LLM 기반 악성코드 분류를 위한 다중 뷰 역컴파일 (Multi-View Decompilation)

악성코드 분석가들은 소스 코드를 사용할 수 없을 때, 역컴파일된 의사 C (pseudo-C) 코드를 통해 컴파일된 바이너리를 조사하곤 합니다. 최근 연구에 따르면 대규모 언어 모델 (LLMs)이 역컴파일된 코드를 정상(benign) 또는 악성(malicious)으로 분류함으로써 이 과정을 도울 수 있다고 제안되었으나, 기존의 파이프라인은 일반적으로 단일 역컴파일러 뷰 (decompiler view)에 의존합니다. 우리는 이러한 가정이 취약하다고 주장합니다. 역컴파일러는 손실이 발생하는 휴리스틱 도구이며, 서로 다른 역컴파일러는 동일한 바이너리의 서로 다른 아티팩트 (artefacts)를 드러낼 수 있기 때문입니다. 우리는 다양한 위협 동작을 포괄하는 정상 유틸리티 및 악성 프로그램 벤치마크를 큐레이션했습니다. 각 샘플은 Ghidra와 RetDec 모두를 사용하여 컴파일 및 역컴파일되었으며, 이를 통해 매칭된 의사 C 뷰를 생성했습니다. 주요 모델 제품군에 걸친 다양한 LLM을 대상으로 실험한 결과, 두 가지 역컴파일러 뷰를 모두 제공하는 것이 악성 클래스의 F1 점수를 향상시킨다는 것을 발견했으며, 이는 주로 악성 샘플에 대한 재현율 (recall)을 높임으로써 이루어졌습니다. 일치도 분석 (Agreement analyses)을 통해 Ghidra와 RetDec가 부분적으로 서로 다른 오류를 범한다는 점을 추가로 확인하였으며, 이는 역컴파일러 출력이 상호 보완적인 증거를 제공한다는 견해를 뒷받침합니다. 우리의 결과는 다중 역컴파일러 프롬프팅 (multi-decompiler prompting)이 실제 환경에서 LLM 기반의 악성코드 분류 (malware triage)를 개선할 수 있는 간단하고 별도의 학습이 필요 없는 (training-free) 방법임을 시사합니다.