동적 봇넷 형성 모델링·분석·완화 방안

이 논문은 무선 사물인터넷(IoT) 네트워크에서 디바이스‑투‑디바이스(D2D) 통신을 이용한 악성코드(봇) 전파와 그에 따른 봇넷 형성을 체계적으로 분석하고, 방어자가 최소한의 운영 비용으로 봇넷을 억제할 수 있는 최적 패치 전략을 제시한다. 먼저 네트워크 모델을 정의한다. IoT 디바이스는 2차원 평면에 동질 포아송 점 과정(PPP)으로 무작위 배치되며, 각 디바이스는 반경 r 내의 이웃과 무선 연결을 형성한다. 이때 차수 K는 포아송 분포 π_k 로 표현되고, 평균 차수는 λπr² 로 계산된다. 전송 성공 확률 ρ는 물리적 간섭·채널 조건을 추상화한 파라미터이며, 실제 스터디에서는 스터링거 모델링 대신 ρ를 고정값으로 두어 분석을 단순화한다. 위협 모델에서는 전체 디바이스 중 비율 p가 취약하다고 가정한다. 봇은 두 종류의 트래픽을 발생시키는데, 악성코드 전파율을 γ_b, 제어 명령 전파율을 γ_c 라고 한다. 두 전파율의 합은 스텔스 운영을 위해 제한된다. 봇은 전파 과정에서 성공적인 전송이 이루어질 경우, 취약 디바이스를 감염시켜 악성코드 상태로 전이한다. 감염된 디바이스는 이후 제어 명령을 주고받으며, 이를 ‘인포메이션 인식’ 상태라고 부른다. 방어자는 주기적으로 디바이스를 패치한다. 패치율은 차수 K에 따라 다르게 설정될 수 있으며, 이를 μ_k 로 표기한다. 차수별 패치율을 다르게 두는 이유는 네트워크에서 차수가 큰 디바이스가 허브 역할을 하여 전파 효율에 큰 영향을 미치기 때문이다. 수학적 모델링은 동적 인구 과정(population process) 이론을 차용한다. 상태 공간을 세 가지 클래스로 구분한다: (1) 무감염(정상) 디바이스, (2) 악성코드에 감염된 디바이스, (3) 제어 명령을 인식한 감염 디바이스. 평균장 가정 하에 각 상태 비율의 시간 변화식을 미분 방정식 형태로 도출한다. 차수 K에 대한 평균 연결 확률 σ_1, σ_2, θ̃, θ_B 등을 도입해 이웃 디바이스의 상태가 전이율에 미치는 영향을 정량화한다. 평균장 균형(steady‑state) 해를 구하기 위해 고정점 방정식을 풀고, 차수별 기대값을 근사한다. 이 과정에서 비볼록 최적화 문제가 등장한다. 저자들은 라그랑주 이중성을 이용해 영 이중갭(zero duality gap)을 증명함으로써, 비볼록 문제라도 이중 문제를 풀어 전역 최적해를 얻을 수 있음을 보인다. 최적화 목표는 두 가지 제약을 만족하면서 전체 패치 비용을 최소화하는 것이다. 첫 번째 제약은 네트워크 내 최소 비감염 비율 τ̃_B 를 보장하는 것이고, 두 번째 제약은 인포메이션 인식 봇 비율 τ_BI 를 제한하는 것이다. 최적화 변수는 차수별 패치율 μ_k 이다. 해결 방법은 이중분해(dual decomposition) 알고리즘이다. 각 차수 K에 대해 서브문제를 독립적으로 해결하고, 라그랑주 승수(λ_1, λ_2)를 업데이트한다. 알고리즘은 수렴 속도가 빠르고, 분산 구현이 가능해 실제 네트워크에 적용하기 용이하다. 실험에서는 뉴욕시 LinkNYC 와이파이 핫스팟 데이터를 이용해 실제 디바이스 배치를 PPP 모델에 매핑하고, 통신 반경 140 m 를 가정해 차수 분포를 검증한다. 시뮬레이션 결과, 차수 기반 패치 정책이 고차수 디바이스에 높은 패치 빈도를 부여함으로써 전체 네트워크의 감염 비율을 크게 낮추고, 제어 명령 인식 봇 비율도 제한한다. 파라미터 민감도 분석을 통해 λ (디바이스 밀도), p (취약 비율), γ_b, γ_c 의 변화가 최적 패치 정책에 미치는 영향을 상세히 제시한다. 결론적으로, 이 연구는 (1) 무선 IoT 네트워크의 공간적 특성을 포아송 점 과정으로 정량화, (2) 동적 인구 과정과 평균장 이론을 결합해 봇넷 전파를 수학적으로 모델링, (3) 비볼록 최적화 문제에 대한 이중갭 존재 증명을 통해 효율적인 최적 패치 정책을 도출, (4) 실제 도시 규모 데이터에 적용해 실용성을 검증한다는 점에서 학술적·실무적 의의를 가진다. 향후 연구는 CSMA와 같은 실제 MAC 프로토콜을 포함한 모델 확장, 다중 봇마스터 시나리오, 그리고 실시간 적응형 패치 스케줄링 등을 다룰 수 있다.