소셜 네트워크 고위계정 침해 탐지를 위한 행동 기반 프로파일링 시스템

초록

본 논문은 고프로파일 계정이 보이는 일관된 행동 패턴을 활용해, 실시간으로 비정상적인 포스트를 감지함으로써 소셜 네트워크 계정 침해를 탐지하는 COMPA 시스템을 제안한다. 시간, 포스트 출처, 언어 등 7가지 특징을 기반으로 통계 모델을 구축하고, 새로운 메시지가 기존 프로파일과 얼마나 차이나는지를 점수화한다. 고위계정에 대해 낮은 오탐률을 보이며, 실제 AP, Fox News, Skype, Yahoo! News 등 4건의 침해 사례를 사전에 차단할 수 있음을 실증한다. 또한 대규모 트위터·페이스북 데이터셋을 이용해 수십만 건의 침해 계정을 자동 탐지함으로써 기존 가짜계정 탐지 기법과 차별화된 효과를 입증한다.

상세 분석

COMPA는 “행동은 시간에 따라 안정적이다”는 가정을 바탕으로, 각 사용자의 과거 포스트 스트림을 수집해 7가지 특징(시간(시간대), 메시지 소스(앱), 언어, 길이, 해시태그 사용, 멘션 수, URL 존재 여부 등)을 추출하고, 각각에 대해 베이지안 혹은 가우시안 모델 등 확률적 통계 모델을 학습한다. 새로운 포스트가 발생하면 동일한 7가지 특징값을 추출하고, 각 모델이 산출한 이상점수(anomaly score)를 0~1 구간으로 정규화한다. 이 점수들을 가중 평균하거나 최대값을 취해 최종 이상점수를 도출하고, 사전에 정의된 임계값을 초과하면 해당 포스트를 침해 가능성으로 플래그한다.

고프로파일 계정(언론사, 기업 공식 계정 등)은 일일 활동 시간대가 제한적이고, 주로 동일한 애플리케이션(예: 공식 웹 인터페이스)에서 포스트를 작성한다는 특성이 뚜렷하다. 따라서 정상적인 포스트와 침해자가 급작스럽게 사용하는 비정상적인 시간대·앱·언어 조합 사이의 차이가 크게 나타나, COMPA는 높은 검출률과 낮은 오탐률을 동시에 달성한다. 반면 일반 사용자 계정은 다양한 디바이스·앱·언어를 사용해 행동 패턴이 분산되므로, 단일 포스트만으로는 높은 오탐률이 발생한다. 이를 보완하기 위해 COMPA는 “캠페인 탐지” 모듈을 도입한다. 동일한 내용·형식을 가진 다수의 포스트가 동시에 발생하면, 각각의 포스트에 대한 이상점수를 집계해 전체 캠페인 차원에서 침해 여부를 판단한다. 이 방식은 일반 사용자 계정이 다수 모여 대규모 스팸·피싱 캠페인을 수행할 경우에도 효과적으로 탐지한다.

실험에서는 2011‑2014년 트위터와 2007‑2009년 페이스북 데이터셋(각각 1.4 B, 106 M 포스트)을 활용해 COMPA를 적용했다. 고프로파일 계정 4건(AP, Fox News Politics, Skype, Yahoo! News) 침해 사례를 사전 탐지했으며, 가짜 침해 시도(미국 패스트푸드 체인의 홍보용 가짜 트위터 침해)에서는 정상으로 판정해 오탐을 방지했다. 대규모 탐색 결과 트위터에서 383 613건, 페이스북에서 11 087건의 침해 계정을 식별했으며, 전체 오탐률은 0.1% 이하로 보고되었다.

COMPA의 주요 강점은 (1) 기존 가짜계정 탐지와 달리 정상 사용자의 행동 변화를 학습해 침해를 감지한다는 점, (2) 고프로파일 계정에 대해 매우 낮은 오탐률을 유지한다는 점, (3) 캠페인 기반 집계 기법을 통해 일반 사용자 계정의 대규모 침해도 포착한다는 점이다. 한계로는 (가) 초기 프로파일 구축을 위해 최소 10개의 포스트가 필요하므로, 신규 계정이나 활동이 매우 적은 계정은 탐지 대상이 되지 않는다, (나) 모델이 시간에 따라 행동 변화를 자동으로 업데이트하지 않으며, 장기적인 행동 변화(예: 계정 운영 정책 변경) 시 재학습이 필요하다, (다) 트위터·페이스북 외 다른 플랫폼(인스타그램, 틱톡 등)에서는 API 제한이나 데이터 접근성 차이로 적용이 어려울 수 있다. 향후 연구에서는 온라인 학습 기반 프로파일 업데이트, 멀티모달 특징(이미지·동영상 메타데이터) 통합, 그리고 크로스플랫폼 협업 탐지 체계 구축이 제안된다.