다크넷으로 보는 웜 전파 시간 분석

초록

본 논문은 다크넷(사용되지 않는 IP 주소대)에서 수집한 스캔 로그를 이용해 인터넷 웜의 감염 시점과 전파 순서를 추정하는 ‘인터넷 웜 단층촬영’ 기법을 제안한다. 모멘트법, 최대우도법, 선형회귀법 등 세 가지 통계 추정기를 설계하고, 기존의 단순 추정기보다 높은 정확도를 보임을 이론적 분석과 실험을 통해 입증한다. 랜덤 스캔과 로컬라이즈드 스캔 두 종류의 웜에 모두 적용 가능함을 확인하였다.

상세 요약

이 연구는 다크넷이라는 비활성 IP 블록을 관측함으로써 전 세계에 퍼지는 웜의 동적 특성을 간접적으로 포착한다는 점에서 혁신적이다. 저자는 먼저 ‘인터넷 웜 단층촬영’이라는 새로운 프레임워크를 정의하고, 이를 통해 웜 감염 시점(시간 스탬프)과 감염 순서(시퀀스)를 추정하는 문제를 수학적으로 모델링한다. 핵심 가정은 웜이 스캔 패킷을 무작위 혹은 지역화된 방식으로 전송하고, 다크넷에 도달하는 패킷은 감염된 호스트가 언제, 어느 정도의 속도로 스캔을 시작했는지를 반영한다는 것이다.

통계적 접근으로는 세 가지 추정기를 제시한다. 첫 번째는 모멘트법으로, 관측된 패킷 도착 간격의 평균과 분산을 이용해 감염 시점을 추정한다. 두 번째는 최대우도법(ML)으로, 스캔 간격이 포아송 프로세스로 가정될 때 로그우도 함수를 최대화하여 파라미터를 추정한다. 세 번째는 선형회귀법으로, 시간에 따른 누적 패킷 수를 선형 모델에 피팅함으로써 초기 감염 시점을 역산한다. 각각의 추정기는 편향(bias)과 분산(var)의 관점에서 분석되었으며, 특히 ML 추정기가 큰 샘플에서 효율적임을 보였다.

실험에서는 실제 인터넷 웜(예: Code Red, Nimda)과 시뮬레이션된 랜덤·로컬라이즈드 스캔 웜을 대상으로 다크넷 트래픽을 수집하였다. 결과는 기존에 사용되던 ‘첫 패킷 도착 시점’ 기반의 단순 추정기에 비해 제안된 세 추정기가 평균 오차를 30% 이상 감소시켰음을 보여준다. 특히 로컬라이즈드 스캔 웜의 경우, 지역 편향을 보정한 ML 추정기가 가장 높은 정확도를 기록했다.

한계점으로는 다크넷 크기와 위치에 따라 샘플링 편향이 발생할 수 있다는 점, 그리고 웜이 비정형적인 스캔 전략(예: 피드백 기반 스캔)을 사용할 경우 모델 가정이 깨질 가능성이 있다는 점을 언급한다. 향후 연구에서는 다중 다크넷 협업 및 베이지안 프레임워크 도입을 통해 이러한 제약을 완화하고, 실시간 감염 추적 시스템으로 확장하는 방안을 제시한다.