바이러스 면역시스템 분석

전완근,이중식,이종일,김홍윤 한국융합보안학회 2002 융합보안 논문지 Vol.2 No.2

최근에는 러브레터 ,백오리피스와 같은 웜바이러스, 트로이목마, 리눅스바이러스 등과 같은 네트워크 상의 대규모 PC를 대상으로 막대한 피해를 줄 수 있는 악성 신종 바이러스가 출현함에 따라 국내외적으로 증가추세에 있는 신종 바이러스에 대하여 보다 신속하고 능동적으로 대처하기 위해서는 인공지능기법을 적용한 새로운 형태의 차세대 악성 컴퓨터바이러스에 대한 연구가 요구된다. 이를 위해서 미확인된 차세대 악성 바이러스에 대한 신속한 자동탐지 및 제거기능을 갖는 해외의 디지털 면역시스템을 분석한다. To recently with the love-letter and Back Orifice the same Worm-virus, with the Trojan and the Linux-virus back against the new species virus which inside and outside of the country to increase tendency the malignant new species virus which is the possibility of decreasing the damage which is enormous in the object appears and to follow a same network coat large scale PC is being quicker, it disposes spontaneously to respect, applied an artificial intelligence technique the research against the next generation malignant computer virus of new form is demanded. Will reach and to respect it analyzes the digital immunity system of the automatic detection which is quick against the next generation malignant virus which had become unconfirmed and the foreign countries which has an removal function.

리눅스 커널 백도어 침입자 추적대응시스템 설계 및 구현

전완근 한국융합보안학회 2005 융합보안 논문지 Vol.5 No.2

본 논문에서는 리눅스 커널 백도어 침입자에 대한 추적과 커널 백도어의 공격에 대한 대응방법을 다룬다. 해커는 일반적으로 시스템에 침입하여 접속로그파일을 지우거나 위조된 주소정보를 사용하기 때문에 현재 로그기반의 침해사고 분석방법으로는 침입자를 추적하는데 한계가 있다. 이에 대한 해결책으로 DeFor 시스템을 제안한다. 이 시스템은 삭제된 로그복구와 전체 하드디스크 이미지 증거 분석을 통하여 침입자 위치를 추적하고, 신속하게 대응함으로써 해킹 피해를 최소화할 수 있다. This paper is about the method that chases the Linux kernel backdoor intruder and copes with the kernel backdoor attack. We have a limit to trace the hacker with the current log analysing method because the hacker generally removes the log file and use the forge IP information. I propose the solution to solve the problem with the DeFor system. Through the restoration of the deleted log file, analysis of it and full HDD image, promptly quick response, it is possible to trace hacker spot and reduce hacking damage.

커널 백도어 공격 탐지 및 복구시스템 설계에 관한 연구

전완근(Wan-Keun Jeon),오임걸(Im-Geol Oh) 한국산업정보학회 2007 한국산업정보학회논문지 Vol.12 No.3

최근 해킹ㆍ바이러스 대응기술동향

전완근(Wankeun Jeon),임재명(Jaemyung Lim) 한국정보과학회 2002 정보과학회지 Vol.20 No.11

인터넷 웜 CodeRed의 공격기법 분석 및 대응현황

전완근(Wankeun Jeon),임재명(Jaemyung Lim),이중식(Joongsik Lee),이종일(Jongil Lee),김홍윤(Hongyoon Kim) 한국정보과학회 2002 정보과학회지 Vol.20 No.11

디도스 공격증거와 법적 책임 - 디도스 공격증거의 수집분석 절차 및 증거의 성격과 조사방법 중심으로 -

전완근(Wan-keun Jeon) 대검찰청 2011 형사법의 신동향 Vol.0 No.32

2009년 7월 7일 디도스 사건발생 이후 금년 3월 4일 디도스, 4월 12일 농협전산망 마비 사건 등 연쇄 사이버 해킹이 발생하고 있다. 위 사건들의 공통 키워드는 디도스 공격이다. 본 논문에서는 7 ․ 7 디도스 사건 수사사례에 대해 기술과 법률적 관점으로 접근하여 연구하였다. 기술적 관점으로는 디도스 공격 구성요소, 공격증거 유형, 증거수집 및 분석절차 등을 분석하였다. 즉, 디도스 공격 구성의 3요소를 좀비 컴퓨터, 명령제어 서버, 마스터로 구분하고, 구성 요소별로 수집한 디지털 증거에 대해 디도스 공격 포렌식 방법론을 적용하여 공격패킷, 악성프로그램, 좀비 컴퓨터, 명령제어 서버 등을 분석하여 결과를 도출하였다. 법률적인 관점으로는 디도스 공격증거 분석결과를 토대로 법률주체인 인터넷 서비스 이용자(개인), 인터넷서비스 제공기업(인터넷 망사업자 또는 통신사업자), 정부(주무부서), 운영체제 개발업체(MS) 등으로 나누어 사건발생에 대한 법적책임의 유무 등을 검토하여 문제제기 하였다. 즉, 디도스 공격의 피해자이며 동시에 가해자인 인터넷 서비스 이용자의 미필적 고의가 있는 지, 인터넷 서비스 제공자의 좀비 컴퓨터의 공격데이터 전송부분에 대한 방조 책임유무, 정부의 피해예방 통제와 대처과정에 있어서의 책임유무, 보안상 완전하지 않은 윈도우즈 운영체제를 개발하여 배포한 업체에 대한 책임 유무 등을 검토하면서 문제점을 도출하였다. 금년에 발생하고 있는 연쇄 사이버 해킹의 공통 키워드인 디도스 공격에 대해 법률주체별 책임과 의무, 디도스 공격사건 수사체계의 문제점 및 개선방안에 대해 심도 있게 논의해 볼 때이다. After the massive DDoS attack in July 7th, 2009, cyber terror attacks such as system down of Nonghyub Bank (March 4th, 2011) occurred continuously. The key word of these cases is DDoS Attack. This study will show the research result of 7.7 DDoS attack investigation case with technical aspects such as evidence types, collecting and analyzing evidences, and problems of its legal responsibility with the view of an individual, company, government and security company. In a technical side, the three factors of DDoS attack are Zombie computer, Command control server and a Master. To arrest the master, all evidences about DDoS attack must be collected and analysed. The evidences in DDoS attack must be collected in a view of the causal relationship of the case damage and punishment. The evidences caused by the causal relationship of DDoS attack case damage are attack packets and malicious programs. The evidences which are applied to criminal code about DDoS attack case and the factor of crime in Information Network Promotion and Information Protection Act are attack packets, malicious programs, use logs, and system fail messages. To analyse evidences collected by the each factor of DDoS attacks systematic, forensic investment method fixed for DDoS attack must be applied. So, in DDoS attack forensic method, evidence analysis follows attack packets, zombie computer, control server and a master. The problems of legal duties about 7.7 DDoS attack in legality side will deal with personal, enterprise, government and security company sides. First, whether each person who is also direct attacker and victim of DDoS attack has willful negligence or not, second, whether Internet infrastructure providers or telecom service providers as a service provider who has a duty to provide a secure Internet service, have responsibility for abetting transmitting packets from zombie computers, or not, third, whether the government have responsibility about preservation control and countermeasure, last, will check whether a foreign company which developed Windows operating system which has security faults has responsibility or not. In between the evidences about the DDoS attack which caused the DDoS attack in March 4th, and the interruption of banking system in Nonghyub Bank in April 12th in this year, it is time to discuss legal responsibility, duty, problems of countermeasure system about DDoS attack and its solutions.

디도스(DDoS) 공격증거와 법적책임

전완근(Jeon, Wan-Geun) 한국형사소송법학회 2011 형사소송 이론과 실무 Vol.3 No.1

디도스 공격의 법적책임 부분은 서로가 민감한 문제이다. 디도스 공격사 건으로 인한 경제적 피해액은 수백억 원으로 추정되었다. 그러나 디도스 공격자를 검거하지 못하면 그로 인한 사회적인 손실과 경제적비용에 대한 책임부분은 고스란히 국민에게 전가되지 않을 까 우려된다. 따라서 누군가에게 책임을 물어야 한다고 생각한다. 1․25 인터넷 대란의 경우에처럼 우리정부나 수사기관에 대한 국민의 신뢰가 저하될 것으로 본다. 7․7 디도스 공격 사건에 대한 법률적인 책임을 누구한테 물을 것인가, 누가 책임질 것인가? 개인, 기업, 정부, 산업체 등 여러 관점에서 살펴보고 문제를 제기하고자 한다. 우선 개인이 경우 개인 사용자는 자신의 컴퓨터가 해킹을 당해서 해커가 컴퓨터를 공격프로그램을 설치한 후 공격을 것인데, 이를 개인 사용자의 컴퓨터 관리능력 및 정보보안 마인드 부재로, 피해자이자 동시에 가해자인 경우에 미필적 고의로 볼 수 있는지 의문이다. 그리고 기업에서는 전 국민에게 인터넷 서비스를 제공하고 가입자로부터 서비스 사용료를 가져가는 대신에 고객들을 위해 안전한 인터넷사용을 위해 서비스 제공자는 정보보안에 투자와 노력을 하고 있어, 만일 보안사고발생시 적절한 대응절차 및 방안을 마련하였고 얼마나 잘 수행하고 있는 가에 따라 책임의 경중이 달라질 것으로 보인다. 또 한편으로 개인 사용자들이 악성프로그램에 의한 데이터 파괴에 대해서 기업이나 정부를 상대로 책임소재를 물었을 경우 어떤 근거에 의해서 어떻게 사법적인 대응을 할지 법률적인 판단이 필요하다. DDoS attack's legal responsibility can be sensitive for concerned parties. Economic losses and damages made by DDoS attack was estimated to reach tens billion Won. Failure of the attack of DDoS attackers may transfer not only social losses but also economic expenses to the people. Therefore, someone shall be responsible for DDoS attack. Like January 25 Internet crisis, the Korean people may be reluctant to rely upon the Korean Government and investigation agencies. This study examined legal responsibility as well as responsible person and authority of July 7 DDoS attack from point of view of individuals, enterprises, the Government and industries, and raised problems. Individual users' computers were attacked by hacking when a hacker installed an attack program on the computers: The users can be either attacker or sufferer because of neither computer control ability nor information security ideas. The case is thought to be of doubt to apply willful negligence. And, enterprises collect service charges from subscribers in compensation for supply of Internet services for the people, and service providers are making effort and invest to let customers make use of Internet safely and to assure of information security. Weight of the responsibility may vary depending upon counteraction procedures and plans at occurrence of security accidents. When individual users complain data destruction made by malignant programs against enterprises and the Government, legal judgment on bases and counteractions is needed.

특수유형 OSP(Online Service Provider)의 대용량 데이터베이스 포렌식 분석 방안 연구

이동영(Dong-Young Lee),전완근(Wan-Keun Jeon),김홍윤(Hong-Yun Kim) 한국정보보호학회 2011 情報保護學會誌 Vol.21 No.6

다수의 사람과 파일을 공유할 수 있는 웹하드 서비스의 이점을 이용하여 각종 불법복제물 등의 업로드를 유도하고 다운로드를 통해 이득을 취하는 특수 유형의 OSP(Online Service Provider, 온라인 서비스 제공자)들이 출현하게 되었다. 이런 범죄가 일어나는 업체의 데이터베이스에는 모든 이용자들의 관련 기록을 담고 있어 헤비업로더의 활동내역뿐만 아니라 업체측의 방조혐의 등의 증거를 추출할 수 있다. 본 논문에서는 특수유형 OSP들의 대용량 데이터베이스를 신속하고 정확하게 무결성을 유지하며 데이터베이스의 데이터를 수집할 수 있는 방법에 대해 연구해보고, 수집한 데이터 또한 신속하게 분석하는 방법을 제안하였다.

VMware를 이용한 바이러스 테스트 시뮬레이션 설계 및 구현

이중식,이종일,김홍윤,전완근 한국융합보안학회 2002 융합보안 논문지 Vol.2 No.2

최근에 들어와서는 컴퓨터 바이러스와 해킹에 대한 공격이 심각한 수준에 와 있다. 이제 컴퓨터 바이러스는 특정 사건이 아니라 우리의 생활 속에서 발생할 수 있는 실질적인 피해임을 느낄 수 있다. 특히 1999년 이후에 나타난 바이러스는 다양한 변화를 보였고, 진보된 형태의 바이러스도 많이 나타났다. 일부 바이러스는 자신의 코드를 재배치하는 암호화 기술을 사용하기도 한다. 이에 따라서 백신 프로그램들은 바이러스의 암호화를 다시 복호화 하기 위해 가상 실행 엔진(emulation mine)을 사용하고 있다. 이러한 바이러스의 복잡한 암호화 기술 및 복호화 기술은 O.S의 종류에 따라 형식이 다양하다. 따라서 하나의 시스템에서 여러 가지 운영체제의 가상 실행 엔진을 사용하기 위해서 다수의 운영체제를 같이 사용할 수 있게 해주는 응용 소프트웨어인 VMware를 사용하여 '바이러스 Test Simulation'의 설계 및 구현을 할 수 있다. Comes in into recent times and there is on with a level where the attack against the computer virus and the hacking which stand is serious. The recently computer virus specific event knows is the substantial damage it will be able to occur from our life inside is a possibility of feeling. The virus which appears specially in 1999 year after seemed the change which is various, also the virus of the form which progresses appeared plentifully The part virus does it uses the password anger technique which relocates the cord of the oneself. Hereupon consequently the vaccine programs in older decode anger to do the password anger of the virus again are using emulation engine. The password anger technique which the like this virus is complicated and decode anger technique follow in type of O.S. and the type is various. It uses a multi emulation engine branch operation setup consequently from one system and to respect it will be able to use a multiple operation setup together it will use the VMware which is an application software which it does as a favor there is a possibility where it will plan 'Virus Test Simulation' and it will embody.

VMware를 이용한 바이러스 Test bed

이중식(Joongsik Lee),이종일(Jongil Lee),김홍윤(Hongyoon Kim),전완근(Wankeun Jeon) 한국정보과학회 2002 정보과학회지 Vol.20 No.11