• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.661-674
• /
• 2021

커널을 변조하는 루트킷과 같은 악성코드가 만약 메모리 분석을 회피하기 위한 메커니즘을 추가하게 될 경우, 분석이 어려워지거나 불가능하게 되면서 분석가의 판단에 악영향을 미칠 수 있다. 따라서 향후 고도화된 커널 변조를 통해 탐지를 우회하는 루트킷과 같은 악성코드에 선제적으로 대응하고자 한다. 이를 위해 공격자의 관점에서 윈도우 커널에서 사용되는 주요 구조체를 분석하고, 커널 객체를 변조할 수 있는 방법을 적용하여 메모리 덤프 파일에 변조를 진행하였다. 변조 결과 널리 사용되는 메모리 분석 도구에서 탐지가 되지 않는 것을 실험을 통해 확인하였다. 이후 분석가의 관점에서 변조 저항성의 개념을 사용하여 변조를 탐지할 수 있는 소프트웨어 형태로 만들어 기존 메모리 분석 도구에서 탐지되지 않는 영역에 대해 탐지 가능함을 보인다. 본 연구를 통해 선제적으로 커널 영역에 대해 변조를 시도하고 정밀 분석이 가능하도록 인사이트를 도출하였다는 데 의의가 있다 판단된다. 하지만 정밀 분석을 위한 소프트웨어 구현에 있어 필요한 탐지 규칙을 수동으로 생성해야 한다는 한계점이 존재한다.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.19-24
• /
• 2018

지금까지 오랜 시간 동안 범용 프로세서는 개발자에게 버그 수정을 할 수 있는 도구들을 제공하기 위해 전용 하드웨어/소프트웨어 트레이싱 모듈을 제공했다. 전용 하드웨어 트레이서는 성능 분석 및 디버깅에 모두 사용되는 막대한 양의 데이터를 로그로 실시간으로 생성한다. 프로세서 트레이스 (PT)는 CPU에서 실행되는 분기를 추적하는 Intel CPU를 위한 새로운 하드웨어 기반 추적 기능으로 최소한의 노력으로 모든 실행 코드의 제어 흐름을 재구성할 수 있다. 이러한 하드웨어 트레이스 기능들은 운영체제에 통합되어 프로파일 링 및 디버깅 메커니즘과의 긴밀한 통합이 가능하게 되었다. 본 논문에서는 윈도우 환경에서 PT가 제공하는 기능을 이용하여 실시간 트레이스 및 악성코드 검출을 위한 기본 데이터를 제공하는 확장된 PT 디코더 구조를 제안하였다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.545-552
• /
• 2012

최근 우리는 급격한 정보통신 기술의 발달로 큰 변화를 겪었으며, 기존의 기반 시설들 및 서비스들이 정보통신기술과 융합되면서, 다시 한 번 환경 변화를 눈앞에 두고 있다. 정보통신의 발달은 이러한 이점들 외에도 여러 부작용을 낳고 있으며, 이러한 부작용들은 금전적 피해뿐만 아니라 국가적인 재난 상황으로 발전될 소지가 있다. 따라서 이들에 대한 탐지 및 신속한 대응이 중요하며, 이와 관련한 많은 시도가 이루어지고 있다. 이러한 예로는 침입탐지시스템이 있을 수 있다. 그러나 침입탐지시스템은 특정 트래픽이나, 파일이 악성인지 여부를 판단하는데 중점을 두고 있으며, 현재까지 변종이나 새롭게 개발된 악성 코드에 대한 탐지는 힘들다. 따라서 본 논문에서는 네트워크의 현재의 상황과 과거의 상황들을 비교하여, 현재 시점의 네트워크 모델이 정상인지 비정상인지를 판단할 수 있는 방법에 대해 제안한다.

• 한국콘텐츠학회논문지
• /
• 제17권6호
• /
• pp.32-38
• /
• 2017

최근 공인인증서에 대한 무용론이 제기됨에도 불구하고, 우리나라 인구의 절반(약 3,500만개)이 공인인증서를 발급받아 인터넷 뱅킹, 인터넷 쇼핑, 주식거래 등에서 본인확인용도로 사용하고 있다. 또한 공인인증서 사용자는 이동디스크나 스마트폰을 저장매체로 사용하고 있다. 이러한 저장매체는 악성코드에 의해 공인인증서 관련 파일과 사용자 패스워드가 쉽게 탈취될 수 있고 공격자는 탈취한 사용자 패스워드와 공인인증서로 언제든지 정당한 사용자로 위장할 수 있다. 이러한 공인인증서 안전성 문제로 인해 SMS를 이용한 휴대폰 소유자 인증기술, 생체인증을 통한 본인 인증 기술 등 다양한 인증기술이 제안되고 있다. 그러나 아직까지 사용자 패스워드가 필요 없고 공인인증서를 대체하는 안전한 기술이 제시되지 않고 있다. 이에 본 논문에서는 USIM 정보와 스마트폰 고유번호를 조합해서 사용자 패스워드 없이 공인인증서를 안전하게 보호할 수 있는 방안을 제안하였다. 이를 통해 공격자가 개인키 및 인증서 파일을 탈취하더라도 공인인증서를 사용할 수 없고, 사용자는 영문자/숫자/특수문자 등 조합규칙을 따르는 복잡한 패스워드를 사용하지 않아도 된다. 따라서 제안 방안을 공인인증서에 사용한다면 사용이 편리하면서도 안전한 보안 서비스를 제공할 수 있다.

• 정보처리학회논문지B
• /
• 제14B권1호
• /
• pp.59-64
• /
• 2007

중요한 정보를 저장하고 있는 컴퓨터를 위협하는 바이러스는 점점 현실적인 문제로 대두되고 있다. 이를 위하여 바이러스 침입 발견을 위한 소프트웨어 기술 또한 계속 발전되고 있으나, 현재까지의 표준 기술은 알려진 바이러스의 시그내쳐 패턴을 저장하여 이를 매치 검색하면서 바이러스를 찾아내는 방식을 채택하고 있다. 이는 알려진 바이러스에 대해서는 효과적이지만 새로운 바이러스를 찾아내지 못하고 손실을 당한 후 에야 찾을 수 있는 단점을 가지고 있다. 이를 위하여 바이러스 정보 구축과 탐색에 학습기능을 도입함으로 새로 발생하는 바이러스를 찾아내어 대처할 수 있는 방법이 필요하다. 본 논문에서는 컴퓨터 바이러스를 위한 퍼지 진단 시스템 FDS를 제안한다. FDS에서는 FCM 알고리즘을 사용하여 알려진 정보의 클러스터를 형성하고 대표정보를 추출하고 여기에 전문가의 지식을 포함하는 지식베이스를 구축한다. 진단을 위한 컴퓨터 파일에 대하여 그 파일의 결정 상태를 확인하고 이미 저장된 지식베이스를 바탕으로 바이러스 침입에 대한 정보를 보고하도록 설계되어있다. 이 시스템은 이미 알려진 테스트 데이터와 이전에 알려지지 않은 새로운 테스트 데이터를 실험데이터로 준비하여 널리 알려진 분류 알고리즘-KNN, RF, SVM-과 함께 성능을 비교하였다. 제안된 시스템이 알려지지 않은 컴퓨터 바이러스를 효과적으로 진단할 수 있는 타당성을 보이고 있다.

• 융합보안논문지
• /
• 제14권2호
• /
• pp.17-24
• /
• 2014

백도어의 침투공격 형태는 "trapdoor" 침투점을 이용하여 보안기능을 우회하고 데이터에 직접 접근을 허용하게 한다. 백도어는 소스코드 수정 없이도 코드 생성이 가능하고 심지어 컴파일 후에 수정도 가능하다. 이같은 방식은 컴파일러를 다시 작성하여 소스코드를 컴파일 할 때 특정 부분에 백도어를 삽입시키는 방법을 사용하기 때문에 가능하다. 백도어 방역작업에는 백도어 기본적 구조나 특성에 따라 피해영역이나 차단방법이 조금씩 다를 수 있다. 본 연구는 백도어 동작 메커니즘 진단을 기반으로 하여 백도어 행동분석 방법 모델을 도출하였다. 연구의 목적은 백도어에 대한 구조 및 감염형태를 파악하고 행동방식을 분석함으로서 앞으로 악성코드 대응과 해킹공격에 유용하게 활용할 수 있는 정보를 확보하는 데 있다.

• 융합보안논문지
• /
• 제6권3호
• /
• pp.1-12
• /
• 2006

최근 들어 악성코드와 관련된 정보침해사고는 대부분 Microsoft Windows에서 발생하고 있으며, 해마다 증가 추세에 있다. 이러한 악성코드 중에 커널기반의 악성코드는 Windows 커널 내에서 자신의 정보를 은폐하고 공격코드를 추가하는 방식으로 동작하고 있어 기존의 보안대응책으로 탐지 및 대응이 어려운 특징을 갖는다. 기존의 정보보호시스템이 알려지지 않은(또는 새로운) 커널 공격 기법에 대한 대응이 거의 불가능한 이유는 "공격 시그너쳐"를 기반으로 하고 있기 때문이며, 보다 근본적인 이유는 Windows 커널 정보 및 관련 메커니즘의 부재에 있다. 이로 인해, 커널 공격기법에 대한 현재의 대응기법 수준은 매우 미미하며, 현장에서 활용 가능한 커널공격 대응시스템은 전무한 실정이다. 본 논문에서는 다양한 Windows 커널 공격에 대한 유형과 기법을 정형화하고, 이를 기반으로 커널 메모리 공격 대응기법, 프로세스 및 드라이버 공격 대응기법, 파일시스템 및 레지스트리 공격 대응기법으로 구분하여 효과적인 Windows 커널 공격대응기법과 메커니즘을 제안하였다. 알려지지 않은 Windows 커널 정보 및 관련 메커니즘의 수집과 분석을 통하여 Windows 커널 공격에 대한 대응기법 및 메커니즘의 구현에 적극 활용하였으며, 시스템 활용도 및 안정성을 극대화하기 위해 Windows 멀티 플랫폼을 지원하도록 구현하였다. 다양한 실험을 통하여 제안된 대응시스템이 커널 공격기법에 대해 기존의 정보보호시스템보다 우수한 방어능력을 갖고 있음을 확인하였다.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2001년도 춘계학술대회 E-Business 활성화를 위한 첨단 정보기술
• /
• pp.79-82
• /
• 2001

이동코드는 자바 애플릿(applet)이나 스크립트와 같이 원격지에서 실행가능한 코드로서 현재 웹브라우저를 통하여 쉽게 수행 가능하다. 이러한 프로그램은 누구나 작성할 수 있고 브라우저를 수행할 수 있는 어떤 컴퓨터에서도 수행 가능하다. 즉, 자바 애플릿과 같이 운영체제나 하드웨어에 관계없이 어떤 플랫폼에도 동일 코드가 수행될 수 있다. (일반적으로 에이전트도 이동 코드라고 부르지만 여기서는 포함시키지 않는다.) 인터넷에서 어떤 컴퓨터에서도 공통적인 스크립트를 수행할 수 있다는 것은 편리함, 가능성에서 많은 장점을 가지고 있지만 보안 관점에서 보면 이러한 공통의 스크립트를 수행할 수 있는 인터프리터는 매우 위험하다. 또한 이러한 인터프리터가 브라우저의 한 부분이기 때문에 위험은 더욱 증가한다. 이동 코드 인터프리터에서 어떤 버그가 존재할 경우 이것을 이용한 악성 사용자가 프로그램을 특정 컴퓨터에서 수행시켜 접근 권한을 쉽게 얻거나 시스템을 파괴할 수 있다. 일반 사용자들이 주로 사용하는 윈도95 같은 운영체제에서는 이러한 공격을 막을 보호대책이 없고 심지어 UNIX에서도 사용자의 권한을 가지고 이동 코드가 수행되기 때문에 사용자의 파일을 조작하거나 정보가 유출될 수 있다. 또한, 이동코드가 서로 다른 수행환경을 이동할 경우, 악성 이동코드로부터 영향을 받을 수 있는 수행환경의 보호와 악성 호스트 및 수행환경에 의해 이동코드가 파괴되는 경우도 있다. 위와 같은 이동 코드의 위험으로부터 발생할 수 있는 보안문제점들의 실제 피해 사례 및 시스템을 보호하기 위해 사용되어온 몇 가지 기법을 제시하였다.사업을 통하여 경남지역 산업단지에 입주한 기업체의 정보 활용을 극대화하여 지역경제 발전에 기여함과 동시에 국내 지역정보화 시범모델로서 위상을 확립하고자 한다.을 기업의 타인자본비용과 자기자본비용의 조합인 기회자본비용으로 할인함으로써 현재의 기업가치를 구할 수 있기 때문이다. 이처럼 기업이 영업활동이나 투자활동을 통해 현금을 창출하고 소비하는 경향은 해당 비즈니스 모델의 성격을 규정하는 자료도로 이용될 수 있다. 또한 최근 인터넷기업들의 부도가 발생하고 있는데, 기업의 부실원인이 어떤 것이든 사회전체의 생산력의 감소, 실업의 증가, 채권자 및 주주의 부의 감소, 심리적 불안으로 인한 경제활동의 위축, 기업 노하우의 소멸, 대외적 신용도의 하락 등과 같은 사회적·경제적 파급효과는 대단히 크다. 이상과 같은 기업부실의 효과를 고려할 때 부실기업을 미리 예측하는 일종의 조기경보장치를 갖는다는 것은 중요한 일이다. 현금흐름정보를 이용하여 기업의 부실을 예측하면 기업의 부실징후를 파악하는데 그치지 않고 부실의 원인을 파악하고 이에 대한 대응 전략을 수립하며 그 결과를 측정하는데 활용될 수도 있다. 따라서 본 연구에서는 기업의 부도예측 정보 중 현금흐름정보를 통하여 '인터넷기업의 미래 현금흐름측정, 부도예측신호효과, 부실원인파악, 비즈니스 모델의 성격규정 등을 할 수 있는가'를 검증하려고 한다. 협력체계 확립, ${\circled}3$ 전문인력 확보 및 인력구성 조정, 그리고 ${\circled}4$ 방문보건사업의 강화 등이다., 대사(代謝)와 관계(關係)있음을 시사(示唆)해 주

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.1021-1026
• /
• 2015

피싱 피해의 확대에 따라 정부 및 기관의 대응이 빨라지면서 피싱 공격은 더욱 발전하여 악성코드 및 취약점 활용에까지 이어지고 있다. 최근 마이크로 소프트의 패치가 발표될 때 마다 해당 취약점을 이용한 공격 기술이 공개되고 이를 악용하는 사례가 늘어나고 있다. 따라서 방어하는 입장에서도 패치를 분석하고 대응하기 위한 기술의 수요가 증가하였으며, 이로 인하여 다양한 패치 분석 방법론이 등장하였다. 하지만 이는 마이크로 소프트 제품에 맞춘 경우가 많으며 모바일 환경을 대상으로 이루어지지는 않았다. iOS와 같은 모바일 장치의 경우 운영체제를 구성하는 파일의 크기가 작고 개수가 많기 때문에 빠르게 비교해주는 기능이 필요하다. 따라서 본 연구는 기존의 연구에서 사용하던 Control Flow Graph나 Abstract Syntax Tree 방법이 아닌 기계어 코드에 최적화된 코드 필터링 방법을 이용한 패치 비교 방법론을 연구하여 안전한 모바일 환경을 구축하기 위한 기반을 마련하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 춘계학술발표대회
• /
• pp.424-427
• /
• 2015

근래 들어 모바일 기기의 시스템을 장악하여 사용자의 기밀 정보를 빼내는 악성 행위의 한 방법으로 Code Reuse Attack (CRA)이 널리 사용되고 있다. 이와 같은 CRA를 막기 위하여 call-return이 일어날 때마다 이들 address를 비교해 보는 shadow stack과 branch에 대한 몇 가지 규칙을 두어 CRA 를 탐지하는 branch regulation과 같은 방식이 연구되었다. 우리는 shadow stack과 branch regulation을 종합하여 여러 종류의 CRA를 적은 성능 오버헤드로 탐지할 수 있는 CRA Detection System을 만들고자 한다. 이를 위하여 반드시 선행 되어야 할 연구인 바이너리 파일 분석과 meta-data 생성 및 압축 기술을 제안한다. 실험 결과 생성된 meta-data는 압축 기술을 적용하기 전보다 1/2에서 1/3 가량으로 그 크기가 줄어들었으며 CRA Detection System의 탐지가 정상적으로 동작하는 것 또한 확인할 수 있었다.