기업 정보 시스템에서 내부 위협 식별을 위한 사용자 행동 프로파일링

내부 위협은 그 미묘하고 상황 의존적인 특성으로 인해 기업 정보 시스템에 중대한 도전을 제기합니다. 외부 공격과 달리 이러한 위협은 권한이 부여된 사용자로부터 발생하며, 이들의 행동이 점진적으로 기존 규범에서 벗어납니다. 본 연구는 사용자 행동 프로파일링을 통해 내부 위협을 탐지하는 경량화되고 해석 가능한 프레임워크를 제시합니다. 로그인 변동성, 근무 시간 외 활동, 파일 접근 다양성, USB 사용 급증과 같은 세션 기반 특징들을 추출하여 시간에 따른 행동 편차를 특성화합니다. 이 프레임워크는 Isolation Forest와 One-Class SVM을 사용하여 이상 감지를 수행하며, 가중치 점수 융합 전략을 통해 결과를 결합합니다. 합성 데이터셋과 공개된 CERT Insider Threat Dataset v6.2에서 실험을 수행하였으며, 융합 기반 접근법이 Z-score, Local Outlier Factor, 오토인코더 등 전통적 기법을 능가함을 확인하였습니다. 구체적으로 합성 데이터에서 F1-score 0.89, CERT 데이터에서 0.83을 기록했으며, AUC 점수는 각각 0.94와 0.89를 달성하였습니다. 이 결과는 해석 가능한 특징들과 앙상블 이상 탐지의 결합이 내부 위험 식별에 효과적이며, 프라이버시 인지 및 분산된 기업 환경과의 호환성을 유지함을 입증합니다.