인터넷 웜 감염 구조 분석 및 대응 전략

초록

본 논문은 인터넷 웜이 전파되는 과정에서 형성되는 감염 트리의 구조적 특성을 정량화한다. 확률 모델과 순차 성장 모델을 이용해 자식 수가 평균 0.5의 기하분포를 따르고, 세대(Generation)는 포아송 분포에 근접함을 증명한다. 실험 결과, 절반 이상의 감염 호스트는 추가 감염을 일으키지 않으며, 98% 이하가 다섯 자식 이하를 가진다. 지역 스캔 웜에도 동일한 패턴이 나타났으며, 자식 수가 많은 노드를 집중 탐지하면 전체 봇의 22% 이상을 3% 수준의 검사로 식별할 수 있음을 보였다. 향후 봇넷은 자식 수 제한을 통해 탐지 회피가 가능하지만, 전파 속도에는 큰 영향을 주지 않는다.

상세 분석

이 연구는 인터넷 웜이 네트워크 상에서 어떻게 확산되는지를 트리 구조로 모델링하고, 각 노드가 생성하는 자식 수와 트리의 깊이(세대)를 통계적으로 분석한다. 먼저, 웜이 새로운 호스트를 감염시키는 과정을 ‘시퀀셜 성장 모델(sequential growth model)’로 정의한다. 이 모델에서는 감염된 호스트가 무작위로 스캔을 수행해 아직 감염되지 않은 취약 호스트를 찾아내며, 감염 시점에 따라 트리의 성장 순서가 결정된다. 수학적 귀납법과 마르코프 체인 분석을 통해, 각 노드가 평균 0.5의 확률로 자식을 만들고, 자식 수 X는 P(X=k)= (1/2)^{k+1} 형태의 기하분포를 따름을 증명한다. 이는 “반은 자식이 없고, 절반은 최소 한 명 이상의 자식을 가진다”는 직관적인 결과와 일치한다.

다음으로 세대 분포를 살펴보면, 감염 트리의 깊이는 독립적인 포아송 과정으로 근사될 수 있다. 구체적으로, 전체 감염 규모 N에 대해 평균 세대 μ≈ln N/ln 2 로 추정되며, 실제 시뮬레이션 결과는 μ와 분산이 포아송 분포의 파라미터와 거의 일치한다. 따라서 트리의 평균 경로 길이는 로그 스케일로 증가하고, 이는 대규모 웜 전파 시에도 비교적 얕은 트리 구조가 유지된다는 의미이다.

지역 스캔(localized scanning) 웜에 대해서도 동일한 분석을 적용했는데, 스캔 범위가 제한적이면서도 전체 트리의 자식 수와 세대 분포는 거의 변하지 않았다. 이는 지역 스캔이 스캔 대상의 밀도만 조절하고, 기본적인 감염 메커니즘은 동일하기 때문이다.

탐지 측면에서는 ‘자식 수가 많은 노드’를 목표로 하는 타깃 탐지가 효율적임을 보였다. 시뮬레이션에서 전체 노드의 3.125%만 검사해도 전체 봇의 22.36%를 식별할 수 있었으며, 이는 무작위 탐지에 비해 탐지 효율이 5배 이상 향상된 결과다. 그러나 공격자는 최대 자식 수를 제한(예: 5명 이하)함으로써 이러한 타깃 탐지를 약화시킬 수 있다. 논문은 이러한 제한이 전파 속도에 미치는 영향을 분석했으며, 제한된 자식 수에서도 전체 감염 속도는 크게 감소하지 않음을 확인했다.

결론적으로, 웜 감염 트리는 기하분포와 포아송 분포라는 두 가지 간단한 통계 모델로 충분히 설명될 수 있으며, 이러한 구조적 특성을 이용한 탐지와 방어 전략이 실용적임을 입증한다. 향후 연구는 보다 복잡한 P2P 기반 봇넷이나 다중 스캔 전략에 대한 확장 모델링과, 제한된 자식 수 정책이 네트워크 전반에 미치는 장기적 영향을 정량화하는 방향으로 진행될 필요가 있다.