프리즘WF: 다중그레인 패치 기반 트랜스포머로 구현한 강인한 다중탭 웹사이트 지문 공격

본 논문은 Tor 네트워크를 이용한 익명 통신 환경에서도 암호화된 트래픽 메타데이터만으로 사용자가 방문한 웹사이트를 추론할 수 있는 웹사이트 지문(Website Fingerprinting, WF) 공격의 최신 동향을 다룬다. 기존 대부분의 WF 연구는 단일 탭(한 번에 하나의 웹사이트만 열림) 가정을 전제로 하여, 패킷 크기·방향·시간 간격 등 통계적 특징을 활용하거나, 딥러닝 기반 엔드‑투‑엔드 모델(AWF, DF, Var‑CNN 등)으로 성능을 끌어올렸다. 그러나 실제 사용자는 다중 탭을 동시에 열어 여러 사이트에 접속하고, 이때 발생하는 패킷이 섞여 하나의 트래픽 시퀀스로 관측된다. 이러한 “멀티탭 트래픽 혼합”은 단일 탭 모델의 정확도를 급격히 떨어뜨리며, 기존 다중탭 접근법(BAPM, DETR‑style, ARES, CountMamba 등)도 (① 원시 트래픽을 충분히 표현하지 못함, ② 일반적인 딥러닝 구조를 그대로 적용해 복합 패턴을 포착하지 못함, ③ 동시 탭 수를 사전에 알아야 함)이라는 한계를 가지고 있다. 이에 저자들은 **PrismWF**라는 새로운 프레임워크를 제안한다. PrismWF는 크게 네 단계로 구성된다. 1. **강인한 트래픽 표현**: 원시 패킷 시퀀스를 “트래픽 집계 매트릭스(TAM)”와 유사한 2×N 행렬로 변환한다. 여기서 N은 전체 로딩 시간을 일정 시간 간격(d)으로 나눈 횟수이며, 각 열은 업스트림·다운스트림 패킷 수를 기록한다. 이 방식은 패킷 크기·방향·시간 정보를 압축하면서도 방어 메커니즘(패딩·지연)에 대한 내성을 확보한다. 2. **다중그레인 특징 추출**: 서로 다른 수용 영역을 갖는 1D 컨볼루션(예: 커널 크기 3, 7, 15)을 병렬로 적용해 세밀(granular)·중간·거시(coarse) 특징 맵을 동시에 얻는다. 각 그레인별 특징은 동일한 차원으로 정규화돼 이후 트랜스포머 블록에 입력된다. 3. **다중그레인 어텐션 블록(Multi‑Granularity Attention Block)**: 세 가지 계층적 상호작용 메커니즘을 도입한다. - *세분화 보완*: 거시 그레인 토큰에 세밀 그레인 토큰을 가중치‑합산해 세부 정보를 보강한다. - *패치 간 라우터 토큰*: 각 그레인 내부에서 라우터 토큰을 생성하고, 이 토큰이 모든 패치와 어텐션을 수행해 그레인 전체의 의미적 요약을 학습한다. - *라우터‑가이드 이중 융합*: 라우터 토큰들을 서로 연결해 교차‑그레인 어텐션을 수행하고, 동시에 각 그레인 내부에서도 라우터 중심 어텐션을 재실행한다. 이를 통해 전역‑지역 정보 흐름이 동시에 최적화된다. 4. **웹사이트 식별**: 최종 라우터 토큰들을 concatenate하고, 다중라벨(동시 탭 수에 상관없이) 분류 헤드에 전달한다. 이때 모델은 탭 수를 사전에 알 필요가 없으며, 출력된 라벨 집합이 실제 방문한 사이트를 나타낸다. **실험**은 다음과 같이 설계되었다. - **데이터셋**: 공개된 WF 데이터셋(Closed‑World 100 사이트, Open‑World 1000 사이트 이상)과 자체 구축한 멀티탭 혼합 트래픽(동시 탭 2~5) 등을 사용했다. - **비교 모델**: 기존 단일탭 모델(AWF, DF, Var‑CNN), 최신 다중탭 모델(BAPM, DETR‑style, ARES, CountMamba)과 비교하였다. - **방어 시나리오**: BuFLO, WTF‑PAD, FRONT, ALER‑T 등 4가지 정규화 기반 방어를 적용한 트래픽에서도 평가하였다. 주요 결과는 다음과 같다. - **정확도**: Closed‑World에서 Top‑1 정확도가 98.3%에 달했으며, 이는 기존 최고 성능 모델 대비 4.5%p 상승했다. Open‑World에서도 평균 F1‑score가 0.87로 가장 높았다. - **멀티탭 상황**: 동시 탭 수가 5까지 증가해도 Top‑k( k=5) 정확도가 85% 이상 유지되었으며, 이는 BAPM 등 기존 모델이 70% 수준에 머물던 것에 비해 큰 차이를 보였다. - **방어 내성**: 모든 방어 기법 적용 시에도 평균 정확도가 80% 이상으로, 특히 ALER‑T와 같은 강력한 방어에서도 78% 수준을 유지했다. - **탭 수 독립성**: 모델은 사전 탭 수 정보를 필요로 하지 않으며, 실제 테스트에서는 탭 수를 추정하는 별도 모듈 없이도 높은 성능을 기록했다. **분석 및 논의**에서는 PrismWF가 다중그레인 어텐션을 통해 “전역적인 흐름 파악 + 지역적인 세부 보강”이라는 인지적 메커니즘을 구현함으로써, 섞인 트래픽에서도 각 웹사이트의 고유 패턴을 효과적으로 분리한다는 점을 강조한다. 라우터 토큰은 각 그레인에서의 “요약 질의” 역할을 수행해, 기존 Transformer가 겪는 장기 의존성 문제를 완화한다. 또한, 다중그레인 구조가 방어 메커니즘에 의해 발생하는 잡음(패딩·지연)을 서로 다른 스케일에서 보정하기 때문에, 방어에 대한 강인성이 크게 향상된다. **제한점 및 향후 과제**로는 (1) 매우 긴 트래픽(수천 패킷)에서 메모리·연산 비용이 급증한다는 점, (2) 라우터 토큰 수와 그레인 수에 대한 하이퍼파라미터 선택이 데이터셋에 민감하다는 점, (3) 실시간 공격 시나리오에서의 지연(Latency) 문제 등이 제시된다. 향후 연구에서는 토큰 압축(예: Linformer, Performer)과 동적 라우터 생성, 그리고 온라인 학습 기법을 결합해 실시간 다중탭 WF 공격에 적용할 가능성을 제시한다. 결론적으로, PrismWF는 다중탭 웹사이트 지문 공격 분야에서 **다중그레인 패치‑기반 트랜스포머**라는 새로운 패러다임을 제시하며, 기존 모델 대비 현저히 높은 정확도와 방어 내성을 입증하였다. 이는 Tor와 같은 저지연 익명 네트워크의 보안 평가에 중요한 도구가 될 뿐 아니라, 방어 설계자들에게도 보다 강력한 위협 모델을 제공한다.