From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures

이 논문은 사이버 위협 인텔리전스 보고서에서 하이퍼님-하위어미 의미 관계를 활용하여 신경-상징적 접근법과 다중 에이전트 시스템을 결합해 CLIPS 기반의 전문가 시스템용 방화벽 규칙을 자동 생성함으로써 웹 보안 위협에 대한 신뢰할 수 있는 대응 능력을 향상시키는 방법을 제시합니다.

핵심

🕵️‍♂️ 1. 문제 상황: 해커는 AI 를 쓰는데, 우리는 왜?

인터넷은 열려 있는 거리와 같습니다. 해커들은 최신 AI 도구를 써서 우리 시스템의 약점을 아주 빠르게 찾아냅니다. 하지만 우리를 지키는 보안 전문가들은 해커들의 새로운 수법을 읽고, 분석하고, 대응책을 마련하는 데 시간이 너무 오래 걸립니다.

• 비유: 해커는 스피드 보트를 타고 공격해 오는데, 우리는 배를 수리하는 공방에 가서 수동으로 방패를 만들고 있습니다. 해커가 너무 빨라서 우리가 따라잡기 힘든 상황입니다.

🧠 2. 이 연구의 핵심 아이디어: "의미 있는 연결고리 찾기"

이 연구는 인공지능 (AI) 이 해커들의 보고서 (CTI) 를 읽을 때, 단순히 단어를 찾는 게 아니라 의미의 연결고리를 찾아내게 했습니다.

• 비유: 해커 보고서에 **"악성 코드 A 가 B 를 공격했다"**라고 쓰여 있다고 칩시다.
  • 기존 AI: "A 와 B"라는 단어만 보고 "아, 이거 막아야겠다"라고 막연하게 생각합니다.
  • 이 연구의 AI (하이퍼님/하이포님 관계 활용):
    • "A 는 바이러스의 일종이야." (하이포님: 구체적인 것)
    • "바이러스는 악성 소프트웨어야." (하이퍼님: 더 넓은 개념)
    • "악성 소프트웨어는 컴퓨터를 해치는 도구야."
    • → "아! 이 도구를 막으려면 '악성 소프트웨어 차단' 규칙을 세워야겠구나!"라고 논리적으로 추론합니다.

이처럼 구체적인 것에서 일반적인 개념으로, 다시 구체적인 방어책으로 연결하는 '의미의 사다리'를 오르게 한 것입니다.

🤖 3. 시스템의 작동 방식: "AI 팀과 전문가 팀의 협업"

이 시스템은 두 명의 AI 가 팀을 이뤄 일합니다.

1. 탐정 AI (Agentic AI): 해커 보고서에 나오는 복잡한 이야기를 읽고, "이건 무슨 종류의 공격이지?"라고 의미 있는 키워드들을 뽑아냅니다. (예: "이건 '데이터 훔치기' 공격이야.")
2. 기술자 AI (Expert System): 탐정이 뽑아낸 정보를 받아서, 실제로 컴퓨터가 이해할 수 있는 **방화벽 규칙 (CLIPS 코드)**을 작성합니다.
   • 비유: 탐정이 "저기 검은 옷 입은 도둑이 창문을 뚫고 들어갔어!"라고 보고하면, 기술자는 "창문 잠금 장치를 강화하고, 검은 옷 입은 사람만 감시하는 카메라를 설치해!"라고 구체적인 지시서를 작성하는 것입니다.

🛡️ 4. 왜 이 방법이 좋은가요? (결과)

실험 결과, 이 방식이 기존 방법들보다 훨씬 뛰어났습니다.

• 정확도 향상: 해커들의 새로운 수법이 나오면, 기존 AI 는 당황하지만 이 시스템은 "아, 이건 기존에 알려진 '데이터 훔치기'의 새로운 변종이구나"라고 바로 파악해서 방어책을 세웠습니다.
• 실수 감소: AI 가 헛소리를 하는 것 (할루시네이션) 을 막기 위해, 마지막에 전문가 시스템이 "이 규칙이 문법적으로 맞고, 실제로 작동할 수 있는가?"를 다시 한번 검증합니다.
  • 비유: 요리사가 요리를 만들면 (AI), 셰프가 맛과 식감을 다시 확인하고 (전문가 시스템) 손님에게 내보내는 것과 같습니다.

📝 5. 결론: 무엇을 얻었나요?

이 연구는 "AI 가 해커의 이야기를 읽고, 우리 시스템을 지키는 구체적인 명령어를 자동으로 만들어내는" 새로운 방식을 제시했습니다.

• 핵심 메시지: 단순히 AI 가 글을 읽는 것을 넘어, **의미의 연결고리 (하이퍼님/하이포님)**를 통해 논리적으로 사고하게 만든 것이 성공의 비결입니다.
• 미래: 앞으로는 해커들이 AI 를 더 많이 쓸수록, 우리도 이렇게 똑똑한 AI 팀을 만들어서 실시간으로 대응해야 안전할 것입니다.

---

한 줄 요약:

"해커들의 복잡한 공격 수법을 AI 가 '의미의 사다리'를 타고 분석해서, 자동으로 우리 집 (시스템) 문을 잠그는 열쇠 (방화벽 규칙) 를 만들어주는 똑똑한 보안 시스템입니다."

기술 요약

논문 요약: 위협 인텔리전스에서 방화벽 규칙까지 - 하이브리드 AI 에이전트 및 전문가 시스템 아키텍처에서의 의미 관계

1. 문제 정의 (Problem)

• 비대칭적 사이버 보안 환경: 웹 애플리케이션은 공격에 취약하며, 공격자는 AI 도구를 활용해 취약점을 자동화하는 반면, 방어자는 전체 시스템을 보호해야 하는 구조적 비대칭에 직면해 있습니다.
• 대응 지연 및 복잡성: 침입 탐지/방지 시스템 (IDS/IPS) 은 중요하지만, 위협 인텔리전스 (CTI) 보고서를 분석하여 적절한 보안 제어 (방화벽 규칙 등) 를 자동으로 구성하는 과정은 복잡하고 시간이 많이 소요됩니다.
• 기존 AI 의 한계: 기존 AI 기반 접근법은 민감한 데이터를 자동으로 분류하는 데 어려움을 겪으며, 특히 다양한 위협 간의 심각한 데이터 불균형 (Data Imbalance) 으로 인해 성능이 저하됩니다. 또한, 단순한 텍스트 매핑만으로는 신뢰할 수 있는 보안 대응을 생성하기 어렵습니다.

2. 제안된 방법론 (Methodology)

이 연구는 신경망 (Neural) 과 심볼릭 (Symbolic) AI 를 결합한 하이브리드 아키텍처를 제안하며, CTI 보고서를 방화벽 규칙 (iptables/CLIPS) 으로 변환하는 파이프라인을 구축했습니다.

• 핵심 아이디어: 의미적 관계 (Semantic Relations) 활용

  • CTI 보고서에서 위협 정보를 추출할 때, 단순 키워드 매칭이 아닌 **하이퍼님 (Hypernym, 상위개념)**과 **하이포님 (Hyponym, 하위개념)**이라는 계층적 의미 관계를 활용합니다.
  • 이는 텍스트의 함축적 의미를 이해하고, 보안 이벤트를 방어 전략 및 안전한 코드 생성에 매핑하는 데 도움을 줍니다.

• 시스템 아키텍처 (3 단계 프로세스):

  1. Enhanced CoALA 에이전트 (신경망 구성 요소):
     • LLM(대규모 언어 모델) 을 반복적으로 호출하여 CTI 텍스트에서 보안 개념의 **하이포님 (구체적 예시)**을 먼저 추출한 후, 이를 **하이퍼님 (추상적 범주)**으로 추상화합니다.
     • 이 과정은 3 단계 (개체 추출 $\rightarrow$ 의미 범주화 $\rightarrow$ 작업 수행) 로 이루어져 모델이 도메인 지식을 점진적으로 풍부하게 이해하도록 유도합니다.
  2. 전문가 시스템 (Expert System, 심볼릭 구성 요소):
     • 추출된 의미 정보를 바탕으로 CLIPS (Rule-based inference engine) 코드를 생성합니다.
     • 생성된 코드는 방화벽 규칙을 설정하는 데 사용됩니다.
     • 검증 레이어: LLM 의 환각 (Hallucination) 을 방지하고, 생성된 규칙의 문법적 정확성을 보장하기 위해 심볼릭 검증 단계를 거칩니다.
  3. 정제 엔진 (Refinement Engine):
     • CTI 보고서에 기술된 위협에 대응할 수 있는 보안 제어 수단을 식별하고, 생성된 CLIPS 규칙을 기반으로 실제 필터링 규칙을 최종 생성합니다.

• 결정론적 실행 (Determinism):

  • 보안 분야에서는 확률적 방법보다 결정론적 추론이 선호되므로, 고정된 시드, CuDNN 벤치마크 비활성화, Greedy decoding 등을 적용하여 LLM 추론의 재현성을 높였습니다.

3. 주요 기여 (Key Contributions)

1. 새로운 정보 추출 방법론: CTI 보고서에서 하이퍼님 - 하이포님 관계를 기반으로 의미적으로 풍부한 정보를 추출하는 새로운 방법론을 제안했습니다. 이는 기존 분류 접근법보다 CTI 의 노이즈와 장황함을 효과적으로 처리합니다.
2. 하이브리드 에이전트 시스템: 추출된 정보를 기존 방어 조치에 매핑하고, CLIPS 코드를 생성하여 방화벽 규칙을 자동화하는 AI 기반 에이전트 시스템을 구현했습니다.
3. 심층적 실증 평가: 정보 추출 및 코드 생성 단계에 대한 광범위한 실험을 수행하여, 불균형 데이터 환경에서도 기존 베이스라인보다 우수한 성능을 입증했습니다.

4. 실험 결과 (Results)

실험은 두 가지 태스크 (A: 의미 추출 및 분류, B: 방화벽 규칙 생성) 로 나뉘어 수행되었습니다.

• Task A (CTI-HAL 데이터셋, 다중 레이블 분류):

  • 제안된 하이퍼님 기반 프롬프팅 방법은 Word2Vec, SecureBERT, 기존 Chain-of-Thought (CoT) 등 다양한 베이스라인 대비 **가중치 F1 점수 (Weighted F1 Score)**와 Top-k 정확도에서 가장 우수한 성능을 보였습니다.
  • 특히 소수 클래스 (Minority classes) 에 대한 성능이 CoT 기반 방법보다 약 7% 이상 향상되어 데이터 불균형 문제를 효과적으로 해결함을 입증했습니다.
  • **하이포님 (Hyponym)**이 하이퍼님보다 일관되게 더 효과적인 것으로 나타났으며, 선택성 제약 (Threshold) 을 완화할 때 성능이 향상되었습니다.

• Task B (Dataset B, 방화벽 규칙 생성):

  • 사이버 보안 전문가들이 생성된 CLIPS 코드를 평가한 결과, **기술적 정확성 (Technical Correctness)**과 **CTI 충실도 (Fidelity to CTI)**에서 높은 전문가 간 일치도 (Krippendorff's alpha 등) 를 보였습니다.
  • 생성된 규칙이 문법적으로 정확하고 위협 인텔리전스 보고서의 의도를 올바르게 반영함을 확인했습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 신뢰할 수 있는 자동화: 이 연구는 LLM 의 환각을 줄이고 심볼릭 AI 를 통해 검증 가능한 코드를 생성함으로써, 사이버 보안과 같은 민감한 분야에서 AI 의 신뢰성을 높이는 중요한 사례입니다.
• 실용적 가치: CTI 보고서를 사람이 개입하지 않고도 방화벽 규칙으로 자동 변환할 수 있는 가능성을 보여주어, 위협 대응 시간 (Time-to-respond) 을 단축하고 방어자의 부담을 줄일 수 있습니다.
• 향후 방향: LLM 사용의 결정론적 성격을 더욱 강화하고, 생성된 필터링 규칙의 실제 배포 및 운영 환경에서의 적용성을 연구할 필요가 있습니다.

요약하자면, 이 논문은 CTI 보고서를 방화벽 규칙으로 변환하는 과정에서 **의미적 관계 (하이퍼님/하이포님)**를 활용한 신경 - 심볼릭 하이브리드 접근법이 기존 AI 방법론보다 불균형 데이터 환경에서 더 강력하고 신뢰할 수 있는 보안 대응을 생성할 수 있음을 입증했습니다.