1. 서론
최근 북한과 중국을 비롯한 다양한 국가 주도의 사이버 위협이 고조되면서, 국방망을 겨냥한 공격의 빈도와 정교함이 꾸준히 증가하고 있다[1]. 전술통신체계, 무기체계 소프트웨어, 지휘통제 시스템 등은 공격시 군 작전의 지휘·통제 능력을 약화시킬 수 있어, 국방 취약점 진단과 보안 점검의 전략적 중요성이 한층 부각되고 있다.
그러나 현행 국방 환경의 보안 진단·보고 절차는 여전히 수작업 중심으로 운영되고 있어 보고 지연, 품질 편차, 분석가 역량 차이에 따른 불일치 문제가 상존한다. DISA의 STIG 문서는 이러한 한계를 지적하며 자동화·표준화의 필요성을 강조하고 있으며[2], DoD 사이버 사고 대응 지침 역시 보고 과정의 일관성과 재현성을 요구한다[3]. 그럼에도 불구하고 국방 폐쇄망 특수성으로 인해, 민간에서 활용되는 클라우드 기반 LLM 자동화 기법을 직접 도입하기는 어렵다.
이에 본 연구는 국방 폐쇄망 환경에서도 독립적으로 운용 가능한 로컬 LLM 기반 보안 진단 보고 자동화 체계를 제안한다. 연구는 국방 보안 규격 및 기존 체계 분석, 자동화 아키텍처 설계, 전술통신체계 및 무기체계 소프트웨어 검증 시나리오 적용의 세 단계로 진행되며, 구체적 내용은 제3장에서 다룬다.
본 연구의 학문적·실무적 기여는 다음과 같다.
첫째, 폐쇄망 환경에서 운용 가능한 AI 기반 보안 문서 자동화 모델을 제시한다.
둘째, 취약점 진단 결과와 국방 보안 규격을 자동 연계하여 인증·감사 대응 효율성을 높인다.
셋째, 다계층 보고서 구조를 통해 보고 품질을 표준화하고 지휘결심 지원 속도를 향상시킨다.
종합하면, 본 연구는 국방 보안 진단·보고 프로세스를 자동화하여 인적 자원 소모와 품질 편차를 줄이고, 규격 대응과 지휘결심 지원을 동시에 강화할 수 있는 전략적 기반을 마련한다.
2. 관련 연구 및 이론적 배경
2.1 국방 보안 규제 및 점검 기준
국방 사이버 보안 점검은 민간과 달리 국가 안보와 직결되는 특수성을 반영하여 독자적인 규제 체계에 기반한다. 대표적으로 미국 국방부의 STIG(Security Technical Implementation Guide), RMF(Risk Management Framework), 국내 국방부의 보안 점검 지침, 그리고 국제 표준인 CC(Common Criteria) 인증이 있다.
첫째, STIG는 미국 국방부 산하 DISA가 제정한 기술 보안 가이드라인으로, 운영체제·데이터베이스·네트워크 장비·응용프로그램 등 전 계층에 대해 상세한 보안 설정 기준을 제공한다. 예컨대 웹 서버 STIG는 접근 통제, 인증 절차, 세션 관리, 암호화 프로토콜 설정 등 항목을 규정하며, 모든 국방 시스템은 이를 준수해야 한다[4][5].
둘째, RMF는 시스템 생애주기 전반에 걸쳐 보안 요구사항을 정의하고 검증하는 위험 관리 기반 절차로, 민간의 ISMS-P보다 훨씬 강도 높은 인증 체계를 요구한다. 설계부터 운용·폐기 단계까지 일관된 보안 관리 프로세스를 적용하도록 규정한다[6][7].
셋째, 국방 전산망은 외부와 연동되지 않는 폐쇄망 구조를 전제로 하며, 자료는 보안 등급에 따라 암호화가 필수다. 또한 국방 주요 정보통신 기반시설 연구에서는 접근통제, 데이터 보호, 보안 로그 관리, 취약점 점검 등 세부 보안 기준을 제시하여 민간 기준과 차별화된 국방 특수성을 보여준다[8][9].
넷째, CC 인증은 국제적으로 공인된 정보보호 제품 평가 기준으로, 국방 무기체계와 주요 정보시스템 도입 시 필수 요건이다. 특히 보안 기능 요구사항(SFR)과 보증 요구사항(SAR)을 통해 무기체계 소프트웨어의 보안성 검증과 긴밀히 연계된다[10].
결국 STIG·RMF·CC 인증·국방부 지침은 국방 보안 점검의 핵심 틀을 형성하지만, 이들 규격은 여전히 진단 결과와 보고 과정 간의 단절로 인해 실제 활용성이 낮다. 본 연구가 제안하는 로컬 LLM 기반 자동화 체계는 이러한 규격과 진단 결과를 직접 연결하여, 점검–보고–인증 대응이 하나로 이어지는 전 주기 자동화를 실현할 수 있음을 보여준다.
2.2 기존 취약점 점검/보고 체계와 한계
현재 국방 사이버 보안 점검은 상용 또는 국방 전용 스캐너, 보안 관제 시스템, 수동 점검 절차에 의존하고 있다. 웹 애플리케이션, 네트워크 장비, 서버 운영체제 등에서 정기적으로 진단이 이루어지지만, 결과가 자동으로 국방 규격 보고서로 연계되지 못한다는 구조적 제약이 존재한다.
첫째, 스캐너 의존성이다. 국방에서는 ACAS(Assured Compliance Assessment Solution, Nessus 기반)와 Nexpose(InsightVM) 같은 도구가 활용되지만[11][12], 결과물이 HTML·CSV·XML 등 서로 다른 형식으로 산출된다. 이로 인해 분석가는 자료를 직접 취합해야 하며, 동일 취약점도 도구별 표현 차이로 표준화된 분석이 어렵다.
둘째, 보고 자동화 부족이다. 탐지 결과를 STIG, CC 인증 등 규격에 매핑하는 과정이 담당자의 경험에 의존하다 보니 속도가 느리고, 중복·누락 등 오류 가능성이 크다.
셋째, 분석가 역량 차이 문제다. 동일 결과라도 위험도 평가나 권고안 수준이 제각각이라 지휘결심에 필요한 신뢰성 있는 정보 제공이 어렵다.
넷째, 이력 관리 미흡이다. 일부 무기체계 결함은 데이터베이스화되었으나[13], 국방 전반에 적용 가능한 누적·분석 체계는 부족하다. 따라서 동일 취약점이 반복되거나 구조적 문제를 장기적으로 식별하기 어렵다.
결과적으로 기존 체계는 탐지 중심–수동 보고–단편 대응의 한계에 머물고 있어, 실시간으로 진화하는 위협 환경에서 효율성과 신뢰성을 동시에 저해한다. 이에 본 연구는 입력–전처리–LLM 분석–보고–이력 관리로 이어지는 자동화 체계를 통해 이러한 문제를 근본적으로 개선하고자 한다.
2.3 LLM 및 보안 자동화 선행연구
최근 인공지능, 특히 대규모 언어모델(LLM, Large Language Model)을 활용한 보안 자동화 연구가 활발히 진행되고 있다. 기존 자동화가 스크립트 기반 도구나 SOAR(Security Orchestration, Automation, and Response)에 한정되었던 반면, LLM은 자연어 기반 보안 분석과 문서 자동화를 가능하게 하였다.
첫째, 코드 분석 및 취약점 탐지 연구이다. GitHub Copilot, CodeQL, DeepCode 등은 소스코드 내 취약점을 탐지하고 수정 권고를 제시하는 도구로 발전해 왔다. 최근에는 GPT-4, Gemini 등 LLM을 활용해 코드 맥락을 이해하고 잠재적 취약점을 식별하는 시도가 보고되었다. 그러나 이들 연구는 주로 공개 코드나 민간 소프트웨어를 대상으로 하여, 국방 특수 환경 적용에는 한계가 있다.
둘째, 보안 보고 자동화 연구이다. LLM을 활용해 취약점 스캐너 결과를 요약하거나 규제 준수 보고서를 자동 생성하는 시도가 이루어지고 있다. 예컨대 대규모 언어 모델 기반 정적 애플리케이션 보안 테스트(LLM-supported Static Application Security Testing, LSAST) 프레임워크가 제안되었고[14], 스캐너 결과의 오탐(False Positive)을 LLM으로 판별하는 연구도 보고되었다[15]. 이러한 시도는 주로 연구용 시뮬레이션 단계이나, 국방 폐쇄망 환경에도 적용 가능성을 보인다.
셋째, SOAR 및 위협 대응 자동화 연구이다. 민간 SOC에서는 SIEM과 SOAR 연계를 통해 이벤트 분류와 대응 절차 자동화를 보편화했으며, 최근에는 LLM을 접목해 탐지 이벤트를 자연어 설명으로 변환하거나 대응 플레이북을 자동 생성하는 연구가 등장했다. 예컨대 Ismail 외(2025)는 Agentic LLM 기반 SOAR 아키텍처를 제안했고[16], Guduru(2025)는 LangChain 기반 LLM-SOAR 통합 대응 체계를 구현하여 MITRE ATT&CK 기반 탐지 대응을 실험하였다[17]. 또한 Gurabi 외(2025)는 LLM을 이용해 레거시 보안 플레이북을 CACAO 표준 포맷으로 자동 변환하는 체계를 제시하고, 이를 통해 보안 자동화·오케스트레이션의 실용성을 크게 향상하였다[18]. 그러나 이들 연구는 민간 SOC의 효율화 전제를 가지며, 국방의 다계층 보고 체계와 규격 인증 요구(예: 국방부 보안 지침, CC 인증)와는 괴리가 있다.
넷째, 국방 분야 적용의 공백이다. 민간에서 LLM 보안 자동화가 빠르게 확산되는 것과 달리, 국방 영역은 폐쇄망·보안등급·제도적 제약으로 인해 연구가 극히 제한적이다. 기존 국방 연구는 특정 장비 보안 검증이나 모의 해킹 수준에 머물며, AI 기반 자동 보고 체계를 STIG, CC 인증, 국방부 지침과 연계한 사례는 거의 없다.
따라서 LLM 보안 자동화는 민간에서 활발히 전개되고 있지만, 국방에서는 폐쇄망 운용과 규격 대응이라는 특수성으로 인해 연구 공백이 크다. 본 연구는 이러한 선행연구를 토대로 국방 특수성에 맞춘 최초의 확장 시도라는 점에서 의의를 갖는다.
2.4 폐쇄망 환경에서의 AI 적용 제약
국방 사이버 보안 환경은 외부 네트워크와 분리된 폐쇄망(closed or air-gapped network) 기반으로 운용되기 때문에, 클라우드 기반 AI 서비스와는 본질적으로 다른 제약이 따른다. 실제로 미 육군은 인터넷 기반 LLM 챗봇 NIPRGPT 사용을 보안상의 이유로 차단하고, 내부 호스팅형 LLM 환경을 도입한 바 있으며 [19], NexaStack과 같은 솔루션 역시 air-gapped 환경에서의 모델 추론을 별도로 지원한다 [20]. 한국 방위 시뮬레이션 연구 또한 폐쇄망 내 AI 도입 과정에서 데이터 접근 제한, 모델 검증 절차, 행정 승인 과정 등 다층적인 제약을 지적한 바 있다 [21].
이러한 환경에서 AI 적용의 제약은 크게 다섯 가지로 요약된다. 첫째, 데이터 접근 제한으로 인해 보안 등급 자료의 외부 유출 위험을 차단해야 하므로 로컬 학습 및 추론 환경이 필수적이다. 둘째, 인프라 성능 한계로 인해 클라우드 수준의 GPU 자원을 확보하기 어려워, 경량화 모델 및 특화 도메인 튜닝이 요구된다. 셋째, 규격 대응의 복잡성이 존재하여, 단순 요약이 아닌 STIG·CC 인증 등 규격 항목별 매핑 결과가 반드시 포함되어야 한다. 넷째, 신뢰성 확보를 위해 지휘관과 정책기관에 제출되는 결과는 근거 데이터와 함께 제시되어야 한다. 다섯째, 정책·제도적 보수성으로 인해 AI 결과물이 공식 보고서로 채택되려면 제도적 합의와 표준화 과정이 선행되어야 한다.
결과적으로, 국방 폐쇄망 환경은 데이터·인프라·규격·신뢰성·정책 등 다층적 제약을 갖고 있으며, 이는 민간에서 활용되는 SaaS형 AI 기술의 단순 도입을 불가능하게 한다. 따라서 국방 특수성을 반영한 로컬 LLM 기반의 경량화·규격 매핑·신뢰성 보강 구조가 요구된다.
3. 연구 방법
3.1 연구 설계 개요
본 연구는 국방 폐쇄망 환경의 특수성을 반영한 로컬 LLM 기반 보안 진단 보고 자동화 체계를 제안하기 위해, 다음과 같은 연구 설계 절차를 거쳤다.
첫째, 문헌 조사 및 선행연구 분석을 수행하였다. 국방 분야 보안 규격(STIG, CC 인증, 국방부 보안 지침)과 민간 영역의 보안 자동화 연구를 검토하여, 국방 환경에서 직접 적용이 불가능한 한계와 연구 공백을 도출하였다. 이를 통해 본 연구의 차별성과 필요성을 명확히 했다.
둘째, 체계 분석을 실시하였다. 현재 국방 보안 점검·보고 절차를 구성하는 취약점 스캐너, 관제 로그, 수동 보고 체계의 구조를 분석하고, 보고 지연·품질 편차·규격 대응 미비라는 문제를 구체적으로 규명하였다. 이 분석 결과는 연구 요구사항 도출의 근거가 된다.
셋째, 아키텍처 설계 절차를 수립하였다. 기존 점검 체계의 한계를 극복하기 위해 입력–전처리–LLM 분석–자동 보고–이력 관리로 이어지는 5단계 모듈 구조를 정의하고, 이를 폐쇄망 환경에 맞도록 경량화·표준 매핑·설명가능성 확보 등의 설계 원칙을 적용하였다.
넷째, 적용 시나리오 도출을 통해 제안 체계의 실제 활용 가능성을 검증하였다. 전술통신체계 취약점 진단과 무기체계 소프트웨어 보안성 검증 사례를 중심으로, 제안 아키텍처가 다양한 국방 환경에서 어떻게 적용될 수 있는지를 시뮬레이션 기반으로 제시하였다.
이러한 연구 절차는 실제 데이터를 직접 수집·실험하는 방식이 아닌, 문헌 기반 분석과 시뮬레이션·적용 사례 중심의 방법론을 취함으로써 국방 환경 특수성을 고려한 학술적·실무적 기여를 목표로 하였다.
3.2 연구 범위
본 연구는 국방 폐쇄망 환경에서 운용 가능한 보안 진단 보고 자동화 체계를 제안하는 데 초점을 두었으며, 실제 데이터를 수집하여 실험적으로 검증하기보다는 체계 설계와 적용 시나리오 도출을 중심으로 연구 범위를 설정하였다.
연구의 범위는 크게 세 가지 측면으로 설명될 수 있다. 우선, 체계 설계에서 고려한 입력 데이터 유형이다. 국방 환경에서 보편적으로 발생하는 웹 취약점 스캐너 로그, 무기체계 소프트웨어 검증 결과, 보안 관제 이벤트 로그 등을 대표적 데이터 소스로 상정하고, 제안 체계가 이러한 데이터를 처리할 수 있도록 구조를 설계하였다.
다음으로, 자동 매핑 및 보고 과정에 초점을 두었다. 진단 결과를 국제 표준(CVE, CWE)과 국방 규격(STIG, CC 인증 등)에 자동 연계하고, 실무자·지휘관·정책기관의 요구 수준에 맞춰 보고서를 자동 생성하는 과정을 연구의 핵심 범위로 설정하였다.
마지막으로, 적용 시나리오를 통해 제안 체계의 타당성을 확인하였다. 전술통신체계 취약점 진단과 무기체계 소프트웨어 보안성 검증 사례를 중심으로 시뮬레이션을 수행하여, 제안 아키텍처가 국방 보안 점검의 실제 업무 절차에 어떻게 활용될 수 있는지를 검토하였다.
종합하면, 본 연구는 국방 보안 진단 보고 자동화의 주요 단계(입력 데이터 유형 설정 → 표준 매핑 및 보고서 생성 → 적용 시나리오 검토)를 연구 범위로 삼았으며, 이를 통해 국방 특수 환경에서 로컬 LLM 기반 체계가 실현 가능함을 보여주는 설계적 근거를 제시하고자 한다.
4. 요구사항 분석 및 체계 설계 기반
4.1 이해관계자 분석 및 요구사항 도출
국방 사이버 보안 진단 및 보고 자동화 체계는 다양한 이해관계자의 요구를 동시에 충족해야 한다. 민간 보안 보고 체계가 주로 기술 담당자를 대상으로 설계되는 것과 달리, 국방 환경에서는 실무자–지휘관–정책기관으로 이어지는 다계층 보고 구조가 필수적이다[22][23]. 각 이해관계자는 보고서의 목적, 세부 수준, 활용 방식에서 상이한 요구를 가진다. 따라서 본 연구에서는 이해관계자 분석을 통해 기능적 요구 사항과 정보 전달 수준을 체계적으로 도출하였다.
첫째, 실무자(보안 담당자는 취약점의 구체적 원인, 발생 위치, 대응 절차 등 기술적 세부사항을 필요로 한다. 이들은 취약점을 직접 조치해야 하므로 상세 로그와 수정 권고가 포함된 보고서가 요구된다.
둘째, 지휘관은 작전 수행과 의사결정 지원을 위해 취약점의 위험도와 임무 영향에 대한 요약된 정보를 요구한다. 지나치게 기술적인 내용보다는 작전적 결과와 대응 완료 여부가 중요하다.
셋째, 정책기관(국방부, 합참, 감사·인증 기관 등)은 장기적 보안 수준 평가와 규격 준수 여부를 확인해야 한다. 이들에게는 STIG, CC 인증 등과의 매핑 결과, 규제 대응 현황, 개선 권고가 포함된 보고서가 필요하다.
4.2 기능 요구사항 정의
본 연구에서 제안하는 로컬 LLM 기반 보안 진단 보고 자동화 체계는 국방 폐쇄망 환경에서 실질적으로 운용되기 위해 여러 핵심 기능적 요구사항을 만족해야 한다. 기존 민간 보안 보고 자동화 연구는 클라우드 기반 SaaS 환경에서 제한적으로 구현되었으나, 국방 환경에서는 데이터 보안, 규격 대응, 다계층 보고라는 특수성이 부각된다. 이에 따라 도출된 주요 기능 요구사항은 다음과 같다.
첫째, 다원적 입력 데이터 수집 기능이다. 국방 환경은 웹 취약점 스캐너 로그, 무기체계 소프트웨어 검증 데이터, 보안 관제 이벤트 등 이질적 데이터 소스를 포함한다. 따라서 시스템은 다양한 입력 포맷(CSV, XML, JSON, 텍스트 로그 등)을 자동 수용하고 통합할 수 있어야 한다.
둘째, 전처리 및 표준 매핑 기능이다. 수집된 데이터는 국제 표준(CWE, CVE)과 국방 규격(STIG, CC 인증)으로 자동 매핑되어야 하며, 이를 통해 기술적 취약점과 규제 준수 여부가 일관되게 연결된다.
셋째, LLM 기반 분석 및 대응 권고 생성 기능이다. 단순 요약을 넘어, 취약점 심각도 평가, 위험도 점수 산출, 대응 절차 자동 권고가 가능해야 한다. 특히, 지휘관 및 정책기관 보고를 위해 작전 영향 기반 위험도 평가 기능이 필수적이다.
넷째, 다계층 보고서 자동 생성 기능이다. 실무자–지휘관–정책기관의 요구사항에 맞춰 상세 보고서, 요약 보고서, 규격 대응 보고서를 자동 분기·생성해야 한다. 이는 국방 보고 체계의 다계층 구조를 지원하는 핵심 요구사항이다.
다섯째, 이력 관리 및 추세 분석 기능이다. 생성된 보고서는 단발성 문서로 그치지 않고, 장기적으로 저장·분석되어야 하며, 반복되는 취약점 식별 및 위협 패턴 예측을 가능하게 해야 한다.
<표 1> 기능 요구사항
4.3 국방 폐쇄망 환경의 비기능 요구 및 설계 제약
제안하는 국방 보안 진단 보고 자동화 체계는 단순한 기능적 요구를 넘어, 폐쇄망 환경에서 운용되기 위한 비기능 요구와 설계 제약을 동시에 충족해야 한다.
첫째, 독립성이다. 국방망은 외부 네트워크와 단절되어 있어 모든 데이터 처리와 추론은 내부 서버에서 수행되어야 하며, 이를 위해 로컬 경량화 모델 배치와 온프레미스 자원 활용이 필수적이다.
둘째, 신뢰성과 설명가능성이다. 생성된 보고서는 CWE·CVE 참조, STIG 및 CC 인증 매핑 등 근거 정보를 포함해야 하며, 결과에 대한 불확실성을 줄이기 위해 인간 검증 절차가 병행되어야 한다.
셋째, 실시간성이다. 지휘결심 지원에는 분석 지연이 치명적이므로, 전처리·분석·보고 과정에서 경량화·병렬처리·캐시 기법 등을 적용해 지연을 최소화해야 한다.
넷째, 인프라 제약이다. 국방망 내부는 클라우드 수준의 GPU 자원을 확보하기 어렵기 때문에, 모델 경량화와 연산 최적화 없이는 실시간 운용이 불가능하다.
다섯째, 정책·제도적 수용성이다. 국방 조직은 AI 결과물의 공식 채택에 보수적이므로, 제도적 표준화와 단계적 도입 전략이 병행되어야 한다.
결국 본 체계는 독립성·신뢰성·실시간성을 보장하면서도, 인프라 한계와 제도적 제약을 동시에 고려하는 국방 특수 맞춤형 구조로 설계되어야 한다.
5. 로컬 LLM 기반 보안 진단 보고 자동화 체계 설계
5.1 전체 구조 개요
본 연구에서 제안하는 시스템은 국방 폐쇄망 환경에서 취약점 진단 결과를 자동으로 분석하고, 국방 규격에 부합하는 보고서를 생성하는 로컬 LLM 기반 보안 문서 자동화 체계이다. 시스템은 크게 다섯 개의 주요 모듈로 구성된다.
첫째, 입력 모듈은 다양한 형태의 보안 진단 데이터를 수집한다. 여기에는 웹 취약점 스캐너 결과, 무기체계 소프트웨어 보안성 검증 로그, 보안 관제 이벤트 로그 등이 포함된다. 입력 데이터는 포맷이 상이하고 비정형 요소가 존재하므로, 일관된 처리 과정을 위해 전처리 모듈로 전달된다.
둘째, 전처리 및 표준화 모듈은 입력된 데이터를 JSON, CSV 등 구조화된 형식으로 변환하며, 국제 표준(CVE, CWE) 및 국방 규격(DOD STIG, CC 인증 조항 등)에 자동 매핑한다. 이를 통해 국방 환경에서 요구되는 규제 준수와 취약점 분류 체계를 동시에 만족시킬 수 있다.
셋째, 로컬 LLM 분석 엔진은 폐쇄망 환경에서 독립적으로 운용되도록 설계되었다. 본 엔진은 취약점 데이터에 대한 심각도 평가, 위험도 분석, 대응 권고 사항을 자동으로 도출하며, 국방 규격별 문항과의 매핑을 수행한다. 특히 프롬프트 엔지니어링을 통해 국방 특화 분석 결과를 산출할 수 있도록 최적화된다.
넷째, 자동 보고 모듈은 분석 결과를 바탕으로 국방 규격에 맞는 다계층 보고서를 생성한다. 실무자를 위한 상세 보고서, 지휘관을 위한 요약본, 정책기관을 위한 전략적 보고서가 자동 생성되며, 이를 통해 보고 품질의 일관성과 지휘결심 지원 속도가 크게 향상된다. 또한 시각화 대시보드를 제공하여 실시간 상황 인식이 가능하다.
마지막으로, 이력 관리 모듈은 생성된 보고서와 진단 결과를 저장·분석하여 장기적인 보안 추세를 관리한다. 이를 통해 동일 취약점의 반복 발생 여부를 추적하고, 향후 위협 인텔리전스 기반 예측 및 시뮬레이션 연구로 확장할 수 있다.
종합적으로, 제안하는 시스템은 입력 데이터의 수집부터 보고서 자동화 및 이력 관리까지 전 주기 자동화를 실현하며, 이는 국방 폐쇄망 환경에서의 보안 진단·보고 업무의 효율성과 신뢰성을 동시에 확보할 수 있는 기반을 제공한다.
그림 1은 제안 체계의 전체 아키텍처를 단순화한 블록 다이어그램으로, 보안 진단 결과가 입력 단계에서 수집된 후 전처리·표준화 과정을 거쳐 LLM 분석으로 전달되고, 다시 자동 보고 및 이력 관리 단계로 이어지는 흐름을 보여준다. 이를 통해 국방 폐쇄망 환경에서 요구되는 전 주기 보안 진단·보고 자동화 구조를 직관적으로 확인할 수 있다.
(그림 1) 전체 아키텍처
5.2 입력 모듈
입력 모듈은 제안하는 시스템의 출발점으로서, 국방 사이버 보안 환경에서 발생하는 다양한 진단 결과를 수집하고 후속 전처리 과정에 전달하는 역할을 수행한다. 국방망은 상용망과 달리 폐쇄망 기반으로 운용되며, 운영체제, 응용프로그램, 무기체계 소프트웨어 등 각기 다른 보안 점검 항목이 존재한다. 따라서 입력 모듈은 이질적인 데이터 소스를 수용할 수 있도록 설계된다.
첫째, 웹 취약점 스캐너 결과가 포함된다. 이는 전술망 웹 포털, 행정지원 시스템 등에서 정기적으로 수행되는 취약점 진단 로그로, OWASP Top 10을 비롯한 주요 웹 공격 벡터(XSS, SQL Injection 등)를 탐지한 결과를 반영한다. 기존에는 이러한 결과가 HTML 또는 CSV 형태로 제공되며, 수작업으로 분석가가 재구성해야 하는 한계가 있었다.
둘째, 무기체계 소프트웨어 보안성 검증 데이터가 포함된다. 무기체계는 실시간성, 임베디드 특성, 전장 환경 제약 등으로 인해 전용 검증 도구를 활용하여 보안성을 평가한다. 이 과정에서 발생하는 로그와 리포트 역시 입력 모듈을 통해 통합 수집되며, 국방 보안 규격(STIG, CC 인증 기준)과 연계될 수 있는 기반 데이터를 제공한다.
셋째, 보안 관제 이벤트 로그가 포함된다. 국방 사이버사령부 및 각급 부대의 관제 센터에서 탐지되는 이벤트는 단순 경고(Alert) 수준에서 고도화된 공격 탐지(예: APT, 내부자 위협)까지 다양한 형태를 가진다. 이들 이벤트는 보안 장비별로 포맷이 상이하므로, 입력 모듈에서 일차적으로 표준화된 형태(JSON, XML 등)로 정규화하여 처리된다.
마지막으로, 입력 모듈은 이러한 데이터를 단순 수집하는 수준을 넘어, 시간 동기화, 중복 제거, 초기 보안 분류 태깅 등의 기능을 포함한다. 이를 통해 후속 전처리 및 LLM 분석 엔진이 일관된 데이터셋을 다룰 수 있도록 보장한다.
결과적으로, 입력 모듈은 국방 환경에서 발생하는 다원적 보안 진단 데이터를 단일 파이프라인으로 통합함으로써, 기존 수작업 기반 보고 체계의 병목을 해소하고, LLM 기반 분석 및 자동 보고의 기반을 제공한다.
5.3 전처리 및 표준화 모듈
전처리 및 표준화 모듈은 입력 모듈에서 수집된 이질적 보안 데이터를 분석 가능한 구조로 정규화하고, 이를 국제 및 국방 규격과 자동 매핑하는 핵심 단계이다. 국방 환경에서 발생하는 취약점·이벤트 데이터는 웹 스캐너 로그, 무기체계 보안성 검증 결과, 보안 관제 알림 등 다양한 형식으로 존재하며, 수작업으로는 일관된 비교·분석이 어렵다. 본 모듈은 이러한 문제를 해결하기 위해 다음과 같은 기능을 수행한다.
첫째, 데이터 구조화(Parsing & Normalization) 과정이다. 비정형 텍스트 로그, HTML 보고서, CSV/Excel 결과 파일 등을 통합하여 JSON 기반의 표준 구조로 변환한다. 이때 로그별 주요 속성(취약점 ID, 영향 대상, 심각도, 탐지 시각 등)을 추출하여 필드 단위로 정리함으로써, 후속 LLM 분석 모듈이 일관된 입력을 받을 수 있도록 한다.
둘째, 취약점 표준 분류 매핑(CWE/CVE Mapping) 과정이다. 입력된 취약점 결과는 국제 표준인 CVE (Common Vulnerabilities and Exposures) 및 CWE (Common Weakness Enumeration) 코드와 자동 매핑된다. 예를 들어 SQL Injection 취약점이 발견되면 해당 결과를 CWE-89 및 관련 CVE와 연동함으로써 국제적 호환성과 재현성을 확보한다. 이는 국방 환경에서 다국적 연합 작전망과의 상호 운용성을 보장하는 기반이 된다.
셋째, 국방 규격 매핑(DOD STIG 및 CC 인증 연계) 과정이다. 국방 보안 진단은 단순 기술적 취약점 탐지에 그치지 않고, 특정 규격 준수 여부로 이어져야 한다. 따라서 본 모듈은 STIG, CC 인증 조항 등 국방 규격과 탐지 결과를 자동 연계한다. 예를 들어, 웹 서비스에서 XSS 취약점이 발견되면 해당 결과를 STIG 웹 서버 보안 항목 및 CC 인증 요구사항과 자동 매칭하여 보고 단계에서 활용할 수 있다.
넷째, 품질 보정 및 중복 제거 기능이다. 동일 취약점이 여러 도구에서 중복 탐지되거나, 오탐으로 판정되는 경우가 빈번하다. 본 모듈은 다수 진단 결과를 비교·통합하여 중복을 제거하고, 과거 이력 데이터와 대조하여 결과의 신뢰성을 향상시킨다.
결과적으로, 전처리 및 표준화 모듈은 다양한 국방 진단 데이터를 국제 표준 및 국방 규격에 매핑된 정형 데이터셋으로 변환함으로써, LLM 분석 엔진이 규격 기반 분석 및 자동 보고를 수행할 수 있는 토대를 제공한다. 이는 국방 폐쇄망 환경에서 AI 자동화가 실질적으로 적용될 수 있는 가장 중요한 기반 단계라 할 수 있다.
5.4 로컬 LLM 분석 엔진
로컬 LLM 분석 엔진은 본 연구에서 제안하는 시스템의 핵심으로, 전처리·표준화 과정을 거친 데이터를 입력받아 위험도 평가, 대응 권고 생성, 국방 규격 매핑을 자동으로 수행한다. 국방 사이버 보안 환경은 외부 네트워크와 단절된 폐쇄망으로 운용되기 때문에, 클라우드 기반 LLM을 활용할 수 없으며, 반드시 온프레미스(Local) 형태의 경량화 모델을 배치해야 한다. 본 모듈은 이러한 국방 특수성을 충족하도록 설계되었다.
첫째, 위험도 및 심각도 평가 기능을 수행한다. 입력된 취약점 결과는 CVSS(Common Vulnerability Scoring System), CWE, 국방부 보안 지침에 기반하여 자동으로 심각도가 평가된다. 예를 들어 동일한 SQL Injection 취약점이라도, 공개망이 아닌 전술망 내부 시스템에서 발견된 경우에는 작전 영향도를 고려한 별도의 평가 기준을 적용한다. 이를 통해 단순 기술적 위험을 넘어 작전 임무 기반 위험도를 산출할 수 있다.
둘째, 대응 권고사항 자동 생성 기능을 포함한다. LLM은 전처리된 취약점 데이터를 기반으로 취약점 원인, 영향 범위, 수정 방법을 자동 제시하며, 국방 환경에 맞는 대응 가이드라인과 연결된다. 예를 들어 웹 서버 취약점 탐지 시 패치 적용 수준에서 그치지 않고, 국방부 보안지침 내 해당 조항과 연동된 상세 대응 절차를 보고서에 포함시킬 수 있다.
셋째, 국방 규격 자동 매핑 기능을 수행한다. LLM은 STIG, CC 인증, 국방 취약점 점검 기준과 같은 항목과 취약점 탐지 결과를 자동 연결하여, 보고서에 규격별 항목 대응 현황을 포함한다. 이는 단순 취약점 리포트가 아니라 인증·심사 대응 문서로 즉시 활용 가능한 수준의 결과물을 생성한다는 점에서 기존 시스템과 차별화된다.
넷째, 프롬프트 기반 분석 최적화가 적용된다. 국방 특수성을 반영한 지침, 위협 사례, 보안 정책 문구를 포함하는 프롬프트 템플릿을 설계하여, 동일한 입력 데이터라도 일반 보안 환경 대비 국방 특화된 분석 결과를 생성할 수 있도록 한다. 이는 모델이 보유한 일반적 언어 이해 능력을 국방 도메인에 맞게 정밀하게 유도하는 방법이다.
마지막으로, 신뢰성 확보를 위한 보완 기능이 포함된다. LLM이 생성한 분석 결과에 대해 근거 데이터(CVE 참조, 과거 진단 기록, 규격 문구 등)를 함께 제시하도록 하여, 결과물이 설명 가능한 형태로 제공된다. 이를 통해 군 내부에서 제기될 수 있는 AI 신뢰성 문제를 최소화하고, 보고 결과의 검증 가능성을 확보할 수 있다.
종합적으로, 로컬 LLM 분석 엔진은 기술적 취약점 분석 → 국방 규격 매핑 → 대응 권고 자동 생성으로 이어지는 핵심 처리 과정을 담당하며, 이는 국방 폐쇄망 환경에서도 인공지능 기반 자동화가 실질적으로 적용될 수 있음을 보여주는 증거가 된다.
5.5 자동 보고 모듈
자동 보고 모듈은 로컬 LLM 분석 엔진이 산출한 결과를 기반으로, 국방 환경에서 요구되는 다양한 형태의 보고서를 자동으로 생성하는 기능을 수행한다. 국방 사이버 보안 보고 체계는 일반 기업과 달리 다계층 보고 구조를 가지며, 실무자·지휘관·정책기관 등 수요자별로 요구하는 정보 수준이 다르다. 본 모듈은 이러한 특성을 반영하여 보고서의 형식과 내용을 자동 분기할 수 있도록 설계되었다.
첫째, 실무자 보고서이다. 이는 취약점 발생 위치, 상세 기술 정보, 로그 증적, 수정 절차 등 기술적 세부 사항을 포함한다. 보안 담당자가 직접 취약점을 조치하는 데 필요한 수준의 상세 데이터가 제공되며, CWE/CVE 매핑 결과, 국방 규격(STIG, CC) 연동 현황도 포함된다.
둘째, 지휘관 보고서이다. 이는 지휘관이 신속한 의사결정을 할 수 있도록 취약점의 심각도, 작전 임무에 미치는 영향, 대응 완료 여부 등 핵심 요약 정보를 강조한다. 예를 들어, 동일한 SQL Injection 취약점이라 하더라도 전술망 지휘지원 포털에서 발생 → 임무 지연 가능성과 같은 임무 영향 기반 설명을 자동 삽입하여 군사적 맥락을 명확히 전달한다.
셋째, 정책기관 보고서이다. 이는 국방부, 합참, 국방 사이버사령부 등 상위 정책기관에 제출하기 위한 형태로, 특정 보안 규격 대응 현황, 인증·심사 대비 현황, 장기적 보안 수준 평가가 포함된다. 특히 ISMS-P, CC 인증, 국방부 보안 지침 항목별 준수 여부를 자동 매핑하여, 인증 심사나 국방 감사 대응 자료로 즉시 활용 가능하다.
넷째, 시각화 및 대시보드를 제공한다. LLM 분석 결과는 단순 문서화에 그치지 않고, 취약점 분포 현황, 위험도 추세, 이력 관리 결과를 시각화하여 대시 보드로 제시된다. 이를 통해 지휘부는 실시간 상황 인식을 강화할 수 있으며, 전략적 사이버전 대응 역량을 확보할 수 있다.
마지막으로, 자동 보고 모듈은 폐쇄망 환경에서의 신뢰성 확보를 위해 모든 생성 문서에 근거 데이터(CVE 참조, 원본 로그, 규격 조항)를 함께 기록한다. 이를 통해 AI가 생성한 결과물이 검증 가능한 형태로 제공되며, 보고 문서의 공신력과 재현성을 확보한다.
결과적으로, 자동 보고 모듈은 다계층 수요자 맞춤형 문서 자동화를 실현함으로써, 국방 보안 점검 및 인증 대응 업무의 효율성을 극대화하고, 지휘결심 지원 속도를 크게 향상시키는 역할을 수행한다.
5.6 이력 관리 모듈
이력 관리 모듈은 자동 보고 모듈에서 생성된 결과와 원본 진단 데이터를 장기적으로 저장·분석하여, 국방 보안 수준의 지속적 향상과 위협 예측을 가능하게 하는 기능을 수행한다. 단발성 진단과 보고에 그치는 기존 체계와 달리, 본 모듈은 시간 축 기반의 누적 관리와 반복적 취약점 추적을 통해 국방 환경에서 요구되는 지속 가능 보안체계를 실현한다.
첫째, 진단 결과 저장 및 버전 관리 기능이다. 동일 시스템에 대해 반복 수행된 취약점 점검 결과를 모두 축적하여, 발생 시점, 패치 여부, 재발 여부 등을 추적할 수 있다. 이를 통해 특정 시스템이나 무기체계에서 반복적으로 발견되는 구조적 취약점을 식별하고, 중장기적인 보안 투자 우선순위를 도출할 수 있다.
둘째, 취약점 발생 추세 분석 기능이다. 축적된 이력 데이터를 기반으로, 특정 유형의 취약점 발생 빈도, 시스템별 취약도 분포, 위협군별 패턴 등을 통계적으로 분석한다. 예를 들어, 3년간 반복적으로 웹 서비스에서 XSS와 인증 우회 취약점이 다수 발견된 경우, 이를 국방 웹 서비스 공통 보안 취약성으로 규정하여 정책 개선 근거로 활용할 수 있다.
셋째, 위협 인텔리전스 연계 기능이다. 국내외 위협 정보와의 연동을 통해, 축적된 국방 진단 결과를 외부 공격 트렌드와 비교·분석한다. 이를 통해 특정 CVE 기반 공격이 민간에서 확산될 경우, 국방 환경 내 유사 취약점 존재 여부를 신속히 파악할 수 있으며, NATO·연합군 작전망과의 정보 공유에도 활용 가능하다.
넷째, 예측 및 시뮬레이션 기능이다. 머신러닝 및 LLM 기반 분석을 활용하여, 특정 시스템에서 향후 발생할 가능성이 높은 취약점을 예측하거나, 공격 시나리오를 자동 생성하여 대응 훈련에 반영할 수 있다. 이는 단순 진단·보고 자동화를 넘어, 국방 차원의 사이버전 대비력 강화로 발전할 수 있는 기반을 제공한다.
마지막으로, 이력 관리 모듈은 모든 결과에 대해 검증 가능성과 추적성을 확보한다. 각 보고서와 취약점 데이터는 근거 로그와 함께 저장되며, 감사·심사 과정에서 재현 가능한 형태로 제시된다. 이는 AI 기반 자동화 결과에 대한 신뢰성을 보강하고, 국방 조직 내에서의 실질적 수용성을 높이는 역할을 한다.
종합적으로, 이력 관리 모듈은 보안 진단 결과의 축적 → 추세 분석 → 위협 인텔리전스 연계 → 예측·시뮬레이션 확장으로 이어지는 피드백 루프를 형성함으로써, 제안하는 시스템을 단순한 자동 보고 도구가 아닌 국방 사이버 보안 전주기 관리 체계로 발전시킨다.
6. 적용 시나리오
6.1 전술통신체계 취약점 진단 보고 자동화
전술통신체계는 지휘관과 전투원 간 실시간 정보 교환을 보장하는 핵심 인프라로, 사이버 공격에 의해 손상될 경우 작전 지휘·통제 능력이 직접적으로 약화될 수 있다. 그러나 현재 전술통신체계의 보안 점검은 주로 정기 취약점 스캐닝 및 수동 보고에 의존하고 있어, 대응 속도와 보고 일관성 측면에서 한계가 존재한다.
본 연구에서 제안한 로컬 LLM 기반 자동화 체계는 전술통신체계 보안 점검 과정에 적용되어, 취약점 진단 결과의 보고 자동화를 실현할 수 있다.
첫째, 입력 단계에서는 전술망 내에서 운영되는 웹 기반 관리 콘솔, 데이터 전송 모듈, 암호화 장치 등의 취약점 스캐너 로그가 수집된다. 해당 로그는 XML, CSV 등 다양한 형식으로 출력되며, 기존에는 분석가가 수작업으로 정리해야 했다.
둘째, 전처리 및 표준화 모듈은 이들 로그를 JSON 기반 구조로 변환하고, CWE/CVE 코드 및 국방부 보안지침(STIG 항목 등)에 매핑한다. 예를 들어, 인증 절차 미비 취약점은 CWE-287(Improper Authentication) 으로 매핑되며, 동시에 STIG ‘Identification and Authentication’ 조항과 연결된다.
셋째, 로컬 LLM 분석 엔진은 전술통신체계의 작전 임무 중요도를 고려한 위험도 평가를 수행한다. 동일한 취약점이라도 전술망 암호화 모듈에서 발생한 경우와 관리자 웹 콘솔에서 발생한 경우를 구분하여, 임무 영향 기반 심각도를 차등 부여한다. 또한 LLM은 자동으로 대응 권고사항을 생성하여, 실무자에게는 기술적 조치 가이드를, 지휘관에게는 작전 영향과 대응 완료 여부를 제공한다.
넷째, 자동 보고 모듈은 결과를 다계층 보고 체계에 맞게 분기한다. 실무자 보고서에는 구체적 취약점 위치와 패치 절차가 포함되고, 지휘관 보고서에는 지휘통제 지연 가능성과 같은 작전적 영향이 요약된다. 정책기관 보고서에는 국방부 보안지침 준수 현황과 향후 개선 권고가 포함되어, 인증·감사 대응까지 지원된다.
마지막으로, 이력 관리 모듈은 진단 결과를 저장하고, 동일 취약점의 반복 여부를 추적한다. 이를 통해 전술통신체계에서 지속적으로 발생하는 구조적 문제(예: 암호 모듈 설정 오류, 인증 절차 누락 등)를 장기적으로 관리할 수 있으며, 반복되는 패턴을 기반으로 미래 공격 시나리오를 예측하는 기반도 마련된다.
종합하면, 본 시나리오는 전술통신체계의 보안 진단과 보고 절차를 AI 기반 자동화로 전환함으로써, 기존 수작업 중심 체계의 비효율성을 극복하고, 지휘결심 지원 속도 및 보고 품질을 크게 향상시킬 수 있음을 보여준다.
6.2 무기체계 소프트웨어 보안성 검증 자동화
무기체계는 실시간 제어와 임무 특수성을 전제로 개발되는 임베디드 소프트웨어를 핵심 구성요소로 포함한다. 이러한 무기체계 소프트웨어의 보안성 검증은 작전 수행의 신뢰성과 직결되며, 코드 취약점이나 보안 설정 오류가 공격에 노출될 경우 전장 환경에서 치명적인 결과를 초래할 수 있다. 그러나 현행 검증 과정은 정적 분석 도구(SAST), 동적 분석 도구(DAST), 수작업 코드 리뷰에 의존하고 있어, 결과 보고서의 작성과 분석 품질이 검증자 역량에 크게 좌우되는 한계가 있다.
본 연구에서 제안한 로컬 LLM 기반 자동화 체계는 무기체계 소프트웨어 보안성 검증 절차에 적용되어, 점검 결과의 분석·보고·이력 관리 자동화를 실현한다.
첫째, 입력 단계에서는 무기체계 전용 정적 분석 도구와 보안성 검증 도구에서 산출된 결과 로그가 수집된다. 예를 들어, 버퍼 오버플로우, 포인터 취약점, 인증 우회 코드 등이 탐지되면 XML/CSV 형식의 리포트로 출력된다.
둘째, 전처리 및 표준화 모듈은 탐지된 취약점을 CWE/CVE 코드와 매핑하고, 동시에 국방 규격(STIG, CC 인증 요구사항)에 연계한다. 예를 들어, CWE-120(Buffer Overflow)이 탐지되면 STIG의 ‘Application Security’ 조항 및 CC 보안 기능 요구사항(FR)과 자동 연결된다. 이를 통해 기술적 취약점 → 규격 준수 여부로 직결되는 데이터 구조를 확보한다.
셋째, 로컬 LLM 분석 엔진은 취약점의 심각도를 CVSS 점수와 국방부 보안지침 기준에 따라 평가한다. 또한 LLM은 해당 취약점이 작전 임무에 미치는 잠재적 영향을 자동 산출한다. 예를 들어, 항공기 임베디드 제어 SW에서 인증 우회 취약점이 발견된 경우, 단순 코드 결함이 아니라 작전 중 임무 교란 가능성이라는 작전적 리스크를 보고서에 반영한다.
넷째, 자동 보고 모듈은 분석 결과를 계층별로 분기한다. 실무자 보고서에는 코드 위치, 취약 함수명, 수정 권고 코드 스니펫이 포함된다. 지휘관 보고서에는 취약점이 해당 임무 수행에 미칠 잠재적 영향이 요약되고, 정책기관 보고서에는 CC 인증 대비 현황 및 STIG 준수 여부가 자동 정리된다. 이를 통해 무기 체계 보안 검증 결과가 단순 기술 보고를 넘어, 인증·감사·작전 지휘 지원 자료로 활용될 수 있다.
마지막으로, 이력 관리 모듈은 검증 결과를 장기 저장하여, 동일 무기체계 또는 유사 플랫폼에서 반복적으로 발생하는 코드 취약점을 추적한다. 예를 들어, 특정 무기체계의 SW 개발사에서 지속적으로 입력 검증 미비 취약점이 보고된다면, 이를 구조적 보안 취약성으로 정의하고, 정책 차원에서 개발 보안 프로세스 개선을 요구할 수 있다.
종합하면, 본 시나리오는 무기체계 소프트웨어 보안성 검증 절차를 AI 기반 자동화로 전환함으로써, 수작업 의존도를 낮추고 보고 품질과 일관성을 확보하며, 궁극적으로 전장 환경에서의 임무 신뢰성 보장에 기여함을 보여준다.
7. 기대효과 및 한계
7.1 기대효과
본 연구에서 제안한 로컬 LLM 기반 보안 진단 보고 자동화 체계는 국방 폐쇄망 환경의 특수성을 반영하여 설계되었으며, 다음과 같은 기대효과를 제공한다.
첫째, 보고 품질의 표준화와 신뢰성 강화이다. 제안 체계는 취약점 데이터를 CVE·CWE와 같은 국제 표준과 국방 규격(STIG, CC 인증 등)에 자동 매핑함으로써, 분석가 개인 역량에 의존하던 보고 품질의 편차를 줄이고 일관된 결과를 제공한다.
둘째, 업무 효율성 향상과 인력 최적화이다. 수작업 중심이던 로그 분석·보고 과정을 자동화하여 보고 시간을 수시간에서 수분 단위로 단축하고, 보안 인력이 침해사고 대응이나 위협 인텔리전스 분석과 같은 고부가가치 임무에 집중할 수 있도록 지원한다.
셋째, 지휘결심 지원 역량 제고이다. 실무자·지휘관·정책기관의 요구 수준에 맞춘 다계층 보고서를 자동 생성하여, 과잉·중복 정보가 아닌 필요한 수준의 정보를 실시간으로 제공한다. 이는 사이버 위협 상황에서 지휘관의 신속한 의사결정을 보장하는 기반이 된다.
넷째, 규제 대응 자동화이다. 취약점 진단 결과를 국방 보안 규격과 자동 연계해 CC 인증, 국방부 보안 지침, 기반시설 보호 기준 등과 일치하는 보고서를 즉시 생성할 수 있어, 감사·심사 대응의 효율성과 신뢰성을 높인다.
다섯째, 장기적 보안 관리와 위협 예측 기능이다. 이력 관리 모듈을 통해 취약점 발생 데이터를 체계적으로 축적·분석하고, 반복 패턴을 추적하여 예방적 보안 체계를 마련할 수 있다. 더 나아가 AI 기반 시뮬레이션을 통해 잠재적 위협을 예측하고 선제적 대응 전략을 수립할 수 있다.
종합하면, 본 체계는 단순 보고 자동화를 넘어 국방 사이버 보안의 탐지–대응–보고 전 과정을 지능화·표준화하여, 사이버전 대비력을 한층 강화할 수 있는 전략적 기반을 제공한다.
<표 2> 기존 방식 vs 제안 체계 비교
7.2 한계
한편, 제안된 체계는 다음과 같은 한계를 가진다. 첫째, 폐쇄망 환경 특성상 학습용 데이터 확보가 제한적이어서 국방 특화 모델의 성능 향상에 어려움이 존재한다. 둘째, LLM 기반 분석은 입력 데이터와 프롬프트에 따라 결과가 달라질 수 있으므로 과도한 일반화나 오류 가능성을 내포하며, 따라서 검증 파이프라인과 사람의 최종 검토가 반드시 병행되어야 한다. 셋째, 국방망에서는 대규모 클라우드 모델이 아닌 경량화 모델을 사용해야 하므로 대규모 로그·이벤트의 실시간 처리에서 성능 저하가 발생할 수 있다. 넷째, AI가 자동 생성한 보고서에 대한 신뢰성과 검증 가능성은 제도적·정책적 수용성 측면에서 여전히 과제이며, 감사나 인증 과정에서 결과물이 곧바로 인정받지 못할 가능성이 있다. 마지막으로, 본 연구가 제시한 적용 시나리오는 웹 서비스나 무기체계 소프트웨어 등 일부 영역에 국한되었으며, 실제 국방 전 범위 체계에 적용하려면 각 무기체계·통신망별 특성을 고려한 맞춤형 설계가 필요하다. 이러한 한계는 국방 전용 데이터셋 구축, 신뢰성 검증 체계 마련, 제도적 표준화 논의 등을 통해 점진적으로 극복되어야 할 것이다.
8. 결론 및 향후 연구
본 연구는 국방 폐쇄망 환경의 특수성을 고려하여, 로컬 LLM 기반 보안 진단 보고 자동화 체계를 제안하였다. 기존 국방 보안 점검 및 보고 절차는 수작업 의존으로 인해 보고 지연, 품질 편차, 규격 대응 미흡이라는 한계가 존재하였다. 이를 극복하기 위해 제안된 체계는 입력–전처리–분석–보고–이력 관리로 이어지는 전 주기 자동화를 실현함으로써, 국방 보안 진단 결과를 신속하고 일관되게 보고할 수 있도록 설계되었다. 전술통신체계, 무기체계 소프트웨어, 사이버 지휘통제 환경에 대한 적용 시나리오를 통해, 본 체계가 단일 영역을 넘어 국방 전반의 보안 점검 및 인증 대응에 확장 가능함을 확인하였다.
학술적 측면에서 본 연구는 기존 민간 중심의 보안 자동화 연구를 국방 환경에 맞게 확장하였다는 의의를 갖는다. 민간 연구가 주로 SaaS 기반 클라우드 환경에서 이루어진 반면, 본 연구는 폐쇄망 운용, 규격 대응, 지휘결심 지원이라는 국방 특수성을 반영하여 LLM 기반 자동화의 새로운 적용 가능성을 제시하였다. 이는 국방 AI 보안 연구의 학술적 공백을 메우는 기여라 할 수 있다.
실무적 측면에서 본 연구는 국방 보안 규제 대응 효율성을 높이고, 사이버전 대비력을 강화하는 데 기여할 수 있다. 제안된 체계는 STIG, CC 인증, 국방부 보안 지침 등 국방 규격과 자동 매핑된 보고서를 제공하여 인증 및 감사 대응을 간소화하고, 실무자·지휘관·정책기관을 아우르는 다계층 보고서를 통해 지휘 결심 지원 속도를 향상시킨다. 또한 이력 관리 모듈을 기반으로 장기적인 위협 추세 분석과 반복 취약점 관리가 가능해져, 전 주기적 보안 관리 체계를 구축하는 기반이 된다.
향후 연구에서는 몇 가지 보완 과제가 남아 있다. 우선, 국방 특화 학습데이터의 부족 문제를 해결하기 위해 국방 전용 데이터셋 구축이 필요하다. 또한 NATO 등 다국적 연합군 작전망에도 적용할 수 있도록 상호 운용성 연구가 요구된다. 마지막으로, LLM 분석 결과를 단순 보고 자동화에 머물지 않고 위협 예측 및 시뮬레이션 단계로 확장하여, 사이버전에 대한 선제적 대응 능력을 확보하는 방향으로 발전할 필요가 있다.
종합하면, 본 연구는 국방 보안 진단 및 보고 업무의 효율성과 신뢰성을 높이는 동시에, 향후 국방 사이버 보안 자동화와 위협 대응 전략의 학문적·실무적 기반을 제공하는 중요한 출발점이라 할 수 있다.
References
- 한국인터넷진흥원(KISA), "2023년 하반기 사이버 위협 동향 보고서: Part.1 4. 라자루스(Lazarus) 공격그룹의 특징 및 전망", KISA, 2024.
- Defense Information Systems Agency (DISA), "STIGs, SCAP and Data Metrics Overview", DISA, 2010.
- Joint Chiefs of Staff, "Cyber Incident Handling Program", CJCSM 6510.01B, July 10, 2012.
- Wikipedia, "Security Technical Implementation Guide", 2025.
- Stig Viewer, "Web Server Security Requirements Guide", Feb 12, 2025. [Online]. Available: https://stigviewer.com/stigs/web_server_security_requ irements_guide/2025-02-12
- NIST, "SP 800-37 Rev. 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy", December 2018. [Online]. Available: https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final
- AcqNotes, "Risk Management Framework (RMF) — DoD Information Technology", AcqNotes, June 30, 2023.
- 신유찬, 'WEB 환경에서 국방정보통신망 정보보호체계', 한국과학기술정보연구원, 2002.
- 한국해양과학기술재단, '국방주요정보통신기반 시설 중심의 정보보호기술구조 연구, 한국해양과학기술재단, 2020.
- 국가정보원, '정보보호제품 평가·인증 제도 운영 지침', 국가정보원, 2023
- Defense Information Systems Agency (DISA), "Assured Compliance Assessment Solution (ACAS) Overview", U.S. Department of Defense, 2016. Retrieved from https://public.cyber.mil/acas/
- Rapid7, "InsightVM (formerly Nexpose) Product Documentation", Rapid7, 2021. Retrieved from https://docs.rapid7.com/insightvm/
- 윤경환, 박만춘, 주진천, 엄원용, 오진우, 윤재형, 김종규, "개발단계 무기체계의 소프트웨어 품질 검증체계 연구", 한국산학기술학회논문지, 제24권, 제4호, pp. 394-400, 2023. https://doi.org/10.5762/KAIS.2023.24.4.394
- M. Keltek, et al., "Boosting Cybersecurity Vulnerability Scanning based on LLM-supported Static Application Security Testing (LSAST)", arXiv:2409.15735, 2024.
- J. Wagner, et al., "Towards Effective Complementary Security Analysis using Large Language Models", 2025.
- K. Ismail, et al., "Toward Robust Security Orchestration and Automated Response in Security Operations Centers with a HyperAutomation Approach Using Agentic Artificial Intelligence", Information, Vol. 16, No. 5, 365, 2025. https://doi.org/10.3390/info16050365
- S. Guduru, "Autonomous Cyber Defense: LLMPowered Incident Response with LangChain and SOAR Integration", International Journal of Computer Science and Information Technology Research, Vol. 6, No. 1, pp. 72-82, 2025. https://doi.org/10.63530/IJCSITR
- M. A. Gurabi, et al., "From Legacy to Standard: LLM-Assisted Transformation of Cybersecurity Playbooks into CACAO Format", arXiv preprint, arXiv:2508.03342, 2025.
- A. Cohen, "Fearing Data Leaks, Army Blocks Air Force AI Program from Its Networks", Air & Space Forces Magazine, May 2024.
- NexaStack, "Air-Gapped Model Inference", NexaStack Blog, 2024.
- Y. Kim, J. Lee and H. Park, "Integrating A rtificial I ntelligence into Defense M& S Environments: Challenges and Opportunities", arXiv preprint, arXiv:2410.00367, 2024.
- 국방부, '국방정보보호훈령, 제53조 사이버 위기 대응체계 구축', 국가법령정보센터, 2021.
- NATO, "Cyber Defence", NATO Official Website, 2024.