본 논문은 대기업의 IDS/IPS 시스템에서 발생하는 방대한 양의 알람을 효과적으로 처리하기 위한 새로운 프레임워크인 CyberRAG를 제시한다. CyberRAG은 에이전트 기반의 Retrieval-Augmented Generation (RAG) 프레임워크로, 공격 유형별로 미세 조정된 분류기, 알람 및 정보 풍부화를 위한 도구 어댑터, 그리고 도메인 특정 지식 베이스를 질의하는 반복적인 검색 및 추론 루프를 중심으로 설계되었다. 기존 RAG와 달리, CyberRAG은 동적인 제어 흐름과 적응적 추론을 가능하게 하는 에이전트 기반 설계를 채택하여 위협 레이블과 자연어 설명을 자율적으로 개선함으로써 오탐을 줄이고 해석력을 높인다. SQL Injection, XSS, SSTI에 대한 평가 결과, 각 클래스별 94% 이상의 정확도와 최종 94.92%의 분류 정확도를 달성하였으며, 생성된 설명은 BERTScore 0.94 및 GPT-4 기반 전문가 평가 4.9/5의 높은 점수를 기록했다. 새로운 공격 유형은 핵심 에이전트를 재훈련하지 않고도 분류기를 추가하여 지원할 수 있다는 확장성을 보여준다.
