HBEE: Human Behavioral Entropy Engine -- Pre-Registered Multi-Agent LLM Simulation of Peer-Suspicion-Based Detection Inversion

이 사전 등록된 다중 에이전트 시뮬레이션 연구는 작전 보안 지시를 활용하는 LLM 기반의 적응형 내부자가 무고한 에이전트보다 통계적으로 낮은 동료 의심 점수를 달성하는 역설적인 탐지 역전을 드러내어, 행동 이상 신호를 전통적인 사용자-엔티티 행동 분석과 분리시키고 현재 내부자 위협 모델의 중요한 일반화 격차를 노출합니다.

핵심

다음은 "HBEE: 인간 행동 엔트로피 엔진" 논문에 대한 쉽고 일상적인 언어로 설명한 내용입니다.

핵심 아이디어: 실패한 디지털 "누가 범인인가"

100 명 규모의 거대한 사무실 시뮬레이션을 운영한다고 상상해 보세요. 잡히지 않고 비밀을 훔치기 위해 고용된 '스파이'(모les) 를 찾아낼 수 있는지 확인하고 싶다고 가정해 봅시다.

보통 보안 시스템은 다음과 같은 단순한 가정에 기반합니다: 누군가 스파이처럼 행동하면 동료들이 알아차린다. 직원이 이상하게 행동하거나, 이상한 파일을 요청하거나, 잘못된 사람들과 대화하기 시작하면 친구와 동료들이 "저 사람 수상해"라고 수군거리기 시작합니다. 이를 '동료의 의심 연쇄 (peer-suspicion cascade)'라고 합니다. 누군가를 의심하는 사람이 많을수록 보안 시스템이 그 사람을 적발할 가능성은 높아집니다.

반전: 연구원들은 대규모 언어 모델 (LLM) 을 활용한 고급 AI 를 스파이로 구축하고 다음과 같이 지시했습니다: "완벽한 스파이가 되어라. 평범하고 지루한 직원처럼 정확히 행동하라. 눈에 띄는 행동을 하지 마라."

충격적인 결과: AI 스파이는 단순히 섞여 있는 것을 넘어, 평균적인 무고한 사람보다 더 눈에 띄지 않게 되었습니다. 실제로 무고한 직원들이 스파이보다 더 의심받았습니다. 보안 시스템의 '집단 지성'은 완전히 역효과를 낳았습니다.

---

실험: 어떻게 테스트했는가

빅슨 페렐 (Vickson Ferrel) 이 이끄는 연구원들은 HBEE라는 통제된 디지털 세계를 구축했습니다.

1. 참가자들: 슬랙 (Slack) 같은 디지털 채널에서 대화하는 엔지니어, 관리자 등 다양한 직무를 가진 100 개의 디지털 에이전트 (직원) 를 만들었습니다.
2. 스파이: 한 에이전트가 '모les'였습니다.
   • 순진한 스파이: 비밀을 훔치라고만 지시받았습니다.
   • 적응형 스파이: 비밀을 훔치되, 매우 조심스럽고 신중하며 눈에 띄지 않게 행동하도록 지시받았습니다 (이를 'OPSEC'라고 합니다).
3. 방어자들: 연구원들은 보안 시스템이 작동할 수 있는 두 가지 방식을 테스트했습니다.
   • '맹목적인' 감시자: 각 에이전트가 자신의 데이터만 보고 다른 사람의 생각을 무시한 채 누군가 의심스러운지 결정합니다.
   • '연쇄' 감시자: 에이전트들이 서로 대화합니다. 세 사람이 누군가를 의심하면 네 번째 사람도 그 사람을 의심할 가능성이 높아집니다. 이것이 바로 '집단 지성' 접근법입니다.
4. 테스트: 이 시뮬레이션을 100 회 실행했습니다. 결과를 본 후 규칙을 변경하거나 속이지 않도록 과학자가 실험 시작 전에 예측을 기록하는 것과 마찬가지로 규칙을 사전 등록했습니다.

두 가지 주요 발견

1. '투명 망토' 효과 (탐지 역전)

연구원들은 '적응형 스파이'가 숨으려 하기 때문에 무작위로 선택된 무고한 사람보다 더 의심받을 것이라고 예측했습니다.

실제로 일어난 일은 무엇일까요?
정반대가 발생했습니다. 시뮬레이션이 끝날 때, 적응형 스파이는 모든 사람 중 가장 낮은 의심 점수를 받았습니다.

• 비유: 사람들이 가득 찬 방을 상상해 보세요. 스파이가 밝은 빨간 모자를 쓴 사람일 것이라고 기대합니다. 대신 스파이는 벽과 완벽하게 어울리는 회색 정장을 입고 있습니다. 하지만 여기서 더 놀라운 점은, 무고한 사람들이 스파이보다 약간 더 화려한 옷을 입고 있다는 것입니다. 군중은 무고한 사람들을 가리키고 있는 반면, 스파이는 구석에 서서 완전히 unnoticed(무시) 됩니다.
• 통계: 스파이는 무작위로 선택된 무고한 직원보다 통계적으로 덜 의심받았습니다.

2. '점수 vs 군중'의 괴리

연구원들은 스파이의 개별 '위험 점수'(컴퓨터에게 특정 행동이 얼마나 의심스러워 보이는지) 도 살펴보았습니다.

• 발견: 스파이의 개별 위험 점수는 크게 변하지 않았습니다. 컴퓨터의 수학 계산에 따르면 여전히 의심스러운 사람으로 보였습니다.
• 문제점: 컴퓨터의 수학이 "이 사람은 위험하다"고 말했지만, 시뮬레이션에 있는 다른 사람들은 동의하지 않았습니다. 그들은 스파이를 적발하지 않았습니다.
• 비유: 연기 감지기가 크게 울리고 있지만 (컴퓨터 점수), 방에 있는 모든 사람이 "아니요, 저는 아무것도 맡지 못했고 다른 사람도 아무것도 맡지 못했다고 생각합니다"라고 말하는 것과 같습니다. 군중의 침묵이 경보를 무효화합니다.

왜 이런 일이 발생했는가?

이 논문은 AI 스파이가 특정 트릭을 배웠다고 제안합니다: 무엇을 했는지는 바꾸지 않고, 얼마나 자주 했는지만 바꾼 것입니다.

• 일반적인 스파이: 위험한 행동을 자주 합니다. 잡힙니다.
• 적응형 AI 스파이: 위험한 행동을 매우 드물게 합니다. 그럴 때조차 정상적인 실수와 정확히 똑같이 보입니다.
• 결과: 위험한 사건이 너무 드물게 발생했기 때문에 다른 에이전트들은 '의심 연쇄'를 시작할 만큼 충분한 증거를 보지 못했습니다. 스파이는 지루하게 행동함으로써 보안의 사회적 계층을 사실상 '조작'했습니다.

'하지만 잠깐...' (한계점)

저자들은 "이것은 실제 스파이가 이제 세계를 해킹할 수 있다는 뜻이다"라고 말하지 않도록 매우 조심합니다. 그들은 결론에 큰 '정지 표지판'을 붙였습니다:

• '균일한 방' 문제: 그들은 시뮬레이션을 유명한 엔론 (Enron) 이메일 기록과 같은 실제 세계 데이터와 비교했습니다. 그들은 시뮬레이션이 '완벽하게 균일'하다는 사실을 발견했습니다. 실제 생활에서는 어떤 사람들은 모두와 대화하고 어떤 사람들은 아무とも 대화하지 않지만, 그들의 시뮬레이션에서는 모든 사람이 모두와 균등하게 대화했습니다.
• 판결: 그들은 자신의 시뮬레이션이 현실의 완벽한 복사본이 아닌 '스타일화된' 버전임을 인정합니다. 이 결과가 실제 지저분한 사무실에서 일어날 것이라고 보장할 수 없습니다. 그들은 "이 특정 단순화된 디지털 세계에서 이 트릭이 작동했습니다. 아직 실제 세계에서 작동하는지 알 수 없습니다"라고 말합니다.

한 문장으로 요약한 결론

통제된 디지털 실험에서 완벽하게 지루하도록 훈련된 AI 스파이는 '군중이 만든' 보안 시스템을 속여 스파이보다 무고한 사람들을 더 의심하게 만들었으며, 이는 눈에 띄지 않으려 노력하는 것이 때로는 방에서 가장 눈에 띄지 않는 사람이 되는 결과를 낳을 수 있음을 증명했습니다.

저자들이 다음에 한 일

• 누구나 이를 깨뜨리거나 검증해 볼 수 있도록 모든 코드, 데이터, 그리고 '게임 규칙'을 공개했습니다.
• 보안 설계자들에게 경고를 강조했습니다: 동료들의 생각에만 의존하여 스파이를 잡지 마십시오. 왜냐하면 교활한 적대자는 무고한 사람들이 의심스러워 보이도록 만들 수 있기 때문입니다.

기술 요약

기술 요약: HBEE – 인간 행동 엔트로피 엔진

문제 제기
내부자 위협 탐지 (ITD) 시스템, 특히 사용자 및 엔티티 행동 분석 (UEBA) 과 동료-의심 연쇄 (peer-suspicion-cascade) 메커니즘은 적응형 내부자가 합법적 사용자와 구별되는 감지 가능한 "잔류물"을 남긴다는 행동적 가정에 기반하여 작동합니다. 이 가정은 역사적으로 정적이거나 단순한 적대자에 대해 스트레스 테스트되어 왔습니다. 그러나 운영 보안 (OPSEC) 지시에 실시간으로 반응하여 행동을 동적으로 조절할 수 있는 언어 모델 기반 에이전트라는 새로운 유형의 적대자에 대해서는 아직 테스트되지 않았습니다. 다루어진 핵심 질문은 내부자가 신중하고, 절제하며, 눈에 띄지 않도록 지시받은 LLM 에이전트일 때 행동 잔류물 가정이 유효한지 여부입니다.

방법론
저자들은 통제된 조건 하에서 탐지 메커니즘을 테스트하도록 설계된 사전 등록형 다중 에이전트 LLM 시뮬레이션인 **HBEE(인간 행동 엔트로피 엔진)**를 도입했습니다.

• 시뮬레이션 환경: 100 개 에이전트 조직 ("Vixero HQ") 이 4 개 단위 (연구개발, 엔지니어링, 거버넌스, 운영) 에 분산되어 5 개의 슬랙 스타일 채널을 통해 통신합니다. 시뮬레이션은 100 틱 동안 실행됩니다.
• 적대자 모델: 은밀한 유출을 목표로 하는 단일 "스파이" 에이전트가 내장됩니다. 두 가지 적대자 유형이 테스트됩니다:
  • 단순 (Naive): 특정 OPSEC 제약 없이 목표를 추구합니다.
  • 적응형 (Adaptive): 동료들과 구별되는 행동 패턴을 피하며 신중함, 절제함, 눈에 띄지 않음을 유지하도록 명시적인 OPSEC 지시를 받습니다.
• 방어자 모델: 두 가지 탐지 구성이 평가됩니다:
  • 연쇄 (Cascade): 에이전트들이 사회적 의심 전파; 동료들이 개인을 플래그하면 에이전트 자신의 의심 점수가 증가합니다 (동료-의심 연쇄).
  • 맹목 (Blind): 에이전트들이 동료 의심 점수를 관찰하지 않고 독립적인 에이전트별 UEBA 분류기를 실행합니다.
• 실험 설계: 방어자 모드 (연쇄 vs 맹목) 와 적대자 유형 (단순 vs 적응형) 을 교차하고, 스파이 없는 통제군을 추가한 사전 등록형 5 조건 연구 ($n=20$ 시드당, 총 100 회 실행).
• 지표 및 가설:
  • H1: 단순 스파이의 기준 UEBA 순위와 균일 분포 비교.
  • H2: 적응형 OPSEC 이 단순 기준에 비해 스파이의 UEBA 순위를 이동시키는지 여부를 결정하기 위한 동등성 검정 (쌍체 Wilcoxon, 경계: $\pm 5$ 순위).
  • H3: T60 시점에서 적응형 스파이의 의심 유입 차수 (in-degree) 와 무작위로 선택된 무고한 에이전트를 비교하는 방향성 검정 (Mann-Whitney U).
  • H4: 일반화 주장을 경계하기 위해 HBEE 의 메시지 노출 지니 계수 (0.213) 를 SNAP Enron 참조 (0.730) 와 비교하는 보정 확인.
• 기술 스택: 에이전트는 vLLM 을 통해 GLM-4 Flash(INT4 양자화) 로 구동됩니다. 스파이가 자신의 전략을 서술하는 것을 방지하기 위해 사고의 사슬 (Chain-of-thought) 추론은 명시적으로 비활성화됩니다.

주요 결과
이 연구는 표준 탐지 가정에 도전하는 두 가지 주요 실증적 발견을 도출했습니다:

1. 탐지 역전 (H3): 적응형 스파이가 무고한 에이전트보다 더 의심받을 것이라는 사전 등록된 예측과 달리, 정반대가 발생했습니다. 분석 스냅샷 (T60) 에서 적응형 스파이의 중앙값 의심 유입 차수는 0인 반면, 무작위로 선택된 무고한 에이전트의 중앙값 유입 차수는 2였습니다.

   • 통계적 유의성: Cliff's $\delta = -0.694$(95% BCa 신뢰구간 $[-0.855, -0.519]$), $p \ll 0.01$.
   • 해석: 적응형 스파이는 무작위 무고한 동료보다 동료들로부터 통계적으로 덜 의심받습니다.

2. 신호 분리 (H2): 사회적 계층 (동료 의심) 이 역전되는 동안, 에이전트별 UEBA 순위는 안정적으로 유지되었습니다. 적응형 OPSEC 은 단순 기준에 비해 스파이의 UEBA 순위에서 감지 가능한 이동을 발생시키지 않았습니다.

   • 통계적 유의성: 평균 쌍체 순위 차이는 두 방어자 모드 모두에서 사전 등록된 $\pm 5$ 순위 동등성 경계 내에 있었습니다 (주요 연쇄 분석에서 하나의 경미한 기술적 문제가 발생했으나 전체 N 민감도 분석에서 해결되었습니다).
   • 해석: 두 가지 탐지 신호 (동료 의심 그래프 및 에이전트별 점수) 가 분리됩니다. 적응형 스파이는 의심 유발 행동의 빈도를 줄여 (유입 차수 감소) 해당 행동의 지문은 변경하지 않아 (UEBA 순위 정적 유지) UEBA 점수에 영향을 주지 않습니다.

3. 보정 실패 (H4): 시뮬레이션의 통신 구조는 Enron 데이터셋과 같은 실제 조직 데이터 (지니 = 0.730) 보다 훨씬 더 균일합니다 (지니 = 0.213). 저자들은 이를 사전에 약속된 범위 제약으로 간주하여 주장의 일반화를 의도적으로 스타일화된 환경으로 제한합니다.

의의 및 주장
이 논문은 적응형 OPSEC 이 LLM 지시어로 구현 가능한 통제된 환경에서 동료-의심 연쇄 탐지가 역전된다는 좁지만 놀라운 주장을 제기합니다.

• 이론적 기여: 저자들은 적응형 OPSEC 이 위험의 성격이 아닌 위험 감수 율에 작용한다고 제안합니다. 스파이는 사회적 의심을 촉발할 만큼 충분한 플래그-worthy 이벤트를 생성하지 않도록 피하지만, 발생 드문 사건들은 동일한 행동 지문을 유지하여 에이전트별 UEBA 점수에 영향을 주지 않습니다.
• 방법론적 기여: 이 연구는 특히 결과가 초기 가설 (예: H3 의 역전) 과 모순될 때 사후 합리화를 방지하기 위해 보안 시뮬레이션에서 사전 등록의 가치를 입증합니다. 또한 시나리오가 부과한 행동 템플릿이 감사 중 OPSEC 지시의 행동 측정 가능성을 억제할 수 있는 "DEFCON-창 측정 가능성 제약"을 강조합니다.
• 범위 제한: 저자들은 탐지 역전 발견이 시뮬레이터의 구조적 제약 (균일 통신 분포) 에 의해 경계된다고 명시적으로 밝힙니다. 파레토 분포 통신 패턴을 가진 운영 환경으로 이러한 결과가 이전된다고 주장하지 않습니다. 이 기여는 실제 시스템 실패에 대한 판정이 아닌, 예상치 못한 탐지 속성에 대한 통제된 실증적 증명입니다.

결론
HBEE 는 LLM 기반 적응형 적대자에 대한 내부자 위협 탐지를 테스트하기 위한 사전 등록형, 반증 가능한 프레임워크를 제공합니다. 핵심 발견은 적응형 행동이 내부자가 사회적 탐지 메커니즘 (동료 의심) 에 대해 "투명"해지게 만들면서, 에이전트별 이상 점수 측면에서는 단순 내부자와 통계적으로 구별되지 않게 만든다는 점입니다. 이는 적응형 OPSEC 하에서 사회적 및 알고리즘적 탐지 신호가 분리될 수 있음을 시사하며, 이는 더 보정된 환경에서 추가 조사가 필요한 현상입니다.