사이버 복원력이 있는 IoMT를 위한 연합 시계열 어텐션 지능: 경량 디지털 트윈 및 PPO 기반 허니팟 기만

의료 사물 인터넷 (Internet of Medical Things, IoMT) 장치의 급격한 확산은 자원이 제한된 의료 장치가 엄격한 지연 시간 요구 사항과 엄격한 데이터 프라이버시 규정 하에 작동하는 의료 환경에서 심각한 사이버 보안 취약점을 야기합니다. 이러한 과제를 해결하기 위해, 본 논문은 네 가지 상호 보완적인 메커니즘을 통합하는 프라이버시 보존 방어 아키텍처인 경량 디지털 트윈 및 연합 강화학습 (Lightweight Digital Twin and Federated Reinforcement Learning, LDT-FRL) 프레임워크를 제시합니다. 이 프레임워크는 다음과 같이 구성됩니다: 흐름 수준 (flow-level) 위협 분류를 위해 학습된 시계열 셀프 어텐션 (temporal self-attention)을 갖춘 GRU 백본 기반의 시계열 어텐션 인코더 (Temporal Attention Encoder, TAE); 정상 클래스 트래픽으로 학습되어 학습된 시그모이드 결합 (sigmoid coupling)을 통해 TAE 분류기의 게이트 역할을 하는 장치별 이상 점수를 생성하는 경량 LSTM 기반 디지털 트윈 (Digital Twins); 7차원 상태를 기반으로 허용 (ALLOW), 격리 (ISOLATE), 허니팟 리다이렉트 (HONEYPOT_REDIRECT) 동작 중 하나를 선택하는 연합 근사 정책 최적화 (Federated Proximal Policy Optimization, PPO) 에이전트; 그리고 리다이렉트된 의심스러운 트래픽을 실행 가능한 위협 인텔리전스로 변환하는 지능형 허니팟 계층입니다. 클라이언트별 검증 손실에 EMA 평활화 (EMA-smoothed)를 적용하여 역가중치 FedAvg 계수로 사용하는 연합 집계 전략은 비독립 동일 분포 (non-IID) 클라이언트 분포 하에서 글로벌 모델 업데이트를 안정화합니다. CICDDoS 2019 및 TON-IoT 벤치마크에서 평가한 결과, LDT-FRL은 각각 99.66%와 99.95%의 테스트 정확도를 달성하였으며, 매크로-F1 (macro-F1) 점수는 0.9913과 0.9995를 기록했습니다. 또한 DTFL-CD 베이스라인보다 81% 더 빠르게 수렴하면서도, 심각하게 불균형한 MITM 클래스에서 완벽한 F1=1.000을 달성했습니다. SHAP, LIME, Grad-CAM 및 반사실적 (counterfactual) 방법을 통한 설명 가능성 분석은 TAE가 의미론적으로 유의미한 흐름 특징에 집중함을 확인시켜 주며, 각 방어 결정에 대해 해석 가능한 증거를 제공합니다.