KR101910788B1 - 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 - Google Patents

침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 Download PDF

Info

Publication number
KR101910788B1
KR101910788B1 KR1020170026431A KR20170026431A KR101910788B1 KR 101910788 B1 KR101910788 B1 KR 101910788B1 KR 1020170026431 A KR1020170026431 A KR 1020170026431A KR 20170026431 A KR20170026431 A KR 20170026431A KR 101910788 B1 KR101910788 B1 KR 101910788B1
Authority
KR
South Korea
Prior art keywords
profiling
attacker
criteria
graph database
basis
Prior art date
Application number
KR1020170026431A
Other languages
English (en)
Other versions
KR20180099252A (ko
Inventor
조혜선
이슬기
김낙현
김병익
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020170026431A priority Critical patent/KR101910788B1/ko
Publication of KR20180099252A publication Critical patent/KR20180099252A/ko
Application granted granted Critical
Publication of KR101910788B1 publication Critical patent/KR101910788B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • G06F17/30958

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법은, 공격자 프로파일링(profiling) 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 저장된 침해 자원에 대하여 제1 프로파일링 기준에 따라 분류하는 단계 및 상기 공격자 프로파일링 장치가, 상기 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 단계를 포함한다.

Description

침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법{METHOD FOR ATTACKER PROFILING IN GRAPH DATABASE CORRESPONDING INCIDENT}
본 발명은 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법에 관한 것이다. 보다 자세하게는 제1 프로파일링 기준과 이와 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 방법에 관한 것이다.
급증하고 있는 침해 사고에 대응하기 위하여 국내외 공공 기관 및 민간 기업 사이에서 침해 사고와 관련된 정보가 공유되고 있다. 나아가, 공유된 침해 사고에 대한 정보를 인텔리전스(intelligence) 정보로 정제하여 관리함으로써, 침해 자원에 의한 공격을 사전에 방어하기 위한 다양한 방법이 시도되고 있다.
일 예로, 일 예로, 침해 자원의 그래프 데이터베이스(Graph Database) 구축(이하, "침해 사고 그래프 데이터베이스"라고 한다.)을 들 수 있다. 침해 사고 그래프 데이터베이스는 침해 자원 및 침해 자원의 속성을 노드에 저장하고, 노드 사이를 연결하는 에지의 속성 값에 연결 관계(RelationShip)를 기록한 형태를 나타내는바, 전체적인 구조가 매우 간단하여 침해 자원의 체계적인 관리가 가능하며, 침해 자원에 의한 공격을 사전에 방어하기 위한 전략을 수립하는데 매우 용이하다.
한편, 침해 사고 그래프 데이터베이스를 구축함에 있어서 침해 자원의 공격자에 대한 프로파일링이 매우 중요한바, 동일한 공격자의 공격은 동일하거나 유사한 성향이 높기 때문에 프로파일링을 통해 해당 공격자에 대한 사전 준비 전략을 수립할 수 있기 때문이다.
따라서, 침해 사고 그래프 데이터베이스에 공격자에 대한 프로파일링을 반영한다면 보다 효과적인 방어 전략을 수립할 수 있을 것이나, 기술적으로 해결해야 하는 과제가 있다. 대표적으로 침해 사고 그래프 데이터베이스에 저장된, 그리고 앞으로 저장될 무수히 많은 침해 자원을 특정 공격자에 대한 침해 자원으로 정확하게 프로파일링하는 것을 들 수 있다. 본 발명은 이와 관련된 것이다.
대한민국 공개특허공보 제10-2015-0081889호(2015.07.15)
본 발명이 해결하고자 하는 기술적 과제는 침해 자원을 기초로 구축한 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 공격자 프로파일링을 수행함으로써 특정 공격자에 대한 사전 준비 전략 수립이 용이한 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법은, 공격자 프로파일링(profiling) 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 저장된 침해 자원에 대하여 제1 프로파일링 기준에 따라 분류하는 단계 및 상기 공격자 프로파일링 장치가, 상기 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 단계를 포함한다.
일 실시 예에 따르면, 상기 침해 사고 그래프 데이터베이스는, 상기 침해 사고 그래프 데이터베이스를 구성하는 모든 노드와 상기 노드를 연결하는 모든 에지에 대하여 부여된 연결관계(Relationship)에 따라 하나 이상의 침해 사고 노드(Incident Node) 또는 침해 사고 그룹 노드가 형성된 것일 수 있다.
일 실시 예에 따르면, 상기 분류하는 단계의 제1 프로파일링 기준은, 상기 침해 자원의 피해대상 또는 가해대상(WHO), 상기 침해 자원의 발생 또는 탐지 시간(WHEN), 상기 침해 자원의 공격도구(WHAT) 및 상기 침해 자원의 유포방식 또는 공격방식(HOW) 중 어느 하나 이상일 수 있다.
일 실시 예에 따르면, 상기 제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상 중 어느 하나면, 상기 제2 프로파일링 기준은 상기 공격자의 타겟 IP에 따른 공격의도(WHY) 또는 IP 또는 계정 중 어느 하나에 따른 국가정보(WHERE) 중 어느 하나 이상일 수 있다.
일 실시 예에 따르면, 상기 제1 프로파일링 기준이 침해 자원의 발생 또는 탐지시간 중 어느 하나라면, 상기 제2 프로파일링 기준은 상기 침해 자원의 발생 또는 탐지된 국가정보(WHERE)일 수 있다.
일 실시 예에 따르면, 상기 제1 프로파일링 기준이 상기 침해 자원의 공격도구라면, 상기 제2 프로파일링 기준은 상기 침해 자원의 공격도구의 문자열정보에 따른 국가정보(WHERE), 상기 침해 자원의 공격도구의 C&C 도메인 등록정보에 따른 공격자 정보(WHO) 또는 네트워크 대역에 따른 국가정보(WHERE) 중 어느 하나 이상일 수 있다.
일 실시 예에 따르면, 상기 제1 프로파일링 기준이 상기 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면, 상기 제2 프로파일링 기준은 상기 침해 자원에 따른 피해대상 또는 추가 피해대상(WHO), 상기 공격자의 공격방법 또는 목적(WHAT), 정보 유출 내용에 따른 상기 공격자의 공격 의도(WHY) 중 어느 하나 이상일 수 있다.
또한, 상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 기록매체에 저장된 컴퓨터 프로그램은 컴퓨팅 장치와 결합하여, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 저장된 침해 자원에 대하여 제1 프로파일링 기준에 따라 분류하는 단계 및 상기 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 단계를 포함한다.
상기와 같은 본 발명에 따르면, 침해 자원을 기초로 구축한 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 공격자 프로파일링을 수행함으로써 특정 공격자에 대한 사전 준비 전략 수립이 용이해질 수 있는 효과가 있다.
또한, 특정 공격자에 의해 발생했던 유사한 침해 사고가 공격자에 대한 프로파일링 정보로 정리되어 있기 때문에 향후 발생할 수 있는 동일한 공격자에 의한 공격의 예측이 가능해질 수 있는 효과가 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
도 1은 침해 사고 노드와 침해 사고 그룹 노드를 포함하는 침해 사고 그래프데이터베이스를 예시적으로 나타낸 도면이다.
도 2는 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스를 위한 공격자 프로파일링 장치의 전체 구성을 나타낸 도면이다.
도 3은 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법의 순서도를 나타낸 도면이다.
도 4는 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준을 테이블로 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
본 명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서, 침해 사고는 정보처리 시스템을 구성하는 자산을 대상으로 악의적 행위(Malicious Act)가 수행된 사례를 의미한다. 또한, 침해 자원은 악성 행위자, 악성 행위 수행을 위한 인프라 및 악성 도구와 같은 침해 사고와 연관된 모든 정보로서, 예를 들어, 아이피(IP), 도메인(Domain), 이메일(E-mail) 및 악성코드 등을 포함할 수 있다.
또한, 본 발명을 설명하기에 앞서, 침해 사고 그래프 데이터베이스의 기본적인 형태는 이미 구축되어 있다는 것을 전제로 한다. 구체적으로, 네트워크를 통해 수집한 다양한 침해 자원이 노드에 저장되어 있으며, 각 노드 사이의 연결 관계가 에지를 통해 연결되어 있다.
더 나아가, 구축된 침해 사고 그래프 데이터베이스에는 침해 자원간의 일정한 연결관계(Relationship)에 따라 침해 사고 노드 및 침해 사고 그룹 노드가 생성되어 있는 상태이며, 이에 대해서는 도 1에 도시되어 있다.
이하, 본 발명에 대하여 첨부된 도면에 따라 보다 상세히 설명한다.
도 2는 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스를 위한 공격자 프로파일링 장치(100, 이하 "공격자 프로파일링 장치"라 한다)의 전체 구성을 나타낸 도면이다.
공격자 프로파일링 장치(100)는 침해 자원 분류부(10) 및 프로파일링부(20)를 포함할 수 있으며, 기타 본 발명의 목적을 달성함에 있어서 필요한 부가적인 구성들 역시 모두 포함할 수 있고, 필요에 따라 일부 구성이 삭제될 수도 있음은 물론이다.
침해 자원 분류부(10)는 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 제1 프로파일링 기준에 따라 분류한다.
여기서 제1 프로파일링 기준은 기본적으로 5W1H(육하원칙)에 따르며, 침해 자원의 피해대상 또는 가해대상(WHO), 상기 침해 자원의 발생 또는 탐지 시간(WHEN), 상기 침해 자원의 공격도구(WHAT) 및 상기 침해 자원의 유포방식 또는 공격방식(HOW) 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준을 설정함에 있어서는 침해 자원의 분석에 따른 프로파일링 근거가 수반되는바, 제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상이라면, 프로파일링 근거는 타겟 IP, 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 발생 또는 탐지 시간이라면, 프로파일링 근거는 공격탐지 시간 또는 악성코드 컴파일 시간 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 공격도구라면, 프로파일링 근거는 악성코드, 백도어 및 C&C 도메인 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면, 프로파일링 근거는 이메일(스피어피싱), P2P, 워터링홀, 악성코드/통신 암호화, 취약점 공격, 악성코드 행위, C&C 통신 및 정보유출 중 어느 하나 이상일 수 있다.
침해 자원 분류부(10)의 분류에 따라 공격자에 대한 프로파일링이 수행되는 것으로 볼 수 있으나, 제1 프로파일링 기준과 연계 가능한 제2 프로파일링 기준을 적용함으로써 보다 정확한 프로파일링이 가능한바, 이는 프로파일링부(20)의 역할이다.
프로파일링부(20)는 침해 자원 분류부(10)가 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링한다.
여기서 제2 프로파일링 기준 역시 제1 프로파일링 기준과 마찬가지로 5W1H를 따르는바, 제2 프로파일링 기준이 반드시 제1 프로파일링 기준과 상이할 필요는 없으며 동일할 수도 있다. 예를 들어, 제1 프로파일링 기준이 누구(WHO)인 경우 제2 프로파일링 기준 역시 누구(WHO)가 될 수 있는바, 하나의 침해 자원에 대한 공격자와 피해자 모두 누구(WHO)가 될 수 있기 때문이다.
한편, 제2 프로파일링 기준이 제1 프로파일링 기준과 연계 가능하다는 것은 서로 연관되어 있을 뿐만 아니라, 제1 프로파일링 기준으로부터 제2 프로파일링 기준의 유추가 가능하다는 것을 의미한다. 여기서 유추에는 제1 프로파일링 기준을 설정하는데 이용한 프로파일링 근거가 동일하게 이용된다. 이하, 제2 프로파일링의 기준 설정에 대하여 설명하도록 한다.
제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상이라면, 프로파일링 근거는 타겟 IP, 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 타겟 IP라면, 제2 프로파일링 기준은 공격자의 타겟 IP에 따른 공격의도(WHY) 또는 피해대상(WHO)일 수 있다. 예를 들어, 스피어피싱 메일의 수신자의 정보에 따라 공격자의 공격의도를 파악할 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상이라면, 제2 프로파일링 기준은 공격자의 국가정보(WHERE)일 수 있다. 예를 들어, 피해대상의 메일 서버를 통한 정보 유출을 확인하면 공격자의 정보 유출지를 확인할 수 있는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 발생 또는 탐지 시간이라면, 프로파일링 근거는 공격탐지 시간 또는 악성코드 컴파일 시간 중 어느 하나 이상일 수 있으며, 이 경우 제2 프로파일링 기준은 얼마나 오랜 시간 동안 진행되어온 공격인지(WHEN), 표준 시간대에 따른 국가정보(WHERE) 및 사회적 이슈 확인이 가능한 Actions on Objectives(활동) 중 어느 하나일 수 있다. 예를 들어, APT28(2007~2014, FireEye)의 컴파일 시간이 8AM ~ 6PM라면 UTC+4, 모스코바, 상트페테르부르크를 유추할 수 있는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 공격도구라면, 프로파일링 근거는 악성코드, 백도어 및 C&C 도메인 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 악성코드라면 제2 프로파일링 기준은 악성코드명 문자열 정보에 따른 국가정보(WHERE)일 수 있다. 예를 들어, 간체를 활용하여 국가정보가 중국임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 C&C 도메인이라면, 제2 프로파일링 기준은 C&C 도메인 국가정보, 등록정보(이메일)을 통해 공격자 정보 확인(WHO) 또는 네트워크 대역 확인(WHERE) 중 어느 하나일 수 있다. 예를 들어, C&C의 지리적 위치를 확인하거나 등록자의 도메인을 확인하는 것, 동일한 도메인 등록기관을 사용하는 것, 동일 네트워크 대역을 이용하는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면, 프로파일링 근거는 이메일(스피어피싱), P2P, 워터링홀, 악성코드/통신 암호화, 취약점 공격, 악성코드 행위, C&C 통신 및 정보유출 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 이메일(스피어싱)이라면, 제2 프로파일링 기준은 피해대상(기관, WHO)일 수 있다. 예를 들어, 군사기밀 또는 정치적 견해를 묻는 내용을 기반으로 사용자를 유인한 경우, 군사기밀 또는 정치계를 대상으로 한 공격임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 P2P 또는 워터링홀 중 어느 하나라면, 제2 프로파일링 기준은 추가 피해대상(불특정 다수, WHO)일 수 있다. 예를 들어, 일본 P2P 사이트를 통해 소정 용량의 압축파일을 공유하고 C&C 통신을 수행한 경우 불특정 다수를 상대로 한 공격임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 악성코드 행위라면 제2 프로파일링 기준은 공격방법 및 목적(HOW/WHAT)일 수 있다. 예를 들어, 스택프레임 파괴를 통해 기반시설이나 전산망을 마비시키려는 목적을 알 수 있는 것을 들 수 있다. 또한 프로파일링 근거가 C&C 통신이라면 제2 프로파일링 기준은 유사한 C&C 명령의 활용(HOW)일 수 있다. 예를 들어, 규격화된 C&C 통신을 통해 공격자가 주로 사용하는 공격 포맷과 문자열을 확인할 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 정보유출이라면, 제2 프로파일링 기준은 탈취내용에 따른 공격의도(WHY/WHAT)일 수 있다. 예를 들어, 유출정보가 사업자명이나 사업자 등록번호인 경우, 공격의도가 사업자 대상의 개인정보 탈취인 것을 알 수 있는 것을 들 수 있다.
상기 설명한 본 발명의 일 실시 예에 따른 공격자 프로파일링 장치(100)에 의해 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 프로파일링된 공격자의 정보를 분류함으로써 특정 공격자에 대한 효과적인 사전 방어 전략을 수립할 수 있다.
한편, 공격자 프로파일링 장치(100)는 별도의 장치가 아니라, 침해 사고 그래프 데이터베이스가 서버의 형태로 구현되는 경우, 서버의 일 구성 또는 일 기능으로 구현될 수도 있다.
이하, 본 발명의 또 다른 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 공격자 프로파일 방법에 대하여 설명하도록 한다.
도 3은 본 발명의 일 실시 예에 따른 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법(이하 "공격자 프로파일링 방법"이라 한다)의 순서도를 나타낸 도면이다. 그러나 이는 본 발명의 목적을 달성함에 있어 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다.
아울러, 각 단계는 상기 도 1을 참조하며 설명한 공격자 프로파일링 장치(100)가 포함하는 각 구성들에 의해 수행되나, 설명의 편의를 위해 공격자 프로파일링 장치(100)가 수행하는 것으로 통일하도록 한다.
우선, 공격자 프로파일링 장치가 침해 사고 그래프데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 제1 프로파일링 기준에 따라 분류한다(S310).
여기서 제1 프로파일링 기준은 기본적으로 5W1H(육하원칙)에 따르며, 침해 자원의 피해대상 또는 가해대상(WHO), 상기 침해 자원의 발생 또는 탐지 시간(WHEN), 상기 침해 자원의 공격도구(WHAT) 및 상기 침해 자원의 유포방식 또는 공격방식(HOW) 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준을 설정함에 있어서는 침해 자원의 분석에 따른 프로파일링 근거가 수반되는바, 제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상이라면, 프로파일링 근거는 타겟 IP, 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 발생 또는 탐지 시간이라면, 프로파일링 근거는 공격탐지 시간 또는 악성코드 컴파일 시간 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 공격도구라면, 프로파일링 근거는 악성코드, 백도어 및 C&C 도메인 중 어느 하나 이상일 수 있다.
제1 프로파일링 기준이 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면, 프로파일링 근거는 이메일(스피어피싱), P2P, 워터링홀, 악성코드/통신 암호화, 취약점 공격, 악성코드 행위, C&C 통신 및 정보유출 중 어느 하나 이상일 수 있다.
상기 설명한 바와 같은 프로파일링 근거에 따라 설정된 제1 프로파일링 기준에 따라 침해 자원에 대한 분류가 완료되면, 공격자 프로파일링 장치(100)가 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준에 따라 공격자를 프로파일링한다(S320).
여기서 제2 프로파일링 기준 역시 제1 프로파일링 기준과 마찬가지로 5W1H를 따르는바, 제2 프로파일링 기준이 반드시 제1 프로파일링 기준과 상이할 필요는 없으며 동일할 수도 있다. 예를 들어, 제1 프로파일링 기준이 누구(WHO)인 경우 제2 프로파일링 기준 역시 누구(WHO)가 될 수 있는바, 하나의 침해 자원에 대한 공격자와 피해자 모두 누구(WHO)가 될 수 있기 때문이다.
한편, 제2 프로파일링 기준이 제1 프로파일링 기준과 연계 가능하다는 것은 서로 연관되어 있을 뿐만 아니라, 제1 프로파일링 기준으로부터 제2 프로파일링 기준의 유추가 가능하다는 것을 의미한다. 여기서 유추에는 제1 프로파일링 기준을 설정하는데 이용한 프로파일링 근거가 동일하게 이용된다. 이하, 제2 프로파일링 기준을 설정하는 보다 구체적인 방법에 대하여 설명하도록 한다.
제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상이라면, 프로파일링 근거는 타겟 IP, 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 타겟 IP라면, 제2 프로파일링 기준은 공격자의 타겟 IP에 따른 공격의도(WHY) 또는 피해대상(WHO)일 수 있다. 예를 들어, 스피어피싱 메일의 수신자의 정보에 따라 공격자의 공격의도를 파악할 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상이라면, 제2 프로파일링 기준은 공격자의 국가정보(WHERE)일 수 있다. 예를 들어, 피해대상의 메일 서버를 통한 정보 유출을 확인하면 공격자의 정보 유출지를 확인할 수 있는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 발생 또는 탐지 시간이라면, 프로파일링 근거는 공격탐지 시간 또는 악성코드 컴파일 시간 중 어느 하나 이상일 수 있으며, 이 경우 제2 프로파일링 기준은 얼마나 오랜 시간 동안 진행되어온 공격인지(WHEN), 표준 시간대에 따른 국가정보(WHERE) 및 사회적 이슈 확인이 가능한 Actions on Objectives(활동) 중 어느 하나일 수 있다. 예를 들어, APT28(2007~2014, FireEye)의 컴파일 시간이 8AM ~ 6PM라면 UTC+4, 모스코바, 상트페테르부르크를 유추할 수 있는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 공격도구라면, 프로파일링 근거는 악성코드, 백도어 및 C&C 도메인 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 악성코드라면 제2 프로파일링 기준은 악성코드명 문자열 정보에 따른 국가정보(WHERE)일 수 있다. 예를 들어, 간체를 활용하여 국가정보가 중국임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 C&C 도메인이라면, 제2 프로파일링 기준은 C&C 도메인 국가정보, 등록정보(이메일)을 통해 공격자 정보 확인(WHO) 또는 네트워크 대역 확인(WHERE) 중 어느 하나일 수 있다. 예를 들어, C&C의 지리적 위치를 확인하거나 등록자의 도메인을 확인하는 것, 동일한 도메인 등록기관을 사용하는 것, 동일 네트워크 대역을 이용하는 것을 들 수 있다.
제1 프로파일링 기준이 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면, 프로파일링 근거는 이메일(스피어피싱), P2P, 워터링홀, 악성코드/통신 암호화, 취약점 공격, 악성코드 행위, C&C 통신 및 정보유출 중 어느 하나 이상일 수 있으며, 프로파일링 근거가 이메일(스피어싱)이라면, 제2 프로파일링 기준은 피해대상(기관, WHO)일 수 있다. 예를 들어, 군사기밀 또는 정치적 견해를 묻는 내용을 기반으로 사용자를 유인한 경우, 군사기밀 또는 정치계를 대상으로 한 공격임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 P2P 또는 워터링홀 중 어느 하나라면, 제2 프로파일링 기준은 추가 피해대상(불특정 다수, WHO)일 수 있다. 예를 들어, 일본 P2P 사이트를 통해 소정 용량의 압축파일을 공유하고 C&C 통신을 수행한 경우 불특정 다수를 상대로 한 공격임을 알 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 악성코드 행위라면 제2 프로파일링 기준은 공격방법 및 목적(HOW/WHAT)일 수 있다. 예를 들어, 스택프레임 파괴를 통해 기반시설이나 전산망을 마비시키려는 목적을 알 수 있는 것을 들 수 있다. 또한 프로파일링 근거가 C&C 통신이라면 제2 프로파일링 기준은 유사한 C&C 명령의 활용(HOW)일 수 있다. 예를 들어, 규격화된 C&C 통신을 통해 공격자가 주로 사용하는 공격 포맷과 문자열을 확인할 수 있는 것을 들 수 있다. 또한, 프로파일링 근거가 정보유출이라면, 제2 프로파일링 기준은 탈취내용에 따른 공격의도(WHY/WHAT)일 수 있다. 예를 들어, 유출정보가 사업자명이나 사업자 등록번호인 경우, 공격의도가 사업자 대상의 개인정보 탈취인 것을 알 수 있는 것을 들 수 있다.
상기 설명한 제1 프로파일링 기준으로부터 연계 가능한 제2 프로파일링 기준을 도 4에 테이블로 도시하였다. 제2 프로파일링 기준은 제1 프로파일링 기준의 프로파일링 근거로부터 서로 연관되어 있을 뿐만 아니라, 유추 가능한 것들을 대상으로 하며, 그에 따라 최초 제1 프로파일링 기준에 의해 분류된 침해 자원으로부터 추가적인 공격자 프로파일링 정보를 얻을 수 있고, 이를 통해 특정 공격자에 대한 침해 자원으로 정확하게 프로파일링할 수 있다.
또한, 침해 사고 그래프 데이터베이스를 구성하는 모든 노드에 저장된 침해 자원에 대하여 본 발명의 일 실시 예에 따른 공격자 프로파일링 방법을 수행하고 프로파일링된 공격자의 정보를 분류함으로써 특정 공격자에 대한 효과적인 사전 방어 전략을 수립할 수 있다.
한편, 본 발명의 일 실시 예에 따른 공격자 프로파일링 방법은 컴퓨터에서 실행 가능한 저장 매체 또는 매체에 저장된 프로그램의 형태로 구현될 수 있으며, 이 경우 사이버 킬 체인 분류 방법의 모든 기술적 특징을 동일하게 구현할 수 있으나, 중복 서술을 방지하기 위해 자세한 설명은 생략하도록 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 공격자 프로파일링 장치
10: 침해 자원 분류부
20: 프로파일링부

Claims (8)

  1. 공격자 프로파일링(profiling) 장치가, 침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 저장된 침해 자원의 분석에 따른 프로파일링 근거를 이용하여 설정된 제1 프로파일링 기준에 따라 분류하는 단계; 및
    상기 공격자 프로파일링 장치가, 상기 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준의 상기 프로파일링 근거를 이용하여 설정된 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 단계;
    를 포함하는 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  2. 제1항에 있어서,
    상기 침해 사고 그래프 데이터베이스는,
    상기 침해 사고 그래프 데이터베이스를 구성하는 모든 노드와 상기 노드를 연결하는 모든 에지(Edge)에 대하여 부여된 연결관계(Relationship)에 따라 하나 이상의 침해 사고 노드(Incident Node) 또는 침해 사고 그룹 노드(Incident Group Node)가 형성된,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  3. 제1항에 있어서,
    상기 분류하는 단계의 제1 프로파일링 기준은,
    상기 침해 자원의 피해대상 또는 가해대상(WHO), 상기 침해 자원의 발생 또는 탐지 시간(WHEN), 상기 침해 자원의 공격도구(WHAT) 및 상기 침해 자원의 유포방식 또는 공격방식(HOW) 중 어느 하나 이상인,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  4. 제3항에 있어서,
    상기 제1 프로파일링 기준이 침해 자원의 피해대상 또는 가해대상 중 어느 하나면,
    상기 제2 프로파일링 기준은 상기 프로파일링 근거가 타겟 IP인 경우 상기 공격자의 타겟 IP에 따른 공격의도(WHY) 또는 IP 또는 계정 중 어느 하나에 따른 국가정보(WHERE) 중 어느 하나 이상을 포함하고, 상기 프로파일링 근거가 이메일 송신자의 IP/계정 및 정보유출자의 IP/계정 중 어느 하나 이상을 포함하는 경우 공격자의 국가정보(WHERE)인,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  5. 제3항에 있어서,
    상기 제1 프로파일링 기준이 침해 자원의 발생 또는 탐지시간 중 어느 하나라면,
    상기 제2 프로파일링 기준은 상기 프로파일링 근거가 공격탐지 시간 또는 악성코드 컴파일 시간 중 어느 하나 이상을 포함하는 경우 상기 침해 자원의 발생 또는 탐지된 국가정보(WHERE)인,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  6. 제3항에 있어서,
    상기 제1 프로파일링 기준이 상기 침해 자원의 공격도구라면,
    상기 제2 프로파일링 기준은 상기 프로파일링 근거가 악성코드인 경우 악성코드명 문자열 정보에 따른 국가정보(WHERE)이고, 상기 프로파일링 근거가 C&C 도메인인 경우, 상기 침해 자원의 공격도구의 문자열정보에 따른 국가정보(WHERE), 상기 침해 자원의 공격도구의 C&C 도메인 등록정보에 따른 공격자 정보(WHO) 또는 네트워크 대역에 따른 국가정보(WHERE) 중 어느 하나 이상인,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  7. 제3항에 있어서,
    상기 제1 프로파일링 기준이 상기 침해 자원의 유포방식 또는 공격방식 중 어느 하나라면,
    상기 제2 프로파일링 기준은 상기 프로파일링 근거가 이메일인 경우 상기 침해 자원에 따른 피해대상이고, 상기 프로파일링 근거가 P2P 또는 워터링홀 중 어느 하나인 경우 추가 피해대상(WHO)이고, 상기 프로파일링 근거가 악성코드 행위인 경우 상기 공격자의 공격방법 및 목적(HOW/WHAT)이고, 상기 프로파일링 근거가 C&C 통신인 경우 정보 유출 내용에 따른 상기 공격자의 공격 의도(WHY/WHAT)인,
    침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법.
  8. 컴퓨팅 장치와 결합하여,
    침해 사고 그래프 데이터베이스(Graph Database)를 구성하는 모든 노드(Node)에 저장된 침해 자원의 분석에 따른 프로파일링 근거를 이용하여 설정된 제1 프로파일링 기준에 따라 분류하는 단계; 및
    상기 제1 프로파일링 기준에 따라 분류한 침해 자원에 대하여 상기 제1 프로파일링 기준의 상기 프로파일링 근거를 이용하여 설정된 제2 프로파일링 기준에 따라 공격자를 프로파일링하는 단계;
    를 실행시키기 위하여, 기록매체에 저장된 컴퓨터 프로그램.
KR1020170026431A 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 KR101910788B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170026431A KR101910788B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170026431A KR101910788B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법

Publications (2)

Publication Number Publication Date
KR20180099252A KR20180099252A (ko) 2018-09-05
KR101910788B1 true KR101910788B1 (ko) 2018-10-24

Family

ID=63594881

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170026431A KR101910788B1 (ko) 2017-02-28 2017-02-28 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법

Country Status (1)

Country Link
KR (1) KR101910788B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102018348B1 (ko) * 2019-03-06 2019-09-05 엘에스웨어(주) 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
KR102225460B1 (ko) * 2019-10-16 2021-03-10 한국전자통신연구원 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
KR102120232B1 (ko) * 2019-11-04 2020-06-16 (주)유엠로직스 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101711022B1 (ko) 2014-01-07 2017-02-28 한국전자통신연구원 제어 네트워크 침해사고 탐지 장치 및 탐지 방법

Also Published As

Publication number Publication date
KR20180099252A (ko) 2018-09-05

Similar Documents

Publication Publication Date Title
Schiller et al. Landscape of IoT security
US10887330B2 (en) Data surveillance for privileged assets based on threat streams
Rani et al. Threats and corrective measures for IoT security with observance of cybercrime: A survey
JP6736657B2 (ja) 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム
JP2019096339A (ja) クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法
KR20200007931A (ko) 상관관계 중심 위협 평가 및 치료
Lutta et al. The complexity of internet of things forensics: A state-of-the-art review
Marotta et al. Integrating a proactive technique into a holistic cyber risk management approach
Alani Big data in cybersecurity: a survey of applications and future trends
Gupta A comparative study of the approach provided for preventing the data leakage
Luiijf et al. On the sharing of cyber security information
KR101910788B1 (ko) 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법
Fry et al. Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks
Shrivastava et al. Network forensics: Today and tomorrow
Wang et al. Catching the wily hacker: A multilayer deception system
Chen et al. Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions
Kondo et al. Name anomaly detection for ICN
Mueller et al. Einstein on the breach: Surveillance technology, cybersecurity and organizational change
Fan et al. Enabling privacy-preserving sharing of cyber threat information in the cloud
Ahmed et al. A proactive approach to protect cloud computing environment against a distributed denial of service (DDoS) attack
Williams et al. Phishing prevention using defense in depth
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Khan et al. Cyber security’s influence on smart cities: Challenges and solutions
Koot et al. Privacy from an Informatics Perspective
Renato et al. Technologies' Application, Rules, and Challenges of Information Security on Information and Communication Technologies

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant