실시간 트위터 봇넷 캠페인 탐지 기법

초록

본 논문은 트위터에서 활동하는 ‘잠복형’ 봇들을 실시간에 가깝게 탐지하기 위해, 복잡한 네트워크 분석이나 머신러닝 대신 최근 N개의 트윗과의 속성 비교만으로 점수를 산출하는 경량 알고리즘을 제안한다. 텍스트 유사도, 언어, 성별, 사용자 에이전트, 타임존 등 12가지 속성을 활용하고, 각 속성에 가중치를 부여해 전체 점수를 계산한다. 실험 결과 20개의 이웃 트윗(N=20)을 기준으로 920,008개의 트윗 중 14,585개의 봇을 식별했으며, 5시간 내에 전체 데이터를 처리할 수 있음을 보였다.

상세 분석

이 논문은 기존의 봇 탐지 연구가 주로 계정의 장기적인 행동 패턴, 팔로워·팔로잉 네트워크, 혹은 딥러닝 기반 특징 추출에 의존하는 반면, ‘활동이 거의 없는 잠복형 봇’은 이러한 정보가 부족해 탐지가 어려운 점을 지적한다. 저자는 이를 해결하기 위해 “시간 순서대로 정렬된 최근 N개의 트윗”을 기준으로 속성 일치를 검사하는 방식을 채택한다. 핵심 아이디어는 동일하거나 유사한 속성을 가진 트윗이 짧은 시간 간격 내에 다수 등장하면, 해당 트윗을 발행한 계정이 봇넷의 일원일 가능성이 높다는 가정이다.

속성은 크게 정량적·정성적으로 구분된다. 텍스트 유사도는 코사인 유사도 혹은 문자열 매칭 점수로 측정하고, 0.60.65의 임계값을 적용한다. 시간 차이는 4초(4000 ms) 이하를 기준으로 하며, 이는 봇 마스터가 명령을 전파하는 시간 창을 반영한다. 엔트로피와 감성 점수는 기존 연구에서 봇 계정이 낮은 엔트로피와 비정상적인 감성 패턴을 보인다는 결과를 차용한다. 그 외 언어, 성별, 사용자 에이전트, 타임존, 위치, 프로필 URL·설명 등 12가지 속성을 각각 0N 점(또는 N × 가중치)으로 환산한다.

점수 합산 후 전체 가능한 최대 점수와의 비율을 구해 ‘고점수 임계값’(0.25)을 초과하면 봇으로 분류한다. 저자는 N=20, 가중치(예: 텍스트 유사도 × 2, 엔트로피·감성 × 1.2 등) 및 임계값을 실험적으로 설정했으며, N을 늘릴수록 처리 시간은 증가하지만 탐지 정확도는 감소한다는 트레이드오프를 제시한다.

성능 평가는 여러 규모의 데이터셋(1 k250 k 트윗)에서 초당 처리량과 탐지된 봇 수를 보고한다. N=20일 때 초당 2030개의 트윗을 분석할 수 있었으며, 전체 920 k 트윗 중 14 585개(≈1.6%)를 봇으로 식별했다. 실제 계정 정지·삭제 결과와 비교했을 때 약 2 586개의 계정이 조치된 점은 제안 기법의 실효성을 뒷받침한다.

하지만 논문에는 몇 가지 한계가 있다. 첫째, ‘잠복형’ 봇을 정의하고 실제 라벨링하는 과정이 명확히 기술되지 않아 정밀도·재현율을 객관적으로 평가하기 어렵다. 둘째, 트윗 스트리밍 API만 사용했으며, 전체 Firehose(전 트윗)에서는 처리 속도가 급격히 저하될 가능성이 있다. 셋째, 가중치와 임계값을 경험적으로 설정했으므로 다른 도메인·언어에 적용할 때 재조정이 필요하다. 넷째, 동일 텍스트를 반복하는 경우와 실제 인간 사용자들의 동시 트렌드(예: 해시태그 캠페인)를 구분하는 메커니즘이 약하다.

향후 연구에서는 (1) 라벨링된 대규모 데이터셋을 구축해 통계적 검증을 수행하고, (2) 멀티코어·분산 처리 프레임워크(C++·Spark 등)로 확장해 Firehose 수준에서도 실시간 탐지를 목표로 해야 한다. 또한, 속성 선택을 최적화해 연산량을 줄이면서도 정확도를 유지하는 방법(예: 특징 선택 알고리즘)과, 감성·엔트로피 외에 URL·이미지 해시 등 추가적인 경량 신호를 결합하는 방안도 고려할 수 있다.