위협정보에서 방화벽 규칙까지 하이퍼니미 관계를 활용한 하이브리드 AI 에이전트와 전문가 시스템

초록

본 논문은 사이버 위협 정보(CTI) 보고서에서 하이퍼니미·하이포니미 관계를 추출해 의미론적 정보를 구조화하고, 이를 다중 에이전트와 신경‑심볼릭 접근법으로 CLIPS 전문가 시스템에 전달해 자동으로 방화벽 차단 규칙을 생성한다. 실험 결과, 제안된 하이퍼니미 기반 프롬프트가 기존 임베딩·머신러닝 기반 방법보다 F1 점수와 Top‑K 정확도에서 7 % 이상 우수했으며, 전문가 평가에서도 규칙의 문법·범위 일관성이 높은 것으로 확인되었다.

상세 분석

이 연구는 사이버 위협 인텔리전스(CTI) 텍스트에서 의미론적 계층 구조를 추출하는 새로운 파이프라인을 제시한다. 먼저, LLM을 이용해 보고서 내 핵심 개념을 하이포니미(구체적 용어)와 하이퍼니미(상위 개념) 쌍으로 변환한다. 이때 3단계 프롬프트 전략(엔티티 추출 → 카테고리 추상화 → 연산 수행)을 적용해 각 단계마다 구조화된 시맨틱 정보를 강화한다. 추출된 하이퍼니미는 CLIPS 템플릿의 ‘defclass’와 ‘deftemplate’에 매핑되어, 방화벽 제어(예: iptables)와 직접 연결되는 규칙을 자동 생성한다.

시스템은 두 개의 주요 모듈로 나뉜다. ‘Enhanced CoALA 에이전트’는 지식 그래프 기반의 개념 네트워크를 유지하며, 하이퍼니미를 그래프 노드로 삽입해 지속적인 업데이트와 확장을 지원한다. ‘Expert System B’는 CLIPS 엔진을 활용해 생성된 템플릿과 사실을 검증하고, 문법 오류나 LLM 환각을 방지한다. 결정론적 추론을 보장하기 위해 시드 고정, CUDA 비결합, Greedy 디코딩 등 하드웨어·소프트웨어 수준의 재현성 기법을 적용하였다.

실험은 두 가지 과업으로 구분된다. 과업 A는 다중 라벨 분류 성능을 평가하기 위해 81개의 CTI 보고서(CTI‑HAL)와 116개의 MITRE ATT&CK 기술 라벨을 사용했다. 하이퍼니미 기반 프롬프트는 Word2Vec·GloVe·SecureBERT와 같은 정적·동적 임베딩, 전통적인 NB·SVM·RF와 비교했을 때 가중 F1 0.329, Top‑10 정확도 0.968 등 최고 성능을 기록했다. 특히 소수 클래스(희귀 공격 기법)에서의 재현율이 크게 향상되어 사이버 보안 분야의 데이터 불균형 문제를 완화한다는 점이 주목된다.

과업 B는 전체 파이프라인을 적용해 66개의 악성 샘플(CTI‑B)에서 방화벽 규칙을 자동 생성하고, 사이버 보안 전문가 5명이 평가한 결과를 제시한다. 기술적 정확성(문법)에서는 Krippendorff α = 0.5768, Fidelity to CTI(CTI와의 일치도)에서는 α = 0.5215 등 모두 0.5 이상으로 ‘양호한 합의’를 보였다. 규칙 범위와 적용 범위에서도 스피어만 ρ = 0.7143까지 높은 상관관계를 나타내며, 실무 적용 가능성을 입증한다.

한계점으로는 현재 CLIPS 지원이 제한적인 LLM(Foundation‑Sec‑14B)보다 Qwen‑2.5‑Coder‑14B가 더 적합했음에도 불구하고, LLM의 환각 방지를 위한 사후 검증이 여전히 필요하다는 점이다. 또한, 하이퍼니미·하이포니미 사전 구축이 도메인에 따라 다를 수 있어, 다른 사이버 보안 프레임워크(예: STIX/TAXII)와의 연계가 추가 연구 과제로 남는다.

전반적으로, 의미론적 관계를 활용한 신경‑심볼릭 하이브리드 아키텍처는 CTI에서 실시간 방어 조치까지의 자동화 사슬을 단축시키며, 신뢰성·투명성을 유지하는 방향으로 사이버 방어 시스템을 진화시킬 수 있음을 보여준다.