효율적인 보안관제 수행을 위한 다크넷 트래픽 기반 악성 URL 수집 및 분석방법 연구

김규일(Kyu-il Kim),최상수(Sang-soo Choi),박학수(Hark-soo Park),고상준(Sang-jun Ko),송중석(Jung-suk Song) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.6

국내·외 해킹공격 전담 대응조직(CERTs)들은 침해사고 피해 최소화 및 사전예방을 위해 탐지패턴 기반의 보안장비 등을 활용하여 사이버공격에 대한 탐지·분석·대응(즉, 보안관제)을 수행하고 있다. 그러나 패턴기반의 보안관제체계는 해킹공격을 탐지 및 차단하기 위해 미리 정의된 탐지규칙에 근거하여 알려진 공격에 대해서만 대응이 가능하기 때문에 신·변종 공격에 대한 대응은 어려운 실정이다. 최근 국내·외에서는 기존 보안관제의 이러한 문제점을 극복하기 위해 다크넷이라는 기술을 활용한 연구가 주목을 받고 있다. 다크넷은 미사용 중인 IP주소의 집합을 의미하며, 실제 시스템이 존재하지 않는 다크넷으로 유입된 패킷들은 악성코드에 감염된 시스템이나 해커에 의한 공격행위로 간주 될 수 있다. 따라서 본 연구에서는 효율적인 보안관제 수행을 위한 다크넷 트래픽 기반의 악성 URL 수집 및 분석방법을 제안한다. 제안방법은 국내 연구기관의 협력을 통해 확보한 8,192개(C클래스 32개)의 다크넷으로 유입된 전체 패킷을 수집하였으며, 정규표현식을 사용하여 패킷에 포함된 모든 URL을 추출하고 이에 대한 심층 분석을 수행하였다. 본 연구의 분석을 통해 얻어진 결과는 대규모 네트워크에서 발생하고 있는 사이버 위협상황에 대한 신속·정확한 관측이 가능할 뿐만 아니라 추출한 악성 URL을 보안관제에 적용(보안장비 탐지패턴, DNS 싱크홀 등)함으로서 해킹공격에 대한 사이버위협 대응체계를 고도화하는데 목적을 둔다. Domestic and international CERTs are carrying out security monitoring and response services based on security devices for intrusion incident prevention and damage minimization of the organizations. However, the security monitoring and response service has a fatal limitation in that it is unable to detect unknown attacks that are not matched to the predefined signatures. In recent, many approaches have adopted the darknet technique in order to overcome the limitation. Since the darknet means a set of unused IP addresses, no real systems connected to the darknet. Thus, all the incoming traffic to the darknet can be regarded as attack activities. In this paper, we present a collection and analysis method of malicious URLs based on darkent traffic for advanced security monitoring and response service. The proposed method prepared 8,192 darknet 1) space and extracted all of URLs from the darknet traffic, and carried out in-depth analysis for the extracted URLs. The analysis results can contribute to the emergence response of large-scale cyber threats and it is able to improve the performance of the security monitoring and response if we apply the malicious URLs into the security devices, DNS sinkhole service, etc.

방화벽 접근정책의 계층적 가시화 방법에 대한 연구

김태용(Tae-yong Kim),권태웅(Tae-woong Kwon),이준(Jun Lee),이윤수(Youn-su Lee),송중석(Jung-suk Song) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

빠르게 진화하는 다양한 사이버공격으로부터 내부 네트워크와 정보를 보호하기 위해 다양한 보안장비를 사용한다. 그 중 대표적으로 사용하는 보안장비는 방화벽이며, 방화벽은 접근정책이라는 텍스트 기반의 필터링 규칙을 사용해 내 · 외로부터 통신하는 접근을 허용하거나 차단하여 악의적인 공격을 사전에 방어할 수 있다. 내부의 정보를 보호하기 위해 수많은 접근정책들이 사용하며, 점차 증가하는 접근정책을 효율적으로 관리하기에 여러 가지 어려움이 발생한다. 그 이유는 텍스트 기반의 많은 정보를 분석하기 위해서는 많은 시간 소요와 잔존하는 취약한 정책을 보완하기에는 한계점이 있다. 이와 같은 문제점을 해결하기 위해, 본 논문에서는 직관적인 접근제어 정책 분석 및 관리를 위한 3D 기반의 계층적 가시화 방법을 제안한다. 특히, 계층적 가시화를 통한 드릴-다운 사용자 인터페이스를 제공함으로써, 복잡한 대규모 네트워크의 접근제어 정책을 세부적으로 분석을 지원한다. 제안된 가시화 방법론의 실용성 및 유효성 검증을 위해 시스템을 구현하고, 이를 실제 대규모 네트워크 방화벽 분석에 적용함으로써 성공적으로 제안된 가시화 방법의 적용이 가능함을 보인다. Various security devices are used to protect internal networks and valuable information from rapidly evolving cyber attacks. Firewall, which is the most commonly used security device, tries to prevent malicious attacks based on a text-based filtering rule (i.e., access control policy), by allowing or blocking access to communicate between inside and outside environments. However, in order to protect a valuable internal network from large networks, it has no choice but to increase the number of access control policy. Moreover, the text-based policy requires time-consuming and labor cost to analyze various types of vulnerabilities in firewall. To solve these problems, this paper proposes a 3D-based hierarchical visualization method, for intuitive analysis and management of access control policy. In particular, by providing a drill-down user interface through hierarchical architecture, Can support the access policy analysis for not only comprehensive understanding of large-scale networks, but also sophisticated investigation of anomalies. Finally, we implement the proposed system architecture’s to verify the practicality and validity of the hierarchical visualization methodology, and then attempt to identify the applicability of firewall data analysis in the real-world network environment.

보안관제 효율성 제고를 위한 실증적 분석 기반 보안이벤트 자동검증 방법

김규일(Kyu-il Kim),박학수(Hark-soo Park),최지연(Ji-yeon Choi),고상준(Sang-jun Ko),송중석(Jung-suk Song) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.3

국내 사이버공격 대응 전담조직(CERT)들은 탐지패턴 기반의 보안장비(IDS, TMS 등)를 활용하여 사이버 침해공격에 대한 탐지·대응을 수행하고 있다. 특히, 공공?연구기관의 경우 국가정보원(NIS) 내 국가사이버안전센터(NCSC)를 중심으로 30여개의 부문 보안관제 센터가 구축?운영되고 있으며, 주로 침해위협수집시스템(TMS)을 활용하여 사이버 공격에 대한 탐지?분석?대응을 수행하고 있다. 그러나 현재의 보안관제 체계에서는 대량의 보안이벤트가 보안장비에의해 발생되고 있을 뿐만 아니라, 보안관제 요원이 보안이벤트에 대한 실제 공격여부를 판단하기 위해서는 추가적인 분석 작업을 수행해야 하므로 보안이벤트 전체에 대한 대응이 현실적으로 불가능한 실정이다. 또한 현재의 보안관제 업무는 보안관제 요원이 보유한 전문지식 및 경험에만 전적으로 의존하고 있기 때문에 특정 보안이벤트에만 분석이 집중되는 업무편중 현상이 발생하며, 이로 인해 기존에 알려지지 않은 새로운 해킹 공격기술에 대한 대응능력이 부족하다. 따라서 본 논문은 실시간 보안관제 및 침해대응 활동의 효율성을 극대화하고 대규모 해킹공격에 대한 조기대응 역량을 강화하기 위해 실제 해킹공격에 대한 실증적 분석에 기반한 대용량 보안이벤트 자동검증 방법을 제안한다. Domestic CERTs are carrying out monitoring and response against cyber attacks using security devices(e.g., IDS, TMS, etc) based on signatures. Particularly, in case of public and research institutes, about 30 security monitoring and response centers are being operated under National Cyber Security Center(NCSC) of National Intelligence Service(NIS). They are mainly using Threat Management System(TMS) for providing security monitoring and response service. Since TMS raises a large amount of security events and most of them are not related to real cyber attacks, security analyst who carries out the security monitoring and response suffers from analyzing all the TMS events and finding out real cyber attacks from them. Also, since the security monitoring and response tasks depend on security analyst"s know-how, there is a fatal problem in that they tend to focus on analyzing specific security events, so that it is unable to analyze and respond unknown cyber attacks. Therefore, we propose automated verification method of security events based on their empirical analysis to improve performance of security monitoring and response.

효율적인 악성코드 분류를 위한 최적의 API 시퀀스 길이 및 조합 도출에 관한 연구

최지연(Ji-yeon Choi),김희석(HeeSeok Kim),김규일(Kyu-il Kim),박학수(Hark-soo Park),송중석(Jung-suk Song) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.5

인터넷이 지속적으로 발달하면서 이에 따른 부작용으로 사이버 해킹 공격 또한 지능적인 공격으로 진화하고 있다. 해킹 공격의 도구로 사용되는 악성코드는 공격자들이 자동 제작 툴을 이용해 손쉽게 악성코드를 생성할 수 있기 때문에 악성코드의 수가 급증하고 있다. 그러나 수많은 악성코드를 모두 분석하기에는 많은 시간과 노력이 요구됨에 따라 신·변종 악성코드에 대한 별도의 분류가 필요한 상황이다. 이에 따라 신·변종 악성코드를 분류하는 다양한 연구들이 등장하고 있으며, 해당 연구들은 악성코드 분석을 통해 악성 행위를 나타내는 다양한 정보를 추출하고 이를 악성코드를 대표하는 특징으로 정의하여 악성코드를 분류한다. 그 중, 대부분이 API 함수와 API 함수로부터 추출한 특정 길이의 API 시퀀스를 이용하여 악성코드를 분류하고 있다. 그러나 API 시퀀스의 길이는 분류의 정확성에 영향을 미치기 때문에 적합한 API 시퀀스의 길이를 선택하는 것이 매우 중요하다. 따라서 본 논문은 특정 길이에 한정하지 않고, 다양한 길이의 API 시퀀스를 생성 및 조합하여 악성코드 분류의 정확성을 향상시키기 위한 최적의 API 시퀀스 및 조합을 찾는 방법론을 제안한다. With the development of the Internet, the number of cyber threats is continuously increasing and their techniques are also evolving for the purpose of attacking our crucial systems. Since attackers are able to easily make exploit codes, i.e., malware, using dedicated generation tools, the number of malware is rapidly increasing. However, it is not easy to analyze all of malware due to an extremely large number of malware. Because of this, many researchers have proposed the malware classification methods that aim to identify unforeseen malware from the well-known malware. The existing malware classification methods used malicious information obtained from the static and the dynamic malware analysis as the criterion of calculating the similarity between malwares. Also, most of them used API functions and their sequences that are divided into a certain length. Thus, the accuracy of the malware classification heavily depends on the length of divided API sequences. In this paper, we propose an extraction method of optimized API sequence length and combination that can be used for improving the performance of the malware classification.

이미지 및 코드분석을 활용한 보안관제 지향적 웹사이트 위·변조 탐지 시스템

김규일(Kyu-il Kim),최상수(Sang-soo Choi),박학수(Hark-soo Park),고상준(Sang-jun Ko),송중석(Jung-suk Song) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.5

최근 경제적 이윤을 목적으로 한 해킹조직들이 국가 주요 웹사이트 및 포털사이트, 금융 관련 웹사이트 등을 해킹하여 국가적 혼란을 야기 시키거나 해킹한 웹사이트에 악성코드를 설치함으로서 해당 웹사이트를 접속하는 행위만으로도 악성코드에 감염되는 이른바 ‘Drive by Download’ 공격이 빈번하게 발생하고 있는 실정이다. 이러한 웹사이트를 공격목표로 하는 사이버 위협에 대한 대응방안으로 웹사이트 위·변조 탐지 시스템이 주목을 받고 있으며, 국내에서는 국가사이버안전센터(NCSC)를 중심으로 분야별 사이버 보안을 담당하는 부문 보안관제센터에서 해당 시스템을 구축·운영하고 있다. 그러나 기존 위·변조 탐지기술의 대부분은 위·변조 탐지 시간이 오래 걸리고 오탐율 또한 높기 때문에, 신속성 및 정확성이 중요한 보안관제 분야에서는 직접적 활용이 어렵다는 문제점을 안고 있다. 따라서 본 논문은 웹사이트 위·변조 탐지시스템의 오탐률을 최소화하고 실시간 보안관제에 활용하기 위해 이미지 및 코드 분석기반의 웹사이트 위·변조 탐지 시스템을 제안한다. 제안 시스템은 웹크롤러에 의해 비교검증의 대상이 되는 정보만을 수집하고 정규화를 통해 위·변조 판별에 영향을 미치는 이미지 및 코드를 추출하여 유사도를 분석하고 이를 시각화함으로서 보안관제요원의 직관적인 탐지 및 웹사이트 위·변조에 대한 신속성 및 정확성을 향상하는데 목적을 둔다. New types of attacks that mainly compromise the public, portal and financial websites for the purpose of economic profit or national confusion are being emerged and evolved. In addition, in case of "drive by download" attack, if a host just visits the compromised websites, then the host is infected by a malware. Website falsification detection system is one of the most powerful solutions to cope with such cyber threats that try to attack the websites. Many domestic CERTs including NCSC (National Cyber Security Center) that carry out security monitoring and response service deploy it into the target organizations. However, the existing techniques for the website falsification detection system have practical problems in that their time complexity is high and the detection accuracy is not high. In this paper, we propose website falsification detection system based on image and code analysis for improving the performance of the security monitoring and response service in CERTs. The proposed system focuses on improvement of the accuracy as well as the rapidity in detecting falsification of the target websites.