• 시큐리티연구
• /
• 제34호
• /
• pp.259-278
• /
• 2013

21세기 정보통신기술의 발달과 급격한 인터넷의 확산으로 비밀 출처정보에서만 수집이 가능했던 정보(Information)가 인터넷을 통해 쉽게 검색이 가능하게 되었다. 공개정보(Open Source)가 폭발적으로 증가하면서 정보수집활동에 큰 변화가 일어나고 있으며, 이러한 변화는 국가정보기관에서의 정보수집활동에도 영향을 미치고 있다. 공개출처정보(Open Source Intelligence: OSINT)는 이렇게 넘쳐나는 정보를 효과적으로 처리하고 분석하기위해 등장하였다. OSINT는 주로 9.11테러 이후에 빠르게 적용되었으며, 국가정보기관에서는 이와 관련된 연구와 기술개발에도 적극 참여하고 있다. 이렇게 서구국가에서는 OSINT의 중요성을 인지하고 공개정보(Open Source)를 분석하는 일이 최우선 순위로 떠오르고 있다. 하지만 국내에서는 공개정보(Open Source)의 중요성에 대한 인식이 미흡한 실정이다. 본 연구에서는 OSINT를 소개하고 중요성을 제고하는 것을 목적으로 하였다. 감당하기 힘들 정도로 늘어나는 많은 양의 공개정보(Open Source)를 효과적으로 이용하기 위하여 OSINT의 운용사례와 방법을 소개하고 중요성을 논의하였다. 이는 국가안보를 위협하는 테러뿐만 아니라 각종 범죄를 효과적으로 대응하기위한 방안이기도 하다.

• 융합보안논문지
• /
• 제3권2호
• /
• pp.41-55
• /
• 2003

비공개정보에 상당부분 의존하는 전통적 국가정보활동 체계는 여러 문제들에 직면하고 있다. 이들은 과도한 정보수집 비용, 정보활동의 윤리성, 정보의 객관성 부족, 정보사각지대 발생 그리고 적시성 결여 등이다. 한편 국가정보활동의 주변환경은 급변하고 있다. 인터넷의 급속한 발전, 탈냉전 후 비공개정보의 공개정보화 급진전, 민간부문의 정보력 급신장 등이다. 본 연구는 이러한 당면과제들과 환경변화 상황에 대처하기 위해, 인터넷상의 다원적 공개출처로부터 수집되는 OSINT 정보의 가치를 국가정보활동의 관점에서 재평가하고, 국가정보기관의 비공개정보 수집방법 즉 영상정보, 신호정보, 인간정보, 계측정보에 각각 상응하는 OSINT 정보들을 설정하였다. 그리고 비공개정보 수집방법에 의한 수집정보와 OSINT 정보를 상호 비교하여 평가 하였다. 마지막으로 인터넷상의 다원적 공개출처정보에 기반을 둔 국가정보활동 체계를 제안하고, 전통적 국가정보활동 체계와 비교하여 장점들을 제시하였다.

• 융합보안논문지
• /
• 제19권2호
• /
• pp.113-121
• /
• 2019

인터넷과 정보통신기술의 발달로 매일 대량의 공개출처정보(Open Source Intelligence, OSINT)가 발생하고 있다. 최근에는 전체 정보의 95%가 공개출처정보에서 나온다고 할 정도로 공개출처의 활용도가 높아졌다. 이러한 공개출처정보는 잘 정제되어 활용된다면 매우 효과적인 고가치 정보로 활용될 수 있다. 일례로 ISVG나 START 프로그램은 테러나 범죄와 관련된 공개출처정보를 수집해 테러리스트 색출이나 범죄예방에 활용해 많은 효과를 거두고 있다. 하지만 사이버공격과 관련된 공개출처정보는 기존의 테러나 범죄와 관련된 공개출처정보와는 달리 공격자, 공격목적, 피해범위 등을 명확히 식별하기 어렵고, 자료 자체가 상대적으로 정형화되지 않았다는 특징이 있다. 이러한 이유 때문에 공개출처정보를 활용해 사이버공격에 대한 데이터베이스(Database, DB)를 구축하고 활용하기 위해서는 기존의 방식과는 전혀 다른 새로운 접근방식이 요구된다. 따라서 본 논문에서는 공개출처정보를 활용해 사이버공격 데이터베이스를 구축하는 방법론을 제시하고 향후 활용방안에 대해 토의하고자 한다.

• 융합보안논문지
• /
• 제20권3호
• /
• pp.115-123
• /
• 2020

사이버공격은 최근 몇 년간 더욱 더 진화하고 있다. 이렇게 고도화, 정교화된 사이버위협에 대응하기 위한 최선의 대책 중 하나는 사이버 공격을 사전에 예측하는 것이다. 사이버위협을 예측하기 위해서는 많은 정보와 노력이 요구되며 최근 정보획득의 핵심인 공개출처정보(Open Source Intelligence, OSINT)를 활용한다면 사이버위협을 보다 정확히 예측할 수 있을 것이다. 공개출처정보를 활용하여 사이버위협을 예측하기 위해서는 공개출처정보로부터 사이버위협 데이터베이스의 구축과 구축된 DB에서 사이버위협을 평가할 수 있는 요소를 선정하는 것이 선행되어야 한다. 이를 위해 데이터마이닝 기법을 활용하여 DB를 구축하고, 축적된 DB 요소 중 핵심요소에 대한 중요도를 AHP 기법으로 분석한 선행연구를 기초로 하였다. 본 연구에서는 공개출처정보로부터 축적된 사이버공격 DB를 활용하여 사이버위협을 정량화할 수 있는 방안을 제시하고 인공신경망을 기반으로 한 사이버위협 예측 모델을 제안한다.

• 융합보안논문지
• /
• 제20권1호
• /
• pp.49-57
• /
• 2020

우리는 일상생활 가운데 사이버위협에 노출된 채 살아가고 있다. 그럼에도 불구하고 많은 사이버위협 및 공격은 공격자, 공격목적, 피해규모 등을 명확히 식별하기 어렵고, 단일출처의 정보에 의존하게 되어 객관성 있는 정보를 획득하는 것이 제한된다. 이에 본 연구의 선행연구에서는 공개출처정보(Open Source Intelligence, OSINT)를 활용한 사이버공격 데이터베이스(Database, DB)를 구축하기 위한 새로운 방법론을 제시하였다. 본 연구는 사이버 위협을 정량화할 수 있도록 사이버공격 DB 중 사이버 위협 평가요소를 선정하고 그 평가요소에 대한 중요도를 분석하고자 한다. 사이버공격 DB 중 사이버위협의 상대적 중요도에 영향을 미치는 평가요소로 공격목적, 공격범주, 공격대상, 공격 용이성, 공격 지속성, 공개출처정보의 빈도를 선별하고, 각 평가요소들에 대한 하위 계층의 요소들을 선정한 후 각 요소들의 중요도를 계층분석적 의사결정방법(Analytic Hierarchy Process, AHP)을 활용하여 분석하였다.

• 디지털융복합연구
• /
• 제20권4호
• /
• pp.367-376
• /
• 2022

전통적인 형사 사건에서 조사 대상에 관한 정보는 국가의 합법적 조직이 보유하고 있는 개인정보만이 제공되기 때문에 정보 수집에 한계가 있다. 일반 검색엔진으로 검색이 가능한 SNS와 포털사이트를 포함하는 표면 웹 기반 공개정보(OSINT)는 범죄수사에 사용할 수 있는 의미 있는 프로파일링에 활용할 수 있다. 한국형 공개정보 워크플로우를 사용하면 공개정보 기반의 효과적인 프로파일링이 가능하지만 "개인"의 경우에는 "성명"으로 시작되기 때문에 수집할 수 있는 공개정보가 제한적이고 동명이인의 정보가 수집되는 등의 신뢰성의 한계가 있다. 본 논문에서는 이러한 한계를 극복하기 위해 개인과 연관된 정보 즉, 등가정보를 정의하고 이를 기반으로 효율적이고 정확한 정보를 수집할 수 있도록 한다. 따라서, 공개정보에서 특정인과 연관된 정보 즉, 등가정보를 추출할 수 있는 개선된 워크플로우를 제시한다. 이때 인물의 인지도에 따라 서로 다른 워크플로우를 제시한다. 이를 통해 인물(개인)의 효과적인 프로파일링이 가능하여 수사 정보 수집의 신뢰도를 높인다. 본 연구를 통해 향후에는 해당 워크플로우를 인공지능 기술을 이용하여 수집된 정보의 분석과정을 자동화할 수 있는 시스템을 개발함으로써 범죄 수사에 있어서 공개 정보 활용을 위한 기틀을 마련하고 수사 방식 다양화에 기여할 수 있을 것이다.

• 디지털융복합연구
• /
• 제19권3호
• /
• pp.187-194
• /
• 2021

다양한 형태로 표면 웹에 급증하고 있는 공개정보(OSINT)는 프로파일링 기법을 사용하여 범죄 수사에도 활용할 수 있다. 이러한 기술은 미국 등 외국의 수사기관에서는 상당히 보편화되었으며 일부는 고도화 작업도 진행하고 있다. 반면에 국내의 경우 많이 사용하지 못할 뿐 아니라 수사 인력의 개인적 경험과 지식수준에 따라 획득하는 정보의 양과 질에 있어서 큰 편차를 보이고 있다. 본 논문에서는 가장 잘 알려진 Bazzell의 모델과 달리 한국적 웹 환경을 고려하고 시간 정보까지 제공해주는 한국형 공개정보 기반 프로파일링 기법을 개선된 워크플로우를 중심으로 제시한다. 아울러 프로파일링의 효율성 향상을 목적으로 설계한 검색 데이터베이스의 스키마도 제시한다. 이곳에서 제시한 기법을 사용하면 범죄 수사에서 있어서 일정 수준의 양과 질을 보장하는 검색 결과를 얻을 수 있을 뿐 아니라, 관련 수사 인력에 대한 표준 훈련 과정으로도 사용할 수 있다. 아울러 이 기법을 활용한 범죄 수사의 실효성과 효율성을 높이려면 법률적 기반강화 및 동화된 기술 도입이 더 필요하다.

• 정보보호학회지
• /
• 제29권6호
• /
• pp.75-80
• /
• 2019

2018년까지 알려진 표적공격 그룹은 꾸준히 증가하여 현재 155개로 2016년 대비 39개가 증가하였고, 침해사고의 평균 체류시간(dwell-time)은 2016년 172일에서 2018년 204일로 32일이 증가하였다. 점점 다양해지고 심화되고 있는 APT(Advanced Persistent Threat)공격에 대응하기 위하여 국내외 기업들의 사이버 위협 인텔리전스(CTI; Cyber Threat Intelligence) 활용이 증가하고 있는 추세이다. 현재 KISA에서는 글로벌 동향에 발맞춰 CTI를 활용할 수 있는 시스템을 개발 중에 있다. 본 논문에서는 효율적인 CTI 활용을 위한 OSINT(Open Source Intelligence)기반 사이버 위협 정보 수집 및 연관관계 표현 시스템을 소개하고자 한다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.267-280
• /
• 2023

최근 컴퓨팅 및 통신 기술의 발달로 인해 IoT 디바이스가 급격히 확산·보급되고 있다. 특히 IoT 디바이스는 가정에서부터 공장에 이르기까지 그 목적에 따라 연산을 수행하거나 주변 환경을 센싱하는 등의 기능을 보유하고 있어 실생활에서의 활용이 폭넓게 증가하고 있다. 하지만, 제한된 수준의 하드웨어 자원을 보유한 IoT 디바이스는 사이버공격에 노출되는 위험도가 높으며, 이로 인해 IoT 봇넷은 악성행위의 경유지로 악용되거나 연결된 네트워크로 감염을 빠르게 확산함으로써 단순한 정보 유출뿐만 아니라 범국가적 위기를 초래할 가능성이 존재한다. 본 논문에서는 폭넓게 활용되고 있는 IoT 네트워크에서 알려지지 않은 보안위협에 선제적으로 대응하기 위해 IoT 봇넷의 네트워크 행위특징을 활용한 선제탐지 방법을 제안한다. IoT 봇넷이 접근하는 다크넷 트래픽을 분석하여 4가지 행위특징을 정의하고 이를 통해 감염의심 IP를 빠르게 선별한다. 분류된 IP는 사이버 위협 인텔리전스(CTI)를 활용하여 알려지지 않은 의심 호스트 여부를 확인한 후, 디바이스 핑거프린팅을 통해 IoT 봇넷에의 소속 여부를 최종 결정한다. 제안된 선제탐지 방법의 유효성 검증을 위해 실제 운용 중인 보안관제 환경의 다크넷 대역에 방법론 적용 및 확인 결과, 선제탐지 한 약 1,000개의 호스트가 실제 악성 IoT 봇넷임을 10개월간 추적관찰로 검증하여 그 유효성을 확인하였다.