Total: 39

우승훈, 이건우, 이태준, 최윤성, 이희조, "Web 3.0 시대 핵심기술 블록체인 보안 위협 전망 및 분석", KISA Insight, Vol. 2, Apr. 17. 2023.
블록체인은 디지털 대전환과 디지털 경제를 견인할 핵심 기술이며, 웹 3.0 패러다임 전환의 주요 동인으로 작용한다. 블록체인 기반 웹 3.0 전환의 주요 대안 기술인 웹 3 구현을 위한 주요 구성요소 검토 및 웹 아키텍처 구성(안) 제시한다. 블록체인 보안위협은 지속 증가할 것으로 예상되며, 보안위협은 어플리케이션, 시스템, 네트워크를 중심으로 다양하게 발생한다.웹 3.0 패러다임 전환을 위해 블록체인은 기술 한계 극복을 위한 지속적인 노력과 수용성 제고가 필요하며, 서비스 및 시스템의 보안성 향상 필요하다.
최윤성, 박춘식, 이희조, 송상효, "새롭게 부각되는 소프트웨어 공급망 관리를 통한 사이버 보안 규제와 표준 동향", TTA Journal, Vol. 205, pp. 81-87, Feb. 1. 2023.
소프트웨어 분야 오픈소스 이용 확대와 함 께 보안 취약성도 크게 증가함에 따라 각종 보 안 사고가 급증하고 있다. 이에 따라 미국이나 유 럽 등에서 소프트웨어 공급망 보안 강화를 위한 보안 고려 개발 검증, SBOM(Software Bill of Materials) 제출 의무화 제도 등이 검토 또는 도 입되고 있다. 우리나라 IT 산업이나 제조 산업 등 의 경쟁력에도 많은 영향을 미칠 것으로 예상된 다. 이에 따라 공급망 보안과 관련된, 그 중에서 도 SBOM과 관련된 새로운 제도와 규제, 표준화 동향 등도 새롭게 등장하고 있다. 특히 미국에서는 소프트웨어 공급망 보안 강 화를 위해 대통령령에 의한 행정 명령이 나오 고, 의료계나 자동차업계 등 산업계에서도 소프 트웨어 공급망 보안과 관련된 각종 제도나 규제 가 등장하고 있다. 소프트웨어 공급망 보안 강화 를 위한 SBOM의 유효성이 급격하게 대두되어 SPDX(Software Package Data Exchange), CycloneDX, SWID(Software Identification), OpenChain 등 SBOM 관련 국제 표준들도 속 속 등장하고 있다.
홍현지, 우승훈, 이희조, "공급망 보안을 위한 오픈소스 소프트웨어 취약점 관리 기술", 정보보호학회, Vol. 32, No. 5, Oct. 1. 2022.
혁신적인 소프트웨어 개발을 위해, 소프트웨어 개발 환경에서 오픈소스 소프트웨어(OSS)를 활용하는 것은 하나의 개발 트렌드로 자리매김했다. 이러한 이점에도 불구하고, 적절한 관리가 이루어지지 않는 OSS 재사용은 취약점의 전파 문제나, 공급망 공격과 같은 위험한 보안 위협을 초래한다. 본 고에서는 OSS 재사용으로 인해 야기되는 다양한 보안 위협을 해결하기 위한 최근 연구들의 동향을 소개하고, 이런 연구들에 기반하여 제작된, OSS 보안성 향상을 위한 기술들을 소개한다.
우승훈, 홍현지, 이희조, "오픈소스 SW 취약점 분석 및 탐지 기술 동향", OSIA S&TR, Vol. 35, No. 2, pp. 31-39, Sep. 1. 2022.
혁신적인 소프트웨어 개발을 위해 개발 과정에서 오픈소스 소프트웨어를 활용하는 것은 하나의 트렌드로 자리잡았다. 비록 오픈소스 소프트웨어의 활용은 개발과정에서 많은 효율성을 제공하지만, 관리되지 않은 오픈소스 소프트웨어의 재사용은 보안 취약점의 전파와 같은 위협으로 이어질 수 있다. 본 고에서는, 이러한 오픈소스 소프트웨어 재사용으로 인해 발생할 수 있는 보안 위협들을 명시하고, 이에 대응하기 위한 다양한 오픈소스 보안 기술들을 소개한다.
이태준, 박춘식, 이희조, "소프트웨어 보안 관점에서 본 미국 사이버보안 행정명령과 우리의 대응방안", KISA Report 12월호_4, Dec. 1. 2021.
2021년 5월 12일, 미국 바이든 행정부는 『국가의 사이버보안 향상에 관한 행정명령(EO 14028) (2021)』을 내렸다. 이는 최근 콜로니얼 파이프라인 공격이나 솔라윈즈 공급망 공격과 같은 대규모 사이 버 공격 사례가 등장하여 사이버보안의 필요성이 증가했기 때문이다. 이러한 악성 사이버 공격이 공공 부문, 민간 부문을 넘어 개개인의 보안과 프라이버시까지 위협한다고 미국 정부는 판단한 것이다. 우리나라 또한 소프트웨어 보안 문제에서 자유롭지 않다. 소프트웨어에 국경이 없는 만큼 해외소프트 웨어의 취약점이 국내에 영향을 끼칠 수 있으며 반대의 경우도 마찬가지이다. 소프트웨어 공급망을 통해 전세계가 연결되어 있기 때문에 미국의 행정명령을 통해 나온 규제에서 국내 기업도 자유로울 수 없는 것이다. 많은 국내 소프트웨어 기업들은 소프트웨어 제품의 구현을 중심으로 하는 프로세스를 가지고 있다. 근 래의 사이버보안 요구사항은 소프트웨어 개발부터 유통까지 공급망의 모든 과정을 대상으로 하기 때문에 이에 대비하기 위해서는 많은 비용과 시간을 들여 근본적인 체질 개선을 해야 한다. 이번 행정명령과 같 은 변화를 미리 파악하고 대비하지 않으면 이후에 더 큰 비용으로 돌아올 수 있다. 본 문서는 소프트웨어 제품을 개발하는 기업에서 행정명령의 요구사항에 맞추기 위해 무엇을 준비해 야 할지 살펴보기 위해 작성되었다. 행정명령 중 소프트웨어 보안에 대한 부분인 4절의 내용과 연관된 문서들, 그리고 국내의 소프트웨어 보안 관련 정책을 분석하여 앞으로 국내 기업에서 소프트웨어 제품 보안 요구사항에 어떻게 대비해야 할지 점검하고자 한다.
이희조, "오픈소스 SW 공급망 공격 대응기술 동향", 전자금융과 금융보안, pp. 13-29, Nov. 23. 2021.
오픈소스를 활용하는 것은 비단 개발 시간을 단축하는 것만이 아니라, 혁신 기술을 채용함으로써 경쟁력 있는 서비스를 개발하는데 매우 중요한 요소가 되었다. 하지만, 오픈소스는 잘 사용하지 않으면 라이선스 위반으로 인한 법적 위협뿐 아니라 보안취약점으로 인한 공격, 그리고 다양한 공급망 공격으로 인해 되돌릴 수 없는 치명적인 결과가 초래될 수 있다. 본 고에서는 최근에 급증하고 있는 오픈소스 공급망 공격 동향을 살피고, 공급망 보안 강화를 위한 오픈소스 신뢰도 판단 방법, 개발 및 유통과정에 소프트웨어 부품명세서인SBoM활용, CVE와 같이 치명적 취약점 패치여부 확인 등 오픈소스를 안전하게 활용하기 위한 대응 방안을 소개한다.
이기룡, 이희조, "HTML 태그 순서를 이용한 불법 사이트 탐지 자동화 기술", 한국정보과학회, Vol. 43, No. 10, pp. 1173-1178, Oct. 15. 2016.
2001년 비트토렌트 프로토콜이 설계된 후로 음악, 영화, 소프트웨어 등 모든 것을 다운로드할 수 있게 되었다. 이를 통해 저작권이 있는 파일이 무분별하게 공유가 되었고 저작권자들은 많은 피해를 입었다. 이 문제를 해결하기 위해 국가에서는 관련법을 제정하였고 ISP는 불법 사이트를 차단하였다. 이러 한 노력들에도 불구하고 pirate bay와 같은 불법 사이트들은 도메인을 바꾸는 등 쉽게 사이트를 재오픈하 고 있다. 이에 우리는 재오픈된 불법 사이트를 쉽게 탐지하는 기술을 제안한다. 이 자동화 기술은 구글 검 색엔진을 이용하여 도메인을 수집하고, 최장공통부분수열(LCS) 알고리즘을 이용하여 기존 웹페이지 태그 와 검색된 웹페이지 태그를 비교, 유사도를 측정한다. 실험을 위해 총 2,383개의 검색 결과를 구글 검색으 로 얻었다. LCS 유사도 알고리즘을 적용하여 검사한 결과 44개의 해적 사이트를 탐지하였다. 또한 해외 불법 사이트에 적용한 결과 805개 검색 도메인에서 23개의 불법 사이트를 탐지하였다. 이를 통해 제안된 탐지 자동화 기술을 사용한다면 불법 사이트가 재 오픈을 하더라도 쉽게 탐지할 것으로 보인다.
이기룡, 이제현, 권종훈, 이희조, 박해룡, ".KR 최상위 도메인 DNS 질의로그의 악성행위 탐지 관점에서의 분석", 한국정보보호학회, Vol. 12, pp. 249-252, Dec. 6. 2014.
도메인이름체계(DNS)는 인터넷의 핵심요소로써 인터넷사용자 뿐 아 니라 악성코드에 의해서도 활발히 이용되고 있다. 이 연관성을 이용 하여 DNS 트래픽이나 질의로그를 분석하여 악성코드 및 연관 악성도 메인의 활동과 감염상태를 탐지하려는 연구가 국내외에서 진행되어 오고 있다. 그러나 대다수의 연구들은 DNS 계층구조 중 캐시서버와 같이 하위수준 DNS 서버의 로그의 분석에 그 초점이 맞춰져 있었으 며, 상위수준 도메인서버의 로그에 대한 연구는 소수의 해외사례만 이 존재하였다. 본 연구에서는 대한민국 국가코드최상위도메인 ccTLD)의 DNS 질의로그를 악성행위 탐지의 관점에서 분석하여 .KR 도메인을 사용하는 악성행위의 특징과 국내사정에 적합한 ccTLD기반 악성행위 탐지기법의 방향을 제시한다.
이희조, "해킹의 원리와 추세", 과학과 기술, Vol. 505, pp. 60-61, Jun. 1. 2011.
해킹사고는 2011년 들어 더욱 기술적으로 진보되고 피해 또한 개인정보의 유출에서부터 금융시스템 마비에 이르기까지 확대되고 있어, 이와 같이 더욱 치밀하고 고도화되어가고 있는 해킹기술 트랜드와 향후 대응 방안에 대해 알아본다.
권종훈, 이제현, 정현철, 이희조, "행위 그래프 기반의 변종 악성코드 탐지", 한국정보보호학회, Vol. 21, No. 2, pp. 37-47, Apr. 1. 2011.
네트워크 및 컴퓨터의 발전에 따라 악성코드 역시 폭발적인 증가 추이를 보이고 있으며, 새로운 악성코드의 출현과 더불어 기존의 악성코드를 이용한 변종 역시 큰 몫을 차지하고 있다. 특히 실행압축 기술과 코드 난독화를 이용한 변종들은 제작이 쉬울 뿐만 아니라, 자신의 시그너쳐 혹은 구문적 특징을 변조할 수 있어, 악성코드 제작자들이 널리 사용하는 기술이다. 이러한 변종 및 신종 악성코드를 빠르게 탐지하기 위해, 본 연구에서는 행위 그래프 분석을 통한 악성코드 모듈별 유사도 분석 기법을 제안한다. 우리는 우선 악성코드들에서 일반적으로 사용하는 2,400개 이상의 API들을 분석하여 총 128개의 행위로 추상화 하였다. 또한 동적 분석을 통해 악성코드들의 API 호출 순서를 추상화된 그래프로 변환하고 부분 그래프들을 추출하여, 악성코드가 가진 모든 행위 부분 집합을 정리하였다. 마지막으로, 이렇게 추출된 부분 집합들 간의 비교 분석을 통하여 해당 악성코드들이 얼마나 유사한지를 분석하였다. 실험에서는 변종을 포함한 실제 악성코드 273개를 이용하였으며, 총 10,100개의 분석결과를 추출하였다. 실험결과로부터 행위 그래프를 이용하여 변종 악성코드가 모두 탐지 가능함을 보였으며, 서로 다른 악성코드들 간에 공유되는 행위 모델 역시 분석할 수 있었다.
강정인, 도희성, 이희조, "트위터에서의 악성코드 유포 실태조사", 한국정보처리학회, Vol. 17, No. 2, Nov. 13. 2010.
최근 전세계적으로 마이크로-블로그 형태의 소셜네트워크 서비스가 확산되어가고 있으며, 트위터(Twitter)란 이러한 가장 대표적인 소셜네트워크 서비스이다. 본 논문에서는 트위터를 매개로써 이루어지는 악성코드 유포 행위를 조사하기 위해 트위터에 올라오는 게시물(Tweet)들에서 약 93만개의 링크를 임의 추출하여 다운받았고, 이중 7개의 악성코드 배포 계정을 검출하여 해당 게시물과 계정의 특징을 조사하였다.
권종훈, 임채태, 최현상, 지승구, 오주형, 정현철, 이희조, "협업 기반의 중앙집중형 봇넷 탐지 및 관제 시스템 설계", 한국정보보호학회, Vol. 19, No. 3, pp. 83-93, Jun. 1. 2009.
최근의 사이버 공격은 경쟁사에 대한 DDoS공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출, 광고성 스팸메일의 대량 발송 등 불법 행위를 통해 경제적 이득을 취하려는 형태로 바뀌어가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크로서 최근 발생하는 많은 사이버 공격에 이용되고 있다. 이러한 봇넷은 수많은 변종과 다양한 탐지 회피 기술로 무장하고 전 세계 네트워크 전반에 걸쳐 그 세력을 확장해 가고 있다. 하지만 현존하는 봇넷 대응 솔루션은 대부분 시그네쳐 기반의 탐지 방법을 이용하거나, 극히 제한적인 지역의 봇넷만을 탐지하고 있어, 총괄적 봇넷 대응에는 미흡한 것이 현실이다. 본 연구에서는 중앙집중형 봇넷을 주요 목표로 하며, 이를 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 봇넷 정보 공유를 통한 중앙집중형 봇넷 탐지 및 관리 시스템 설계를 제안한다. 본 시스템은 특정 시스템이나 하드웨어에 특화되지 않은 유연함을 갖고 있어 설치 및 배포가 쉽고 ISP 간, 혹은 국가간의 정보 공유를 통해 넓은 지역의 네트워크를 수용할 수 있어, 기존의 솔루션보다 효율적인 봇넷 탐지 및 관리가 가능하다.
이희조, 박현도, 최현상, "최신 해킹 기술 소개 및 데모 시연", NetSecKr, Apr. 15. 2009.
과거의 해킹 기술의 목적은 단순한 호기심과 해커들의 실력 과시용 수단이었지만 근래에는 금전적 이득을 얻기 위한 목적으로 바뀌어가고 있다. 특히, Mass SQL 인젝션 (Injection)과 같이 자동화된 툴을 이용한 무차별 공격이 급증하고 있다.본 발표에서는 1) 인터넷 뱅킹 해킹 관련 기술, 2) 자동화된 툴을 이용한 대규모 공격 기법, 3) 불법 개인정보 취득 기법, 4) 애플리케리션 취약성을 이용한 해킹 등의 기술 동향을 소개한다. 최신 해킹 기술 사례로서 ARP 스푸핑, DNS 캐쉬 포이즈닝 기법, Mass SQL 인젝션 공격, 봇넷을 이용한 해킹 공격, USB를 이용한 개인정보 해킹, 애플리케이션 취약성을 이용한 공격등의 상세 소개와 데모 시연을 통해 동작 원리를 보인다
김유승, 최현상, 정현철, 이희조, "트래픽 분석을 통한 IRC 봇넷과 P2P 봇넷의 특성 비교", 한국정보기술학회, Vol. 7, No. 1, pp. 220-226, Feb. 2009.
봇넷은 악성 코드에 의해 감염된 봇 호스트들로 이루어진 네트워크로서 봇 마스터라고 불리는 공격자에 의 해 원격 조종되며 DDoS 공격을 비롯한 각종 공격을 수행하는데 이용되는 위협적인 존재이다. 본 연구에서는 봇넷의 행위로 추정되는 네트워크 트래픽을 수집하여 이를 분석함으로써 실질적인 관점에서 봇넷의 특성을 밝 혀내고자 한다. 수집된 네트워크 트래픽은 IRC 봇넷과 P2P 봇넷으로써 전자의 경우 상대적으로 C&C 서버의 위치 탐지가 용이한 반면, 후자에서는 여러 가지 회피 기술로 인해 트래픽 분석만으로는 봇넷의 구조를 파악 하기 어렵다는 점을 확인하였다.
정구현, 추의진, 이주석, 이희조, "엔트로피를 이용한 실행 압축 해제 기법 연구", 한국정보기술학회, Vol. 7, No. 1, pp. 232-238, Feb. 2009.
봇이나 웜 등의 악성코드는 오늘날 가장 큰 위협으로 자리 잡았다. 공격자들이 이들을 이용하여 일반 사용자들의 개인 정보를 수집하거나 금전적 피해를 입히고 있기 때문이다. 최근의 악성 코드들은 안티 바이러스 프로그램을 회피하기 위해서 실행 압축 등의 코드 혼란 기법을 사용하고 있다. 이로 인해 악성 코드의 탐지 및 방어가 점점 더 어려워지고 있다. 이를 해결하기 위해서 본 논문에서는 엔트로피 분석을 이용한 범용적인 실행 압축 해제 기법을 제안한다. 실험한 결과 실행 압축 알고리즘의 종류에 따라서 초기의 엔트로피와 실행 압축 해제 후의 엔트로피 차이가 작게는 2.5, 크게는 4 정도까지 눈에 띄는 엔트로피 값의 변화를 보였다. 이를 통해 본 논문에서 제안하는 실행 압축 해제 알고리즘을 이용하여 실행 압축을 해제할 수 있음을 확인하였다.
권종훈, 임채태, 최현상, 정현철, 이희조, "봇넷의 탐지 및 관제 시스템 설계", 한국정보처리학회, Vol. 15, No. 2, pp. 1517-1520, Nov. 15. 2008.
최근의 사이버 공격은 경쟁사에 대한 DDoS 공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출, 광고성 스팸메일의 대량 발송 등 불법 행위를 대행해주고 경제적 이득을 취하려는 의도로 바뀌어가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크 집단으로서 일련의 거의 모든 사이버 공격에 이용되고 있다. 이러한 봇넷은 수 많은 변종과 다양한 탐지 회피 기술로 그 세력을 확장해 가고 있지만 마땅한 총괄적 대책은 미흡한 것이 현실이다. 이 논문에서는 날이 갈수록 위협을 더해가는 봇넷을 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 걸친 사회 전반적인 협력을 통한 봇넷 탐지 및 관리 시스템 구조를 제안한다.
김유승, 최현상, 김인환, 권종훈, 이희조, "봇넷 트래픽 특성 분석: 사례 연구", 한국정보처리학회, Vol. 15, No. 2, pp. 1429-1432, Nov. 14. 2008.
최근 DDoS 공격의 의도와 공격형태가 날로 다양해지고 그 피해규모가 심각해짐에 따라 DDoS를 탐지하고 이를 방어하기 위한 연구들이 활발하게 진행되고 있다. 한편, 봇넷은 이러한 DDoS 공격을 수행하는 도구로서 여러 연구기관들에 의해 새로운 위협적인 요소로 보고되고 있다. 본 연구에서는 보안상 상대적으로 취약하다고 알려져 있는 교내망에서 실제 봇넷 트래픽을 찾아내고 분석하였다. 이를 통해 봇넷의 특성을 밝혀내고 이와 관련된 연구의 기초자료로 사용될 수 있을 것이다.
서동원, Arindam Khan, 이희조, "악성 코드 유포 사이트 탐지에 관한 연구", 한국정보처리학회, Vol. 15, No. 2, pp. 1425-1428, Nov. 14. 2008.
최근 웹사이트를 통해 악성 코드의 유포가 성행하면서 많은 웹 서비스 사용자들이 위험에 노출되어 있다. 특히, 특정 웹페이지에 접속하는 것만으로도 사용자가 알지 못하는 사이에 악성 코드를 자동으로 다운로드 받도록 함으로써 그 위협은 더욱 커지고 있다. 본 논문에서는 이러한 악성 코드 유포 사이트를 탐지하기 위해 사용하였던 Website relationship graph, Parallel coordination, Amazon Web Service system을 차례로 소개하고, 각 기법의 장단점과 결과적으로 도출해낸 악성 코드 유포 사이트들의 특징과 그것을 이용한 알려지지 않은 악성 코드 유포 사이트 탐지 기법을 제안한다.
정구현, 추의진, 이주석, 이희조, "악성 코드의 실행 압축 해제 기술", 한국정보처리학회, Vol. 15, No. 2, pp. 1537-1539, Nov. 2008.
최근 많은 악성 코드 제작자들이 실행 압축 기술을 악용하고 있다. 악성코드 제작자들은 자신의 악성 코드가 탐지되는 것을 어렵게 만들기 위해 기존의 알려진 실행 압축 알고리즘보다는 새로운 실행 압축 알고리즘을 개발하여 사용하고 암호화 기법등을 이용하여 분석하기 어렵게 만들고 있다. 본 논문에서는 기존의 실행 압축 해제 기술에 대한 연구들을 분석하여 기존 기술의 한계점을 극복하기 위한 방안과 앞으로의 연구 방향을 제시한다.
최현상, 권종훈, 김인환, 이희조, "악성코드를 이용한 봇넷 공격", 경영과 컴퓨터, pp. 144-147, Jul. 2008.
악성코드를 이용한 봇넷 공격 - 봇넷의 심각성, 탐지 및 대응 방안 (경영과 컴퓨터 08년 7월호)
정구현, 서동원, 박현도, 이희조, "DDoS를 통한 네트워크 마비 협박과 공격 대응", 경영과 컴퓨터, pp. 152-155, Jun. 2008.
DDoS 공격과 대응기술 - 서비스거부 공격의 유형 및 위치별 대응방안 (경영과 컴퓨터 08년 6월호)
권민진, 이희조, "IP 스푸핑 탐지기술", 정보보호21c, Vol. 91, pp. 74-78, Mar. 1. 2008.
이번 호에서는 기존 연구들의 취약점을 고려하면서 스푸핑된 패킷을 성공적으로 탐지하기 위한 방법으로 라우터에서 지나가는 패킷들을 마킹하여 해당 IP 주소의 패킷이 거쳐야 하는 정상적인 경로를 지나왔는지 파악할 수 있는 새로운 탐지 기법인 BASE를 소개한다.
정규창, 이희조, "악성코드 사전 탐지기술", 정보보호21c, Vol. 90, pp. 76-79, Feb. 1. 2008.
악성코드가 실행되기 이전에 탐지하고 정확도를 높이는 방법으로 실행 파일을 바이너리 코드 레벨에서 분석하여 악성코드를 탐지하는 정적분석(static analysis) 기법은 하나의 대안으로 이용될 수 있다. 이번 호에서는 이 정적분석 기법을 활용한 코드 그래프(Code Graph)를 소개하고 이를 이용한 악성코드 사전 탐지 기술에 대해 알아본다.
박현도, 이희조, "알려지지 않은 신종 웜 탐지 기술", 정보보호21c, Vol. 89, pp. 90-94, Jan. 1. 2008.
컴퓨터와 인터넷의 발달과 함께 인터넷 웜의 공격 방법은 더욱 지능화 되어가고 있으며, 경쟁이라도 하는 듯이 인터넷을 통한 웜의 전파속도는 급속도로 빨라지고 있으며, 그로인한 피해 규모는 날이 갈수록 증폭되고 있다. 이러한 인터넷 웜에 효과적으로 대응하기 위하여 본서에서는 알려지지 않은 신종 웜 탐지 기술에 대하여 알아본다.
서동원, 이희조, "VoIP 공격 탐지기술", 정보보호21c, Vol. 88, pp. 78-81, Dec. 1. 2007.
Voice over IP(이하 VoIP)는 저렴한 요금과 국제 전화의 용이성등으로 인하여 그 사용률이 급증하고 있다. 이 VoIP에서 전화 연결을 맺을 때 사용하는 Session Initiation Protocol(이하 SIP)에서 일어날 수 있는 위협을 논하고 그에 대한 탐지 방법을 알아본다.
한제헌, 이희조, "알려지지 않은 스파이웨어 탐지 기술", 정보보호21c, Vol. 87, pp. 78-81, Nov. 2007.
최근 인터넷에 접속한 10대의 PC중 9대가 스파이웨어에 감염된다는 보고가 있다. 그러나 대부분의 사용자는 자신의 PC가 스파이웨어에 감염되었는지 잘 모르는 경우가 많다. 인터넷 사용자에게 큰 위협이 되는 스파이웨어를 탐지하는 기존의 스파이웨어 탐지 기술을 소개하고 새로운 탐지 기법인 HoneyID를 소개한다.
최현상, 이희조, "행위기반의 봇넷 탐지기술", 정보보호21c, Vol. 86, pp. 80-83, Oct. 1. 2007.
박현도, 김수, 이희조, 임채태, 원유재, "BcN에서의 침입감내를 위한 네트워크 디자인 연구", 한국정보과학회, Vol. 34, No. 5, pp. 305-315, Oct. 2007.
광대역통합망(Broadband Convergence Network, BcN)은 전화, 인터넷, 방송 네트워크 등 개 별적으로 운용되어오던 네트워크들을 하나의 통합망으로 구축, 구동, 관리하는 차세대 네트워크이다. 개별적으로 운용되어오던 네트워크들이 하나로 통합되면서 서비스 별로 산재해 있던 네트워크의 위협요소는 하나의 통합망에서 더욱더 위력적인 요소로 다가올 것이다. 본 논문에서는 BcN 서비스들이 악성 공격에 대해 지속적인 서비스 운영을 보장하기 위한 네트워크 디자인 방법을 제안한다. 본 연구는 서비스 시간과 공간 중요도를 바탕으로 BcN 필수 서비스 구성요소를 도출하고, 구성요소의 형태에 따라 서버 형태, 게이트웨이 형태, 복합 형태의 세 가지 타입으로 구분한다. BcN 환경에서 발생 가능한 공격 시나리오들을 통 해 BcN 필수 서비스의 침입감내 기술 적용 방안을 모색한다. 이를 통하여 하드웨어 중복성과 Policy 서버 의 보안 정책 설정을 통한 BcN 침입감내 네트워크 디자인을 제안한다. 본 논문에서는 제안한 프로토타입 네트워크를 BcN에 적용하기 전과 적용한 후 BcN에서 공격이 발생되었을 때의 시나리오를 통하여 BcN의 침입감내를 가능케 함을 보인다. 키워드 : BcN, 광대역통합망, 침입감내, 중복성, Policy 서버
Nguyen Ngoc Diep, 이승룡, 이영구, 이희조, "Risk Assessment and Access Control for Ubiquitous Environments", 한국정보처리학회, Vol. 14, No. 1, pp. 1107-1109, May. 2007.
Nguyen Ngoc Diep, 이승룡, 이영구 and 이희조, "Risk Assessment and Access Control for Ubiquitous Environments", 한국정보처리학회, Vol. 14 , No. 1 , pp. 1107-1109 , May. 2007.
이창희, 이희조, "소유 매체 정보 정보를 이용한 패스워드 강화방법", 한국정보처리학회, Vol. 13, No. 2, Nov. 2006.
사용자들은 기억력의 한계로 인하여 동일한 패스워드를 많은 사이트에 사용하고 있다. 이로 인해 한 사이트에서 획득한 패스워드를 사용하여 다른 사이트를 공격하는 것이 용이하다. 패스워드 강화 방법은 이러한 공격을 막기 위해 엔트로피가 낮은 패스워드로부터 엔트로피가 높은 패스워드를 만드는 방법이다. 본 논문에서는 신용카드, 신분증과 같이 사용자가 가지고 다니는 소유 인증 매체의 정보를 이용하여 사용자의 패스워드를 강화하는 방법을 제안한다. 실험결과 제안하는 방법은 기존 연구와 같은 보안성을 유지하면서도 강화된 패스워드 생성시간을 1/370 배로 단축하는 효과가 있다.
김성희, 이희조, "관계형 데이터베이스를 활용한 XML 보안 모델에 관한 연구", 한국정보처리학회, Vol. 13, No. 2, Nov. 2006.
XML이 인터넷상에서 문서를 표현하고 교환하기 위한 표준으로 인식되면서 XML에 대한 보안 요구가 커지고 있다. 최근까지 XML 보안에 관한 연구는 암호화나 전자서명 같은 기밀성이나 무결성에 관한 연구가 초점이 되었다. 그러나 XML 데이터가 방대해지고 복잡해짐에 따라 XML 데이터를 이용하는 이용자의 권한에 따라 접근을 허용하거나 거부할 수 있는 관리적인 측면에서의 보안 기법의 연구가 요구되고 있고, 이를 해결하기 위해서 XML 에 대한 접근제어에 관한 여러 연구가 있어 왔다. 그러나 기존 연구들은 XML 데이터가 관계형 데이터베이스에 존재한다는 사실을 간과한 결과 관계형 데이터베이스의 여러 보안정책을 활용하지 못하는 단점이 있다. 이에 본 연구에서는 관계형 데이터베이스의 기존 기술을 이용하여 XML 문서의 보안 모델을 제안하고자 한다.
이한우, 최현상, 이희조, "DNS기반의 봇넷 탐지 시스템", 한국정보처리학회, Vol. 13, No. 2, Nov. 2006.
인터넷의 비약적 성장과 더불어 인터넷에서의 악성행위 기술도 함께 빠르게 고도화 되고 있으며 이에 따른 피해의 규모 또한 점점 커지고 있다. 종래의 대표적 악성코드인 바이러스, 웜과는 달리 근래에는 해킹을 이용해 경제적 이득을 취하기 위해 전문적이고 조직적인 네트워크를 형성하고 이를 통해 악성행위를 수행하고 있다. 최근 봇넷이라고 하는 네트워크가 이러한 악성행위를 수행하는데 주로 이용되고 있다. 즉, 봇넷이란 악성 프로그램인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어져 있는 형태를 말하며, 이렇게 구축된 거대한 봇넷을 이용하여 개인정보의 탈취, DDoS공격과 피싱 및 스팸 메일의 발송 등과 같은 여러 악성행위를 수행한다. 이처럼 최근 사이버 보안의 최대의 위협 요소로 대두되고 있는 봇넷에 의한 피해를 최소화하기 위해서 그 대응책이 절실히 필요하다. 이에 본 연구에서는 봇넷의 C&C(Command & Control)과정에서 발생되는 DNS 쿼리를 분석하여 정상적인 DNS쿼리와 구분되는 봇넷 DNS 쿼리 특성을 이용한 봇넷 탐지 시스템을 제안한다.
김주호, 이희조, "DoS 공격 차단을 위한 효율적인 SYN-Proxy 설계", 한국정보처리학회, Vol. 13, No. 2, Nov. 2006.
최근 네트워크를 통한 사이버 공격의 형태가 날로 지능화, 조직화, 복잡화의 추세를 보이고 있어 이에 대한 효율적인 탐지와 대응 또한 날로 어려워지고 있다. 무엇보다도 TCP 의 3-way handshake 의 취약점을 이용한 서비스 거부 공격 또한 갈수록 정교화, 대형화되고 있어 네트워크의 가용성에 대한 가장 심각한 위협으로 대두되고 있다. 이러한 서비스 거부 공격 차단을 위해 ACL 을 이용하여 내부 네트워크 주소만을 허용시키는 Packet Filtering 방안이나 위조 IP 를 찾기 위한 Packet Marking, 3-way handshake 의 취약점을 보완하기 위해 Proxy 방식으로 이를 대신하는 SYN-Proxy 방식에 대한 논의가 활발히 이루어져왔다. 하지만 이러한 방식으로는 급격한 PPS 를 발생시키는 최근의 서비스 거부 공격을 효율적으로 차단할 수 없고 SYN-Proxy 방식 또한 모든 TCP Protocol 에 대한 Proxy 를 수행함에 따라 이에 따른 네트워크의 전송 지연 증가와 SYN-Proxy 을 수행하는 네트워크 장비의 성능문제로 인하여 이를 실제 네트워크에 적용하기란 쉽지 않다. 본 논문에서는 위와 같은 SYN-Proxy 수행 시 발생하기 쉬운 문제점을 보완하여 실제 네트워크에 이를 적용하여 효율적으로 서비스 거부 공격을 차단할 수 있는 개선된 SYN-Proxy 모델을 제안한다.
금준규, 이희조, "Hotlisting과 Tracking 방지를 위한 RFID인증 프로토콜에 관한 연구", 한국정보처리학회, Vol. 13, No. 1, May. 2006.
RFID시스템은 태그와 리더, 백엔드DB로 구성되는 무선인식시스템으로 용도와 기능, 크기에 따라 다양하지만 가장 널리 사용될 것으로 예상되는 것은 저가 수동형 태그로 향후 바코드시스템을 대체할 것으로 기대된다. 이러한 RFID시스템은 적법한 리더와 태그에게 정보를 전달해서 도청자로부터 통신을 방해받지 않아야 하고, 원하지 않는 태그 정보의 노출로 인한 개인 프라이버시 침해를 방지할 수 있어야 한다. 본 논문에서는 불특정다수가 이용하는 많은 양의 아이템을 취급하는 공공도서관에서 RFID시스템을 도입함에 따라 예상되는 개인 프라이버시 침해를 방지하기 위해 보안 요구사항을 만족하면서 시스템 사용 환경에 맞는 프라이버시 보호 방식을 제안한다.
류우권, 이희조, "유비쿼터스 환경에 적합한 홈네트워크 보안요구사항 및 대응 방안", 한국정보처리학회, Vol. 13, No. 1, May. 2006.
최근 들어 언제 어디서나 컴퓨팅이 가능한 유비쿼터스 컴퓨팅(Ubiquitous Computing) 사회가 되면서 개인의 컴퓨팅 환경 의존도가 증가되었고, 따라서 사이버공격으로 인한 개인생활의 위협도 증가할 수 밖에 없게 되었다. 더욱이 향후에는 원격진료와 같이 개인의 생명과 직결된 유비쿼터스 서비스가 활성화될 것이므로 사이버공격으로 인해 재산뿐 아니라 생명까지 위험에 처하는 경우가 늘어나게 될 것이다. 이로 인해 유비쿼터스 환경에 적합한 홈네트워크 보안(Home Network Secutity)의 중요성이 부각되게 되었다. 본 논문에서는 안전한 U-홈네트워크(Ubiquitous-Home Network) 구축에 필요한 기술들을 유․무선 기준으로 구분하고, U-홈네트워크 환경에서 발생할 수 있는 다양한 침해유형을 분석하여, 이를 막아낼 수 있는 대응방안을 수립하고, 안전한 U-홈네트워크 구축을 위해 필요한 기존의 보안요구사항들을 살펴본 후에 U-홈네트워크에 적합한 추가적 보안사항을 제안하고자 한다.
정현철, 이희조, "무선랜 보안 실태 조사 및 분석을 통한 보안 강화 방안 연구", 한국정보처리학회, Vol. 13, No. 1, pp. 857-860, May. 2006.
최근 기업의 무선랜 인프라 도입이 본격화 되고 가정내 유.무선 공유기의 보급으로 인하여 무선랜의 사용이 대중화 되고 있다. 하지만 급속한 대중화 과정에서 무선랜 사용자 및 운영자의 보안의식 부족으로 각종 무선랜 해킹 위협에 노출 되어 있다. 또한 현재의 무선랜 보안 현황이 제대로 파악 되어있지 못해 어떤 부분에 대한 보안이 시급한지에 대한 정보가 부족하였다. 이에 본 고에서는 무선랜 IDS(Intrusion Detection System)를 이용한 무선랜 보안 실태 조사를 실시하여, 실제 여러 지역의 무선랜 보안 현황을 통계치 기반으로 파악하였다. 또한 이를 바탕으로 현재 무선랜 환경에서 가장 중요하고 발생 가능성이 높은 문제점이 무엇인지 제시하고 그 해결을 위한 가이드 라인을 제시하고자 한다.
최현상, 이희조, "PCAV : 평행좌표계를 이용한 네트워크 공격의 시각화", 한국정보과학회 한국컴퓨터종합학술대회, Vol. 32, No. 1, pp. 130-132, Jul. 2005.
인터넷상의 수많은 트래픽 정보 중에서 악성 트래픽 정보를 빠르게 감지하는 것은 그 정보의 방대함 때문에 쉽지 않다. 공격시각화(Attack Visualization) 기법은 이런 수많은 정보 중에서 악성 트래픽 정보를 좀 더 쉽게 인지하게 함으로써 새로운 공격에 대해서 빠른 대응과 피해 최소화를 하는데 활용할 수 있다. 본 연구에서는 평행좌표계(Parallel Coordinates)를 이용해 공격시각화를 하여, 분산 서비스 거부 공격, 웜, 스캐닝 공격 등 인터넷상에 알려진, 혹은 알려지지 않은 새로운 공격들에 대해 빠른 대응을 하기위한 기술 연구를 하였으며, 각 공격들의 특정 시각화 패턴을 감지하고 이를 알려주는 이상탐지(anomaly detection) 시각화 시스템 PCAV를 구현하였다. PCAV 시스템을 통해 네트워크 관리자는 실시간으로 트래픽 정보와 공격들의 시각화 정보를 원격에서도 모니터링하고 이를 통해 즉시 대응하는 것이 가능하다. 또한, 이전에 발생한 공격들의 시각화 정보를 확인하고 이를 분석하는 것과, 알려지지 않은 공격이 발생했을지라도 그 공격의 시각적 패턴이 나타났을 때 즉각 공격 서명(signature)으로 활용 하는 것이 가능하다.
박현도, 이희조, "랜덤성을 이용한 알려지지 않은 신종 웜에 대한 탐지 기법", 한국정보과학회 한국컴퓨터종합학술대회, Vol. 32, No. 1, pp. 133-135, Jul. 2005.
인터넷에서 일어나는 침해사고 중에서 웜에 의한 피해가 가장 심각하다. 2001 년 Code Red 웜의 출현과 2003 년 SQL Slammer 웜의 출현 이후로 웜에 감염된 이후에 행동 양상을 탐지하여 대응하는 것은 웜의 피해를 최소화 하기에는 역부족이다. 웜에 의해서 감염이 되기 이전에 웜을 탐지하여 조기에 대처하는 것이 무엇보다 중요하다. 또한 이미 알려져 있는 웜에 대한 행동양상을 이용한 웜의 탐지는 신종 웜의 출현 주기가 급격히 짧아지는 현실에 능동적으로 대처할 수 없다. 현재까지 발생한 인터넷 웜은 감염시킬 대상을 선택함에 있어서 랜덤 생성기를 사용하였으며, 향후 나타날 웜도 빠른 확산과 자신의 위치를 드러내지 않기 위해 랜덤 스케닝 방식을 사용할 것이다. 본 연구는 네트워크의 연결들을 행렬로 표현하고, 이 행렬의 랭크(rank)값을 구하여 랜덤성 체크를 하는 방식으로, 웜으로 인한 트래픽에서 발생하는 랜덤성을 탐지할수 있도록 하였다. 이 방법은 네트워크에서 알려지지 않은 신종 웜을 탐지하도록 하므로, 웜에의한 확산을 조기 탐지할 수 있게 하고, 더불어 웜의 피해를 최소화 하는 것을 목적으로 한다.
이희조, "Improving Internet Infrastructure Security", Telecommunications Review, Vol. 13, No. 2, pp. 235-245, Apr. 2003.
인터넷의 의존도가 증가됨에 따라 인터넷 마비로 이어지는 보안사고의 위협이 점차 증가되고 있다. 최근의 인터넷 보안 사고로부터 인터넷 기반구조의 보안 문제점들이 부각되고 있으며 관련 연구의 필요성이 제기되고 있다. 그러나 이제까지의 인터넷 보안관련 연구는 기반구조 보호 측면보다는 주로 정보의 보호라는 관점에서 진행되어 왔다. 본 논 문에서는 인터넷의 기반구조를 도메인네임 시스템(DNS), 네트워킹 장비, 라우팅 프로토콜, 네트워크 연결 구조로 구 분하고 이들에 대한 공격 위험성을 분석하며 보안을 강화하기 위한 방안과 앞으로의 연구 방향을 제시한다.