분석가 검증 악성코드 사건의 미래 예측: 한 주 앞선 사이버 위협 인사이트

초록

본 연구는 미 국방부 CSSP에서 분석가가 검증한 악성코드 사건 데이터를 7년간 주간 집계한 뒤, 베이지안 상태공간모델과 마코프 모델을 활용해 1주일 선행 예측 가능성을 입증한다. 자동화된 센서 데이터와 달리 오탐이 거의 없으며, 예측 결과는 인력 배치·센서 설정 등 방어 자원 사전 할당에 활용될 수 있다.

상세 분석

이 논문은 기존 사이버 공격 예측 연구가 주로 네트워크 텔레스코프, 허니팟, 자동 침입 탐지 시스템 등에서 수집된 대량의 로그 데이터를 활용해 시계열 모델을 적용한 것과는 달리, 인간 분석가가 직접 검증한 ‘사이버 이벤트’ 데이터를 사용했다는 점에서 차별성을 가진다. 데이터는 미 국방부의 대형 운영 보안 서비스 제공업체(CSSP)에서 7년(약 365주) 동안 수집된 주간 악성코드 사건 수이며, 분석가 검증 절차를 거쳐 거짓 양성(false positive)이 거의 없다는 장점이 있다. 이러한 고품질 데이터는 기존 자동화된 소스가 갖는 잡음과 오탐 문제를 최소화해, 실제 공격 흐름을 보다 정확히 반영한다는 가정 하에 연구가 진행되었다.

예측 모델로는 베이지안 상태공간모델(Bayesian State Space Model, BSSM)을 채택했다. BSSM은 관측값과 잠재 상태를 확률적으로 연결해 시계열의 비선형성·비정상성을 포착할 수 있다. 논문에서는 사전 분포를 비정보적(uninformative)으로 설정하고, 마르코프 체인 몬테카를로(MCMC) 샘플링을 통해 사후 분포를 추정했다. 모델 검증 단계에서는 1주일 앞선 예측값의 평균 절대오차(MAE)와 예측 구간(credible interval)의 커버리지를 확인했으며, 결과적으로 평균 MAE가 0.8~1.2 사건 수준으로 낮아 실용적 예측이 가능함을 보였다.

또한 사건 발생의 ‘버스트(burst)’ 현상을 정량화하기 위해 이산 마코프 체인 모델을 적용했다. 상태 전이 확률을 추정함으로써 특정 주에 사건 수가 급증할 확률을 계산하고, 이를 기반으로 위험 경보 시스템에 활용할 수 있는 시나리오를 제시한다. 버스트 상태와 정상 상태 사이의 전이 확률이 0.15 정도로, 비교적 낮지만 존재함을 확인했으며, 이는 공격자들의 캠페인이나 악성코드 배포가 일정 주기에 집중되는 경향을 시사한다.

연구 결과는 기존 자동화 데이터 기반 예측이 보여준 ‘시스템성(systematicity)’과 일치한다는 점에서, 데이터 출처가 다르더라도 사이버 공격의 근본적인 패턴이 일정함을 뒷받침한다. 실무적 적용 측면에서는 1주일 선행 예측값을 활용해 분석가 인력 배치를 최적화하거나, 센서 감시 강도를 조절하는 등 사전 방어 전략을 수립할 수 있다. 특히, 예측 구간이 제공되므로 불확실성을 정량적으로 인식하고, 위험 관리 의사결정에 반영할 수 있다.

한계점으로는 데이터가 미 국방부 한 조직에 국한돼 있어 일반화 가능성이 제한적이며, 주간 집계라는 비교적 낮은 해상도가 일일 급변 상황을 포착하지 못한다는 점을 들 수 있다. 또한 베이지안 모델의 사전 설정과 MCMC 수렴 여부가 결과에 영향을 미칠 수 있어, 향후 연구에서는 다중 조직·다중 해상도 데이터를 통합하고, 딥러닝 기반 시계열 모델과의 비교 분석이 필요하다.

종합적으로, 분석가 검증 사건 데이터를 활용한 시계열 예측이 실용적이며, 사이버 방어 자원의 사전 배분과 위험 인식 향상에 기여할 수 있음을 실증적으로 보여준다.