모호성 회피 탐지를 통한 사이버 공격 행동 분석

초록

본 논문은 인간 레드팀 실험 데이터를 활용해 공격자의 모호성 회피(ambiguity aversion) 정도를 실시간으로 추정하는 프레임워크를 제시한다. 대규모 언어 모델(LLM)로 비정형 로그를 MITRE ATT&CK 기반 행동 시퀀스로 변환하고, PsychSim 기반 POMDP 모델에 비교적 무지 가설을 적용해 모호성 회피 지표를 계산한다. 실험 결과는 손실 회피 모델보다 높은 신뢰도(high‑confidence) 추정을 제공함을 보여준다.

상세 분석

이 연구는 사이버 방어에서 공격자의 인지적 편향을 정량화하려는 시도 중 가장 진보된 사례라 할 수 있다. 첫 번째 핵심은 GAMBiT 프로젝트에서 수집한 고충실도 인간‑레드팀 데이터이다. 8시간 세션 동안 30명 가량의 참가자가 40대 가상 호스트가 배치된 기업형 사이버 레인지에서 공격 목표를 수행했으며, 이 과정에서 남긴 자유형 운영노트(OpNotes)와 Suricata 기반 NetFlow 로그는 비정형·다중모달 특성을 지닌다.

두 번째 혁신은 최신 LLM을 이용해 이러한 비정형 데이터를 자동으로 MITRE ATT&CK 매핑된 행동 시퀀스로 변환한 점이다. 기존 규칙 기반 파싱은 레이블링 오류와 확장성 한계가 있었지만, LLM은 문맥적 추론을 통해 도구 사용, 탐지 회피, 권한 상승 등 복합 행동을 정확히 식별한다. 특히, LLM이 “불확실한 파일”이나 “위험한 바로 가기”와 같은 실험적 트리거를 인식하고 해당 행동을 ‘모호성 상황’으로 태깅하는 과정은 인지 과학과 사이버 포렌식의 교차점이라 할 수 있다.

세 번째 핵심은 PsychSim 내에 구현된 POMDP‑기반 이론적 모델이다. 여기서는 공격자를 ‘부분 관찰 마코프 의사결정 과정’으로 모델링하고, 방어자는 관찰된 행동을 통해 공격자의 ‘이론적 마음(Theory of Mind)’을 업데이트한다. 모호성 회피를 추정하기 위해 비교적 무지 가설(Comparative Ignorance Hypothesis)을 적용했으며, 이는 공격자가 동일한 선택지 중 확률이 명확한 옵션을 선호하는 정도를 정량화한다. 구체적으로, 행동의 ‘신규성’, ‘기술 복잡도’, ‘성공률 변동성’ 등을 가중치로 사용해 ‘모호성 점수’를 산출하고, SEU(주관적 기대 효용)와의 편차를 모호성 회피 지표로 정의한다.

실험 결과는 두 모델 간의 특성이 뚜렷이 구분됨을 보여준다. 손실 회피 모델은 전체 관측치에 걸쳐 평균 확률이 0.44로 높았지만, 0.5 이상 고신뢰 추정은 전혀 발생하지 않았다. 반면 모호성 회피 모델은 평균 확률이 0.21에 불과했지만, 15%에 해당하는 관측치에서 0.5 이상을 기록했다. 이는 모호성 회피 모델이 ‘명확한 신호’를 포착할 때는 강한 확신을 제공하지만, 전반적인 변동성을 포착하는 데는 제한적임을 의미한다. 또한 MITRE ATT&CK 전술별 분석에서, 손실 회피는 ‘지속적 이동(Lateral Movement)’에, 모호성 회피는 ‘탐색(Discovery)’에 높은 확률을 보였으며, 이는 두 인지 편향이 공격 단계별로 다르게 작용한다는 중요한 통찰을 제공한다.

이 논문의 한계는 실험 환경이 ‘모호성에 대한 실제 비용’을 충분히 부여하지 못했다는 점이다. 참가자는 실패하거나 시간 낭비에 대한 페널티가 낮아, 실제 공격 상황에서 나타날 수 있는 강한 모호성 회피 행동을 충분히 유도하지 못했다. 또한 모델 파라미터가 제한된 데이터셋을 기반으로 탐색적으로 설정되었으며, 대규모 실전 로그에 대한 검증이 필요하다. 향후 연구는 동적 방어 에이전트가 실시간으로 공격자의 편향을 조작하고, 그 반응을 통해 모델을 정교화하는 ‘인-더-루프’ 실험 설계가 요구된다.

전반적으로, 이 연구는 사이버 방어에 인지 과학을 접목한 최초의 종단‑to‑종단 파이프라인을 제공하며, 모호성 회피라는 비교적 미탐색 편향을 정량화함으로써 방어 전략을 ‘인지 적응형(cognitive adaptive)’으로 전환할 가능성을 열어준다.