메시지 전파 도착 간격의 네트워크 분석

초록

본 논문은 봇넷과 같은 악성 네트워크에서 메시지가 전파되는 과정을 유향 그래프 위의 다중 랜덤 워커 문제로 모델링한다. 목표 노드에 도착하는 워커 사이의 도착 간격(인터‑어라이벌 타임) 분포를 분석하여, 무작위 네트워크와 스케일프리 네트워크에서 각각 포아송 과정이 아닌 복합적인 시간 패턴을 보임을 확인한다. 이러한 결과는 스팸 메일이 개별 사용자에게 도착하는 통계와 유사하며, 관측된 인터‑어라이벌 데이터를 통해 알 수 없는 네트워크 토폴로지를 추정할 가능성을 제시한다.

상세 분석

논문은 사이버 범죄 방지를 위해 메시지 전파 메커니즘을 정량적으로 이해하려는 시도에서 출발한다. 저자들은 봇넷을 “다중 랜덤 워커가 유향 네트워크 위를 무작위로 이동하는 시스템”으로 추상화하고, 특정 목표 노드(예: 스팸 수신자)에서 연속적으로 도착하는 워커 사이의 시간 차이를 인터‑어라이벌 타임(inter‑arrival time)이라 정의한다. 두 가지 전송 규칙을 도입했는데, 첫 번째는 전체 워커를 한 번에 네트워크에 투입하는 ‘동시 전송’ 방식이며, 두 번째는 워커를 순차적으로 하나씩 투입하면서 이전 워커가 목표에 도달할 때까지 대기하는 ‘연속 전송’ 방식이다.

세 가지 네트워크 토폴로지를 실험에 사용하였다. (1) 평균 차수가 일정하고 연결성이 균일한 포아송 랜덤 그래프, (2) 평균 차수가 동일하지만 클러스터링과 경로 길이가 조정된 변형 포아송 그래프, (3) 차수가 거듭 제곱법칙을 따르는 스케일프리 네트워크이다. 각 토폴로지에 대해 워커 수, 전송 규칙, 초기 노드 선택 방법 등을 변형하면서 수천 번의 시뮬레이션을 수행하였다.

결과는 모든 경우에서 인터‑어라이벌 타임 분포가 단순한 포아송(지수) 분포와는 차이가 있음을 보여준다. 포아송 네트워크에서는 대체로 지수 꼬리를 보이지만, 초기 구간에서 ‘뾰족한 피크’가 나타나며 이는 워커들이 짧은 최단 경로를 공유하는 현상으로 해석된다. 특히 연속 전송 규칙에서는 워커 간 상호작용(대기 시간) 때문에 지수 꼬리가 더 뚜렷해진다. 반면 스케일프리 네트워크에서는 고차 연결점(hub)으로의 집중 현상이 강해, 인터‑어라이벌 타임이 멀티모달 형태를 띠고 긴 꼬리를 형성한다. 이는 일부 워커가 허브를 통해 빠르게 도착하고, 다른 워커는 저차 노드 경로를 따라 오래 걸리는 이중 메커니즘을 의미한다.

통계적으로는 모든 경우에서 인터‑어라이벌 타임의 변동계수(CV)가 1보다 크게 나타나, 과포아송(over‑dispersed) 특성을 가진다. 이는 실제 스팸 메일이 사용자에게 도착하는 시간 간격이 매우 불규칙하고, 특정 시간대에 급증하는 현상과 일치한다. 저자들은 이러한 특성을 이용해 관측된 인터‑어라이벌 데이터만으로도 네트워크의 차수 분포나 전송 규칙을 역추정할 수 있는 가능성을 제시한다.

이 연구는 랜덤 워커 모델이 실제 악성 트래픽의 복잡성을 충분히 포착한다는 점에서 의미가 크다. 특히 네트워크 토폴로지가 알려지지 않은 상황에서도 인터‑어라이벌 통계만으로 구조적 정보를 추출할 수 있다는 점은 사이버 방어 전략 수립에 새로운 도구를 제공한다. 향후 연구에서는 동적 토폴로지 변화, 워커 간 상호작용(예: 충돌, 재전송) 등을 포함한 보다 정교한 모델링이 필요할 것으로 보인다.