SCADA 보안을 위한 딥러닝 기반 전천후 침입 탐지 시스템

본 논문은 산업 제어 시스템인 SCADA 네트워크의 보안 강화를 목표로, 시간적 상관관계가 있는 공격과 없는 공격을 모두 효과적으로 탐지할 수 있는 딥러닝 기반 전천후 침입 탐지 시스템(IDS)을 설계·평가한다. 연구 배경으로는 전통적인 시그니처 기반 IDS가 알려진 공격에만 대응하고, 전문가 지식에 크게 의존한다는 한계가 있다. 반면, 머신러닝 기반 이상 탐지 기법은 패킷 내부 특징을 학습하지만, 대부분이 시간적 연속성을 무시해 DoS·MITM 등과 같은 시간 의존 공격을 놓친다. 이를 해결하기 위해 저자들은 두 가지 딥러닝 모델을 선택한다. 첫 번째는 피드포워드 신경망(FNN)으로, 19개의 정규화된 패킷 특성을 입력받아 다중 클래스 분류를 수행한다. FNN은 비상관 공격(예: Pump Speed, Threshold 변동 등)에서 99.967 % F1 점수를 기록하며, 정적 특징에 기반한 높은 정확도를 보인다. 그러나 시간적 패턴을 학습하지 못해 플러딩 DoS와 MITM 같은 상관 공격에서는 58 %에 불과했다. 두 번째 모델은 장기 단기 메모리(LSTM) 네트워크이다. 입력 데이터를 10패킷(시간 창) 단위로 재구성하고, 두 개의 LSTM 레이어(각 10셀)와 시그모이드 활성화 층을 통해 시퀀스 정보를 학습한다. 결과적으로 LSTM은 상관 공격을 99.56 % F1, 비상관 공격을 99.3 % F1로 탐지해 시간적 의존성을 효과적으로 포착한다. 두 모델의 장단점을 보완하기 위해 앙상블 기법을 적용한다. FNN과 LSTM의 출력 확률을 평균하거나 가중 투표 방식으로 결합함으로써, 모든 공격 유형에 대해 99.68 % F1를 달성한다. 이 수치는 개별 모델보다 일관적으로 높은 성능을 보여, 시간적·비시간적 공격을 동시에 탐지할 수 있는 ‘전천후’ IDS의 가능성을 입증한다. 실험 환경은 가상화된 SCADA 테스트베드(두 개의 탱크, Modbus/TCP 기반 PLC 및 HMI)와 Kali Linux 기반 공격 머신으로 구성된다. 테스트베드는 MBLogic HMIBuilder와 HoneyD를 이용해 실제 산업 현장을 모사했으며, 10가지 공격 시나리오를 스크립트로 자동 생성했다. 데이터 수집은 ‘Defense Wall’ 가상 머신에서 PyShark로 수행했으며, 각 패킷을 정상·악성으로 라벨링했다. 특징 추출 단계에서는 IP·포트·시퀀스 번호·Modbus 기능·레지스터 값·시간 스탬프·Relative time·Threshold·Pump speed·Tank level 등 19개 변수를 선택했다. Relative time은 3000 초마다 0으로 리셋해 주기성을 제거했으며, MAC 주소는 MITM 라벨링에만 사용돼 학습에서는 제외했다. 모든 특성은 평균·표준편차 기반 정규화(z‑score)로 스케일링했다. 모델 구현은 Keras와 TensorFlow 기반으로 진행됐으며, 최적화 알고리즘은 Adam, 손실 함수는 FNN에 Softmax Cross‑Entropy, LSTM에 Binary Cross‑Entropy를 사용했다. 하드웨어는 NVIDIA TITAN‑X GPU를 활용했으며, 학습 파라미터(에포크, 배치 크기 등)는 실험을 통해 최적화했다. 평가 결과는 세 가지 관점에서 제시된다. 1) 개별 모델 성능: FNN은 비상관 공격에서 거의 완벽에 가깝지만 상관 공격에서는 낮은 검출률, LSTM은 반대로 상관 공격에서 우수하지만 비상관 공격에서는 약간 감소. 2) 앙상블 성능: 두 모델을 결합해 시간적·비시간적 공격 모두에 대해 99.68 % F1를 달성, 개별 모델 대비 일관적인 고성능. 3) 실시간 적용 가능성: 온라인 스크립트를 통해 실시간으로 정상·공격 트래픽을 혼합해 테스트했으며, 앙상블 IDS가 실시간 탐지 정확도와 반응 속도 모두 만족스러운 수준을 보였다. 결론적으로, 본 연구는 SCADA 네트워크에서 기존 시그니처 기반 및 단일 딥러닝 기반 IDS가 갖는 한계를 극복하고, 시간적 상관관계와 무관한 다양한 공격을 동시에 탐지할 수 있는 실용적인 프레임워크를 제시한다. 향후 연구에서는 실제 현장 적용을 위한 경량화 모델 설계, 다양한 프로토콜(예: DNP3) 확장, 그리고 강화학습 기반 적응형 방어 메커니즘을 탐구할 계획이다.