효율적인 공격 그래프 분석을 위한 근사 추론

본 논문은 사이버 보안 분야에서 공격 그래프(Attack Graph, AG)를 활용한 위험 평가의 확장성을 문제로 삼는다. AG는 네트워크의 취약점과 그 상호 의존성을 그래프 형태로 표현해, 공격자가 취약점을 연쇄적으로 이용해 목표에 도달하는 경로를 시각화한다. 기존 연구에서는 AG를 베이즈 네트워크(Bayesian Network, BN)로 모델링한 Bayesian Attack Graphs(BAG)를 통해 정적(static) 및 동적(dynamic) 위험 분석을 수행했으며, 정확한 확률 추정을 위해 Variable Elimination(VE)이나 Junction Tree(JT)와 같은 정확한 추론 기법을 사용했다. 그러나 이러한 정확한 방법은 그래프가 조밀하거나 노드 수가 수천에 달할 경우 연산 복잡도가 NP‑Hard 수준으로 급증해 실용성이 떨어진다. 이에 저자들은 근사 추론 기법인 Loopy Belief Propagation(LBP)을 BAG에 적용한다. LBP는 메시지 전달 방식을 기반으로 하며, 사이클이 존재하는 그래프에서도 반복적인 업데이트를 통해 근사적인 마진 확률을 계산한다. 논문은 LBP의 두 가지 구현을 제시한다. 첫 번째는 순차적 업데이트 방식으로, 각 노드가 이웃으로부터 받은 메시지를 순차적으로 갱신한다. 두 번째는 병렬 구현으로, 멀티코어 환경에서 각 노드가 동시에 메시지를 계산하고 교환함으로써 처리 속도를 크게 향상시킨다. 두 구현 모두 이론적으로 노드 수 N에 대해 O(N)의 시간 복잡도를 보이며, 메모리 사용량도 선형적으로 증가한다. 정적 분석에서는 각 취약점에 사전 확률을 부여하고, LBP를 통해 각 노드가 공격자에 의해 타격될 무조건적 확률을 추정한다. 동적 분석에서는 SIEM, IDS 등에서 수집된 증거(evidence)를 베이즈 네트워크에 관측 변수로 삽입해 사후 확률을 업데이트한다. LBP는 증거가 추가될 때마다 전체 그래프를 재계산하지 않고, 기존 메시지를 재전파함으로써 빠른 갱신이 가능하다. 이는 실시간 위협 인텔리전스와 연계해 위험 상황을 즉시 파악하고 대응 전략을 수립하는 데 유리하다. 실험 설계는 합성 BAG를 다양한 토폴로지와 규모로 생성한다. 토폴로지는 체인, 트리, 완전 그래프, 그리고 클러스터링된 그래프(네트워크 군집화)로 구성되며, 노드 수는 500부터 10,000까지 변한다. 각 실험에서는 LBP(순차·병렬)와 JT를 동일한 입력 데이터에 적용해 실행 시간, 메모리 사용량, 그리고 추정 정확도(RMSE)를 비교한다. 결과는 다음과 같다. 1. **정확도**: LBP는 평균 제곱 오차(RMSE)가 0.03 이하로, 위험 순위 결정에 충분히 정확했다. 특히, 초기 5~10번의 반복만으로도 최종 확률과 거의 동일한 값을 제공했으며, 이는 조기 중단 전략을 통해 실시간 위험 평가가 가능함을 의미한다. 2. **시간·메모리 효율**: JT는 그래프가 조밀해질수록 클리크 트리 생성에 필요한 메모리가 급증하고, 실행 시간이 기하급수적으로 늘어났다. 반면 LBP는 노드 수에 비례하는 메모리만 사용했으며, 실행 시간도 선형적으로 증가했다. 특히 병렬 LBP는 4코어 환경에서 2.5배~3배 정도의 속도 향상을 보였다. 3. **동적 분석**: 증거가 추가될 때마다 JT는 전체 메시지 패스를 다시 수행해야 했지만, LBP는 기존 메시지를 재전파하는 방식으로 업데이트 시간을 크게 단축했다. 실험에서는 증거 삽입 후 평균 0.8초 내에 새로운 사후 확률을 제공했다(노드 5,000 기준). 4. **수렴 특성**: 일부 고밀도 그래프에서는 LBP가 완전 수렴하지 않을 수 있지만, 논문은 “수렴 임계값”을 설정해 일정 오차 이하에서 중단하는 방식을 제안한다. 이 방법은 실제 운영 환경에서 충분히 정확한 위험 추정치를 제공한다는 점을 실험을 통해 검증했다. 논문의 주요 기여는 다음과 같다. 첫째, 공격 그래프에 근사 추론을 최초로 적용해 대규모 네트워크에서도 실용적인 위험 분석이 가능하도록 했다. 둘째, 순차와 병렬 두 가지 LBP 구현을 비교·평가해, 실제 시스템에 맞는 구현 선택이 가능하도록 했다. 셋째, LBP가 정적·동적 분석 모두에서 정확도와 효율성을 동시에 만족한다는 것을 실험적으로 입증했다. 마지막으로, LBP의 조기 중단 전략을 통해 완전 수렴이 필요 없는 상황에서도 신속한 위험 완화 의사결정을 지원한다는 실용적 인사이트를 제공한다. 결론적으로, 이 연구는 공격 그래프 기반 위험 평가의 확장성을 크게 향상시켰으며, 사이버 방어 운영자가 실시간 위협 정보를 활용해 효과적인 방어 전략을 수립할 수 있는 기반을 마련한다. 향후 연구에서는 실제 기업 네트워크 데이터를 활용한 검증과, LBP와 Monte Carlo 시뮬레이션을 결합한 하이브리드 추론 기법을 탐색할 계획이다.