목차 번호기술명기관기술개요 15 휴대형무선랜취약성분석도구 ETRI 16 얼굴인식기술 ETRI 순서보존암호화기술 Modbus 제어애플리케이션방화벽기술 DNP3 제어애플리케이션방화벽기술 ETRI ETRI ET

Transcription

1

2 목차 번호기술명기관기술개요 1 FIDO 인증장치 ETRI 2 터치사인 ETRI 글로벌표준인증기술은 FIDO 인증기술의다양한인증수단을구현하기위한 template 로서스타트업이개발한바이오, 웨어러블등새로운인증기술을결합하여안전하고편리한인증을제공 공인인증서를안전하게저장하고편리하게이용하게해주는기술. 이용자가갖고있는 NFC 카드 ( 은행현금카드, 체크카드등 ) 에공인인증서를저장하고사용시에스마트폰에카드를터치하여인증및전자서명을함 3 웨어러블장치기반인증 ETRI 스마트워치등웨어러블기기를인증용키의안전한저장매체및디스플레이로활용하여편리하게인증할수있도록해주는기술 4 MTM 용보안엔진구현기술 ETRI MTM(Mobile Trusted Module) 에서필요로하는공개키암호, 대킹키암호, 해쉬함수등의다양한암호알고리즘구현기술. 또한데이터를안전하게보관및관리하기위하여비휘발성메모리이용파일시스템기능구현기술 5 MTM 기반모바일단말보안기술 ETRI 무결성검증을통해모바일단말의불법적인변경을탐지, MTM 을제어하는컨텍스트 ( 세션연결 ) 관리, 그리고보안성이요구되는응용서비스의안전한실행을위한보안기능미들웨어구현기술 6 스마트디바이스부채널분석시스템 ETRI 부채널분석시스템은다바이스내의암호모듈의부채널취약성으로인한키누출여부를검증할수있는시스템으로써, 예를들어, 다양한 Fintech 용스마트디바이스내의부채널취약성을검증하는기술 7 가상화기반스마트단말보안기술 ETRI 서비스지향적인개방형단말환경에서모바일가상화를이용하여 트러스트도메인 을통해기업정보를보호하고불법사용자의접근을차단하여모바일서비스의안전성을보장하기위한기술 8 스마트폰포렌식기술 ETRI 스마트폰으로부터포렌식수사에필요한다양한디지털데이터를추출 / 분석 / 시각화할수있는기술 9 영상보호기술 ETRI 실시간프라이버시마스킹 / 언마스킹, 영상전주기에걸친기밀성보장을위한 IP 카메라기반영상암 복호, 위 변조방지기능제공등영상역기능및사생활침해를근본적으로방지하기위한영상보호통합솔루션 10 실시간관심영상필터링기술 ETRI 관제사가수백대의실시간 CCTV 채널중관심상황만을집중적으로모니터링하고대처가능하고, 시스템이자동으로관심상황을선별해서필터링할수있으며, 위험상황에즉각감지하고대응할수있도록하는지능형영상감시솔루션 11 차세대무선랜침해방지시스템기술 ETRI n/ac 무선랜환경에서무선지문을기반으로불법복제 AP 에의한실시간무선해킹공격을감시하고, 탐지된무선침입이벤트를수집 / 분석하여, 실시간으로차단 / 대응하는무선침해방지시스템 12 네트워크전달신종악성파일탐지기술 ETRI 정상적인네트워크응용프로그램으로전달되는다양한종류의파일에대하여탐지규칙 ( 시그니처 ) 없이악성유무를판단할수있는기술로서신종 (zero-day) 악성코드탐지가가능한호스트이상행위탐지엔진기술 13 네트워크기반실행파일수집기술 ETRI 네트워크트래픽심층분석을위한네트워크상송수신파일및관련메타정보수집기술 ( 지원포맷 : 실행파일및문서, 압축파일, 그림, 웹페이지 ) 14 Netflow 기반역추적기술 ETRI 라우터로부터기본적으로수신되는 Netflow 정보를기반으로 TCP 연결정보들을분석하여관련네트워크연결에대한 FingerPrint 정보를생성하여공격경유지및근원지에대한실시간추적기술

3 목차 번호기술명기관기술개요 15 휴대형무선랜취약성분석도구 ETRI 16 얼굴인식기술 ETRI 순서보존암호화기술 Modbus 제어애플리케이션방화벽기술 DNP3 제어애플리케이션방화벽기술 ETRI ETRI ETRI 휴대형장치에장착하여무선네트워크의채널감시, 신호분석, 단말연결상태등보안현황을다양한그래픽으로분석하고, 모의공격을수행해봄으로써무선랜의보안취약점을간편하게진단하는사용자친화적인실시간무선랜취약성분석도구 원거리에서사람의얼굴을검색하고식별하기위한기술 - 제약적환경 : 실내, 15~20m 원거리, 밝은조명, 얼굴좌우 ±15 도이내 - 적용분야 : 사용자친화형출입통제시스템과용의자검색, 추적등 순서보존암호화기술은암호화이전의순서가암호문에서도그대로보존이될수있는암호화알고리즘으로서, 데이터베이스암호의효율성향상을위해적용을할수있는암호기술임 Modbus 프로토콜에대한 DPI(Deep packet inspection) 기술을통해비인가명령어제어, 필드값유효성검사, 비정상트래픽탐지등을기반으로제어응용프로토콜의취약점을이용한공격을차단하는기술 DNP3 프로토콜에대한 DPI(Deep packet inspection) 기술을통해비인가명령어제어, 필드값유효성검사, 비정상트래픽탐지등을기반으로제어응용프로토콜의취약점을이용한공격을차단하는기술 산업용네트워크상태에대하여프로화일링을통해네트워크에대한구성, 제어시스템망관리에이전트 ETRI 성능, 상태등의정보로깅과산업용네트워크세션기반플로우정보를생성하며, 산업용네트워크보안관리를위해정보를제공하는기술 악성코드자동분석기술 분석회피형악성코드탐지기술 악성코드백신진단정보관리기술 KISA KISA KISA - 입력파일대상실행중의행위정보자동분석및악성여부탐지 신 변종악성코드의악성여부분석및탐지가능 - 시스템 / 네트워크보안제품, 악성코드탐지용백신제품등에활용 - 가상머신환경을탐지하는분석회피형악성코드탐지및분석 악성코드가사전에가상분석환경을조회 검사하는분석회피행위탐지 리얼환경에서악성코드행위정보를분석하여자동으로악성여부탐지 - 시스템 / 네트워크보안제품, 신종악성코드분석 대응도구등에활용 - 상용백신및 VirusTotal 등의백신진단정보조회및관리 다양한백신진단결과로효과적인악성코드탐지가능 - 웹 이메일보안제품, 알려진악성코드전처리솔루션등에활용 악성코드호출 API 자동추출기술 KISA - 악성코드가실행되는과정에서호출하는 API 정보자동추출 악성코드의다양한행위분석및행위간연관분석가능 - 악성코드분석솔루션, 비정상파일탐지용백신제품등에활용 - 대량의악성코드에서변종식별및유사그룹자동분류악성코드프로파일링기술 KISA 북한발악성코드등집중분석이필요한대상을자동으로식별가능 - APT 대응보안제품, 악성코드분석 대응도구등에활용 이메일기반공격 IP 탐지기술 이메일기반봇넷그룹탐지기술 네트워크트래픽분석기반공격의심징후탐지기술 KISA KISA KISA - 이메일을분석하여악성코드에감염된 PC 자동탐지 알려진패턴이아닌발송경로를분석하여비정상적으로이메일을발송한 IP 탐지 - 이메일보안제품, 스팸메일차단 좀비 PC 조치서비스등에활용 - 좀비 PC 발송메일간연관분석및봇넷그룹자동탐지 다양한침해공격을유발하는봇넷그룹탐지가능 - 이메일보안제품, APT 대응보안제품등에활용 - APT 공격특징기반트래픽분석및공격의심징후탐지 탐지된비정상트래픽을기반으로내부 IP 별공격이상징후정보제공 - APT 대응보안제품, 네트워크공격침입탐지솔루션등에활용

4 목차 번호기술명기관기술개요 29 대용량네트워크트래픽수집 / 저장 / 관리플랫폼 KISA - 트래픽대상실시간수집 / 전처리, 고속검색가능저장 / 관리플랫폼 네트워크트래픽특성을고려한구조설계를통해고속조회및관리가능 - 네트워크보안제품, APT 대응보안제품등에활용 30 악성코드유포경로분석기술 KISA - 웹상에서악성코드유포경로 ( 경유지, 유포지, 악성코드 ) 분석및시각화 급증하는악성코드유포경로사건간연관분석을통해우선조치대상선별가능 - 악성 URL 분석솔루션등에활용 31 호스트레벨악성스크립트탐지 / 실행방지기술 KISA - 사용자 PC 의웹브라우저에서실행되는악성스크립트탐지용전용백신 기존백신과는달리웹브라우저의실행웹페이지를분석 악성스크립트차단 - 악성스크립트탐지용전용백신, 웹체크툴바등에활용 32 네트워크레벨스크립트기반사이버공격차단기술 KISA - 네트워크로유입되는악성스크립트탐지를위한보안게이트웨이 웹페이지를구성하는모든컨텐츠에대한정밀검사및난독화스크립트탐지 - IDS/IPS 등칩입방지제품등에활용 33 악성스크립트배포웹사이트점검기술 KISA - 웹상의게시판및페이지를스캔하여악성스크립트게시여부탐지 1 만개 (1 일 ) 악성 URL 및 50 여개 HTML5 사이트를대상으로악성스크립트탐지 - HTML5 웹사이트점검스캐너등에활용 34 모바일디바이스의 Agentless 방식상황정보수집기술 KISA - 웹기반서비스에접근하는모바일디바이스식별정보수집 사용자기기에별도앱설치없이 (Agentless) 웹서비스에접근하는사용자 / 기기정보수집 - 기업모바일오피스접속및이용에따른상황정보수집 / 관리솔루션 35 모바일기기의웹서비스접속및이용행위분석기술 KISA - 웹기반서비스사용자의접속 이용행위분석및비정상행위판별 웹서비스이용시발생하는모든행위관리및사용자의과거서비스이용패턴분석 - 기업내부웹사이트정보보안을위한이상행위탐지솔루션 36 사용자 / 기기내부네트워크경량접근제어기술 KISA - 사전에설정한보안정책을통해개별사용자네트워크접속제어 웹기반서비스접속세션관리를통한외부사용자제어 별도의앱설치없이네트워크트래픽접근제어 - 기업내부네트워크에접근하는사용자 / 기기의제어기술 37 악성앱점검도구폰키퍼 (Phone Keeper) KISA - 스마트폰의악성앱설치여부등을점검해주는자가점검도구 보안설정점검, 악성앱검증, 앱권한검증, 앱분석요청등지원 - 업무용스마트폰의보안상태점검도구 38 LEA 암호알고리즘 NSR IoT 환경등에적합한세계최고성능의고속ㆍ경량블록암호. 각종암호학적공격에대하여안전하며, 다양한 SW 환경에서국제표준 AES 대비 1.5 배 ~2 배속도제공 39 고속해시함수 LSH NSR 디지털데이터의고유값을생성하는암호알고리즘. 각종암호학적공격에대하여안전하며, SW 환경에서국제표준 SHA-2/3 대비 2 배이상속도제공 40 형태보존암호 FEA NSR 데이터의형과길이를보존하는암호화방식. 주민등록번호, 신용카드번호등형태가정해진데이터 ( 개인정보 ) 의암호화에적합하며, 미국특허방식대비 2 배이상속도제공

5 목차 번호기술명기관기술개요 41 웹페이지내난독화된악성스크립트탐지기술. 악성웹페이지는백신난독화된악성웹페이지탐지기술 NSR 프로그램우회를위해다양한난독화기술적용, 이를클라이언트측의웹브라우저내에서탐지하는방식제공 42 모바일애플리케이션의보안성검증을위한이벤트발현기술 NSR 안드로이드앱의은닉된행위탐지기술로인텐트, 타임, 화면터치등안드로이드이벤트를강제발현시켜은닉된행위를분석하여보안성을검증하는기술 43 파일에삽입된악성코드제거기술 NSR 알려지지않은악성문서파일을탐지하고제거하는핵심기술로 Document Rewriting 기술을적용하여신종, 변종악성문서파일탐지기술 44 전기자동차 CAN 버스분리장치를이용한 CAN 통신보안기술 NSR 외부의사이버공격으로부터전기차동차내부 CAN 버스를안전하게보호하는기술. 전기자동차에서충전을위해외부와통신을할때, 전기차내부의 CAN 버스를외부통신부분과분리하여보호 45 스마트가전네트워크접속정보전달기술 NSR 스마트가전의네트워크접속정보를외부에저장및노출시키지않는기술. 주기적으로변경되는스마트가전의네트워크정보를암호화및익명라우팅을통해전달하여정보를보호 46 확장된암호구간을통한클라이언트수준의 MITM 방지기술 NSR 서버가의도한데이터를사용자의화면까지안전하게전달하는기술. 서버와모니터사이에암호채널을생성하여데이터의무결성을제공함. 악성코드가파밍을시도하면이를사용자에게알림 47 표준키보드인터페이스를이용한데이터통신기술 NSR 표준키보드인터페이스만을이용하여 PC 의데이터를입 출력하는기술. 표준키보드인터페이스는매체제어시스템의차단대상에포함되지않는점을이용함 48 스마트기기용데이터획득기술 NSR 스마트폰용디지털포렌식소프트웨어의핵심기술로 USB 데이터케이블을연결하여낸드플래시전체데이터를고속으로획득하는기술 49 클라우드스토리지서버용 standalone 정보보호시스템기술 NSR 클라우드서버에저장되는클라이언트단말의정보유출을방지하는기술로서클라우드서버와단말기자체에별도의암호화솔루션을적용하지않고서클라우드네트워크상에서저장데이터를암호화하여서버에저장하는기술 50 스마트기기용해킹방지보안키패드기술 NSR 스마트기기와같은휴대기기에서금융어플리케이션등에서주요정보 (PIN 등 ) 를키패드로입력할때좌표해킹에의한정보유출가능성을낮추면서도사용자에게편리성을제공할수있는보안키패드기술 51 안테나선로보호기술 NSR 무선통신설비및레이더시스템등의안테나선로로인입되는 EMP 펄스의세기를시스템안전수준이하로제한하는기술 52 서지보호장치및기술 NSR EMP 펄스로부터방송 통신등 ICT 장비를보호하기위해대전류장펄스와소전류고속펄스를안전수준이하로제한하는서지보호기술 53 다중대역 GNSS 고정패턴안테나장치 NSR GPS 전파교란환경에서, GPS 수신기의위치 / 시각서비스를지속적으로제공하기위한교란신호제거용안테나기술

6

7

8 K-Global, 시큐리티스타트업설명회기술소개자료집 01 FIDO 인증장치 기술소개 공인인증서후속인증기술수요가매우많아, 지문, 음성, 얼굴인식, 필체인식등 다양한인증수단들이소개되고있음 '15 년 3 월공인인증서의무사용폐지 새로운인증수단적용을위해클라이언트 / 서버단모두를구축변경해야하며, 안전성또한검증되지않아실제로채택되는경우가적음 본기술은표준화된인증플랫폼을통해새로운인증기술을적용하기위한기술임 - 국제표준의 FIDO 강화인증기술적용 Google, Microsoft, PayPal, Alibaba, VISA, ETRI 등 200 여기관이참여하여개발한국제표준 - 서비스측을 1회만변경하면다양한인증수단을쉽게적용 - 새로운인증기술을서비스에적용하기위해서는본기술이제공하는 FIDO 인증장치 template와결합하기만하면됨 FIDO 인증장치 template : 지문, 음성, 얼굴인식, 필체인식등다양한인증수단을결합하여표준화된플랫폼에서작동하게해주는틀 [FIDO 인증장치구조 ] 기술의차별성 ( 표준화된인증플랫폼 ) 상호연동되는표준화된플랫폼으로새로운인증기술을적용하기용이 - ( 생체정보보안 ) 생체정보가단말에저장되므로, 서버해킹등으로인한생체정보유출로부터안전 - ( 부인방지 ) 공개키방식을이용하여, 인증뿐아니라부인방지전자서명도제공 8

9 FIDO 인증장치 기존개별적인인증솔루션 표준화된인증플랫폼 ETRI 한국전자통신연구원 개별적인클라이언트 / 서버구축 구축비용및시간이들고 새로운인증기술에대응할수없음 서버 1 회구축으로다양한클라이언트수용 추후등장할다양한인증기술에대응가능 기술의활용분야 모바일및인터넷서비스의인증수단 - 온라인간편결제서비스 : 지문, 얼굴, HW토큰등사용자가원하는인증을통해, 모바일, 인터넷에서간편결제 - 모바일, 인터넷서비스 : 인터넷, 모바일뱅킹등의로그인에적용 - 전자서명 : 자금이체등의전자서명이필요한서비스에부인방지전자서명으로활용 O2O 등오프라인간편결제및출입통제에적용 - 오프라인결제 : NFC, BLE 등을이용한오프라인지급결제시본인인증 - 출입통제 : 기존지문인식등을통한출입통제를자신의스마트폰에서본인확인을통한출입통제로대체하여비용절감및편의성제고 9

10 K-Global, 시큐리티스타트업설명회기술소개자료집 02 터치사인 기술소개 공인인증서유출이많이발생하여도용우려가커지고있음 '14 년 1~9 월공인인증서 19 천건유출 유출로부터안전한저장및분실등에대비한보안성강화필요 - 현행 USIM 공인인증서는스마트폰분실시도용우려가있음 본기술은금융IC카드에공인인증서를저장하여보안성및편의성강화 '14년미래부 액티브X 없는공인인증서시범사이트 적용 - 해킹으로부터안전한금융IC카드에공인인증서저장 - 공인인증서를이용할때만금융IC카드를스마트폰에터치하여이용 NFC 를이용하여공인인증서전자서명기능이용 - 고객이보유하고있는금융IC카드를이용하여추가적인비용없이공인인증서를안전하게저장 - 스마트폰과금융IC카드간에결합정보가있어, 두가지를동시에분실하지않는한분실에도안전 [ 터치사인공인인증서사용개념도 ] 기술의차별성 ( 매체분리된안전한저장수단 ) USIM 공인인증서와달리매체가분리되어보안성제공 - ( 매체분리보안성 ) 스마트폰과금융 IC 카드를동시에분실하지않는한분실도용으로부터안전 10

11 터치사인 - ( 메모리해킹으로부터안전 ) 보안토큰형금융IC카드사용시메모리해킹에도안전 - ( 비용절감 ) USIM공인인증서와달리월이용료등비용이들지않으며금융IC카드도기존에보유한것을사용하여비용절감 USIM 공인인증서터치사인 ETRI 한국전자통신연구원 매체결합 서비스이용요금발생 매체분리 서비스이용요금없음 기술의활용분야 모바일및인터넷서비스의인증및전자서명 - 간편로그인 : 공인인증서없이도카드터치를통해간편하게모바일, 인터넷서비스로그인 - 안전한전자서명 : 인터넷, 모바일뱅킹등의공인인증전자서명에적용 스마트입회에적용 - 카드사, 보험사등고객의공인인증전자서명이필요한서비스가입시, 오프라인환경에서판매원의단말을이용하여공인인증하는경우, 고객의카드를판매원단말에터치하여공인인증서이동없이전자서명제공 11

12 K-Global, 시큐리티스타트업설명회기술소개자료집 03 웨어러블장치기반인증 기술소개 바이오를이용한인증외에도웨어러블장치나 NFC 카드를이용한인증수요가많음 - 이용편의성및보안성강화 '14 년 1~9 월공인인증서 19 건유출 메모리해킹등악성코드로부터보안을위해서는전자서명내용에대한 위변조를막을수있는보안디스플레이 (Secure Display) 가필요함 웨어러블장치는악성코드로부터안전성이높아, 보안디스플레이및서명확인을제공할수있음 - FIDO 플랫폼에적용하여, 보안성과호환성, 편의성을동시에제공할수있음 [ 웨어러블기반인증장치개념도 ] 기술의차별성 (2차인증장치 ) 스마트폰의보안취약성을보완하여장치의소유및사용기반으로보안성을강화하는인증기술 - ( 안전한저장 ) 인증을위한비밀정보를웨어러블장치나스마트카드에저장하여탈취및조작방지 - ( 편리한인증 ) 2차인증장치를소유하고, 사용의사를확인하는것만으로도편리하게인증할수있음 - ( 분실보안 ) 1차인증장치인스마트폰과 2차인증장치인웨어러블인증장치가암호적으로결합되어있어, 하나를분실하여도안전한인증기술 12

13 웨어러블장치기반인증 1 차인증장치 2 차인증장치 ETRI 한국전자통신연구원 메모리해킹및분실등에취약 메모리해킹및분실에강인 기술의활용분야 모바일및인터넷서비스의인증및전자서명 - 간편로그인 : 공인인증서없이도카드터치를통해간편하게모바일, 인터넷서비스로그인 - 안전한전자서명 : 인터넷, 모바일뱅킹등의공인인증전자서명에적용 오프라인결제확인에적용 - 결제확인 : 오프라인카드결제시본인에게추가적으로결제의사를질의하여도용을방지 13

14 K-Global, 시큐리티스타트업설명회기술소개자료집 04 MTM 용보안엔진구현기술 기술소개 모바일장치의도난 / 분실시모바일의복제, 모바일장치내부에저장된정보의 유출에대한우려가제기되고있음 하드웨어기반의스마트단말보안기술의중요성이증대되어있음 모바일디바이스하드웨어보안시장은 2017 년에 19 억달러전망 ('14 년 ABI Research) [ 하드웨어기반스마트단말보안기술 - MTM 기술 ] MTM (Mobile Trusted Module) : 모바일단말에장착되어스팸, 해킹등을완벽하게차단해주는 정보보안기술로서사용자인증을비롯해플랫폼인증, 기기인증, 데이터보호등보안문제들을 해결해줄수있는모바일보안하드웨어 기술의차별성 ( 하드웨어용보안기술 ) 기존에는모바일단말의중요한데이터를보호하기위해모바일백신, 원격제어와관련된기술이있으나, 이들기술은악의적인공격으로부터중요한데이터를보호하기위해서는다소부족한면이있음. 본기술은스마트단말장치에서중요한정보를원천적으로보호하기위한수단으로 MTM 하드웨어기반의보안엔진기술임 - ( 적용방식 ) MTM칩내부의프로세서에서보안엔진수행 - ( 적용기술 ) MTM칩내부의하드웨어암호가속기를이용한다양한암호알고리즘기술, 스마트단말의시스템무결성값을관리및검증하는기술 14

15 MTM 용보안엔진구현기술 기존모바일백신및 MDM 솔루션적용 MTM 용보안엔진기술 ETRI 한국전자통신연구원 SW 기반의모바일보안기술 - 안티바이러스, 모바일백신등 - 디바이스원격관리를위한 MDM (Mobile Device Management) 솔루션 하드웨어용보안기술 - MTM 내부에인증서및키저장 - MTM 내부에서암호및전자서명수행 제공기술 MTM 용암호기술 무결성값관리및검증기술 해쉬함수 - SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, MD5, HMAC-SHA1 대칭키기반암호 - AES, T-DES, ARIA, SEED (key size : 128/192/256bit) 공개키 (RSA) 기반암호및서명 - RSA 기반데이터암호기능제공 (RSA-2048 연산가능 ) - RSA 기반서명기능제공 (RSA-2048 연산가능 ) 참난수 (True Random Number) 기반의공개키생성 MTM 내의무결성검증값을저장및관리하는기술 무결성검증요청에대해무결성값을검증하는기술 기술의활용분야 스마트단말및다양한디바이스를위한하드웨어보안장치에활용 - 적용대상 : 스마트디바이스용보안기술사업자및하드웨어보안모듈개발자 - MTM 보안칩을활용한특수보안단말기개발 : 극도의보안성이요구되는국방용단말기등 - 마이크로 SD카드및 USB보안토큰형태의보안모듈개발에도활용 15

16 K-Global, 시큐리티스타트업설명회기술소개자료집 05 MTM 기반모바일단말보안기술 기술소개 스마트단말의확산과함께스마트폰을이용한모바일서비스이용도급격히증가하는추세임 국내인터넷뱅킹이용중모바일뱅킹이자치하는비중이 59% ('15 한국은행 ) 최근스마트단말의해킹에의한피해가사회적문제가되고있음 - 개방형 OS 기반의스마트워크단말기보급확산과자유로운앱생태계로인하여보안위협이증가하고단말분실및도난으로인한정보유출가능성이매우높음 - MTM(Mobile Trusted Module) 기반의모바일단말보안기술을이용하여스마트단말의해킹피해를감소시킬수있음 [ 스마트단말해킹위협 ] [MTM 기반모바일단말보안기술 ] 기술의차별성 (MTM기반의모바일단말시스템의변경및훼손검증 ) 기존은모바일백신등을이용하여모바일단말의변경및훼손여부를검증함으로써검증범위가제한적임. 본기술은 MTM을기반으로모바일시스템영역전반에대해변경및훼손여부를검증할수있음 - ( 적용방식 ) 모바일단말의커널및응용프로그램에적용 - ( 탐지대상 ) 모바일단말의부트코드, 커널, 시스템라이브러리등시스템영역전반의코드영역에대한변경및훼손탐지 16

17 MTM 기반모바일단말보안기술 기존 - 서버의존형단말시스템보안 MTM 기반의단말시스템보안 ETRI 한국전자통신연구원 서버를이용하여단말시스템변경을검증 - 단말시스템내부의메모리검증은불가능 - 시스템라이브러리의실시간검증은불가능 - 커널및부트로더영역의신뢰성검증은불가능 단말에장착된 MTM 을이용하여단말시스템변경을검증 - 부팅단계에서운용단계에이르는전방위검증 - 시스템전반에대한무결성측정및검증가능 제공기술 단말무결성측정및검증기술 MTM 관리기술 SRTM(Static Root of Trust Module) - 모바일단말의부팅단계에서시스템컴포넌트에대한위 변조탐지기능 DRTM(Dynamic Root of Trust Module) - 모바일단말의부팅이후에시스템컴포넌트에대한위 변조탐지기능 MTM 내부의 Key 접근을위한세션관리기능 단말과 MTM 간의메시지전송프로토콜기능 기술의활용분야 MTM기반스마트단말및서비스에대한보안제품개발에활용 - MTM기반보안기술을활용한스마트단말용금융서비스개발 MTM기반의모바일뱅킹, 지급결제서비스등 - MTM 보안칩을활용한스마트가전용보안기술개발 스마트 TV, 스마트냉장고등과같은네트워크에접속되는스마트가전의보안성을강화하기위해 MTM을활용 17

18 K-Global, 시큐리티스타트업설명회기술소개자료집 06 스마트디바이스부채널분석시스템 기술소개 이론적으로안전한표준암호라할지라도, 보안디바이스에서암호가실행될때 부가적으로얻을수있는정보 ( 부채널정보 ) 인전력소모량, 전자기파, 실행시간등을 이용해암호키가누출될수있음 이러한부채널공격을방지하기위해서는보안디바이스개발시암호모듈의설계와구현에 부채널공격에대한방지를고려해야하고, 부채널검증시스템을통해안전성을확보해야함 [ 스마트디바이스의부채널분석개념도 ] 금융 IC 카드에서는부채널방지기능이보안성시험 인증에포함되어있으며, 향후다양한보안디바이스의시험 인증에부채널방지가채택될것으로예상됨 기술의차별성 보급형 ( 非전문가 ) Concept 검증시스템 - 다양한플랫폼 / 디바이스검증가능 ( 프로세서 - ARM, AVR, MSP 등, 플랫폼 / 디바이스 - 접촉IC카드, NFC-IC카드, USIM, usd, 스마트폰등 ) - 부채널데이터처리고속화 - 부채널검증자동화 - 부채널데이터시각화 - 분석 Knowhow 전달 / 축적가능 - 한국표준암호 (SEED, ARIA, HIGHT, LEA 등 ) 부채널분석지원 18

19 스마트디바이스부채널분석시스템 ETRI 한국전자통신연구원 [ 부채널안전성검증시스템 (KLA-SCARF)] 기술의활용분야 보안디바이스및솔루션의보안성시험 인증단계에서암호모듈의안전성을손쉽게검증할수있음 보안디바이스및솔루션의개발단계에서안전하게암호모듈을구현하였는지검증가능하여안전한서비스개발이가능하며, 제품의보안성시험 인증기간을단축할수있음 19

20 K-Global, 시큐리티스타트업설명회기술소개자료집 07 가상화기반스마트단말보안기술 기술소개 스마트워크 /BYOD 서비스의등장에도불구하고보안은서비스개별적또는단편적인형태로 제공됨에따라, 기업용모바일환경에서의보안위협을고려한보안기술확보가필수적임 기업용모바일서비스에서가장시급한보안이슈는기밀유지가필요한기업정보에대한 불법유출방지및개인이용자들에대한프라이버시보호임 모바일악성코드, 불법도청등의보안위협에대한대응마련시급 [ 모바일가상화기반도메인분리안전실행환경개념도 ] 기술의차별성 ( 모바일가상화기반스마트단말용보안플랫폼기술 ) 스마트단말에서보안을위한 전용하드웨어채용은높은비용상승이초래되며, 응용레벨의단편적보안기술로는 대응이어려운보안위협으로부터모바일플랫폼을보호하는단말보안기술 20

21 가상화기반스마트단말보안기술 단일도메인기반의기존실행환경 도메인분리기반안전실행환경 ETRI 한국전자통신연구원 ( 도메인분리기반안전실행환경제공 ) 바이러스백신및보안업데이트만으로는 현재단일도메인구조의개방형플랫폼전체를보호할수없지만, 검증가능한작은 신뢰도메인을통해신뢰성이요구되는서비스를보호하는기술 기술영역 도메인분리기반안전실행엔진기술 안전실행엔진 Service Abstraction Layer(SAL) 기술 도메인간보안 API 기술 주요세부기술 (S/W) 도메인간통신프로토콜 백엔드 / 프론트엔드드라이버기술 보안서비스실행엔진 안전서비스인터페이스 안전도메인접속라이브러리 백엔드 / 프론트엔드드라이버연결모듈 기술의활용분야 모바일오피스, BYOD 등의기업용모바일협업서비스 전자지급결제, 인터넷뱅킹등의안전지불 / 결제용모바일금융서비스 개인사용자중심의모바일콘텐츠를소비하는원격 VOD 서비스 의료관리서비스, 원격관리서비스등안전한인증및데이터보호가필요한원격단말서비스 21

22 K-Global, 시큐리티스타트업설명회기술소개자료집 08 스마트폰포렌식기술 기술소개 스마트폰을이용한디지털범죄가점차증가하고있고, 각종민 / 형사사건해결수단으로 스마트폰포렌식기술에대한수요가증가하고있음 본기술은통화착발신내역, 문자기록, 연락처정보, 인터넷접속기록, 메모, 지도 사용내역등의데이터를스마트폰으로부터수집하여이를분석하는기술에관한것임 또한, 수집된스마트폰데이터를사용자가쉽고직관적으로해석할수있게하는 시각화기술을제공함 [ 스마트폰포렌식기술개념도 ] 22

23 스마트폰포렌식기술 기술의차별성 본기술은수집한스마트폰데이터를사용자가쉽게분석하고이해하도록하는시각화환경을제공함 - 기존상용포렌식도구는수집된데이터를시간순또는종류별로단순나열하는형태이기때문에사용자가원하는정보를발견하기어려움 - 본기술은스마트폰데이터로부터의미있는포렌식정보를손쉽게추출이가능하도록그래픽요소 ( 그래프, 차트등 ) 을활용하여형상화함 시간에따른앱사용흔적 ( 날짜, 앱종류별소팅가능 ) 시각화 통화, 문자사용내역시간별 / 번호별제시 웹히스토리와검색어등인터넷사용기록시각화 조사대상이되는두개의스마트폰사이의공통사용목록제시 통화 / 문자 / 사용빈도별로차등하여연관관계제시 ETRI 한국전자통신연구원 데이터베이스에서삭제된데이터의복구 ( 통화, 문자, 브라우저사용기록, 일부지도사용정보 ) 가가능함 기술의활용분야 검찰, 경찰등국가기관의범죄수사용도 지적재산권보호, 내부정보유출방지등민간서비스분야 23

24 K-Global, 시큐리티스타트업설명회기술소개자료집 09 영상보호기술 기술소개 CCTV의설치와운용이급격히증가함에따라개인사생활침해등영상역기능에대한사회적우려도더불어커지고있음 - 국내에는공공분야만 400만대이상의 CCTV가설치 운영중이며, 정확한통계가어려운민간분야까지포함하면 500만대이상예측 [CCTV 사생활침해우려 ] 기존에는 CCTV 영상의활용과설치확대를중심으로기술이개발되어왔지만, 안전성과신뢰성을보장하지못하면산업성장에걸림돌로작용 - 대부분의 CCTV에 SSL 프로토콜이탑재되어있으나, 이는영상을전송시에만암호화하는모듈이며, 이마저도거의사용하지않음 - 어린이집 CCTV 설치가의무화되었으나프라이버시이슈가아직기술적으로해결되지못하는실정임 영상이최초로수집되는순간부터폐기되는순간까지영상전주기에걸친 영상보호기술의적용이필요함 - 요구사항 : 기밀성, 무결성, 프라이버시보호, 원영상복원 개인정보보호법개정움직임에따라, 스마트디바이스, 차량용블랙박스, 드론, 스마트글래스등이기종영상장비로영상보호기술의확대가필요함 24

25 영상보호기술 기술의차별성 ( 자동프라이버시마스킹 / 언마스킹 ) 실시간영상내에서검출된프라이버시영역에대해서자동으로마스킹 / 언마스킹하는기술 - 단순모자이크처리가아니라암호키를통해서암호화하고, 추후인가된프로세스를통해서원영상복원 - H.264 코덱통합형기술개발완료 (Siemens는 MPEG-4 코덱기반기술보유 ) ETRI 한국전자통신연구원 < 원영상 > < 마스킹영상 > < 복원된영상 > [ 프라이버시마스킹예시 ] (CCTV 탑재용영상암호화 ) CCTV 에서영상이수집되는순간영상을암호화해서저장장치에전송 - H.264 코덱의특성을이용하기때문에기존방식에비해오버헤드가적음 - 인가된사용자만암호키를사용해서원영상복원가능 ( 영상위 변조방지 ) 영상의위 변조여부를실시간감지 - CCTV, 차량용블랙박스등에탑재가능한경량화기술 - 영상을법적증거자료로활용할수있는기술적토대지원 [ 영상위변조방지예시 ] 기술의활용분야 지능형 CCTV 의보안기술로활용 차량용블랙박스, 드론, 스마트디바이스의사생활보호에활용 25

26 K-Global, 시큐리티스타트업설명회기술소개자료집 10 실시간관심영상필터링기술 기술소개 실생활의다양한위험시나리오와환경변화에강인하고신뢰할수있는위험대응체계를구축하기위해서는효율적 CCTV 관제필요 - 대부분의범죄는 CCTV가없는사각지대나식별하기어려운환경 ( 야간, 원거리등 ) 에서주로발생하기때문에영상분석에만의존하는위험대응은한계가있음 - 무인경비시스템의침입감지신호중약 35% 가센서오작동에의한오경보 ( 경찰청생활안전국, 2010, 전체오경보비율 (92%) 중센서오작동은 40% 내외 ) 강력범죄발생률이증가하고개인 / 사회안전에대한관심이증가함에따라학교, 건물등에대한무인보안서비스의시장규모는꾸준히증가하고있는추세 년국내출동경비서비스시장규모는 1조원으로 15.4% 의연평균성장률을기록 (KISA, 2012 국내지식정보보안산업실태조사, 2012) 년범죄에의한사회적비용이연간 158조원소요 ( 한국형사정책연구원 " 범죄및형사정책에대한법경제학적접근 (Ⅲ)", 2011년 ) 기술의차별성 ( 실시간위험상황필터링 ) 효율적인관제를위해서관제사가관심을가질만한상황만을필터링하는기술 - 위험상황은물론위험발생확률이높은상황을검출 - 영상내상황과외부환경 ( 시간, 장소등 ) 을복합적으로분석해서 CCTV 채널을선별함 ( 위험상황집중형관제 ) 필터링된영상을관제요원이효율적으로관제할수있도록하는기술 - 관제서버에서집중관제를지원 - 휴대용모바일관제디바이스에서의관제지원 26

27 실시간관심영상필터링기술 ( 다중 CCTV 를이용한실시간용의자추적 ) 용의자가이동하는위치의 CCTV를통해서자동으로이동을추적 - CCTV 영상분석을통해서용의자특징파악및추적 - 주간에는용의자의상정보를이용해서추적가능, 야간에는사람의출현과이동방향만으로실시간추적가능 ETRI 한국전자통신연구원 [ 실시간관심영상필터링개념도 ] 기술의활용분야 학교, 아파트, 건물등무인방범 방재시스템 범죄 ( 용의 ) 자검거를위한차세대첨단안전체계 지능형영상분석기술에기반한 u-city 개발 위험빅데이터축적 / 분석을통한미래예측 / 예방 기타사회안전서비스등에활용가능 27

28 K-Global, 시큐리티스타트업설명회기술소개자료집 11 차세대무선랜침해방지시스템기술 기술소개 최근스마트폰및태블릿 PC 의보급활성화로인해접속편의성과업무효율성을위하여 공공및기업체의무선랜인프라도입이크게확산되고있음 무선랜상에서의침해공격을방지하고자무선침입방지시스템 (WIPS 1) ) 이활용되고있지만, 현재기술수준으로는불법복제 AP 2) 에대한원천적인탐지및차단이불가능한실정임 불법복제AP : 인가된 AP의무선네트워크이름 (SSID) 및맥 (MAC) 주소를불법으로도용하여복제된 AP를말하여, 개인정보유출등의공격을수행함 본기술은 AP에내장된무선랜칩셋마다지문역할을하는고유의물리적특징을이용하여불법복제 AP를탐지하고차단하는기술임 AP의무선랜칩셋은데이터통신시디지털신호를아날로그신호로변환시켜전송하는데, 변환된아날로그신호의모습이지문처럼고유한특성이있어이를해당 AP의무선지문으로인식하여 AP를식별함 - 무선랜환경에서 EVM 3), RSSI 4) 등물리적무선특성추출 HW 플랫폼 - 무선지문기반의무선디바이스식별기능 - 스마트채널스케줄링및무선침입이벤트수집 / 분석을통한실시간으로차단 / 대응기능 [ 차세대무선랜침해방지시스템의구성요소 ] 1) (WIPS WIPS: Wireless Intrusion Prevention System 의약어로무선랜모니터링을통한비인가된무선시스템탐지및대응기능을제공하는네트워크디바이스 2) AP : Access Point 의약어로사무실및가정, 학교등에서무선으로인터넷사용시필요한접속기기, 무선공유기 3) EVM: Error Vector Magnitude 의약어이며, 실제전송된신호와이상적인기준신호사이에얼마나비슷한가를표현하는변조품질측정척도를말함 4) RSSI: Received Signal Strength Indicator 의약어로수신된신호강도의지표를말하며, 이값을사용하여송신및수신무선시스템간의거리를계산할수있음 28

29 차세대무선랜침해방지시스템기술 기술의차별성 ( 지능형불법복제 AP 탐지능력 ) 본기술은인가 AP의위치및 MAC 주소를고려한지능형불법복제 AP도탐지하나, 기존탐지기술은주로 OUI 또는 RSSI 기반의탐지방식으로서원천적인탐지가어려움 - OUI 방식 : MAC 주소에포함된제조회사식별정보인 3바이트의 OUI (Organizationally Unique Identifier) 정보분석을통한탐지방식 공격자가인가 AP의 MAC 주소를도용한경우에는불법복제 AP 탐지불가함 - RSSI 방식 : RSSI를이용하여계산된 AP 위치정보의분석을통한탐지방식 RSSI 정보는조작이용이해지능화된불법복제 AP 탐지불가함 ETRI 한국전자통신연구원 < 불법복제 AP 탐지기술비교 > 기술의활용분야 기업및공공무선망보호를위한 WIPS 및보안 AP로활용 - 적용대상 : 무선보안업체, 무선랜보안제품수요자 - 무선랜보안업체 : 기존 WIPS 및보안 AP 제품에무선지문기반의불법복제 AP 탐지용모듈추가탑재 29

30 K-Global, 시큐리티스타트업설명회기술소개자료집 12 네트워크전달신종악성파일탐지기술 기술소개 APT 공격등해킹에사용되는악성코드를탐지하는기존의바이러스백신의경우, 이미알려진악성코드의탐지규칙 ( 시그니처 ) 을이용하므로급속히증가하는신종 / 변종악성코드대응에한계존재 '14년도 2분기중, 새로운악성코드샘플은약 1500만개가발견되었고, 하루평균약 16만개의새로운악성코드샘플생성 ( 판다시큐리티, ) [ 네트워크전달신종악성파일탐지기술개요도 ] 본기술은 E-메일등의정상적인네트워크응용프로그램으로전달되는다양한종류의파일에대하여탐지규칙 ( 시그니처 ) 없이악성유무를판단할수있는기술임 - 신종 (zero-day) 악성코드탐지가가능한호스트이상행위탐지엔진기술 - 데이터마이닝기술을활용한악성 / 정상행위모델생성 - 악성코드동적분석을위한샌드박스기반비정상행위탐지엔진 - 실행파일행위분석정보수집기술 30

31 네트워크전달신종악성파일탐지기술 기술의차별성 - ( 기존탐지방식 ) 기존악성코드탐지방식은알려진악성코드의단순패턴매칭방식과특정의심행위차단, 단순통계임계값설정등전문가에의해휴리스틱하게생성된행위규칙에의존하는상태 - ( 비정상행위분석기반방식 ) 악성및정상행위에대한데이터마이닝분석을통한악성코드행위모델생성후, 기계학습기술등을이용한신종 / 변종악성코드를탐지할수있는실행파일동적분석의 (Signature-less) 이상행위탐지기술 ETRI 한국전자통신연구원 기존악성코드탐지방식 비정상행위분석기반악성코드탐지 알려진시그니처 ( 탐지규칙 ) 을대상으로패턴매칭기법사용 비정상행위분석을위한데이터마이닝및머신러닝알고리즘사용 기술의활용분야 컴퓨터바이러스백신의서비스팩 - 적용대상 : 백신기업및포털사업자 - 백신기업및포털사업자 : 국내외백신기업및인터넷포털사이트자체백신의제로데이악성코드탐지, 행위정보수집, 비정상행위탐지를위한서비스팩으로활용 네트워크기반샌드박스시스템 - 적용대상 : 네트워크보안솔루션기업 - 네트워크보안솔루션기업 : 침입탐지시스템의호스트기반침입탐지모듈, 네트워크샌드박스기반탐지모듈 31

32 K-Global, 시큐리티스타트업설명회기술소개자료집 13 네트워크기반실행파일수집기술 기술소개 전세계적으로고도의공격기술을접목한 APT 공격시도는계속증가 3.20 금융, 방송사사이버공격, 6.25 정부공공기관사이버공격등 침해공격의시작단계는다양한방식및경로를이용한악성프로그램의설치유도 [ 다양한경로의악성코드전파방식개념도 ] - 최근, APT 공격은공격대상을특정하여공격목표시스템의사용자가흥미를가질수있을만한내용으로악성프로그램을설치하도록유도함 - 실행파일 (MS윈도우의 PE 포맷등 ) 외에 PDF, 이미지파일, JAVA 스크립트및 MS 워드의문서파일포맷의악성프로그램을전파 본기술의목적은네트워크상에서전송되는다양한형식의파일을탐지 / 수집 / 저장하여수집된파일과파일수집관련정보를제공하는데있음 - 수집파일포맷 : 실행파일 (PE, ELF, APK, JAR), PDF, 이미지 (JPG, GIF), MS오피스 (DOC, PPT, XLS 등 ) 파일및 HTML 파일 - 제공관련정보 : 파일전송플로우정보 (5-tuple), 수집시간, 파일크기, 프로토콜정보, HTML 헤더정보등 - 파일재구성은수집된트래픽파일로부터해당파일의존재여부를확인하고이를재구성하여차후에분석가능하도록제공 - 파일의존재여부는해당파일의형식시그니처를활용하거나네트워크프로토콜 (HTTP, FTP, SMTP, POP3 등 ) 을분석하여확인 32

33 네트워크기반실행파일수집기술 기술의차별성 ( 재구성대상 ) 실행파일중심기존파일재구성기능에침해과정에서사용될수있는다양한포맷의파일의재구성기능을추가함 ( 재구성방식 ) 기존의파일시그니처기반재구성방식에추가하여다양한프로토콜분석을통한파일재구성방식을제공 ETRI 한국전자통신연구원 기존파일재구성방식및대상 본파일재구성방식및대상.exe 등 MS 윈도우실행파일형태만재구성 재구성파일포맷대상확대 : PE, ELF, APK, JPG, GIF, PDF, DOC, PPT, XLS, HTML 등 재구성방식추가 : 시그니처기반파일재구성외에프로토콜분석기반재구성기법추가 기술의활용분야 의심악성파일수집에활용 - 적용대상 : 네트워크보안업체, 백신업체 / 포털사업자 - 네트워크보안업체 : 기업 기관으로전송되는의심악성파일수집을통한악성파일의기관내침투여부확인기능개발에활용 - 백신업체 : 백신과같은기존보유제품에적용할시그니처생성을위한실행파일수집에활용 악성파일이동경로파악을통한침해원인분석에활용 - 적용대상 : 공공기관 / 금융권 / 일반기업 - 공공기관 / 금융권 / 일반기업 실행파일수집을통한악성파일의이동경로파악에활용 수집된악성파일의이동경로정보를활용하여침해원인을분석하기위한관제시스템의기능으로활용 33

34 K-Global, 시큐리티스타트업설명회기술소개자료집 14 Netflow 기반역추적기술 기술소개 최근막대한피해를유발시키는사이버공격의증가로인하여 ISP 오버헤드를 최소화하는요구사항을만족시켜줄수있는역추적기술이필요하며, 현재 / 차세대인터넷에서실제적용가능한역추적기술이필요 공격시스템의위치와실제해킹을시도하는해커의위치가서로다르다하더라도 경유지포함실제해커의위치인공격근원지를추적할수있는기술제공 본기술은기존네트워크구성변경이나새로운프로토콜추가없이라우터에서기본적으로 제공하는 Netflow 정보를통한실시간사이버표적공격 (APT) 역추적기술제공 [Netflow 기반 Traceback 시스템구조및 3D GUI] - Router로부터 Netflow 정보수집및저장기능 (Netflow Collector) - P2P 기반 Netflow 정보수집및공유기능 (Central P2P Manager) - Time Series Analysis 기반 Flow Connection 분석기능 (Traceback Agent) - FingerPrint Algorithm을통한 Flow 검색기능 (Correlation Point Function) - 위성 GPS 기반의 3차원사용자인터페이스기능 (3D GPS GUI) - 공격근원지, 경유지, 공격피해지분포및연결상태분석기능 34

35 Netflow 기반역추적기술 기술의차별성 ( 한계극복 ) 기존악성코드시그니처및 Packet 분석기반역추적의기술적및상용망적용의한계성극복 - ( 성능개선 ) IP Spoofing 및암호화채널사용으로기존추적이불가능한경유지및공격근원지에대한역추적기능제공 - ( 기술검증 ) 상용인터넷망및국가백본망을통한기술검증 ETRI 한국전자통신연구원 기존역추적솔루션 제안역추적기술 기존 IP Packet 역추적 ( 해쉬기반 ) 기술의한계존재 - 에이전트설치불가능구간존재 실시간트래픽 / 로그를통한경유지탐지에국한된솔루션존재 - 트래픽용량한계극복필요 기존네트워크장비활용 / 폐쇄적 ISP 구조극복 IP Spoofing, NAT 및암호화채널의추적가능 웹및 3D GPS 기반실시간추적정보제공 기술의활용분야 사이버표적공격 (APT) 공격및근원지역추적대응수단에활용 - 적용대상 : 국가통합보안관제센터, 국내외 ISP 사업자 - 해킹및 DDoS 공격등에대한역추적분석및추적기술로해커의공격경로파악에활용 - 침해근원지및원인을분석을위한관제시스템의기능으로활용 35

36 K-Global, 시큐리티스타트업설명회기술소개자료집 15 휴대형무선랜취약성분석도구 기술소개 국내무선침입방지시스템시장규모는대략 200억원대 (2013년, ciociso 매거진 ) 이며, 무선랜을사용하는공공기관 ( 교육청 / 학교등 ) 과금융기관에서는도입이필수적인장비로시장규모의확대가예상됨 국내무선침입방지시스템시장은 Airtight, Aruba, Cisco 등의국외업체가 70% 이상선점 [ 휴대형무선랜취약성분석도구개념도 ] - 무선통신환경이수백 Mbps 급에서수 Gbps 급으로전환되고있으며, 스마트기기및 무선랜을이용한서비스 ( 모바일클라우드, 스마트오피스등 ) 폭증 본기술은 Windows OS 환경의휴대및이동이가능한장비를이용, 무선랜네트워크분석및무선랜공격에뮬레이션을통한무선랜네트워크취약점점검기술임 - 인근무선랜네트워크분석 (AP 보안설정, AP-단말연결상태, 송수신패킷파싱, AP/ 단말정보, 무선네트워크채널별점유율등 ) - DoS 공격, WPA 키크래킹 * 등무선랜공격에뮬레이션을통한무선랜네트워크취약점확인 * WPA 키크래킹 : 사전 (Dictionary) 공격을통하여 WPA 암호통신에사용한암호화키추출 36

37 휴대형무선랜취약성분석도구 기술의차별성 (Windows GUI 기반무선랜분석 / 공격에뮬레이션 ) 기존무선랜분석툴은 Linux OS 상에서동작하며텍스트기반이나, 본기술은 Windows GUI 기반으로무선랜분석 / 공격에뮬레이션기능을제공하여무선랜보안전문지식이없는네트워크관리자의사용이용이무선랜네트워크분석 ( 일부 ) 무선랜공격에뮬레이션 ETRI 한국전자통신연구원 무선랜네트워크분석결과를다양한 GUI ( 연결정보, 시간대별채널활용률등 ) 로제공 무선랜네트워크분석결과연동을통한원클릭공격에뮬레이션실행 ( 무선랜공격에뮬레이션 / 분석기능통합 ) 무선랜공격에뮬레이션기능과무선랜분석기능을통합하여, 공격에뮬레이션및무선랜네트워크설정변경에따른네트워크변화를실시간으로확인가능 ( 이동성 / 범용성 ) Windows OS를사용하는휴대형장비 ( 노트북 ) 상에서동작하여, 장비확보가수월하며이동성을갖춰의심지역에의신속한투입가능 기술의활용분야 무선침입방지시스템 (WIPS) 의대체재 / 보완재로활용 - 적용대상 : 중소기업, 공공기관 / 금융권 / 대기업 - 중소기업 : 고가의무선침입방지시스템을도입할여력이없는중소기업에서무선랜네트워크의보안점검 / 취약점파악에활용 - 공공기관 / 금융권 / 대기업 : 무선침입방지시스템이구축된기관에서는무선침입방지시스템음영지역의보안강화및의심지역에의즉각적인대응에활용 공공 WiFi 보안상태점검 - 적용대상 : 소호 (SOHO) 및공공WiFi - 소호및공공 WiFi : 주택가등무선침입방지시스템설치가불가능한지역에존재하는무선랜 AP들의보안상태 (WPA 적용여부등 ) 점검 37

38 K-Global, 시큐리티스타트업설명회기술소개자료집 16 얼굴인식기술 기술소개 핀테크, IoT, 모바일산업등에서휴먼바이오정보를이용한인식기술의필요성이급증하고있는있음 국내바이오인식시장점유율은지문인식이 89%, 얼굴인식이 8%, 홍채인식 2% 순으로, 아직지문인식이대부분을차지하고있음 (KISA) [ 바이오인식기술별시장점유율 ] 기존강압적, 제약적바이오인식기술환경에서사용자친화형, 비제약적으로패러다임이진화하고있음 - 특히얼굴인식기술은추가적인센서의설치와사용자의강압적행위없이자연스러운일상생활중에서적용이가능함 추후스마트폰바이오인식기술중얼굴과음성이대부분차지 (Frost & Sullivan, 2014) 본기술은실내원거리환경에서듀얼카메라 ( 고정형, PTZ) 를이용해서사람의얼굴을자동으로인식하고검색하는기술임 - 환경제약 : 실내, 20m 이내, 20-lux 이상, 얼굴좌우 ±15도이내 - 요소기술 : 실시간다수얼굴검출기술, 대용량얼굴검색기술, 고정-PTZ 다중카메라연동기술 - 성능 : 인식률 (98.4%), 속도 (165ms), 10,000건 DB 기준 * 테스트영상의화질, 노이즈여부, DB 크기등에따라성능이다를수있음 38

39 얼굴인식기술 기술의차별성 ( 원거리얼굴인식 ) 기존기술에서는근거리 (2~3m 이내 ) 에서얼굴을인식하나, 본기술은듀얼카메라를이용해서원거리에서사람인인식 - 고정-PTZ 카메라실시간연동을통해서정확한얼굴영역검출 ( 얼굴크기 : 64*64 픽셀이상 ) ETRI 한국전자통신연구원 ( 대용량얼굴검색 ) 용의자 DB 등실시간대용량검색기술적용 - 비대면얼굴인식기술로포즈 / 조명 /Aging 에강인함 - 범죄수사 / 영상보안등에활용가능함 기술의활용분야 사용자디바이스인식기술로활용 - 적용산업 : 핀테크, IoT, 모바일, 웨어러블산업등 - 적용대상 : 개인사용자, 금융 / 모바일 /IoT 사업자 - 서비스형태 : 사용자디바이스기기를통해서사용자의신분을인식하고식별 - 제품형태 : 모바일 / 웨어러블디바이스 City Surveillance을위한공공안전산업에활용 - 적용산업 : 공공안전산업 - 적용대상 : 공공기관 ( 경찰청, 지자체등 ) - 서비스형태 : 공공장소에서용의자를검색하고이동경로파악 - 제품형태 : CCTV 등을통해서수집된영상을분석하는얼굴인식서버, 인가된사람이착용하는웨어러블디바이스 39

40 K-Global, 시큐리티스타트업설명회기술소개자료집 17 순서보존암호화기술 기술소개 최근국내외적으로빈번히발생하고있는개인정보유출사례의증가및피해확산으로인해클라우드등의외부저장공간에수집되는사용자주요데이터의프라이버시침해에대한우려가커지고있음 2013년전세계유출량은 5억 5,200만건에달하며, 이중 20% 이상이국내에서발생한것으로추산됨 (Symantec, 2014) 외부데이터활용환경에서의개인정보유출에대한근본적인해결책은모든데이터를암호화하는것이지만, 데이터활용성이제한되는이유로암호화적용이미루어지고있는실정임. 이에데이터기밀성을유지하면서, 암호화된데이터에대한활용을극대화할수있는암호원천기술개발이시급함 [ 순서보존암호화기술개념도 ] 순서보존암호화기술은암호화과정에서평문의순서정보를보존하는암호프리미티브기술로, 암호화를통한데이터프라이버시보호와동시에데이터활용성을보장하는기술임 - 이진검색, 범위검색, 정렬, mix, max 등의다양한데이터활용연산이데이터의순서정보에의존 - 복호화없이저장된암호데이터활용가능 기술의차별성 ( 현실적인효율성 / 편의성제공 ) 기존의기술은이론적인안전성위주의설계로인해 현실데이터베이스시스템에적용하기에는구현편의성및효율성에무리가있어, 현실적인요구사항이반영된실용적인기술설계 40

41 순서보존암호화기술 - ( 효율성 ) 단순한유사난수생성함수를반복적으로사용하는암 / 복호화구조로구현이쉽고암 / 복호화효율성이뛰어남 - ( 적용성 ) 적용환경의안전 / 효율요구수준에따라암호문의길이조정이가능 - ( 구현편의성 ) 유사난수생성함수에대한제약이없어기존에구현된 AES, Hash함수등의암호프리미티브를활용한구현편의성제공 ETRI 한국전자통신연구원 [ 순서보존암호화라운드함수구조 ] 기술의활용분야 클라우드등의외부데이터활용환경에서의데이터프라이버시보호를위한핵심프리미티브로활용 - 정부 / 의료기관등의공공기관에서개인정보보호를위한활용및공공데이터활용서비스시장창출 - 기업사용자 : 고객프라이버시정보보호를통한신뢰성향상 - 클라우드 / 빅데이터서비스업체 : 사용자데이터에대한프라이버시 / 활용성을동시보장으로관련시장선도가능 41

42 K-Global, 시큐리티스타트업설명회기술소개자료집 18 Modbus 제어애플리케이션방화벽기술 기술소개 악의적인사이버공격으로부터제어시스템내부위협이증가함에따라이를보호하기위한기술에대한관심이급속하게증가하고있음 제어시스템취약점중가장심각한부분은물리장치를제어하는제어기에영향을미치는것이라고언급하면서, USB 및네트워크공유취약점등을통해 PLC 에서비스거부공격을통해공격가능 ( 출처 : UtiliSec Inc., 2013) 특히 Modbus 프로토콜은인증및암호화기법부재로위변조와같은패킷조작이용이하며, 가용성관점의서비스거부공격에대한보안사항은고려하지않고있어여전히많은보안취약점을가지고있음 Modbus : 자동화디바이스간통신을위한산업용통신프로토콜임 Modbus/serial에는 20종 59가지공격발생과 Modbus/TCP에는 28종 113가지공격발생으로 Modbus/TCP에서더많은종류의공격이발생하고있음 본기술은 DPI(Deep packet inspection) 을통해 Modbus 프로토콜에대한제어응용프로토콜의취약점을이용한공격을차단하는기술임 - 비인가명령어, 유효하지않은필드값, 비정상트래픽을탐지및차단 - 비인가시스템및서비스접근제어에대한다중접근제어필터제공 [ 보안강화 Modbus 프로토콜 ] 42

43 Modbus 제어애플리케이션방화벽기술 기술의차별성 ( 적용대상 ) 본기술은제어시스템의독자적인프로토콜및제어망의특성을 반영하는점에있어기존의 IT 방화벽과차별성을가짐 - 기존 IT 방화벽은불특정시스템과서비스대상으로접근제어를수행 - Modbus 방화벽은특정시스템과서비스대상으로접근제어를수행 IT 방화벽 Modbus 방화벽 낮은 제어프로토콜 DPI 높음 높음 DoS공격대응수준 낮음 높음 세션분석 (SPI) 수준 낮음 블랙리스트활용 접근제어방식 화이트리스트활용 ETRI 한국전자통신연구원 사전인가된프로그램만허용하고나머지는차단하게하여제어기에서최소한의 시스템자원활용과알려지지않은응용프로그램접근을원천차단 ( 탐지능력 ) Modbus 응용계층레벨에서의다양한비인가접근탐지 - 비인가 Modbus 명령어사용에대한 Modbus 응용계층에서의접근제어 - DigitalBond SCADA IDS 시그니처적용을통한접근제어 - Modbus TCP 프로토콜의비정상동작유발행위접근제어 ( 품질보증 ) 안정성, 보안성관련국제표준을준용한 SW 검증 - S/W 안전성제공을위해 ISO/IEC 코딩규칙준용 - S/W 보안성제공을위해 CERT C, CWE/SANS 코딩규칙준용 CWE(Common Weakness Enumeration) 는 SW 보안및품질강화를위해개발시에참고할수있도록전세계 SW 취약점을표준화한목록임 기술의활용분야 Modbus 기반제어시스템의심층방어기술로활용 - 적용대상 : Modbus 기반제어시스템운용기관및보안솔루션기업 - 보안솔루션기업 : 기존산업용보안플랫폼에 Modbus 비인가명령어, 유효하지않은필드값, 비정상트래픽차단모듈추가탑재 - 제어시스템운영기관 : 제어기에직접적으로설치되는보안소프트웨어보다독립적인형태의네트워크방화벽으로활용 43

44 K-Global, 시큐리티스타트업설명회기술소개자료집 19 DNP3 제어애플리케이션방화벽기술 기술소개 악의적인사이버공격으로부터제어시스템내부위협이증가함에따라이를보호하기위한기술에대한관심이급속하게증가하고있음 제어시스템취약점중가장심각한부분은물리장치를제어하는제어기에영향을미치는것이라고언급하면서, USB 및네트워크공유취약점등을통해 PLC 에서비스거부공격을통해공격가능 ( 출처 : UtiliSec Inc., 2013) 특히 DNP3 프로토콜은암호와인증 / 인가기능을추가한프로토콜상의보안을고려하였으나, 가용성관점의서비스거부공격에대한보안사항은고려하지않고있어여전히많은보안취약점을가지고있음 DNP3(Distributed Network Protocol) : 전력및공장자동화와철도, 가스등에폭넓게사용하는통신프로토콜임 DNP3 프로토콜을사용하는시스템 / 네트워크계층공격 (21개), 데이터링크계층공격 (54개), DNP3 전송계층공격 (31개), DNP3 응용계층공격 (48개) 이있으며, DNP3 데이터링크계층과 DNP3 응용계층에서많은공격이발생하고있음 본기술은 DPI(Deep packet inspection) 을통해 DNP3 프로토콜에대한제어응용프로토콜의취약점을이용한공격을차단하는기술임 - 비인가명령어, 유효하지않은필드값, 비정상트래픽을탐지및차단 - 비인가시스템및서비스접근제어에대한다중접근제어필터제공 [DNP3 제어애플리케이션방화벽개요도 ] 44

45 DNP3 제어애플리케이션방화벽기술 기술의차별성 ( 적용대상 ) 본기술은제어시스템의독자적인프로토콜및제어망의특성을 반영하는점에있어기존의 IT 방화벽과차별성을가짐 - 기존 IT 방화벽은불특정시스템과서비스대상으로접근제어를수행 - DNP3 방화벽은특정시스템과서비스대상으로접근제어를수행 IT 방화벽 DNP3 방화벽 낮은 제어프로토콜 DPI 높음 높음 DoS공격대응수준 낮음 높음 세션분석 (SPI) 수준 낮음 블랙리스트활용 접근제어방식 화이트리스트활용 ETRI 한국전자통신연구원 사전인가된프로그램만허용하고나머지는차단하게하여제어기에서최소한의 시스템자원활용과알려지지않은응용프로그램접근을원천차단 ( 탐지능력 ) DNP3 응용계층레벨에서의다양한비인가접근탐지 - 비인가 DNP3 명령어사용에대한 DNP3 응용계층에서의접근제어 - DigitalBond SCADA IDS 시그니처적용을통한접근제어 - DNP3 프로토콜의비정상동작유발행위접근제어 ( 품질보증 ) 안정성, 보안성관련국제표준을준용한 SW 검증 - S/W 안전성제공을위해 ISO/IEC 코딩규칙준용 - S/W 보안성제공을위해 CERT C, CWE/SANS 코딩규칙준용 CWE(Common Weakness Enumeration) 는 SW 보안및품질강화를위해개발시에참고할수있도록전세계 SW 취약점을표준화한목록임 기술의활용분야 DNP3 기반제어시스템의심층방어기술로활용 - 적용대상 : DNP3 기반제어시스템운용기관및보안솔루션기업 - 보안솔루션기업 : 기존산업용보안플랫폼에 DNP3 비인가명령어, 유효하지않은필드값, 비정상트래픽차단모듈추가탑재 - 제어시스템운영기관 : 제어기에직접적으로설치되는보안소프트웨어보다독립적인형태의네트워크방화벽으로활용 45

46 K-Global, 시큐리티스타트업설명회기술소개자료집 20 제어시스템망관리에이전트 기술소개 제어시스템네트워크보안상황을인지하기위해제어시스템의네트워크상태정보수집과보고기능의필요성이증가하고있음 McAfee 등제어시스템보안관리솔루션은로그기반패킷검사에서응용프로그램및데이터액세스모니터링기능을제공하고있음 특히제어시스템을구성하는센서, 제어기, 서버등의시스템들은상호간정의된주기와 특정패턴에따라정보를송수신하는특성을지니며, 이를기반으로제어트래픽 분석을통해제어시스템상태를모니터링및침해사고탐지가능 본기술은제어시스템네트워크상태정보에대한프로파일링을통하여제어시스템구성, 성능, 장애, 세션정보를로깅하고리포팅하는기술임 - 제어시스템네트워크구성정보로깅및리포팅 - 제어시스템통신프로토콜상의메시지정보로깅및리포팅 - 제어시스템네트워크세션정보로깅및리포팅 [ 제어시스템망관리에이전트개요도 ] 46

47 제어시스템망관리에이전트 기술의차별성 ( 적용대상 ) 본기술은제어시스템통신프로토콜및네트워크트래픽특성을반영하여제어시스템네트워크상태정보를모니터링하는점에있어서기존의 IT 네트워크모니터링기술과차별성을가짐 - 동기적또는비동기적수집정보및상태경보를리포팅 - 제어시스템네트워크및시스템보안을위한 MIB (Management Information Base) 은 IEC MIB을준용 IEC : SNMP 기반으로네트워크와시스템보안을관리하기위해, 전력산업에특화된 MIB(Management Information Base) 를정의 ETRI 한국전자통신연구원 ( 관리정보 ) 네트워크관리표준프로토콜인 SNMP MIB을사용하여제어시스템의네트워크및시스템상태 MIB을제공 - 네트워크에연결된종단시스템목록및상태, 제어시스템네트워크토폴로지정보등네트워크구성모니터링 MIB을제공 - 패킷양, IP 빈도수, IP 분포, 포트분포, 메시지크기등통신프로토콜상의메시지모니터링 MIB을제공 - 세션기반플로우정보등네트워크세션모니터링 MIB을제공 ( 품질보증 ) 안정성, 보안성관련국제표준을준용한 SW 검증 - S/W 안전성제공을위해 ISO/IEC 코딩규칙준용 - S/W 보안성제공을위해 CERT C, CWE/SANS 코딩규칙준용 CWE (Common Weakness Enumeration) 는 SW 보안및품질강화를위해개발시에참고할수있도록전세계 SW 취약점을표준화한목록임 기술의활용분야 제어시스템상태정보수집을통한침해사고탐지정보로활용 - 적용대상 : 제어시스템운용기관및보안솔루션기업 - 보안솔루션기업 : 기존산업용보안플랫폼에제어네트워크트래픽상태정보수집모듈추가탑재 - 제어시스템운영기관 : 제어기에직접적으로설치되는상태정보수집소프트웨어보다독립적인형태의제어시스템상태를모니터링하는기술로활용 47

48

49

50 K-Global, 시큐리티스타트업설명회기술소개자료집 21 악성코드자동분석기술 기술소개 ( 배경및필요성 ) 최근알려지지않은신 변종악성코드가급증하고다양한침해사고에사용되고있어신속한악성코드대응의필요성이높아지고있으나, 기존의수동분석으로는분석가의처리능력에한계가있음 - 손쉽게악성코드를제작할수있는도구들이늘어나면서하루평균 25만개의악성코드위협이발생 (Bluecoat, 2014) - '14년전세계적으로악성코드는총 3.5억개가발생하였고, 이중절반에가까운 1.6억개 (45%) 가알려지지않은새로운악성코드로나타남 (AV-TEST, 2015) ( 주요기술 ) 본기술은입력되는파일을대상으로실행과정에서나타나는행위정보를분석하고악성 여부를자동으로탐지하는기술임 - 악성코드가수행하는행위정보를추출 분석하여자동으로악성여부탐지 [ 기술개요 ] 기존기술과의차별성 (As-is) 백신의신 변종탐지한계및동적분석의기술성숙도부족 - 시그니처기반으로탐지하는백신검사로는신 변종대응이불가 - 악성여부를직접제시하지않는동적분석제품이대다수 대부분의제품은동일파일에대한다른사용자의판단정보를수집하여평판정보로서제시하고, 실제판단은사용자에게일임하는경우가많음 50

51 악성코드자동분석기술 (To-be) 신 변종악성코드의악성여부분석및탐지가능 - 알려지지않은신규악성코드에대한악성여부진단가능 파일이실행되는과정에서호출하는 API의내역을분석하여파일의악성여부를판단 API(Application Programming Interface) : 실행파일이호출하는운영체제서브루틴 / 함수집합 기술의활용분야 시스템 / 네트워크분야의보안제품으로써신 변종악성코드탐지솔루션 - 적용대상 : 백신업체, 네트워크보안업체 - 활용방안 : 급증하고있는신 변종악성코드를신속히탐지하여, 백신SW, IDS, IPS 등침입탐지솔루션의시그니처업데이트에활용 Virus백신분야의보안제품으로써악성코드탐지용백신솔루션 - 적용대상 : 백신업체, 포털사업자, 개인사용자, 공공기관 기업 - 활용방안 : 악성코드탐지를위한전용백신으로개발가능하고, 백신SW, 브라우저보안모듈 ( 크롬, 익스플로러등 ) 등의기존보안제품등과연계하여악성코드탐지 차단에활용 KISA 한국인터넷진흥원 51

52 K-Global, 시큐리티스타트업설명회기술소개자료집 22 분석회피형악성코드탐지기술 기술소개 ( 배경및필요성 ) 가상환경을기반으로악성코드를분석 탐지하는제품들이지속적으로개발 보급되면서, 가상의분석환경을탐지 우회하는분석회피형악성코드가증가하고있음 분석회피형악성코드 : 악성코드분석에널리쓰이는가상머신환경을탐지하여악성행위를보류하는방식으로악성진단및분석을회피하는지능형악성코드 - '14년에발견된악성코드는약 3.2억개이며, 이중 28% 가분석회피형악성코드임 (Symantec, 2015) ( 주요기술 ) 본기술은실제사용자의 PC환경과동일한분석환경을구축하여분석회피형악성코드를자동으로분석 탐지하는기술임 - 악성코드가사전에가상분석환경을조회 검사하는분석회피행위탐지 - 리얼환경에서악성코드행위정보를분석하여자동으로악성여부탐지 [ 기술개요 ] 기존기술과의차별성 (As-is) 분석회피형악성코드에대한대응기술수준이미흡함 - 대부분의기존솔루션들은가상환경기반의분석기술을사용함 '14 년에등장한악성코드중 28% 가가상머신을회피하는기능보유 (Symantec, 2015) 52

53 분석회피형악성코드탐지기술 (To-be) 가상환경의분석 탐지를우회하는분석회피형악성코드대응가능 - 리얼머신기반으로분석회피형악성코드행위분석가능 일반적인악성코드분석환경에서사용하는가상머신이아닌, 실제사용자 PC 환경과동일한리얼머신을사용함으로써분석회피기능을원천적으로차단 - 분석회피형악성코드에대한악성여부진단가능 파일이실행되는과정에서호출하는 API의내역을분석하여파일의악성여부를판단 API(Application Programming Interface) : 실행파일이호출하는운영체제서브루틴 / 함수집합 기술의활용분야 시스템 / 네트워크분야의보안제품으로써은닉형악성코드탐지솔루션 - 적용대상 : 백신업체, 네트워크보안업체 - 활용방안 : 가상분석환경을우회하는지능형 은닉형악성코드를탐지하여, 백신SW, IDS, IPS 등침입탐지솔루션 / 장비의시그니처업데이트에활용 보안담당자 분석가를위한신종악성코드분석 대응도구 - 적용대상 : 보안담당자, 악성코드분석가 - 활용방안 : 은닉형태의악성코드를선별하고분석정보를제공하여위협요소로써시급히조치 차단이필요한대상선별등에활용 KISA 한국인터넷진흥원 53

54 K-Global, 시큐리티스타트업설명회기술소개자료집 23 악성코드백신진단정보관리기술 기술소개 ( 배경및필요성 ) 국내외다양한악성코드백신프로그램이보급되고있으나, 백신별진단이가능한시기와성능에차이가크기때문에일부의백신만으로는효율적인악성코드대응에한계가있음 - '15년 20여종주요백신프로그램의악성코드진단율은최고 15% 이상차이가존재 (AV-Test, 2015) '14년에는주요 24종백신프로그램의악성코드진단율에서최고 33% 이상차이를보여, 백신프로그램별진단가능시기와성능에차이가큰것을알수있음 ( 주요기술 ) 본기술은입력파일을대상으로다양한백신프로그램의진단결과를제공함으로써, 악성코드를탐지하는기술임 - 자체적으로보유하는상용백신프로그램진단결과수집 관리 - VirusTotal에서제공하는상용백신프로그램진단결과조회 관리 VirusTotal : 국내외 50여종주요백신프로그램의진단결과를제공하는서비스 [ 기술개요 ] 기존기술과의차별성 (As-is) 대부분의기존솔루션은 1~2개정도의백신진단결과사용 - [ 한계점 ] 몇몇개의백신진단결과만으로는악성코드대응에부족 대부분의기존솔루션이백신진단결과를사용하는데, '14년에는주요 24 종백신프로그램의악성코드진단율이최고 33% 이상차이를보임 (AV-Test, '15) 54

55 악성코드백신진단정보관리기술 (To-be) 다양한백신진단결과로효과적인악성코드탐지가능 - 실시간업데이트된백신프로그램진단결과수집가능 자체적으로보유하는다수의상용백신프로그램으로실시간업데이트및진단결과수집 - 국내외다양한백신프로그램진단결과수집가능 VirusTotal로부터국내외 50개이상의백신프로그램진단결과조회가능 기존기술 제안기술 백신개수 1~2 개 50 개이상 실시간업데이트 O O 탐지이력관리 X O 기술의활용분야 웹및이메일보안솔루션 / 장비에대한연동형보안솔루션으로활용 - 적용대상 : 공공기관및기업 - 활용방안 : 웹및이메일보안장비와의연동을통해사내에서발견된의심대상실행파일에 대한악성여부검사를즉시실시하여악성코드감염시빠른대응을돕는연동형보안 솔루션으로활용 KISA 한국인터넷진흥원 보안담당자 분석가를위한악성코드전처리솔루션 - 적용대상 : 보안업체소속악성코드분석가 - 활용방안 : 대량의악성코드에대하여사전백신진단결과를제공하여알려진악성코드에대한정보를제공함으로써, 악성코드분석가의수동분석지원도구로활용 55

56 K-Global, 시큐리티스타트업설명회기술소개자료집 24 악성코드호출 API 자동추출기술 기술소개 ( 배경및필요성 ) 샌드박스기반의악성코드분석 탐지를위한행위정보를추출하는기존기술들은대부분 User레벨의행위이벤트를추출하는수준으로다양한행위정보제공에한계가있음 - 1개행위이벤트의경우에도악성코드개발자에따라서사용하는 API 종류는다양하게나타남 파일생성행위에사용가능한 API에는 CreateFile, WriteFile, CopyFile 등으로다양하며, 하나이상의 API 조합으로도행위가발생할수있음 - 다양한행위탐지및행위간연관성분석을위해서는시스템전반에서호출되는 API 정보를추출하는기술이필요함 ( 주요기술 ) 본기술은입력되는파일을대상으로시스템전반에서호출되는 API 정보를자동으로추출하는기술임 - 악성코드가호출하는 User Kernel레벨의 API 정보의자동추출 MS가제공하는라이브러리를이용한안정적인 API 후킹방식을사용 [ 기술개요 ] 기존기술과의차별성 (As-is) 악성코드탐지에초점을맞추어다양한행위정보제공이미흡 - 기본적인행위이벤트나 User레벨 API정보추출기술이대부분 대부분의보안제품은악성코드탐지를위한행위정보를추출하고있으나, 다양한행위탐지및행위간연관분석을위한정보제공의자동화제품은부재한현황 56

57 악성코드호출 API 자동추출기술 (To-be) 악성코드의다양한행위분석및행위간연관분석가능 - 실행가능한모든악성코드에대한행위정보추출가능 파일이실행되는과정에서호출되는 API 자동추출로근본적인행위분석이가능 API(Application Programming Interface) : 실행파일이호출하는운영체제서브루틴 / 함수집합 기술의활용분야 시스템 / 네트워크분야의보안제품으로써악성코드분석솔루션 - 적용대상 : 백신업체, 네트워크보안업체 - 활용방안 : 입력파일에대한악성행위정보를탐지하여, 백신SW나네트워크보안장비에서악성코드탐지에활용 Virus백신분야의보안제품으로써비정상파일탐지용백신솔루션 - 적용대상 : 백신업체, 포털사업자, 개인사용자, 공공기관 기업 - 활용방안 : 주요시스템자원에접근권한이없는비정상파일탐지가가능하고, 악성프로그램탐지용백신개발에활용 KISA 한국인터넷진흥원 57

58 K-Global, 시큐리티스타트업설명회기술소개자료집 25 악성코드프로파일링기술 기술소개 ( 배경및필요성 ) 기존 3.20, 6.25 사이버테러등에사용된변종들이지속출현함에따라, 대량으로출현하는악성코드들에서유사유형의그룹을분류하고우선분석해야하는대상을자동으로선별할수있는프로파일링기술필요 - 일평균 25만개의악성코드가출현하고있는현황에서이를자동으로선별하고분류하는기술이부재 - 주로신고 / 접수된악성코드를우선으로분석가에의해분석, 대응되고있음 악성코드프로파일링기술 : 비슷한유형의범죄를저지른사람들은공통되는성격과특성을공유한다는전제하에개발된프로파일링기법을악성코드에적용한것으로, 악성코드별행위정보를수집하고이들간의연관성을추론하여주어진악성코드를대상으로유사 / 변종그룹을추정하는기술을의미함 ( 주요기술 ) 본기술은대량의악성코드가축적된상황에서, 행위정보를기반으로새로입력된특정파일에대한변종악성코드를탐지 / 제시하고, 이와유사한악성코드그룹을자동으로분류하는기술 - 대량의축적된악성코드를대상으로악성코드그룹자동분류 - 주어진특정악성코드와유사 / 변종관계인악성코드탐지 / 조회 [ 기술개요 ] 58

59 악성코드프로파일링기술 기존기술과의차별성 (As-Is) 학계를중심으로비시그니처방식및동적 / 정적의 Hybrid방식의기법들을제시하고있으나, 학술적연구단계에머물러있음 대부분의보안솔루션들은악성코드탐지에만초점을맞추어, 본기술과같이유사 변종그룹분류의자동화된제품은부재한현황이며백신진단결과에의해수동으로그룹분류를수행함 ( To-Be) 유사도분석및수치적정보기반의실용적자동그룹분류를통해관리자로하여금그룹분류결과에대한객관적판단자료제공 (To-Be) 북한발악성코드등집중분석이필요한대상을자동식별가능 2,639개악성코드를대상으로시험한결과, 절반에가까운 1,121개를 10개그룹으로분류가능검증 KISA 한국인터넷진흥원 [ 악성코드프로파일링결과 ] 기술의활용분야 APT 대응분야에서보안제품으로써대량의악성코드대응솔루션 / 서비스 - 적용대상 : APT 보안업체및대응기관 - 활용방안 : 최근악성코드대상자동화된공격트렌드예측정보분석이가능하고, 북한발악성코드등관심대상유사악성코드의자동선별을통해신속한사고분석및예방정보분석기술로활용 보안담당자 분석가를위한악성코드분석 대응도구 - 적용대상 : 보안담당자, 악성코드분석가 - 활용방안 : 대량의악성코드에대한분석정보를제공하여분석가의분석비용단축, 시급히조치 차단이필요한대상선별등효율적인사전 사후대응에활용 59

60 K-Global, 시큐리티스타트업설명회기술소개자료집 26 이메일기반공격 IP 탐지기술 기술소개 ( 배경및필요성 ) 스팸메일의 80% 가악성코드에감염된 PC에의해발송되며, 이러한감염 PC는스팸메일발송뿐만아니라 DDoS 등의사이버침해공격에활용되므로적극적차단이필요함 - 특정기업을대상으로하는공격의유입경로중 87% 가이메일을통해발생되고있음 ( 데일리시큐, 2015) ( 주요기술 ) 본기술은이메일을분석하여악성코드에감염된 PC 를자동으로탐지하는기술임 [ 기술개요 ] 기존기술과의차별성 (As-Is) 기존의이메일보안솔루션들은알려진악성 IP/ 메일주소인 RBL (Real-time Blocking List) 차단, 금칙어필터링을통한광고메일탐지, 백신기반의첨부파일악성여부검사등알려진 패턴에기반한탐지에중점 (To-Be) 개발기술은알려진패턴이아닌이메일의발송경로를자동으로분석하여비정상적으로이메일을발송한 IP를탐지하고분석 일일 1,000만개정도의이메일이유통되는포털사이트에적용시, 하루수십만개수준의공격IP 탐지 / 조치가능 60

61 이메일기반공격 IP 탐지기술 기존기술 RBL 차단금칙어필터링첨부파일백신검사 개발기술 알려진악성 IP/ 도메인차단 금칙어를포함하는이메일필터링 첨부파일에대한악성코드백신검사 발송경로분석을통한비정상이메일및의심 IP 탐지 알려진패턴에기반한악성이메일탐지 패턴에기반하지않는의심 IP 탐지 기술의활용분야 이메일보안제품으로써통합형이메일 APT 보안솔루션 - 적용대상 : 이메일보안업체, 공공기관 기업 - 활용방안 : 운영중인메일서버또는스팸차단장비와의연동하여사내에서이메일에공격침투유입을조기차단 대응이가능 보안관리 / 관제분야의보안솔루션으로써스팸메일차단및좀비PC 조치서비스 - 적용대상 : KrCERT, 보안관제기관 - 활용방안 : 수많은메일이유통되는포털사이트등에적용해서공격IP의탐지 / 조치가가능하며, 이러한공격IP는추가침해사고및스팸차단을위한 RBL을생성하거나조치가필요한좀비PC 식별에활용 일일 1,000만개이메일이유통되는포털사이트적용시, 하루수십만개수준의공격IP 탐지가가능할것으로예상됨 KISA 한국인터넷진흥원 61

62 K-Global, 시큐리티스타트업설명회기술소개자료집 27 이메일기반봇넷그룹탐지기술 기술소개 ( 배경및필요성 ) 스팸메일의 80% 가악성코드에감염된 PC에의해발송되며, 사이버침해공격의대부분은다수의감염PC들로구성된봇넷에의해발생되므로적극적차단이필요함 - 특정기업을대상으로하는공격의유입경로중 87% 가이메일을통해발생되고있음 ( 데일리시큐, 2015) ( 주요기술 ) 본기술은악성메일과이를발송한감염 IP 를대상으로연관분석을통해봇넷그룹을 자동으로탐지하는기술임 [ 기술개요 ] 기존기술과의차별성 (As-Is) 대부분의기존솔루션은스팸탐지 차단기능에집중됨 대부분의보안솔루션들은스팸탐지기술에만초점을맞추어, 본기술과같이이메일을대상으로 봇넷그룹을자동으로탐지하는제품은부재한현황임 (To-Be) 다양한침해공격을유발하는봇넷그룹탐지가능 기존기술 RBL 차단금칙어필터링첨부파일백신검사 개발기술 알려진악성 IP/ 도메인차단 금칙어를포함하는이메일필터링 첨부파일에대한악성코드백신검사 악성메일연관분석및봇넷그룹탐지 스팸탐지및차단기능 봇넷그룹탐지기능 62

63 이메일기반봇넷그룹탐지기술 기술의활용분야 이메일보안제품으로써통합형이메일 APT 보안솔루션 - 적용대상 : 이메일보안업체, 공공기관 기업 - 활용방안 : 운영중인메일서버또는스팸차단장비와의연동하여사내에서이메일에공격침투유입을조기차단 대응이가능 APT 대응분야에서보안제품으로써대량의침해사고대응솔루션 / 서비스 - 적용대상 : APT 보안업체및대응기관 - 활용방안 : 최근침해사고대상봇넷공격예측정보분석이가능하고, 중국, 유럽발 IP 등관심대상공격자운영봇넷의조기탐지를통해신속한사고분석및예방정보분석기술로활용 보안관리 / 관제분야의보안솔루션으로써스팸메일차단및좀비PC 조치서비스 - 적용대상 : KrCERT, 보안관제기관 - 활용방안 : 수많은메일이유통되는포털사이트등에적용해서공격IP의탐지 / 조치가가능하며, 이러한공격IP는추가침해사고및스팸차단을위한 RBL을생성하거나조치가필요한좀비PC 식별에활용 일일 1,000만개이메일이유통되는포털사이트적용시, 하루수십만개수준의공격IP 탐지가가능할것으로예상됨 KISA 한국인터넷진흥원 63

64 K-Global, 시큐리티스타트업설명회기술소개자료집 28 네트워크트래픽분석기반공격의심징후탐지기술 기술소개 ( 배경및필요성 ) 특정조직을대상으로하는 APT 공격을통한피해가급증하고있으나, 기존보안장비로의대응에한계가존재 - 침해사고발생후공격인지까지평균 243일소요되며조직자체에서침입을탐지하는비율은전체의 33% 미만임 (Symantec, 2014) APT 공격은특정조직을대상으로목적달성을위해지속적이며다양하고은밀한우회기법등을복합적으로사용하여기존보안장비로대응이어려움 - 공격자는패턴을기반으로공격을탐지하는방화벽 IDS IPS 등의보안장비를우회하기위해알려지지않은행태의공격을이용 ( 주요기술 ) 본기술은네트워크트래픽분석을통해 APT 공격에서주로나타나는특징을기반으로 공격의심징후를탐지하는기술임 - 탐지된비정상트래픽을기반으로내부 IP 별공격이상징후정보를제공 [ 기술개요 ] 기술의차별성 (As-Is) 백신등지능형악성코드탐지솔루션 - [ 한계점 ] 신 변종악성코드의미탐 ( 탐지하지못함 ) 가능성존재 64

65 네트워크트래픽분석기반공격의심징후탐지기술 (As-Is) 방화벽 IDS IPS 등알려진공격에맞춰진패턴기반탐지기술 - [ 한계점 ] 정해진패턴을벗어난새로운공격기법에무방비 (To-Be) 네트워크트래픽분석기반공격의심징후탐지기술 - 예측을통한탐지기준자동설정으로알려지지않은새로운공격에대응 기존기술 개발기술 Paloalto Networks McAfee 차세대네트워크보안시스템 패턴기반네트워크침해탐지 샌드박스기반악성코드탐지 Advanced Threat Defense 지능형악성프로그램탐색 샌드박스기반악성코드탐지 한계점 알려지지않은새로운공격에취약 신 변종악성코드의미탐가능성존재 네트워크기반공격의심징후탐지기술 네트워크패킷단위비정상트래픽탐지 네트워크플로우단위비정상트래픽탐지 우회접속등다양한비정상접속탐지 비정상트래픽유형 / 위험도분류 차별성 예측을통한기반탐지기준을스스로정의 알려지지않은새로운공격에대응 KISA 한국인터넷진흥원 기술의활용분야 APT 대응분야의보안제품으로써지능형침입탐지솔루션 / 서비스 - 적용대상 : 네트워크보안업체, 보안관제업체, ISP - 활용방안 [ 네트워크보안업체 ] 단일기업망보안솔루션으로제품화가능 IDS/IPS 등의보안솔루션과융합된솔루션으로시너지효과기대 [ 보안관제업체 /ISP] 다수고객망보안솔루션으로서비스가능 보안관제업체및 ISP에서네트워크모니터링보안솔루션형태서비스 네트워크분야의보안제품으로써네트워크공격침입탐지솔루션 - 적용대상 : 네트워크보안업체, 일반기업 - 활용방안 : 네트워크상에서내부사용자로의공격징후를탐지하고, IDS IPS 등기존침입방지솔루션 / 장비에시그니처업데이트에활용 망분리환경에서의기업의내부업무망보안감시솔루션 - 적용대상 : 금융사, 기업연구소, 보안관제업체 - 활용방안 : 프린터등 S/W 에이전트미설치장비, 노트북등외부반입장비등내부업무망에연결된모든디지털자산 (IP, 통신현황등 ) 파악및보안감시가능 65

66 K-Global, 시큐리티스타트업설명회기술소개자료집 29 대용량네트워크트래픽수집 / 저장 / 관리플랫폼 기술소개 ( 배경및필요성 ) 수일 ~ 수개월동안발생되는 APT 공격을분석 탐지하기위한네트워크트래픽분석시, 대량의트래픽고속처리플랫폼이필요 사이버테러, SK컴즈정보유출등 APT 공격은수일 ~ 수개월의기간에걸쳐이루어짐 3.20 사이버테러 ( 수개월추정 ), SK컴즈정보유출 ( 약 7일 ), 농협해킹 ( 약 7개월 ) - 장기간의네트워크트래픽에대한저장 분석 조회등고속처리를위해서는플랫폼이필요 1G급네트워크환경에서트래픽수집 분석을위해서는 1일약 10TB 수준의저장공간및처리성능이필요 ( 주요기술 ) 본기술은대량으로유입되는네트워크트래픽에대한수집 저장 관리등고속처리가 가능한플랫폼기술임 - 데이터특성 ( 용량, 연산량등 ) 을반영한트래픽데이터고속처리 / 관리 기술의차별성 ( 대용량트래픽고속처리및관리 ) 네트워크트래픽특성을고려한구조설계를통해고속조회및관리가능 - 트래픽특성 ( 저장용량, 응답속도등 ) 에적합한빅데이터처리기술적용 데이터특징에따라, 트래픽로그 (HDFS), 분석용특성정보 (HBase), 분석결과 (RDBMS) 로저장구조구성 66

67 대용량네트워크트래픽수집 / 저장 / 관리플랫폼 기술의활용분야 네트워크분야의보안제품으로써빅트래픽처리플랫폼 - 적용대상 : 네트워크보안업체, 보안관제업체, ISP - 활용방안 : 네트워크에서악성코드침투 감염 전파탐지에활용하고, 대량의트래픽에대한분석 저장에활용 APT 대응분야에서보안제품으로써대량의침해사고원인분석플랫폼 - 적용대상 : APT 보안업체및대응기관 - 활용방안 : 대량의네트워크트래픽기록을저장하는침해사고원인분석솔루션의데이터처리플랫폼으로활용 KISA 한국인터넷진흥원 67

68 K-Global, 시큐리티스타트업설명회기술소개자료집 30 악성코드유포경로분석기술 기술소개 ( 배경및필요성 ) 악성코드를유포하는웹사이트 ( 악성URL) 가탐지되고있으나, 주요취약지점 조치대상을선별하는기술은미흡함 - 하루평균악성코드가담긴악성URL이 3만개이상생성되고있음 (Bluecoat, 2014) 피해를입은악성URL의 80% 가공식적인일반사이트인것으로나타남 ( 주요기술 ) 본기술은대량의악성코드유포경로정보 ( 경유지, 유포지, 악성코드등 ) 분석을통해주요취약지점 조치대상, 유사공격추정사건을탐지하는기술임 - 악성코드유포경로간연관분석을통한유포경로그룹생성 - 사건규모 기간별유사사건위험도산정을통해주요조치대상선별 < 기술개요 > 기술의차별성 ( 주요조치대상악성 URL 선별 ) 급증하는악성코드유포경로사건들에대한연관분석을통해시급히 조치해야하는대상선별 68

69 악성코드유포경로분석기술 ( 기존 ) KISA 악성 URL 분석 탐지 ( 신규 ) 악성코드유포경로분석 분석목적 악성코드경유지및유포지탐지 악성코드유포경로그룹생성및시각화 분석기능 웹사이트방문 / 행위분석, 악성 URL 탐지 일별악성코드유포경로그룹갱신 분석결과 악성코드경유지 / 유포지 / 악성코드 악성코드유포경로그룹, 주요조치대상 KISA 한국인터넷진흥원 < 주요공격및취약지점확인 > 기술의활용분야 대규모침해사고공격사건에서발견된악성URL 분석솔루션 - 적용대상 : 보안관제업체, KISC - 활용방안 : 개별악성코드유포사건정보를입력하여연관된유포경로그룹및시각화데이터를기반으로주요취약지점, 조치대상선별, 동일공격자추정사건등사건분석에활용 69

70 K-Global, 시큐리티스타트업설명회기술소개자료집 31 호스트레벨악성스크립트탐지 / 실행방지기술 기술소개 사용자 PC 의웹브라우저에서실행되는웹컨텐츠 (HTML, 자바스크립트등 ) 에대해악성여부를 검사하고차단하는악성스크립트탐지전용백신 [ 기술개념도 ] 웹브라우저에삽입된플러그인 S/W 를통해웹페이지추출 - 사용자브라우저에서웹페이지실행이전시점체크하여웹페이지및외부링크 URL 의소스 추출 시그니처검사및스크립트실행함수분석을통한악성검증 - 웹지연시간최소화를위한시그니처기반고속정적분석진행 - 악성행위를유발하는자바스크립트함수정보를기반으로탐지 70

71 호스트레벨악성스크립트탐지 / 실행방지기술 메모리스캔및난독화된스크립트탐지 - 프로세스메모리덤프정보를기반으로악성스크립트추출 - 난독화 * 된자바스크립트에대한원본추출및악성검사 * 난독화스크립트 : 코드자체를이해할수없도록변형하여, 기존보안장비의탐지를회피 기술의차별성 ( 사용자 PC단악성스크립트차단 ) 기존백신에서는악성코드를대상으로탐지하나, 본기술은브라우저의실행웹페이지를분석 악성스크립트차단 - ( 적용방식 ) 플러그인방식으로웹브라우저에보안프로그램등록 - ( 탐지대상 ) 난독화스크립트, 자바스크립트 API, 의심태그검사기존백신및 PC 보안솔루션 PC단악성스크립트실행방지 KISA 한국인터넷진흥원 실행파일형태의악성코드만검사 프로세스, 메모리, 레지스터, 트래픽검사등 OS 영역검사 웹브라우저와호환하여악성스크립트탐지 / 차단 브라우저종류및버전에유연하게적용가능 기술의활용분야 일반 PC 및모바일용악성스크립트차단전용백신으로활용 - 적용대상 : 개인사용자, 백신업체 / 포털사업자, 모바일보안업체 - 개인사용자 : 악성스크립트탐지를위한전용백신으로보급 - 백신업체, 포털사업자 : 백신, 웹체크툴바 ( 네이버, 다음, 이스트소프트등 ) 와같은기존보유제품에악성스크립트탐지모듈추가탑재 - 모바일보안업체 : 모바일백신에 HTML5용악성웹 / 앱차단을위한모듈추가탑재 71

72 K-Global, 시큐리티스타트업설명회기술소개자료집 32 네트워크레벨스크립트기반사이버공격차단기술 기술소개 전세계적으로 HTML, 스크립트취약점악용하는웹어플리케이션공격은급증 전체사이버공격중웹기반공격은 36%, 차지 ('14 년 ABI Research) 사용자는악성스크립트가게시된웹사이트방문즉시좀비 PC 화가능 [ 스크립트기반 DDoS 공격시나리오 ] '13년방송사, 정부기관대상스크립트를이용한 DDoS 공격이발생 - 최근, Active-X의대체기술로부각되는 HTML5의확산시 HTML5의추가기능을악용한스크립트기반웹공격급증할것으로예상 HTML5에서는양방향통신, 멀티쓰레드처리등다양한신규추가기능제공 본기술은사용자 PC와웹사이트간모든웹트래픽를수집하여악성스크립트에대해서탐지하는웹보안기술임 - 네트워크상의모든웹트래픽에대해서정적분석및동적분석실행 - 별도자바스크립트엔진을통해스크립트를직접실행하여난독화된스크립트의원본및실행함수정보등을추출하여악성검증 72

73 네트워크레벨스크립트기반사이버공격차단기술 기술의차별성 ( 웹컨텐츠정밀분석 ) 본기술은웹페이지를구성하는모든컨텐츠에대한정밀검사를진행하고, 난독화된스크립트탐지가가능한기술임. - 기존네트워크침입탐지솔루션의경우패킷단위의트래픽분석을통해악성코드를탐지하나, 본기술은웹페이지의외부링크소스까지포함검사 - 난독화여부검사및원본추출스크립트의악성여부검사 KISA 한국인터넷진흥원 - ( 적용방식 ) 기존웹방화벽, IDS/IPS 장비와동일한구간위치 - ( 탐지대상 ) 난독화스크립트, 자바스크립트 API, 의심태그검사 기술의활용분야 악성스크립트차단을위한네트워크보안장비로활용 - 적용대상 : 네트워크보안장비업체 - 웹방화벽, 침입탐지시스템등기존보유보안제품에악성스크립트탐지를위한추가모듈로탑재 73

74 K-Global, 시큐리티스타트업설명회기술소개자료집 33 악성스크립트배포웹사이트점검기술 기술소개 악성스크립트가등록된웹사이트의웹컨텐츠에대해서사전수집및분석을통해검증하는기술 [ 시스템구성도 ] 본기술은입력된점검대상웹사이트에대해서주기적인웹사이트를스캔하여게시된악성스크립트를탐지하는웹보안기술임 - 웹사이트를자동스캔하여난독화스크립트 * 추출, 스크립트변조여부점검 * 난독화스크립트 : 코드자체를이해할수없도록변형하여, 기존보안장비의탐지를회피 기술의차별성 (HTML5 웹사이트고속점검 ) 웹사이트점검을위한 HTML5 문서고속스캔및가상환경에서 HTML/ 스크립트의행위분석기술적용 - 대용량 HTML 문서크롤링및고속처리기술구현을통해홈페이지변조, HTML5의취약태그및 API 검사 * 1일 50개 HTML5, 1만개 HTML4 사이트대상스크립트검사 - 상세행위분석을위해단일웹페이지의사용자이벤트 ( 마우스, 키보드등 ) 을가상브라우저에서직접실행검사 74

75 악성스크립트배포웹사이트점검기술 ( 기존 ) KISA 악성코드은닉사이트점검 ( 신규 ) HTML5 웹사이트점검 점검방식 악성코드경유지및유포지점검기술 웹사이트방문 악성코드다운로드검사 1 일 250 만개 URL, 1 Depth 로검사 HTML5 취약점점검, 웹페이지변조검사 1 일 50 개 HTML5, 1 만개 HTML4 사이트 점검, 2 Depth 로검사 점검대상 실행파일형태의악성코드 HTML, 자바스크립트등웹컨텐츠 분석방법 가상 OS 에서악성행위모니터링분석 가상브라우저에서악성행위모니터링분석 기술의활용분야 웹사이트점검스캐너로활용 - 적용대상 : 공공기관 / 금융권, 일반기업 - 공공기관 / 금융권 : 자사운영중인웹사이트에대해악성스크립트탐지 ( 게시글점검, 웹페이지 변조체크 ) 를위한보안관제시스템으로활용 - 일반기업 : 월이용료를지불하는기업을대상으로웹사이트점검결과를제공하는신규 서비스로제공 KISA 한국인터넷진흥원 75

76 K-Global, 시큐리티스타트업설명회기술소개자료집 34 모바일디바이스의 Agentless 방식상황정보수집기술 기술소개 직원개인소유의모바일기기를통해회사업무망에접속시, 다양한보안문제가발생함 - 권한이없는사용자가탈취계정또는분실 / 도난기기를통해회사업무망에접근시기업내부중요정보가유출될수있음 - 기존의보안기술은개인기기에특정소프트웨어 (Agent) 를설치하여직접적으로기기정보를수집하고제어하는형태로사용자로하여금거부감이발생할수있음 본기술은 Agentless방식으로회사업무망에접근하는기기정보를수집하고, 사용자의서비스접속및이용행위에따른상황정보를수집하는기술임 상황정보 : 사용자가기업내부서비스에접속및이용하는모든행위를데이터로규정하여상황을인식하기위한정보 [ 기업내부네트워크접근사용자 / 기기상황정보수집 ] - 모바일기기정보수집 (Browser Fingerprinting 기술활용 ) Browser Fingerprinting : 웹페이지에 Java Script를적용하여 Web Browser에접속하는기기정보를수집하는기술 - 사용자인증정보수집 (Captive Portal 인증, 인증서버연동 ) - 서비스이용정보수집 ( 웹서비스이용정보, DB 자원이용정보 ) 76

77 모바일디바이스의 Agentless 방식상황정보수집기술 수집정보분류 수집항목 모바일기기정보 기기정보 위치정보 네트워크정보 OS, 브라우저, 기기명, 기기타입, Screen Size, Fonts, MAC Address 등 사내 / 사외 / 해외, GPS 정보등 접속 / 목적지 IP, 접속네트워크환경 ( 사내유선 / 무선, 모바일망, 인터넷 ) 정보등 사용자인증정보 서비스이용정보 기술의차별성 사용자정보 인증정보 사용자 ID, 세션 ID 등 인증결과, 인증시간, 자동로그인여부등 서비스이용정보이용서비스 (URI), 서비스이용경로, 요청 / 응답시간, DB 테이블이용정보등 [ 상황정보수집항목분류 ] (As-Is) 기존모바일기기보안기술은단말기관점에서의보안기술임 - MDM/MAM : 모바일기기관리를위해기기에 Agent 설치필요 KISA 한국인터넷진흥원 (To-Be) 개발한기술은여러관점에서의상황정보를기반으로한보안기술임 - ' 누가 ', ' 언제 ', ' 어디서 ', ' 어떻게 ', ' 무엇을 ' 기준으로사용자및기기, 행위정보등을종합적으로수집하여상황을인식하고관리할수있음 - Agent 설치, 기업데이터저장형태에관계없이네트워크트래픽만으로상황정보를수집 기술의활용분야 기업모바일오피스접속및이용에따른상황정보수집및관리기술로활용 - 적용대상 : 모바일오피스활용기업, 보안기술개발기업 - 모바일오피스활용기업 : 직원들의모바일오피스접속및이용현황정보등을파악할수있으며, 사내보안정책수립에활용 - 보안기술개발기업 : 개발시스템의요소기술로상황정보수집기술활용 IoT 환경에서게이트웨이와통신하는기기정보및상황정보수집관리장치로활용 - 적용대상 : IoT 환경기기의통신정보수집 / 관리목적의시스템 - IoT 기기의통신데이터를통한기기정보수집, 통신기록보관에활용 77

78 K-Global, 시큐리티스타트업설명회기술소개자료집 35 모바일기기의웹서비스접속및이용행위분석기술 기술소개 개인모바일기기를이용하여기업모바일오피스서비스를이용하는개방적환경의스마트워크 서비스도입증가 2016 년글로벌직원의 50% 이상이회사업무처리에개인모바일기기이용예상 ( 가트너, 2013) 개방적환경의기업모바일오피스서비스이용환경에서새로운보안위협발생 [ 사용자계정정보및기기관리소홀을통한보안위협 ] - 공격자는유출된직원계정및빈번한변경, 임대, 분실등의경로로사용자인증정보가저장된기기를도용하여기업정보유출시도 - 내부또는협력업체직원이악의적인목적으로모바일오피스에접속하여기업내부정보를무분별하게조회 수집하여유출시도 본기술은기업모바일오피스를이용하는사용자의접속및이용행위를분석하여비정상행위를판별하는기술임 - 비정상행위판별을위해사용자의네트워크트래픽을수집하여분석및관리 - 사용자의과거행위정보와현재발생한행위와의유사도를분석하여비정상행위를판별하고관리자에게정보를제공 78

79 모바일기기의웹서비스접속및이용행위분석기술 기술의차별성 (As-Is) 기존방화벽 IDS IPS 등알려진공격패턴을탐지하는기술 - [ 한계점 ] 정상사용자의계정, 기기를도용한공격자의접속판단불가 (As-Is) 사용자인증기반네트워크접속제어시스템 (NAC) - [ 한계점 ] 내부네트워크접속이후발생하는사용자의비정상행위판단불가 (To-Be) 업무서비스이용에대한모든사용자의행위를분석및관리 - [ 차별성 ] 정상사용자의계정 / 기기를도용하거나, 악의적인의도를품은정상사용자의비정상적인서비스이용행위탐지 (To-Be) 과거접속상황과의유사성, 업무서비스이용행위패턴분석 - 패턴화된행위비교기술을활용한 6가지이상행위패턴심층분석이상이용행위패턴발생예비정상동시접속 A기기의사내접속중, B기기를이용한해외접속상황 KISA 한국인터넷진흥원 보안정책위반 보안취약점이노출된안드로이드특정버전의기기접근 기기도용 분실 / 도난된사용자의기기를이용한공격자의접근 비정상경로정보접근 악성코드감염기기를통한중요정보의직접적인접근 비정상반복이용 특정게시판, 검색서비스를반복적으로과다하게이용 악의적내부자이용 정상적으로인증받은사용자의내부기밀자료접속및유출 [ 이상이용패턴및발생예 ] 기술의활용분야 기업내부웹사이트정보보안을위한비정상행위탐지기술로활용 - 적용대상 : 내부웹사이트 ( 모바일오피스등 ) 운영기업및기관등 - 활용방안 : 보안관리자의경우, 사용자의모바일오피스이용패턴을기반으로제3자등으로인한악의적정보유출등이상행위를사전인지 79

80 K-Global, 시큐리티스타트업설명회기술소개자료집 36 사용자 / 기기내부네트워크경량접근제어기술 기술소개 본기술은기업내에서사용자별보안정책연동을통해네트워크제어기능을수행하는기술임 [IP/SessionID 기반사용자기기내부네트워크접근제어 ] - 사용자 / 기기의회사업무망접근허용여부를동적으로관리하며, 연동된통제정책에따라 사용자를실시간으로제어 - 사용자접근시 IP 와 Session ID 를기준으로해당사용자의통제정책을조회하여통제수행 기술의차별성 (As-Is) 기존네트워크접근제어 (NAC) 및기기제어 (MDM) 기술 - [ 한계점 ] 기기제어를위해별도의소프트웨어설치가필요하며, 미설치시외부네트워크에서의 내부접속사용자에대한제어한계존재 (To-Be) Agent-less 기반네트워크트래픽접근제어 - 별도의 Agent 설치없이트래픽제어만으로사용자제어수행 (To-Be) Session ID 관리를통한외부사용자제어 - IP 이외에 Session ID 를추가로관리함으로써외부사용자및공용 Wi-Fi 를통한접근시에도 정확한사용자식별및실시간제어수행 80

81 사용자 / 기기내부네트워크경량접근제어기술 (To-Be) 상황정보기반보안수준별동적제어 - 정적인규칙설정이아닌상황정보기반보안정책연동을통해동적인제어수행 - 사용자의단순차단이외에보안수준별로차등조치 제어수단 내용 기본인증 미인증사용자의내부네트워크접근시기본인증페이지로사용자제어 강화인증 추가인증이필요한사용자의경우 OTP 강화인증페이지로사용자제어 Agent 설치 Agent 설치가필요한사용자의경우 Agent 설치페이지로사용자제어차단 차단페이지로사용자제어 [ 보안수준별차등조치 ] 기술의활용분야 기업내부네트워크접근사용자 / 기기경량제어기술로활용 - 적용대상 : 모바일오피스활용기업및기관등 - 활용방안 : 보안관리자의경우, 통제정책설정및연동을통해모바일오피스접속사용자를보안수준별로차등제어조치가능 KISA 한국인터넷진흥원 IoT 환경에서게이트웨이와기기의통신을제어하는기술로활용 - 적용대상 : IoT 구축환경의상태관리 / 모니터링하는기업및기관등 - 활용방안 : 보안관리자에의해게이트웨이와비정상적인데이터를전송하는기기의통신을제어하는시스템으로활용 81

82 K-Global, 시큐리티스타트업설명회기술소개자료집 37 악성앱점검도구폰키퍼 (Phone Keeper) 기술소개 스마트폰의보안설정점검, 백신설치여부, 악성앱점검등을해주는스마트폰보안자가점검도구 [ 폰키퍼개요 ] 주요기능 ( 보안설정점검 ) 비밀번호, 출처를알수없는앱설치허용옵션등을점검후, 보안이취약한 항목에대하여조치방법제시 ( 악성앱점검 ) 스마트폰에설치된앱 (App) 중악성행위를하거나, 개인정보를저장하는앱을탐지 하여삭제 ( 앱권한점검 ) 앱고유의특성과다른기능을사용하는경우사용자가이를인지하고삭제할수 있도록지원 ( 앱분석요청 ) 스마트폰에설치된악성의심앱 (App) 을 KISA 에전달하여여러백신업체의온라인 백신진단결과를확인할수있도록지원 ( 보안공지 ) 실시간침해사고정보및대응방안에대한정보전달 82

83 악성앱점검도구폰키퍼 (Phone Keeper) 기술의차별성 ( 보안설정점검 ) 모바일악성코드에감염되지않도록패스워드설정, 백신설치실행등을안내하는 기능제공 ( 보안공지알림 ) 기존스마트폰백신과달리스미싱문자등각종보안공지에대한알림서비스 제공 KISA 한국인터넷진흥원 기술의활용분야 스마트폰보안상태점검도구로활용 - 적용대상 : 일반사용자, 공공기관 - 일반사용자 : 개인사용자의스마트폰보안점검및악성앱차단앱으로활용 - 공공기관 : BYOD, 스마트워크업무환경에서디바이스보안취약점점검도구로활용 83

84

85

86 K-Global, 시큐리티스타트업설명회기술소개자료집 38 LEA 암호알고리즘 기술소개 BIC(Big data, IoT, Cloud) 와같은신규 ICT 환경의등장에따라이에적합한암호기술이요구되고 있음 암호기술적용으로인한서비스가용성저하를최소화하기위해경량, 고속암호알고리즘이필요함 주요특징 - 128비트블록암호 LEA 기존블록암호 (AES, ARIA 등 ) 와동일규격 ( 블록길이 : 128비트, 키길이 : 128비트 /192비트/256비트) 고속연산이가능한 ARX 기반신규구조 한국정보통신기술협회 (TTA) 표준으로등록 (TTAK.KO , 2013) - 우수한안전성및효율성 [ 블록암호 LEA 핵심논리 ] 각종암호학적공격에대하여안전하며취약점이존재하지않음 LEA는다양한 SW 환경에서국제표준암호 AES 대비 1.5배 ~2배성능 [ 보급용 LEA 코드성능 ] 기술의차별성 ARX( 덧셈, 비트순환, Xor) 기반신규구조 AES, ARIA, SEED 등기존블록암호와기능은동일 우수한 LEA의성능은적용제품의성능으로직결 他암호알고리즘적용제품대비성능우위 86

87 LEA 암호알고리즘 기술의활용분야 금융, 클라우드, 빅데이터분야등고속암호화분야에활용 - 클라우드 / 빅데이터서비스보안을위한암호기능개발에활용 - 금융데이터배치작업 ( 암복호화 ) 등대용량데이터의단시간내처리가필요한분야에적용 ( 금융 DB 보안솔루션개발 ) - 디스크암호화등저장데이터실시간암복호화솔루션개발에활용 모바일기기등저전력암호화처리필요분야에활용 - 암호사용으로인한배터리소모최소화가필요한분야 - 모바일기기에서저장데이터보호및 mvoip 등전송데이터보호를위한앱개발에활용 - 스마트그리드보안제품개발에활용 ( 소형스마트미터탑재등 ) 국가ㆍ공공분야적용을위한암호제품개발에활용 - LEA는암호모듈검증제도신규검증대상으로포함됨 ( ) - 국가ㆍ공공분야보안시장에서기존검증대상암호알고리즘 (SEED, ARIA 등 ) 이적용된암호모듈및암호제품대체 NSR 국가보안기술연구소 [ 암호모듈검증제도 ] 암호모듈검증제도 (KCMVP) 국내국가ㆍ공공분야에암호모듈을적용하기위해서는암호모듈검증제도의검증을받아야 하며, 검증제도보호함수목록에포함된암호알고리즘을구현해야함 87

88 K-Global, 시큐리티스타트업설명회기술소개자료집 39 고속해시함수 LSH 기술소개 암호학적해시함수 (Cryptographic Hash Function) - 디지털데이터의고유값을생성하는암호알고리즘으로서디지털핑거프린터등으로불림 - 데이터의변조유무를확인할수있는기능 ( 무결성 ) 을제공함 - 이외에전자서명, 키공유, 난수발생기등다양한암호학적응용에사용됨 - 주요해시함수로는외국에서개발된 MD-4, MD-5, SHA-1, SHA-2, SHA-3 등이있음 2000년대중반 MD4, MD5, SHA1에대한취약성이알려진후해시함수국제공모사업을통해 SHA3가선정되었음 고속해시함수 LSH 년에개발된 ARX( 덧셈, 비트순환, XOR) 논리기반해시함수 - Wide-pipe Merkle Damgaard 구조 - 우수한안전성및효율성 충돌쌍공격, 역상공격등모든해시함수공격에대하여안전 SW 환경에서국제표준 (SHA-2/3) 대비 2배이상성능 [ 해시함수 LSH 핵심논리 ] 88

89 고속해시함수 LSH [ 국제표준 (SHA-2/3) 과 LSH 의성능비교 ] 기술의차별성 ARX( 덧셈, 비트순환, Xor) 기반신규구조 SHA-2, SHA-3 등기존해시함수와기능은동일 우수한 LSH 의성능은적용제품의성능으로직결 他암호알고리즘적용제품대비성능우위 기술의활용분야 금융, 클라우드, 빅데이터분야등의분야에서대용량데이터의무결성검증에활용 실시간서비스에서데이터무결성검증에활용 - 화상회의등암호학적보호가필요한대용량멀티미디어데이터의스트리밍서비스등 모바일앱무결성의효율적검증 - 앱의배포, 설치, 구동시위변조여부확인 NSR 국가보안기술연구소 해시함수기반인증기술및서비스에활용 - 타임스탬핑서비스, Merkle-tree, 일회용전자서명등 암호제품에서사용자인증, 전자서명, 키유도함수, 난수발생기등의구현에활용 89

90 K-Global, 시큐리티스타트업설명회기술소개자료집 40 형태보존암호 FEA 기술소개 형태보존암호 - 개인정보보호법시행등으로인해 DB 암호화의중요성이커졌으며, 특히주민등록번호, 신용카드번호등의암호화가주요이슈로되두됨 - DB 암호화에기존암호기술을적용할경우데이터의형이변하거나길이가증가하여 DB 스키마변경필요 * DB 스키마 : DB의구조와제약조건에관한전반적인명세를담고있는정보 - 형태보존암호는데이터의형과길이를보존하는암호화방식으로서 DB 스키마의변경없이암호화를적용할수있음 * 형태보존암호는주민등록번호, 신용카드번호등형태가정해진데이터의암호화에적합 [ 형태보존암호의필요성 ] 형태보존암호 FEA - 비트열, 정수열, ASCII 코드등에대하여형태와길이를보존하는암호화방식 ( 비트열 비트열, 정수열 정수열, ASCII 코드 ASCII 코드등 ) - 우수한안전성및효율성 각종암호학적공격에대하여안전하며취약점이존재하지않음 미국특허방식 (FF1-AES) 대비 2배이상성능 - 국제학회논문발표 (ICISC 2014) - FEA 고속구현기술에대한유상기술이전예정 (2015년하반기 ) 90

91 형태보존암호 FEA [ 형태보존암호 FEA 성능 ] 기술의차별성 가변길이블록암호기반전용형태보존암호 FEA - 가변길이 (8 비트 ~128 비트 ) 처리블록암호설계, cycle-walking 기법적용 * 미국특허방식 (FF1-AES) 은블록암호 AES 의운영모드형태임 성능우수성 - FF1을 AES-NI( 하드웨어가속기 ) 를이용하여구현한경우에대해서도 FEA가성능우위기술의활용분야 주민등록번호, 신용카드번호등개인정보암호화에활용 - 금용, 보험, 의료등개인정보관련분야의 DB 암호화에활용 - DB 스키마변경없이암호화를적용할수있어, 암호화로인한비용절감 NSR 국가보안기술연구소 스키마변경이어려운 DB 시스템의암호화에적용 - SAP 와같은 DB 시스템은내부구조가비공개이므로변경이불가 * SAP: 독일 SAP AG 社에서개발한 ERP 시스템으로 IBM, Microsoft 등많은국내외기업에서사용중임 91

92 K-Global, 시큐리티스타트업설명회기술소개자료집 41 난독화된악성웹페이지탐지기술 기술소개 웹페이지내난독화된스크립트에숨겨진위험패턴 ( 시그니처 ) 을식별하여악성코드를유포하는웹페이지를탐지하는기술 - 악성스크립트는백신프로그램의탐지우회를위해다양한난독화기술을사용하고있음 - 악성웹페이지방문시, 악성코드배포지서버로이동전이상패턴을탐지하여악성코드설치를사전에차단 주요특징 - 웹페이지의소스코드에난독화된코드를탐지하는모듈과이를해석하여악성코드를탐지하는모듈로구성 - 웹브라우저응용프로그램의스크립트실행기능을활용하여스크립트의난독화된방식에상관없이숨겨진위험패턴 ( 시그니처 ) 식별 - 악성코드가실행되기전에웹페이지악성코드여부를탐지 92

93 난독화기반악성코드유포탐지기술 기술의차별성 웹브라우저의스크립트실행기능을활용하여동적분석함으로써새로운방식의난독화방식의존성 탈피 정보보호제품회피를위한악의적난독화사용유무판단가능 악의적난독화사용유무판단을통해악성코드를유포하는웹사이트식별가능 기술의활용분야 상용백신응용프로그램에서탐지하지못하는웹페이지내의악성스크립트탐지로백신의기능 확장에활용가능 악성코드를유포하는웹사이트식별기술에활용가능 웹브라우저의플러그인형태로보안기능확장에활용가능 NSR 국가보안기술연구소 93

94 K-Global, 시큐리티스타트업설명회기술소개자료집 42 모바일애플리케이션의보안성검증을위한이벤트발현기술 기술소개 PC 기반공격들이스마트기기로확대되면서모바일애플리케이션을위 변조하여정상 애플리케이션으로위장후, 사용자들이애플리케이션을설치하도록유도하여공격하는사례들이 급격히증가함 모바일애플리케이션의보안성검증을위하여자동행위분석기술이주로사용되고있으나 악성앱은행위검증기간동안악성행위를은닉하여정상앱으로위장 모바일애플리케이션의보안성검증을위해서행위분석시간내에은닉된행위를발현하여 악성행위여부를확인할수있어야함 구성도및주요특징 - ( 테스터애플리케이션제작부 ) 테스트대상애플리케이션으로부터추출되는애플리케이션정보를토대로테스터애플리케이션을제작 - ( 테스터애플리케이션실행부 ) 추출한애플리케이션정보를이용하여앱을시작하는이벤트를발현시키고설정한테스트시간을토대로사용자뷰객체를실행 - ( 테스터애플리케이션데몬실행부 ) 추출된사용자뷰객체를토대로터치이벤트생성및화면전환을수행 94

95 모바일애플리케이션의보안성검증을위한이벤트발현기술 기술의차별성 역공학관점에서의 GUI 테스트가능 - 기존 GUI 발현기술은이미기본동작시나리오를제공받거나습득한상태에서테스트를수행 - 본기술은앱을역공학관점에서자동으로발현시나리오를구성함 은닉된행위의강제발현으로행위기반검증의신뢰도향상 - 제한된시간내에검증을수행해야하는행위기반분석의신뢰도를높이기위해서는시간내에악성행위가발현되어야함 - 모바일애플리케이션에내포된이벤트를자동으로발현하여악성행위를신속하고정확하게탐지할수있음 기술의활용분야 ( 검찰, 경찰 ) 모바일범죄수사 - 활용처 : 경찰청사이버안전국, 법률사무소등에서모바일범죄피해사실및증거수집 ( 정보보호업체 ) 악성앱분석 - 활용처 : 국내외모바일백신사 ( 안랩, 카스퍼스키랩, 알약등 ) 및모바일관제를수행하는기관및기업에서알려지지않은악성앱상세분석을통한대응책마련 ( 국가 공공기관 ) 대국민배포앱에대한안전성분석 - 활용처 : 다음기관및기업에서본분석도구를이용해취약점발굴 국가 공공기관 이통사등국민및국내주요인사를대상으로앱을배포하거나업데이트를수행하는기관 은행및인터넷결제사업자등모바일금융거래서비스제공자 NSR 국가보안기술연구소 95

96 K-Global, 시큐리티스타트업설명회기술소개자료집 43 파일에삽입된악성코드제거기술 기술소개 이메일에악성문서파일을첨부하여 APT 공격에활용하는사례가증가하고있음 시그니쳐기반탐지는신종 / 변종악성코드에대한미탐지한계점을가지고있으며이를해결하기 위한기술개발필요 주요특징 - Document Rewriting 기술 문서편집기에서열기후새로저장을수행하면화면에보이는내용만저장되는특성을이용하여, 문서악성코드가삽입된경우악성코드가제거되고화면에보이는내용만저장 특허 : 파일에삽입된악성코드제거장치및방법 ( 국내 , 국제 US ) [ Document Rewriting 기술로악성코드제거 ] - 자원접근모니터링기술 실행파일, 매크로포함문서, 3rd 파티제품삽입문서의악성코드탐지를위해자원접근 모니터링기술 96