논문분석 - 보안위협 모니터링을 위한 AI 데이터셋 구성방안 연구

한상현 조인준. "보안위협 모니터링을 위한 AI 데이터셋 구성방안 연구." 공학논문집 23.1 (2021)

https://www-riss-kr.libproxy.swu.ac.kr/search/detail/DetailView.do?control_no=1f3d7906fd18b22db36097776a77e665&keyword=%EB%B3%B4%EC%95%88%EC%9C%84%ED%98%91+%EB%AA%A8%EB%8B%88%ED%84%B0%EB%A7%81%EC%9D%84+%EC%9C%84%ED%95%9C+AI+%EB%8D%B0%EC%9D%B4%ED%84%B0%EC%85%8B+%EA%B5%AC%EC%84%B1%EB%B0%A9%EC%95%88+%EC%97%B0%EA%B5%AC&p_mat_type=1a0202e37d52c72d

 

위 논문을 읽고 작성되는 블로그이다.

 

이 연구는 기존의 대응 체계의 한계를 극복하고, 공개된 취약점 정보를 분석하여 공격 집단을 식별하고, 이를 통해 취약점에 대한 분석 방안 및 대응책을 연구하고자한다. 이를 위해, 공개 정보와 공격자 정보를 결합하여 AI 데이터셋을 구축하고, 이를 활용하여 보안 위협 모니터링 시스템을 구축하려한다.

웹 해킹 사례를 분석하는 데 사용되는 "zone-h.org"와 “Shodan” 같은 사이트는 자동 봇에 의해 실시간으로 취약점 및 해킹 정보를 수집하고 저장하고 저장된 정보는 공격자의 특징과 방법을 파악하고, 공격에 대한 특징 분석을 통해 해킹 집단을 세부적으로 분류하는 데 사용된다.

1. 농협전산망 장애사건(2011년): 2011년에 발생한 농협전산망 장애사건은 악성코드에 감염되어 전산망에 장애를 일으켰다. 이 사건에서 공격자들은 취약점을 통해 농협의 전산망에 침입하여 공격을 시도했으며, 이러한 공격과 이전의 디도스공격과의 연관성이 확인되었다. 이를 해결하기 위해 취약점 정보를 수집하고 이를 공유하는 데이터셋을 만들고, AI를 활용하여 보안취약점과 해킹 공격을 효과적으로 탐지하고 대응하는 방안을 모색하고 있다.
2. 디도스공격 사례: 2009년과 2011년에 발생한 디도스공격은 취약점을 통해 공격을 시도한 사례이다. 이러한 디도스공격은 사회 전반에 영향을 미치는 대표적인 사례 중 하나이고 이러한 사례들을 통해 취약점 정보의 중요성과 사이버 공격의 심각성이 강조 되었다.
3. 디페이스공격(zone-h.org): 디페이스공격은 zone-h.org와 같은 웹 사이트에 등록된 외부 도메인이 해킹되는 공격이다. 공격자들은 해당 사이트의 취약점을 이용하여 정보를 탈취하거나 조작한다. 이를 통해 공격자들의 특징과 방법을 파악하여 공격에 대한 특징분석을 실시하고, 공격자들을 식별하고 분류하는데 활용할 수 있다.
4. 어둠의 구글(Shodan): Shodan은 사물인터넷을 위한 검색 엔진으로, 기업들이 자신의 환경을 점검하거나 보안을 강화하는 데에 활용된다. 이를 통해 기업들은 자사의 보안 취약점을 파악하고 보완할 수 있다. 또한, Shodan을 통해 인터넷에 연결된 장비들의 정보를 탐색하여 보안 위협을 예방할 수 있다.

 

1. AI 데이터셋 구축:
   • 주요 목적은 공개된 취약점 정보를 실시간으로 수집하고 이를 공격자 정보와 결합하여 AI 데이터셋을 구축하는 것.
   • Zone-h, Shodan, 말테고 등의 웹사이트에서 자동화된 봇을 활용하여 취약점 및 해킹 정보를 수집한다.
   • 수집된 데이터를 정제하고 AI 데이터셋으로 구성하여 보안 활동에 활용할 수 있도록 구현한다.
2. AI 데이터셋 분석 적용방안:
   • 공격에 사용된 주요 정보를 Case vector로 정의하고, 이를 통해 공격의 유사성을 측정하고 분석한다.
   • 해킹 사례와 관련된 데이터를 활용하여 공격자의 행동 패턴과 공격 목표를 추론하고 분석한다.
3. AI 데이터셋 적용 시나리오:
   • 해킹 메일 및 악성코드를 분석하여 공격 식별키를 추출하고, 이를 기반으로 공격 집단을 식별한다.
   • 공격자의 공격 준비 과정을 추적하고 사전 대응을 위해 공격 인프라의 변화를 모니터링하며 예측한다.
   • 소셜 네트워크 분석을 통해 공격 대상을 확인하고, 정보보호 장비에 공격 식별키를 등록하여 공격을 탐지하고 대응한다.

AI 데이터셋은 공격자의 사용 언어, 악성 코드 개발 환경, 본문 언어, 문자열 등 공격자의 환경을 추정할 수 있는 정보를 포함하며, 이를 통해 공격 집단의 특징을 식별하는 공격 특징 식별키를 선정한다. 또한, 공격 날짜, 대상 IP, 대상 도메인, 대상 OS, 대상 서버 등의 정보는 공격자와 피해자의 관계 정보를 통해 공격자를 추정하는 데 사용된다..

이 연구의 목표는 이러한 정보를 수집하고 정제하여 AI 데이터셋을 구축하고, 이를 통해 공격 집단을 식별하고, 공격에 대한 사전 대응을 가능하게 하는 것이다. 이를 통해, 보안 취약점을 쉽게 인식하고, 해킹 공격의 집단 분석을 통해 공격 집단을 구체화하고, 침해 사고의 사전 예방을 가능하게 할 수 있다. 또한, AI가 발전함에 따라 분석 가능한 데이터셋이 필요하며, 보안 취약점을 모니터링할 수 있는 데이터셋 구축을 통해 지속적으로 증가하는 취약점들을 분석하고, 공격 집단, 공격 원인 등의 정보까지 분석 처리하여 사전 대응을 가능하게 하려고 한다.

 

배운점 및 느낀점

데이터 수집과 분석이 보안에 중요하다는걸 느꼇다. 취약점 정보를 실시간으로 수집하고 분석해서 새로운 공격 패턴을 파악하고 대응할 수 있는게 중요하다고 생각했고 해당 역량을 키워나가야겠다는 생각도 들었다. ai를 활용하여 데이터를 분석하고 공격 패턴을 식별하면 훨씬 효과적으로 공격에 대응할 수 있다는 걸 알 수 있었다. 또한 공격 인프라의 변화를 모니터링하고 사전에 대비하는게 제일 중요하고 공격을 미리 예측하고 대응할 수 있는 능력이 필수적이라고 느꼈다.