공격 그래프 기반 사이버 보안 분석 예측 프레임워크

초록

본 논문은 취약점의 연령, 익스플로잇·패치 가용성 등 시간에 따라 변하는 속성을 고려한 비동질 마코프 모델을 제시한다. Frei의 취약점 수명주기와 CVSS 점수를 결합해 일일 전이 확률 행렬을 추정하고, 전체 익스플로잇 가능성 및 영향도를 시간 흐름에 따라 정량화한다. 이를 통해 네트워크 보안 상태의 동적 변화를 예측하고, 위험 관리 의사결정에 활용할 수 있다.

상세 분석

이 연구는 기존 공격 그래프 분석이 정적 취약점 특성에만 의존하고, 시간에 따른 위험 변화를 반영하지 못한다는 한계를 지적한다. 저자는 이를 보완하기 위해 비동질 마코프 체인(Homogeneous Markov Chain)이 아닌 비동질 마코프 모델을 채택한다. 핵심은 ‘취약점 연령(vulnerability age)’이라는 시간 의존 공변량을 도입해 전이 확률을 동적으로 업데이트하는 것이다. 전이 확률 행렬은 Frei가 제안한 취약점 수명주기 모델을 기반으로, 특정 취약점이 공개된 시점부터 익스플로잇이 존재하거나 패치가 배포될 확률을 시간 함수로 표현한다. 예를 들어, 취약점이 공개된 후 초기 며칠은 익스플로잇이 없지만, 시간이 지남에 따라 익스플로잇이 등장하고, 이후 패치가 배포되면 성공 확률이 급격히 감소한다는 점을 수학적으로 모델링한다.

또한, CVSS(Common Vulnerability Scoring System)의 두 주요 서브스코어인 익스플로잇 가능성(Exploitability)과 영향도(Impact)를 각각 확률적 가중치로 변환한다. 이때 익스플로잇 가능성은 취약점의 접근성, 복잡성, 권한 요구사항을 반영한 점수이며, 영향도는 기밀성·무결성·가용성에 미치는 손실을 정량화한다. 두 점수를 시간에 따라 누적하여 네트워크 전체의 위험 지표를 산출한다.

모델 구현 단계에서는 실제 기업 네트워크를 대상으로 공격 그래프를 생성하고, 각 노드에 CVSS 점수와 취약점 공개일을 매핑한다. 이후 일일 전이 행렬을 계산해 마코프 체인을 시뮬레이션하고, 시뮬레이션 결과를 통해 특정 시점에 공격자가 목표 시스템에 도달할 확률과 예상 손실을 추정한다. 실험 결과는 전통적인 정적 공격 그래프 기반 위험 평가보다 시간에 따른 위험 변동을 더 정확히 포착함을 보여준다. 특히, 패치가 배포된 직후 위험 지표가 급격히 감소하는 현상이 모델에 반영되어, 보안 운영팀이 패치 일정과 우선순위를 전략적으로 결정하는 데 실질적인 인사이트를 제공한다.

이 논문의 주요 기여는 (1) 취약점 수명주기와 CVSS를 결합한 동적 위험 모델 제시, (2) 비동질 마코프 체인을 활용해 일일 전이 확률을 정량화, (3) 실증 실험을 통한 모델 검증이다. 한계점으로는 취약점 간 상관관계(예: 동일 공급업체의 연쇄 취약점)와 공격자의 전략적 행동을 완전히 포착하지 못한다는 점을 들 수 있다. 향후 연구에서는 베이지안 네트워크와 강화학습을 결합해 공격자 행동 모델을 정교화하고, 클라우드·IoT 환경에 적용 가능한 확장성을 모색할 필요가 있다.