[논문]KOSIGN:정보보호제품 관점의 사이버위협정보 공유 체계

임원식; 윤명근; 조학수

[국내논문] KOSIGN:정보보호제품 관점의 사이버위협정보 공유 체계 원문보기

情報保護學會誌 = KIISC review, v.28 no.2, 2018년, pp.20 - 26

임원식 (국민대학교 소프트웨어융합대학 컴퓨터공학과 정보보호연구실) , 윤명근 (국민대학교 소프트웨어융합대학 컴퓨터공학과 정보보호연구실) , 조학수 ((주)윈스 연구개발본부)

초록
AI-Helper

맥아피 연구소의 2017년 12월 위협 보고서에 따르면 2017년 3분기에만 사상 최대인 5,760만개의 신규 악성코드가 수집되었다. 쏟아지는 악성코드와 신규위협에 대응하기 위해 각 기관의 위협대응센터에서 정보를 분석해 대응정책을 수립하고 보안제품을 운영하기에는 한계에 봉착했다. 위협대응 비용을 절감하고 사이버위협에 선제적으로 신속하게 대응하기 위해 사이버위협 정보 공유 체계 구축이 해법으로 제시되고 있다. 국내 보안산업계 또한 사이버위협정보 공유의 필요성이 증대되고 있으며 2017년부터 KOSIGN(Korea Open Security Intelligence Global Networks) 프로젝트를 통해 정보수집체계, 분석시스템, 정보 표현 포맷과 공유 프로토콜 정의 및 각 주체간의 정보공유를 위한 동기부여 방안에 대해 연구가 진행되고 있다. 본 논문에서는 해외 및 국내의 정보공유체계 동향에 대해 소개하고 KOSIGN 프로젝트에서 수행한 정보공유체계에 적용한 기술에 대해 소개하고자 한다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 사이버위협정보 공유에 대한 국제 및 국내 동향과 정보공유 체계에 대한 소개와 2018년 현재 개발 중에 있는 국내 정보보호 산업계 중심의 사이버위협정보 공유시스템인 KOSIGN에 대한 소개와 사이버위협정보 공유의 문제점과 대응방안을 제시하고자 한다.
본 연구에서는 보안 산업계를 중심으로한 사이버위협정보 공유체계의 구축과 운영에 필요한 요건을 분석하고 사이버 위협 정보공유시스템으로서 KOSIGN의 구현 내용을 소개하고자 한다.
KOSIGN에서 공유하는 정보는 정보공유체계를 거쳐 최종적으로 방화벽, 침입방지시스템,백신,라우터 등 각 보안제품에서 보안정책으로 활용 가능한 정책을 공유하는 것을 목표로 한다. 보안제품에서 사용 가능한 정보와 정책을 기술하기 위해 STIX 표준을 사용하여지시자(Indicator)를 중심으로 한 위협정보를 생산한다.

제안 방법

KOSIGN에서 공유하는 정보는 정보공유체계를 거쳐 최종적으로 방화벽, 침입방지시스템,백신,라우터 등 각 보안제품에서 보안정책으로 활용 가능한 정책을 공유하는 것을 목표로 한다. 보안제품에서 사용 가능한 정보와 정책을 기술하기 위해 STIX 표준을 사용하여지시자(Indicator)를 중심으로 한 위협정보를 생산한다.
STIX는 사이버 위협정보의 개념을 총 8개의 구성요소로 구조화하여 표준화 하였다. [그림2]는 STIX v1.
행위를 추출하기 위해서는 모니터링 도구와 “Capture BAT”과 같은 시스템 레지스트리 모니터링 도구와 프로세스 모니터링 도구, “Wireshark”과 같은 트래픽 모니터링 도구, “Regshot”과 같은 시스템 변형 탐지 도구를 활용한다.
KOSIGN에서는 2017년 7월27일부터 9월30일까지 총 66일간 수집한 윈도우 실행 악성코드 파일 3,494,747건을 사용하여 CNN을 활용하여 분석하였다. 66일 중 초기 35일을 학습용 데이터로 활용하고 이후 31일을 테스트 데이터로 사용하여 시계열에 따른 지속적 학습∙검증 모델로 활용할 수 있도록 시험을 설계하였다[7]

대상 데이터

전문가가 분석하여 레이블을 정의하기에는 학습데이터가 너무 방대한 것이 문제이다. 본 연구에서는 카스퍼스키(Kaspersky) 백신의 탐지 레이블을 활용하였다.
KOSIGN에서는 2017년 7월27일부터 9월30일까지 총 66일간 수집한 윈도우 실행 악성코드 파일 3,494,747건을 사용하여 CNN을 활용하여 분석하였다. 66일 중 초기 35일을 학습용 데이터로 활용하고 이후 31일을 테스트 데이터로 사용하여 시계열에 따른 지속적 학습∙검증 모델로 활용할 수 있도록 시험을 설계하였다[7]

이론/모형

0에서는 JSON으로 변경되었고, 암호화를 위해 모든 통신에 HTTPS(HTTP over TLS)로 변경하였다. 또한 인증은 HTTP 기본 인증규격인 RFC7617을 채용하였다.
QoI의 네 측도를 평가자 또는 공유정보를 활용하는 회원들이 매번 평가하는 것은 비용과 정확도에 문제가 발생한다. 이를 위해 일정 규모의 학습데이터를 구축하여 이를 학습한 이후에 회원이 제공한 공유데이터에 LDA를 이용하여 추정하는 방법론을 활용하였다[11].
사이버 공격이 고도화됨에 따라 위협 대응 비용을 낮추고 신속하게 대응하기 위해 사이버위협정보 공유체계를 구축함에 있어 정보의 수집-분석-공유-적용 단계별 자동화가 필요하다. 수집된 정보에 대해 신속하고 정확한 분석을 위해 기계학습을 적용한 자동 분석시스템을 적용한다. 자동화된 공유체계를 유지하기 위해 STIX와 TAXII의 정보시스템 공유 표준을 공유시스템과 보안장비에 적용하여 공유 비용과 배포시간을 단축시킬 수 있다.

성능/효과

그 결과 악성과 정상만을 구분하는 이진 분류 시 98%의 정확도를 악성에 대해 29개의 세부 그룹까지 분류하는 다중분류의 경우 83%의 정확도를 기록하였다[8]([그림3] 이진 분류기,[그림4] 다중 분류기)

질의응답

핵심어	질문	논문에서 추출한 답변
	정보공유분석센타의 최초 설립 당시 목적은 무엇이었는가?	1998년 정보공유분석센타(ISAC,Information Sharing& Analysis Center) )이 최초 설립 당시에는 국가기반시설에 대한 취약점 정보 공유 및 대응이 목적이었다. 2013년 2월 미행정부는 주요 기반시설의 사이버보안 강화를 위한 행정명령을 발효하였으며, 사이버보안 정보공유시스템 구축과 민관 정보공유 강화가 포함되었다.
	NIST에서 사이버위렵정보의 구체적인 예로 무엇을 들고 있는가?	NIST에서 사이버위협정보는 조직이 위협으로부터 자신을 보호하거나 탐지하는 활동에 도움이 되는 정보로 정의하고 있다. 구체적으로는 지시자(Indicators), 전략기술절차(TTP), 보안경보(Security Alerts), 위협 첩보 보고서(Threat Intelligence reports), 도구 설정(Tool configurations)을 예로 들고 있다[4].
	악성코드 증가 원인으로 전문가들은 무엇을 꼽고 있는가?	맥아피 연구소의 2017년 12월 위협보고서에 따르면 2017년 3Q에 사상 최대인 5,760만개의 신규 악성코드를 수집했다[1]. 악성코드 증가 원인으로 전문가들은 악성코드 소스의 공개 및 자동제작도구의 등장으로 인한 손쉬운 악성코드 개발을 원인으로 꼽고 있다[2].

참고문헌 (12)

McAfee Labs, "McAfee Labs Threat Report", McAfee, Dec. 2017.
강홍구, 김경한, 유대훈, 최보민, 박준형, "악성코드 행위기반 유사도 측정 기법 연구", 한국통신학회 학술대회논문집, pp. 697-698, 2017.
A. John, R. Peter, "Electric Communi- cation Development," Communications of the ACM, 40, pp. 71-79, May 1997.
NIST SP 800-150, Guide to Cyber Threat Information Sharing
보안뉴스, 국내 진출 글로벌 보안기업-KISA, 사이버위협 대응 '힘 모아', 22. Jun. 2016
Gandotra, Ekta, Divya Bansaland and Sanjeev Sofat. "Malware analysis and classification: A survey." Journal of Information Security vol. 5, no. 02, pp. 56, 2014

상세보기
Xin Hu, Sandeep Bhatkar, Kent Griffin, and Kang G. Shin, "MutantX-S: Scalable Malware Clustering Based on Static Features", USENIX ATC, 2013
정지만, 홍성현, 김영재, 명준우, 정선민, 이진우, 김준호, 윤명근, "4차 산업혁명을 대비한 딥러닝 기술의 금융보안 적용 연구", 금융정보보호공모전 최우수논문상 2017.
Aziz Mohaisen, Omar Alrawi, Mannar Mohaisen, "High-fidelity, behavior-based automated malware analysis and classification", computers & security, vol. 52, pp. 251-266, 2015

상세보기
Tomas Locher, Patrick Moor, Stefan Schmid, Roger Wattenhofer, "Free riding in BitTorrent is cheap". in Proc. Workshop on Hot Topics in Networks (HotNets), pp. 85-90, 2006.
Omar Al-Ibrahim, Aziz Mohaisen, Charles Kamhoua, "Beyond Free Riding: Quality of Indicators for Assessing Participation in Information Sharing for Threat Intelligence", arXiv preprint arXiv:1702.00552, 2017.
Deepak Tosh, Shamik Sengupta, Charles Kamhoua, Kevin Kwiat, Andrew Martin, "An evolutionary game-theoretic framework for cyber-threat information sharing", In Communications(ICC), IEEE, pp. 7341-7346 2015

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증