Główne pojęcia
LLM은 정적 악성코드 분석 작업을 지원하는 데 유용한 정보를 제공할 수 있지만, 아직 완전히 기존 분석 흐름을 대체할 수는 없다.
Streszczenie
본 연구는 대규모 언어 모델(LLM)을 활용하여 정적 악성코드 분석 작업을 지원할 수 있는지에 대한 가능성을 타진한다. 저자들은 먼저 LLM이 생성한 설명 텍스트의 정확도를 평가하기 위해 분석 보고서와 LLM 출력을 비교 분석했다. 그 결과 LLM이 실질적인 수준의 정확도를 제공할 수 있음을 확인했다.
사용자 연구를 통한 실용성 검증 및 개선점 발굴
연구진은 사용자 연구를 통해 LLM을 분석 지원 도구로 활용할 수 있는지 검증하고, 향후 실용화를 위해 개선해야 할 부분을 파악하고자 했다.
연구 설계 및 참여자
본 연구에서는 정적 분석 경험이 있는 6명의 분석가가 참여했다. 이들은 LLM이 생성한 악성코드 기능 설명을 활용하여 모의 악성코드 분석 작업을 수행했다. 분석 후에는 설문조사와 인터뷰를 통해 LLM 출력의 유용성과 실용성을 평가했다.
주요 결과
- LLM 출력의 유용성: 대부분의 참가자는 LLM이 생성한 설명이 악성코드 분석에 유용하다고 응답했다. 특히, LLM 출력을 통해 분석 시간을 단축하고 분석 난이도를 낮출 수 있었다는 의견이 있었다.
- 개선 사항: 참가자들은 LLM 출력의 정확도와 신뢰성을 높이기 위해 다음과 같은 개선 사항을 제시했다.
- 오류 및 편향: LLM 출력에서 발생할 수 있는 오류와 편향을 최소화하기 위한 추가적인 검증 및 개선 작업이 필요하다.
- 정보 보안: 민감한 정보 유출 가능성을 차단하기 위해 외부 LLM 서버 대신 로컬 LLM 서버를 구축하거나, 민감 정보를 식별하여 제거하는 기능이 필요하다.
- 사용자 인터페이스: 분석 도구와의 연동성을 높이고, 사용자 친화적인 인터페이스를 제공하여 분석가의 작업 효율성을 향상시켜야 한다.
결론 및 향후 연구 방향
본 연구는 LLM이 정적 악성코드 분석 작업을 지원하는 데 유용한 도구가 될 수 있음을 시사한다. 하지만 실제 환경에서 LLM을 효과적으로 활용하기 위해서는 앞서 언급된 개선 사항들을 해결하는 것이 중요하다. 향후 연구에서는 더 많은 정적 분석가를 대상으로 인터뷰를 진행하고, LLM을 활용한 정적 분석 지원 시스템을 구축하여 사용성을 평가할 예정이다.
Statystyki
LLM이 생성한 설명 텍스트는 최대 90.9%의 정확도로 악성코드 기능을 설명할 수 있었다.
6명의 정적 분석가가 LLM 설명을 사용하여 모의 정적 분석 작업을 수행했다.
분석가들은 LLM 출력의 유창성, 관련성, 정보성, 실용성을 평가했다.
분석가들은 기밀 유지, LLM 출력 방해 가능성, 추가 출력 필요성 등 18가지 문제점을 제기했다.
Cytaty
"LLM 출력은 유용하지만, 분석 결과를 분석하는 데만 의존하기는 어려웠다."
"특히 민감한 정보가 인코딩된 경우, 판단하기 쉽지 않고, 실수로 민감한 정보를 입력할 위험이 있다."
"LLM 출력은 좋고 실용적이다."
"지원 도구로서 충분하다."