TTPrint: 발산 후 수렴 검증을 통한 증거 기반 TTP 추출

사이버 위협 인텔리전스 (CTI) 보고서에서 MITRE ATT&CK 기법을 추출하는 것은 높은 재현율 (Recall, 기법을 놓치지 않는 것)과 높은 정밀도 (Precision, 근거 없는 기법을 환각하지 않는 것)를 모두 요구하는 오픈셋 (Open-set), 다중 레이블 (Multi-label) 문제입니다. 규칙 기반 (Rule-based), 지도 학습 (Supervised), 그리고 LLM 기반 방식과 같은 기존 방법들은 이 두 가지를 모두 달성하는 데 어려움을 겪고 있습니다. 규칙 기반 및 지도 학습 방식은 다양한 공격 설명에 대한 일반화 능력이 부족하며, 후보 생성과 검증을 단일 추론 단계 내에서 결합하는 LLM 기반 방식은 재현율과 정밀도가 동시에 제한되는 문제를 겪습니다. 우리는 인간 분석가가 작업하는 방식, 즉 먼저 광범위하게 추출한 다음 엄격하게 검증하는 방식에서 영감을 얻은 '발산 후 수렴 (Diverge-then-converge)' 설계를 통해 이 과제를 해결하는 TTPrint를 제안합니다. 발산 (Divergent) 단계에서는 보고서를 원자적 행동 (Atomic behaviors)으로 분해하고 후보 기법들을 광범위하게 제안합니다. 이후 결정론적 구간 로컬라이제이션 (Deterministic span localization) 단계가 각 후보를 소스 텍스트 내의 특정 증거 창 (Evidence window)에 고정합니다. 수렴 (Convergent) 검증 단계에서는 로컬라이제이션된 증거와 권위 있는 MITRE 정의 모두에 의해 뒷받침되는 후보만을 유지합니다. 우리는 기존 벤치마크의 알려진 주석 노이즈 (Annotation noise) 문제를 해결하고 이 과제를 문서 수준의 TTP 추출로 격상시키기 위해 두 가지 평가 리소스인 정제된 TRAM 벤치마크 (TRAM-Clean)와 새로운 주석 데이터셋 (TTPrint-Bench)을 기여합니다. TRAM-Clean과 TTPrint-Bench에서 TTPrint는 각각 76.48%와 87.39%의 macro-F1을 달성하였으며, 이는 선두 베이스라인을 각각 63.5%와 29.4% 상회하는 수치입니다. 6개의 LLM에 대한 멀티 백본 (Multi-backbone) 분석과 임계값 민감도 (Threshold sensitivity) 연구는 모델 선택에 따른 일반화 가능성을 추가로 입증하며 파라미터 선택을 위한 실질적인 가이드를 제공합니다.