• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.376-379
• /
• 2017

전 세계적으로 악성코드는 하루 100만개 이상이 새롭게 발견되고 있으며, 악성코드 발생량은 해마다 증가하고 있는 추세이다. 공격자는 보안장비에서 악성코드가 탐지되는 것을 우회하기 위해 기존 악성코드를 변형한 변종 악성코드를 주로 이용한다. 변종 악성코드는 자동화된 제작도구나 기존 악성코드의 코드를 재사용하므로 비교적 손쉽게 생성될 수 있어 최근 악성코드 급증의 주요 원인으로 지목되고 있다. 본 논문에서는 대량으로 발생하는 악성코드의 효과적인 대응을 위한 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안한다. 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 고려하여 악성코드가 실행되는 과정에서 호출되는 API 시퀀스 정보를 이용하여 악성코드 간 유사도 분석을 수행하였다. 유사도 결과를 기반으로 대량의 악성코드를 자동으로 그룹분류 해주는 시스템 프로토타입을 구현하였다. 악성코드 그룹별로 멤버들 간의 유사도를 전수 비교하므로 그룹의 분류 정확도를 객관적으로 제시할 수 있다. 실제 유포된 악성코드를 대상으로 악성코드 그룹분류 기능과 정확도를 측정한 실험에서는 평균 92.76%의 분류 성능을 보였으며, 외부 전문가 의뢰에서도 84.13%로 비교적 높은 분류 정확도를 보였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제14권5호
• /
• pp.103-117
• /
• 2009

최근 MANET(Mobile Ad-Hoc Network)에서 보안요소를 추가한 라우팅 연구가 활발히 진행되어왔다. 그러나 기존 연구들은 secure 라우팅 또는 패킷 자체에 대한 악의적인 행위 탐지 중 어느 한 측면에 대해서만 연구가 되어왔다. 본 논문에서는 패킷 자체에 대한 악의적인 행위 및 라우팅 측면에서 보안 요소를 모두 고려한 SRPPnT(A Secure Routing Protocol in MANET based on Malicious Pattern on Node and Trust Level)를 제안한다. SRPPnT는 악의적인 행위가 이루어진 노드를 확인하여 각 노드에 대한 신뢰수준을 측정 후, 획득한 각 노드의 신뢰수준에 따라 라우팅 경로를 설정함으로써 패킷 및 라우팅 경로 설정에 대해 이루어질 수 있는 악의적인 행위를 효율적으로 대응할 수 있다. SRPPnT는 AODV(Ad-Hoc On-Demand Distance Vector Routing)를 기반으로 하였다. NS 네트워크 시뮬레이션 결과를 통해, 제안된 SRPPnT는 기존 프로토콜보다 네트워크 부하를 감소시킨 상태에서 악의적인 노드의 보다 정확하고 신속한 식별과 secure한 라우팅이 이루어짐을 확인하였다.

• 한국산학기술학회논문지
• /
• 제16권10호
• /
• pp.7211-7218
• /
• 2015

악성코드는 하루 평균 수만 건 이상이 발생하고 있으며, 신종 악성코드의 수는 해마다 큰 폭으로 증가하고 있다. 악성코드를 탐지하는 방법은 시그니쳐 기반, API 흐름, 문자열 등을 이용한 다양한 기법이 존재하지만 대부분의 탐지 기법들은 악성코드를 우회하는 공격 기법으로 인해 신종 악성코드를 탐지하는데 한계가 있다. 따라서 신종 악성코드를 효율적으로 탐지하기 위한 연구가 많이 진행되고 있다. 그중 시각화 기법을 통한 연구가 최근 활발하게 이루어지고 있으며, 악성코드를 직관적으로 파악할 수 있으므로 대량의 악성코드를 효율적으로 탐지하고 분석할 수 있다는 장점이 있다. 본 논문에서는 악성코드와 정상파일에서 Native API 함수를 추출하고 해당 Native API가 악성코드에서 발생하는 확률에 따라서 F-measure 실험을 통해 가중치의 합을 결정하고, 최종적으로 가중치를 이용하여 워드 클라우드에서 텍스트의 크기로 표현되는 기법을 제안한다. 그리고 실험을 통해 악성코드와 정상파일에서 사용하는 Native API의 가중치에 따라서 악성코드를 판단할 수 있음을 보인다. 제안하는 방식은 워드 클라우드를 이용하여 Native API를 시각적으로 표현함으로써 파일의 악성 유무를 판단하고, 직관적으로 악성코드의 행위를 분석할 수 있다는 장점이 있다.

• 인터넷정보학회논문지
• /
• 제19권1호
• /
• pp.27-35
• /
• 2018

본 논문은 안드로이드 플랫폼에서 악성 어플리케이션을 탐지하기 위한 연구로, 안드로이드 악성 어플리케이션에 대한 위협과 행위 분석에 대한 연구를 바탕으로 머신러닝을 적용한 악성 어플리케이션 탐지를 수행하였다. 안드로이드의 행위 분석은 동적 분석도구를 통해 수행할 수 있으며, 이를 통해 어플리케이션에 대한 API Calls, Runtime Log, System Resource, Network 등의 정보를 추출할 수 있다. 이 연구에서는 행위 분석을 통한 특징 추출을 머신러닝에 적용하기 위해 특징에 대한 속성을 변환하고, 전체 특징에 대한 머신러닝 적용과 특징들의 연관분석을 통한 주성분분석으로 특징간의 상관분석으로 얻은 머신러닝 적용을 수행하였다, 이에 대한 결과로 악성 어플리케이션에 대한 머신러닝 분류 결과는 전체 특징을 사용한 분류 결과보다 주요 특징을 통한 정확도 결과가 약 1~4%정도 향상되었으며, SVM 분류기의 경우 10%이상의 좋은 결과를 얻을 수 있었다. 이 결과를 통해서 우리는 전체적인 특징을 이용하는 것보다, 주요 특징만을 통해 얻을 결과가 전체적인 분류 알고리즘에 더 좋은 결과를 얻을 수 있고, 데이터 세트에서 의미있는 특징을 선정하는 것이 중요하다고 파악하였다.

• 디지털콘텐츠학회 논문지
• /
• 제14권4호
• /
• pp.589-596
• /
• 2013

사회의 범죄율 증가와 더불어 지능형 보안 시스템강화에 대한 관심이 높아지고 있다. 이에 본 연구에서는 CCTV에 획득되는 영상으로부터 객체의 이상 행동을 감지하는 시스템을 제안한다. 배경영상과의 차연산 및 모폴로지를 통해 객체를 검출하고 객체의 특징 정보를 이용해 각각의 객체를 인식하여 추적하여 이를 통해 이상행동을 탐지한다. 객체가 영상 내에서 일정시간 이상을 배회했을 때 이를 이상행동으로 판단하여 사전에 관제센터에 알려 미연에 방지할 수 있도록 한다. 특히 본 연구는 이상 행동 중 객체의 배회행위를 감지하는 것을 목표로 하며 영상 내에서 사라진 객체가 다시 영상 내로 들어 왔을 때의 이전 객체와의 동일여부를 판단할 수 있도록 하였다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1169-1177
• /
• 2018

현대 사회는 급격한 디지털 트랜스포메이션 시대라 할 수 있다. 이러한 디지털 중심의 비즈니스 확산은 기업과 개인에게 편리함과 효율성을 제공하지만 그만큼 사이버 위협은 증가하고 있다. 특히 사이버 공격은 점차 지능화, 정밀화되면서 다양화 되고 있으며 이러한 공격이 발각되지 않도록 다양한 방법을 시도하고 있다. 따라서 이러한 공격에 대응 하는 것이 점점 어려워지고 있는 현실이다. 사이버킬체인(Cyber Kill Chain) 개념에 따르면 공격자는 여러단계에 걸쳐 목적을 달성하기 위해 침투하게 되는데 우리는 이러한 여러 단계중 하나를 탐지하여 공격을 무력화하는 것이 목적이다. 본 논문에서는 시스템의 오류 또는 사용자의 실수 등 다양한 원인으로 사전에 악성행위를 실행하는 에이전트가(agent) 유입되었다고 가정하고, 이러한 에이전트가 외부의 공격자와 접속하기 위해 발생시키는 이상트래픽을 탐지하는 방안을 제안하고자 한다.

• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.369-375
• /
• 2016

기업 대부분은 사업 연속성을 위협하는 기밀정보 유출을 방지하기 위해 DRM, 메일 필터링, DLP, USB 보안 등 다양한 보안 시스템 구축에 투자를 아끼지 않고 있다. 그러나, 기업이 기밀정보의 유출 및 관련 사건을 인지한 시점에는 해당 직원이 이미 '퇴직'해 인사적 조치가 어렵고 관련 증거도 퇴직과 함께 사라져 버리는 경우가 많다. 그런 측면에서 퇴직 징후를 미리 탐지하고 사전 조치를 하는 것은 매우 중요하다. 데이터의 최소 단위인 파일을 대상으로 이루어지는 사용자 행위를 기록하는 DRM 로그를 활용하면, 퇴직 예측이 장 단기적으로 가능하므로 유출 행위를 예방하고 사후 증적으로도 활용할 수 있다. 이 연구는 직원의 퇴직 징후를 예측해 사전에 모니터링하는 프로세스를 수립함으로써, 퇴직자의 기밀 유출로 인한 기업 손실을 최대한 방지할 수 있는 방안을 제시한다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.851-868
• /
• 2012

2008년 금융위기 이후 지속된 부동산 경기침체의 여파로 금융회사의 부동산 프로젝트 파이낸싱 대출의 부실화가 확대되면서 금융시장이 여전히 불안한 모습이다. 특히 서민금융기관의 불법행위가 드러난 후 경제주체들의 시장불안 심리가 증가하고 금융시장의 혼란이 가중되는 등 국가경제 전반에 걸쳐 잠재적 위험이 증가하고 있다. 이와 같이 경기침체가 장기화됨에 따라 수익구조 및 자금조달 능력이 취약한 서민금융기관은 부실자산을 은폐하기 위해 다양한 수단으로 불법행위를 저지른다. 특히 대주주 및 동일차주에 대한 대출은 대부분 제3자 명의의 차명계좌를 이용하기 때문에 사전 적발이 쉽지 않다. 따라서 타인명의 불법대출을 효과적으로 탐지하기 위해서는 대출 차주들 간의 연관성 분석을 통해 서로 관련성이 높은 차주들을 하나의 대출로 군집화하여 분석할 필요가 있다. 본 논문에서는 최근 사회학 위주로 연구되고 있는 소셜 네트워크 분석을 금융사기에 대한 수사 영역으로 확장하여 대출차주들 간의 연관성 분석을 통해 금융회사들의 불법대출을 사전 탐지하는 분석기법을 소개한다. 이 분석기법은 금융당국 및 수사기관 등의 현장검사 또는 조사에서 매우 유용하게 활용될 수 있을 것이다.

• 시큐리티연구
• /
• 제62호
• /
• pp.185-203
• /
• 2020

2009년 이후 전체 범죄는 감소하고 있지만, 보이스피싱은 오히려 급증하고 있다. 정부와 학계에서는 이를 근절하기 위해 다양한 대책을 제시하고 연구를 진행해 왔으나 진화하는 보이스피싱을 따라잡기에는 역부족이다. 이 연구에서 연구자들은 범인 검거와 피해회복이 어려운 보이스피싱의 피해 예방에 초점을 두었다. 특히, 피해자가 금융거래행위(계좌이체 등)를 한다는 점이 금융사기(이상거래)와 유사하다는 점에 착안하여, 금융사기 탐지에 활용되고 있는 이상거래탐지시스템(FDS)을 활용한 보이스피싱 예측 방안을 연구하였다. 그 결과 머신러닝 기반의 이상거래탐지시스템(FDS)에 보이스피싱과 관련한 통화내역, 메신저내역, 대포통장, 보이스피싱 유형과 112신고 등 빅데이터를 결합한 방안을 개념적으로 도출하였다. 이 연구에서는 주로 정부 대책과 빅데이터 활용과 관련한 문헌연구를 중심으로 연구를 진행했다. 그러나 데이터 수집의 한계와 FDS의 보안 문제로 구체적인 모델까지를 제시하지는 못하였다. 다만, 관련된 선행연구가 없는 현실에서 머신러닝을 위해 필요한 데이터 종류와 FDS를 융합한 보이스피싱 대응방안의 개념을 최초로 제시했다는 점에 의미가 있다. 향후 이 연구를 바탕으로 '보이스피싱 피해 예측 시스템'이 개발되어 보이스피싱 피해가 근절되기를 기대한다.