 경로만 도둑 계획서 (AG) 에 추가합니다. (가상의 수만 개 경로 중 실제 가능성 있는 것만 남김)
   • 효과: 계획서가 간결해지고, 실제 위협에 집중하게 됩니다.

2. 계획서가 업데이트되면 (AG → IDS):

   • 업데이트된 계획서를 바탕으로 경비원 (IDS) 을 다시 훈련시킵니다. "이제 이 길로 오는 건 진짜 도둑이야!"라고 알려주면, 경비원은 그 길에서 일어나는 작은 소리에도 더 민감하게 반응하거나, 반대로 그 길이 아닌 곳의 거짓 경보는 줄입니다.
   • 효과: 경비원의 거짓 경보가 줄고, 진짜 도둑을 잡는 능력이 좋아집니다.

3. 새로운 위협이 발견되면 (Hybrid):

   • 이 과정이 멈추지 않고 계속 반복됩니다. 새로운 해커 수법이 나오면 계획서가 바뀌고, 계획서가 바뀌면 경비원 훈련도 바뀝니다. 마치 게임의 난이도가 실시간으로 조정되는 것과 같습니다.

📊 실험 결과: "작은 변화가 큰 효과를 낳다"

저자들은 이 아이디어가 실제로 작동하는지 실험해 보았습니다.

• 결과 1: 계획서 (AG) 를 실제 경보 (IDS) 를 바탕으로 수정했더니, 계산 속도가 100 배 이상 빨라졌습니다. (불필요한 가상의 경로를 다 잘라냈기 때문입니다.)
• 결과 2: 업데이트된 계획서를 이용해 경비원을 훈련시켰더니, 거짓 경보가 줄어들고 진짜 해커를 잡는 정확도가 높아졌습니다. 특히 데이터가 부족할 때 (초기 단계) 효과가 더 컸습니다.

🌟 결론: "한 번에 끝내는 게 아니라, 함께 성장하는 시스템"

이 논문이 말하고자 하는 핵심은 **"보안은 한 번 설정하고 끝나는 게 아니다"**입니다.

• 과거: 도둑 계획서를 그리는 팀과 경비원 팀이 따로 일했습니다.
• 미래 (이 논문의 제안): 두 팀이 상호작용하며 실시간으로 서로를 가르쳐 주는 파트너가 되어야 합니다.

이처럼 지식 (계획서) 과 경험 (경보) 이 끊임없이 순환하면, 복잡한 사이버 공격도 더 빠르고 정확하게 막아낼 수 있다는 것이 이 연구의 메시지입니다. 마치 스마트한 경비 시스템이 해커의 수법을 배우고, 해커는 그 시스템을 뚫을 수 없는 새로운 방법을 찾아야 하는, 끝없는 치열한 공방전을 상상해 보시면 됩니다.

기술 요약

1. 문제 정의 (Problem)

사이버 공격의 복잡성과 데이터 양의 증가로 인해 기존 보안 시스템은 한계에 직면해 있습니다.

• 침입 탐지 시스템 (IDS) 의 한계: IDS 는 개별적인 이상 징후를 탐지할 수 있지만, 노드 간의 상관관계를 파악하거나 다단계 공격의 전체적인 맥락을 이해하는 데 어려움을 겪습니다. 또한, 높은 오탐지 (False Positive) 비율이 큰 문제입니다.
• 공격 그래프 (AG) 의 한계: AG 는 공격자의 전략과 취약점 간의 관계를 모델링하여 대응 계획을 수립하는 데 유용하지만, 독립적으로 사용될 경우 확장성 (Scalability) 문제가 발생하며, 실시간 동적 환경에서의 적용이 어렵습니다.
• 통합의 부재: 기존 연구들은 AG 와 IDS 를 결합하려는 시도가 있었으나, 대부분 단일 목적 (예: IDS 오탐지 감소 또는 AG 확장성 개선) 에 국한된 단방향 통합에 그쳤습니다. 두 기술을 하나의 유기적인 시스템으로 조화시키고, 실시간 피드백 루프를 통해 상호 진화시키는 통합 프레임워크는 부재했습니다.

2. 연구 방법론 (Methodology)

이 논문은 지식 체계화 (Systematization of Knowledge, SoK) 방법론을 사용하여 기존 연구들을 체계적으로 분석하고 새로운 통합 프레임워크를 제안합니다.

• 문헌 조사 및 분류:
  • ACM, IEEE, Springer 등 주요 데이터베이스에서 '공격 그래프'와 '침입 탐지' 관련 73 편의 핵심 논문을 선정했습니다.
  • 연구 질문 (RQ): "기존 접근법에서 AG 와 IDS 는 어떻게 결합되는가?", "결합의 목적은 무엇인가?"를 중심으로 분석했습니다.
  • 새로운 분류 체계 (Taxonomy) 도출: 분석 결과를 바탕으로 AG-IDS 통합 접근법을 4 가지 범주로 분류했습니다:
    1. AG|IDS (IDS 기반 AG 생성): IDS 경고 (Alert) 를 기반으로 공격 경로 (AG) 를 생성.
    2. IDS[AG] (AG 통합 IDS): AG 지식 (공격 경로 등) 을 IDS 탐지 파이프라인에 내장하여 탐지 성능 향상.
    3. IDS → AG (AG 기반 IDS 정제): AG 를 사용하여 IDS 의 탐지 결과를 검증하거나 오탐지를 제거.
    4. 하이브리드 접근법: 위 3 가지 범주 중 2 가지 이상을 결합.
• 실험적 검증 (Proof-of-Concept):
  • 제안된 통합 생명주기 (Lifecycle) 모델의 유효성을 검증하기 위해 CIC-IDS2017 데이터셋을 활용했습니다.
  • 결정 트리 (Decision Tree) 기반 IDS 와 다양한 AG 생성/통합 기법을 적용하여 정확도 (Accuracy), F1 점수, 오탐지율 (FPR) 을 측정했습니다.

3. 주요 기여 (Key Contributions)

1. 첫 번째 체계적인 AG-IDS 통합 분석: 73 편의 논문을 분석하여 기존 연구가 주로 단방향 (단순 필터링 또는 단순 생성) 에 머무르고 있음을 규명했습니다.
2. 새로운 분류 체계 (Taxonomy) 제시: 통합의 방향성과 목적에 따라 4 가지 범주로 세분화하여 연구 현황을 명확히 했습니다.
3. 연속적인 AG-IDS 생명주기 (Lifecycle) 제안:
   • 기존 연구의 정적 (Static) 통합을 넘어, 지속적인 피드백 루프를 가진 동적 생명주기를 제안했습니다.
   • 핵심 메커니즘:
     • IDS 는 AG 모델을 정제하고,
     • 업데이트된 AG 는 다시 IDS 의 탐지 능력을 향상시킴.
     • 새로운 취약점이나 공격 패턴이 발견되면 AG 와 IDS 가 동시에 업데이트되는 순환 구조를 구현합니다.
4. 개념 증명 (PoC) 구현: 제안된 생명주기의 각 단계 (AG|IDS, IDS[AG], IDS → AG) 가 실제 환경에서 탐지 성능을 어떻게 향상시키는지 실험적으로 입증했습니다.

4. 실험 결과 (Results)

CIC-IDS2017 데이터셋을 이용한 실험을 통해 제안된 생명주기의 효과를 입증했습니다.

• AG|IDS (생성): 기존 AG 생성 방식에 비해 IDS 경고 기반 생성은 불필요한 공격 경로를 제거하여 계산 시간을 32.23 초에서 0.37 초로 단축시켰으며, 실제 공격과 관련된 취약점만 선별하여 확장성을 크게 개선했습니다.
• IDS[AG] (통합): AG 의 공격 경로 정보를 IDS 의 특징 (Feature) 으로 추가했을 때, 정확도와 F1 점수가 1% 이상 향상되었고 오탐지율은 감소했습니다. 특히 학습 데이터가 부족하거나 AG 의 신뢰도가 낮을 때 (초기 단계) 도 성능 향상이 관찰되어 생명주기의 적응성을 입증했습니다.
• IDS → AG (정제): AG 를 사용하여 IDS 의 탐지 결과를 검증 (오탐지 제거) 한 결과, 오탐지율이 1.2% 이상 감소했습니다. 이는 AG 가 구조적 위협 지식을 제공하여 IDS 의 판단을 보정해 줌을 의미합니다.
• 종합적 효과: 생명주기의 반복적 정제 (Iterative Refinement) 과정을 거칠수록 AG 의 정확도가 높아지고, 이에 따라 IDS 의 탐지 성능도 지속적으로 향상되는 것을 확인했습니다.

5. 의의 및 시사점 (Significance)

• 패러다임 전환: AG 와 IDS 를 별개의 도구가 아닌, 상호 보완적이고 진화하는 하나의 통합 시스템으로 재정의했습니다. 이는 정적인 보안 모델에서 동적이고 적응적인 보안 모델로의 전환을 촉진합니다.
• 실무적 가치:
  • 확장성 해결: 불필요한 공격 경로를 제거하여 대규모 네트워크에서의 AG 적용 가능성을 높였습니다.
  • 오탐지 감소: AG 기반 검증으로 인한 오탐지 감소는 보안 운영 센터 (SOC) 의 운영 효율성을 극대화합니다.
  • 실시간 대응: 새로운 위협에 대해 AG 와 IDS 가 동시에 업데이트되는 생명주기는 제로데이 공격 등 진화하는 위협에 대한 신속한 대응을 가능하게 합니다.
• 미래 연구 방향 제시:
  • 머신러닝 (ML) 융합: 그래프 신경망 (GNN) 등 고급 ML 기법을 AG-IDS 통합에 적용할 필요성을 강조했습니다.
  • 신호 - 심볼 (Neuro-Symbolic) AI: 논리적 추론 (AG) 과 패턴 인식 (ML) 을 결합한 접근법의 중요성을 제시했습니다.
  • 표준화: 재현 가능한 연구를 위한 표준 데이터셋과 벤치마킹 플랫폼의 부재를 지적하고, 이를 해결해야 할 과제로 제시했습니다.

결론적으로, 이 논문은 AG 와 IDS 의 통합이 단순한 기술 결합을 넘어, 지속적인 피드백을 통해 스스로 진화하는 지능형 사이버 방어 생태계를 구축할 수 있음을 이론적, 실험적으로 증명했습니다.