AEGIS: LLM과 훈련 효과 평가를 활용한 화이트박스 공격 경로 생성 시스템 - 대규모 사이버 방어 훈련 적용

AEGIS: White-Box Attack Path Generation using LLMs and Training Effectiveness Evaluation for Large-Scale Cyber Defence Exercises

사이버 방어 훈련을 위한 공격 경로 생성에는 상당한 전문 지식이 필요합니다. 기존 자동화 시스템은 사전에 준비된 취약점 그래프나 익스플로잇 세트를 필요로 하며, 이는 적용 범위를 제한합니다. 본 논문에서는 LLM, 화이트박스 접근 방식, 그리고 실제 익스플로잇 실행에 대한 몬테카를로 트리 탐색을 활용하여 공격 경로를 생성하는 AEGIS 시스템을 소개합니다. LLM 기반 탐색은 기존 취약점 그래프 없이도 익스플로잇을 동적으로 발견하며, 화이트박스 접근은 공격 경로를 확정하기 전에 익스플로잇을 개별적으로 검증할 수 있도록 합니다. CIDeX 2025, 즉 46개의 IT 호스트를 포함하는 대규모 훈련 환경에서 AEGIS가 생성한 공격 경로는 훈련 경험의 네 가지 측면(인지된 학습, 참여도, 신뢰성, 도전성)에서 인간이 작성한 시나리오와 비교하여 우수한 성능을 보였습니다. 결과는 검증된 설문지를 사용하여 측정되었으며, 이는 일반적인 시뮬레이션 기반 훈련에 적용될 수 있습니다. AEGIS는 익스플로잇 체인 발견 및 검증을 자동화하여 시나리오 개발 기간을 몇 달에서 며칠로 단축하고, 전문가의 노력을 기술 검증에서 시나리오 설계로 전환합니다.

Creating attack paths for cyber defence exercises requires substantial expert effort. Existing automation requires vulnerability graphs or exploit sets curated in advance, limiting where it can be applied. We present AEGIS, a system that generates attack paths using LLMs, white-box access, and Monte Carlo Tree Search over real exploit execution. LLM-based search discovers exploits dynamically without pre-existing vulnerability graphs, while white-box access enables validating exploits in isolation before committing to attack paths. Evaluation at CIDeX 2025, a large-scale exercise spanning 46 IT hosts, showed that AEGIS-generated paths are comparable to human-authored scenarios across four dimensions of training experience (perceived learning, engagement, believability, challenge). Results were measured with a validated questionnaire extensible to general simulation-based training. By automating exploit chain discovery and validation, AEGIS reduces scenario development from months to days, shifting expert effort from technical validation to scenario design.