• 정보보호학회논문지
• /
• 제32권3호
• /
• pp.527-545
• /
• 2022

본 연구에서는 조직화된 공격 주체가 수행하는 APT 공격을 효과적으로 탐지하기 위하여, 공격체인을 구성하여 공격을 탐지하는 시스템을 구축하였다. 공격체인 기반 APT 공격 탐지 시스템은 다양한 호스트 및 네트워크 모니터링 도구에서 생성하는 이벤트를 수집하고 저장하는 '이벤트 수집 및 저장부', 이벤트로부터 MITRE ATT&CK^®에 정의된 공격기술 수준의 단위공격을 탐지하는 '단위공격 탐지부', 단위공격으로 생성된 이벤트로부터 Provenance Graph 기반의 인과관계 분석을 수행하여 공격체인을 구성하는 '공격체인 구성부'로 구성하였다. 시스템을 검증하기 위하여 테스트베드를 구축하고 MITRE ATT&CK Evaluation 프로그램에서 제공하는 모의공격 시나리오를 수행하였다. 실험 결과 모의공격 시나리오에 대해 공격체인이 효과적으로 구성되는 것을 확인하였다. 본 연구에서 구현한 시스템을 이용하면, 공격을 단편적인 부분으로 이해하기보다 공격의 진행 흐름 관점에서 이해하고 대응할 수 있을 것이다.

• 한국군사과학기술학회지
• /
• 제22권6호
• /
• pp.797-805
• /
• 2019

Threats targeting cyberspace are becoming more intelligent and increasing day by day. To cope with such cyber threats, it is essential to improve the coping ability of system security officers. In this paper, we propose a simulated threat generator that automatically generates cyber threats for cyber defense training. The proposed Simulated Threat Generator is designed with MITRE ATT & CK(Adversarial Tactics, Techniques and Common Knowledge) framework to easily add an evolving cyber threat and select the next threat based on the threat execution result.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.53-60
• /
• 2024

안전한 네트워크를 위해 보안 평가는 필수불가결한 과정으로, 위험을 관리하기 위해서는 적절한 성능지표가 있어야 한다. 가장 널리 사용하고 있는 정량적 지표로는 CVSS가 있다. CVSS는 주관성과 해석의 복잡성, 보안 위험의 관점에서 맥락을 고려하지 못한다는 문제가 있다. 이러한 문제를 보완하기 위해 ISO/IEC 15408 문서의 보안 개념 및 관계도를 바탕으로 공격자, 위협, 대응, 자산의 4가지를 항목화하고 수치화 하는 지표를 제안한다. 네트워크 스캐닝을 통해 발견된 취약점은 약점, 공격패턴의 연결관계에 의해 MITRE ATT&CK의 기술과 매핑시킬 수 있다. 우리는 MITRE ATT&CK 의 Groups, Tactic, Mitigations을 이용하여 일관성을 가지며 직관적인 점수를 산출한다. 이에 따라 보안 평가 관리자가 다양한 관점의 보안지표 중 선택할 수 있는 폭을 넓히고, 사이버 네트워크의 보안을 강화하는데 긍정적인 영향을 기대한다.

• 융합보안논문지
• /
• 제21권3호
• /
• pp.13-23
• /
• 2021

공격자의 무기가 점차 지능화 및 고도화되고 있어 기존 백신만으로는 보안 사고를 막을 수 없으므로 endpoint까지 보안 위협이 검토되고 있다. 최근 endpoint를 보호하기 위한 EDR 보안 솔루션이 등장했지만, 가시성에 중점을 두고 있으며, 이에 대한 탐지 및 대응 기술은 부족하다. 본 논문에서는 보안 관리자 관점에서 효과적인 분석과 분석 대상을 선별하기 위해 실 환경 EDR 이벤트 로그를 사용하여 지식 기반 MITRE ATT&CK 및 AutoEncoder 기반 Anomaly Detection 기술을 종합적으로 사용하여 이상 공격징후를 탐지한다. 이후, 탐지된 이상 공격징후는 보안 관리자에게 로그정보와 함께 alarm을 보여주며, 레거시 시스템과의 연계가 가능하다. 실험은 5일에 대한 EDR 이벤트 로그를 하루 단위로 탐지했으며, Hybrid Analysis 검색을 통해 이를 검증한다. 따라서, EDR 이벤트 로그 기반 언제, 어떤 IP에서, 어떤 프로세스가 얼마나 의심스러운지에 대한 결과를 산출하며, 산출된 의심 IP/Process에 대한 조치를 통해 안전한 endpoint 환경을 조성할 것으로 기대한다.

• 융합보안논문지
• /
• 제20권4호
• /
• pp.135-141
• /
• 2020

국방부는 주기적인 사이버방호 훈련을 실시함에 따라 사이버작전의 전력과 역량을 보강하고 있다. 하지만 적 사이버공격 능력 수준을 고려할 때 군의 사이버방호 능력 수준은 현저히 낮으며 군용 네트워크망에 대한 사이버위협을 대응할 수 있는 보호대책과 대응체계가 명확하게 설계되어 있지 않아 민·관의 사이버보안 능력 수준에도 못 미치고 있는 실태이다. 따라서 본 논문에서는 국내·외 사이버보안 프레임워크를 참조하여 국방 네트워크망 취약점 완화 체계를 구축할 수 있는 요소로 군 특수성을 지닌 군 내부망 주요 위협 정보 및 국방정보시스템 보안 요구사항을 파악하고, 공격자의 의도파악과 전술, 기법 및 절차 정보(ATT&CK)를 적용하여 국방 네트워크 환경에 대한 사이버공격을 효율적으로 보호 해주는 군 내부망 취약점 완화 체계 구축 방안을 제안한다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.15-26
• /
• 2022

사이버 공격을 수행하는 주체와 그 목적이 점차 다양화되고 고도화되고 있다. 과거 사이버 공격은 개인 혹은 집단의 자신감 표출을 위해 수행되었지만, 최근에는 국가 단위의 후원을 받은 정치적, 경제적 목적의 공격도 활발히 이루어지고 있다. 이에 대응하고자 시그니처 기반의 악성코드 패밀리 분류, 공격 주체 분류 등이 이루어졌지만 공격 주체가 의도적으로 방어자를 속일 수 있다는 단점이 있다. 또한 공격의 주체, 방법, 목적과 목표가 다양해짐에 따라, 공격의 모든 과정을 분석하는 것은 비효율적이다. 따라서 방어자 관점에서 사이버 공격의 최종 목표를 식별해 유연하게 대응할 필요가 있다. 사이버 공격의 근본적인 목표는 대상의 정보보안을 훼손하는 것이다. 정보보안은 정보자산의 기밀성, 무결성, 가용성을 보존함으로써 달성된다. 이에 본 논문에서는 MITRE ATT&CK® 매트릭스에 기반하여 공격자의 목표를 정보보안의 3요소 관점에서 재정의하고, 이를 머신러닝 모델과 딥러닝 모델을 통해 예측하였다. 실험 결과 최대 80%의 정확도로 예측하는 것을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제32권4호
• /
• pp.673-689
• /
• 2022

본 연구에서는 APT 공격을 탐지하고 대응하기 위한 과정의 하나로 APT 공격을 스코어링하는 방안을 제안한다. 먼저, 사이버 공격을 스코어링하는 과정에서 비일관적인 전문가의 주관적인 판단 요소를 고려한 기존의 연구와는 달리, MITRE ATT&CK^Ⓡ의 공격기술을 구성하는 여러 구성요소 중 정량화할 수 있는 요소들을 식별하고 이를 정량화하는 방안을 제시한다. 또한, 정량화된 요소들을 이용하여 단위 공격기술의 스코어를 도출하고, 나아가 여러 공격 기술로 구성된 전체 APT 공격의 스코어를 산출하는 방안을 제안한다. 제안한 스코어링 방법을 APT 공격 사례 보고서에 적용하여 APT 공격을 포함한 다양한 사이버 공격의 위협 수준 및 시급성을 판단하기 위한 정량화 가능성을 제시한다. 본 연구를 이용하여 APT 공격을 탐지하는 과정에서 실제 공격 여부를 판단하고, 공격의 우선순위를 산정함으로써 더욱 시급하고 중요한 사이버 공격에 대응할 수 있을 것이다.

• 인터넷정보학회논문지
• /
• 제24권4호
• /
• pp.15-24
• /
• 2023

Digital therapeutics (DTx) are utilized to replace or supplement drug therapy to treat patients. DTx are developed as a mobile application for portability and convenience. The government requires security verification to be performed on digital medical devices that manage sensitive information during the transmission and storage of patient data. Although safety verification is included in the approval process for DTx, the cybersecurity checklist used as a reference does not reflect the characteristics of mobile applications. This poses the risk of potentially overlooking vulnerabilities during security verification. This study aims to address this issue by comparing and analyzing existing items based on the mobile tactics, techniques, and procedures of MITRE ATT&CK, which manages globally known and occurring vulnerabilities through regular updates. We identify 16 items that require improvement and expand the checklist to 29 items to propose improvement measures. The findings of this study may contribute to the safe development and advancement of DTx for managing sensitive patient information.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제12권2호
• /
• pp.99-110
• /
• 2023

본 연구는 현 보안 관제 시스템이 직면한 실시간 트래픽 탐지 문제를 해결하기 위해 사이버 위협 프레임워크인 마이터 어택과 머신러닝을 이용하여 유해 네트워크 트래픽을 분류하는 방안을 제안하였다. 마이터 어택 프레임워크에 네트워크 트래픽 데이터셋인 UNSW-NB15를 적용하여 라벨을 변환 후 희소 클래스 처리를 통해 최종 데이터셋을 생성하였다. 생성된 최종 데이터셋을 사용하여 부스팅 기반의 앙상블 모델을 학습시킨 후 이러한 앙상블 모델들이 다양한 성능 측정 지표로 어떻게 네트워크 트래픽을 분류하는지 평가하였다. 그 결과 F-1 스코어를 기준으로 평가하였을 때 희소 클래스 미처리한 XGBoost가 멀티 클래스 트래픽 환경에서 가장 우수함을 보였다. 학습하기 어려운 소수의 공격클래스까지 포함하여 마이터 어택라벨 변환 및 오버샘플링처리를 통한 머신러닝은 기존 연구 대비 차별점을 가지고 있으나, 기존 데이터셋과 마이터 어택 라벨 간의 변환 시 완벽하게 일치할 수 없는 점과 지나친 희소 클래스 존재로 인한 한계가 있음을 인지하였다. 그럼에도 불구하고 B-SMOTE를 적용한 Catboost는 0.9526의 분류 정확도를 달성하였고 이는 정상/비정상 네트워크 트래픽을 자동으로 탐지할 수 있을 것으로 보인다.

• 정보보호학회지
• /
• 제31권3호
• /
• pp.29-38
• /
• 2021

산업안보위협은 개인 또는 전·현직자의 이익을 위해 다양한 경로를 통해 지속적으로 산업기술들을 유출하였지만, 최근에 는 국가에서 지원하는 사이버 공격자 그룹을 활용하여 신기술을 탈취하려는 목적의 사이버공격을 감행하고 있어 현재 산업체뿐만 아니라, 국가경제의 손실이 매우 크다. 따라서 본 논문에서는 정보탈취를 목적으로 하는 국가 배후 해킹조직의 침투 경로 및 공격 단계와 국가핵심기술 유출 사례와 연계하여 MITRE사(社) ATT&CK 프레임워크를 활용하여 산업기술위협에 대응할 수 있는 기술을 소개 한다.