• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 춘계학술발표대회
• /
• pp.1528-1531
• /
• 2011

최근 악성봇은 해커에 의해 원격 조정되어 명령에 의해 스팸메일 발송, DDoS 공격 등의 악성행위를 수행하는 웜/바이러스이다[2]. 악성봇은 이전의 웜/바이러스와 달리 금전적인 이득을 목적으로 하는 것이 많아 작게는 일상생활의 불편함으로부터 크게는 사회적, 국가적으로 악영향을 주고 있다. 국내에서는 이러한 위험을 방어하기 위한 효과적인 대응 방법으로 DNS 싱크홀을 운영 하고 있다. 본 논문에서는 DNS 싱크홀 운영 중 수집한 봇 명령/제어 (Command and Control, C&C) 도메인을 Internet Service Provider (ISP) DNS 싱크홀 시스템에 적용하는 과정에서 나타나는 문제점을 효과적으로 해결 하기 위한 DNS Response Policy Zone(RPZ)을 이용한 DNS 싱크홀 운영 방안을 제시 하였다.

• 정보처리학회논문지C
• /
• 제12C권5호
• /
• pp.765-772
• /
• 2005

본 논문에서는 스팸메일을 차단하기 위해 전자우편 발송서버가 발신자가 소속된 도메인에 등록된 서버인지 또는 그 도메인에 속한 서버인지 판단하는 IP 주소간 거리 측정 알고리즘을 이용하는 전자우편 발송서버 권한확인 방법을 제안한다. 제안 방법은 전자우편을 발송한 서버의 IP 주소와 전자우편의 발신자 도메인의 DNS에 등록된 IP 주소들과의 거리를 이용해 전자우편을 발송한 서버가 전자우편의 발신자 도메인의 네트워크에 존재하는지 확인하여 스팸메일을 차단한다. 일정기간 동안 수집한 전자우편에 대해 제안 알고리즘을 적용하여 IP 주소간 거리를 측정한 결과 정상메일의 경우 $88\%$, 스팸메일의 경우 $10\%$ 정도가 발신자가 소속된 도메인에 속한 전자우편 서버에서 발송되었고, 나머지는 발신자 주소를 도용하였거나 또는 제3의 장소에 존재하는 서버에서 발송하였음을 확인하였다. 제안 알고리즘은 발신자 도메인이 전자우편 발송 권한을 부여하지 않은 서버로부터 수신된 전자우편을 모두 스팸메일로 간주하여 스팸메일을 차단하는데 독립적으로 사용될 수 있으며, 또한 현재 표준화가 진행 중인 전자우편 발송서버 권한확인 프로토콜들이 보편화되어 사용되기 전까지 이들 프로토콜의 보완책으로도 사용될 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.800-803
• /
• 2013

이메일을 기반으로 좀비PC 및 봇넷그룹을 탐지하는 알고리즘은 기존에 연구가 되었으나, 기존의 검증방식은 가상의 메일계정을 이용해 스팸메일을 수집하는 스팸트랩 시스템에서 추출한 이메일을 대상으로 하였다. 본 논문에서는 상용환경의 이메일을 대상으로 좀비PC를 탐지하고, 좀비PC를 이용한 추가 사이버 공격을 예방하기 위해 기존의 알고리즘을 보완하고, 이에 대한 좀비PC 탐지결과를 분석한다. 이를 통해, 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 대상으로 좀비IP를 탐지하여, 스팸메일을 차단하고 ISP와 연계하여 실제 조치를 유도할 수 있을 것으로 기대한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.1497-1499
• /
• 2009

최근 들어 스팸 메일, 키 로깅, DDoS와 같은 공격에 Botnet이 사용되고 있다. Botnet은 크래커에 의해 명령, 제어되는 Bot에 감염된 클라이언트로 이루어진 네트워크이다. 지금까지 유선망의 Botnet을 탐지하기 위한 많은 기법이 제안되었지만, 현재 많은 개발이 이루어지고 있는 6LoWPAN과 같은 무선 센서 네트워크상의 Botnet에 관한 연구와 그 대처방안은 전무한 상태이다. 본 논문에서는 6LoWPAN 환경에서 Botnet이 얼마나 위험할 수 있는지 살펴보고 이를 탐지하기 위한 메커니즘을 제안하고자 한다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.101-115
• /
• 2011

봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 본 논문에서는 대다수의 스팸이 봇넷에 의해 발송되고 있다는 점에 착안하여 스팸메일을 분석하여 봇넷과 좀비 PC들을 탐지할 수 있는 시스템을 설계하고 이를 검증하였다. 특히, 본 논문에서는 국가차원에서 스팸 수집 분석 증거물 확보를 목적으로 KISA에서 운영하고 있는 이메일 스팸 트랩 시스템에서 수집된 방대한 스팸 메일을 분석에 활용하였다. 본 논문에서는 동일한 URL이나 첨부파일을 가진 스팸을 하나의 그룹으로 분류하고, 각 그룹의 전체 IP들이 어느 정도 봇넷의 특정을 가지고 있는지와 그룹 내의 각각의 IP들이 어느 정도 좀비 PC의 특정을 가지고 있는지를 측정하여 봇넷 그룹과 좀비 PC를 판별할 수 있도록 설계하였다. 제안된 시스템의 시뮬레이션 결과 1시간동안 16,030개의 좀비 의심 PC를 추출할 수 있었으며, 이메일 스팸이 좀비 PC를 추적하는데 상당히 유용한 정보를 제공해 줄 수 있음을 확인할 수 있었다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권5호
• /
• pp.378-385
• /
• 2010

이메일 사용의 증가로 수신 메일을 효율적이면서 정확하게 분류할 필요성이 점차 늘고 있다. 현재의 이메일 분류는 SVM, 베이지안 분류자, 규칙 기반 분류자 등을 이용하여 스팸 메일을 필터링하기 위한 이원 분류가 주를 이루고 있다. 그러나 이러한 지도 학습 방법들은 적합한 이메일을 인식하기 위하여서 사용자가 규칙이나 색인어 목록을 작성해야 한다. 비지도 학습 방법으로 군집을 이용한 다원 분류 방법은 메일의 분류 주제를 설정해주어야 한다. 본 논문에서는 비음수 행렬 분해(NMF, Non-negative Matrix Factorization)를 기반으로 한 자동 분류 주제 생성 방법과, 동적 분류 체계(DCH, Dynamic Category Hierarchy) 방법을 이용한 분류 주제 내에 이메일을 재구성하는 방법을 결합한 새로운 이메일 다원 분류 방법을 제안한다. 이 방법은 수신되는 이메일을 자동으로 다원 분류하여 대량의 메일을 효율적으로 관리할 수 있으며, 사용자가 분류 결과를 만족하지 못하면 분류 주제 내의 이메일을 동적으로 재구성하여 분류의 정확률을 높인다.

• 한국항행학회논문지
• /
• 제13권3호
• /
• pp.419-425
• /
• 2009

인터넷 사용의 보편화로 인해 이메일의 양이 급속히 증가하고 있다. 이에 따라서 수신된 메일을 효율적이고 정확하게 분류할 필요성이 점차 증가하고 있다. 현재의 이메일 분류 기술들은 베이지안, 규칙 기반 등을 이용하여 스팸 메일을 필터링하기 위한 이원 분류가 주를 이루고 있다. 이메일의 다원분류 방법중 군집(clustering)을 이용한 분류 방법은 분류의 정확도가 떨어지고 분류 레이블이 없는 단점이 있으며, 분류(classification)를 이용한 방법은 미리 분류 레이블을 사용자가 지정해야 하며 학습시켜야 하는 단점을 갖는다. 본 논문에서는 PCA (Principal Component Analysis)를 기반으로 한 자동 카테고리 생성 방법과 동적 분류 체계 방법을 결합한 새로운 자동 이메일 계층 분류 방법을 제안한다. 이 방법은 수신되는 이메일을 자동으로 분류하여 대량의 메일을 효율적으로 관리할 수 있으며, 메일을 동적으로 재분류 하여 분류 정확률을 높일 수 있다.

• 한국콘텐츠학회논문지
• /
• 제10권6호
• /
• pp.43-48
• /
• 2010

유용한 이메일은 소비자 구매행동에 긍정적 영향을 미치며, 온라인 상점에서 소비자를 구매로 유인하는 수단이 된다. 또한 이메일을 통해 소비자와 정기적인 접촉을 갖게 되면 고객의 충성도가 개선된다. 그러나 이메일에도 한계점이 있다. 통계에 의하면, 이메일의 절반 이상이 스팸이다. 이메일 사용자가 증가함에 따라 과거 몇 년 동안에 스팸이 급속도로 증가하고 있다. 본 연구에서는 그러한 이메일 마케팅의 한계점을 극복하기 위해 온톨로지 접근법을 제안하였다. 본 연구에서 제안한 방법은 스팸 메일을 제거하는데 온톨로지를 활용하는 것이 아니라 개인의 특성과 흥미를 고려하여 개인화 콘텐트를 서비스하는데 온톨로지를 적용하였다. 본 연구에서는 도메인 온톨로지를 개발하였고 기존의 FOAF도 활용하였다. 본 연구의 제안 시스템을 시나리오를 통해 검증하였다.

• 대한전자공학회논문지TE
• /
• 제37권5호
• /
• pp.125-131
• /
• 2000

본 논문에서는 제한 알고리즘을 제안하였다. 이 알고리즘은 개별 네트워크 상의 사용자가 불법으로 자료를 유출하는 것을 제한하기 위하여 별도의 스마트카드와 전자 우편 게이트웨이를 구축하여 개별 네트워크로부터 발송되는 모든 전자우편은 스마트카드에서 인증절차를 거친 후, 전자 우편 게이트웨이로 보내어지게 된다. 전자우편 게이트웨이에서는 외부 인터넷으로 나가는 전자우편을 선별하여 그것을 방화벽 전자우편 처리 프로그램으로 보내게 되며, 송신 메일 중 첨부된 파일이 있는지를 검사하여 첨부된 파일이 있으면 전자우편 데이터베이스에 기록한다. 이때 기록된 내용과 스마트 카드 인증자료를 이용하여 내부 문건 유출시 증거 자료가 되며, 미연에 유출을 자제 할 수 있게 하는 효과도 얻을 수 있다. 뿐만 아니라 본 시스템에서는 전자 우편 게이트웨이에서 사원별 필터링 환경을 관리하며 스팸 메일을 방지 할 수 있다.

• Journal of Platform Technology
• /
• 제9권3호
• /
• pp.3-17
• /
• 2021

APT(advanced persistent threat) 공격이란 잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합으로 특정 실체를 목표로 행해지는 공격이다[1]. 이러한 APT 공격은 대개 스팸 메일과 위장된 배너 광고 등 다양한 방식을 통해서 이뤄진다. 대부분 송장, 선적 서류(Shipment Document), 구매 주문서(P.O.-Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 그리고 이러한 정보탈취형(Infostealer) 공격이 가장 2021년 2월 첫째 주 가장 많이 발견된 악성 코드였다[2]. Content Disarm & Reconstruction(이하 CDR)은 백신, 샌드박스에서 막아내지 못한 보안 위협에 대하여 파일 내 잠재적 보안 위협 요소를 원천 제거 후 안전한 파일로 재조합하여 악성코드 감염 위험을 사전에 방지할 수 있는 '콘텐츠 무해화 & 재조합' 기술이다. 글로벌 IT 자문기관 '가트너(Gartner)'에서는 첨부파일 형태의 공격에 대한 솔루션으로 CDR을 추천하고 있다. Open source로 공개된 CDR 기법을 사용하는 프로그램으로 'Dangerzone'이 있다. 해당 프로그램은 대부분의 문서 파일의 확장자를 지원하지만, 한국에서 많이 사용되는 HWP 파일의 확장자를 지원하지 않고 있다. 그리고 Gmail은 악성 URL을 1차적으로 차단해주지만 Naver, Daum 등의 메일 시스템에서는 악성 URL을 차단하지 않아 손쉽게 악성 URL을 유포할 수 있다. 이러한 문제점에서 착안하여 APT 공격을 예방하기 위한 HWP 확장자를 지원하는 'Dangerzone' 프로그램, Naver, Daum 메일 내 URL 검사, 배너형 광고 차단의 기능을 수행하는 Chrome extension을 개발하는 프로젝트를 진행했다.