소덱소 소셜 네트워크용 허니봇 시스템 프레임워크

초록

본 논문은 소셜 네트워크에서 악성 봇넷을 탐지·제어하기 위해 허니봇을 활용하는 SODEXO 시스템을 제안한다. 허니봇을 배치하고 봇넷과의 전략적 상호작용을 스택헬런 게임으로 모델링하여, 배포 비용과 정보 수집 효율 사이의 최적 균형을 도출한다. 미시·거시 모델을 결합한 보호·경보 메커니즘을 설계하고, 시뮬레이션을 통해 기존 수동 방어 대비 우수성을 입증한다.

상세 분석

SODEXO는 크게 세 단계로 구성된다. 첫 번째는 허니봇 생성 모듈로, 소셜 미디어 플랫폼 API와 연동해 자동으로 다수의 가짜 계정을 생성한다. 이때 계정 프로필은 실제 사용자와 구별되지 않도록 연령·지역·관심사 등을 랜덤하게 할당하고, 초기 친구 네트워크를 구축하기 위해 정상 사용자와의 상호작용을 모방한다. 두 번째는 침투·정보 수집 모듈이다. 허니봇은 봇넷이 사용하는 초대·전파 메커니즘에 맞춰 자동으로 초대 요청을 수락하고, 악성 메시지·링크를 수집한다. 특히, 봇넷이 사용하는 명령‑제어(C2) 채널을 역추적하기 위해 메시지 메타데이터와 전송 패턴을 분석한다. 세 번째는 보호·경보 모듈로, 여기서 핵심이 되는 것이 스택헬런 게임 모델이다. 연구진은 봇넷 운영자를 ‘리더’, 허니봇을 ‘팔로워’로 설정하고, 각각의 전략 공간을 정의한다. 봇넷은 허니봇을 얼마나 신뢰하고 명령을 전달할지, 허니봇은 탐지 위험을 최소화하면서 얼마나 많은 정보를 제공할지를 비용 함수로 표현한다. 이때 최적의 나쉬 균형을 구하면, 허니봇의 배포 수와 활동 빈도, 그리고 데이터 전송량에 대한 최적 정책이 도출된다. 또한, 거시적 모델에서는 전체 네트워크 내 허니봇 비율이 증가함에 따라 봇넷의 전파 효율이 비선형적으로 감소함을 보인다. 이를 통해 운영자는 제한된 자원으로도 최대 방어 효과를 얻을 수 있다. 실험에서는 실제 트위터 데이터와 합성 봇넷 시나리오를 사용해, 전통적인 블랙리스트 기반 필터링 대비 35% 이상의 악성 메시지 차단률과 20% 이상의 탐지 속도 향상을 확인했다. 특히, 허니봇이 수집한 C2 주소와 피싱 도메인 정보를 실시간으로 보안팀에 전달함으로써 사전 차단이 가능해졌다. 논문은 또한 윤리적·법적 고려사항을 논의하며, 허니봇 운영 시 개인정보 보호와 플랫폼 정책 준수를 위한 가이드라인을 제시한다. 전체적으로 SODEXO는 수동 방어의 한계를 넘어, 공격자와 방어자 간의 게임 이론적 접근을 통해 사전 예방적 보안을 구현한 점이 가장 큰 혁신이다.