• 한국군사과학기술학회지
• /
• 제21권6호
• /
• pp.807-816
• /
• 2018

Threat hunting is defined as a process of proactively and iteratively searching through networks to detect and isolate advanced threats that evade existing security solutions. The main concept of threat hunting is to find out weak points and remedy them before actual cyber threat has occurred. And HMM(Hunting Maturity Matrix) is suggested to evolve hunting processes with five levels, therefore, CSOC(Cyber Security Operations Center) can refer HMM how to make them safer from complicated and organized cyber attacks. We are developing a system for cyber situation awareness system with pro-active threat hunting process called unMazeTM. With this unMaze, it can be upgraded CSOC's HMM level from initial level to basic level. CSOC with unMaze do threat hunting process not only detecting existing cyber equipment post-actively, but also proactively detecting cyber threat by fusing and analyzing cyber asset data and threat intelligence.

• 한국인터넷방송통신학회논문지
• /
• 제14권2호
• /
• pp.1-10
• /
• 2014

본 연구에서는 위협이 증가되고 있는 사이버전의 위협과 사이버전에 전장 환경의 위협이 무엇인가에 대해 현재 일어나고 있는 실상을 중심으로 분석하였다. 그리고 주요 선진 국가들이 사이버전에 어떻게 대응하고 있는가에 대한 현 실상을 제시하였다. 그리고 세계 3위권의 사이버전 수행능력을 구비하고 있는 북한의 사이버전 위협과 북한의 사이버전 전략이 한국의 국가안보에 미치는 영향을 제시하였으며, 현존하는 북한의 사이버전 위협과 미래에 예상되는 북한의 사이버전 위협에 한국이 어떻게 대비하고 대응할 것인가에 대해서 연구하였다.

• 한국군사과학기술학회지
• /
• 제22권6호
• /
• pp.797-805
• /
• 2019

Threats targeting cyberspace are becoming more intelligent and increasing day by day. To cope with such cyber threats, it is essential to improve the coping ability of system security officers. In this paper, we propose a simulated threat generator that automatically generates cyber threats for cyber defense training. The proposed Simulated Threat Generator is designed with MITRE ATT & CK(Adversarial Tactics, Techniques and Common Knowledge) framework to easily add an evolving cyber threat and select the next threat based on the threat execution result.

• 융합보안논문지
• /
• 제6권1호
• /
• pp.1-11
• /
• 2006

최근 사이버테러의 급증은 정보사회의 근간을 위협하고 있고, 특히 악성 트래픽에 의한 네트워크마비는 단 시간 내에 국가적인 손실을 초래할 수 있어 이에 대한 대비책이 시급히 요구되고 있다. 이와 관련, 국가사이버안전 위협에 대한 신속한 대처능력확보를 위해 국가사이버위협 조기 예 경보시스템에 대해 많은 연구가 이루어지고 있으나 기술적인 문제와 함께 시스템의 효용성에 대한 한계 때문에 실용적인 연구가 가시화되지 못하고 있는 실정이다. 현재까지는 ESM, TMS 등을 이용한 제한적 자료수집분석을 통하여 보안관리자가 개개인의 경험을 바탕으로 예 경보 판단을 내려왔다. 이러한 판단은 상황에 따라 극히 위험한 결과를 초래 할 수도 있다. 이러한 문제점을 방지하기 위해 본 논문에서는 "지식기반을 이용한 실시간 사이버위협 조기 예 경보시스템"을 제안하였다. 제안된 시스템은 향후 사이버공격에 대해 체계적이고 보다 정확한 예 경보 판단을 내리는데 사용할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권1호
• /
• pp.260-280
• /
• 2020

Cyber-attacks emerge in a more intelligent way, and various security technologies are applied to respond to such attacks. Still, more and more people agree that individual response to each intelligent infringement attack has a fundamental limit. Accordingly, the cyber threat intelligence analysis technology is drawing attention in analyzing the attacker group, interpreting the attack trend, and obtaining decision making information by collecting a large quantity of cyber-attack information and performing relation analysis. In this study, we proposed relation analysis factors and developed a system for establishing cyber threat intelligence, based on malicious code as a key means of cyber-attacks. As a result of collecting more than 36 million kinds of infringement information and conducting relation analysis, various implications that cannot be obtained by simple searches were derived. We expect actionable intelligence to be established in the true sense of the word if relation analysis logic is developed later.

• 융합보안논문지
• /
• 제17권2호
• /
• pp.53-68
• /
• 2017

오늘날 정보공유는 점차 지능화, 고도화되어 나타나고 있는 사이버공격을 효과적으로 예방할 수 있는 수단으로 인식되어 미국, EU, 영국, 일본 등 전세계적으로 국가적 차원의 사이버 위협정보 공유체계를 구축하고 있다. 특히 미국은 지난 2015년 12월 "사이버위협정보공유법(CISA)"을 제정하는 등 오래전부터 위협정보 공유를 위한 법 제도 기반 마련, 수행체계 구축 이행을 추진해오고 있다. 우리나라는 국가사이버안전센터와 한국인터넷진흥원을 중심으로 각각 공공, 민간분야에서 사이버 위협정보를 수집, 공유하고 있으며 관련 법 제도의 도입 시행을 통한 일원화된 정보공유 절차의 마련과 수행체계 구축을 추진 중에 있으나, 사이버 위협정보 공유 과정에서 발생할 수 있는 기업 또는 개인의 민감정보 유출문제, 정보수집 관리 주체에 대한 신뢰, 효용성 등의 문제의 우려도 제기되고 있는 실정이다. 본 논문에서는 미국과 우리나라의 사이버 위협정보 공유 현황의 비교 분석을 통해 향후 우리나라의 성공적인 사이버 위협정보 공유 체계정착이 이루어지는데 필요한 요구사항 및 시사점을 도출해보고자 한다.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.19-27
• /
• 2022

ICT 기술의 혁신적인 발전에 따라 해커의 해킹 수법도 정교하고 지능적인 해킹기법으로 진화하고 있다. 이러한 사이버 위협에 대응하기 위한 위협탐지 연구는 주로 해킹 피해 조사분석을 통해 수동적인 방법으로 진행되었으나, 최근에는 사이버 위협정보 수집과 분석의 중요성이 높아지고 있다. 봇 형태의 자동화 프로그램은 위협정보를 수집하거나 위협을 탐지하기 위해 홈페이지를 방문하여 악성코드를 추출하는 다소 능동적인 방법이다. 그러나 이러한 방법도 이미 악성코드가 유포되어 해킹 피해를 받고 있거나, 해킹을 당한 이후에 식별하는 방법이기 때문에 해킹 피해를 예방할 수 없는 한계점이 있다. 따라서, 이러한 한계점을 극복하기 위해 사이버 거점을 식별, 관리하면서 위협정보를 획득 및 분석하여 실질적인 위협을 탐지하는 모델을 제안한다. 이 모델은 방화벽 등의 경계선 외부에서 위협정보를 수집하거나 위협을 탐지하는 적극적이고 능동적인 방법이다. 사이버 거점을 활용하여 위협을 탐지하는 모델을 설계하고 국방 환경에서 유효성을 검증하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2018년도 추계학술대회
• /
• pp.647-650
• /
• 2018

첨단기술들이 실생활에 접목되면서 사이버 영역은 더욱 넓어지고 이를 대상으로 하는 사이버 위협은 크게 늘고 있다. 이러한 사이버 위협을 보다 효과적으로 방어하고 대응하기 위하여 사이버 위협 인텔리전스 공유체계가 필요하다. 사이버 위협정보 표현규격의 정의를 통하여 개별 보안관제 업체 또는 기관 등이 보유하고 있는 사이버 위협 정보의 신속한 공유와 일관된 분석, 그리고 자동화된 해석을 가능하도록 한다.

• Nuclear Engineering and Technology
• /
• 제55권6호
• /
• pp.2034-2046
• /
• 2023

Industrial control systems in nuclear facilities are facing increasing cyber threats due to the widespread use of information and communication equipment. To implement cyber security programs effectively through the RG 5.71, it is necessary to quantitatively assess cyber risks. However, this can be challenging due to limited historical data on threats and customized Critical Digital Assets (CDAs) in nuclear facilities. Previous works have focused on identifying data flows, the assets where the data is stored and processed, which means that the methods are heavily biased towards information security concerns. Additionally, in nuclear facilities, cyber threats need to be analyzed from a safety perspective. In this study, we use the system theoretic process analysis to identify system-level threat scenarios that could violate safety constraints. Instead of quantifying the likelihood of exploiting vulnerabilities, we quantify Security Control Measures (SCMs) against the identified threat scenarios. We classify the system and CDAs into four consequence-based classes, as presented in NEI 13-10, to analyze the adversary impact on CDAs. This allows for the ranking of identified threat scenarios according to the quantified SCMs. The proposed framework enables stakeholders to more effectively and accurately rank cyber risks, as well as establish security and response strategies.

• 융합보안논문지
• /
• 제18권2호
• /
• pp.19-24
• /
• 2018

이 연구에서는 사이버 위협을 평가할 시 복합적인 요소들을 고려한 위협 수준의 정량적 평가방안을 제안하였다. 제안된 평가방안은 공격방법과 행위자, 위협유형에 따른 강도, 근접성의 4가지 사이버 위협 요소를 기반으로 퍼지이론을 사용하여 사이버 위협 수준을 정량화하였다. 본 연구를 통해 제시된 사이버 위협 수준 평가는 언어로 표현된 위협 정보를 정량화된 데이터로 제시해 조직이 위협의 수준을 정확하게 평가하고 판단할 수 있다.