사이버 킬체인 모델에 기반한 공격그룹 분류 및 공격예측 기법
Classification of Attack Groups and Prediction of TheClassification of Attack Groups and Prediction of Their Attack Based on Cyber Kill Chain Modelir Attack Based on Cyber Kill Chain Model
- 주제(키워드) 사이버전 , 공격그룹 분류 , 공격예측
- 발행기관 아주대학교
- 지도교수 임재성
- 발행년도 2017
- 학위수여년월 2017. 2
- 학위명 박사
- 학과 및 전공 일반대학원 NCW학과
- 실제URI http://www.dcollection.net/handler/ajou/000000024111
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
사이버공간이 군사작전영역으로 확대되고 국가안보에 미치는 영향력이 커지고 있지만, 사이버공간의 근본 특성인 익명성으로 인해 공격주체의 식별이 어려워지면서 사이버공격에 대한 즉각적이고 능동적인 대응은 거의 불가능한 현실이다. 또한 사이버전력의 운용을 가장 효율적인 군사도발의 수단으로 인식하고 있는 북한은 최근 수년 간 지속적인 사이버공격을 감행하고 있으나 대부분의 경우 공격주체 식별에만 장시간이 소요되어 대응은 쉽지 않았다. 이러한 이유로 급증하고 있는 사이버위협을 신속하게 인지하고 효율적으로 대응하기 위해서는 공격의 주체를 규명하고 그들의 행동을 관찰하면서 의도와 차후 공격행위를 예측하는 것이 반드시 필요하다. 이러한 문제를 해결하기 위해 본 논문에서는 사이버공격의 각 단계에서 생성되는 다양한 디지털 단서들을 활용하여 공격행위자를 식별하고 식별된 공격행위자의 향후 행동까지 예측할 수 있는 방안을 제안하였으며, 이를 바탕으로 6단계로 구성된 사이버방어작전 프레임워크를 정립하였다. 연구의 진행을 위해 우선 다양한 사이버 킬체인 모델들을 대상으로 군사작전에의 적용 가능성을 평가하여 Lockheed Martin에서 제안한 모델을 사이버공격을 모델링하기 위한 기준으로 선정하였고 선정된 모델에 근거하여 사이버공격을 정찰행위부터 목적수행까지의 7단계로 정의하였다. 사이버공격이 시작되는 정찰단계에서는 일반적으로 공격자가 자신의 공격행위를 숨기기 위해 VPN, Proxy 등을 이용하여 자신의 IP를 은닉하는 기법을 활용하고 있다는 점을 고려하여, 은닉 IP를 통해 접속한 공격자의 웹로그를 수집하고 분석함으로써 사이버 정찰행위 패턴을 모델링 할 수 있는 기법을 제안하였다. 수집된 웹 로그는 소셜네트워크분석 및 K-means 클러스터링 기법을 적용하여 분석하였으며, 정상적인 행위자에 의해 생성된 웹로그와의 비교를 통해 은닉 IP를 사용하는 공격자의 정찰행위가 정상행위자와는 차별됨을 검증하였다. 2단계인 무기화 단계부터 마지막 단계인 목적수행 단계까지는 각 단계에서 생성되는 다양한 디지털 단서들을 정보지표로 활용하여 공격집단을 분류하고, 수집된 정보지표의 재활용을 모니터링하여 공격을 예측하는 방안을 제안하였다. 먼저 이메일, 첨부파일, 공개출처정보 등을 확인하여 총 42종의 디지털 단서들을 식별해 냈고, 그 중 6개의 핵심 디지털 단서를 공격그룹 식별키로 정의하였다. 제안된 방안을 OO 기관에서 수집된 해킹메일에 적용하여 분석을 실시한 결과 주요 공격그룹을 가시화하고 식별된 공격자의 추적을 통해 추가적인 공격까지도 예측 가능함을 확인하였다. 그리고 이러한 일련의 절차를 군사작전의 틀 속에 통합하기 위해 “탐지 → 디지털 단서 추출 → 공격그룹 분류 → 분석(공격자 정보 프로파일링) → 디지털 단서의 재활용 모니터링을 통한 공격 예측 → 공격 대응”의 6단계로 구성된 사이버 방어작전 프레임워크로 정립하였다. 본 연구를 통해 제안된 은닉 IP기반의 접속자 웹로그 분석을 통한 사이버 정찰패턴 모델링 기법과 디지털 단서 기반의 공격그룹 분류 및 공격 예측 프레임워크는 실제 데이터를 이용한 실험을 통해서도 확인되었듯이 사이버작전에서 충분히 적용 가능하며, 향후 우리 군이 사이버작전 수행 시 적을 더 빨리 식별하여 효율적인 대응을 할 수 있는 기반을 제공할 것이다.
more목차
제1장 서 론 1
제1절 연구 배경 및 목적 1
제2절 연구 범위 및 방법 3
제2장 관련 연구 7
제1절 사이버 킬체인 모델 분석 7
제2절 사용 패턴 분석을 위한 정보수집 및 분석 기법 17
제3절 악성코드와 공개출처첩보를 이용한 공격그룹 분류 23
제3장 사이버 정찰행위 모델링 30
제1절 IP 은닉 웹로그 수집 및 분석을 통한 모델링 32
제2절 실험 및 결과 40
제3절 소결론 59
제4장 디지털 단서 기반의 공격그룹 식별 및 공격예측 61
제1절 사이버 방어작전 프레임워크 62
제2절 공격그룹 분류 및 예측 83
제3절 제안하는 사이버 방어작전 체계 분석 99
제4절 소결론 102
제5장 결 론 103
참 고 문 헌 105
Abstract 111
