• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권1호
• /
• pp.260-280
• /
• 2020

Cyber-attacks emerge in a more intelligent way, and various security technologies are applied to respond to such attacks. Still, more and more people agree that individual response to each intelligent infringement attack has a fundamental limit. Accordingly, the cyber threat intelligence analysis technology is drawing attention in analyzing the attacker group, interpreting the attack trend, and obtaining decision making information by collecting a large quantity of cyber-attack information and performing relation analysis. In this study, we proposed relation analysis factors and developed a system for establishing cyber threat intelligence, based on malicious code as a key means of cyber-attacks. As a result of collecting more than 36 million kinds of infringement information and conducting relation analysis, various implications that cannot be obtained by simple searches were derived. We expect actionable intelligence to be established in the true sense of the word if relation analysis logic is developed later.

• 한국인터넷방송통신학회논문지
• /
• 제14권2호
• /
• pp.1-10
• /
• 2014

본 연구에서는 위협이 증가되고 있는 사이버전의 위협과 사이버전에 전장 환경의 위협이 무엇인가에 대해 현재 일어나고 있는 실상을 중심으로 분석하였다. 그리고 주요 선진 국가들이 사이버전에 어떻게 대응하고 있는가에 대한 현 실상을 제시하였다. 그리고 세계 3위권의 사이버전 수행능력을 구비하고 있는 북한의 사이버전 위협과 북한의 사이버전 전략이 한국의 국가안보에 미치는 영향을 제시하였으며, 현존하는 북한의 사이버전 위협과 미래에 예상되는 북한의 사이버전 위협에 한국이 어떻게 대비하고 대응할 것인가에 대해서 연구하였다.

• 융합보안논문지
• /
• 제17권2호
• /
• pp.53-68
• /
• 2017

오늘날 정보공유는 점차 지능화, 고도화되어 나타나고 있는 사이버공격을 효과적으로 예방할 수 있는 수단으로 인식되어 미국, EU, 영국, 일본 등 전세계적으로 국가적 차원의 사이버 위협정보 공유체계를 구축하고 있다. 특히 미국은 지난 2015년 12월 "사이버위협정보공유법(CISA)"을 제정하는 등 오래전부터 위협정보 공유를 위한 법 제도 기반 마련, 수행체계 구축 이행을 추진해오고 있다. 우리나라는 국가사이버안전센터와 한국인터넷진흥원을 중심으로 각각 공공, 민간분야에서 사이버 위협정보를 수집, 공유하고 있으며 관련 법 제도의 도입 시행을 통한 일원화된 정보공유 절차의 마련과 수행체계 구축을 추진 중에 있으나, 사이버 위협정보 공유 과정에서 발생할 수 있는 기업 또는 개인의 민감정보 유출문제, 정보수집 관리 주체에 대한 신뢰, 효용성 등의 문제의 우려도 제기되고 있는 실정이다. 본 논문에서는 미국과 우리나라의 사이버 위협정보 공유 현황의 비교 분석을 통해 향후 우리나라의 성공적인 사이버 위협정보 공유 체계정착이 이루어지는데 필요한 요구사항 및 시사점을 도출해보고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2018년도 추계학술대회
• /
• pp.647-650
• /
• 2018

첨단기술들이 실생활에 접목되면서 사이버 영역은 더욱 넓어지고 이를 대상으로 하는 사이버 위협은 크게 늘고 있다. 이러한 사이버 위협을 보다 효과적으로 방어하고 대응하기 위하여 사이버 위협 인텔리전스 공유체계가 필요하다. 사이버 위협정보 표현규격의 정의를 통하여 개별 보안관제 업체 또는 기관 등이 보유하고 있는 사이버 위협 정보의 신속한 공유와 일관된 분석, 그리고 자동화된 해석을 가능하도록 한다.

• 한국군사과학기술학회지
• /
• 제21권6호
• /
• pp.807-816
• /
• 2018

Threat hunting is defined as a process of proactively and iteratively searching through networks to detect and isolate advanced threats that evade existing security solutions. The main concept of threat hunting is to find out weak points and remedy them before actual cyber threat has occurred. And HMM(Hunting Maturity Matrix) is suggested to evolve hunting processes with five levels, therefore, CSOC(Cyber Security Operations Center) can refer HMM how to make them safer from complicated and organized cyber attacks. We are developing a system for cyber situation awareness system with pro-active threat hunting process called unMazeTM. With this unMaze, it can be upgraded CSOC's HMM level from initial level to basic level. CSOC with unMaze do threat hunting process not only detecting existing cyber equipment post-actively, but also proactively detecting cyber threat by fusing and analyzing cyber asset data and threat intelligence.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.19-27
• /
• 2022

ICT 기술의 혁신적인 발전에 따라 해커의 해킹 수법도 정교하고 지능적인 해킹기법으로 진화하고 있다. 이러한 사이버 위협에 대응하기 위한 위협탐지 연구는 주로 해킹 피해 조사분석을 통해 수동적인 방법으로 진행되었으나, 최근에는 사이버 위협정보 수집과 분석의 중요성이 높아지고 있다. 봇 형태의 자동화 프로그램은 위협정보를 수집하거나 위협을 탐지하기 위해 홈페이지를 방문하여 악성코드를 추출하는 다소 능동적인 방법이다. 그러나 이러한 방법도 이미 악성코드가 유포되어 해킹 피해를 받고 있거나, 해킹을 당한 이후에 식별하는 방법이기 때문에 해킹 피해를 예방할 수 없는 한계점이 있다. 따라서, 이러한 한계점을 극복하기 위해 사이버 거점을 식별, 관리하면서 위협정보를 획득 및 분석하여 실질적인 위협을 탐지하는 모델을 제안한다. 이 모델은 방화벽 등의 경계선 외부에서 위협정보를 수집하거나 위협을 탐지하는 적극적이고 능동적인 방법이다. 사이버 거점을 활용하여 위협을 탐지하는 모델을 설계하고 국방 환경에서 유효성을 검증하였다.

• 융합보안논문지
• /
• 제16권7호
• /
• pp.101-111
• /
• 2016

최근 정부 주요인사 대상 스마트폰 해킹과 인터파크사 고객정보 탈취 등 사이버위협은 이제 우리에게 현실적인 위협으로 다가오고 있고 이러한 위협은 사물인터넷 시대 도래로 인해 더욱 고도화될 것이며 이에 대응하기 위해 민 관간 사이버위협정보 공유에 대한 체계 정립은 반드시 필요하다. 미국 일본 영국 등 주요국은 공유기구를 설치하고 관련대책을 수립 시행하는 등 사이버위협정보 공유제도를 정착시켜 나가고 있으나, 우리나라는 몇 개 기관이 공유센터를 자체 구축하여 운영하고 있고 참여기관간 정보의 제공과 공유에 있어 불균형이 존재하는 등 제도적인 미흡으로 활성화가 되지 못하고 있는 실정이다. 이에 나날이 진화하는 사이버위협에 효과적으로 대응하기 위해 정보공유체계 운영주체의 명확한 설정, 민간 공공간 협업체계 운영, 통합적이고 자동화된 시스템 구축, 면책권 부여 등 법 제도 보완 등 국내에 적용 가능한 모델을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.657-673
• /
• 2019

최근 운항되고 있는 선박은 전자해도시스템 및 자동위치식별장치 등 다양한 IT, OT 시스템이 사용되고 있어 선박건조와 항해 환경까지 고려한 보안 요소가 요구된다. 하지만, 선박과 조선 ICT 기자재 산업에 관한 사이버보안 연구는 아직 부족한 현실이며, 위협 모델링을 통한 체계적인 방법론이 부족하다. 본 논문에서는 선박 시스템에 접근하는 이해관계자를 고려하여 Data Flow Diagram을 수립하였다. 선박 시스템들의 보안 취약점과 사례들을 수집한 Attack Library를 기반으로 STRIDE 방법론과 Attack Tree를 활용한 위협 모델링을 통해 선박에서 발생 가능한 위협을 식별하고 선박 사이버보안 대책을 제시하고자 한다.

• Journal of Information Processing Systems
• /
• 제15권4호
• /
• pp.865-889
• /
• 2019

The need for cyber resilience is increasingly important in our technology-dependent society where computing devices and data have been, and will continue to be, the target of cyber-attackers, particularly advanced persistent threat (APT) and nation-state/sponsored actors. APT and nation-state/sponsored actors tend to be more sophisticated, having access to significantly more resources and time to facilitate their attacks, which in most cases are not financially driven (unlike typical cyber-criminals). For example, such threat actors often utilize a broad range of attack vectors, cyber and/or physical, and constantly evolve their attack tactics. Thus, having up-to-date and detailed information of APT's tactics, techniques, and procedures (TTPs) facilitates the design of effective defense strategies as the focus of this paper. Specifically, we posit the importance of taxonomies in categorizing cyber-attacks. Note, however, that existing information about APT attack campaigns is fragmented across practitioner, government (including intelligence/classified), and academic publications, and existing taxonomies generally have a narrow scope (e.g., to a limited number of APT campaigns). Therefore, in this paper, we leverage the Cyber Kill Chain (CKC) model to "decompose" any complex attack and identify the relevant characteristics of such attacks. We then comprehensively analyze more than 40 APT campaigns disclosed before 2018 to build our taxonomy. Such taxonomy can facilitate incident response and cyber threat hunting by aiding in understanding of the potential attacks to organizations as well as which attacks may surface. In addition, the taxonomy can allow national security and intelligence agencies and businesses to share their analysis of ongoing, sensitive APT campaigns without the need to disclose detailed information about the campaigns. It can also notify future security policies and mitigation strategy formulation.

• 한국멀티미디어학회논문지
• /
• 제20권2호
• /
• pp.279-288
• /
• 2017

Nowadays, nations cyber security capabilities play an important role in a nation's defense. Security-critical infrastructures such as national defenses, public services, and financial services are now exposed to Advanced Persistent Threats (APT) and their resistance to such attacks effects the nations stability. Currently Cyber Threat Intelligence (CTI) is widely used by organizations to mitigate and deter APT for its ability to proactively protect their assets by using evidence-based knowledge. The evidence-based knowledge information can be exchanged among organizations and used by the receiving party to strengthen their cyber security management. This paper will discuss on the business process reengineering of the CTI information exchange management for a nationwide scaled control and governance by the government to better protect their national information security assets.