• 인터넷정보학회논문지
• /
• 제20권6호
• /
• pp.11-20
• /
• 2019

수많은 기업체, 기관, 개인 사용자가 대규모 DDos(Distributed Denial of Service)공격에 의한 피해에 노출되고 있다. DDoS 공격은 좀비PC라 불리는 수많은 컴퓨터들과 계층적 지령구조를 좀비PC들을 제어하는 네트워크인 봇넷을 통하여 수행된다. 통상의 악성코드 탐지 소프트웨어나 백신은 멀웨어를 탐지하기 위해서 사전에 심층 분석을 통한 멀웨어 시그니처를 밝혀야 하며, 이를 탐지 소프트웨어나 백신에 업데이트하여야 한다. 이 과정은 방대한 시간과 비용이 소모된다. 본고에서는 인공신경망 모델을 이용하여 주기적인 시그니처 사전 업데이트가 필요 없는 봇넷 탐지기법을 제안한다. 제안하는 인공신경망 모델은 Word2Vec과 가속화 계층적 밀집도 기반 클러스터링을 활용한다. 제안기법의 봇넷 탐지성능은 CTU-13 데이터셋을 이용하여 평가하였다. 성능평가 결과, 분류 정확도 99.9%로 기존 방법에 비해 우수한 멀웨어 탐지율을 보인다.

• 한국산학기술학회논문지
• /
• 제20권5호
• /
• pp.36-46
• /
• 2019

인터넷에 연결된 호스트의 개수가 대폭 증가해 1984년 도메인 네임 시스템(Domain Name System, 이하 DNS)이 도입되었다. DNS는 웹 사이트를 검색할 때, 일련의 숫자로 이루어진 복잡한 IP 주소를 외우지 않고 편리성이 높은 문자 형태의 주소를 사용할 수 있게 함으로써 현재 인터넷을 이용하는 모든 사용자에게 중요한 핵심 요소로 사용되고 있다. 그러나 이러한 DNS의 중요성에 비해 권한 할당 문제, 공인 등록 관련 분쟁, DNS 캐시 포이즈닝(DNS Cache Poisoning), DNS 스푸핑(DNS Spoofing), 중간자 공격(Man-in-the-Middle Attack), DNS 증폭 공격(DNS Amplification Attack)과 같은 각종 보안 취약점, 초연결 네트워크 시대의 더 많은 도메인 네임의 필요성 등 많은 문제점이 존재한다. 본 연구에서는 기존의 DNS가 가지는 이러한 문제점을 효과적으로 개선하고자 분산원장기술인 블록체인을 이용해 DNS를 구현하는 법을 제안하고, 이더리움 기반의 플랫폼을 이용해 구현하였다. 추가적으로 기존의 도메인 네임 등록 및 도메인 네임 서버의 정성적 성능 비교 평가를 하고, 제안하는 시스템이 기존 DNS의 보안 문제점을 개선할 수 있는지 보안 평가를 하였다. 결론적으로 블록체인을 이용해 더 안전하고 효율적으로 DNS 서비스를 제공할 수 있다는 것을 보였다.

• 인터넷정보학회논문지
• /
• 제23권5호
• /
• pp.87-101
• /
• 2022

사이버공격은 사이버공간에서 눈 깜짝할 사이에 일어나며, 그 피해는 전 세계에 점차 늘어나고 있다. 따라서, 사이버공간 3계층에 속하는 다양한 자산들을 여러 가지 시각에서 파악할 수 있는 사이버 공통작전상황도의 개발이 필요하다. 이는 군에서 사용하는 전장 정보 파악에 대한 방안을 적용하면 최적의 사이버공간 내 상황인식을 할 수 있다. 따라서 본 연구에서는 사이버 공통작전상황도에 필요한 가시화 화면들을 식별하고 기준(응답속도, 사용자 인터페이스, 객체 기호, 객체 크기)들을 조사한다. 그 후 식별 및 조사한 사항들을 적용하여 프레임워크를 설계하고 그에 따라 가시화 화면들을 구현한다. 최종적으로 가시화 화면이 조사한 기준 중 사진으로는 알아볼 수 없는 응답속도에 대한 실험을 진행한다. 결과적으로 구현된 가시화 화면들은 모두 응답속도 기준에 부합했다. 이와 같은 연구는 지휘관이나 보안 담당자들이 사이버공격을 대비하기 위한 사이버 공통작전상황도를 구축하는데 도움이 된다.

• 인터넷정보학회논문지
• /
• 제23권5호
• /
• pp.111-126
• /
• 2022

과거 물리적 공간에서만 수행되던 작전이 사이버 공간을 포함하는 작전으로 바뀌면서 사이버 공격이 사이버 시스템을 활용한 무기체계에 어떤 영향을 미치는지 분석할 필요가 있다. 이를 위해 사이버와 연계한 물리적 무기체계의 영향을 분석하는 도구를 분석하는 것은 의미가 있을 것이다. 한국군은 물리 무기체계의 영향을 분석한 결과가 담긴 미군 JMEM을 확보해 운용하고 있다. JMEM은 재래식 무기체계에만 적용되어 사이버 무기체계의 영향을 분석하는 것은 불가능하다. 이를 위해 물리전의 MOE와 MOP를 기반으로 사이버 무기체계 효율성 분석을 위한 사이버지수를 산출하였다. 또한, 물리 작전에서 무기체계 효과 매뉴얼로 활용되고 있는 JMEM과 연계하여 사이버 공간에서의 전투 결과와 물리 작전의 효과를 비교 분석하여 임무 영향을 판단할 수 있는 프레임워크를 설계 및 시험하였다. 제안된 프레임워크를 입증하기 위해 국내외 군사 매뉴얼과 선행연구를 통해 작전 시나리오를 분석 및 설계하고 자산을 정의하고 실험을 수행하였다. 실험 결과 사이버 임무 효과 값의 감소가 클수록 물리적 작전에 미치는 영향이 커졌다. 다양한 작전에서 사이버 공격으로 인한 물리적 작전의 영향을 예측하는 데 사용할 수 있으며, 전장의 지휘관이 빠른 결정을 내리는 데 도움이 될 것이다.

• 한국인터넷방송통신학회논문지
• /
• 제21권2호
• /
• pp.15-26
• /
• 2021

최근 클라우드, 모바일, IoT의 도입이 활성화되면서 방화벽이나 NAC(Network Access Control) 등의 고정 경계(Fixed Perimeter) 기반의 기존 보안 솔루션들의 한계를 보완할 수 있는 기술 개발의 필요성이 커지고 있다. 이에 대응하여 새로운 기반 기술로써 최근 등장한 것이 SDP(Software Defined Perimeter) 이다. 이 기술은 기존 보안 기술들과 달리 보호 대상 자원(서버, IoT 게이트웨이 등)의 위치에 상관없이 보안 경계를 유연하게 설정(Gateway S/W를 설치)하여, 날로 다양화·고도화되고 있는 네트워크 기반 해킹 공격을 대부분 무력화할 수 있으며 특히, Cloud 및 IoT 분야에 적합한 보안 기술로 부각 되고 있다. 본 연구에서는 SDP와 해시 트리 기반의 대규모 데이터 고속 서명 기술을 결합하여 새로운 접근제어시스템을 제안하였다. 대규모 데이터 고속 서명 기술에 의한 프로세스 인증기능을 통해 엔드포인트에 침입한 미지의 멀웨어들의 위협을 사전에 차단하고, 주요 데이터의 백업, 복구과정에서 유저 레벨의 공격이 불가능한 커널 레벨의 보안 기술을 구현하였고 그 결과 SDP의 취약 부분인 엔드포인트 보안을 강화하였다. 제안된 시스템을 시제품으로 개발하고 공인시험기관의 테스트(TTA V&V Test)로 성능시험을 완료하였다. SDP 기반 접근제어 솔루션은 스마트 자동차 보안 등에서도 활용될 수 있는 향후 잠재력이 매우 높은 기술이다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.27-37
• /
• 2022

디지털 통신 환경 기술이 다양화되고 네트워크 이용 접근성이 높아지고 있으며 보안이 중요한 방산업체, 국방 관련 기관 등 국가의 안보에 관련된 다양한 환경에서 가상 사설망 서비스를 사용한다. 하지만 기술에 발전에 따라 매년 가상 사설망의 취약점을 통한 공격이 증가하고 있다. 본 논문은 가상 사설망에서 발생 가능한 잠재적 취약점 및 신규 취약점에 대해 대비하기 위해 STRIDE 위협 모델링을 통해 보안 요구사항을 도출하였다. STRIDE 위협 모델링은 위협을 총 6가지 범주로 그룹화 위협을 체계적으로 식별한다. 이를 적용하기 위해 가상 사설망의 기능을 분석하고 가상 사설망 서비스가 이루어지는 동안의 자료 흐름도를 생성하였다. 그 후, 가상 사설망에서 발생 가능한 위협을 수집하고 이를 기반으로 STRIDE 위협 모델링을 분석했다. 생성한 가상 사설망의 자료 흐름도는 총 96개의 STRIDE 위협으로 분류되며, 실제 취약점 리스트와 비교 분석하여 분류 결과를 구체화했다. 그 후 위협들의 공격 루트를 파악하기 위해 위협 시나리오를 작성했다. 본 논문은 작성된 시나리오를 기반으로 가상 사설망의 구성요소에 따른 총 30개의 보안 요구사항을 도출했다. 본 논문을 통해 국방부와 같이 보안이 중요한 시설에서 사용하는 가상 사설망의 보안 안정성을 높일 수 있는 보안요구사항을 제시한다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.39-48
• /
• 2022

전 세계적으로 사이버 공격은 계속 증가해 왔으며 그 피해는 정부 시설을 넘어 민간인들에게 영향을 미치고 있다. 이러한 문제로 사이버 이상징후를 조기에 식별하여 탐지할 수 있는 시스템 개발의 중요성이 강조되었다. 위와 같이, 사이버 이상징후를 효과적으로 식별하기 위해 BGP(Border Gateway Protocol) 데이터를 머신러닝 모델을 통해 학습하고, 이를 이상징후로 식별하는 여러 연구가 진행되었다. 그러나 BGP 데이터는 이상 데이터가 정상 데이터보다 적은 불균형 데이터(Imbalanced data)이다. 이는, 모델에 학습이 편향된 결과를 가지게 되어 결과에 대한 신뢰성을 감소시킨다. 또한, 실제 사이버 상황에서 보안 담당자들이 머신러닝의 정형적인 결과로 사이버 상황을 인식시킬 수 없는 한계도 존재한다. 따라서 본 논문에서는 전 세계 네트워크 기록을 보관하는 BGP(Border Gateway Protocol)를 조사하고, SMOTE(Synthetic Minority Over-sampling Technique) 활용해 불균형 데이터 문제를 해결한다. 그 후, 사이버 공방(Cyber Range) 상황을 가정하여, 오토인코더를 통해 사이버 이상징후 분류하고 분류된 데이터를 가시화한다. 머신러닝 모델인 오토인코더는 정상 데이터의 패턴을 학습시켜 이상 데이터를 분류하는 성능을 92.4%의 정확도를 도출했고 보조 지표도 90%의 성능을 보여 결과에 대한 신뢰성을 확보한다. 또한, 혼잡한 사이버 공간을 가시화하여 효율적으로 상황을 인식할 수 있기에 사이버 공격에 효과적으로 방어할 수 있다고 전망된다.

• 인터넷정보학회논문지
• /
• 제22권6호
• /
• pp.99-113
• /
• 2021

최근 육·해·공·우주에 이어 제 5전장 영역으로 사이버공간이 인식되면서 본격적으로 사이버공간을 작전 및 임무 영역으로 보는 활동에 관심이 집중되었다. 또한, 21세기는 4세대 전쟁방식으로 사이버공간을 기반으로 하는 사이버작전이 전개되고 있다. 이러한 환경에서 작전 수행은 지휘관의 의사결정에 따라 성공 여부가 판가름 된다. 따라서 이러한 의사결정의 합리성과 객관성을 높이기 위해서 체계적으로 방책(COA, Course Of Action)을 수립하고 선정하는 과정이 필요하다. 본 연구에서는 사이버작전 수행에 필요한 작전요소들을 분류하는 방안을 통하여 방책을 수립하고, 방책의 정량적 평가가 가능하다는 방향성을 제시하고자 한다. 이를 위해 작전 수행의 방책이 되는 사이버 작전요소 조합(COES, Cyber Operational Elements Set)을 구성하고 표적개발 과정에서 식별한 사이버 작전요소를 육하원칙(5W1H Method)을 기준으로 분류하는 방안을 제시한다. 또한 스턱스넷(STUXNET) 공격 사례에서 활용된 사이버 작전요소들을 제시한 분류 방안을 적용하여 사이버 작전요소 조합(COES)을 구성해 공격 방책들을 수립한다. 마지막으로 수립한 방책의 우선순위를 부여하고 최적의 방책 선정을 위해 방책의 정량적 평가를 수행하였다.

• 인터넷정보학회논문지
• /
• 제24권5호
• /
• pp.17-27
• /
• 2023

오늘날 AI(Artificial Intelligence) 기술이 발전하면서 실용성이 증가함에 따라 실생활 속 다양한 응용 분야에서 널리 활용되고 있다. 이때 AI Model은 기본적으로 학습 데이터의 다양한 통계적 속성을 기반으로 학습된 후 시스템에 배포되지만, 급변하는 데이터의 상황 속 예상치 못한 데이터의 변화는 모델의 성능저하를 유발한다. 특히 보안 분야에서 끊임없이 생성되는 새로운 공격과 알려지지 않은 공격에 대응하기 위해서는 배포된 모델의 Drift Signal을 찾는 것이 중요해짐에 따라 모델 전체의 Lifecycle 관리 필요성이 점차 대두되고 있다. 일반적으로 모델의 정확도 및 오류율(Loss)의 성능변화를 통해 탐지할 수 있지만, 모델 예측 결과에 대한 실제 라벨이 필요한 점에서 사용 환경의 제약이 존재하며, 실제 드리프트가 발생한 지점의 탐지가 불확실한 단점이 있다. 그 이유는 모델의 오류율의 경우 다양한 외부 환경적 요인, 모델의 선택과 그에 따른 파라미터 설정, 그리고 새로운 입력데이터에 따라 크게 영향을 받기에 해당 값만을 기반으로 데이터의 실질적인 드리프트 발생 시점을 정밀하게 판단하는 것은 한계가 존재하게 된다. 따라서 본 논문에서는 XAI(eXplainable Artificial Intelligence) 기반 Anomaly 분석기법을 통해 실질적인 드리프트가 발생한 시점을 탐지하는 방안을 제안한다. DGA(Domain Generation Algorithm)를 탐지하는 분류모델을 대상으로 시험한 결과, 배포된 이후 데이터의 SHAP(Shapley Additive exPlanations) Value를 통해 Anomaly score를 추출하였고, 그 결과 효율적인 드리프트 시점탐지가 가능함을 확인하였다.

• 한국컴퓨터정보학회논문지
• /
• 제14권12호
• /
• pp.157-167
• /
• 2009

최근 인터넷 상에서 빈번하게 발생하는 내부 정보와 개인 정보 유출과 같은 보안 사고들은 보안을 고려하지 않고 개발된 웹 애플리케이션의 취약점을 이용하는 방법으로 빈번하게 발생한다. 웹 애플리케이션의 공격들에 대한 탐지는 기존의 방화벽과 침입 탐지 시스템들의 공격 탐지 방법으로는 탐지가 불가능하며 서명기반의 침입 탐지 방법으로는 새로운 위협과 공격에 대한 탐지에 한계가 있다. 따라서 웹 애플리케이션 공격 탐지 방법에 대한 많은 연구들이 웹 트래픽 분석을 이동하는 비정상행위 기반 탐지 방법을 이용하고 있다. 비정상행위 탐지 방법을 사용하는 최근의 웹 방화벽에 관한 연구들은 웹 트래픽의 정확한 분석 방법, 패킷의 애플리케이션 페이로드 검사로 인한 성능 문제 개선, 그리고 다양한 네트워크 보안장비들의 도입으로 발생하는 통합관리 방법과 비용 문제 해결에 중점을 두고 있다. 이를 해결하기 위한 방법으로 통합 위협 관리 시스템이 등장 하였으나 부족한 웹 보안 기능과 높은 도입 비용으로 최근의 애플리케이션 공격들에 대해 정확한 대응을 하지 못하고 있는 현실이다. 본 연구에서는 이러한 문제점들을 해결하기 위해 웹 클라이언트의 요청에 포함된 파라미터 값의 길이에 대한 실시간 분석을 이용하여 공격 가능성을 탐지하는 비정상행위 탐지방법을 제안하고, 애플리케이션 데이터 검사로 발생하는 성능 저하 문제를 해결할 수 있는 다중 계층 웹 필터를 적용한 웹 애플리케이션 방화벽 시스템을 설계하고 구현하였다. 제안된 시스템은 저가의 시스템이나 레거시 시스템에 적용 가능하도록 설계하여 추가적인 보안장비 도입으로 야기되는 비용 문제를 해결할 수 있도록 하였다.