에너지 분야 NIDS 데이터셋의 보안 위협 격차 분석

초록

본 논문은 에너지 산업의 IT/OT 융합 환경에 적용되는 네트워크 침입 탐지 시스템(NIDS)의 효과성을 검증하기 위해, 대표적인 공개 데이터셋 5개를 MITRE ATT&CK 기술과 매핑하고 커버리지를 정량화하였다. 분석 결과 Sherlock과 CIC‑IDS2017이 상대적으로 높은 평균 커버리지를 보였으며, 세 데이터셋을 결합하면 전체 기술의 92 %를 포괄할 수 있음을 확인하였다. 특히 측면 이동과 산업 프로토콜 조작 기술이 크게 부족함을 지적한다.

상세 요약

연구는 먼저 에너지 부문에서 보고된 실제 사이버 사건을 기반으로 MITRE ATT&CK for Enterprise와 ATT&CK for Industrial Control Systems(ICS)에서 총 274개의 기술을 추출하였다. 이 중 네트워크 레벨에서 직접 관측 가능한 94개의 기술을 선정하고, 각 기술이 해당 데이터셋에 포함된 트래픽 시나리오와 얼마나 일치하는지를 5단계 분석 프레임워크(수집·전처리·라벨링·매핑·커버리지 계산)를 통해 평가하였다. 데이터셋별 커버리지는 평균값으로 산출했으며, Sherlock(0.56)과 CIC‑IDS2017(0.55)이 가장 높은 점수를 기록했다. 반면 SWaT와 WADI는 각각 0.38으로 낮은 커버리지를 보였으며, 이는 주로 OT 전용 시뮬레이션 환경이 제한된 공격 벡터만을 포함하고 있기 때문이다. CIC‑Modbus2023은 Modbus 기반 공격에 특화돼 있어 특정 프로토콜 변조 기술에서 높은 점수를 얻었지만, 전체적인 다양성에서는 중간 수준에 머물렀다. 세 데이터셋을 결합(CIC‑IDS2017 + Sherlock + CIC‑Modbus2023)하면 92 %의 종합 커버리지를 달성해, 서로 보완적인 특성을 확인할 수 있었다. 특히 측면 이동(Lateral Movement)과 산업 프로토콜 조작(Protocol Manipulation) 영역에서 30 % 이상 기술이 누락돼, 향후 데이터셋 설계 시 이러한 시나리오를 포함해야 함을 강조한다. 또한, 라벨링 일관성 문제와 트래픽 재현성 한계가 평가 정확도에 영향을 미칠 수 있음을 논의하였다.