소프트웨어 취약점 탐지를 위한 일반화 가능한 멀티모달 표현 학습
요약
본 논문은 소프트웨어 취약점 탐지 성능을 높이기 위해 소스 코드와 주석이라는 두 가지 모드를 결합하는 멀티모달 학습 프레임워크인 MultiVul을 제안합니다. 기존 방법들이 단일 모드(코드만)에 의존하여 개발자의 의도 정보가 담긴 주석의 보완적 의미를 간과했던 한계를 극복하고자 합니다. MultiVul은 이중 유사도 학습 및 일관성 정규화를 통해 코드와 주석 표현을 효과적으로 정렬하며, 다양한 LLM(DeepSeek-Coder, Qwen2.5-Coder 등)에서 기존 방법 대비 높은 성능 향상을 입증했습니다.
핵심 포인트
- 소프트웨어 취약점 탐지 시 코드 구조 정보와 개발자 의도 정보가 담긴 주석을 함께 활용하는 멀티모달 접근 방식이 필요하다.
- 제안된 MultiVul 프레임워크는 이중 유사도 학습(dual similarity learning)과 일관성 정규화(consistency regularization)를 통해 코드-주석 표현의 정렬을 강화한다.
- MultiVul은 DeepSeek-Coder, Qwen2.5-Coder 등 여러 대형 언어 모델에 적용 가능하며, 프롬프팅 기반 및 코드 전용 파인튜닝 방식 대비 우수한 성능 향상을 보인다.
- 제안된 방법론은 높은 성능을 달성하면서도 유사한 추론 효율성을 유지하여 실용적 가치가 높다.
소스 코드와 그 주석을 보완적이면서도 자연스럽게 정렬된 모드입니다: 코드는 구조적 논리를 인코딩하는 반면, 주석은 개발자의 의도를 포착합니다. 그러나 기존 취약점 탐지 방법은 단일 모드 코드 표현에 주로 의존하여, 주석에 내재된 보완적인 의미 정보를 간과함으로써 복잡한 코드 구조와 논리적 관계에 대한 일반화 능력을 제한하고 있습니다. 이를 해결하기 위해 우리는 다양한 코드-텍스트 쌍을 추가하여 견고성을 향상시키기 위해 이중 유사도 학습 (dual similarity learning) 과 일관성 정규화 (consistency regularization) 를 통해 코드 및 주석 표현을 정렬하는 멀티모달 대비 프레임워크인 MultiVul 을 제안합니다. 널리 사용되는 DiverseVul 과 Devign 데이터셋에서 수행한 실험 결과, DeepSeek-Coder-6.7B, Qwen2.5-Coder-7B, StarCoder2-7B, CodeLlama-7B 라는 네 가지 대형 언어 모델 (LLMs) 에서 MultiVul 은 프롬프팅 기반 방법에 비해 최대 27.07% 의 F1 점수 향상과 코드 전용 파인튜닝에 비해 13.37% 의 향상을 달성하면서도 유사한 추론 효율성을 유지함을 보였습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv cs.AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기