• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.628-631
• /
• 2015

인터넷의 급속한 확산과 기술의 진보로 인해 인터넷에 대한 의존도는 갈수록 높아지고 있다. 이로 인해 웹 사이트를 기반으로 한 사이버 공격 또한 그 파급도가 점차 높아지고 있다. 특히 최근 지능화해가는 사이버 공격 과정에서 일차적 공격 수단으로 웹 사이트 기반 사이버 공격이 많이 활용되고 있다. 또한 자바 스크립트 및 HTML5의 신규 태그를 악용한 공격은 IPS나 웹 방화벽 같은 기존의 보안 장비에 탐지하기 어려운 부분이 있다. 따라서 본 논문에서는 웹 사이트를 구성하는 웹 문서에 대하여 HTML 태그 및 자바 스크립트 등에 대한 취약성을 분석하고, 분석한 결과를 토대로 위험도를 산출하는 기술을 제안하고자 한다.

• 인터넷정보학회논문지
• /
• 제16권4호
• /
• pp.51-59
• /
• 2015

자바 스크립트는 정적인 HTML 문서에 동적인 기능을 제공하기 위해 자주 사용되는 언어이며, 최근에 HTML5 표준이 발표됨으로써 더욱더 관심 받고 있다. 이렇게 자바 스크립트의 중요도가 커짐에 따라, 자바 스크립트를 사용하는 공격( DDos 공격, 개인 정보 유출 등 )이 더욱 더 위협적으로 다가오고 있다. 이 악성 자바 스크립트는 흔적을 남기지 않기 때문에, 자바 스크립트 코드만으로 악성유무를 판단해야 하며, 실제 악성 행위가 브라우저에서 자바 스크립트가 실행될 때 발생되기 때문에, 실시간으로 그 행위를 분석해야만 한다. 이러한 이유로 본 논문은 위 요구사항을 만족하는 분석 엔진을 소개하려 한다. 이 분석 엔진은 시그니쳐 기반의 정적 분석으로 스크립트 코드의 악성을 탐지하고, 행위 기반의 동적 분석으로 스크립트의 행위를 분석하여 악성을 판별하는 실시간 분석 기술이다.

• 정보보호학회논문지
• /
• 제32권3호
• /
• pp.501-511
• /
• 2022

2021년에는 코로나의 여파로 랜섬웨어를 활용한 공격이 유행했으며 그 수는 매년 급증하고 있다. 그 중 파워쉘은 랜섬웨어에 주요 기술로 사용되고 있어 파워쉘 기반 악성코드 탐지 기법의 필요성은 증가하고 있으나 기존의 탐지기법은 난독화가 적용된 스크립트를 탐지하지 못하거나 역난독화에 시간이 오래 소요되는 한계가 존재한다. 이에 본 논문에서는 간단하고 빠른 역난독화 처리과정, Word2Vec과 CNN(Convolutional Neural Network)으로 구성되어 스크립트의 의미를 학습하고 특징을 추출해 악성 여부를 판단할 수 있는 딥러닝 기반의 분류 모델을 제안한다. 2021 사이버보안 AI/빅데이터 활용 경진대회의 AI 기반 파워쉘 악성 스크립트 탐지 트랙에서 제공된 1400개의 악성코드와 8600개의 정상 스크립트를 이용하여 제안한 모델을 테스트한 결과 기존보다 5.04배 빠른 역난독화 실행시간, 100%의 역난독화 성공률, 0.01의 FPR(False Positve Rate), 0.965의 TPR(True Positive Rate)로 악성코드를 빠르고 효과적으로 탐지함을 보인다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.1025-1036
• /
• 2016

ActiveX와 같은 비표준 기술에 기반을 둔 인터넷 환경을 개선하기 위해 국제 웹 표준 활용 기술인 HTML5의 전환이 진행되고 있다. 웹 페이지를 만들기 위한 기본 프로그래밍 언어인 HTML5 (Hyper Text Markup Language 5)는 HTML4보다 보안을 고려하여 설계되었다. 그러나 새롭게 추가된 신기술들로 인해 웹 기반 취약점에 대한 공격 범위가 넓어졌으며, HTML4 환경에서 발생하던 다양한 보안 위협들이 그대로 상속되고 있다. 본 논문에서는 스크립트 기반 사이버 공격 및 HTML5 기능 악용 스크립트 중 개인정보 침해가 발생할 수 있는 부분에 초점을 두었으며, 어떤 공격에 악용되어 개인정보가 침해되는지 실제 재현하였다. 또한, 개인정보 침해를 유발하는 공격에 대해 클라이언트 기반으로 진단 가능한 플러그인 타입의 탐지 모듈을 구현하였다. 진단 스캐너를 이용한 공격 탐지는 HTML5 기반 웹 어플리케이션이나 웹 페이지에 대한 신뢰도를 자가 진단한 후 웹 서비스를 이용하므로 HTML5의 취약점 공격에 대해 사전대응이 가능하며, 새로운 취약점 발생 시 탐지 기능 추가가 자유로워 확장성이 용이하다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1121-1129
• /
• 2013

최근 악성코드 유포는 단순한 개인적 피해를 넘어 3 20 사이버테러와 같은 사회적인 심각한 문제점을 야기하고 있다. 특히 취약한 웹을 통한 유포방법인 드라이브 바이 다운로드(Drive-by download) 공격은 가장 심각한 위협이 되고 있다. 따라서 드라이브 바이 다운로드 공격에 사용되는 악성코드 유포 네트워크(Malware Distribution Network, MDN)를 효과적으로 분석하는 것은 악성코드로 인한 피해를 예방하기 위해 매우 중요하다. 악성코드 유포 네트워크를 효과적으로 분석하기 위해서는 웹페이지 내에 포함된 난독화하고 은닉화한 스크립트를 식별해야 하며, 본 논문에서는 이를 식별하기 위해 멀티레벨 에뮬레이션 기법을 제안한다. 이를 통해 다양한 형태로 숨겨져 있는 유포지로 연결하는 링크를 분석하여 악성코드 유포 네트워크 분석의 기반을 제공하고자 한다.