CAN IDS의 적대적 취약성 오탐과 누락 공격 평가

초록

본 논문은 ROAD 데이터셋을 이용해 CAN 기반 침입 탐지 시스템(ID​S)의 적대적 강인성을 평가한다. FGSM, BIM, PGD와 같은 그래디언트 기반 공격으로 페이로드 바이트를 변조하여 정상 프레임은 오탐으로, 악성 프레임은 누락으로 만들 수 있음을 실험적으로 입증한다. 얕은 학습 모델(Decision Tree, Random Forest, Extra Trees, XGBoost)과 심층 신경망(DNN)을 비교했으며, DNN은 정상 트래픽에서 가장 높은 정확도를 보였지만 모든 모델이 공격에 취약함을 확인했다. 특히 Extra Trees는 누락 공격에 대한 상대적 내성을 보였다.

상세 분석

이 연구는 차량 내 CAN 버스 보안에서 머신러닝 기반 IDS가 실제 공격 상황에 얼마나 취약한지를 체계적으로 분석한다. 먼저, CAN 프레임의 페이로드 바이트(0~255 범위)만을 변조 대상으로 삼아 프로토콜 준수를 유지함으로써 현실적인 공격 모델을 설정하였다. 이는 기존 연구가 종종 전체 프레임 구조를 무시하고 비현실적인 변조를 가하는 문제를 보완한다. 공격 생성에는 FGSM(단일 스텝), BIM(다중 스텝), PGD(다중 스텝 + 랜덤 초기화) 세 가지 표준 방법을 사용했으며, 모두 백색-box 가정 하에 IDS의 손실 함수에 대한 그래디언트를 직접 계산한다.

실험에 사용된 ROAD 데이터셋은 3.5시간 이상의 실제 차량 CAN 트래픽을 포함하고, 12개의 정상 캡처와 33개의 다양한 공격 캡처(무작위 퍼징, 엔진 냉각 온도 위조, 속도계 위조 등)로 구성된다. 프레임 단위로 독립적인 피처(8바이트)와 라벨을 추출해 CSV 형태로 전처리했으며, 시계열 정보를 배제함으로써 모델이 개별 프레임의 특성에만 의존하도록 설계했다.

비교 대상 모델은 전통적인 얕은 학습 모델(DT, RF, ET, XGB)과 4개의 완전 연결 레이어(각 16 뉴런)로 구성된 DNN이다. 평상시(클린) 데이터에 대한 성능은 모든 모델이 높은 정확도와 낮은 FPR/FNR을 기록했으며, 특히 DNN이 가장 우수했다. 그러나 적대적 변조를 가했을 때는 두 가지 주요 실패 모드가 드러났다. 첫째, 정상 프레임에 미세한 변조를 가해 오탐을 유발하는 경우로, 이는 시스템의 과잉 경보와 운전자 신뢰 저하를 초래한다. 둘째, 악성 프레임을 변조해 IDS가 놓치게 하는 누락 공격으로, 이는 실제 차량 제어에 직접적인 위험을 야기한다.

실험 결과, 모든 모델이 오탐 유도에 대해서는 비교적 견고했으나, 누락 공격에 대해서는 심각한 취약성을 보였다. 특히 DNN은 오탐 억제에서는 강했지만, FGSM·BIM·PGD에 의해 누락률이 크게 증가했다. 반면 Extra Trees는 다중 스텝 공격에서도 누락률 상승 폭이 가장 작아, 얕은 앙상블 모델이 특정 상황에서 더 높은 강인성을 가질 수 있음을 시사한다. 또한, 공격 강도(ε 값)를 증가시킬수록 모든 모델의 FNR이 급격히 상승했으며, 이는 차량 안전에 직접적인 위협이 된다.

이 논문은 기존 연구가 주로 오탐 혹은 누락 중 하나에만 초점을 맞춘 반면, 두 실패 모드를 동시에 고려한 통합 평가 프레임워크를 제시한다. 프로토콜 제약을 반영한 페이로드 수준의 변조, 다양한 공격 강도와 다중 스텝 기법, 그리고 얕은 모델과 딥러닝 모델의 포괄적 비교를 통해 실제 차량 환경에서의 IDS 설계 시 고려해야 할 중요한 인사이트를 제공한다. 향후 연구에서는 시계열 기반 특징, 방어적 학습(Adversarial Training) 및 탐지기 다중화 등을 통해 이러한 적대적 위협에 대한 방어 전략을 모색할 필요가 있다.