전력 가격 수요 시계열 정적 분석을 통한 사이버 공격 탐지

초록

본 논문은 뉴잉글랜드 9개 운영 구역의 일일 전력 수요·가격 데이터를 활용해 시계열의 정상성을 검증하고, 이동 평균·표준편차 및 Augmented Dickey‑Fuller 검정을 적용해 데이터 전처리 방법을 제시한다. 이를 기반으로 향후 사이버 공격 이상 탐지 모델 구축을 위한 기초 자료를 마련한다.

상세 분석

논문은 전력 시스템에서 사이버 공격을 조기에 탐지하기 위한 전처리 단계로 시계열 정상성 검증을 선택한 점이 의미 있다. 전력 시장 데이터는 계절성, 트렌드, 급격한 변동을 포함하는 비정상적 특성을 지니므로, 정상성을 확보하지 않으면 ARIMA·LSTM 등 후속 모델의 예측 정확도가 크게 저하될 수 있다. 저자는 9개 구역의 DA(일일 선물)와 RT(실시간) 수요·가격 네 변수에 대해 1시간 간격 혹은 15분 간격의 고해상도 데이터를 사용했으며, 각 변수별로 이동 평균(MA)과 이동 표준편차(MSD)를 24시간, 168시간(주간) 윈도우로 계산해 시계열의 평균·분산이 시간에 따라 일정한지를 시각적으로 확인한다. 이러한 시각적 검증은 데이터의 비정상성을 직관적으로 파악하는 데 유용하지만, 정량적 기준이 부족하다는 한계가 있다. 이를 보완하기 위해 Augmented Dickey‑Fuller(ADF) 검정을 적용했으며, 영가설(단위근 존재)을 기각하지 못하는 경우 차분(differencing) 혹은 로그 변환을 통해 정상성을 강제한다. 논문에서는 ADF 통계량과 p‑값을 표로 제시했지만, 차분 차수 선택 기준이나 계절 차분 여부에 대한 논의가 부족하다. 또한, 각 구역·변수별로 ADF 결과가 상이함에도 불구하고 동일한 전처리 파이프라인을 적용하는 것이 과연 최적인지에 대한 검증이 부족하다.

데이터 전처리 단계에서 이동 평균과 표준편차를 활용한 이상치 탐지는 전력 시장에서 급격한 가격 스파이크나 수요 급증을 사전 탐지하는 데 도움이 된다. 그러나 논문에서는 이상치 탐지 임계값을 3σ(표준편차)로 고정했으며, 이는 전력 시장의 비대칭적 변동성을 충분히 반영하지 못한다. 보다 정교한 방법으로는 변동성 모델(GARCH)이나 비선형 필터(Kalman) 등을 병행할 필요가 있다.

마지막으로, 논문은 “첫 번째 파트”라는 서술대로 이후 연구에서 사이버 공격 시뮬레이션 데이터와 결합해 이상 탐지 모델을 구축할 계획이라고 밝히지만, 현재 단계에서 데이터 라벨링(공격·정상) 여부가 전혀 언급되지 않아 실제 적용 가능성을 평가하기 어렵다. 향후 연구에서는 공격 시나리오별 특징을 정량화하고, 정상성 검증 후 남은 잔차(residual)를 이용한 이상 탐지 알고리즘(예: Isolation Forest, One‑Class SVM)과의 비교가 필요하다. 전반적으로 데이터 전처리와 정상성 검증에 대한 체계적 접근은 긍정적이지만, 차분 단계 선택 근거, 비정상성 처리 전략, 이상치 임계값 설정 등에 대한 심층적 논의가 보강된다면 사이버 공격 탐지 모델의 신뢰성을 크게 향상시킬 수 있다.