경량화된 사이버 보안 언어 모델에 대형 언어 모델을 결합한 효율적 강화 방안

초록

본 논문은 파라미터 효율적인 파인튜닝 기법인 CompFreeze와 대형 언어 모델(LLM)을 연계해 사이버 보안 분야의 라벨 부족과 낮은 신뢰도 문제를 해결한다. LLM을 활용한 자동 라벨링과 저신뢰도 예측에 대한 보조 예측 두 전략을 제안하고, 스팸 탐지, DGA 분류, CTI 엔터티 추출 등 세 가지 다운스트림 작업에서 성능·효율성을 검증한다.

상세 분석

CompFreeze는 기존 어댑터 기반 파인튜닝에 하이퍼컴플렉스 곱을 이용한 Compacter를 도입하고, 선택된 트랜스포머 레이어만 학습 가능하도록 나머지는 고정(freeze)한다. 논문에서는 네 가지 레이어 선택 전략(Odd‑LC, Even‑LC, Upper‑LC, Lower‑LC)을 설계해 파라미터 수를 50 % 이하로 감소시키면서도 원본 PLM과 근접한 정확도를 유지한다는 점을 실험적으로 입증한다. 특히 사이버 보안 전용 사전학습 모델(CyBERT, SecureBERT, CySecBERT) 위에 적용했을 때, 컴퓨팅 비용과 메모리 사용량이 크게 절감된다.

LLM 연계 전략은 두 축으로 나뉜다. 첫 번째는 라벨이 부족한 대규모 비라벨 데이터에 대해 GPT‑4·LLaMA 등 최신 LLM을 프롬프트 기반 자동 라벨러로 활용해 가짜 라벨을 생성하고, 이를 CompFreeze 모델의 추가 파인튜닝 데이터로 사용한다. 이렇게 하면 라벨링 비용을 최소화하면서도 도메인 적합성을 유지한다. 두 번째는 실제 서비스 환경에서 CompFreeze 모델이 낮은 confidence score(예: <0.6)를 반환할 경우, 해당 입력을 LLM에 전달해 보조 예측을 얻는 fallback 메커니즘이다. 이때 LLM의 zero‑shot 능력을 활용해 새로운 공격 유형이나 드물게 나타나는 라벨에도 대응한다.

실험 결과, 자동 라벨링을 통해 데이터셋을 2배 이상 확장했을 때 Spam Detection F1이 3.2 %p 상승했으며, DGA 분류에서는 low‑confidence 샘플의 정확도가 12 %p 개선되었다. 또한, CTI 엔터티 추출에서 엔티티 레이블링 정확도가 5 %p 상승하고, 전체 파라미터 수는 기존 전체 파인튜닝 대비 68 % 감소했다. 이러한 결과는 파라미터 효율성과 LLM의 일반화 능력이 상호 보완적으로 작용한다는 것을 시사한다.

한계점으로는 LLM의 도메인 편향과 프롬프트 설계 비용, 그리고 라벨 품질 검증을 위한 추가 검증 단계가 필요함을 언급한다. 향후 연구에서는 도메인‑특화 LLM 사전학습, 라벨 신뢰도 추정 모델, 그리고 멀티‑모달 사이버 데이터(예: 로그 + 네트워크 패킷)와의 통합을 제안한다.