MAECO-Lite: 동적 악성코드 분석을 위한 모듈형 온톨로지 (Modular Ontology)

실용적이면서도 의미론적으로 정밀한 방식으로 악성코드의 동적 행위를 포착하는 것은 사이버 위협 인텔리전스 (Cyber Threat Intelligence) 분야에서 여전히 중요한 과제로 남아 있습니다. MAEC 및 STIX와 같은 표준은 악성코드 아티팩트 (Artifacts)와 관찰 사항을 설명하기 위해 널리 채택된 어휘를 제공하지만, 이들은 종종 중요한 온톨로지적 구분을 모호하게 만드는 복잡한 구조로 데이터를 표현합니다. 특히, 이들은 지속적인 악성코드 아티팩트와 실행 중에 생성되는 이벤트를 혼동하는 경향이 있으며, 이로 인해 온톨로지 설계의 기초 표준에서 핵심적인 구분이 평면화됩니다. 본 논문에서는 통합 기초 온톨로지 (Unified Foundational Ontology, UFO)를 이론적 관점으로 삼아, 동적 악성코드 분석과 관련된 핵심 MAEC 및 STIX 구성 요소에 대한 기초적인 온톨로지 분석을 수행합니다. 우리의 분석 결과, MAEC 및 STIX에서 아티팩트 (Artifacts), 성향 (Dispositions), 그리고 런타임 이벤트 (Runtime Events)를 혼용함으로써 발생하는 몇 가지 온톨로지적 불일치가 발견되었으며, 이는 동적 악성코드 행위의 일관된 표현을 복잡하게 만들고 실무적인 관점에서 실행 흔적 (Execution Traces)에 대해 추론하는 능력을 제한합니다. 이러한 통찰을 바탕으로, 우리는 동적 악성코드 분석을 위해 데이터를 표현하고 그 처리를 운영화하도록 설계된 경량 온톨로지인 MAECO-Lite를 제안합니다. 이 온톨로지는 샘플 (Samples), 프로세스 (Processes), 액션 (Actions), 시스템 아티팩트 (System Artifacts), 그리고 MITRE ATT&CK 기법 (Techniques)을 중심으로 하는 모듈형 구조를 채택하는 동시에, 지속적인 엔티티 (Entities)와 런타임 이벤트 사이의 명확한 분리를 유지합니다. 기술 논리 개념 학습 (Description Logic Concept Learning) 알고리즘을 사용한 초기 평가 결과, 단순화된 온톨로지가 학습 성능을 크게 향상시키는 것으로 나타났으며, 이는 온톨로지에 기반한 모델링이 의미론적 명확성과 계산적 사용성 (Computational Usability)을 모두 향상시킬 수 있음을 입증합니다.