시간에 강인한 악성코드 탐지를 위한 라벨 효율적 업데이트

본 논문은 악성코드 탐지 시스템이 시간에 따라 변화하는 소프트웨어 생태계에 적응하면서도 라벨링 비용을 최소화할 수 있는 방법론을 제시한다. 먼저, 악성코드와 정상 소프트웨어가 지속적으로 진화함에 따라 정적 데이터 분포를 가정한 기존 머신러닝 모델은 성능 저하를 겪는다. 이를 해결하기 위해 주기적인 재학습이 필요하지만, 새로운 샘플에 대한 라벨링은 보안 전문가의 수작업 분석이 요구되어 비용이 많이 든다. 이에 저자들은 두 가지 라벨 효율적 기법, 즉 활성학습(AL)과 반지도학습(SSL)을 결합한 프레임워크를 설계하였다. 프레임워크는 다음과 같은 흐름으로 동작한다. 1) 현재 모델 f(t)가 기존 라벨링 데이터 D(t)와 새로 수집된 라벨이 없는 배치 U(t)를 이용해 예측한다. 2) AL 단계에서 제한된 라벨링 예산 하에 정보량이 높은 샘플 D_AL(t)를 선택해 전문가에게 라벨링을 요청한다. 3) 라벨링된 샘플을 기존 데이터에 합쳐 중간 모델 f̃(t)를 재학습한다. 4) SSL 단계에서는 f̃(t)를 이용해 남은 샘플 중 높은 신뢰도를 보이는 데이터를 자동으로 의사라벨링하여 D_SSL(t)로 만든다. 5) 최종적으로 D(t+1)=D(t)∪D_AL(t)∪D_SSL(t) 로 구성된 데이터셋으로 모델을 완전 재학습한다. 이 과정은 매 시점마다 반복되며, AL과 SSL이 서로 보완적으로 작동해 라벨링 비용을 크게 절감한다. 활성학습 기법으로는 무작위 샘플링(RS), 마진 샘플링(MS), 최소 신뢰도 샘플링(LCS), 엔트로피 샘플링(ES), 기대 평균 정밀도(EAP), 클러스터 기반 불확실성 가중 임베딩(CLUE), CoreSet, BADGE 등 8가지를 평가하였다. 반지도학습으로는 대칭 임계값 기반 자기학습(ST)과 비대칭 임계값 기반 자기학습(AT) 두 가지를 사용했다. 각 기법은 모델에 독립적이며, 특징 공간이나 예측 점수만을 이용해 적용 가능하도록 설계되었다. 또한, 논문은 특징 수준의 시간적 드리프트를 정량화하는 새로운 분석 방법을 제안한다. 각 특징 j에 대해 Wilcoxon‑Mann‑Whitney 검정을 수행해 두 클래스(악성, 정상) 간 차이를 측정하고, 정규화된 U‑통계량(AUC_j)과 p‑값(p_j)을 계산한다. 이를 통해 특정 특징이 시간에 따라 클래스와의 연관성을 유지하는지, 혹은 변질되는지를 파악한다. 실험 결과, 높은 AUC_j 값을 유지하는 상위 특징들이 모델 성능 유지에 핵심적인 역할을 함을 확인하였다. 실험 설정은 Android와 Windows 두 도메인에서 각각 12개월 이상에 걸친 시계열 데이터셋을 구축한 뒤, 제안된 프레임워크와 개별 AL·SSL 기법들을 비교했다. 라벨링 비율을 5%~10% 수준으로 낮추어도 전체 라벨링 대비 0.5%~1% 수준의 AUC 차이만을 보였으며, 특히 AT 기반 SSL이 클래스 불균형을 완화해 악성코드 재현율을 크게 향상시켰다. AL 기법 중에서는 BADGE와 CoreSet이 정보량이 높은 샘플을 효과적으로 선택해 성능 향상에 기여했으며, SSL 기법과 결합했을 때 라벨링 비용 절감 효과가 가장 크게 나타났다. 마지막으로, 특징 드리프트 분석 결과는 라벨 효율적 업데이트 전략이 성공하려면 시간에 따라 안정적인 특징을 지속적으로 모니터링하고, 불안정한 특징이 감지되면 모델 재학습 시 가중치를 조정하거나 해당 특징을 제외하는 것이 필요함을 시사한다. 전체적으로 본 연구는 라벨링 비용을 크게 낮추면서도 실시간 악성코드 탐지 모델의 성능을 유지·향상시킬 수 있는 실용적인 방법론과 평가 기준을 제공한다.