IoT 군집 보안, 이제는 '뇌'로 지킨다
“내가 고장 나면 다 같이 망한다?”
실제로 IoT 군집은 작은 단말기 수십 개, 많게는 수백 개가 유기적으로 연결돼 있어 하나의 시스템처럼 작동한다. 문제는 이 중 하나라도 악성 펌웨어(기기의 운영 코드를 뜻함)에 감염되면, 그 영향을 타 기기로 퍼뜨릴 수 있다는 점이다. 악성코드가 조용히, 그러나 빠르게 퍼지면 전체 시스템이 무력화되는 일도 생긴다.
모로코의 연구팀은 이 위협에 대한 근본적인 해결책을 제시했다. 인공지능, 그중에서도 ‘관계형 그래프 신경망(RGNN)’이라는 기술을 활용해, IoT 군집 안에서 이상 징후를 실시간으로 감지하고 퍼지는 공격까지 추적하는 시스템을 개발한 것이다.
감시도 복잡해졌다, 그래서 등장한 ‘똑똑한 두뇌’
지금까지의 보안 방식은 단순했다. 각 기기가 자신이 안전한지 증명하고, 그걸 중앙에서 점검하는 방식이다. 일종의 ‘자기소개서 확인’ 정도. 문제는 IoT 군집이란 구조상 기기끼리 계속 데이터를 주고받고, 하나의 흐름을 이룬다는 점이다. 단일 검사는 전체를 반영하지 못한다.
더군다나 기존 방식은 ‘펌웨어 복사본’이 있어야 제대로 검사할 수 있는데, 이건 제조사 입장에서 민감한 지식재산(IP) 문제로 이어진다. 즉, 현실성 없는 접근이다.
그래서 연구팀은 기존 접근을 확 뜯어고쳤다. 펌웨어 자체는 들여다보지 않고, 그 펌웨어가 실행되면서 남기는 ‘SRAM’이라는 일시적 메모리 흔적을 통해 이상 유무를 감지하는 방식이다. 그리고 이를 해석할 ‘뇌’로 선택한 것이 RGNN, 관계형 그래프 신경망이다.
메모리 흔적을 해석하는 똑똑한 눈
SRAM은 기기가 작동할 때 메모리에 생기는 흔적이다. 마치 사람이 특정 상황에서 비슷한 생각 패턴을 보이듯, 같은 펌웨어는 비슷한 SRAM 패턴을 만든다. 이 흔적이 평소와 다르다면, 뭔가 문제가 생겼다는 뜻이다.
여기에 RGNN이 등장한다. RGNN은 각 기기를 하나의 ‘노드’로 보고, 기기 간 데이터 교류를 ‘관계’로 해석해 하나의 거대한 그래프를 만든다. 일반적인 그래프 신경망(GNN)은 이 연결을 단순한 선으로만 처리하지만, RGNN은 그 연결이 어떤 종류의 정보인지까지 구분한다. 예컨대, 단순한 명령 전달인지(프롬프트), 센서에서 받은 원시 데이터인지, 아니면 가공된 결과값인지까지 고려하는 것이다.
이 덕분에 RGNN은 “어디에서 문제가 시작됐고, 어디까지 퍼졌는가?”를 정밀하게 추적할 수 있다. 단순히 “이상 있음”을 넘어 “이상 감염 경로”까지 보여주는 셈이다.
결과는? 사실상 완벽했다
연구팀은 실제로 두 가지 IoT 군집 시나리오를 설계했다. 하나는 4개 노드로 이뤄진 소형 군집, 다른 하나는 6개 노드의 대형 군집이다. 각 노드에는 정상 상황과 다양한 이상 상황을 부여했고, RGNN이 이를 얼마나 잘 감지하는지를 테스트했다.
그 결과가 놀라웠다. 4노드 군집에서는 99.94%의 정확도, 99.85%의 이상 탐지율을 기록했고, 6노드 군집에서는 정확히 100%였다. 심지어 노이즈가 끼거나, 일부 데이터가 누락되거나, 예전 데이터를 반복해서 쓰는 ‘트레이스 리플레이 공격’에도 RGNN은 99.8% 이상의 정확도를 유지했다.
게다가 처리 속도도 빠르다. 최신 GPU 기준으로 훈련에 10분, 실시간 감지엔 0.1초밖에 걸리지 않는다. 단순히 ‘정확하다’가 아니라, ‘쓸 수 있을 만큼 빠르다’는 뜻이다.
IoT 군집의 새 보안 패러다임
이 연구는 단순히 알고리즘 성능 향상을 넘어, IoT 보안의 방향성을 바꿨다. 복잡한 펌웨어 분석이나 제조사 데이터 공유 없이도, SRAM과 AI만으로 군집 전체를 실시간 감시할 수 있는 가능성을 보여줬기 때문이다.
이는 특히 지식재산 보호가 중요한 산업 환경에서 강력한 무기가 될 수 있다. 예컨대 스마트 농업에서 물을 관리하는 센서가 고장났다면, 이 변화가 얼마나 빠르게 퍼질지, 어떤 노드가 감염됐는지—RGNN은 이를 신속히 파악해 피해를 막을 수 있다.
산업 자동화 분야에서도, 로봇 팔 하나의 오류가 전체 생산 라인을 멈추게 하기 전에 이를 감지해 정비 알림을 줄 수 있다. 말하자면, IoT 군집에 ‘면역 시스템’을 심어주는 셈이다.
남은 과제는?
물론 완벽하진 않다. 아직까지는 4~6개 노드로 제한된 실험 환경에서만 테스트됐기 때문에, 수십 개 이상으로 이뤄진 실제 IoT 환경에서의 성능은 검증이 필요하다. 또 다양한 제조사의 기기들이 혼합된 경우, SRAM 패턴의 일관성이 유지될지도 관건이다.
연구팀도 이를 인식하고 있다. 향후 50개 이상의 노드로 구성된 대형 군집 테스트, 실제 라즈베리파이 기반 기기를 이용한 실험, 그리고 RGNN을 더 가볍게 만들기 위한 모델 압축 연구 등이 예정돼 있다.
무엇보다 RGNN이 높은 정확도를 달성하는 배경인 ‘관계형 엣지 분류’가 정말 핵심인지, 혹은 다른 방식으로도 대체 가능할지를 검증하기 위한 ‘절제 실험(아블레이션 스터디)’도 포함될 예정이다.
한 줄 요약
“펌웨어를 안 들여다보고도, 펌웨어에 문제가 있는지 알 수 있다.”
RGNN 기반 펌웨어 이상 탐지 시스템은 IoT 군집 보안의 새로운 가능성을 보여줬다. 연결된 기기들의 상호작용을 뇌처럼 해석하고, 위협이 전파되는 흐름까지 감지할 수 있는 시스템. 기술은 이미 준비됐고, 이제 실제 현장 적용만 남았다.