• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2011년도 한국컴퓨터종합학술대회논문집 Vol.38 No.1(D)
• /
• pp.109-110
• /
• 2011

악성코드는 루트킷, Anti-VM/디버깅, 실행압축 등 기술사용으로 점차 지능화된 형태로 발전하고 있다. 이에 대응하기 위해, user 및 kernel level에서의 다양한 행위 기반 분석기술이 연구되고 있으나, 이를 회피하는 악성코드가 지속적으로 출현하고 있다. 본 논문에서는 Taint Analysis 기반 악성코드 탐지방안을 제시한다. 본 대응기술은 공격자에 의해 회피하기 어렵고, 의심스러운 데이터 유형별 선별적 분석이 가능하여 행위 기반 대응기술의 한계를 보완할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.747-750
• /
• 2013

정보통신기술의 발달로 인해 기업 및 기관의 주요 정보들이 전자화 되어, E-mail, 메신저, 보조기억장치 및 출력물 등 다양한 매체를 통해 손쉽게 유출될 수 있는 문제점이 발생하게 되었다. 이러한 문제점을 해결하기 위해 기업 및 기관에서는 매체제어, DRM, DLP, 출입보안 등 다양한 내부정보유출 방지 기술을 도입하여 운영하고 있다. 그러나 이는 각각 독립적으로 운영 및 관리되기 때문에 개별 정보유출방지 기술의 취약점을 이용한 공격에 대한 탐지 및 통합적인 내부정보유출 모니터링이 불가능하다. 또한 개별 정보유출방지 기술에서 발생하는 수많은 이벤트로 인해 보안 담당자가 이를 모니터링하여 내부정보유출을 탐지하고 관리하기는 어렵다. 따라서, 본 논문에서는 내부정보유출 사용자 행위를 분석하여 다양한 환경에서 적용 가능한 시나리오 설계방안에 대해 연구하고자 한다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.775-784
• /
• 2019

신규 및 변종 악성코드의 발생으로 모바일, IoT, windows, mac 등 여러 환경에서 악성코드 침해 공격이 지속적으로 증가하고 있으며, 시그니처 기반 탐지의 대응만으로는 악성코드 탐지에 한계가 존재한다. 또한, 난독화, 패킹, Anti-VM 기법의 적용으로 분석 성능이 저하되고 있는 실정이다. 이에 유사성 해시 기반의 패턴 탐지 기술과 패킹에 따른 파일 분류 후의 정적 분석 적용으로 기계학습 기반 악성코드 식별이 가능한 시스템을 제안한다. 이는 기존에 알려진 악성코드의 식별에 강한 패턴 기반 탐지와 신규 및 변종 악성코드 탐지에 유리한 기계학습 기반 식별 기술을 모두 활용하여 보다 효율적인 탐지가 가능하다. 본 연구 결과물은 정보보호 R&D 데이터 챌린지 2018 대회의 AI기반 악성코드 탐지 트랙에서 제공하는 정상파일과 악성코드를 대상으로 95.79% 이상의 탐지정확도를 도출하여 분석 성능을 확인하였다. 향후 지속적인 연구를 통해 패킹된 파일의 특성에 맞는 feature vector와 탐지기법을 추가 적용하여 탐지 성능을 높이는 시스템 구축이 가능할 것으로 기대한다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.411-421
• /
• 2015

최근 빠르게 발전을 이룬 ICT (Information and Communications Technologies) 기술과 IoT (Internet of Things) 기술이 융합되어가고 있다. 그에 따라 ICT 환경에서 발생하였던 보안 위협들이 IoT 환경에서도 이어지고 있다. IoT의 사물로 간주되는 차량에 있어 보안 위협은 재산피해와 인명피해를 가져올 수 있다. 현재 차량 보안에 대한 대비는 미흡하고, 차량 자체에서 스스로 위협을 감지하고 대응하는 것에는 어려움이 존재하는 실정이다. 본 연구에서는 차량에서의 이상징후 탐지를 위한 의사결정 프레임워크를 제안하고, 이를 통해 IoT 관점에서 발생할 수 있는 차량 내 위협 요소들은 어떤 것이 있는지 알아보고자 한다. 차량을 대상으로 하는 공격에 대한 위협 요인과 위협 경로, 공격 형태 등을 인지하는 것은 자가 점검 기술과 디바이스 제어 공격에 대한 신속한 대처에 앞서 차량 보안 이슈를 해결하기 위한 전제가 될 것이다.

• 전기전자학회논문지
• /
• 제26권3호
• /
• pp.380-388
• /
• 2022

전통적인 악성코드 탐지 기술은 알려진 악성코드를 수집하고 특성을 분석한 후, 분석된 정보를 블랙리스트로 생성하고, 이를 기반으로 시스템 내의 프로그램들을 검사하여 악성코드 여부를 판별한다. 그러나 이러한 접근 방법은 알려진 악성코드의 탐지에는 효과적일 수 있으나 알려지지 않았거나 기존 악성코드의 변종에 대해서는 효과적으로 대응하기 어렵다. 또한, 시스템 내의 모든 프로그램을 감시하기 때문에 시스템의 성능을 저하시킬 수 있다. 이러한 문제점들을 해결하기 위하여 악성코드의 주요 행위를 분석하고 대응하기 위한 다양한 방안들이 제안되고 있다. 랜섬웨어는 사용자의 파일에 접근하여 암호화한다. 이러한 동작특성을 이용하여 시스템의 사용자 파일에 접근하는 정상적인 프로그램들을 화이트리스트로 관리하고 파일 접근을 제어하는 방안이 제안되었다. 그러나 화이트리스트에 등록된 정상 프로그램에 DLL(Dynamic-Link Library) 삽입 공격을 수행하여 악성 행위를 수행하게 할 수 있다는 문제점이 지적되었다. 본 논문에서는 화이트리스트 기반 접근통제 기술이 이러한 DLL 삽입 공격에 효과적으로 대응할 수 있는 방안을 제안한다.

• 한국시뮬레이션학회논문지
• /
• 제18권4호
• /
• pp.39-47
• /
• 2009

최근 특정 기업 또는 웹사이트에 대한 분산 서비스 거부 공격(DDoS:Distributed Denial of Service) 위협이 증가함에 따라 많은 기업들이 DDoS 공격 방어를 위한 보안 솔루션을 도입하고 있다. DDoS 공격은 대량의 트래픽을 네트워크에 전송함으로써 자원을 고갈시키고 정상적인 서비스 제공을 불가능하게 한다. DDoS 공격은 사전 탐지가 힘들고 효율적인 방어가 매우 어렵다. 본 연구에서는 이러한 상황을 고려하여 모델링 시뮬레이션을 통한 DDoS 공격에 대한 유연한 대응 방법을 연구하고자 한다. 특히, 서버의 개수를 변경할 경우 나타나는 DDoS 공격에 대한 동적 특성을 분석하고, DDoS 공격으로 인한 피해 규모의 객관적 산정을 위해 DDoS 탐지 시스템 운영 여부에 따른 손실 비용을 산정하는 방법을 제시한다. DDoS 공격 시뮬레이션은 OPNET Modeler를 이용하여 모델링하고, 시뮬레이션 결과를 통해 DDoS 공격으로 인한 서비스 가능 시간을 도출하여 네트워크 구조에 따른 서비스 가능여부를 확인 할 수 있다. 본 논문에서 수행하는 DDoS 공격 시뮬레이션은 현재의 네트워크 구성을 평가하고 신규 장비의 설치 또는 네트워크 구조 변경 시 발생 가능한 문제점을 예측하는 데에 활용가능하다.

• 한국전자통신학회논문지
• /
• 제8권6호
• /
• pp.863-871
• /
• 2013

최근 정보통신 기술의 발전으로 국가 주요 핵심 기반시설(Critical National Infrastructure)의 제어시스템에 대한 개방형 프로토콜 적용 및 외부 시스템과의 연계 등이 점차 증가되고 있다. 이러한 추세는 국가 핵심 기반시설이 사이버 침해 및 공격에 따른 위협에 노출됨은 물론 사이버 테러 및 해킹, 바이러스 등에 의해 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있음을 의미한다. 본 논문에서는 최근 IT분야의 화두로 떠오르고 있는 가상화(Virtualization)기술을 적용하여 기존 허니넷 시스템의 장점을 유지하면서 허니넷 시스템의 자원문제, 구축 및 운영관리 문제를 줄일 수 있는 가상 허니넷 모델을 제시하였다. 또한 공격의도 확인기반의 데이터 분석 및 수집기법, 포커스 지향(Focus-Oriented) 분석기법을 제시하여 운영비용을 최소화할 수 있는 가상 허니넷 모델을 제안하였다. 제안된 모델을 기반으로 서비스 공격의도 확인 기반의 호스트 및 데이터 수집 기법, 네트워크 공격패턴 시각화 기법 등을 적용한 가상 허니넷 기반의 신종공격 탐지시스템인 Cybertrap을 설계하고 구현하였다. 또한, 제안된 시스템의 시험을 위한 테스트베드를 구축하였고, 일련의 실험을 통해 시스템의 기능 및 성능을 평가하였다.

• 인터넷정보학회논문지
• /
• 제15권6호
• /
• pp.47-54
• /
• 2014

여러 가지 역공학 방지기술들 중 하나인 안티 디버깅 기술은 특정 프로그램을 대상으로 공격자나 분석가가 디버거를 사용하여 분석을 하지 못하도록 하기 위한 기술로써, 예전부터 악성코드 및 분석을 방지하고자 하는 여러 가지 프로그램들에 적용이 되었으며 현재까지도 많이 사용이 되고 있는 기술이다. 본 논문에서는 이러한 안티 디버깅 루틴에 대한 자동화 탐지 방법을 제안한다. 탐지는, 디버거 및 시뮬레이터를 통해 실행 명령어 및 API(Application Program Interface)에 대한 트레이스 정보들을 추출하고, 추출된 정보들을 비교하여 안티 디버깅 루틴으로 의심이 가는 지점을 찾는 방식으로 진행된다. 실험 결과, 알려진 25가지의 안티 디버깅 기법들 중 21가지에 대하여 정상적으로 탐지가 이루어졌다. 이와 같이, 본 기법은 특정 안티 디버깅 기술에 의존적이지 않으며, 추후 개발 및 발견되는 안티 디버깅 기술들에 대한 탐지의 경우에도 적용이 가능할 것으로 예상된다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.81-88
• /
• 2019

IoT 기술을 이용한 다양한 제품과 서비스의 출시로 국내·외 IoT 산업의 급성장 및 초연결사회로의 진입이 가속화되고 있는 가운데, 보안에 취약한 IoT 기기를 공격 목표 및 도구로 악용하여 다양한 침해사고가 발생되고 있다. 이와 같은 상황은 IoT 기기 보급 활성화와 더불어 더욱 증가할 것으로 전망되고 있으며, 피해의 범위 및 정도에 있어서 막대한 사회적·경제적 손실을 유발하게 될 것으로 우려되고 있다. IoT 기기를 대상으로 하는 침해사고는 주로 디폴트 계정이나 추측하기 쉬운 패스워드를 사용하는 등 관리적 미흡 혹은 기기 자체의 취약점을 악용하여 발생하는 공격으로 인하여 발생되고 있다. 이에 정부 및 산업체에서는 IoT 기기의 보안 내재화, 기기 소유자의 보안인식 제고 등 IoT 기기의 보안성 강화를 위한 다양한 활동을 진행하고 있다. 하지만 IoT 기기 및 사용 환경의 특징 상 모든 IoT 기기를 안전하게 배포하여 관리하는 데에는 한계가 존재하기 때문에, 침해사고 예방 및 대응의 관점에서 공격에 노출되기 쉬운 취약한 기기를 파악하여 사전에 조치하는 노력이 필요하다. 이와 관련하여 본 논문에서는 IoT 기기 취약점을 악용하여 발생하는 공격 대응을 위해, 다양한 채널을 통해 IoT 기기 취약점 및 익스플로잇 정보를 수집하여 IoT 기기 취약점 악용 공격의 유형을 분석하고 대응의 일례를 제시함으로써 IoT 위협 탐지 및 대응 전략 수립을 위한 기초정보를 제공하고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제10권1호
• /
• pp.27-34
• /
• 2005

현재의 침입차단, 침입탐지 등의 보안강화시스템은 공격자에 대하여 해당 트래픽만을 차단하는 수동적인 방어 시스템으로 실제 공격자에 대한 능동적인 대응이 부족하여 재공격 및 우회공격에 취약하다. 또한, 현재의 역추적 기술은 수작업을 통한 로그정보 수집 및 추적으로 인해 많은 시간과 인력이 필요하여 능동적 대응이 불가능하다. 본 논문에서는 현재의 인터넷 환경에 적용 가능하며 재공격 및 우회공격에 대응하기 위하여 IP헤더에 마크를 삽입하여 추적하는 TCP 연결 역추적 기법을 제안한다. 제안된 기법은 기존네트워크 구성요소의 수정이 불필요하고, 응답패킷에 XOR 연산 기법을 적용하여 마킹되는 정보의 양과 자원의 오버헤드를 줄일 수 있다.