• 융합보안논문지
• /
• 제15권6_2호
• /
• pp.3-10
• /
• 2015

최근 발생한 대규모 정보유출사고나 주요 보안사고 사례를 살펴보면, 내부자에 의한 보안위협이 급증하고 있음을 알 수 있다. 특히 권한 있는 내부자에 의해 발생한 보안사고는 외부에서의 침입행위보다 훨씬 치명적인 결과를 초래하고 있어, 내부자 위협을 실시간으로 모니터링하면서 정보유출이나 보안사고를 조기에 차단할 수 있는 체계 도입의 필요성이 증가하고 있다. 이에 본 논문에서는 내부자위협통합관리체계(EITMS : Enterprise Insider-Threats Management System)를 제안한다. EITMS는 직무와 역할 및 개인 활동에 근거한 정상패턴을 추출하여 특정한 권한을 가진 내부자에 의해 발생 가능한 위협을 실시간으로 탐지하고 관리한다. 또한, 위협행위를 가시화하여 관리함으로써 조기에 정보유출과 보안사고를 차단하기 위한 스코어링 시스템도 포함한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권10호
• /
• pp.5062-5079
• /
• 2017

Malicious insider threats have increased recently, and methods of the threats are diversifying every day. These insider threats are becoming a significant problem in corporations and governments today. From a technology standpoint, detecting potential insider threats is difficult in early stage because it is unpredictable. In order to prevent insider threats in early stage, it is necessary to collect all of insiders' data which flow in network systems, and then analyze whether the data are potential threat or not. However, analyzing all of data makes us spend too much time and cost. In addition, we need a large repository in order to collect and manage these data. To resolve this problem, we develop an indicator-based behavior ontology (IB2O) that allows us to understand and interpret insiders' data packets, and then to detect potential threats in early stage in network systems including social networks and company networks. To show feasibility of the behavior ontology, we developed a prototype platform called Insider Threat Detecting Extractor (ITDE) for detecting potential insider threats in early stage based on the behavior ontology. Finally, we showed how the behavior ontology would help detect potential inside threats in network system. We expect that the behavior ontology will be able to contribute to detecting malicious insider threats in early stage.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.267-277
• /
• 2022

최근 클라우드 및 원격 근무 환경의 비중이 증가함에 따라 다양한 정보보안 사고들이 발생하고 있다. 조직의 내부자가 원격 접속으로 기밀 자료에 접근하여 유출을 시도하는 사례가 발생하는 등 내부자 위협이 주요 이슈로 떠오르게 되었다. 이에 따라 내부자 위협을 탐지하기 위해 기계학습 기반의 방법들이 제안되고 있다. 하지만, 기존의 내부자 위협을 탐지하는 기계학습 기반의 방법들은 편향 및 분산 문제와 같이 예측 정확도와 관련된 중요한 요소를 고려하지 않았으며 이에 따라 제한된 성능을 보인다는 한계가 있다. 본 논문에서는 편향 및 분산을 고려하는 부스팅 유형의 앙상블 학습 알고리즘들을 사용하여 악의적인 내부자 탐지 성능을 확인하고 이에 대한 면밀한 분석을 수행하며, 데이터셋의 불균형까지도 고려하여 최종 결과를 판단한다. 앙상블 학습을 이용한 실험을 통해 기존의 단일 학습 모델에 기반한 방법에서 나아가, 편향-분산 트레이드오프를 함께 고려하며 유사하거나 보다 높은 정확도를 달성함을 보인다. 실험 결과에 따르면 배깅과 부스팅 방법을 사용한 앙상블 학습은 98% 이상의 정확도를 보였고, 이는 사용된 단일 학습 모델의 평균 정확도와 비교하면 악의적인 내부자 탐지 성능을 5.62% 향상시킨다.

• 융합보안논문지
• /
• 제24권2호
• /
• pp.9-17
• /
• 2024

본 논문은 기업 내 생성형 AI(Generative Artificial Intelligence) 시스템의 보안 위협과 대응 방안을 제시한다. AI 시스템이 방대한 데이터를 다루면서 기업의 핵심 경쟁력을 확보하는 한편, AI 시스템을 표적으로 하는 보안 위협에 대비해야 한다. AI 보안 위협은 기존 사람을 타겟으로 하는 사이버 보안 위협과 차별화된 특징을 가지므로, AI에 특화된 대응 체계 구축이 시급하다. 본 연구는 AI 시스템 보안의 중요성과 주요 위협 요인을 분석하고, 기술적/관리적 대응 방안을 제시한다. 먼저 AI 시스템이 구동되는 IT 인프라 보안을 강화하고, AI 모델 자체의 견고성을 높이기 위해 적대적 학습 (adversarial learning), 모델 경량화(model quantization) 등 방어 기술을 활용할 것을 제안한다. 아울러 내부자 위협을 감지하기 위해, AI 질의응답 과정에서 발생하는 이상 징후를 탐지할 수 있는 AI 보안 체계 설계 방안을 제시한다. 또한 사이버 킬 체인 개념을 도입하여 AI 모델 유출을 방지하기 위한 변경 통제와 감사 체계 확립을 강조한다. AI 기술이 빠르게 발전하는 만큼 AI 모델 및 데이터 보안, 내부 위협 탐지, 전문 인력 육성 등에 역량을 집중함으로써 기업은 안전하고 신뢰할 수 있는 AI 활용을 통해 디지털 경쟁력을 제고할 수 있을 것이다.

• 시큐리티연구
• /
• 제53호
• /
• pp.283-303
• /
• 2017

군 조직의 보안수준 변화요인을 확인하기 위해 시작된 본 연구는 현역 간부들이 군의 보안수준 향상을 바라며 국방일보에 투고한 기고문으로부터 수집된 데이터를 근거이론(Grounded Theory)이라는 질적연구 방법에 의해 분석 후 조직구성원들이 내부자 보안위협에 대해 어떻게 대응하는지에 관한 인과적 관계를 도출하였다. 분석 결과, 인과적 조건은 '내부자의 보안위협', 맥락적 조건은 '군 조직의 특수성', 중심현상은 '군인으로서 가치관의 충돌', 중재적 조건은 '보안의식', 전략은 '보안위협에 대응', 결과는 '보안수준 변화'로 나타났다. 핵심범주는 '내부자 보안위협에 대한 가치관의 충돌 정도'로 제시할 수 있으며, 두 가지의 가설이 도출되었다. 첫째, 군 조직의 구성원은 안보를 중시하는 성향이 강할수록 보안위협에 대한 가치관의 충돌을 강하게 느끼며 이에 강경하게 대응하여 조직의 보안수준을 발전시키는데 일조하고 있었다. 둘째, 동료를 중시하는 성향이 강할수록 보안위협에 대한 가치관의 충돌 정도가 약하며 이에 미온적으로 대응하여 조직의 보안수준을 퇴보시키고 있었다. 최종적으로 조직의 보안수준 향상을 위해서는 조직구성원들의 확고한 안보의식 확립을 위한 방안과 더불어 이를 뒷받침할 수 있는 제도적 발전이 필요함을 나타낸다.

• Journal of information and communication convergence engineering
• /
• 제18권1호
• /
• pp.16-21
• /
• 2020

Owing to the convergence of the communication network with the control system and public network, security threats, such as information leakage and falsification, have become possible through various routes. If we examine closely at the security type of the current control system, the operation of the security system focuses on the threats made from outside to inside, so the study on the detection system of the security threats conducted by insiders is inadequate. Thus, this study, based on "Spotting the Adversary with Windows Event Log Monitoring," published by the National Security Agency, found that event logs can be utilized for the detection and maneuver of threats conducted by insiders, by analyzing the validity of detecting insider threats to the control system with the list of important event logs.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.45-51
• /
• 2018

데이터의 활용도와 중요성이 점차 높아짐에 따라 데이터와 관련된 사고와 피해는 점점 증가 하고 있으며, 특히 내부자에 의한 사고는 그 위험성이 더 높다. 이런 내부자의 공격은 전통적인 보안 시스템으로 방어하기 힘들어, 규칙 기반의 이상 행동 탐지 방법이 널리 활용되어오고 있다. 하지만, 새로운 공격 방식 및 새로운 환경과 같이 변화에 유연하게 적응하지 못하는 문제점을 가지고 있다. 본 논문에서는 이에 대한 해결책으로서 통계적 마르코프 모델 기반의 적응형 이상 이동 탐지 프레임워크를 제안하고자 한다. 이 프레임워크는 사람의 이동에 초점을 맞추어 내부자에 의한 위험을 사전에 탐지한다. 이동에 직접적으로 영향을 주는 환경 요소와 지속적인 통계 학습을 통해 변화하는 환경에 적응함으로써 오탐지와 미탐지를 최소화하도록 설계되었다. 프레임워크를 활용한 실험에서는 0.92의 높은 F2-점수를 얻을 수 있었으며, 나아가 정상으로 보여지지만, 의심해볼 이동까지 발견할 수 있었다. 통계 학습과 환경 요소를 바탕으로 행동과 관련된 데이터와 모델링 알고리즘을 다양화 시켜 적용한다면 보다 더 범위 넓은 비정상 행위에 대해 탐지할 수 있는 확장성을 제공한다.

• 한국전자통신학회논문지
• /
• 제3권4호
• /
• pp.210-220
• /
• 2008

본 연구는 최근의 내부 보안위협 추세를 고려하여 인원보안 관리 수준을 효과적으로 측정할 수 있는 인원보안 관리 지표를 개발하는 목적으로 수행되었으며 이론적인 고찰과 기존의 보안관리 체계와 연구 자료를 분석하여 문제점을 도출하고 개선방향을 설정하였다. 연구할 관리항목 지표는 보안 전문가들의 예비 조사를 거쳐 연구 관리지표를 선정하고, 타당성 검증을 위하여 설문조사를 실시하였다. 도출된 관리항목 지표는 인원 보증(Personnel Assurance), 개인 역량(Personnel Competence), 보안 환경(Security Environment)으로 분류하였으며, 지표별 타당성, 중요성, 보안위험 수준에 대한 설문 조사결과를 분석하였다. 조사 결과, 대부분의 관리 지표들이 바람직한 것으로 나타났다. 향후 관련 항목 간의 요인분석 등을 통하여 보다 발전된 인원 보안 관리의 계량화 연구가 필요하다.

• 융합보안논문지
• /
• 제18권3호
• /
• pp.77-85
• /
• 2018

제어시스템은 공공 네트워크와의 통신망 융합에 따라 다양한 루트를 통해 정보유출 및 변조 등의 위협이 제어시스템에서도 그대로 나타날 수 있다. 최근 다양한 보안에 대한 이슈와 새로운 공격기법에 의한 침해 사례가 다변화됨에 따라서, 단순히 차단 및 확인 등의 학습을 통해 정보를 데이터베이스화하는 보안 시스템으로는 새로운 형태의 위협에는 대처하기 힘들어지고 있다. 현재 제어시스템에서는 이처럼 외부에서 내부로의 위협에 치중하여 보안 시스템을 운용하고 있으며, 보안 접근 권한을 가진 내부자에 의한 보안위협 탐지에 대해서는 미비한 실정이다. 이에 따라 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 토대로 중요도 분석을 실시하였다. 그 결과 제어시스템에 내부자 위협탐지를 위한 Event Log의 중요도 여부를 알 수 있었으며, 분석결과를 바탕으로 이 분야의 연구에 기여할 수 있을 것으로 판단된다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1133-1151
• /
• 2019

정보보호 분야 중 내부자 위협은 미국 카네기멜런대학 부설 연구소를 중심으로 연구가 꾸준히 이어오고 있을 정도로 중요도가 높다. 이에 반해 우리는 별도 연구기관이 없는 실정이며, 특히 국가 생존과 직결되는 국방 IT 환경에 대한 내부자 위협 연구가 보다 깊이 있게 진행되고 있지 않은 것이 현실이다. 그뿐만 아니라 군의 특수성으로 인해 국방 IT 보안은 학문으로서의 연구가 제한되며, 따라서 개념에 대한 정립조차도 제대로 이루어지지 못하고 있다. 뿐만아니라 환경의 차이로 인해 미국의 기준을 그대로 빌릴 수 없기 때문에, 본 논문에서는 국방 IT 환경을 분석한 뒤 한국군 환경에 적합한 내부자(위협)를 정의하고, 내부자 위협 종류 및 완화방안에 대해 제안해 보고자 한다.