혁신적인 AI 기반 위협 인텔리전스: 표준 기반 텍스트 TTP 추출

Cheng Meng 등의 연구는 LLM을 활용, MITRE ATT&CK TTP 추출의 정확성과 표준 준수를 크게 향상시킨 새로운 프레임워크를 제시했습니다. 진화하는 메모리와 이중 레이어 상황 지식을 통해 설명 가능성을 높이고, 인간 감독의 역할을 강화하여 사이버 위협 분석의 신뢰성을 높였습니다. 이는 사이버 보안 분야의 혁신적인 발전으로, 향후 더욱 정교화된 위협 인텔리전스 시스템 구축에 기여할 것으로 기대됩니다.

AI가 사이버 위협 분석의 판도를 바꾼다: 표준 기반 텍스트 TTP 추출 프레임워크

최근 사이버 위협 환경의 복잡성 증가로, MITRE ATT&CK 프레임워크를 기반으로 한 위협 인텔리전스 분석의 중요성이 더욱 커지고 있습니다. 하지만 기존의 데이터 중심 접근 방식은 표준 준수 및 일관성 부족으로 인해 신뢰성 문제를 안고 있었습니다. Cheng Meng 등 8명의 연구원이 발표한 논문 "Instantiating Standards: Enabling Standard-Driven Text TTP Extraction with Evolvable Memory"는 이러한 문제를 해결하기 위한 획기적인 해결책을 제시합니다.

LLM 기반의 혁신적인 접근 방식

이 연구는 거대 언어 모델(LLM)을 활용하여 추상적인 표준 정의를 실행 가능한 상황별 지식으로 변환하는 새로운 프레임워크를 제시합니다. Qwen2.5-32B를 사용한 실험 결과, GPT-4보다 Technique F1 점수가 11% 향상되었다는 놀라운 결과를 보여주었습니다. 이는 단순히 성능 향상에 그치지 않고, 표준 준수를 강화하고, 기존의 데이터 중심 방식이 가진 한계를 극복하는 중요한 전환점이라고 할 수 있습니다.

진화하는 메모리와 이중 레이어 상황 지식

핵심은 '진화하는 메모리(evolvable memory)'입니다. 이 메모리는 라벨링된 예시와 공식 정의에서 도출된 이중 레이어 상황 지식 인스턴스로 채워집니다. 첫 번째 레이어는 "C2와의 통신에 인코딩된 하위 도메인 사용"과 같은 상황적 맥락을 식별하고, 두 번째 레이어는 T1132 "데이터 인코딩"과 T1071 "애플리케이션 계층 프로토콜"을 인코딩 방식과 프로토콜 사용 여부에 따라 구별하는 것과 같이 유사한 기법들을 구별하는 데 필요한 독특한 특징들을 포착합니다. 이를 통해, 투명하고 설명 가능한 TTP 할당이 가능해지며, 인간 감독의 역할을 강화하여 보다 신뢰할 수 있는 위협 분석을 가능하게 합니다.

미래를 위한 전망

이 연구는 LLM을 활용하여 새로운 지식을 생성, 업데이트 및 적용하는 최초의 사례로 알려져 있습니다. 이는 단순히 기술적인 발전을 넘어, 사이버 위협 인텔리전스 분야에 표준화와 투명성을 가져오는 혁신적인 시도입니다. 이러한 접근 방식은 앞으로 더욱 정교해지고 발전하여, 다양한 조직에서 일관되고 신뢰할 수 있는 위협 평가를 가능하게 할 것입니다. 본 연구의 결과는 더욱 정확하고 효율적인 사이버 보안 체계 구축에 중요한 기여를 할 것으로 기대됩니다. 특히, 설명 가능성(Explainability)을 높였다는 점은 AI 기반 시스템에 대한 신뢰도를 높이는 데 중요한 의미를 가집니다. 앞으로 이 기술이 어떻게 발전하고 실제 사이버 보안 환경에 적용될지 주목할 필요가 있습니다.