CTF 데이터로 보는 사이버 공격 귀속과 속임수 탐지

초록

본 논문은 DEFCON 21(2013) CTF 대회에서 수집한 네트워크 트래픽을 활용해 공격 팀을 식별하는 기계학습 모델을 구축하고, 동일 페이로드를 다수 팀이 사용해 발생하는 ‘속임수’가 분류 오류의 주된 원인임을 규명한다. 또한 중복 공격을 정제하는 네 가지 프루닝 기법을 제안하여 속임수에 의한 오분류를 완화한다.

상세 분석

이 연구는 사이버 귀속 문제를 실험적으로 다루기 위해, 기존 연구가 겪어온 ‘실제 공격자의 정답 라벨 부재’라는 한계를 DEFCON CTF에서 제공되는 완전한 ground‑truth 데이터로 극복한다. 데이터는 20개 팀이 서로 공격·방어를 수행한 10 만 건 이상의 네트워크 스트림을 tcpflow으로 재구성한 뒤, 각 스트림에 대해 MD5 해시, 바이트 히스토그램, ARM 명령어 히스토그램을 추출해 JSON 형태로 저장하였다. 이렇게 만든 10 만 건(실제 논문에서는 10 백만 건) 규모의 레코드는 ‘공격 팀’, ‘피해 팀’, ‘서비스 번호’, ‘시간’ 등 메타데이터와 함께 3가지 피처를 포함한다.

연구자는 먼저 팀별로 피해 팀을 기준으로 데이터를 20개의 서브셋으로 나누고, 시간 순으로 90 %를 학습, 10 %를 테스트에 사용하였다. 분류 모델로는 Decision Tree, Random Forest, Support Vector Machine, Multinomial Logistic Regression을 적용했으며, 정확도(Accuracy)를 성능 지표로 채택했다. 결과적으로 Random Forest가 평균 0.37의 정확도로 가장 우수했으며, 모든 모델이 무작위 추측(0.053)보다 현저히 높은 성능을 보였다.

하지만 전체 오분류 중 90 %에 달하는 비율이 ‘속임수 중복(Deceptive Duplicates)’에 기인한다는 점을 발견했다. 속임수는 동일 페이로드를 여러 팀이 동일 목표에 사용함으로써 발생하며, 이는 동일 페이로드가 원래 공격자 외에 다른 팀에 의해 재사용되거나 변조된 경우를 의미한다. 또한 ‘비속임수 중복(Non‑Deceptive Duplicates)’과 학습에 존재하지 않은 새로운 페이로드도 소량의 오류를 야기한다.

이러한 현상을 완화하기 위해 네 가지 프루닝 전략을 설계하였다. (1) All‑but‑majority (P‑1): 각 페이로드별 가장 빈번히 사용된 팀만 남기고 나머지를 제거. (2) All‑but‑K‑majority (P‑2): 가장 많이 사용된 K = 3팀을 보존. (3) All‑but‑earliest (P‑3): 최초 사용 팀만 유지해 비속임수는 보존, 속임수는 제거. (4) All‑but‑most‑recent (P‑4): 가장 마지막에 사용된 팀만 남겨 테스트 시점과 시간적 일치를 강화.

프루닝 적용 후 Random Forest를 재학습한 결과, 평균 정확도가 P‑2(0.42)에서 가장 크게 향상되었으며, P‑1도 0.40으로 baseline(0.37)보다 개선되었다. 반면 P‑3와 P‑4는 각각 0.34, 0.36으로 오히려 성능이 저하되었는데, 이는 속임수 중복이 완전히 무시될 경우 유용한 정보까지 손실되기 때문이다. 따라서 속임수는 완전 배제보다는 적절히 정제하는 것이 귀속 정확도 향상에 기여한다는 중요한 인사이트를 제공한다.

마지막으로 저자들은 기존의 논리 기반 사이버 귀속 프레임워크와 결합해 시간적 추론을 도입함으로써, 연속적인 공격 시퀀스에서 속임수 팀을 구분하는 보다 정교한 모델을 개발할 계획임을 밝힌다. 이는 현재 CTF와 같은 제한된 환경을 넘어 실제 사이버 전쟁 상황에서도 속임수 탐지와 정확한 귀속을 가능하게 할 잠재력을 시사한다.