딥넷: 사이버 보안 세 분야에 적용한 심층 신경망 모델

초록

본 논문은 안드로이드 악성코드 분류, 인시던트 탐지, 금융 사기 탐지라는 세 가지 사이버 보안 과제에 대해 심층 신경망(DNN) 구조를 설계·튜닝하고, XGBoost 등 전통적 머신러닝 기법과 비교 실험을 수행하였다. 5계층 DNN(1024‑768‑512‑256‑128 유닛)과 학습률 0.1, 1000 epoch 설정이 최적으로 확인되었으며, 각각 94.0 %, 100 %, 97.2 %의 정확도를 달성하였다.

상세 분석

논문은 세 가지 실용적인 사이버 보안 시나리오에 DNN을 적용한 점에서 의의가 있다. 데이터셋은 각각 안드로이드 APK의 API 호출(61 730개), UTM 로그(9개 센서 특성), 합성 금융 거래(12개 특성)로 구성돼 있으며, 훈련·테스트 비율을 70:30으로 나누어 10‑fold 교차 검증을 수행하였다. 하이퍼파라미터 탐색 과정에서 은닉 유닛 수를 128부터 1024까지 단계적으로 늘려 1024가 최고 성능을 보였고, 학습률은 0.1이 가장 안정적이었다는 보고는 실험 설계가 체계적임을 보여준다. 그러나 학습률 0.35·0.45에서 정확도가 다시 상승하는 현상에 대한 설명이 부족하고, 최적 학습률 탐색을 500 epoch까지만 진행한 뒤 1000 epoch 전체 학습에 적용한 점은 과적합 위험을 충분히 검증하지 않은 것으로 보인다.

모델 구조는 5계층 DNN에 배치 정규화와 0.01 드롭아웃을 삽입해 과적합을 억제하려 했지만, 드롭아웃 비율이 매우 낮아 실제 정규화 효과가 제한적일 수 있다. 또한, 각 계층의 유닛 수가 급격히 감소하는 설계(1024→768→512→256→128)는 차원 축소 과정에서 정보 손실을 야기할 가능성이 있다. 활성화 함수로 ReLU를 사용하고, 출력층은 이진 분류에 sigmoid, 다중 클래스에 softmax을 적용했으며, 손실 함수는 이진·다중 교차 엔트로피를 사용하였다. 최적화 알고리즘은 SGD를 선택했지만, 학습률 스케줄링이나 모멘텀 적용 여부는 언급되지 않아 수렴 속도와 최종 성능에 영향을 미쳤을 가능성이 있다.

성능 비교에서는 XGBoost와의 정확도 차이를 제시했지만, 정밀도·재현율·F1‑score 등 다각적 평가 지표가 누락돼 실제 보안 현장에서의 실용성을 판단하기 어렵다. 특히 인시던트 탐지에서 100 % 정확도를 기록했는데, 이는 테스트 데이터가 과도하게 단순하거나 레이블링 오류가 없었을 가능성을 시사한다. 사기 탐지에서도 97.2 % 정확도는 인상적이지만, 클래스 불균형 여부와 ROC‑AUC 같은 지표가 제공되지 않아 모델의 신뢰성을 완전히 평가하기 어렵다.

논문의 서술 방식은 전반적으로 문법 오류와 오탈자가 다수 존재하며, 표와 그림에 대한 설명이 부족해 재현성을 저해한다. 하이퍼파라미터 탐색 과정에서 “두 트레일”이라는 표현이 모호하고, 실험 반복 횟수와 랜덤 시드 설정이 명시되지 않아 결과 재현에 어려움이 있다. 또한, 기존 연구와의 비교가 문헌 인용 위주로 이루어졌으며, 실제 성능 향상에 대한 정량적 근거가 약하다.

요약하면, 본 연구는 DNN을 사이버 보안 세 분야에 적용한 초기 시도라 할 수 있으나, 하이퍼파라미터 탐색의 깊이 부족, 평가 지표의 제한, 모델 설계에 대한 비판적 검토 부족, 그리고 논문 자체의 가독성 문제 등으로 인해 결과의 일반화와 실용적 적용에 대한 신뢰도가 다소 낮다. 향후 연구에서는 보다 풍부한 평가 지표, 교차 검증 외에 독립적인 베이스라인과의 비교, 그리고 모델 경량화와 실시간 추론 가능성 등을 고려해야 할 것이다.