VulReaD: 지식그래프 기반 소프트웨어 취약점 추론 및 탐지

초록

VulReaD는 보안 지식그래프(KG)를 활용해 취약점 탐지를 CWE 수준의 추론까지 확장한다. 강력한 교사 LLM이 CWE와 일치하는 이유와 부정확한 이유를 대조적으로 생성하고, 학생 모델을 ORPO 기법으로 미세조정한다. 세 데이터셋에서 이 접근법은 기존 방법 대비 이진 F1 점수를 8‑10% 향상시키고, 다중 클래스에서는 Macro‑F1를 30%, Micro‑F1를 18% 개선한다.

상세 분석

본 논문은 기존 소프트웨어 취약점 탐지(SVD) 연구가 이진 분류에 머물러 CWE와 같은 취약점 taxonomy와의 정합성을 무시한다는 문제점을 지적한다. 이를 해결하기 위해 VulReaD는 보안 지식그래프(KG)를 중심축으로 삼아, CWE 간 계층·연관 관계를 구조화한다. 교사 LLM은 각 코드 샘플에 대해 CWE‑일치 설명과 고의로 오류를 삽입한 부정확 설명을 동시에 생성해 대비 학습 데이터를 만든다. 이러한 contrastive reasoning supervision은 인간 라벨링 비용을 크게 절감하면서도 의미론적 일관성을 보장한다. 학생 모델은 파라미터 효율적인 파인튜닝과 Odds Ratio Preference Optimization(ORPO)을 결합해, 정답 설명을 선호하고 잘못된 설명을 억제하도록 학습된다. 실험은 PrimeVul, DiverseVul, R2Vul 등 세 실제 데이터셋을 대상으로 진행됐으며, Qwen2.5‑7B‑Instruct 기반 모델이 가장 높은 성능을 기록했다. 이진 탐지에서는 F1 점수가 평균 8‑10% 상승했으며, 다중 클래스(CWE)에서는 Macro‑F1가 30%, Micro‑F1가 18% 향상되었다. 특히, 전통적인 딥러닝 기반 모델이 30% 수준에 머물렀던 반면, LLM 기반 모델이 전반적으로 우수함을 확인했다. 또한, KG‑가이드된 추론은 CWE 커버리지를 확대하고, 설명의 신뢰성을 크게 높였다. 논문은 (i) LLM이 이진 SVD에서 딥러닝을 능가한다, (ii) KG‑기반 추론이 다중 클래스 정확도와 해석 가능성을 동시에 개선한다는 두 가지 핵심 인사이트를 제시한다.