Search

KR-20260060567-A - APPARATUS FOR PROCESSING CYBER THREAT INFORMATION, METHOD FOR PROCESSING CYBER THREAT INFORMATION, AND MEDIUM FOR STORING A PROGRAM PROCESSING CYBER THREAT INFORMATION

KR20260060567AKR 20260060567 AKR20260060567 AKR 20260060567AKR-20260060567-A

Abstract

개시하는 일 실시 예는, 사이버 위협에 대한 위협 판단 엔티티값을 획득하는 단계; 상기 위협 판단 엔티티값에 기반하여 사이버 위협 분석을 수행하는 단계; 및 상기 사이버 위협 분석의 결과에 따른 위협 대응 정보를 제공하는 단계;를 포함하는, 사이버 위협 정보 처리 방법을 제공한다.

Inventors

  • 김기홍

Assignees

  • 주식회사 샌즈랩

Dates

Publication Date
20260506
Application Date
20241025

Claims (9)

  1. 사이버 위협에 대한 위협 판단 엔티티값을 획득하는 단계; 상기 위협 판단 엔티티값에 기반하여 사이버 위협 분석을 수행하는 단계; 및 상기 사이버 위협 분석의 결과에 따른 위협 대응 정보를 제공하는 단계; 를 포함하는, 사이버 위협 정보 처리 방법.
  2. 제 1 항에 있어서, 상기 획득하는 단계는, 상기 사이버 위협에 대한 사이버 위협 알람이 발생되는 경우, 상기 사이버 위협 알람에 대한 인시던트(incident)를 획득하는 단계; 및 상기 인시던트와 관련된 상기 위협 판단 엔티티값 획득하는 단계; 를 포함하는, 사이버 위협 정보 처리 방법.
  3. 제 1 항에 있어서, 상기 수행하는 단계는, 상기 위협 판단 엔티티값을 이용하여 외부 사이버 위협 평가 시스템의 위협 평가 정보를 획득하는 단계; 및 상기 위협 평가 정보에 기반하여 상기 사이버 위협 분석을 수행하는 단계; 를 포함하는, 사이버 위협 정보 처리 방법.
  4. 제 1 항에 있어서, 상기 제공하는 단계는, 상기 사이버 위협 분석의 결과에 따라, 상기 사이버 위협에 대한 인시던트에 대응하는 위협 조치 코멘트를 포함하는 위협 대응 정보를 제공하는 단계; 를 포함하는, 사이버 위협 정보 처리 방법.
  5. 데이터를 저장하는 데이터 베이스; 및 상기 데이터를 처리하는 프로세서를 포함하고, 상기 프로세서는, 사이버 위협에 대한 위협 판단 엔티티값을 획득하고, 상기 위협 판단 엔티티값에 기반하여 사이버 위협 분석을 수행하고, 상기 사이버 위협 분석의 결과에 따른 위협 대응 정보를 제공하는, 사이버 위협 정보 처리 장치.
  6. 제 5 항에 있어서, 상기 프로세서는, 상기 사이버 위협에 대한 사이버 위협 알람이 발생되는 경우, 상기 사이버 위협 알람에 대한 인시던트(incident)를 획득하고, 상기 인시던트와 관련된 상기 위협 판단 엔티티값 획득하는, 사이버 위협 정보 처리 장치.
  7. 제 5 항에 있어서, 상기 프로세서는, 상기 위협 판단 엔티티값을 이용하여 외부 사이버 위협 평가 시스템의 위협 평가 정보를 획득하고, 상기 위협 평가 정보에 기반하여 상기 사이버 위협 분석을 수행하는, 사이버 위협 정보 처리 장치.
  8. 제 5 항에 있어서, 상기 프로세서는, 상기 사이버 위협 분석의 결과에 따라, 상기 사이버 위협에 대한 인시던트에 대응하는 위협 조치 코멘트를 포함하는 위협 대응 정보를 제공하는, 사이버 위협 정보 처리 장치.
  9. 사이버 위협에 대한 위협 판단 엔티티값을 획득하고, 상기 위협 판단 엔티티값에 기반하여 사이버 위협 분석을 수행하고, 상기 사이버 위협 분석의 결과에 따른 위협 대응 정보를 제공하는, 사이버 위협 정보 처리하는 프로그램을 저장하는 저장 매체.

Description

사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체{APPARATUS FOR PROCESSING CYBER THREAT INFORMATION, METHOD FOR PROCESSING CYBER THREAT INFORMATION, AND MEDIUM FOR STORING A PROGRAM PROCESSING CYBER THREAT INFORMATION} 개시하는 실시 예들은 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체에 관한 것이다. 신종 또는 변종 등의 악성코드를 중심으로 점차 고도화 되고 있는 사이버 보안 위협의 피해가 커지고 있다. 이러한 피해를 조금이라도 줄이고 조기에 대응하기 위해서 다차원의 패턴 구성 및 각종 복합 분석 등을 통해서 대응 기술에 대한 고도화를 병행해 나가고 있다. 지금까지 기업들은 기업 보안을 위해서 Virtual Private Network(VPN), 방화벽, Intrusion Detection System (IDS)/Intrusion Prevention System(IPS)과 같은 기술을 통해 기업 내부-외부간 트래픽에 대해서 탐지하고 차단하는 경계 기반 보안에 집중해왔다. 하지만 기술의 복잡성 및 공격의 다양성, 공격 대상 접점의 증가로 보안 대책에 어려움을 겪고 있다. 네트워크 기반의 트래픽을 통한 사이버 위협에 대응하기 위해 네트워크 레이어나 트랜스포트 레이어 기반의 트래픽 분석은 위협 정보를 포괄적이고 가시적으로 분석할 수 없는 문제점이 있었다. 따라서, 네트워크 기반의 트래픽을 통한 사이버 위협의 탐지는 정보기술(information technology, IT) 자산만을 대상으로 하고 운영기술(operation technology, OT) 자산이나 internet of things (IoT) 기기의 위협은 탐지하거나 식별하지 못하는 문제점이 있었다. 네트워크 기반의 트래픽을 통한 사이버 위협에 대해 단편적인 분석이고 침해사고 이후의 분석만 가능한 경우가 대부분이며 많은 네트워크 트래픽을 실시간으로 분석하고 사이버 위협에 대응하기 어려운 문제점이 있었다. 또한 사이버 위협 정보에 따른 악성 행위는 여러 가지 통일되지 않는 기법이나 전문가가 아니면 정확하게 기술할 수 없는 정보로 분석되어 그 메카니즘과 분석 근거를 쉽게 이해할 수 없었다. 도 1은 실시 예에 따른 사이버 위협 정보 처리 방법의 일 실시 예를 개시한 도면 도 2은 실시 예에 따른 사이버 위협 정보 처리 방법의 다른 일 실시 예를 개시한 도면 도 3은 실시 예에 따른 사이버 위협 정보 처리 장치의 실시 예들을 개시한 도면 도 4는 실시 예에 따른 사이버 위협 정보 처리 장치의 일 실시 예로서 제 1 CTI 장치를 예시한 도면 도 5는 실시 예에 따른 사이버 위협 정보 처리 장치들의 실시 예로서 제 1 CTI 장치와 제 2 CTI 장치가 연동하는 예를 개시한 도면 도 6는 실시 예에 따른 사이버 위협 정보 처리 장치들의 실시 예로서 제 1 CTI 장치와 제 2 CTI 장치가 연동하는 다른 예를 개시한 도면 도 7은 실시 예에 따른 사이버 위협 정보 처리 장치의 일 실시 예들을 개시한 도면 도 8은 실시 예에 따른 네트워크 트래픽 수집 기반의 능동형 ASM 수행의 실시 예를 개시한 도면 도 9는 실시 예에 따른 ASM 기술로 식별된 취약점 내용 및 조치 제공의 실시 예를 개시한 도면 도 10는 실시 예에 따른 사이버 위협 정보 처리 방법의 일 실시 예를 개시한 도면 도 11은 실시 예에 따른 사이버 위협 정보 처리 정치의 다른 실시 예를 개시 도면 도 12는 실시 예에 따른 취약점 정보에 기반한 티켓 발행의 실시 예를 개시한 도면 도 13은 실시 예에 따른 사이버 위협 정보 처리 방법의 일 실시 예를 개시한 도면 도 14는 실시 예에 따른 사이버 위협 정보 처리 정치의 다른 실시 예를 개시한 도면 도 15는 실시 예에 따른 플레이북 기반의 사이버 위협 정보 처리의 실시 예를 개시한 도면 도 16은 실시 예에 따른 사이버 위협 정보 처리 방법의 실시 예를 설명하는 순서도를 개시한 도면 이하에서는 첨부한 도면을 참조하여 실시 예를 예시하여 상세히 기술하도록 한다. 실시 예에서 엔진이나 여러 가지 분석 툴(tool), 모듈 등은 물리 장치, 그 물리 장치와 결합된 장치 또는 소프트웨어로 구현할 수도 있다. 실시 예가 소프트웨어로 구현될 경우 컴퓨터로 실행 가능한 비휘발성 저장매체에 저장되고 컴퓨터 등에 설치되어 프로세서에 의해 실행될 수 있다. 사이버 위협 정보 처리 장치 및 사이버 위협 정보 처리 방법의 실시 예들을 상세히 개시하면 다음과 같다. 2개 이상의 기기들의 유무선 네트워크 통신에 있어서, 서로 다른 네트워크 레벨의 여러 가지 종류의 사이버 위협 정보는 상기 기기들에 동시에 또는 시간 차이를 두고 복합적인 이상 행위들을 유발시킬 수 있다. 이러한 복합적인 사이버 위협 및 이상 행위들은 이하에서는 사이버 위협 캠페인이라고 호칭한다. 개시하는 실시 예에서 2개 이상의 서로 다른 종류의 사이버 위협 정보 처리 장치들을 포함할 수 있다. 따라서 실시 예에서는 편의상 N개의 사이버 위협 정보 처리 장치들을 제 N의 사이버 위협 인텔리전스 (cyber threat intelligence, CTI) 장치로 호칭한다. 개시하는 실시 예는 네트워크 통신에 포함되는 사이버 위협 정보를 탐지 및 분석하고 이를 기반으로, 기기간 협력을 통해 더욱 상세히 사이버 위협 정보를 분석하거나 분석된 결과를 사용자에게 매우 쉽게 설명하거나 대응 또는 예측하도록 할 수 있다. 이하의 실시 예의 CTI 장치는 유무선 통신 네트워크가 연결되는 물리적 장치로 구현될 수 있으며, 인공 위성 또는 우주 비행체 등의 네트워크와 연결된 장치에서 동일한 특징과 원리에 따라 구현될 수 있다. 또한 네트워크 블랙박스나 카메라 기기처럼 소형의 저장 장치를 갖추고 네트워크와 연결된 바로 연결된 장치일 수도 있다. 도 1은 실시 예에 따른 사이버 위협 정보 처리 방법의 일 실시 예를 개시한다. 개시한 사이버 위협 정보 처리 방법의 일 실시 예는 통신 네트워크 트래픽 기반의 데이터를 수집, 분석, 탐지하고, 그 결과로부터 사이버 위협 정보를 관리하고, 사이버 위협에 대응할 수 있다. 이 실시 예에서 제 1 CTI 장치는 클라이언트 시스템에 포함되어 네트워크 통신 상의 사이버 위협 정보를 탐지 및 분석하는 장치라고 가정하고, 제 2 CTI 장치는 컴퓨팅 서버와 사이버 위협 정보가 분석된 데이터베이스를 기반으로 플랫폼 기반의 서비스를 제공하는 장치를 예시한다. 클라이언트 시스템 내의 제 1 CTI 장치가, 네트워크 트래픽에 포함된 프로토콜에 따른 데이터나 또는 애플리케이션 데이터를 분석한다(S110). 제 1 CTI 장치는 네트워크 트래픽을 수집하고 OSI 계층에 따른 계층별 데이터들을 분류하고 프로토콜 또는 애플리케이션에 따라 사이버 위협 정보가 있는지 분석할 수 있다. 제 1 CTI 장치가, 상기 분석된 데이터에 관련된 사이버 위협 정보에 대한 질의 요청을 제 2 CTI 장치에 전달한다(S120). 제 1 CTI 장치는 위와 같이 1차적으로 분석한 사이버 위협 정보에 대해 제 2 CTI 장치에 질의 요청을 하여 추가적으로 상세한 사이버 위협 정보를 얻을 수 있다. 제 2 CTI 장치는 제 1 CTI 장치가 분석한 질의 요청에 따른 사이버 위협 정보를 추가로 분석하거나, 분석된 사이버 위협 정보에 대해 인공지능 자연어 처리에 따른 설명 정보를 생성할 수 있다. 클라이언트 시스템이, 제 2 CTI 장치로부터, 상기 질의 요청에 따른 사이버 위협 정보에 대한 추가 분석 결과와 설명 정보를 수신하고 이를 사용자에게 제공한다(S130). 클라이언트 시스템은, 제 1 CTI 장치가 분석하거나 또는 제 2 CTI 장치가 추가로 분석한 사이버 위협 정보에 대한 분석 결과와 설명 정보를 얻을 수 있다. 클라이언트 시스템이, 상기 수신된 사이버 위협 정보에 대한 추가 분석 결과 및 설명 정보를 사용자에 제공할 수 있다. 사용자에게 제공할 경우 클라이언트 시스템의 모니터링부 등을 통해 사용자가 이상 행위, 악성 행위, 공격 행위 등에 관련된 사이버 위협 정보를 제공할 수 있다. 클라이언트 시스템은 제 2 CTI 장치로부터 해당 사이버 위협 정보가 어떤 정보인지 상세한 분석 결과와 자연어 기반의 설명 정보를 얻을 수 있다. 그에 따라 사용자는 분석된 사이버 위협 정보에 대한 대응 또는 예방 조치를 수행할 수 있다. 이하에서 네트워크 트래픽을 수집하고 사이버 위협 정보를 분석하는 제 1 CTI 장치 및 제 2 CTI 장치에 대한 실시 예는 이하에서 상술한다. 도 2은 실시 예에 따른 사이버 위협 정보 처리 방법의 다른 일 실시 예를 개시한다. 제 2 CTI 장치가, 제 1 CTI 장치로부터 네트워크 트래픽에 포함된 데이터와 관련된 사이버 위협 정보에 대한 분석 요청 또는 질의 요청을 수신한다(S210). 여기서 제 2 CTI 장치는 CTI 정보에 대한 질의에 대해 자연어로 설명하고 그 설명의 근거를 제공하는 자연어모델이거나, 자연어모델을 포함할 수 있다. 상세한 자연어모델의 예는 이하에서 개시한다. 만약 제 2 CTI 장치가 이하에서 예시하는 자연어모델을 포함하는 데이터플랫폼인 경우, 제 2 CTI 장치는 API를 통해 클라이언트 시스템으로부터 또는 클라이언트 시스템에 포함된 제 1 CTI 장치로부터 사이버 위협 정보에 대한 분석 요청 또는 질의 요청을 수신할 수 있다. 제 1 CTI 장치는 네트워크 트래픽에서 직접 분석한 사이버 위협 정보에 대한 추가 분석 정보나 질의 요청을 전달할 수 있다. 제 2 CTI 장치가, 상기 분석 요청 또는 질의 요청에 따라 사이버 위협 정보에 대한 상세 분석 결과 및 설명 정보를 생성할 수 있다(S220). 제 2 CTI 장치는 분석 요청된 여러 가지 형식의 파일들을 바이너리 데이터로 변환하거나 특징 분석을 통해 사이버 위협 캠페인 등에 대한 공격 행위, 공격자 등을 분석할 수 있다. 제 2 CTI 장치는 분석된 데이터의 특성에 기반하여 AI(artificial intellige