윈도우 감사 로그로 악성 행동 탐지

초록

본 논문은 별도 에이전트를 설치하지 않고 Windows 내장 감사 로그만을 활용해 악성 프로그램을 탐지하는 방법을 제안한다. 로그 데이터를 전처리·특징 추출한 뒤 선형 분류기를 학습시켜 0.1 %의 오탐률로 83 %의 악성 샘플을 검출했으며, 기존 시그니처 기반 안티바이러스가 놓친 78 %의 악성 코드를 추가로 탐지한다는 결과를 제시한다.

상세 분석

이 연구는 엔드포인트 보안 분야에서 에이전트 기반 솔루션이 갖는 배포·운영 비용과 관리 부담을 최소화하고자, 이미 대부분의 기업 환경에 내장된 Windows 감사 로그(Audit Log)를 활용한다는 점에서 실용적이다. 로그 수집은 SACL, 로컬 보안 정책, 방화벽 설정을 조정해 파일·레지스트리 쓰기·삭제·실행, 프로세스 스폰 등 행동 중심 이벤트만을 선택적으로 기록하도록 설계되었으며, 일일당 100~200 MB 정도의 데이터 양으로 저장·전송 비용이 크게 제한된다.

데이터 라벨링은 VirusTotal 점수를 활용해 악성(점수 ≥ 0.3)과 정상(점수 = 0)으로 구분했으며, 불확실한 구간(0 < 점수 < 0.3)은 제외함으로써 라벨 오류를 최소화했다. 학습 데이터는 자체 구축한 CuckooBox 샌드박스에서 20 000여 개의 PE 파일을 실행해 얻은 로그와, 실제 기업 네트워크에서 수집한 정상 사용자의 로그를 결합하였다.

특징 추출 단계에서는 이벤트를 “동작·경로” 튜플 형태로 정규화하고, TF‑IDF와 유사한 가중치를 부여해 빈도 기반 벡터를 생성했다. 차원 축소와 정규화를 거친 뒤, L2 정규화된 선형 SVM(또는 로지스틱 회귀) 모델을 학습시켰으며, 모델은 약 5 000개의 핵심 특징만으로도 높은 판별력을 유지한다. 교차 검증 결과, ROC‑AUC가 0.98에 육박하고, 0.1 % 오탐률에서 83 % 검출률을 달성했다.

특히, 기존 상용 안티바이러스(Kaspersky, Symantec, McAfee 등)가 놓친 악성 샘플의 78 %를 추가로 탐지했으며, 이는 로그 기반 탐지가 시그니처 기반 탐지와 상호 보완적임을 입증한다. 악성 행위 분석 결과, 파일 쓰기·레지스트리 조작·프로세스 스폰 패턴이 높은 가중치를 받았으며, 이러한 행동은 특정 파일 경로나 레지스트리 키에 국한되지 않고 다양한 변형에 대해 일관된 탐지 신호를 제공한다.

한계점으로는 네트워크 이벤트를 제외한 점, 그리고 샌드박스 환경에서 발생한 로그와 실제 엔드포인트에서의 로그 차이가 존재할 수 있다는 점을 들 수 있다. 또한, 로그 수집 정책을 과도하게 확대하면 저장·전송 부하가 급증할 위험이 있다. 향후 연구에서는 동적 정책 조정, 이상 탐지와 결합한 하이브리드 모델, 그리고 실시간 SIEM 연동을 통한 운영 효율성을 검증할 필요가 있다.