재난안전망 앱 보안 체계 구축

백남균,Baik, Nam-Kyun 한국정보통신학회 2021 한국정보통신학회논문지 Vol.25 No.10

Korea's security response to application service app is still insufficient due to the initial opening of the public safety network. Therefore, preemptive security measures are essential. In this study, we proposed to establish a 'public safety network app security system' to prevent potential vulnerabilities to the app store that distributes app in public safety network and android operating system that operate app on dedicated terminal devices. In order for an application service app to be listed on the public safety network mobile app store, a dataset of malicious and normal app is first established to extract characteristics and select the most effective AI model to perform static and dynamic analysis. According to the analysis results, 'Safety App Certificate' is certified for non-malicious app to secure reliability for listed apps. Ultimately, it minimizes the security blind spots of public safety network app. In addition, the safety of the network can be secured by supporting public safety application service of certified apps. 우리나라는 재난안전통신망 개통 초기로 응용서비스 앱에 대한 보안 대응은 아직은 미흡한 실정이기에, 이에 대한 선제적 보안 대응이 반드시 필요하다. 본 연구에서는 재난안전통신망에서 앱을 유통하는 앱 스토어와 전용 단말에서 앱이 동작되는 안드로이드 운영체제에 대한 잠재적 취약점을 사전 예방하고자 '재난안전망 앱 보안 체계 구축'을 제안하였다. 응용서비스 앱이 재난안전통신망 모바일 앱스토어에 등재하고자 하기 위해서는, 우선 악성 및 정상 앱에 대한 데이터 셋을 구축하여 피쳐를 추출하고 가장 효과적인 AI 모델을 선정하여 정적 및 동적 분석을 수행한다. 분석 결과에 따라 악성 앱이 아닌 경우에 대해서 '안전 앱 인증서'를 인증하여 공인 앱에 대한 신뢰성을 확보한다. 궁극적으로 재난안전통신망 앱의 보안 사각지대를 최소화하고 인증된 앱의 재난안전 응용 서비스 지원으로 재난상황에 대한 통신망의 안전성을 확보할 수 있다.

DRDoS 공격에 대한 다단계 탐지 기법

백남균,Baik, Nam-Kyun 한국정보통신학회 2020 한국정보통신학회논문지 Vol.24 No.12

본 연구에서는 DRDoS 공격에 대한 효과적인 네트워크 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, DRDoS의 네트워크 기반 특징을 식별하고 이에 대한 확률 및 통계 기법을 적용한 새로운 'DRDoS 공격 다단계 탐지기법'을 제안하고자 한다. 제안된 기법은 DRDoS의 특징인 반사 서버의 증폭에 의한 네트워크 대역폭에서 무제한 경쟁으로 정상적인 트래픽이 무분별하게 차단될 수 있는 한계를 제거하고자 'Server to Server' 및 이에 대한 'Outbound 세션 증적' 여부를 비교하여 정확한 DRDoS 식별 및 탐지가 가능하고 이에 대한 트래픽에 대해서만 통계 및 확률적 임계값을 적용하기에, 네트워크 기반 정보보호 제품은 이를 활용하여 완벽하게 DRDoS 공격 프레임을 제거가 가능하다. 시험을 통해 제안한 기법이 DRDoS 공격에 대한 식별 및 탐지 정확성을 높이고 희생자 서버의 서비스 가용성을 확보함을 확인하였다. 따라서 본 연구결과는 DRDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다. In this study, to provide the basis for establishing effective network based countermeasures against DRDoS(Distributed Reflection Denial of Service) attacks, we propose a new 'DRDoS attack multi-level detection method' that identifies the network based characteristics of DRDoS and applies probability and statistical techniques. The proposed method removes the limit to which normal traffic can be indiscriminately blocked by unlimited competition in network bandwidth by amplification of reflectors, which is characteristic of DRDoS. This means that by comparing 'Server to Server' and 'Outbound Session Incremental' for it, accurate DRDoS identification and detection is possible and only statistical and probabilistic thresholds are applied to traffic. Thus, network-based information security systems can take advantage of this to completely eliminate DRDoS attack frames. Therefore, it is expected that this study will contribute greatly to identifying and responding to DRDoS attacks.

주소 위장 서비스 거부 공격에 대응한 비정상행위 탐지 기법

백남균(Nam-kyun Baik),박순태(Soon-tai Park),진승만(Seung-man Jin),전병기(Chang-Ryeol Heo),허창열(Beyong-Ki Jeon) 한국통신학회 2005 한국통신학회 학술대회논문집 Vol.2005 No.6

DRDoS 공격에 대한 다단계 탐지 기법

백남균(Nam-Kyun Baik) 한국정보통신학회 2020 한국정보통신학회 종합학술대회 논문집 Vol.24 No.2

본 연구에서는 DRDoS 공격에 대한 효과적인 네트워크 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, DRDoS의 네트워크 기반 특징을 식별하고 이에 대한 확률 및 통계 기법을 적용한 새로운 ‘DRDoS 공격 다단계 탐지기법’을 제안하고자 한다. 제안된 기법은 DRDoS의 특징인 반사 서버의 증폭에 의한 네트워크 대역폭에서 무제한 경쟁으로 정상적인 트래픽이 무분별하게 차단될 수 있는 한계를 제거하고자 ’Server to Server’ 및 이에 대한 ‘Outbound 세션 증적’ 여부를 비교하여 정확한 DRDoS 식별 및 탐지가 가능하고 이에 대한 트래픽에 대해서만 통계 및 확률적 임계값을 적용하기에, 네트워크 기반 정보보호 제품은 이를 활용하여 완벽하게 DRDoS 공격 프레임을 제거가 가능하다. 시험을 통해 제안한 기법이 DRDoS 공격에 대한 식별 및 탐지 정확성을 높이고 희생자 서버의 서비스 가용성을 확보함을 확인하였다. 따라서 본 연구결과는 DRDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다. In this study, to provide the basis for establishing effective network-based countermeasures against DRDoS attacks, we propose a new "DRDoS attack multi-level detection method" that identifies the network-based characteristics of DRDoS and applies probability and statistical techniques. The proposed method removes the limit to which normal traffic can be indiscriminately blocked by unlimited competition in network bandwidth by amplification of reflectors, which is characteristic of DRDoS. This means that by comparing "Server to Server" and "Outbound Session Incremental" for it, accurate DRDoS identification and detection is possible and only statistical and probabilistic thresholds are applied to traffic. Thus, network-based information security systems can take advantage of this to completely eliminate DRDoS attack frames.

국제상호인정협정 인증서 발행국의 평가·인증 체계분석

백남균(Nam-Kyun Baik),손민우(Min-Woo Son),김웅상(Woong-Sang Kim),박호준(Ho-Jun Park),김재성(Jason Kim) 한국통신학회 2009 한국통신학회 학술대회논문집 Vol.2009 No.6

06년 우리나라의 CCRA CAP가입은 국내 정보보호제품의 품질과 평가제도를 선진국 수준으로 끌어 올린 노력의 결과였다.이후 ICCC 유치 및 CC 집중 연구 등을 통한 CCRA 주도적 역할 수행으로 정보보호 국제 경쟁력 강화 및 CC평가 저변확대에 기여 하였으며 이는 국내 평가·인증 제품 시장을 활성화 시켰다.이를 기반으로 해외 시장에서의 영향력 증대 및 조달정책 정보지원 체계 마련을 위해서는 국외 평가인증기관과의 협력관계 구축은 필수적인 요소가 아닐 수 없다.본 논문에서는 CCRA 인증서 발행국의 인증기관 및 평가인증체계를 분석·소개하여 CC 관련 국제활동 및 해외시장 진출에 도움을 주고자 한다.

트래픽 쉐이핑을 적용한 침입 감내 노드 분석 및 설계

백남균 ( Nam-kyun Baik ),라은주 ( Eun-joo Ra ),김웅상 ( Woong-sang Kim ),전병기 ( Byung-gi Jeon ),이병권 ( Byung-kwon Lee ) 한국정보처리학회 2006 한국정보처리학회 학술대회논문집 Vol.13 No.2

본 연구에서는 네트워크 기반 서비스 거부 공격에 감내하여 서비스를 지속적으로 유지할 수 있는 보안 노드를 설계하고자 토큰버킷 또는 리킷버킷으로 구현된 트래픽 쉐이핑을 적용한 침입감내 기법을 제안하여 성능향상을 분석하였다. 그 결과, 서비스 가용성 유지를 위해 과부하의 입력 트래픽을 조정하여 시스템 다운을 방지하고 유해트래픽의 손실률을 크게 감소시켜 정상트래픽의 전송률을 크게 증가시킴을 알 수 있었다. 따라서 본 연구 결과는 네트워크 기반 서비스 거부 공격에 감내할 수 있는 효율적인 보안 네트워크 구조 설계에 기여할 것으로 기대된다.

트래픽 과부하 공격 환경에서 가용성 보장을 위한 네트워크 노드에 관한 연구

백남균(Nam-kyun Baik),박순태(Soon-tai Park),진승만(Seung-man Jin),이완석(Wan S. Yi) 한국통신학회 2003 한국통신학회 학술대회논문집 Vol.2003 No.11

국외 인증서발행국 CC 기반 정보보호제품 평가 동향

백남균(Nam-Kyun Baik),손민우(Minwoo Son),김재성(Jason Kim) 한국정보보호학회 2009 情報保護學會誌 Vol.19 No.6

06년 세계에서 11번째, 아시아에서 2번째로 CCRA 인증서발행국으로 가입한 우리나라는 적극적인 대외활동으로 국제 경쟁력을 강화하였고 CC 저변확대를 통하여 국내 평가?인증 시장을 성숙시켰다. 즉, CC 차기버전 집중연구 및 ICCC(08년) 개최 등을 통하여 대외적으로 국내 평가제도를 한단계 끌어 올렸으며 4곳의 민간평가기관 추가지정으로 안정적인 정보보호제품 수급여건을 조성하였다. 향후에도 지속적인 CC 기반 평가역량확대와 올바른 평가제도 개선이 이루어지기 위해서는 국외 평가?인증기관과의 협력관계 유지 및 정보보호제품 평가동향은 필수적인 요소가 아닐 수 없다. 따라서, 본 논문에서는 CCRA 인증서 발행국의 평가?인증 체계를 소개하고 정보보호제품 평가현황을 분석함으로써 CC 관련 국제활동 및 해외시장 진출에 도움을 주고자 한다.

정보보호시스템 시험과정 보증요구사항 작성 기법에 관한 고찰

백남균(Nam-Kyun Baik),최용준(Yong-Joon Choi),이강수(Gang-Soo Lee) 한국정보보호학회 2003 情報保護學會誌 Vol.13 No.6

모바일 앱 악성코드 분석을 위한 학습모델 제안

배세진(Sejin Bae),최영렬(Young-ryul Choi),이정수(Jung-soo Rhee),백남균(Nam-kyun Baik) 한국정보통신학회 2021 한국정보통신학회 종합학술대회 논문집 Vol.25 No.2

앱(App) 또는 어플리케이션이라고 부르는 응용 프로그램은 스마트폰이나 스마트TV와 같은 스마트기기에서 사용되고 있다. 당연하게도 앱에도 악성코드가 있는데, 악성코드의 유무에 따라 정상앱과 악성앱으로 나눌 수 있다. 악성코드는 많고 종류가 다양하기 때문에 사람이 직접 탐지하기 어렵다는 단점이 있어 AI를 활용하여 악성앱을 탐지하는 방안을 제안한다. 기존 방법에서는 악성앱에서 Feature를 추출하여 악성앱을 탐지하는 방법이 대부분이었다. 하지만 종류와 수가 기하급수적으로 늘어 일일이 탐지할 수도 없는 상황이다. 따라서 기존 대부분의 악성앱에서 Feature을 추출하여 악성앱을 탐지하는 방안외에 두 가지를 더 제안하려 한다. 첫 번째 방안은 기존 악성앱 학습을 하여 악성앱을 탐지하는 방법과는 반대로 정상앱을 공부하여 Feature를 추출하여 학습한 후 정상에서 거리가 먼, 다시 말해 비정상(악성앱)을 찾는 것이다. 두 번째 제안하는 방안은 기존 방안과 첫 번째로 제안한 방안을 결합한 ‘앙상블기법’이다. 이 두 기법은 향후 앱 환경에서 활용될 수 있도록 연구를 진행할 필요가 있다. App is used on mobile devices such as smartphones and also has malicious code, which can be divided into normal and malicious depending on the presence or absence of hacking codes. Because there are many kind of malware, it is difficult to detect directly, we propose a method to detect malicious app using Al. Most of the existing methods are to detect malicious app by extracting features from malicious app. However, the number of types have increased exponentially, making it impossible to detect malicious code. Therefore, we would like to propose two more methods besides detecting malicious app by extracting features from most existing malicious app. The first method is to learn normal app to extract normal’s features, as opposed to the existing method of learning malicious app and find abnormalities (malicious app). The second one is an ensemble technique that combines the existing method with the first proposal. These two methods need to be studied so that they can be used in future mobile environment.