• 융합정보논문지
• /
• 제8권6호
• /
• pp.209-215
• /
• 2018

본 논문은 동적 샌드박스 도구를 이용하여 최근 급증하고 있는 멜트다운(Meltdown) 악성코드를 사전에 검출 및 차단하는 방법을 제시하였다. 멜트다운 공격 취약점에 대한 패치가 일부 제공되고 있으나 여전히 해당 시스템의 성능 저하 등의 이유로 의도적으로 패치를 적용하지 않는 경우가 많다. 이와 같이 적극적인 패치가 적용되지 않은 인프라를 위해 머신러닝 기법을 이용하여 기존의 시그니처 탐지 방식의 한계를 극복하는 방법을 제시하였다. 우선 멜트다운의 원리를 이해하기 위해 가상 메모리, 메모리 권한 체크, 파이프 라이닝과 추측 실행, CPU 캐시 등 4가지의 운영체제 구동 방식을 분석하고 이를 토대로 멜트다운 악성코드에 리눅스 strace 도구를 활용하여 데이터를 추출하는 메커니즘을 제공하였으며 이를 기반으로 의사 결정 트리 기법을 적용하여 멜트다운 악성코드를 판별하는 메커니즘을 구현하였다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.5-16
• /
• 2019

현대의 최첨단 전투기들은 독립적인 내장형 시스템으로 운용되고 있다. 이러한 내장형 시스템은 초기 높은 수준의 정보보증 기준이 충족되어 도입되고 운용된다. 그러나 지속적인 작전운용 중에는 개별적인 전투기 플랫폼에 대한 사이버위협이 적극적으로 관리가 되지 않아 심각한 위험에 노출될 가능성이 있다. 이에 본 논문에서는 전투기 내장형 시스템에 대한 사이버위협 요소를 분석하여 임무계획 및 정비 관련 데이터 처리과정에서 공격 가능한 취약점을 식별하였다. 또한, 이러한 취약점을 이용하여 항공데이터를 변조하는 사이버공격의 방법과 형태를 정의하고 대응을 위한 탐지모듈을 제안하였다. 제안된 탐지모듈은 전투기 항공데이터 처리과정에서 악성코드 유입 등 데이터 변조공격에 대한 탐지 및 대응이 가능할 것으로 기대되며 이를 통해 첨단 고가치 항공자산인 전투기를 대상으로 하는 잠재적 사이버 위협에 선제적으로 대응할 수 있을 것이다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.785-794
• /
• 2019

최근 4차 산업 혁명 기술 중 하나인 딥러닝(Deep Learning) 기술은 보안 분야에서는 탐지하기 어려운 네트워크 데이터의 숨겨진 의미를 식별하고 공격을 예측하는 데 사용되고 있다. 침입탐지에 사용될 딥러닝 알고리즘을 선택하기 전에 데이터의 속성과 품질 분석이 필요하다. 학습에 사용되는 데이터의 오염여부에 따라 탐지 방법에 영향을 주기 때문이다. 따라서 데이터의 특징을 파악하고 특성을 선정해야 한다. 본 논문에서는 네트워크 데이터 셋을 이용하여 악성코드의 단계적 특징을 분석하고 특성을 추출하여 딥러닝 모델을 적용하였을 때 각 특성이 성능에 미치는 영향을 분석하였다. 네트워크 특징에 따른 특성들의 비교에 대한 트래픽 분류 실험을 진행하였으며 선정한 특성을 기반으로 96.52% 정확도를 분류하였다.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.11-17
• /
• 2019

최근 인터넷 기술을 악용하는 행위로 인하여 경제적, 정신적 피해가 증가하고 있다. 특히, 신규로 제작되거나 변형된 악성코드는 기존의 정보보호 체계를 우회하여 사이버 보안 위협의 기본 수단으로 활용되고 있다. 이를 억제하기 위한 다양한 연구가 진행되었지만, 실제 악성코드의 많은 비중을 차지하는 소규모 실행 파일에 대한 연구는 미진한 편이다. 본 연구에서는 기존에 알려진 소규모 실행 파일의 특징을 데이터마이닝 기법으로 분석하여 알려지지 않은 악성코드 탐지에 활용할 수 있는 모델을 제안한다. 데이터 마이닝 분석 기법에는 나이브베이지안, SVM, 의사결정나무, 랜덤포레스트, 인공신경망 등 다양하게 수행하였으며, 바이러스토탈의 악성코드 검출 수준에 따라서 개별적으로 정확도를 비교하였다. 결과적으로 분석 파일 34,646개에 대하여 80% 이상의 분류 정확도를 검증하였다.

• 인터넷정보학회논문지
• /
• 제20권2호
• /
• pp.61-68
• /
• 2019

대부분의 인터넷 서비스를 손쉽게 이용할 수 있다는 장점으로 인해 스마트폰 사용자가 지속적으로 증가하고 있으나, 위조앱이 급증하고 있어 스마트폰 내부에 저장된 개인정보가 외부로 유출되는 문제점이 발생하고 있다. Android 앱은 자바 언어로 개발되었기 때문에 디컴파일 과정을 수행한 후 리패키징 취약점을 역이용할 경우 손쉽게 위조앱을 만들 수 있다. 물론 이를 방지하기 위해 난독화 기술을 적용할 수 있으나 대부분의 모바일 앱에는 미적용 상태로 배포되고 있으며, 안드로이드 모바일 앱에 대한 리패키징 공격을 근본적으로 차단하는 것은 불가능하다. 또한 스마트폰 내에 앱을 설치하는 과정에서 위조 여부를 자체 검증하는 기능을 제공하지 않아 스마트폰내 저장된 개인정보가 외부로 유출되고 있다. 따라서 이를 해결하기 위해 Hyperledger Fabric 블록 체인 프레임 워크를 사용하여 정상앱 등록 과정을 구현하고 이를 기반으로 효율적으로 위조앱을 식별 및 탐지할 수 있는 메커니즘을 제시하였다.

• 융합정보논문지
• /
• 제9권10호
• /
• pp.9-15
• /
• 2019

최근 차세대 전자상거래 및 금융 분야에서는 비트코인, 이더리움 등의 블록체인 기반 기술에 관심이 크다. 블록체인 기술의 보안성은 안전하다고 알려졌지만, 가상화폐 관련 해킹 사건/사고들이 이슈화되고 있다. 가상화폐 지갑에 대한 로그인 세션 탈취, 악성코드 감염으로 인한 개인키 노출, 단순한 암호 사용 등 외부환경의 취약성이 주요 원인이었다. 그러나 개인키 관리는 전용 애플리케이션 활용 또는 로컬 백업, 문서 프린트를 통한 물리적 보관 등 일반적인 방법을 권장하고 있다. 본 연구에서는 화이트박스 암호 기반 개인키 보호 기법을 제안한다. 안전성 및 성능분석 결과 개인키 노출 취약점에 대한 안전성을 강화하고, 암호화키를 알고리즘에 내장하여 기존 프로토콜의 처리 효율성을 증명하였다.

• 정보보호학회논문지
• /
• 제18권6A호
• /
• pp.129-137
• /
• 2008

인터넷의 활용도가 높아짐에 따라, 스팸메일이 전체 메일에서 차지하는 비중이 점점 커지게 되었다. 전체 인터넷 자원에서 필요에 의해 사용되는 메일의 기능보다, 주로 광고나 악성코드 등의 전파를 위한 목적으로 사용되는 메일의 비중이 점점 커지고 있으며, 이를 방지하기 위한 컴퓨터 및 네트워크, 인적자원의 소모가 매우 심각해지고 있다. 이를 해결하기 위해 스팸 메일 필터링에 대한 연구가 활발히 진행되어 왔으며, 현재는 문맥상의 의미는 없지만 가독상에서 의미를 해석할 수 있는 문장에 대한 연구가 활발히 이루어지고 있다. 이러한 방식의 메일은 기존의 어휘를 분석하거나 문서 분류 기법 등을 이용한 스팸 메일을 필터링 방법을 통해 분류하기 어렵다. 본 연구는 이와 같은 어려움을 해결하기 위해 메일의 제목에 대한 N-GRAM 색인화를 통해 베이지안 및 SVM 을 이용하여 스팸 메일을 필터링 하는 방법을 제안한다.

• 정보보호학회논문지
• /
• 제19권1호
• /
• pp.93-101
• /
• 2009

본 논문은 해커가 정보절취 등을 목적으로 전자우편에 악성코드를 삽입 유포하는 공격 대응방안에 관한 연구로, 악성코드가 삽입된 전자우편은 정보유출 시(時) 트래픽을 암호화(Encoding)하는데 이를 복호화(Decoding) 하는 '분석모델'을 구현 및 제안한다. 또한 보안관제측면(네트워크)에서 해킹메일 감염시(時) 감염PC를 신속하게 탐지할 수 있는 '탐지기술 제작 방법론'을 연구하여 탐지규칙을 제작, 시뮬레이션 한 결과 효율적인 탐지성과를 보였다. 악성코드 첨부형 전자우편에 대한 대응책으로 공공기관이나 기업의 정보보안 담당자 PC사용자가 각자의 전산망 환경에 맞게 적용 가능한 보안정책을 제안함으로써 해킹메일 피해를 최소화하는데 도움이 되고자 한다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.179-188
• /
• 2012

악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 최근에는 이러한 실행 압축된 악성코드에 대응하기 위하여 실행 압축 해제 관련 연구가 진행되고 있다. 실행 압축 프로그램은 실행되면 실행 압축을 해제하게 된다. 실행 압축 해제 때 압축되어 있던 데이터가 해제 되면서 실행 압축 파일의 데이터가 변경되거나 추가되어 데이터의 변화가 생기게 된다. 이때 이러한 변화 때문에 실행 압축 파일의 엔트로피 값이 변화하게 된다. 실행 압축 해제가 끝나게 되면 이러한 데이터 변화가 끝나고 실제적인 프로그램이 수행되므로 엔트로피 값이 변화하지 않게 된다. 그러므로 이러한 성질을 이용하여 실행 압축 해제되는 시점을 찾게 되면 실행 압축 알고리즘에 상관없이 실행 압축을 해제 할 수 있게 된다. 본 논문에서는 실행 압축 파일의 압축 해제 때의 엔트로피 값 변화량을 보고 실행 압축 해제가 끝나는 시점을 판단하여 실행 압축을 해제하는 방법을 제안한다.