• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.397-404
• /
• 2016

최근 국내에서 불법 유해정보의 양은 꾸준히 증가하고 있으며, 중소기업, 공공기관 등의 게시판에 불법 유해정보 글들이 많이 게시되고 있다. 불법 유해정보를 통해 범죄로 이어질 가능성이 크기 때문에 이를 탐지하는 시스템이 필요하다. 현재 국내의 불법 유해정보 탐지는 인력에 의해 수동적으로 진행되고 있다. 본 논문에서는 공개출처정보(OSINT)를 통해 불법 유해정보 중 마약 판매 게시글의 URL 탐지를 자동화하는 연구를 진행하였다. 이 시스템은 마약 판매 게시글의 단어를 분석하고, 해당 단어로 검색어 사전을 만들었다. 검색어 사전 기반으로 검색되는 마약판매 의심 URL을 구글 검색엔진을 활용하여 자동으로 수집하였다. 수집 URL을 도메인별로 분류하였으며, 도메인을 수집 URL 개수별로 도식화하여 실제 불법 유해정보를 찾아내었다. 이 자동화 탐지 시스템을 활용하면 모니터 요원의 수동적인 탐지업무로 인한 시간과 노력의 소비 문제를 해결할 것으로 기대된다.

• 한국컴퓨터정보학회논문지
• /
• 제25권11호
• /
• pp.123-129
• /
• 2020

최근 사이버범죄는 가상화 기술, 유포지 추적 회피 등 다양한 기술 등의 새로운 기술을 적용하여 추적이 점점 어려워지고 있다. 따라서 전통적인 악성코드 분석방법인 정적분석, 동적 분석 등 방법은 악성코드 유포자를 추적하는 데 한계가 있다. 또한, 사이버 수사 분야에서는 악성코드 자체에 대한 분석보다 악성코드 유포자를 추적하는 것이 더욱 중요하다. 이에 따라, 본 논문에서는 악성코드 유포자를 효율적으로 추적하기 위해 전통적인 분석방법과 OSINT, Intelligence 등 최근의 정보수집 방법을 융합한 차세대 악성코드 정보수집 아키텍처를 제안한다. 본 논문에서 제안하는 아키텍처는 기존의 악성코드 분석체계와 수사관점의 분석체계의 차이점을 기반으로 사이버범죄의 관점에서 필요한 요소기술을 연관시킴으로 인해 사이버 범죄 수사에서 유포자 추적을 위한 핵심적인 접근 방법이 될 수 있다.

• 스마트미디어저널
• /
• 제11권10호
• /
• pp.46-53
• /
• 2022

오늘날 4차 산업 혁명과 대규모 R&D 지원으로 인해 국내 기업은 세계 기술력 수준의 산업기술을 보유하기 시작하였으며 중요한 자산으로 변모하였다. 국가는 기업의 중요한 산업기술을 보호하고자 국가핵심기술로 지정하였으며, 특히 원자력, 조선, 반도체와 같은 기술이 유출될 경우 해당 기업뿐만 아니라 국가 차원에서도 심각한 경쟁력 손실로 이어질 수 있다. 매년 내부자 유출, 랜섬웨어 그룹의 해킹공격, 산업스파이에 산업기술 탈취 시도가 증가하고 있으며, 탈취된 산업기술은 다크웹 환경에서의 은밀하게 거래가 이루어진다. 본 논문에서는 다크웹 환경에서 은밀하게 이루어지는 산업기술 유출을 탐지하는 시스템을 제안한다. 제안된 모델은 먼저 OSINT 환경에서 수집한 정보를 이용하여 다크웹 크롤링을 통한 데이터베이스를 구축한다. 이후 KeyBERT 모델을 이용한 산업기술 유출 키워드를 추출한 후 다크웹 환경에서의 산업기술 유출 징후를 정량적 수치로 제안한다. 마지막으로 식별된 다크웹 환경에서의 산업기술 유출 사이트를 기반으로 PageRank 알고리즘 통한 2차 유출 가능성을 탐지한다. 제안된 모델을 통해 27,317개의 중복 없는 다크웹 사이트를 수집하였으며, 100개의 원자력 특허에서 총 15,028개의 원자력 관련 키워드를 추출하였다. 가장 높은 원자력 유출 다크웹 사이트를 기반으로 2차 유출을 탐지한 결과 12개의 다크웹 사이트를 식별하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권2호
• /
• pp.749-766
• /
• 2021

Cyber powers around the world are conducting cyber information-gathering activities in cyberspace, a global domain within the Internet-based information environment. Accordingly, it is imperative to obtain the latest information through the cyber intelligence preparation of the battlefield (IPB) process to prepare for future cyber operations. Research utilizing the cyber battlefield visualization method for effective cyber IPB and situation awareness aims to minimize uncertainty in the cyber battlefield and enable command control and determination by commanders. This paper designed architecture by classifying cyberspace into a physical, logical network layer and cyber persona layer to visualize the cyber battlefield using BGP archive data, which is comprised of BGP connection information data of routers around the world. To implement the architecture, BGP archive data was analyzed and pre-processed, and cyberspace was implemented in the form of a Di-Graph. Information products that can be obtained through visualization were classified for each layer of the cyberspace, and a visualization method was proposed for performing cyber IPB. Through this, we analyzed actual North Korea's BGP and OSINT data to implement North Korea's cyber battlefield centered on the Internet network in the form of a prototype. In the future, we will implement a prototype architecture based on Elastic Stack.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.267-280
• /
• 2023

최근 컴퓨팅 및 통신 기술의 발달로 인해 IoT 디바이스가 급격히 확산·보급되고 있다. 특히 IoT 디바이스는 가정에서부터 공장에 이르기까지 그 목적에 따라 연산을 수행하거나 주변 환경을 센싱하는 등의 기능을 보유하고 있어 실생활에서의 활용이 폭넓게 증가하고 있다. 하지만, 제한된 수준의 하드웨어 자원을 보유한 IoT 디바이스는 사이버공격에 노출되는 위험도가 높으며, 이로 인해 IoT 봇넷은 악성행위의 경유지로 악용되거나 연결된 네트워크로 감염을 빠르게 확산함으로써 단순한 정보 유출뿐만 아니라 범국가적 위기를 초래할 가능성이 존재한다. 본 논문에서는 폭넓게 활용되고 있는 IoT 네트워크에서 알려지지 않은 보안위협에 선제적으로 대응하기 위해 IoT 봇넷의 네트워크 행위특징을 활용한 선제탐지 방법을 제안한다. IoT 봇넷이 접근하는 다크넷 트래픽을 분석하여 4가지 행위특징을 정의하고 이를 통해 감염의심 IP를 빠르게 선별한다. 분류된 IP는 사이버 위협 인텔리전스(CTI)를 활용하여 알려지지 않은 의심 호스트 여부를 확인한 후, 디바이스 핑거프린팅을 통해 IoT 봇넷에의 소속 여부를 최종 결정한다. 제안된 선제탐지 방법의 유효성 검증을 위해 실제 운용 중인 보안관제 환경의 다크넷 대역에 방법론 적용 및 확인 결과, 선제탐지 한 약 1,000개의 호스트가 실제 악성 IoT 봇넷임을 10개월간 추적관찰로 검증하여 그 유효성을 확인하였다.