서버실 한가운데 있는 SDN(소프트웨어 정의 네트워크).
이 기술은 네트워크 관리의 패러다임을 바꿨다.
전통적인 네트워크가 장비마다 제어와 데이터가 뒤엉켜 있었다면, SDN은 제어부(Control Plane)와 데이터부(Data Plane)를 분리했다. 덕분에 트래픽 관리가 유연해지고, 자원 배분도 더 똑똑해졌다.

하지만 달콤한 장점 뒤엔 허점도 컸다.
제어부가 중앙집중식이다 보니, 한 번 뚫리면 전체 네트워크가 마비될 수 있기 때문이다. 특히 DDoS나 봇넷 같은 대규모 공격은 물론, 탐지된 적 없는 ‘미탐지(Unseen) 공격’까지 막기란 쉽지 않다.

언어 모델이 네트워크 공격을 읽는다?

이 논문은 이 문제를 풀기 위해 흥미로운 해답을 내놨다. 바로 언어 모델 BERT를 SDN 보안에 도입한 것이다. 원래 BERT는 구글이 개발한 대규모 언어 모델로, 문맥을 양방향으로 읽어 문장을 이해하는 데 강하다.

그런데 연구진은 네트워크 흐름 데이터를 마치 문장처럼 바꿨다!
패킷 전송 시간, 길이, 헤더 길이 같은 주요 네트워크 특징들을 단어(token)로 취급하고, 이를 BERT에 넣어 학습시켰다. 그러면 모델이 네트워크 흐름에서 숨겨진 패턴을 읽어내고 이상 징후를 감지할 수 있다는 것이다.

단일 흐름이 아니라 여러 흐름을 묶는다

또 하나의 핵심은 단일 흐름이 아니라 복수의 흐름(멀티플로우)을 묶어서 분석한다는 점이다. 기존 AI 탐지 모델은 한 흐름만 보고 공격 여부를 판단했다. 하지만 공격자는 여러 흐름에 나눠서 공격 흔적을 숨기기도 한다.

연구진은 여러 흐름을 연결해 문장으로 만들고, 그 안의 연관성을 BERT가 파악하도록 했다. 이 덕분에 알려지지 않은 새로운 공격(제로데이 공격)까지 잡아낼 수 있다는 게 이 논문의 강점이다.

놀라운 실험 성적표

이론은 멋지지만 성능이 중요하다.
연구진은 InSDN이라는 실제 네트워크 데이터셋을 이용해 BERT 탐지 모델을 실험했다. 그 결과는 놀라웠다.

• 알려진 공격 탐지 정확도: 99.96%
• 미탐지 공격 탐지 정확도: 99.96%

기존 딥러닝(DNN), CNN 기반 모델보다 정확도가 높고, 탐지 성능의 편차도 적었다. 특히 미탐지 공격까지 잡아낸다는 점이 인상적이다.

AI로 네트워크 보안까지

AI가 텍스트를 이해하는 능력으로 네트워크 트래픽을 읽는다니!
기존에는 머신러닝으로 이상 징후를 잡아내려면 복잡한 특징 추출, 무거운 학습 데이터셋이 필요했다. 하지만 대규모 언어 모델을 쓰면, 대량의 사전 학습 덕분에 적은 데이터로도 강력한 탐지가 가능하다.

물론 한계도 있다. BERT는 연산량이 크기 때문에 실시간 처리 속도나 배포 비용을 어떻게 낮출지 연구가 필요하다. 그래도 이번 연구는 AI 보안 기술이 어디까지 확장될 수 있는지 한 걸음 더 보여줬다.

출처 논문
Swileh, M.N.; Zhang, S. (2025). Unseen Attack Detection in Software-Defined Networking Using a BERT-Based Large Language Model. AI 2025, 6, 154. https://doi.org/10.3390/ai6070154