초록 ▼

□ 연구의 목적 및 내용
○ 연구개발 목적
✔ 은밀화·고도화되는 사이버위협을 개별적으로 탐지·분석하기 어렵고, 또한 파편화된 정보로 정확하게 대응하는데 근본적인 한계에 봉착
✔ 글로벌 보안업체들은 공격·방어 중심의 기술에서 피해 최소화를 위한 예방·대응 관점으로 보안기술 변화 중 (CTA1) 기반의 신속한 위협대응 체계 구축)
✔ 차세대 사이버위협 대응을 목적으로 악성행위학습과 Endpoint에서의 효과적인 탐지 및 대응을 위하여 Security Analytics 기반의 K-CTA(한국형 사이버 위협정보 공유

□ 연구의 목적 및 내용
○ 연구개발 목적
✔ 은밀화·고도화되는 사이버위협을 개별적으로 탐지·분석하기 어렵고, 또한 파편화된 정보로 정확하게 대응하는데 근본적인 한계에 봉착
✔ 글로벌 보안업체들은 공격·방어 중심의 기술에서 피해 최소화를 위한 예방·대응 관점으로 보안기술 변화 중 (CTA1) 기반의 신속한 위협대응 체계 구축)
✔ 차세대 사이버위협 대응을 목적으로 악성행위학습과 Endpoint에서의 효과적인 탐지 및 대응을 위하여 Security Analytics 기반의 K-CTA(한국형 사이버 위협정보 공유 연합)용 위협인텔리전스 공유 기술 개발

○ 최종목표
✔ 이기종 보안솔루션들의 효과적인 사이버위협 탐지ㆍ대응을 위한 Security Analytics 기반의 사이버위협정보를 분석ㆍ공유하는 KOSIGN (Korea Open Security Intelligence Global Network) 서비스 기술 개발
✔ 사이버위협 분석ㆍ공유 서비스 개념
- 최종 목표시스템의 워크패키지(WP)별 세부 목표
▪ WP-A : 사이버 위협 인텔리전스(CTI) 기술 개발
▪ WP-B : 멀티레이어 시큐리티 인텔리전스(MSI) 기술 개발
▪ WP-C : 보안솔루션 연계 대응(EDR) 기술 개발
▪ STIX/TAXII 기반 사이버 위협 분석 정보 연동 프레임워크 표준 개발
○ 워크패키지별 주요 기능(또는 규격)
✔ (WP-A) 글로벌 사이버 위협정보를 수집/분석하여, 공격을 추정하고 대응 방안을 제공하는 사이버 위협 인텔리전스(CTI) 기술
▪ 글로벌 위협정보 수집 및 정적/동적 분석 시스템 개발
▪ 악성코드 동작 분석 지표 추출 기술
+ 빅데이터 딥러닝을 통한 악성코드 종류별 모델 개발 및 그룹핑 기술
+ 그룹핑 정보를 활용한 위협정보 킬-체인 생성 기술
▪ 사이버 위협정보 대응을 위한 위협대응 정보 배포 시스템 개발
✔ (WP-B) 이기종 장비에서 전송되는 STIX 형식의 다양한 이벤트를 빅데이터 기반으로 수집/저장하고, 수집된 정보를 침해지표 기준으로 Security Analytics 기술을 활용하여 인과관계를 분석하고, 향후 예상되는 위협까지 대응할 수 있는 멀티레이어 시큐리티 인텔리전스(MSI) 기술
▪ 이기종 보안 장비/Agent의 실시간 이벤트 수집 시스템 개발
▪ 침해지표(IoC) 기반 연관/인과관계 분석을 통한 공격흐름(IoA) 생성기술
+ 네트워크 악성 트래픽 그룹핑을 통한 사이버 공격 탐지 기술
▪ 공격흐름 정보를 표준화된 표현(STIX)/전달(TAXII) 정보 생성/변환 기술
▪ 이기종 보안솔루션간 표준화 API 기반으로 이벤트/제어정보 연동 기술
✔ (WP-C) 이기종 보안장비들의 보안이벤트를 STIX/TAXII 기반으로 정보 연계하고, 추론된 위협에 효과적으로 대응할 수 있는 단말보안제품과의 연계대응 (EDR) 기술
▪ 위협정보 연동을 위한 구성요소 간의 상호 인증 기술
▪ 위협정보 표준 포맷(STIX)/교환(TAXII) 모듈 개발(API 활용)
▪ 단말의 위협 대응을 위한 EDR 시스템 개발
○ 워크패키지별 주요 성능치
✔ WP-A(CTI)관련 주요 성능치
▪ 악성코드 동작분석 판단 지표 : 200건 이상
▪ 악성코드 유사도분석 성능 : 0.05초 이하
✔ WP-B(MSI)관련 주요 성능치
▪ MSI 플랫폼의 이벤트 수집성능 (호스트 1대 기준) - 150,000 ESP 이상
▪ 이벤트 분류정확도 : 악성 트래픽 탐지율(Recall) 98% / 탐지 정확도 (Precision) 98%
✔ WP-C(EDR) 관련 주요 성능치
▪ 로그 검색 소요시간 : 2초 (100만 로그 중, 특정 로그 조회)
▪ 기계학습 기반 비정상행위 탐지율 : 95%
○ End Product
✔ 사이버 위협 인텔리전스(CTI) 플랫폼
▪ 악성코드 자동수집 및 연동시스템(서버 탑재형 SW)
▪ 악성코드 분류 및 그룹별 킬-체인 생성 시스템(서버 탑재형 SW)
▪ 악성코드 공유서비스 포탈시스템(서버 탑재형 SW)
✔ 시큐리티 인텔리전스(MSI) 플랫폼
▪ STIX/TAXII 기반의 대용량 이벤트수집 시스템(서버 탑재형 SW)
▪ Security Analytics 기반의 통합관제시스템(서버 탑재형 SW)
✔ 보안솔루션 연계대응(EDR) 기술 개발
▪ STIX/TAXII 기반 이벤트 연동API 모듈(서버 탑재형 SW)
▪ 호스트 행위 수집 및 차단 시스템(서버 탑재형 SW)

□ 연구개발성과
○ 개발결과물의 기술적 우위
✔ 악성파일 분석기술 비교
▪ 상용서비스 : 정적/동적 분석을 통한 DNA 수준의 악성코드 유사성을 분석하고, 분석된 결과로 악성행위를 예측
▪ 개발 결과물 : 정적/동적 분석을 통한 DNA 수준의 유사성을 분석하고, 공통행위를 기반으로 행위랭크를 추출하여 향후 발생될 수 있는 주요 행위까지 예상할 수 있는 악성분석 기술로써 기술적인 우수성을 가짐
✔ 위협정보 공유 분야
▪ 동적/정적 분석된 위협정보를 표준화된 STIX2.0으로 저장(일부 항목은 사용자 정의를 통해 Snort/YARA 정책까지 저장할 수 있는 구조를 가짐)
▪ TAXII 2.0 표준을 준수하는 HTTP RESTful API를 지원하는 Java, Python,C++ TAXII 클라이언트 라이브러리로(API 및 소스)까지 공개
▪ 표준 STIX/TAXII 2.0 API 및 개발 메뉴얼 공개. 보안제품에 신속하게 적용할 수 있음
▪ 국내 주요 보안벤더(네트워크벤더 : 윈스/시큐아이/지란지교, EDR벤더 : 소만사/한류AI센터, 백신벤더 : 세인트시큐리티)의 협의된 컬렉션별 ID로 검증 완료

□ 연구개발 성과 활용계획 (기대효과)
○ 정성적 기대 성과목표
✔ 위협정보공유(WP-A : CTI) 기술 분야
▪ KOSIGN–CTI 기술 제품화
▪ KT 관제솔루션 연동의 단위기술 활용
▪ 악성파일 분석 기술 후속연구
✔ 관제솔루션(WP-B : MSI) 기술 분야
▪ STIX/TAXII 후속 연구
▪ Secured STIX/TAXII 상용화 추진
✔ 단말보안 (WP-C : EDR) 기술 분야
▪ EDR 제품과 소만사 기존 제품과의 연동을 통한 차별화 기능 기회
▪ STIX/TAXII 모듈 탑재한 시큐아이 제품의 연동기능 고도화
▪ 메일보안 어플라이언스 및 클라우드 제품 개발

(출처 : 요약문 4p)

목차 Contents

• 표지 ... 1
• 제 출 문 ... 2
• 보고서 요약서 ... 3
• 요약문 ... 4
• 목차 ... 13
• 그림목차 ... 14
• 표목차 ... 19
• 1. 연구개발과제의 개요 ... 20
• 1-1. 연구개발 목적 ... 20
• 1-2. 연구개발의 필요성 ... 23
• 1-3. 연구개발 범위 ... 27
• 2. 연구수행내용 및 성과 ... 29
• 2-1. 1차년도(2017년) 수행내용 및 성과 ... 29
• 2-2. 2차년도(2018년) 수행내용 및 성과 ... 52
• 2-3. 3차년도(2019년) 수행내용 및 성과 ... 120
• 3. 목표 달성도 및 관련 분야 기여도 ... 139
• 3-1. 최종 개발 목표 ... 139
• 3-2. 목표 달성여부 ... 142
• 3-3. 목표 미달성 시 원인(사유) 및 차후대책(후속연구의 필요성 등) ... 148
• 4. 연구개발성과의 활용 계획 등 ... 149
• 4-1. 향후 5년간 성과활용·확산 활용방안 및 계획(활동계획) ... 149
• 4-2. 주요 성과활용 (기대)성과목표 ... 153
• 4-3. 성과활용·관리 추진체계 ... 158
• 붙임 1. 사업화대상기술별 기술명세서 ... 160
• 붙임 2. 자체 보안관리 진단표 ... 161
• 붙임 3. 국방부의 사이버사령부 실증 시험 결과 ... 162
• 끝페이지 ... 163