• 정보보호학회지
• /
• 제31권5호
• /
• pp.13-19
• /
• 2021

사이버 공격이 점점 복잡해지고 빠르게 진화하면서, 기존에 알려졌거나 향후 예견되는 위협에 대한 근거를 바탕으로 한 지식인 사이버 위협 인텔리전스(CTI)를 구축하고 공유하려는 노력이 최근 주목을 받고 있다. 특히, Transport Layer Security(TLS)와 같은 암호화 프로토콜을 활용해 암호화된 인터넷 트래픽이 증가하면서 패킷 페이로드(payload)의 분석이 어려워짐에 따라, 암호화된 네트워크 트래픽을 핑거프린팅(fingerprinting)하고 이 정보를 공유해 위협의 근거로 활용하고자 하는 시도들이 등장하고 있다. 본 논문에서는 최근에 제안된 주요 TLS 핑거프린팅 기법 및 이를 사이버 위협 인텔리전스 구축을 위해 데이터베이스화 하는 사례를 소개한다.

• 정보보호학회지
• /
• 제31권5호
• /
• pp.33-38
• /
• 2021

한국인터넷진흥원 종합분석팀은 사이버 위협 인텔리전스(CTI)를 통해 주요 침해사고를 추적하여 분석하고 이에 대한 대응방안을 마련, 공유하는 역할을 수행하고 있다. 구체적으로는 외부 협력채널 혹은 기존 사고에서 사용된 악성도구의 흔적을 기반으로 악성 인프라를 탐지하고, 이에 대한 공격자의 전략을 상세히 분석, 정리한 보고서를 발간하여 기업의 보안 수준을 제고하려 노력하고 있다. 본고에서는 사이버 위협 인텔리전스 측면에서 변화한 종합분석의 관점 및 역할을 소개하고, 고도화되어가는 침해사고를 대응하기 위한 향후 전략을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2018년도 추계학술대회
• /
• pp.647-650
• /
• 2018

첨단기술들이 실생활에 접목되면서 사이버 영역은 더욱 넓어지고 이를 대상으로 하는 사이버 위협은 크게 늘고 있다. 이러한 사이버 위협을 보다 효과적으로 방어하고 대응하기 위하여 사이버 위협 인텔리전스 공유체계가 필요하다. 사이버 위협정보 표현규격의 정의를 통하여 개별 보안관제 업체 또는 기관 등이 보유하고 있는 사이버 위협 정보의 신속한 공유와 일관된 분석, 그리고 자동화된 해석을 가능하도록 한다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.75-80
• /
• 2019

2018년까지 알려진 표적공격 그룹은 꾸준히 증가하여 현재 155개로 2016년 대비 39개가 증가하였고, 침해사고의 평균 체류시간(dwell-time)은 2016년 172일에서 2018년 204일로 32일이 증가하였다. 점점 다양해지고 심화되고 있는 APT(Advanced Persistent Threat)공격에 대응하기 위하여 국내외 기업들의 사이버 위협 인텔리전스(CTI; Cyber Threat Intelligence) 활용이 증가하고 있는 추세이다. 현재 KISA에서는 글로벌 동향에 발맞춰 CTI를 활용할 수 있는 시스템을 개발 중에 있다. 본 논문에서는 효율적인 CTI 활용을 위한 OSINT(Open Source Intelligence)기반 사이버 위협 정보 수집 및 연관관계 표현 시스템을 소개하고자 한다.

• 한국정보과학회 언어공학연구회:학술대회논문집(한글 및 한국어 정보처리)
• /
• 한국정보과학회언어공학연구회 2018년도 제30회 한글 및 한국어 정보처리 학술대회
• /
• pp.584-586
• /
• 2018

사이버 공격 기법이 다양해지고 지능화됨에 따라 침해사고 발생이 증가하고 있으며, 그에 따른 피해도 확산되고 있다. 이에 따라 보안 기업들은 다양한 침해사고를 파악하고 빠르게 대처하기 위하여 위협정보를 정리한 인텔리전스 리포트를 배포하고 있다. 하지만 인텔리전스 리포트의 형식이 정형화되어 있지 않고 점점 증가하고 있어, 인텔리전스 리포트를 수작업을 통해 분류하기 힘들다는 문제점이 있다. 이와 같은 문제를 해결하기 위해 본 논문에서는 개체명 인식 시스템을 활용하여 비정형 인텔리전스 리포트에서 위협정보를 자동으로 탐지하고 추출할 수 있는 모델을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 추계학술발표대회
• /
• pp.470-472
• /
• 2019

Cyber Threat Intelligence (CTI)는 성장하는 사이버 공격에 대응하는 새로운 보안체계 개념으로써 최근 많은 조직에서 보안성을 향상시키기 위해 도입하고 있다. 조직에서 CTI의 도입은 보안 조직간의 위협 정보와 그에 대응할 수 있는 방어 전략을 공유하여 다양한 선제공격을 방어하기 위해 필수적이다. 이에 따라 CTI 위협 정보를 공유하는 조직이 점차 늘어나고 있으며 정보의 양은 점차 많아지고 있다. 하지만 정보를 공유받는 대부분의 조직이 공격자가 악의적으로 잘못된 위협 정보를 수집한 경우 또 다른 사이버 공격으로 이어질 수 있다. 본 논문에서는 CTI 정보 공유에서 사이버 위협 대응 조치 전략을 조직에 적용하기 전에 가상의 네트워크 아키텍처에서 적용시킨 후 평가 및 검증을 통해 공격을 목적으로 한 악의적인 정보가 적용되지 않도록 사전에 방어한다.

• 정보보호학회논문지
• /
• 제34권4호
• /
• pp.587-596
• /
• 2024

사이버 공격, 위협이 복잡해지고 빠르게 진화하면서, 4차 산업 혁명의 핵심 기술인 인공지능(AI)을 이용하여 사이버 위협 탐지 시스템 구축이 계속해서 주목받고 있다. 특히, 기업 및 정부 조직의 보안 운영 센터(Security Operations Center)에서는 보안 오케스트레이션, 자동화, 대응을 뜻하는 SOAR(Security Orchestration, Automation and Response) 솔루션 구현을 위해 AI를 활용하는 사례가 증가하고 있으며, 이는 향후 예견되는 근거를 바탕으로 한 지식인 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI) 구축 및 공유를 목적으로 한다. 본 논문에서는 네트워크 트래픽, 웹 방화벽(WAF) 로그 데이터를 대상으로 한 사이버 위협 탐지 기술 동향을 소개하고, TF-IDF(Term Frequency-Inverse Document Frequency) 기술과 자동화된 머신러닝(AutoML)을 이용하여 웹 트래픽 로그 공격 유형을 분류하는 방법을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 추계학술발표대회
• /
• pp.420-423
• /
• 2019

최근 국내에서 발생되고 있는 사이버 공격들의 대부분은 기존 보안장비로 탐지가 어려운 지능형 공격으로 2017년 한 해 동안 발생한 사이버 공격의 경제적 피해액은 약 77조원에 달하고 있다. 또한 이러한 공격을 탐지하는데 평균 145일 정도가 소요되고 있으며 국내 기업 중 약 70% 가량은 사이버 공격을 적극적으로 대응하고 있지 않다. 이러한 공격들은 대부분 과거에 발생한 공격의 변형이거나, 특정 공격 집단이 수행하는 유사/변종 공격들이다. 이러한 사이버 공격을 사전에 탐지하거나 이미 발생된 공격의 변형된 공격을 신속하게 탐지하기 위해서 본 논문에서는 기존 사이버 공격에 사용된 다양한 정보들을 능동적으로 수집하여, 이들 간의 연관성을 분석하고, 실시간으로 유입되는 공격 의심정보와 비교분석하는 기술을 제시한다.

• 융합보안논문지
• /
• 제24권3호
• /
• pp.153-163
• /
• 2024

IT 기술이 발전하고 많은 기업들이 보안 솔루션을 채택함에 따라 해킹 위협과 보안 위협이 증가하고 있음에도 불구하고 사이버 공격과 위협은 여전히 수년간 지속되고 있다. APT 공격은 특정 대상을 선택하여 지속적으로 공격하는 기법으로 지능적이고 지속적인 공격을 의미한다. APT 공격의 위협은 수년간 APT를 수행하기 위해 전자 네트워크를 통해 가능한 모든 수단을 사용한다. 제로데이 공격, 악성코드 유포, 사회공학적 기법 등이 수행되며 일부는 직접 기업에 침입하기도 한다. 이러한 기법들은 이미 2000년부터 시행되고 있으며 특히 사회공학적 기법의 경우 보이스피싱에서도 유사하게 사용되고 있다. 따라서 APT 공격에 대한 대응방안 연구가 필요하다. 본 연구는 한국을 대상으로 한국어 기반의 APT 그룹들의 공격사례들을 분석하고 APT 공격그룹을 분석하기 위한 올바른 인텔리전스 사용 방법을 제시한다.

• 한국정보통신학회논문지
• /
• 제27권1호
• /
• pp.87-96
• /
• 2023

보안 취약점 수가 해마다 증가함에 따라 보안 위협이 지속해서 발생하고 있으며 취약점 위험도의 중요성이 대두되고 있다. 본 논문에서는 보안 취약점 위험도 판단을 위해 동향을 반영한 보안 위협 스코어링 산출식을 고안하였다. 세 단계에 따라 공격 유형과 공급업체, 취약점 동향, 최근 공격 방식과 기법 등의 핵심 항목 요소를 고려하였다. 첫째로는 공격 유형, 공급업체와 CVE 데이터의 관련성 확인 결과를 반영한다. 둘째로는 LDA 알고리즘으로 확인된 토픽 그룹과 CVE 데이터 간 유사성 확인을 위해 자카드 유사도 기법을 사용한다. 셋째로는 최신 버전 MITRE ATT&CK 프레임워크의 공격 방법, 기술 항목 동향과 CVE 간의 관련성 확인 결과를 반영한다. 최종 보안 취약점 위협 산출식 CTRS의 활용성 검토를 위해 공신력 높은 취약점 정보 제공 해외 사이트 내 데이터에 제안한 스코어링 방식을 적용하였다. 본 연구에서 제안한 산출식을 통하여 취약점과 관련된 일부 설명만으로도 관련성과 위험도가 높은 취약점을 확인하여 신속하게 관련 정보를 인지하고 대응할 수 있다.