공공분야 정보보안 역량 강화를 위한 단기 교육과정 연구

윤주범(Joobeom Yun) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.3

최근 사이버공격은 국경을 초월하여 국가의 사이버 공간을 지속적으로 위협하고 있다. 이런 사이버공격은 국가 주요 기반시설을 마비시킬 수 있는 수준으로 지능화 · 고도화되는 양상을 보여주고 있다. 이런 사실은 원전 해킹 위협, 3·20사이버테러 등의 사건에서 잘 볼 수 있다. 특히 국가 중요 정보가 존재하는 국가 · 공공기관에서는 이와 같은 사이버공격으로 대규모 피해가 예상되기 때문에 사전예방이 중요하다. 기술적인 대응도 중요하지만 국가 · 공공기관 근무자에게 사이버보안 교육을 통해 사이버 보안의식 고취 및 보안 전문지식 향상을 통해 보안 수준을 높이는 것이 중요하다. 이에 본 논문에서는 공공분야 근무자들에 대한 단기 교육과정을 통해 최고의 보안 효과 상승을 위한 교육과정을 제안한다. Recently, cyber attacks are continuously threatening the cyberspace of the state across the border. Such cyber attacks show a surface which is intelligent and sophisticated level that can paralyze key infrastructure in the country. It can be seen well in cases, such as hacking threat of nuclear power plant, 3·20 cyber terrorism. Especially in public institutions of the country in which there is important information of the country, advanced prevention is important because the large-scale damage is expected to such cyber attacks. Technical support is also important, but by improving the cyber security awareness and security expert knowledge through the cyber security education to the country"s public institutions workers is important to raise the security level. This paper suggest education courses for the rise of the best security effect through a short-term course for the country"s public institutions workers.

사이버 방호기능 분석을 통한 지휘통제에 관한 연구

최세호,오행록,윤주범,Choi, Seho,Oh, Haengrok,Yun, Joobeom 한국군사과학기술학회 2021 한국군사과학기술학회지 Vol.24 No.5

Cyber threats can bypass existing cyber-protection systems and are rapidly developing by exploiting new technologies such as artificial intelligence. In order to respond to such cyber threats, it is important to improve the ability to detect unknown cyber threats by correlating heterogeneous cyber protection systems. In this paper, to enhance cyber-attack response capabilities, we proposed command and control that enables rapid decision-making and response before the attack objectives are achieved, using Lockheed Martin's cyber kill chain and MITRE ATT&CK to analyze the purpose and intention of the attacker.

QEMU를 활용하는 Mechaphish의 Tracer 분석

김주환(Juhwan Kim),윤주범(Joobeom Yun) 한국통신학회 2019 한국통신학회 학술대회논문집 Vol.2019 No.1

DJI 드론 모델별 삭제 비행기록 복구 가능성 분석

윤여훈(YeoHoon Yoon),윤주범(Joobeom Yun) 한국정보보호학회 2023 정보보호학회논문지 Vol.33 No.4

최근 IoT 산업 중 하나인 드론을 사용한 범죄가 지속적으로 보고되고 있다. 특히 드론은 손쉽게 접근하여 자유롭게 움직이는 특징이 있어 폭발물 운반, 마약 운반, 불법 촬영 등 다양한 범죄에 사용된다. 이러한 범죄 행위를 분석하고 수사하기 위해 드론 포렌식 연구가 매우 강조되는 상황이다. 드론에서 획득할 수 있는 대표적인 디지털 포렌식 아티팩트로는 미디어 데이터, PII, 비행기록 등이 있으며 특히 비행기록은 드론의 행적을 추적할 수 있는 중요한 아티팩트가 된다. 따라서 본 논문에서는 DJI 드론의 삭제된 비행기록 파일이 갖는 특징을 제시하고 특징의 차이점이 발생하는 세 가지 드론인 Phantom3, Phantom4, Mini2 드론을 이용하여 검증하였다. 또한 비행기록 파일이 갖는 특징을 이용하여 파일 카빙 기법을 통해 복구 정도를 분석하고 최종적으로 드론 모델별로 비행기록의 복구 가능성이 존재하는 드론과 그렇지 않은 드론 모델들을 분류한다. Recently, crimes using drones, one of the IoT industries have been continuously reported. In particular, drones are characterized by easy access and free movement, so they are used for various crimes such as transporting explosives, transporting drugs, and illegal recording. In order to analyze and investigate these criminal acts, drone forensic research is highly emphasized. Media data, PII, and flight records are digital forensic artifacts that can be acquired from drones, in particluar flight records are important artifacts since they can be used to trace drone activities. Therefore, in this paper, the characteristics of the deleted flight record files of DJI drones are presented and verified using the Phantom3, Phantom4 and Mini2 models, two drones with differences in characteristics. Additionally, the recovery level is analyzed using the flight record file characteristics, and lastly, drones with the capacity to recover flight records for each drone model and drone models without it are classified.

네트워크 침입 탐지 및 방어를 위한 인터렉티브 시뮬레이션 프레임웍

이재혁(JaeHyuk Lee),윤주범(JooBeom Yun),서정택(JungTeak Seo),박승규(SeungKyu Park),최경희(KyungHee Choi),정기현(Gihyun Jung) 한국정보과학회 2004 한국정보과학회 학술발표논문집 Vol.31 No.1A

네트워크 침입 탐지와 방어를 위한 연구는 실제 네트워크 환경을 구성하고, 실제 네트워크 침입을 통해 네트워크 침입 탐지와 방어 기법을 연구하는 것이 가장 좋은 방법이다. 하지만, 실제 네트워크 환경에서 대규모 네트워크를 구성하고, 네트워크 침입을 시도하여, 침입이 네트워크에 미치는 영향과 침입을 탐지하고 방어하는 방법은 많은 시간과 비용이 필요하게 된다. 그 대안으로 제안하는 시뮬레이션을 통한 연구는 시간과 비용은 줄이면서, 실제와 근사한 결과를 얻을 수 있다. 본 논문에서 제안하는 시뮬레이션 프레임웍은 대규모 네트워크 환경을 구성하고, 구성한 네트워크 환경 위에서 특정한 호스트로 네트워크 침입을 시도할 때, 네트워크 침입을 탐지 및 방어하기 위한 적절한 방법을 연구하기 위한 프레임웍으로, 특정한 공격의 목표가 된 호스트상에 IDS(Intrusion Detection System)나 Firewall을 설치하고, 시뮬레이션의 진행 중 실험자가 원하는 시간에 공격을 잠시 중단 시키고, 방어나 침입 탐지를 위한 IDS나 방화벽의 룰셋을 변경해 주는 방법을 통해 네트워크 침입 탐지 및 방어에 관한 유효적절한 방법을 실험 할 수 있게 해 준다. 본 시뮬레이션 프레임웍을 사용하여, 이후 좀 더 다양한 네트워크 침입 구현을 통해 다양한 침입 행동에 대한 적절한 침입탐지 및 방어 기법에 관한 연구에 많은 도움이 될 것이다.

파일 시스템 모니터링을 통한 클라우드 스토리지 기반 랜섬웨어 탐지 및 복구 시스템

김주환(Juhwan Kim),최민준(Min-Jun Choi),윤주범(Joobeom Yun) 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.2

현대 사회의 정보 기술이 발전함에 따라 시스템의 중요 정보를 탈취하거나 파괴하는 목적을 가진 다양한 악성코드도 함께 발전하고 있다. 그 중 사용자의 자원을 접근하지 못하게 하는 대표적인 악성코드로 랜섬웨어가 있다. 암호화를 수행하는 랜섬웨어에 대해 탐지하는 연구는 최근에 계속해서 진행되고 있으나, 공격을 한 이후에 손상된 파일을 복구하는 추가적인 방안은 제안되지 않고 있다. 또한 기존 연구에서는 암호화가 여러 번에 걸쳐 진행되는 것을 고려하지 않고 유사도 비교 기법을 사용했기 때문에 정상적인 행위로 인식할 가능성이 높다. 따라서 본 논문에서는 파일 시스템을 제어하는 필터 드라이버를 구현하며, 랜섬웨어의 암호화 패턴 분석을 기반으로 검증된 유사도 비교기법을 수행한다. 이에 접근한 프로세스의 악의적 유무를 탐지하고 클라우드 스토리지를 기반으로 손상된 파일을 복구하는 시스템을 제안하고자 한다. As information technology of modern society develops, various malicious codes with the purpose of seizing or destroying important system information are developing together. Among them, ransomware is a typical malicious code that prevents access to user"s resources. Although researches on detecting ransomware performing encryption have been conducted a lot in recent years, no additional methods have been proposed to recover damaged files after an attack. Also, because the similarity comparison technique was used without considering the repeated encryption, it is highly likely to be recognized as a normal behavior. Therefore, this paper implements a filter driver to control the file system and performs a similarity comparison method that is verified based on the analysis of the encryption pattern of the ransomware. We propose a system to detect the malicious process of the accessed process and recover the damaged file based on the cloud storage.

얼굴 인식 모델에 대한 질의 효율적인 블랙박스 적대적 공격 방법

서성관(Seong-gwan Seo),손배훈(Baehoon Son),윤주범(Joobeom Yun) 한국정보보호학회 2022 정보보호학회논문지 Vol.32 No.6

모바일 엣지 컴퓨팅 환경에서 안전 복사를 활용한 도커 컨테이너 마이그레이션 성능 분석

변원준(Wonjun Byeon),임한울(Han-wool Lim),윤주범(Joobeom Yun) 한국정보보호학회 2021 정보보호학회논문지 Vol.31 No.5

모바일 기기는 그 자체가 가지고 있는 연산 자원이 제한적이기 때문에 클라우드를 활용하여 컴퓨팅하거나 데이터를 저장하는 경향이 있다. 5G로 인해 실시간성이 중요해 짐에 따라, 중앙 클라우드보다 사용자에게 더 가까운 위치에서 컴퓨팅하는 엣지 클라우드에 관한 많은 연구가 수행되었다. 사용자가 현재 연결된 기지국의 엣지 클라우드와 물리적인 거리가 멀어질수록 네트워크 전송 속도가 느려지게 된다. 따라서 원활한 서비스 이용을 위해서는 가까운 엣지 클라우드로 애플리케이션을 마이그레이션 한 뒤 재실행해야 한다. 우리는 호스트 운영 체제와 독립적이며, 가상 머신에 비해 이미지 크기가 상대적으로 가벼운 도커 컨테이너에서 애플리케이션을 실행한다. 기존의 마이그레이션 연구는 네트워크 시뮬레이터를 사용하여 실험하였다. 시뮬레이터는 고정된 값을 사용하기 때문에 실제 환경에서의 결괏값과는 차이점이 발생한다. 또한, 공유 저장소를 통해 이미지를 마이그레이션 하는 방식을 사용하였는데, 이는 패킷 내용 노출에 대한 위험을 갖는다. 본 논문에서는 실제 환경에서 엣지 컴퓨팅 환경을 구현하여 데이터 암호화 전송방식인 안전 복사(Secure CoPy) 방식으로 컨테이너를 마이그레이션 한다. 공유 저장소 방식 중 하나인 네트워크 파일 시스템(Network File System)과 마이그레이션 시간을 비교하고 안전성 확인을 위해 네트워크 패킷을 분석한다. Since mobile devices have limited computational resources, it tends to use the cloud to compute or store data. As real-time becomes more important due to 5G, many studies have been conducted on edge clouds that computes at locations closer to users than central clouds. The farther the user’s physical distance from the edge cloud connected to base station is, the slower the network transmits. So applications should be migrated and re-run to nearby edge cloud for smooth service use. We run applications in docker containers, which is independent of the host operating system and has a relatively light images size compared to the virtual machine. Existing migration studies have been experimented by using network simulators. It uses fixed values, so it is different from the results in the real-world environment. In addition, the method of migrating images through shared storage was used, which poses a risk of packet content exposure. In this paper, Containers are migrated with Secure CoPy(SCP) method, a data encryption transmission, by establishing an edge computing environment in a real-world environment. It compares migration time with Network File System, one of the shared storage methods, and analyzes network packets to verify safety.

기계학습 알고리즘을 이용한 소프트웨어 취약 여부 예측 시스템

최민준(Minjun Choi),김주환(Juhwan Kim),윤주범(Joobeom Yun) 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.3

4차 산업혁명 시대에 우리는 소프트웨어 홍수 속에 살고 있다. 그러나, 소프트웨어의 증가는 필연적으로 소프트웨어 취약점 증가로 이어지고 있어 소프트웨어 취약점을 탐지 및 제거하는 작업이 중요하게 되었다. 현재까지 소프트웨어 취약 여부를 예측하는 연구가 진행되었지만, 탐지 시간이 오래 걸리거나, 예측 정확도가 높지 않았다. 따라서 본 논문에서는 기계학습 알고리즘을 이용하여 소프트웨어의 취약 여부를 효율적으로 예측하는 방법을 설명하며, 다양한 기계학습 알고리즘을 이용한 실험 결과를 비교한다. 실험 결과 k-Nearest Neighbors 예측 모델이 가장 높은 예측률을 보였다. In the Era of the Fourth Industrial Revolution, we live in huge amounts of software. However, as software increases, software vulnerabilities are also increasing. Therefore, it is important to detect and remove software vulnerabilities. Currently, many researches have been studied to predict and detect software security problems, but it takes a long time to detect and does not have high prediction accuracy. Therefore, in this paper, we describe a method for efficiently predicting software vulnerabilities using machine learning algorithms. In addition, various machine learning algorithms are compared through experiments. Experimental results show that the k-nearest neighbors prediction model has the highest prediction rate.

DEX 파일을 이용한 효율적인 안드로이드 변종 악성코드 탐지 기술

박동혁(Dong-Hyeok Park),명의정(Eui-Jung Myeong),윤주범(Joobeom Yun) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.4

스마트폰 보급률이 증가하여 이용자 수가 증가함에 따라 이를 노린 보안 위협도 증가하고 있다. 특히, 안드로이드 스마트폰의 경우 국내에서 약 85%에 달하는 점유율을 보이고 있으며 안드로이드 플랫폼 특성상 리패키징이 용이하여 이를 노린 리패키징 악성코드가 꾸준히 증가하고 있다. 안드로이드 플랫폼에서는 이러한 악성코드를 방지하기 위해 다양한 탐지 기법을 제안하였지만, 정적 분석의 경우 리패키징 악성코드 탐지가 쉽지 않으며 동적 분석의 경우 안드로이드 스마트폰 자체에서 동작하기 어려운 측면이 있다. 본 논문에서는 리패키징 악성코드의 코드 재사용 특징을 이용하여 안드로이드 애플리케이션에서 DEX 파일을 추출해 역공학 과정을 거치지 않고 DEX 파일에 기록된 클래스 이름과 메소드 이름 같은 특징으로 악성코드를 정적 분석하는 방법과 이를 이용하여 리패키징 악성코드를 보다 효율적으로 탐지하는 방법을 제안한다. Smart phone distribution rate has been rising and it’s security threat also has been rising. Especially Android smart phone reaches nearly 85% of domestic share. Since repackaging on android smart phone is relatively easy, the number of re-packaged malwares has shown steady increase. While many detection techniques have been proposed in order to prevent malwares, it is not easy to detect re-packaged malwares by static analysis and it is also difficult to operate dynamic analysis in android smart phone. Static analysis proposed in this paper features code reuse of repackaged malwares. We extracted DEX files from android applications and performed static analysis using class names and method names. This process doesn’t not include reverse engineering, so it is possible to detect malwares efficiently.