딥 생성 모델로 보는 사이버 공격 실시간 탐지

초록

본 연구는 변분 추론 기반 딥 생성 모델을 활용해 물 공급 시스템의 정상 동작을 자동 학습하고, 센서 데이터만으로 사이버 공격을 실시간 탐지한다. 시뮬레이션된 PLC 해킹·액추에이터 오작동·위장 공격을 재현했으며, 재현 확률 그래프를 통해 공격을 식별했지만, 임계값 최적화가 필요하다.

상세 분석

이 논문은 변분 자동 인코더(Variational Auto‑Encoder, VAE)를 핵심으로 하는 딥 생성 모델을 사이버 공격 탐지에 적용한 점이 가장 큰 특징이다. VAE는 인코더가 입력 데이터(펌프 압력, 탱크 수위 등)를 저차원 잠재 변수 z에 매핑하고, 디코더가 z로부터 원본 데이터를 재구성하도록 학습한다. 변분 추론을 통해 잠재 공간의 사후 분포 q(z|x)를 정규분포로 근사함으로써, 학습 과정에서 KL 발산을 최소화하고 모델이 정상 데이터의 통계적 특성을 효율적으로 포착한다.

모델은 사전 정의된 물리적 방정식이나 시스템 토폴로지를 전혀 사용하지 않는다. 즉, ‘블랙박스’ 접근법으로 원시 센서 시계열을 그대로 입력하고, 자동으로 특징을 추출한다는 점에서 기존의 규칙 기반 혹은 전문가 주도형 탐지기와 차별화된다. 학습 단계에서는 정상 운영 시나리오만을 사용해 모델이 정상 상태의 재현 확률 p(x)≈N(x;μ,σ²)를 최대화하도록 한다. 추론 단계에서는 실시간으로 들어오는 관측값에 대해 재현 확률을 계산하고, 사전에 정의한 임계값 이하로 떨어지면 이상(공격)으로 판정한다.

실험은 물 공급 시스템 시뮬레이터를 이용해 세 가지 공격 시나리오를 구현했다. 첫 번째는 PLC 프로그램을 변조해 펌프 제어 로직을 변경하는 해킹, 두 번째는 악의적인 액추에이터 활성화로 물 흐름을 비정상적으로 조절, 세 번째는 센서 데이터 위조(디셉션) 공격이다. 각 공격은 정상 데이터와는 다른 통계적 패턴을 만들며, 모델은 재현 확률 그래프에서 급격한 하강을 보였다. 특히, 공격이 시작되는 시점과 지속 시간 모두를 정확히 포착했으며, 재현 확률이 최소값에 도달한 구간이 실제 공격 구간과 높은 일치도를 보였다.

하지만 논문은 몇 가지 한계도 명시한다. 첫째, 재현 확률 임계값을 고정하면 정상 변동성(예: 급격한 수요 변화)에도 오탐이 발생한다. 둘째, VAE의 잠재 공간 차원 선택이 탐지 성능에 민감하게 작용한다는 점에서 하이퍼파라미터 튜닝이 필요하다. 셋째, 현재는 시뮬레이션 데이터에만 검증했으며, 실제 현장 데이터에 대한 일반화 능력은 추가 실증이 요구된다. 향후 연구에서는 베이지안 최적화로 임계값 자동 조정, 시계열 특성을 강화한 변형 VAE(예: Temporal VAE), 그리고 다중 센서 융합을 통한 다중 모달 탐지를 목표로 한다.

전반적으로 변분 추론 기반 딥 생성 모델이 물 인프라와 같은 복합 시스템에서 비지도 학습으로 사이버 공격을 탐지할 수 있음을 실증했으며, 이는 다른 산업 제어 시스템(ICS) 분야에도 확장 가능성이 높은 접근법이다.