• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권1호
• /
• pp.260-280
• /
• 2020

Cyber-attacks emerge in a more intelligent way, and various security technologies are applied to respond to such attacks. Still, more and more people agree that individual response to each intelligent infringement attack has a fundamental limit. Accordingly, the cyber threat intelligence analysis technology is drawing attention in analyzing the attacker group, interpreting the attack trend, and obtaining decision making information by collecting a large quantity of cyber-attack information and performing relation analysis. In this study, we proposed relation analysis factors and developed a system for establishing cyber threat intelligence, based on malicious code as a key means of cyber-attacks. As a result of collecting more than 36 million kinds of infringement information and conducting relation analysis, various implications that cannot be obtained by simple searches were derived. We expect actionable intelligence to be established in the true sense of the word if relation analysis logic is developed later.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.1-13
• /
• 2022

정보통신 환경의 발전으로 인하여 군사 시설의 환경 또한 많은 발전이 이루어지고 있다. 이에 비례하여 사이버 위협도 증가하고 있으며, 특히 기존 시그니처 기반 사이버 방어체계로는 막는 것이 어려운 APT 공격들이 군사 시설 및 국가 기반 시설을 대상으로 빈번하게 이루어지고 있다. 적절한 대응을 위해 공격그룹을 알아내는 것은 중요한 일이지만, 안티 포렌식 등의 방법을 이용해 은밀하게 이루어지는 사이버 공격의 특성상 공격 그룹을 식별하는 것은 매우 어려운 일이다. 과거에는 공격이 탐지된 후, 수집된 다량의 증거들을 바탕으로 보안 전문가가 긴 시간 동안 고도의 분석을 수행해야 공격그룹에 대한 실마리를 겨우 잡을 수 있었다. 본 논문에서는 이러한 문제를 해결하기 위해 탐지 후 짧은 시간 내에 공격그룹을 분류해낼 수 있는 자동화 기법을 제안하였다. APT 공격의 경우 일반적인 사이버 공격 대비 공격 횟수가 적고 알려진 데이터도 많지 않으며, 시그니처 기반의 사이버 방어 기법을 우회하도록 설계가 되어있으므로, 우회가 어려운 공격 모델 기반의 탐지 기법을 기반으로 알고리즘을 개발하였다. 공격 모델로는 사이버 공격의 많은 부분을 모델링한 MITRE ATT&CK®을 사용하였다. 공격 기술의 범용성을 고려하여 영향성 점수를 설계하고 이를 바탕으로 그룹 유사도 점수를 제안하였다. 실험 결과 제안하는 방법이 Top-5 정확도 기준 72.62%의 확률로 공격 그룹을 분류함을 알 수 있었다.

• 융합정보논문지
• /
• 제8권6호
• /
• pp.165-171
• /
• 2018

최근 IT보안의 화두가 되고 있는 가장 위협적인 공격은 APT공격이다. APT공격에 대한 대응은 인공지능기법을 활용한 대응이외에는 방법이 없다는 것이 현재까지의 결론이다. 여기서는 머신러닝 기법을 활용한 사이버위협 데이터를 분석하는 방법, 그 중에서도 빅데이터 머신러닝 프레임웍인 Scikit Learn를 활용하여 사이버공격 사례를 수집한 데이터셋을 이용하여 사이버공격을 분석하는 머신러닝 알고리즘을 구현하였다. 이 결과 70%에 육박하는 공격 분류 정확도를 보였다. 이 결과는 향후 보안관제 시스템의 알고리즘으로 발전가능하다.

• 인터넷정보학회논문지
• /
• 제21권2호
• /
• pp.91-97
• /
• 2020

최근 국방, 안보, 외교 분야 관련자를 대상으로 하는 피싱 공격이 급증하고 있다. 특히 해킹 공격조직 Kimsuky는 2013년 이후 피싱 공격을 통해 공공기관의 주요 정보 수집을 위한 활동을 하고 있다. 본 논문에서는 피싱 메일 공격조직에 대한 프로파일링 분석을 수행하였다. 이를 위해 피싱 메일 공격의 유형을 분류하고 해킹 공격조직의 공격방식에 대한 분석을 하였다. 상세한 프로파일링 분석을 통해 공격조직의 목적을 추정하고 대응방안을 제시하였다.

• 정보보호학회논문지
• /
• 제34권3호
• /
• pp.417-430
• /
• 2024

현대 기술의 발전과 인터넷의 보급이 확대되면서 사이버 위협도 증가하고 있다. 이러한 위협에 효과적으로 대응하기 위해 CTI(Cyber Threat Intelligence)의 활용에 대한 중요성이 커지고 있다. 이러한 CTI는 과거의 사이버 위협 데이터에 기반하여 새로운 위협에 대한 정보를 제공하지만, 데이터의 복잡성과 공격 패턴의 변화 등 다양한 요인으로 인해 분석의 어려움을 겪고 있다. 이러한 문제를 해결하기 위해, 본 연구는 다차원적 관계를 포괄적으로 나타낼 수 있는 그래프 데이터의 활용하고자 한다. 구체적으로는 악성코드 데이터를 대상으로 이기종 그래프를 구축하고, metapath2vec의 노드 임베딩 방법을 활용하여 사이버 공격 그룹을 더 효과적으로 식별하고자 한다. 결론적으로 토폴로지 정보를 기존 악성코드 데이터에 추가로 활용하였을 때 탐지성능에 미치는 영향을 분석함으로써, 사이버 보안 분야에 새로운 실질적 적용 가능성을 제시하며, CTI 분석의 한계를 극복하는 데 기여하고자 한다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.561-566
• /
• 2013

본 논문은 Torus-Based-Cryptosystem 중 $T_2(p)$ 에서 부채널공격을 방지하는 효율적인 지수 연산방법을 제안한다. 제안한 지수 연산방법은 일반적인 지수 연산보다 더 효율적일 뿐만 아니라 제곱과 곱셈 연산의 계산량 차이를 없게하여 SPA 공격에 안전하다. 또한 상군(quotient group)의 특성을 이용하여 지수 연산시 메시지를 난수화하여 제1차 DPA 공격도 방어할 수 있다.

• 융합보안논문지
• /
• 제16권3_2호
• /
• pp.33-42
• /
• 2016

정보화 사회의 발달은 인간생활에 많은 편익을 제공하는 반면에, 새로운 유형의 위협을 증대시키고 있다. 특히 사이버테러는 컴퓨터체계와 정보통신망으로 구성된 네트워크상에서 발생하고 있으며 그 방법과 피해규모는 심각한 수준에 이르고 있다. 즉 사이버테러는 현실세계가 아니라 가상공간에서 발생하여 공격주체가 누구인지?(비가시성, 비정형성), 어디에서 공격을 하는 것인지?(초국가성) 등 그 실체파악이 대단히 어려운 실정이다. 사이버테러를 시행하는 해커는 개인 혹은 소규모단체의 수준임에도 불구하고, 국가의 안전을 위협할 수 있는 새로운 위협을 제시하면서 현재도 그 위협의 양상과 규모를 더욱 진화시키고 있다. 북한의 사이버테러 규모와 능력은 세계적 수준으로 평가되고 있다. 최근 북한은 사이버테러 역량강화에 주력하고 있다. 이에 한국 안보에 직접인 위협으로 부상하고 있는 사이버테러에 대한 대응체계 개선은 선택이 아니라 국가생존을 위한 필수적인 과제이다. 따라서 한국은 북한과 주변국가로부터 발생하는 사이버테러에 선제적으로 대응하기 위해서 국가차원의 통합된 컨트롤타워 기능을 수행할 수 있도록 법적 제도적 장치를 시급히 보완해야 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.392-394
• /
• 2014

요즘 인터넷을 통하여 많은 사이버 공격이 일어나고 있다. 이에 대응하기 위하여 우리는 네트워크 패킷을 저장할 수 있는 사이버 블랙박스 시스템을 개발하고 사이버 블랙박스 시스템에서 수집한 많은 네트워크 패킷을 분석할 수 있는 효율적인 공격 원인 분석 알고리즘을 제안한다. 공격원인 분석 알고리즘을 통하여 우리는 사이버 공격에 발생했을 때 공격의 유입점이 어디이고 어떤 경로를 통해서 공격이 이루어졌는지 알 수 있다. 그 뿐만 아니라 숨겨진 피해자 발견 알고리즘을 통하여 알려진 피해자뿐만 아니라 알려지지 않은 다른 피해자를 찾을 수 있다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.15-26
• /
• 2022

사이버 공격을 수행하는 주체와 그 목적이 점차 다양화되고 고도화되고 있다. 과거 사이버 공격은 개인 혹은 집단의 자신감 표출을 위해 수행되었지만, 최근에는 국가 단위의 후원을 받은 정치적, 경제적 목적의 공격도 활발히 이루어지고 있다. 이에 대응하고자 시그니처 기반의 악성코드 패밀리 분류, 공격 주체 분류 등이 이루어졌지만 공격 주체가 의도적으로 방어자를 속일 수 있다는 단점이 있다. 또한 공격의 주체, 방법, 목적과 목표가 다양해짐에 따라, 공격의 모든 과정을 분석하는 것은 비효율적이다. 따라서 방어자 관점에서 사이버 공격의 최종 목표를 식별해 유연하게 대응할 필요가 있다. 사이버 공격의 근본적인 목표는 대상의 정보보안을 훼손하는 것이다. 정보보안은 정보자산의 기밀성, 무결성, 가용성을 보존함으로써 달성된다. 이에 본 논문에서는 MITRE ATT&CK® 매트릭스에 기반하여 공격자의 목표를 정보보안의 3요소 관점에서 재정의하고, 이를 머신러닝 모델과 딥러닝 모델을 통해 예측하였다. 실험 결과 최대 80%의 정확도로 예측하는 것을 확인할 수 있었다.

• 전자공학회논문지
• /
• 제50권9호
• /
• pp.92-99
• /
• 2013

최근 사이버 공격은 명확한 목적과 특정화된 대상에 대해 지능적이고 지속적이며 복잡한 공격 특성을 가짐으로써 사전에 인지하거나 사고 발생 시 대응하기에 상당히 어려워지고 있다. 또한 피해규모도 상당히 크기 때문에 이에 대한 대응체계가 국가적인 측면에서 시급한 상황이다. 기존의 데이터센터 및 전산실의 통합보안체계는 이러한 최근의 사이버 공격에 대응하기에는 시대에 뒤떨어진 면이 많다고 판단된다. 그러므로 본 연구에서는 지능형지속위협(APT)기반의 공격에 대비해 보다 고도화된 차세대 융합형 보안 프레임워크를 제안한다. 제안한 차세대 융합형 보안 프레임워크는 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성으로 APT 공격에 대한 선제적 대응이 가능하도록 설계하였다. 영역별 보안계층은 관리적, 물리적, 기술적 보안영역별로 보안 지침과 방향을 제시한다. 영역별 연계계층은 보안 도메인간의 상태정보가 일관성을 갖도록 한다. 지능화된 공격 행위의 가시화 계층은 데이터 취합, 비교, 판단, 통보의 수명주기로 구성된다. 행위 통제계층에서는 가시화된 행위를 통제하는 계층이다. 마지막으로 융합대응계층은 APT공격 전과 후의 대응체계를 제안하였다. 제안하는 차세대 융합 보안 프레임워크의 도입은 지속적이고 지능적인 보안위협에 대해 보다 향상된 보안관리를 수행하게 될 것이다.