P-IDS를 들어보셨나요? 로그를 넘어 공격의 흐름을 추적하는 침입 탐지 기술# P-IDS를 들어보셨나요? 로그를 넘어 공격의 흐름을 추적하는 침입 탐지 기술 P-IDS라고 들어보셨나요? P-IDS는 Provenance-based Intrusion Detection System의 약자로, 시스템에서 발생하는 보안 이벤트를 프로비넌스 그래프 형태 즉 그래프로 표현하고 이를 기반으로 탐지하는 시스템입니다. 최근 10년간 이러한 provenance 기반 보안 연구가 꾸준히 증가해왔으며, USENIX Security, ACM CCS, NDSS, IEEE S&P 같은 주요 보안 학회에서 관련 연구가 지속적으로 발표되고 있죠. 여기서 자연스럽게 이런 질문이 나올 수 있습니다. “그래프 기반으로 공격 흐름을 본다는 건 알겠는데, 그게 기존 방식보다 좋은가?” 2023년 ACM CCS에 발표된 *Are we there yet? An Industrial Viewpoint on Provenance-based Endpoint Detection and Response Tools* 논문은 산업계 보안 전문가들을 대상으로 provenance 기반 EDR, 즉 P-EDR에 대한 조사를 수행했습니다. 그리고 인터뷰에 참여한 10명의 보안 분야 기술 관리자 전원이 기존 EDR보다 P-EDR이 더 효과적이라고 평가했을 정도로 효과적인 것은 확인된 상태입니다. 프로비넌스 그래프(Provenance Graph)는 시스템에서 발생한 행위의 **출처와 인과관계**를 그래프 형태로 표현한 데이터 구조입니다. 여기서 노드는 프로세스, 파일, 네트워크 소켓, 사용자 계정과 같은 시스템 객체를 의미하고, 엣지는 이들 사이에서 발생한 실행, 읽기, 쓰기, 통신 등의 행위를 의미합니다. 예를 들어 사용자가 악성 바이너리를 실행했고 해당 바이너리가 외부 서버와 통신하여 파일을 다운로드했다고 가정해보겠습니다. Explorer.exe 와 malware.exe , 외부서버, 파일 이 각각 노드가 되고 해당 노드들 사이에서 일어난 실행, 쓰기, 통신은 엣지가 되게 됩니다. 이처럼 프로비넌스 그래프는 단순히 “어떤 이벤트가 발생했는가”를 기록하는 것이 아니라, “그 이벤트가 어디서 시작되었고, 어떤 객체에 영향을 주었으며, 이후 어떤 행위로 이어졌는가”를 표현합니다. 따라서 보안 분석가는 특정 위협 이벤트가 발생했을 때 공격의 시작점, 전파 경로, 영향 범위를 추적할 수 있습니다. 특히 APT 공격은 초기 침투 이후 장기간 잠복하다가 특정 시점에 외부 통신이나 추가 파일 다운로드를 수행하는 경우가 많습니다. 기존 EDR도 여러 이벤트를 연결해 볼 수는 있지만, 탐지를 위해 언제까지나 이벤트 발생을 기다릴 수는 없기 때문에 시간이 길어지면 같은 공격 흐름으로 판단하기 어렵습니다.반면 P-IDS는 프로세스, 파일, 네트워크 객체 간의 인과관계를 그래프로 유지합니다. 따라서 시간이 지난 뒤 발생한 행위라도 동일한 원인 객체에서 비롯되었다면 하나의 공격 흐름으로 추적할 수 있습니다.  ## 연구는 어떤 방향으로 발전하고 있는가? 초기 P-IDS 연구는 시스템 이벤트를 그래프로 표현하고 규칙 기반으로 공격 경로를 추적하는 데 초점을 맞췄습니다. 이후에는 단순 규칙 기반 분석을 넘어, 딥러닝과 그래프 신경망을 활용해 복잡한 공격 패턴을 학습하는 방향으로 발전했습니다. threaTrace, FLASH, KAIROS와 같은 연구들은 provenance graph의 구조적 특징과 프로세스명, 파일 경로, 명령행 인자 같은 의미 정보를 함께 학습해 공격을 탐지하려는 시도를 했습니다. 특히 KAIROS는 탐지된 공격 활동을 compact summary graph 형태로 재구성해 분석가가 이해하기 쉬운 결과를 제공하려 했습니다. 최근 연구는 탐지 성능뿐 아니라 실용성도 중요하게 다룹니다. ORTHRUS는 높은 탐지율보다 Quality of Attribution, 즉 분석가가 공격 원인과 영향 범위를 얼마나 쉽게 파악할 수 있는지를 강조합니다. 왜냐하면 기존 탐지 방법론들이 넓은 부분을 식별해놓고 정탐이다라고 하는 케이스 같은 것이 있었기 때문입니다. CAPTAIN은 룰 기반 P-IDS의 경량성, 실시간성, 해석 가능성을 유지하면서 gradient descent를 활용해 탐지 파라미터를 자동 조정하는 방향을 제시했습니다. 최근에는 *Sometimes Simpler is Better* 라는 논문에서 최신 P-IDS를 8개를 비교 분석하면서, 복잡한 GNN 기반 모델이 항상 최선은 아니라고 지적합니다. 실제 보안 관제 환경에서는 탐지 성능뿐 아니라 실시간성, 낮은 오버헤드, 재현 가능한 평가, 운영 비용이 중요하기 때문입니다. VELOX는 더 단순한 신경망 구조도 충분히 높은 성능을 낼 수 있으며, 오히려 실제 배포 관점에서는 더 실용적일 수 있음을 보여줍니다. 또한 APT 데이터 부족 문제를 해결하기 위한 provenance graph 합성 연구나, 공격자가 그래프 구조를 조작해 탐지를 회피하는 상황에 대응하기 위한 강건한 P-IDS 연구도 등장하고 있습니다. 결국 최근 P-IDS 연구의 흐름은 크게 세 가지로 정리할 수 있습니다. 첫째, GNN과 딥러닝을 활용한 탐지 성능 향상, 둘째, 분석가가 이해하기 쉬운 공격 경로 재구성, 셋째, 실제 환경에서 동작 가능한 경량화와 실시간성 확보입니다. ## 아직 해결해야 할 과제 물론 P-IDS가 모든 문제를 해결하는 완성형 기술은 아닙니다. 오히려 산업계가 P-IDS의 효과성을 인정하면서도 도입을 망설이는 이유는 분명합니다. 바로 운영 비용입니다. Provenance graph는 시스템 이벤트 간의 관계를 세밀하게 표현하기 때문에 데이터 양이 매우 커질 수 있습니다. 프로세스 생성, 파일 접근, 네트워크 연결, 권한 변경 등 모든 이벤트를 수집하고 그래프로 저장하면 저장 공간, 메모리, 분석 시간이 증가합니다. 실시간 관제 환경에서는 이러한 비용이 큰 문제가 됩니다. 2023년 CCS 논문 역시 P-EDR 도입의 주요 병목으로 클라이언트 측 오버헤드, 경고 분류 비용과 해석 비용의 불균형, 서버 측 메모리 사용량을 지적했습니다. 이는 앞으로의 P-IDS 연구가 단순히 탐지 정확도를 높이는 것만으로는 부족하다는 점을 보여줍니다. 실용적인 P-IDS가 되려면 그래프를 잘 만드는 것만큼 그래프를 줄이는 것도 중요합니다. 탐지 결과에서 불필요한 이벤트를 제거하고, 중복 이벤트를 통합하고, 공격 분석에 중요한 노드와 엣지만 선별하지 않으면 분석가의 피로도가 올라갑니다. 결국 P-IDS의 핵심 과제는 “정확한 탐지”와 “실용적인 운영”의 균형입니다. 아무리 정교한 그래프 분석 모델이라도 너무 느리거나, 너무 많은 메모리를 사용하거나, 분석가에게 너무 많은 경고를 제공한다면 실제 환경에서는 사용하기 어렵습니다. ## 마무리 P-IDS는 기존 침입 탐지 방식의 한계를 보완하는 중요한 접근입니다. 기존 방식이 개별 이벤트를 중심으로 위협을 판단했다면, P-IDS는 이벤트 사이의 인과관계를 그래프로 연결해 공격의 흐름을 분석합니다. 이 차이는 단순해 보이지만 매우 중요합니다. 실제 공격은 하나의 이벤트가 아니라 여러 행위가 연결된 체인으로 발생하기 때문입니다. 따라서 앞으로의 보안 시스템은 단순히 로그를 많이 수집하는 것을 넘어, 그 로그들이 어떤 관계로 연결되어 있는지 이해해야 합니다. 2023년 CCS 논문에서 산업계 전문가 전원이 P-EDR이 기존 EDR보다 더 효과적이라고 평가한 것은 이 방향성이 실제 현장에서도 의미가 있음을 보여줍니다. 동시에 클라이언트 오버헤드, 서버 메모리 사용량, 분석 비용 같은 현실적인 과제도 분명히 존재합니다. 최근 P-IDS 연구는 GNN, 딥러닝, 그래프 표현 학습, 공격 경로 재구성, 룰 최적화, LLM 기반 데이터 합성까지 결합되며 빠르게 발전하고 있습니다. 이는 P-IDS가 단순한 학술적 아이디어가 아니라, 차세대 EDR과 보안 관제 시스템의 핵심 기술로 발전할 가능성이 크다는 점을 보여줍니다.