원문정보
초록
영어
Aligned with Korea’s K-RMF, this study automates mapping between NIST RMF security controls and MITRE ATT&CK techniques using semantic similarity. Current MITRE mappings are sparse and manual, limiting threat intelligence integration. We apply BERT variants and LLMs to compute similarity between control and technique descriptions, generating Top-K mappings. Expert-validated mappings serve as ground truth for evaluating precision, recall, and F1-score. Results show semantic LLMs outperform SBERT in coverage and interpretability, while hybrid models enhance reliability and scalability. This work provides a structured, automated RMF–ATT&CK mapping framework, enabling defense systems to better align security controls with real-world adversary behaviors. The approach supports proactive cyber defense by bridging policy and threat intelligence, offering measurable improvements in mapping accuracy and operational applicability for national defense.
한국어
한국군 위험관리제도(K-RMF) 시행에 따른 국방정보시스템의 보안통제항목에 대한 위협 기법 매핑을 통해 대응방안을 수 립할 수 있다. 본 연구는 NIST 위험관리 프레임워크(RMF) 보안통제항목과 MITRE ATT&CK 기술 간 연계를 의미 유사도 기반 자동화로 정교화하고, 그 결과를 국방 사이버 방어 운용에 적용 가능한 Top-K 후보와 근거를 제시하는 것이다. 현재 공 개된 MITRE Mapping Explorer는 일부 RMF 통제 항목에 대해서만 ATT&CK Technique 항목과 수동 매핑 정보를 제공하 고 있다. 이로 인해 대부분의 통제 항목은 위협 인텔리전스 지식베이스와의 직접적인 연결 고리가 부족한 상태이다. 이에 따 라 본 연구에서는 기존 매핑의 한계를 극복하고 RMF–ATT&CK 간 매핑 커버리지 및 정확도를 향상시키기 위한 자동화된 접근 방법을 제안한다. 실험에는 BERT 파생모델과 대형 언어모델(LLM)을 포함한 여러 의미 기반 언어 모델들을 적용하여, RMF 보안 통제 설명과 ATT&CK Technique 설명 간의 유사도를 계산하고, Top-K 후보 매핑 항목을 도출하였다. 또한, 일 부 RMF 보안 통제에 대한 전문가 수작업 매핑 결과를 정답 세트로 활용하여 각 모델의 정확도, 재현율, F1-score를 비교 평 가하였다. 그 결과, 의미 기반 LLM은 기존 SBERT 기반 모델 대비 설명력과 커버리지 면에서 우수한 결과를 보였으며, 혼합 형 모델 구조는 매핑의 신뢰도와 확장성 모두에서 높은 가능성을 확인할 수 있었다.
목차
ABSTRACT
1. 서론
2. 관련 연구
2.1 NIST RMF와 MITRE ATT&CK
2.2 위협 인텔리전스 지식베이스 기반의 매핑기법 연구
3. RMF-ATT&CK 매핑 기법 제안
3.1 매핑 아키텍처
3.2 데이터 통합(consolidation)과 전처리
3.3 표현 및 부호생성(임베딩・FAISS)
3.4 결정 단계:게이팅· LLM 분기·점수결합/선택
4. 실험 설계 및 결과 분석
4.1 실험 환경 및 모델 구성
4.2 평가 지표 및 기준
4.3 RMF-ATT&CK 매핑 실험 결과
4.4 모델별 요약
5. 결론
참고문헌