KR101605764B1 - 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법 - Google Patents

지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법 Download PDF

Info

Publication number
KR101605764B1
KR101605764B1 KR1020150096186A KR20150096186A KR101605764B1 KR 101605764 B1 KR101605764 B1 KR 101605764B1 KR 1020150096186 A KR1020150096186 A KR 1020150096186A KR 20150096186 A KR20150096186 A KR 20150096186A KR 101605764 B1 KR101605764 B1 KR 101605764B1
Authority
KR
South Korea
Prior art keywords
mail
information
attribute
history
pattern
Prior art date
Application number
KR1020150096186A
Other languages
English (en)
Inventor
송동수
김경인
박창환
Original Assignee
(주)다우기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)다우기술 filed Critical (주)다우기술
Priority to KR1020150096186A priority Critical patent/KR101605764B1/ko
Application granted granted Critical
Publication of KR101605764B1 publication Critical patent/KR101605764B1/ko

Links

Images

Classifications

    • H04L51/12
    • G06F17/30985
    • H04L51/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • H04L51/30
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 이메일을 사전 차단할 수 있도록 하고, 이력을 바탕으로 검사시 검사 오류를 최소화하도록 지원하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법에 관한 것이다. 본 발명에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템은 DKIM을 통해 인증된 메일 서버에서 송부되는 이메일이 위험 이메일로 분류되는 긍정오류를 방지할 수 있는 동시에 메일 클라이언트의 변경이나 이력정보의 부재 및 서버의 IP 변동과 같은 다양한 경우에 대응되어 발생하는 긍정 오류 및 부정오류의 발생 빈도를 감소시켜 APT가 의심되는 위험 이메일이 정확하게 분류되도록 지원하는 효과가 있다.

Description

지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법{Record comparing system and method for detecting Advanced Persistent Threat}
본 발명은 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 이메일을 사전 차단할 수 있도록 하고, 이력을 바탕으로 검사시 검사 오류를 최소화하도록 지원하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법에 관한 것이다.
최근 이메일을 통해 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 공격을 가하는 지능형 지속 위협(이하, APT: Advanced Persistent Threat)이 등장하고 있으며, 이러한 APT 공격은 악성코드를 심은 이메일을 실행한 특정 조직 내부 직원의 PC를 장악하고, 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 수법이다.
이러한, APT 공격의 특징은 지속성과 은밀함으로서, APT의 공격 기간은 평균 1년으로, 길게는 5년 가까이 공격을 하는 경우도 있어 APT의 공격을 당했는지는 확인하기 어려운 경우도 적지 않다.
따라서, 이러한 APT 관련 이메일의 실행에 따른 보안 위협을 방지하기 위한 다양한 기술들이 등장하고 있으며, 일례로 별도의 가상 머신을 마련하고 해당 가상 머신 상에서 위협이 예상되는 파일을 실행하여 문제가 발생하는 경우 가상 머신을 통해 사전에 차단할 수 있도록 제공하는 시스템이 있다.
그러나, 이러한 시스템은 서로 다른 사용자에 대응되어 개별 가상 머신을 구비해야 하므로, 상당한 비용이 발생하는 문제점이 있다.
또한, 일부 APT를 위한 악성 파일은 실행 환경을 탐지하여 가상 환경시 실행되지 않도록 하거나 일정 기간 이상 잠복 상태로 대기하다가 특정 동작 상태를 감지하는 경우 실행되어 APT 공격을 수행하도록 동작할 수 있다.
이에 따라, 이러한 잠복기를 가지거나 가상 환경을 인식하여 동작하는 파일은 사전 차단이 불가능하며, 이러한 악성 코드의 실행시간을 예측할 수 없어 해당 악성 코드를 탐지하는데 상당한 시간이 소요되는 문제점이 있다.
한편, 기존 APT 관련 이메일을 탐지하기 위한 다른 방법으로 특정 메일 클라이언트나 특정 메일 서버의 IP 정보를 지정하여, 해당 특정 메일 클라이언트 또는 특정 메일 서버의 IP 정보와 일치하는 이메일을 APT 관련 이메일로 탐지하여 사전 차단하는 방식이 있다.
그러나, 이러한 방식은 메일 클라이언트의 문자열 비교를 통해 일치 여부를 판단하는 경우 메일 클라이언트의 특성에 따라 같은 종류의 프로그램이더라도 버전이 변경되는 경우 정상 이메일이더라도 이를 APT 관련 이메일로 탐지하여 긍정오류(FP: False Positive)를 발생시킬 수 있다.
또한, 이러한 방식은 메일 서버의 IP 정보에 대한 비교를 통해 일치 여부를 판단하는 경우 Google과 같이 대형 포털에서 사용하는 메일 서버의 수가 수백, 수천 이상이므로 APT 관련 이메일이 동일 대형포털에서 기존에 이용한 메일 서버와 다른 메일 서버를 통해 전송되면 정상 이메일임에도 불구하고 이를 APT 관련 이메일로 탐지하여 상기 긍정오류를 발생시킬 수 있다.
더하여, 이러한 방식을 적용하는데 있어서 메일 서버의 IP 정보가 지속적으로 변경될 수 있어 APT 관련 이메일이 경유한 메일 서버의 IP 정보 변경에 따라 해당 이메일을 탐지하지 못하고 정상적인 이메일로 판단되는 부정오류(FN:False Negative)가 발생할 수도 있다.
따라서, 기존 APT 관련 이메일에 대한 정확한 탐지와 더불어 긍정오류와 부정오류를 최소화할 수 있도록 지원하기 위한 시스템 개발이 요구되고 있다.
한국등록특허 제10-0927240호
상술한 문제점을 해결하기 위하여, 본 발명은 일정 기간 동안 수집된 이메일의 패턴을 분석하고 정규화하여 그 데이터를 기반으로 새로 유입된 메일의 위험성 여부를 판단하고, 가상 머신에 비해 저비용으로 APT 공격을 위한 이메일을 정확하게 탐지할 수 있는 시스템 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 APT 위험이 있는 이메일에 대한 탐지시 긍정오류와 부정오류의 발생을 최소화하여 정상 이메일과 APT 관련 이메일을 정확히 구분할 수 있도록 지원하는 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템은 이메일을 수신하는 이메일 수신부와, 상기 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부와, 상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부와, 상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부 및 상기 이메일 수신부를 통해 수신된 최근 이메일에 대하여 DKIM(Domain Key Identified Mail)에 따른 전자 서명을 인증하고, 인증에 실패한 경우 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하고, 상기 이력정보가 존재하는 경우 상기 데이터 추출부로부터 상기 최근 이메일에 대하여 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하되, 상기 기준에 대응되어 미리 설정된 비교 방식에 따라 문자열 비교인 경우 미리 설정된 퍼지 매칭 알고리즘을 통해 산출된 상기 속성정보와 패턴정보 사이의 유사도가 미리 설정된 기준치인 경우 긍정오류를 줄이기 위해 정상으로 판단하는 검사부를 포함할 수 있다.
본 발명과 관련된 일 예로서, 상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 미리 설정된 하나 이상의 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 이력정보를 저장하는 저장부를 더 포함하며, 상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 검사부는 상기 최근 이메일에 대하여 경유 메일 서버 중 최종 메일 전달 서버에 대한 속성정보와 패턴 정보의 상호 비교시 상기 패턴 정보에 따라 미리 설정된 인증 메일 서버로 판단된 경우 상기 인증 메일 서버에 대응되어 미리 설정된 IP 범위와 상기 속성정보에 따른 IP 정보를 상호 비교하며, 상기 IP 범위 내에 상기 IP 정보가 포함되는 경우 정상으로 판단하여 긍정오류를 감소시키는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 검사부는 상기 최근 이메일의 송신자에 대응되는 이력정보가 존재하지 않으며 상기 최근 이메일에 첨부된 첨부파일의 확장자가 미리 설정된 확장자와 동일한 경우 상기 최근 이메일에 대응되는 수신자의 수신 이력에 따른 국가와 상기 최근 이메일의 속성정보에 따른 경유 메일 서버 중 최초 메일 전달 서버에 대응되는 IP 정보를 기초로 식별된 송신 국가를 비교하여, 수신 이력에 송신 국가가 포함되지 않은 경우 상기 최근 이메일을 위험 이메일로 검출하여 부정 오류를 감소시키는 것을 특징으로 할 수 있다.
본 발명의 실시예에 따른 이메일을 수신하여 지능형 지속 위협을 탐지하기 위한 메일 서버의 이력 비교 방법은, 이메일을 수신하는 단계와, 상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계와, 상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계와, 상기 최근 이메일에 대하여 DKIM(Domain Key Identified Mail)에 따른 전자 서명을 인증하고, 인증에 실패한 경우 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하는 단계 및 상기 이력정보가 존재하는 경우 상기 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성하고, 상기 최근 이메일에 대하여 추출한 상기 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하되, 상기 기준에 대응되어 미리 설정된 비교 방식에 따라 문자열 비교인 경우 미리 설정된 퍼지 매칭 알고리즘을 통해 산출된 상기 속성정보와 패턴정보 사이의 유사도가 미리 설정된 기준치인 경우 긍정오류를 줄이기 위해 정상으로 판단하는 단계를 포함할 수 있다.
본 발명에 따르면, 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호하는 효과가 있다.
또한, 본 발명은 가상 머신과 같은 고비용의 장치를 구성할 필요 없이 서버단에서 용이하게 APT 공격이 의심되는 위험 이메일을 사전에 차단할 수 있으므로, 비용상 이점을 제공하는 효과가 있다.
더하여, 본 발명에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템은 DKIM을 통해 인증된 메일 서버에서 송부되는 이메일이 위험 이메일로 분류되는 긍정오류를 방지할 수 있는 동시에 메일 클라이언트의 변경이나 이력정보의 부재 및 서버의 IP 변동과 같은 다양한 경우에 대응되어 발생하는 긍정 오류 및 부정오류의 발생 빈도를 감소시켜 APT가 의심되는 위험 이메일이 정확하게 분류되도록 지원하는 효과가 있다.
도 1은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 구성도.
도 2는 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 이력정보 수집에 대한 예시도.
도 3은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 위험 이메일 검출 및 DKIM을 이용한 긍정오류 감소를 위한 동작 예시도.
도 4 내지 도 8은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 속성별 위험 이메일 검출 및 격리에 대한 다양한 예시를 도시한 예시도.
도 9 내지 도 10은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 긍정 오류 감소를 위한 다양한 동작 예시도.
도 11은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 부정 오류 감소를 위한 동작 예시도.
도 12는 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 방법에 대한 순서도.
이하, 도면을 참고하여 본 발명의 상세 실시예를 설명한다.
도 1은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템의 구성도로서, 도시된 바와 같이 이메일 수신부(110), 데이터 추출부(120), 이력 관리부(130), 패턴 분석부(140), 검사부(150)를 포함하는 메일 서버(100)로 구성될 수 있다.
이때, 상기 이메일 수신부(110)는 통신망을 통해 수신되는 이메일(E-mail)을 수신할 수 있다.
또한, 상기 데이터 추출부(120)는 도 2에 도시된 바와 같이 상기 이메일 수신부(110)를 통해 수신된 이메일로부터 미리 설정된 하나 이상의 속성에 대응되어 속성정보를 추출할 수 있다.
이때, 상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버, 메일 클라이언트(mail client) 중 어느 하나에 대응되며, 상기 데이터 추출부(120)는 상기 이메일로부터 각 속성에 대응되는 속성정보를 추출할 수 있다. 특히, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 상기 각 속성에 대응되는 속성정보를 추출할 수 있다.
다음, 상기 이력 관리부(130)는 상기 데이터 추출부(120)를 통해 추출된 속성별 속성정보를 정규화하여 이력 DB(101)에 이력정보로 누적 저장할 수 있다.
이때, 상기 이력 관리부(130)는 송수신자에 대한 속성에 대응되어 추출된 상기 속성정보를 기초로 상기 이메일의 송신자를 판단하고, 상기 이메일의 송신자에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다. 일례로, 상기 이력 관리부(130)는 속성정보에 포함된 송신자의 계정에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 이력 관리부(130)는 상기 데이터 추출부(120)와 연동하여 상기 이메일 수신부(110)를 통해 수신된 상기 이메일의 송신 시간에 대한 시간정보를 이력정보에 포함시킬 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이력 DB(101)에 누적된 복수의 이력 정보를 기초로 속성별 패턴을 분석하여 패턴정보를 생성할 수 있다.
일례로, 상기 패턴 분석부(140)는 이력 DB(101)에 상기 특정 송신자에 대응되어 누적 저장된 이력정보들 중에서 상기 특정 송신자에 대응되어 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 이력정보를 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 특정 송신자의 이메일 패턴에 대한 최신성을 유지하기 위하여 상기 이력 DB(101)에 상기 특정 송신자에 대응되어 저장된 이력정보 중 시간정보를 기초로 미리 설정된 기간 동안 미리 설정된 개수 이상의 이메일이 수신된 경우에만 상기 패턴정보를 생성할 수도 있다.
또한, 상기 패턴 분석부(140)는 상기 이메일의 수신자가 특정 송신자에 대응되어 설정한 설정정보를 기초로 상기 속성별 패턴정보를 생성할 수도 있다.
일례로, 상기 패턴 분석부(140)는 특정 메일 클라이언트에 대한 값을 상기 수신자로부터 설정받아 설정정보로 저장하고, 상기 설정정보에 대응되는 특정 메일 클라이언트를 상기 복수의 속성 중 하나인 메일 클라이언트에 대한 패턴정보로 생성할 수 있다.
한편, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 최근 이메일에 대하여 상기 각 속성별로 추출된 속성정보를 수신할 수 있으며, 속성정보 수신시 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되는 속성별 패턴정보를 생성하고, 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되는 패턴 정보를 수신할 수 있다.
이에 따라, 상기 검사부(150)는 상기 패턴 분석부(140)로부터 제공된 속성별 패턴정보와 상기 데이터 추출부(120)로부터 수신된 속성별 속성정보를 동일 속성끼리 미리 설정된 기준에 따라 비교하여 일치 여부를 판단하고, 불일치하는 경우 상기 최근 이메일을 이상이 발생한 위험 이메일로 검출할 수 있다.
이때, 상기 검사부(150)는 이상이 발생한 상기 위험 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있다.
이를 도 3을 통해 상세히 설명하면, 도시된 바와 같이 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 상기 최근 이메일에 대한 속성별 속성정보를 수신할 수 있다.
이때, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 속성별 속성정보와 함께 상기 최근 이메일을 수신하거나 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신할 수 있으며, 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신한 경우 상기 데이터 추출부(120)와 연동하여 상기 최근 이메일에 대한 상기 속성별 속성정보를 추출할 수 있다.
이에 따라, 상기 검사부(150)는 상기 최근 이메일에 대하여 추출된 속성정보에서 송신자 정보(일례로, 송신자 계정)를 검색하여 상기 최근 이메일의 송신자가 송신자 1임을 판단할 수 있으며, 상기 패턴 분석부(140)와 연동하여 상기 송신자 1에 대응되어 수신된 기존 이메일들로부터 추출된 속성정보를 기초로 생성되어 누적 저장된 이력정보가 이력 DB(101)에 존재하는지 판단하고, 존재하는 경우 해당 송신자 1에 대응되는 하나 이상의 이력정보를 속성별로 이력 DB(101)로부터 추출하고, 해당 속성별 이력정보를 기초로 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 값을 패턴정보로 생성하여 속성별 패턴정보를 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 상기 누적 저장된 이력정보들 중에서 상기 이력 DB(101)에 각 이력정보에 포함된 시간정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 수신된 이력정보만을 추출하여 상기 속성별 패턴정보를 생성할 수 있다.
이후, 상기 검사부(150)는 상기 이력정보를 기초로 상기 패턴 분석부(140)로부터 제공되는 속성별 상기 패턴 정보를 제공받아 각 속성에 대응되어 미리 설정된 하나 이상의 기준에 따라 상기 최근 이메일에 대응되는 속성별 속성정보와 동일 속성끼리 상호 비교할 수 있다.
이때, 상기 각 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부, 경유 국가의 일치 여부 중 적어도 하나를 포함할 수 있다.
이후, 상기 검사부(150)는 상기 각 속성 모두에 대하여 패턴정보와 속성정보가 일치하는 경우 상기 최근 이메일을 미리 지정된 메일 DB(102)에서 상기 최근 이메일에 포함된 수신자의 계정에 대응되어 저장할 수 있으며, 적어도 하나의 속성에 대하여 패턴정보와 속성정보가 일치하지 않는 경우 상기 최근 이메일에 이상이 발생한 것으로 판단하고, 상기 최근 이메일을 APT(Advanced Persistent Threat: 지능형 지속 위협)와 같은 악성 코드가 의심되는 위험 이메일로 검출할 수 있다.
이에 따라, 상기 검사부(150)는 해당 위험 이메일을 상기 위험 이메일의 수신자 계정에 대응되어 임시 DB(103)에 저장하여 격리시킬 수 있다.
이하, 상술한 구성을 기초로 상기 메일 서버(100)의 이메일에 대한 검사 실시예를 도 4 내지 도 8을 통해 상세히 설명한다.
첫 번째 일례로, 상기 데이터 추출부(120)는 도 4에 도시된 바와 같이 이메일 수신부(110)를 통해 수신된 이메일에 포함되는 헤더 정보로부터 상기 복수의 속성 중 하나인 메일 클라이언트를 표시하는 X-Mailer 값을 추출하여 속성정보를 생성할 수 있다. 즉, 상기 데이터 추출부(120)는 X-Mailer 값인 Microsoft Outlook 15.0을 메일 클라이언트에 대한 속성정보로 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 이메일의 송신자에 대응되어 메일 클라이언트의 속성에 대한 이력 정보로 이력 DB(101)에 저장할 수 있다.
이때, 메일 클라이언트는 송신자의 송신자 장치에 구성되어 상기 메일 서버(100)로 메일을 전송하는 이메일 에이전트(E-mail agent)에 대한 식별정보를 의미할 수 있다.
또한, 상기 메일 클라이언트의 종류에 따라 상기 이메일의 헤더 정보에 X-Mailer 이외에도 User-Agent로 표시될 수도 있으며, 상기 데이터 추출부(120)는 상기 User-Agent의 값을 상기 메일 클라이언트에 대한 속성정보로 추출할 수도 있다.
한편, 상기 패턴 분석부(140)는 지속적으로 수신되는 상기 송신자와 동일한 송신자에 대응되어 수신되는 복수의 이메일로부터 메일 클라이언트에 대한 속성정보로 Microsoft Outlook 15.0이 수신되어 상기 이력 DB(101)에 이력정보로 누적된 경우 상기 패턴 분석부(140)는 상기 메일 클라이언트의 속성에 대응되어 누적된 이력정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 값인 Microsoft Outlook 15.0을 상기 메일 클라이언트에 대한 패턴 정보로 생성할 수 있다.
이후, 상기 검사부(150)는 상기 데이터 추출부(120)를 통해 상기 이메일 수신부(110)에 현재 수신된 최근 이메일의 속성정보를 수신한 경우 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 패턴 분석부(140)로부터 상기 메일 클라이언트에 대한 패턴 정보를 수신하고, 상기 메일 클라이언트의 일치 여부에 대한 상기 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 제공되는 상기 메일 클라이언트에 대한 패턴 정보인 Microsoft Outlook 15.0과 일치하지 않는 X-Mailer 값 또는 User-Agent 값을 가진 상기 최근 이메일을 위험 이메일로 검출하고, 상기 격리부(160)는 상기 위험 이메일을 별도의 저장소인 임시 DB(103)에 저장하여 격리시킬 수 있다.
두번째 일례로, 상기 데이터 추출부(120)는 이메일에 포함된 헤더 정보로부터 복수의 속성 중 하나인 이메일이 경유한 각 경유 메일 서버에 대한 속성 정보를 상기 경유 메일 서버에 대한 속성에 대응되어 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 경유 메일 서버에 대한 속성에 대응되는 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
예를 들어, 상기 데이터 추출부(120)는 도 5 및 도 6에 도시된 바와 같이 이메일의 헤더 정보로부터 도시된 Received 항목의 By값을 상기 경유 메일 서버에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 해당 By값을 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 상기 데이터 추출부(120)는 경유 메일 서버가 여러 개인 경우 이메일의 헤더 정보에 포함된 복수의 Received 항목 중에서 최초 메일 전달 서버 및 최종 메일 전달 서버에 대한 Received 항목을 식별하고, 도 5에 도시된 바와 같은 최종 메일 전달 서버에 대한 Received 항목의 By 값과 도 6에 도시된 바와 같은 최초 메일 전달 서버에 대한 Received 항목의 By 값을 포함하는 속성정보를 추출할 수 있다.
또한, 상기 이력 관리부(130)는 상기 이력 정보 저장시 최초 메일 전달 서버 또는 최종 메일 전달 서버를 구분하기 위한 식별정보를 상기 이력정보에 포함하여 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 메일 서버에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 최초 메일 전달 서버 및 최종 메일 전달 서버 중 적어도 하나에 대한 By 값을 패턴 정보로 생성할 수 있다. 이때, 패턴정보에는 최초 메일 전달 서버 및 최종 메일 전달 서버의 구분을 위한 식별정보가 포함될 수 있다.
또한, 경유 메일 서버가 1개인 경우 상기 최초 메일 전달 서버 및 최종 메일 전달 서버는 상호 동일할 수 있다.
이에 따라, 상기 검사부(150)는 도 5에 도시된 바와 같이 현재 수신된 최근 이메일에 포함된 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By 값을 상기 데이터 추출부(120)로부터 수신한 경우, 상기 최종 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최종 메일 전달 서버에 대응되는 By 값과 상기 패턴정보에 따른 최종 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
또한, 상기 검사부(150)는 도 6에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 최초 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최초 메일 전달 서버에 대응되는 By값과 상기 패턴정보에 따른 최초 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 최초 메일 전달 서버는 상기 경유 메일 서버 중 최초로 상기 이메일을 전달한 서버를 의미하며, 상기 최종 메일 전달 서버는 상기 경유 메일 서버 중 마지막으로 상기 이메일을 상기 메일 서버(100)로 전송한 서버를 의미할 수 있다.
세 번째 일례로, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 복수의 속성 중 하나인 송수신자에 대한 Received 항목을 식별하고, 도 7에 도시된 바와 같이 해당 Received 항목의 From 값을 송수신자에 대한 속성정보로 추출할 수 있다.
이때, 송수신자에 대한 Received 항목은 최초 메일 전달 서버의 Received 항목과 일치하지만, 해당 Received 항목에서 By값이 아닌 From 값을 송수신자에 대한 속성정보로 추출할 수 있으며, 이력 관리부(130)는 해당 From 값을 송수신자에 대한 이력 정보로 이메일의 송신자에 대응되어 이력 DB(101)에 누적 저장할 수 있다.
또한, 송수신자에 대한 Received 항목에서 From 값은 자신의 서버에 접속한 메일 클라이언트 정보이고 By 값은 자신의 정보를 나타낸다. 그렇기 때문에 첫 번째 Received 항목의 From 값은 최초 메일 전달 서버에 접속한 송신자의 IP(Internet Protocol) 정보(접속 정보)를 포함하고 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 복수의 이메일로부터 추출된 송수신자에 대한 속성정보를 기초로 누적된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 송수신자에 대한 속성 정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 7에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 송수신자에 대응되어 추출된 속성정보인 상기 From 값을 데이터 추출부(120)로부터 수신한 경우 상기 송신자 접속 정보의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 송수신자에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 송수신자에 대한 속성정보에 포함되는 From 값과 상기 패턴정보에 따른 송신자 접속 정보에 대한 From 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
네 번째 일례로, 상기 데이터 추출부(120)는 복수의 속성 중 하나인 경유 국가에 대한 속성정보를 추출하기 위해, 이메일의 헤더정보로부터 도 8에 도시된 바와 같이 모든 Received 항목의 By 값과 From 값을 경유 국가에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 각 Received 항목의 By 값과 From 값을 이력정보로 이력 DB(101)에 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 이력 관리부(130)는 By 값과 From 값에 포함된 IP 정보를 기초로 하나 이상의 경유 국가에 대한 국가정보를 취득할 수 있으며, 이를 이력정보로 이력 DB(101)에 누적 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적인 수신된 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 국가에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 이력정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 8에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보에서 경유 국가에 대응되어 모든 Received 항목으로부터 추출된 By 값과 From 값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 경유 국가의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 국가에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 국가에 대한 속성정보에서 각 Received 항목의 By 과 From 값에 포함된 IP 정보로부터 국가정보를 확인하여 상기 패턴 정보에 따른 하나 이상의 경유 국가와 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 이력 관리부(130)는 상기 이력 DB(101)에 이력정보를 누적 저장시 송신자의 메일 주소와 매칭하여 상기 이력정보를 누적 저장할 수 있으며, 상기 이메일의 송신시간에 대한 시간정보를 상기 이메일에 대한 이력정보에 포함시켜 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 최근 이메일을 수신하여 위험 이메일로 검출된 최근 이메일을 격리부(160)와 연동하여 격리시킬 수 있다.
더하여, 상기 패턴 분석부(140)는 상기 검사부(150)로부터 상기 최근 이메일에 대응되는 송신시간 또는 현재시간을 수신하고, 상기 이력 DB(101)에 누적 저장된 각 이력정보에 포함된 시간정보를 기초로 상기 최근 이메일에 대응되는 송신시간 또는 현재 시간을 기준으로 미리 설정된 기간 동안에 특정 속성에 대응되어 누적 저장된 이력정보만을 대상으로 상술한 패턴 분석을 수행하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 값을 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 미리 설정된 기간 동안 미리 설정된 횟수 이상의 이력정보가 누적된 경우에만 패턴정보를 생성하도록 동작할 수도 있다.
상술한 구성을 통해, 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템이 적용된 메일 서버(100)는 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 이메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호할 수 있다.
그러나, 상술한 구성에서 상기 검사부(150)가 모든 수신메일에 대하여 이력을 기초로 검사를 수행하는 경우 이력정보와 패턴정보에 포함된 데이터 중 일부만이 일치하지 않더라도 정상적인 이메일에 대하여 모두 APT 관련 이메일로 판단하게 되는 긍정오류(FP: False Positive)가 발생할 수 있으며, 이력 정보가 수집되지 않은 이메일의 경우 검사 과정에서 APT 관련 이메일임에도 불구하고 정상 메일로 판단하게 되는 부정오류(FN: False Negative)가 발생할 수 있다.
따라서, 검사 과정에서의 긍정오류 및 부정오류를 감소시켜 APT 관련 이메일에 대한 정확한 판단이 이루어지도록 지원하는 구성이 요구된다.
이를 위한, 본 발명의 구성을 상술한 구성을 토대로 도면을 참조하여 상세히 설명하면, 우선 도 3에 도시된 바와 같이 상기 데이터 추출부(120)는 상기 이메일 수신부(110)를 통해 현재 수신된 최근 이메일을 상기 검사부(150)로 제공할 수 있다.
이때, 상기 검사부(150)는 DKIM(Domain Key Identified Mail)에 따른 전자서명 인증을 통해 이메일에 포함된 전자서명을 인증하는 인증부(151)를 더 포함할 수 있다.
이에 따라, 상기 검사부(150)는 상기 인증부(151)를 통한 전자 서명의 인증 성공시 상기 최근 이메일을 정상 이메일로 판단하여 메일 DB(102)에 저장하고 검사부(150)를 통한 검사가 진행되지 않도록 할 수 있다.
이때, 상기 인증부(151)의 DKIM에 따른 전자서명 인증 과정을 설명하면, 상기 인증부(151)는 송신자의 개인키와 메일 내용을 기초로 생성된 상기 전자서명에 대한 특정 헤더값을 포함하는 상기 최근 이메일을 수신하고, 상기 최근 이메일을 발송한 서버의 도메인을 찾아 해당 도메인에 대응되는 서버의 공개키와 상기 최근 이메일에 포함된 헤더 값을 비교하여 상기 전자서명에 대한 인증을 수행할 수 있다.
한편, 상술한 구성에서 상기 이력 관리부(130)는 상기 메일 DB(102)에 저장된 정상 이메일을 대상으로만 상기 데이터 추출부(120)와 연동하여 이력정보를 생성한 후 이력 DB(101)에 저장할 수 있다.
상술한 구성에 따라, 메일링 리스트(mailing list)를 기초로 복수의 사용자에 대한 단체 메일을 전송하는 검증된 대형 포털 서버의 이메일이 위험 이메일로 분류되지 않도록 방지할 수 있으며, 이를 통해 긍정오류를 감소시킬 수 있다.
한편, 상기 검사부(150)는 전자서명이 없거나 확인되지 않는 전자서명으로 인해 상기 인증부(151)를 통한 전자서명의 인증에 실패한 것으로 판단한 경우 상기 최근 이메일의 송신자에 대한 송신자 정보를 상기 패턴 분석부(140)로 제공하며, 상기 패턴 분석부(140)는 상술한 바와 같이 각 속성에 대응되어 패턴 정보를 생성한 후 상기 검사부(150)로 제공할 수 있다.
이에 따라, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 최근 이메일과 함께 제공되는 상기 최근 이메일에 대한 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별 패턴정보와 동일 속성끼리 비교하여 불일치하는 경우 상기 최근 이메일을 위험 이메일로 검출하여 임시 DB(103)에 저장하여 격리시킬 수 있다.
이때, 상기 검사부(150)는 상기 각 미리 설정된 기준에 대응되어 비교 방식이 미리 설정될 수 있으며, 일례로 상기 메일 클라이언트의 일치 여부에 대한 기준에 대응되어 문자열 비교에 대한 비교 방식이 설정될 수 있으며, 상기 최종 메일 전달 서버, 최초 메일 전달 서버 및 송신자 접속 정보의 일치 여부에 대한 각 기준에 대응되어 IP 비교에 대한 비교 방식이 설정될 수 있으며, 상기 경유국의 일치 여부에 대한 기준에 대응되어 IP 정보에 대응되는 국가 비교에 대한 비교 방식이 설정될 수 있다.
일례로, 상기 검사부(150)는 메일 클라이언트의 일치 여부에 대한 기준에 대응되어 메일 클라이언트에 대한 속성에 대응되는 속성정보와 패턴정보 비교시 상호 문자열을 비교하며, 상호 문자열이 일치하는 경우 정상으로 판단하고, 불일치하는 경우 이상이 발생한 것으로 판단할 수 있다.
그러나, 이러한 문자열 비교 방식에서 문자열이 모두 일치하는 경우에만 정상으로 판단하는 경우 송신자의 메일 클라이언트 특성에 따라 버전이나 환경이 변경될 수 있으며, 일례로 메일 클라이언트의 업그레이드를 통해 버전이나 환경이 변경된 경우 기존 메일 클라이언트와 동일한 메일 클라이언트임에도 불구하고 상기 검사부(150)는 버전이나 환경이 변경된 메일 클라이언트를 통해 송신된 최근 이메일에 대하여 이력정보를 기초로 생성된 패턴 정보에 따른 메일 클라이언트와 불일치하는 메일 클라이언트를 통해 발송된 메일로 판단하여 이상이 발생한 것으로 판단하고, 이로 인해 해당 최근 이메일을 위험 이메일로 분류하는 긍정오류를 발생시킬 수 있다.
이와 같은 긍정오류를 방지하기 위한 구성을 도 9를 통해 상세히 설명하면, 도시된 바와 같이 상기 검사부(150)는 상기 최근 이메일에 대하여 데이터 추출부(120)로부터 제공된 메일 클라이언트에 대한 속성정보와 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 제공된 메일 클라이언트에 대한 패턴정보를 상호 미리 설정된 메일 클라이언트의 일치여부에 대한 기준에 따라 비교할 수 있다.
이때, 상기 검사부(150)는 상기 기준에 대응되어 미리 설정된 비교 방식을 기초로 문자열 비교 여부를 판단하고, 문자열 비교인 경우 퍼지 매칭 알고리즘(fuzzy matching algorithm)을 적용하여 상기 속성정보와 패턴정보 상호간 문자열 유사도를 판단할 수 있다.
이에 따라, 도시된 바와 같이 상기 검사부(150)는 속성정보와 패턴정보 사이의 유사도가 미리 설정된 기준치 이상인 경우 정상 이메일로 판단하여 상기 메일 DB(102)에 저장할 수 있다.
다시 말해, 상기 검사부(150)는 메일 클라이언트에 대한 패턴정보가 Microsoft Outlook 15.0이며, 상기 최근 이메일의 발송시 상기 메일 클라이언트의 버전이나 환경이 변경되어 상기 메일 클라이언트에 대한 속성정보가 Microsoft Outlook 16.0으로 변경된 경우에도 상기 퍼지 매칭 알고리즘을 통해 유사도가 미리 설정된 수치 이상인 것으로 판단된 경우 기존 이메일과 상기 최근 이메일에 사용된 메일 클라이언트가 상호 동일한 메일 클라이언트인 것으로 판단할 수 있으며, 이를 통해 동일 메일 클라이언트를 통해 발송된 정상적인 상기 최근 이메일이 위험 이메일로 분류되는 긍정오류를 방지할 수 있다.
또한, 상기 검사부(150)는 버전이나 환경이 변경된 메일 클라이언트를 이용하여 발송된 상기 이메일을 지속적으로 메일 DB(102)에 저장하므로, 이를 통해 상기 이력 관리부(130)는 데이터 추출부(120)와 연동하여 상기 메일 DB(102)로부터 상기 변경된 메일 클라이언트에 대응되어 이력정보를 누적 저장하고, 상기 패턴 분석부(140)는 상기 누적된 이력정보를 기초로 상기 변경된 메일 클라이언트에 대한 패턴정보를 생성함으로써 추후 검사부(150)의 검사시 상기 변경된 메일 클라이언트의 변경사항을 반영할 수 있다.
이에 따라, 상기 검사부(150)는 버전이나 환경이 변경된 메일 클라이언트에 대한 변경사항이 반영된 패턴정보를 상기 패턴 분석부(140)로부터 제공받아, 상기 변경된 메일 클라이언트에서 발송된 이메일을 정상 이메일로 기존보다 더욱 정확하게 판단할 수 있으며, 정상 이메일을 위험 이메일로 판단하는 긍정오류를 감소시킬 수 있다.
한편, 대형 포털 서버(일례로, 구글, 네이버 등)에서 제공하는 메일 서버의 수는 수백, 수천 이상일 수 있으며, 이로 인해 동일 송신자가 하나의 대형 포털 서버를 통해 이메일을 전송할 때마다 각 이메일이 경유한 경유 메일 서버의 IP 정보가 상이할 수 있다.
이로 인해, 송신자가 기존과 동일한 대형 포털 서버에서 제공하는 메일 서버를 이용하여 정상적인 이메일을 송부한 경우라도 상기 검사부(150)가 상기 미리 설정된 기준인 경유 메일 서버의 일치여부에 대응되어 미리 설정된 비교 방식에 따라 단순 IP 정보의 일치여부만을 비교하게 되면, 상기 경유 메일 서버의 지속적인 IP 정보 변경으로 인해 정상 이메일이 위험 이메일로 분류되어 긍정 오류가 발생할 수 있다.
이를 방지하기 위한 구성을 도 10을 통해 설명하면, 도시된 바와 같이 상기 검사부(150)는 상기 대형 포털 서버와 같이 미리 인증된 하나 이상의 인증 메일 서버 각각에 대한 IP 범위정보가 미리 설정될 수 있다.
일례로, 인증된 A 메일 서버에 대하여 173.194.0.0 ~ 173.194.255.255와 같이 IP 범위 정보가 상기 검사부(150)에 설정될 수 있다.
이에 따라, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 제공된 속성정보에 따른 상기 최근 이메일에 대한 경유 메일 서버 중 최종 메일 전달 서버에 대한 IP 정보를 기초로 상기 인증 메일 서버의 IP 범위에 상기 속성정보에 따른 IP 정보가 포함되는 경우 해당 인증 메일 서버를 식별할 수 있다.
일례로, 도시된 바와 같이 상기 검사부(150)는 최근 이메일의 송신자 정보를 패턴 분석부(140)로 제공하고, 상기 패턴 분석부(140)로부터 상기 송신자 정보에 대응되어 경유 메일 서버에 대한 패턴정보를 수신할 수 있다.
이에 따라, 상기 검사부(150)는 상기 패턴정보에 포함된 최종 메일 전달 서버에 대한 IP 정보가 173.194.129.X인 경우 상기 인증 메일 서버인 A 메일 서버의 IP 범위에 속하는 것으로 판단하고, 상기 최근 이메일의 송신자가 이용하는 최종 메일 전달 서버가 A 메일 서버인 것으로 식별할 수 있다.
이후, 상기 검사부(150)는 상기 데이터 추출부(120)를 통해 최근 이메일에서 추출된 속성정보에 따른 IP 정보가 패턴정보를 기초로 식별된 A 메일 서버의 IP 범위에 속하는지 판단할 수 있으며, 도시된 바와 같이 속성정보에 따른 IP 정보가 173.194.126.X인 경우 상기 인증 메일 서버인 A 메일 서버의 IP 범위에 속하는 것으로 판단하여 최종 메일 전달 서버에 대한 미리 설정된 기준에 대응되어 패턴정보와 속성정보가 상호 일치하는 것으로 판단할 수 있으며, 상기 최근 이메일을 정상 이메일로 판단하여 메일 DB(102)에 저장할 수 있다.
이를 통해, 상기 검사부(150)는 미리 인증된 경유 메일 서버를 통해 수신된 이메일에 대해서 IP 범위를 넓게 확장하여 긍정오류가 발생하지 않도록 지원할 수 있다.
한편, 이력 DB(101)에 상기 최근 이메일의 송신자에 대응되는 이력정보가 존재하지 않는 경우 상기 검사부(150)는 상기 최근 이메일이 APT 관련 위험 이메일임에도 불구하고 정상 이메일로 판단하는 부정 오류를 발생시킬 수 있다.
이를 방지하기 위한 구성을 도 11을 통해 상세히 설명하면, 상기 검사부(150)는 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되는 이력정보가 존재하지 않는 경우를 판단하고, 이력정보가 존재하지 않는 경우 상기 최근 이메일에 첨부파일이 포함되는지 여부를 판단할 수 있다.
이에 따라, 상기 검사부(150)는 첨부파일이 상기 최근 이메일에 포함된 경우 상기 첨부파일의 확장자가 미리 설정된 실행 확장자(exe, com, bat, dll 등)인지 여부를 판단하여, 실행 확장자가 아닌 경우 상기 최근 이메일을 정상 이메일로 메일 DB(102)에 저장할 수 있다.
한편, 상기 검사부(150)는 첨부 파일의 확장자가 실행 확장자인 경우 상기 데이터 추출부(120)와 연동하여 상기 최근 이메일에 대하여 경유 메일 서버에 대한 속성정보를 추출하고, 상기 경유 메일 서버에 대한 속성정보에 포함된 최초 메일 전달 서버의 IP 정보와 상기 메일 서버(100)에 미리 설정된 IP 정보를 기초로 최초 메일 전달 서버에 대응되는 국가와 상기 메일 서버(100)에 대응되는 국가를 비교하여 서로 다른 국가인 경우 위험 이메일로 판단할 수 있다.
다른 일례로, 상기 검사부(150)는 상기 최근 이메일에 대응되어 추출된 송수신자에 대한 속성정보를 기초로 수신자 정보(일례로, 수신자 계정)을 식별하고, 상기 메일 DB(102)에 수신자 계정에 대응되어 저장된 복수의 정상 이메일에 대하여 상기 데이터 추출부(120)와 연동하여 하나 이상의 경유 국가에 대한 속성정보를 포함하는 수신 이력정보를 산출할 수 있다. 이를 통해, 상기 검사부(150)는 상기 최초 메일 전달 서버의 국가가 상기 수신 이력정보에 포함되는 경우 정상으로 판단하고, 포함되지 않는 경우 위험 이메일로 판단할 수 있다.
즉, 상기 검사부(150)는 수신자의 국가와 관련이 없는 국가에서 송부된 이메일을 위험 이메일로 분류하여 첨부 파일의 실행을 통한 APT 공격이 이루어지는 것을 사전에 차단하도록 하며, 위험 이메일이 정상 이메일로 판단되는 부정 오류를 방지할 수 있다.
상술한 바와 같이, 본 발명에 따른 지능형 지속 위협 탐지를 위한 이력 비교 시스템은 DKIM을 통해 전자서명이 인증된 인증 메일 서버에서 송부되는 이메일이 위험 이메일로 분류되는 긍정오류를 방지할 수 있는 동시에 메일 클라이언트의 변경이나 이력정보의 부재 및 서버의 IP 변동과 같은 다양한 경우에 대응되어 발생하는 긍정 오류 및 부정오류의 발생 빈도를 감소시켜 정상 이메일과 위험 이메일이 정확하게 분류되도록 지원할 수 있다.
도 12는 본 발명의 실시예에 따른 지능형 지속 위협을 탐지하기 위한 이력 비교 방법에 대한 순서도로서, 우선 상기 메일 서버(100)는 이메일을 수신하여 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출할 수 있으며, 이를 정규화하여 상기 각 속성에 대한 이력정보로 이력 DB(101)에 누적 저장할 수 있다.
이후, 상기 메일 서버(100)는 현재 수신된 최근 이메일에 대하여(S1) DKIM(Domain Key Identified Mail)에 따른 전자 서명을 인증하고(S2), 인증에 실패한 경우(S3) 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단할 수 있다(S4).
다음, 상기 메일 서버(100)는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는 경우 상기 최근 이메일로부터 상기 속성별 속성정보를 추출하고(S5), 상기 최근 이메일의 송신자에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성할 수 있다(S6).
이후, 상기 메일 서버(100)는 상기 최근 이메일로부터 상기 각 속성에 대하여 추출한 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 상기 속성별 패턴정보와 비교하여(S7) 이상이 발생한(S8) 위험 이메일을 검출할 수 있다(S9).
이때, 상기 메일 서버(100)는 상기 속성에 대응되어 미리 설정된 비교 방식에 따라 문자열 비교인 경우 미리 설정된 퍼치 매칭 알고리즘을 통해 상기 속성정보와 패턴정보의 유사도가 미리 설정된 기준치인 경우 긍정오류를 줄이기 위해 정상으로 판단할 수 있다.
또한, 상기 메일 서버(100)는 미리 설정된 인증 메일 서버의 IP 범위가 저장되며, 상기 최근 이메일에 송신자에 대응되어 추출된 속성정보 및 패턴정보 각각에 따른 IP 정보가 모두 상기 IP 범위 내에 포함되는 경우 상기 최근 이메일이 송신자가 이용하는 인증 메일 서버를 통해 송신된 것으로 판단하고, 이를 통해 IP 비교에 대응되는 속성에 대하여 정상으로 판단할 수 있다. 이를 통해, 상기 메일 서버(100)는 긍정오류를 감소시킬 수 있다.
한편, 상기 메일 서버(100)는 상기 최근 이메일의 송신자에 대응되는 이력정보가 상기 이력 DB(101)에 존재하지 않는 경우(S4) 상기 최근 이메일에 첨부파일 존재 여부를 파악하고(S10), 첨부파일이 존재하는 경우 해당 첨부 파일의 확장자가 미리 설정된 실행 확장자인지 여부를 판단할 수 있다(S11).
이에 따라, 상기 메일 서버(100)는 실행 확장자를 가진 첨부파일인 경우 상기 최근 이메일에 대응되는 수신자의 수신 이력에 따른 국가와 상기 최근 이메일의 속성정보에 따른 경유 메일 서버 중 최초 메일 전달 서버에 대응되는 IP 정보를 기초로 식별된 송신 국가를 상호 비교하여(S12), 상기 수신 이력에 상기 송신 국가가 포함되지 않은 경우(S13) 위험 이메일로 검출할 수 있으며(S9), 이를 통해 이력의 부존재로 인해 위험 이메일이 정상 이메일로 검출되는 부정 오류를 감소시킬 수 있다.
한편, 상술한 구성에서 상기 메일 서버(100)는 위험 이메일로 검출된 상기 최근 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있다.
본 명세서에 기술된 다양한 서버, 장치 및 구성부는 하드웨어 회로(예를 들어, CMOS 기반 로직 회로), 펌웨어, 소프트웨어 또는 이들의 조합에 의해 구현될 수 있다. 예를 들어, 다양한 전기적 구조의 형태로 트랜지스터, 로직게이트 및 전자회로를 활용하여 구현될 수 있다.
더하여, 상기 메일 서버(100)는 이메일 수신시 널리 알려진 다양한 유무선 통신망을 통해 이메일을 전송하거나 사용자 장치로 이메일을 전송할 수 있음은 물론이며, 상기 사용자 장치는 통신 기능을 구비한 스마트 폰(Smart Phone), 휴대 단말기(Portable Terminal), 이동 단말기(Mobile Terminal), 개인 정보 단말기(Personal Digital Assistant: PDA) 등과 같은 다양한 단말기를 포함할 수 있다.
전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 메일 서버 101: 이력 DB
102: 메일 DB 103: 임시 DB
110: 이메일 수신부 120: 데이터 추출부
130: 이력 관리부 140: 패턴 분석부
150: 검사부 151: 인증부

Claims (7)

  1. 이메일을 수신하는 이메일 수신부;
    상기 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부;
    상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부;
    상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부; 및
    상기 이메일 수신부를 통해 수신된 최근 이메일에 대하여 DKIM(Domain Key Identified Mail)에 따른 전자 서명을 인증하고, 인증에 실패한 경우 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하고, 상기 이력정보가 존재하는 경우 상기 데이터 추출부로부터 상기 최근 이메일에 대하여 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하되, 상기 기준에 대응되어 미리 설정된 비교 방식에 따라 문자열 비교인 경우 미리 설정된 퍼지 매칭 알고리즘을 통해 산출된 상기 속성정보와 패턴정보 사이의 유사도가 미리 설정된 기준치 이상인 경우 긍정오류를 줄이기 위해 정상으로 판단하는 검사부를 포함하며,
    상기 패턴 분석부는,
    상기 누적된 이력정보를 기초로 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 값을 상기 패턴정보로 생성하며,
    상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하며,
    상기 검사부는,
    상기 최근 이메일에 대하여 경유 메일 서버 중 최종 메일 전달 서버에 대한 속성정보와 패턴 정보의 상호 비교시 상기 패턴 정보에 따라 미리 설정된 인증 메일 서버로 판단된 경우 상기 인증 메일 서버에 대응되어 미리 설정된 IP 범위와 상기 속성정보에 따른 IP 정보를 상호 비교하며, 상기 IP 범위 내에 상기 IP 정보가 포함되는 경우 정상으로 판단하여 긍정오류를 감소시키는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템.
  2. 청구항 1에 있어서,
    상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템.
  3. 청구항 1에 있어서,
    상기 검사부는 상기 송신자의 개인키와 메일 내용을 기초로 생성된 상기 전자 서명에 대한 헤더값을 포함하는 상기 최근 이메일에 대해서 상기 최근 이메일을 발송한 서버의 도메인을 찾아 해당 도메인에 대응되는 서버의 공개키와 상기 최근 이메일에 포함된 헤더값을 비교하여 상기 전자 서명에 대한 인증을 수행하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템.
  4. 청구항 1에 있어서,
    상기 이력정보를 저장하는 저장부를 더 포함하며,
    상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 검사부는 상기 최근 이메일의 송신자에 대응되는 이력정보가 존재하지 않으며 상기 최근 이메일에 첨부된 첨부파일의 확장자가 미리 설정된 확장자와 동일한 경우 상기 최근 이메일에 대응되는 수신자의 수신 이력에 따른 국가와 상기 최근 이메일의 속성정보에 따른 경유 메일 서버 중 최초 메일 전달 서버에 대응되는 IP 정보를 기초로 식별된 송신 국가를 비교하여, 수신 이력에 송신 국가가 포함되지 않은 경우 상기 최근 이메일을 위험 이메일로 검출하여 부정 오류를 감소시키는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 시스템.
  7. 이메일을 수신하여 지능형 지속 위협을 탐지하기 위한 메일 서버의 이력 비교 방법에 있어서,
    이메일을 수신하는 단계;
    상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계;
    상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계;
    최근 이메일에 대하여 DKIM(Domain Key Identified Mail)에 따른 전자 서명을 인증하고, 인증에 실패한 경우 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하는 단계;
    상기 이력정보가 존재하는 경우 상기 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성하는 단계; 및
    상기 최근 이메일에 대하여 추출한 상기 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하되, 상기 기준에 대응되어 미리 설정된 비교 방식에 따라 문자열 비교인 경우 미리 설정된 퍼지 매칭 알고리즘을 통해 산출된 상기 속성정보와 패턴정보 사이의 유사도가 미리 설정된 기준치 이상인 경우 긍정오류를 줄이기 위해 정상으로 판단하는 단계를 포함하며,
    상기 패턴정보를 생성하는 단계는,
    누적된 상기 이력정보를 기초로 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 값을 상기 패턴정보로 생성하며,
    상기 미리 설정된 하나 이상의 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하며,
    상기 최근 이메일을 정상으로 판단하는 단계는,
    상기 최근 이메일에 대하여 경유 메일 서버 중 최종 메일 전달 서버에 대한 속성정보와 패턴 정보의 상호 비교시 상기 패턴 정보에 따라 미리 설정된 인증 메일 서버로 판단된 경우 상기 인증 메일 서버에 대응되어 미리 설정된 IP 범위와 상기 속성정보에 따른 IP 정보를 상호 비교하며, 상기 IP 범위 내에 상기 IP 정보가 포함되는 경우 정상으로 판단하여 긍정오류를 감소시키는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 이력 비교 방법.
KR1020150096186A 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법 KR101605764B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150096186A KR101605764B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150096186A KR101605764B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101605764B1 true KR101605764B1 (ko) 2016-03-23

Family

ID=55645398

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150096186A KR101605764B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101605764B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024029796A1 (ko) * 2022-08-04 2024-02-08 (주)기원테크 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024029796A1 (ko) * 2022-08-04 2024-02-08 (주)기원테크 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법

Similar Documents

Publication Publication Date Title
US11936604B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US10372910B2 (en) Method for predicting and characterizing cyber attacks
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US10284579B2 (en) Detection of email spoofing and spear phishing attacks
CA2859131C (en) Systems and methods for spam detection using character histograms
AU2012367397B2 (en) System and methods for spam detection using frequency spectra of character strings
US7890588B2 (en) Unwanted mail discriminating apparatus and unwanted mail discriminating method
CN108418777A (zh) 一种钓鱼邮件检测方法、装置及系统
CN103139193A (zh) 钓鱼网站处理方法以及系统
JP2015225500A (ja) 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム
US10333974B2 (en) Automated processing of suspicious emails submitted for review
KR101666614B1 (ko) 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
JP6039378B2 (ja) 不正メール判定装置、不正メール判定方法、及びプログラム
KR102648653B1 (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
KR101605764B1 (ko) 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
WO2018081016A1 (en) Multi-level security analysis and intermediate delivery of an electronic message
US20230224327A1 (en) System to detect malicious emails and email campaigns
KR101590486B1 (ko) 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
KR101663247B1 (ko) 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법
US11736498B1 (en) Stateful detection of cyberattacks
JP2017054533A (ja) 不正メール判定装置、及びプログラム
US20240137378A1 (en) User Importance Metric for Email

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant