동적 베이지안 게임을 활용한 적대적·방어적 사이버 기만 전략

초록

본 장에서는 공격자와 방어자 사이의 정보 비대칭을 모델링하기 위해 정적·동적 베이지안 게임, 시그널링 게임, 그리고 다단계 게임을 적용한다. 유형(type)이라는 확률 변수로 사용자의 정체성을 숨기고, 방어자는 허니팟·허니파일 등 기만 기술을 통해 공격자의 불확실성을 높인다. Nash Equilibrium, Bayesian Nash Equilibrium, Perfect Bayesian Nash Equilibrium 분석을 통해 공격자의 행동을 예측하고, 사전 예방적 방어 정책을 설계하는 방법을 제시한다.

상세 분석

이 논문은 사이버 보안 분야에서 전통적인 방화벽·IDS가 한계에 봉착한 현실을 인식하고, 게임 이론을 통한 전략적 방어 체계를 제안한다. 첫 단계에서는 완전 정보 정적 게임을 소개하고, 공격자와 방어자의 행동 집합과 보상 행렬을 명시한다. 여기서 Nash Equilibrium 존재를 증명함으로써 양측이 서로의 전략을 고려한 최적 반응을 도출한다. 그러나 실제 사이버 환경은 공격자의 유형(정당 사용자 vs. 악성 공격자)이 은닉된 상태이며, 이는 ‘type’이라는 확률 변수로 모델링되는 베이지안 게임으로 확장된다. 공격자는 자신의 유형을 알고 베이지안 전략을 선택하고, 방어자는 사전 확률(b₀¹)으로 유형 분포를 추정한다. 이때 Bayesian Nash Equilibrium은 방어자가 유형에 대한 사전 지식만을 바탕으로 최적 방어 정책을 수립하도록 한다.

다음으로 논문은 일방적 정보 비대칭을 갖는 시그널링 게임을 도입한다. 공격자는 자신의 행동을 신호(signal)로 보내고, 방어자는 이를 관찰해 사후 확률(posterior) 업데이트를 수행한다. 여기서 Perfect Bayesian Nash Equilibrium(PBNE)는 방어자가 신호에 대한 베이즈 업데이트 규칙과 최적 방어 행동을 동시에 만족하는 전략 프로파일을 의미한다. 이는 공격자의 기만 행위(예: 희생 공격)를 방어자가 정확히 식별하고 대응할 수 있는 이론적 기반을 제공한다.

마지막으로 다단계 동적 베이지안 게임을 APT(Advanced Persistent Threat)와 Tennessee Eastman(TE) 프로세스 사례에 적용한다. 두 측면의 불완전 정보가 동시에 존재하는 ‘양측 불완전 정보(two‑sided incomplete information)’ 상황을 고려한다. 방어자는 허니팟·허니파일 등 방어적 기만 수단을 활용해 공격자의 인식에 불확실성을 주입하고, 공격자는 지속적인 정찰·침투 과정을 통해 신뢰도를 업데이트한다. 이 과정에서 각 단계마다 베이즈 규칙에 따라 신념(belief) 업데이트가 이루어지며, 최종적으로 PBNE를 통해 장기적인 방어 정책이 도출된다.

핵심 인사이트는 다음과 같다. ① 유형 변수를 도입함으로써 공격자의 은폐·위장 행동을 정량화할 수 있다. ② 시그널링 게임을 통해 방어자는 공격자의 신호를 해석하고, 베이즈 업데이트를 기반으로 동적 방어 전략을 설계한다. ③ 다단계 모델은 APT와 같은 장기적 위협에 대한 방어 효율성을 평가하고, 방어적 기만이 공격자의 의사결정에 미치는 영향을 정량적으로 분석한다. ④ NE, BNE, PBNE 각각의 균형 개념을 활용해 방어자는 최악의 상황(보수적)과 평균 상황(베이지안) 모두에 대비할 수 있다. 이러한 이론적 프레임워크는 실제 사이버 물리 시스템에 적용 가능한 정책 설계와 시뮬레이션 기반 검증을 가능하게 한다.