이재형, 강형우,

Vol. 36, No. 2, pp. 681-696, 4월. 2026
10.13089/JKIISC.2026.36.2.681, Full Text:
Keywords: Cyber Threat Intelligence, MITRE ATT&CK TTPs, large language models, Threat hunting, Financial institutions
Abstract

국내 금융회사는 망분리, 로그 반출 제한 등 강한 규제로 인해 LLM 기반 보안 분석 수행에 구조적 제약을 가진다. 본 논문은 이러한 환경을 전제로 LLM을 보조 도구로 활용하여 CTI를 MITRE ATT&CK TTPs에 매핑하는 위협 헌팅의 도입 방안을 제안한다. 금융회사 규제·인프라 특성을 분석하여 제약 사항을 정리하고, CTI 수집·요약, LLM 기반 TTPs 후보 매핑, ATT&CK 지식베이스-SIEM 연계를 포함하는 수행 절차와 단계적 도입 방안을 고안하였다. 또한 GPT-5.1과 ATT&CK Enterprise v18.1을 이용하여 금융보안원 CTI 리포트 4건의 87개 문장(121개 레코드)에 대한 TTPs 매핑을 수행하고, 보안담당자 관점의 0~4점 수용도 평가를 통해 83.47%의 출력이 실무용 후보로 활용 가능함을 확인하였다. 결론적으로 망분리 등 규제에도 불구하고 금융회사에서 LLM을 보조 도구로 활용하여 위협 헌팅을 수행할 수 있음을 보인다.

Statistics
Cite this article