제로‑트러스트 에이전트 기반 연합 학습(ZTA‑FL)으로 산업 IIoT 방어 체계 강화

📝 Abstract

In recent times there have been several attacks against critical infrastructure such as the 2021 Oldsmar Water Treatment System breach and the 2023 Denmark Energy Sector compromise. These breaches clearly show the need for security improvements within the deployment of Industrial IIoT. Federated Learning (FL) provides a path to conduct privacy preserving collaborative intrusion detection; however, all current FL frameworks are vulnerable to Byzone poisoning attacks and do not include a method for authenticating agents. In this paper we propose Zero-Trust Agentic Federated Learning (ZTA-FL), a defense-in-depth framework using TPM-based cryptographic attestation which has an extremely low (<10 -7 ) false acceptance rate and a new SHAP-weighted aggregation algorithm with explainable Byzantine detection under non-IID conditions with theoretical guarantees, and uses privacy-preserving on-device adversarial training. Experiments were conducted on three different IDS benchmarks (Edge-IIoT set, CIC-IDS2017, UNSW-NB15) to calculate the performance of ZTA-FL. The results indicate that ZTA-FL achieved a 97.8% detection rate, a 93.2% detection rate when subjected to 30% Byzantine attacks (an improvement over FLAME of 3.1%, p < 0.01) and 89.3% adversarial robustness, while reducing the communication overhead by 34%. This paper also includes theoretical analysis, failure mode characterization, and open-source code for reproducibility.

💡 Analysis

**

1. 연구 동기와 문제 정의

• 현실적 위협: Oldsmar·Denmark 사례는 IIoT 시스템이 물리·전력 인프라에 직접적인 위험을 초래한다는 점을 강조한다.
• FL의 한계: 기존 바이저스 방어(Krum, Trimmed‑Mean 등)는 IID 가정에 의존, 비‑IID 데이터가 일반적인 IIoT 환경에서 성능 급락. 또한 인증 부재로 에이전트 위조·시빌 공격에 취약.

2. 제안 방법론 (ZTA‑FL)

3. 실험 설계 및 결과

• 데이터셋: Edge‑IIoT, CIC‑IDS2017, UNSW‑NB15 – 다양한 트래픽·프로토콜을 포함, 비‑IID 분포 재현.
• 비교 대상: Krum, Trimmed‑Mean, FLTrust, FLAME, RFA.
• 핵심 지표: 탐지율, 바이저스 저항성(30 % 공격), 적대적 견고성, 통신 오버헤드.
• 주요 성과
  • 탐지율 97.8 % (전반적 최고)
  • 바이저스 공격 하 93.2 % (FLAME 대비 +3.1 %)
  • 적대적 견고성 89.3 % (기존 대비 약 15 %↑)
  • 통신량 34 % 감소 (계층형 집계·양자화 덕분)

4. 강점

1. 통합 보안 패러다임 – 인증·바이저스 방어·적대적 견고성을 하나의 프레임워크에 결합.
2. 설명 가능성 – SHAP 기반 가중치가 “왜” 특정 업데이트가 배제됐는지 직관적으로 제공, 운영자 신뢰도 상승.
3. 이론적 보증: 비‑IID 환경에서의 수렴 및 오류 한계에 대한 정리 제공.
4. 실제 적용 가능성: TPM이 내장된 산업용 엣지 디바이스와 Fog‑Cloud 계층 구조에 자연스럽게 매핑.

5. 약점 및 개선점

6. 향후 연구 방향

1. 멀티‑TPM 연합 – 서로 다른 제조사의 TPM을 가진 디바이스 간 상호 인증 프로토콜 설계.
2. 연속 학습(Continual Learning) – 환경 변화에 따라 모델을 점진적으로 업데이트하면서도 SHAP 가중치를 유지하는 방법론.
3. 프라이버시‑보강형 설명 – SHAP 값 자체가 민감 정보를 노출할 가능성을 최소화하는 차등 프라이버시(differential privacy) 기법 적용.
4. 보안 자동화 – TrustDB와 SHAP 점수를 활용한 자동 격리·복구 정책을 오케스트레이션 툴(Kubernetes, EdgeX)에 연동.

7. 학술·산업적 파급 효과

• 학술적: 제로‑트러스트와 설명 가능한 연합 학습을 최초로 결합, 비‑IID 환경에서의 이론적 수렴 분석을 제공함으로써 FL 보안 연구에 새로운 기준을 제시.
• 산업적: 75 B 디바이스(2025년 예상) 규모의 IIoT 시장에서 인증·바이저스·적대적 방어를 한 번에 구현할 수 있어, 방위·에너지·스마트 제조 분야의 보안 비용 절감 및 신뢰성 향상에 직접적인 기여 가능.

**

📄 Content

제로‑트러스트 에이전트 기반 연합 학습을 이용한 안전한 IIoT 방어 시스템

1저자 Samaresh Kumar Singh – IEEE Senior Member
텍사스 Leander ssam3003@gmail.com

2저자 Joyjit Roy – IEEE Member
텍사스 Austin joyjit.roy.tech@gmail.com

3저자 Martin So – 독립 연구원
브리티시 컬럼비아, 캐나다 martinytso99@gmail.com

초록

최근 2021 년 Oldsmar 수처리 시스템 침해와 2023 년 덴마크 에너지 부문 침해와 같은 주요 인프라에 대한 공격이 연이어 발생하고 있다. 이러한 사건들은 산업용 IIoT(Industrial Internet of Things) 배치에 보안 강화가 절실히 필요함을 보여준다. 연합 학습(Federated Learning, FL)은 프라이버시를 보존하면서 협업형 침입 탐지(Intrusion Detection)를 가능하게 하지만, 현재의 모든 FL 프레임워크는 By‑zone(바이존) 중독 공격에 취약하고 에이전트 인증 방법을 제공하지 않는다. 본 논문에서는 제로‑트러스트 에이전트 연합 학습(ZTA‑FL) 을 제안한다. ZTA‑FL은 TPM 기반 암호화 인증을 이용해 <10⁻⁷ 수준의 허위 수락률을 달성하고, 비‑IID 환경에서도 설명 가능한 바이잔틴 탐지를 제공하는 SHAP‑가중 집계 알고리즘을 도입한다. 또한 프라이버시를 보존하는 디바이스‑내 적대적 훈련을 적용한다. 세 가지 IDS 벤치마크(Edge‑IIoT set, CIC‑IDS2017, UNSW‑NB15)에서 실험을 수행했으며, ZTA‑FL은 97.8 %의 탐지율, 30 % 바이잔틴 공격 하에서 93.2 % 탐지율(FLAME 대비 3.1 % 향상, p < 0.01), 89.3 %의 적대적 견고성을 보였다. 또한 통신 오버헤드를 34 % 절감하였다. 논문에는 이론적 분석, 실패 모드 특성화, 재현성을 위한 오픈소스 코드도 포함한다.

키워드 — 제로‑트러스트 아키텍처, 연합 학습, 산업용 IoT, 침입 탐지, 적대적 머신러닝, 엣지 컴퓨팅, 방어 시스템, 안전한 다중‑에이전트 시스템

I. 서론

2021 년 Oldsmar 수처리 시스템 침해[1]와 2023 년 덴마크 에너지 부문 침해[2]와 같은 최근 사건들은 2025 년까지 750 억 대에 달할 것으로 예상되는 산업용 IIoT 배치에 심각한 보안 격차가 존재함을 드러낸다[3]. 연합 학습은 프라이버시를 보존하면서 협업형 침입 탐지를 가능하게 하지만[4], 분산 구조는 다음과 같은 핵심 취약점을 만든다.

1. 바이잔틴 공격자가 중독된 모델 업데이트를 주입할 수 있다[5].
2. 비‑IID(동일·독립 분포가 아님) 데이터는 악성 업데이트 탐지를 복잡하게 만든다[6].
3. 자율 에이전트는 강력한 신원 검증 메커니즘이 부족하다[7].

따라서 문제 정의는 “바이잔틴‑중독, 회피, 그리고 에이전트 위장 공격으로부터 보호된, 프라이버시를 유지하는 산업용 IIoT 에이전트들의 안전한 협업 학습”을 구현하는 것이다.

현존 방어 기법은 충분하지 않다. 최신 바이잔틴‑저항 방법(Krum[8], Trimmed‑Mean[9])은 입력 데이터가 IID라고 가정하기 때문에 이질적인 IIoT 환경에서는 성능이 급격히 저하된다. 최근 제안된 FLTrust[10]와 FLAME[11]은 하드웨어 기반 에이전트 인증을 제공하지만 설명 가능성에 대한 보장을 제공하지 않는다. 또한 제로‑트러스트 아키텍처와 연합 IIoT 방어 메커니즘을 결합한 연구는 아직 없다[12].

우리의 접근법

제로‑트러스트 에이전트 연합 학습(ZTA‑FL) 은 다음 세 가지 핵심 요소를 결합한다.

1. TPM 기반 암호화 인증 (거짓 수락률 FAR < 10⁻⁶).
2. SHAP‑가중 집계를 통한 비‑IID 환경에서도 설명 가능한 바이잔틴 탐지.
3. 디바이스‑내 적대적 훈련.

주요 기여

1. 계층형 엣지‑포그‑클라우드 구조를 설계·제안하고, 이를 통해 신뢰된 에이전트만 연합 학습에 참여하도록 구현하였다.
2. 설명 가능한 AI(SHAP‑가중) 지표를 이용해 바이잔틴 저항 연합 학습 알고리즘을 최초로 제시하고, 이론적 근거를 제공하였다.
3. 디바이스‑내 적대적 훈련이 연합 학습의 회피 공격 저항성을 16.4 % 향상시킴을 실험적으로 입증하였다.
4. 두 개의 데이터셋(Edge‑IIoT set[13], CIC‑IDS 2017[14])에 대해 ZTA‑FL을 평가했으며, 정확도 97.8 %, 적대적 예제에 대한 견고성 89.3 %, 30 % 바이잔틴 공격 하에서 탐지율 93.2 %를 달성했고, 이는 FLAME 대비 3.1 % 향상(p < 0.01)이다.

II. 관련 연구

연합 학습 기반 IIoT 보안

프라이버시를 보존하는 협업 방어 접근법으로 연합 학습 기반 IDS가 제안되었다[15‑18]. 그러나 Krum[8], Trimmed‑Mean[9]와 같은 고전적인 바이잔틴‑저항 방법은 IID 가정에 의존해 데이터 이질성에 취약하다[19]. 최근에는 FLTrust[10] (클린 루트 데이터셋 사용), FLAME[11] (클러스터링 기반 백도어 방어), RFA[20] (기하 평균 기반 집계) 등이 제안되었지만, 하드웨어 인증이나 설명 가능성을 포함하지 않는다. 실제로 Shejwalkar 등[21]은 통계적 방어 시스템을 공격자가 적응적으로 조작할 수 있음을 보여준다. 우리는 SHAP‑가중 집계를 도입해 통계적으로 정상처럼 보이는 악성 업데이트를 특징 수준에서 탐지한다.

적대적 견고성 및 제로‑트러스트

PGD 기반 적대적 훈련[22]은 회피 공격 방어에 효과적이지만, 모델 데이터 분포를 중앙화하면 내부 데이터 유출 위험이 있다[5]. 제로‑트러스트 아키텍처[23, 24]는 지속적인 검증과 최소 권한 원칙을 제공한다. TPM 기반 인증[25]은 하드웨어 루트 신뢰를 제공하지만, 아직 연합 집계 프로토콜에 통합되지 않았다. ZTA‑FL은 TPM 기반 인증과 SHAP 기반 설명 가능한 바이잔틴 탐지를 동시에 구현함으로써 차별화된다.

포지셔닝

표 1은 ZTA‑FL과 기존 바이잔틴‑저항 연합 학습 방법을 비교한다. 기존 방법은 하드웨어 인증이나 설명 가능성을 제공하지 않지만, ZTA‑FL은 세 가지 방어 메커니즘(하드웨어 인증, SHAP‑가중 설명 가능성, 프라이버시‑보존 적대적 강화)을 모두 포함한다.

III. 위협 모델 및 시스템 개요

본 연구에서는 계층형 IIoT 시스템을 가정한다. N개의 엣지 디바이스(각각 로컬 데이터 Dᵢ를 보유)와 M개의 포그 노드(지역 정보를 집계), 그리고 전역 조정을 담당하는 클라우드 레이어가 존재한다.

공격자 가정

• 전체 디바이스 중 β < 0.5 비율을 탈취할 수 있다.
• 탈취된 디바이스는 FGSM/PGD/C&W 기반 적대적 샘플 생성, Sybil 공격, 라벨 플리핑, 그래디언트 변조, 백도어 삽입 등을 수행한다.
• 공격자는 TPM 서명이나 암호화 원시값을 위조할 수 없으며, TPM 기반 인증을 깨뜨릴 수 없다.

시스템 가정

• 부팅 시 TPM을 이용한 안전한 초기화가 수행된다.
• 보안 엔클레이브가 존재하고, 정직 디바이스 비율은 1 − β > 0.5이다.
• 디바이스 간 인증은 TLS 1.3으로 수행한다.

공격 시나리오

1. 라벨 플리핑(p_flip ∈ [0.1, 0.5])
2. 그래디언트 변조(α ∈ [−5, 5])
3. 백도어 삽입
4. 적대적 샘플( x_adv = x + ε·sign(∇ₓL) )

ZTA‑FL은 허위 수락률 < 10⁻⁶, 바이잔틴 저항성 > 90 %, **적대적 견고성 > 85 %**를 목표로 한다. 그림 1은 위협 모델을 시각화한다(빨간 화살표는 공격 경로, 초록 방패는 방어 메커니즘).

IV. 제안된 ZTA‑FL 아키텍처

ZTA‑FL은 3계층(엣지 → 포그 → 클라우드) 구조로 구성된다(그림 2).

1) 엣지 에이전트

각 엣지 디바이스는 다음 다섯 가지 모듈을 포함한다.

1. Perception 모듈 – 흐름, 통계, 시계열 데이터에서 특징을 추출.
2. Local IDS – 8‑bit CNN‑LSTM( hₜ = LSTM(CNN(xₜ), hₜ₋₁) ) 구조를 사용, 로컬에서 학습.
3. 적대적 훈련 모듈 – FGSM‑PGD( x_adv = Clip(x + α·sign(∇ₓL)) ) 로 적대적 샘플을 생성 후 학습.
4. TPM‑기반 인증 모듈 – 토큰 {IDᵢ, t, PCR, Sig_TPM}을 생성해 포그 레이어에 전송.
5. 보안 통신 – 엣지와 포그 간 Mutual TLS 1.3 사용.

2) 포그 레이어

포그 노드는 모든 K개의 엣지 에이전트로부터 인증 토큰을 수집하고, 서명·신선도·PCR 값을 검증한다. 검증이 완료된 토큰에 대해 SHAP‑가중 강인 집계를 수행한다. SHAP 안정성 점수를 이용해 바이잔틴 업데이트를 사전에 제거하고, 집계된 모델을 클라우드 레이

이 글은 AI가 자동 번역 및 요약한 내용입니다.