[이찬우 강사] Korea it information security academy dongyang mirae university job ...
2017 BoB 3rd BISC conference
1. 데이터분석 기술 중심의 시대,
무엇을 준비해야 하는가?
고려대학교 정보보호대학원, 사이버국방학과
김휘강
cenda@korea.ac.kr
2. About me
약력
• 2015.03 ~ 현재 고려대학교 정보보호대학원, 사이버국방학과 부교수
• 2010.03 ~ 2015.02 고려대학교 정보보호대학원, 사이버국방학과 조교수
• 2004.05 ~ 2010.02 엔씨소프트, 정보보안실 실장/Technical Director
• 1999.08 ~ 2004.05 에이쓰리시큐리티컨설팅 (현 에이쓰리시큐리티) 창업자
• 2000.03 ~ 2009.02 KAIST 산업 및 시스템공학과 박사
• 1998.03 ~ 2000.02 KAIST 산업공학과 석사
• 1994.03 ~ 1998.02 KAIST 산업경영학과 학사
주요 연구 실적
• International Conferences: NDSS 2016, WWW (2014, 2017), MILCOM 2016, ACM
NetGames (2013, 2014, 2015, 2017), IEEE VizSec (2017)
• International Journals: IEEE Trans. On Information Forensics and Security (2017),
Computer & Security (2016), Digital Investigation (2015)
김휘강 교수
3. 들어가기에 앞서
• “학생 vs 회사내 보안담당자
vs 보안회사종사자 – Now
it’s your call”
• https://www.slideshare.net
/sakai76/seminar-16284072
• “버그를 마시자” (2010)
• 2010 vs. 2017
• Negative -> positive
• BoB 의 역할 그리고 성과
8. Irreplaceable (a. 대체 불가능한)
• 아니요… 난이도와 시간의 문제일 뿐입니다.
• 그간 많은 업무들이 자동화 되어 가고 있습니다.
• 이건 다 뭐죠? 소위 우리가 보안 솔루션이라고 부르는 제품들은?
• Firewall, Log Analyzer, …
• IDS, IPS, …
• Port Scanner, Vulnerability Scanner, Web Scanner, …
• AntiVirus, …
9. Irreplaceable (a. 대체 불가능한)
• 30년전 port scanner 가 나오기 전에는 어떻게 원격 서버 해킹을 했었을까
요?
• 한땀한땀 telnet remotehost 80
• 25년전 IDS 가 나오기 전에는 어떻게 침입을 탐지했을까요?
• Firewall 로그분석
• 서버 로그분석
• 수상한 계정이 생겼는지 등등 일일점검리스트 작업
• “차라리 누가 LAN cable을 내 머리에 꼽아주면 좋겠어”
10. replaceable (a. 대체 가능한)
• 인공지능의 시대
• 고부가가치 job != irreplaceable job
• 의사, 판사 역시 근 미래에 대체될 가능성
• 우리는 대체 불가능한가?
11. Lessons learned from the DARPA
CGC
• Now is the dawn of the automated security
• Automated Vulnerability Analysis
• Automated Attack & Defense
12. 자동공격, 자동방어를 하려면
• AI? (Not really…)
• 취약점 enumeration 기술
• Smart Fuzzing (Software Vulnerability
Discovery)
• Local, remote
• 찾아진 정보를 통한 의사결정 기술
• Attack Graph
• 확률, Hidden Marcov Model, …
13. Irreplaceable, again
• 그럼에도 불구하고 대체 불가능한 취약점 점검 기법은 뭐지?
• 그럼에도 불구하고 대체 불가능한 바이너리 분석 기법은 뭐지?
• 그럼에도 불구하고 대체 불가능한 모의해킹 영역은 뭐지?
18. 지피지기, again
• 모든 것이 쉽게 자동학습이 가능할 것인가?
Data + Rule (Knowledge)
+ Labeling
19. 보안 기술 외에 갖춰야 할 지식
• 소위 Data Science 와 관련된 분야
• Data Mining, Machine Learning
• 이를 배우기 위해
• 통계, 확률, 선형대수, 벡터 미적분 …(도 알아두면 당연히 도움됩니다.)
20. Quick Path
• 하지만 미적분 문제 하나 풀겠다고 구구단부터 시작할 여력이 없다면…
• Coursera (https://www.coursera.org)
• Python (Numpy)
• http://aikorea.org/cs231n/python-numpy-tutorial/
• R? WEKA? SAS? SPSS? MATLAB? OCTAVE?
• 뭐가 되었든 하나만 제대로 하면 됨
21. 하고 싶은 이야기: 새로운 security 영역 찾기
• “보안이라는 좁은 영토” 내에서 “사람 vs AI” 의 구도로 싸울 필요 없
이 영토를 늘려 나가기
• Machine Learning Adversarial Machine Learning 모델을 이용하여
Machine Learning 자체의 결함 점검
23. 새로운 security 영역 찾기
• Adversarial machine learning
에 기반한 공격은 가장 위험한
공격 수단이 될 것
• Black box 를 black box 로 공격하
는 셈
• https://blog.openai.com/adversa
rial-example-research/
25. 근 미래에 Data Driven 기술이 강하게 접목될 분야
#1
• Malware analysis
• 하루에 55,000 여개 이상의 신종/변종 악성
코드 발생
• 자동화가 반드시 필요한 분야
• 기계학습의 지원이 빛을 발할 수 있는 분야
• IDS/IPS
• 자동 분류, 자동 탐지
• Pattern (signature) 자동관리
26. 근 미래에 Data Driven 기술이 강하게 접목될 분야
#2
• 해커 profiling, APT group 추적, CTI (Cyber Threat Intelligence) 분야
26
27. 근 미래에 Data Driven 기술이 강하게 접목될 분야
#2
다양한 나라를 공격했지만 특히 메시지로 남긴
8개국의 해킹횟수가 훨씬 두드러지게 많았다.
포르투칼어로 되어있었고, 구글 번역기로 확인한 결과
“가난한 나라를 방치하는 8개의 부자 국가들은
사라져야” 한다 라는 내용이었다.
29. 근 미래에 Data Driven 기술이 강하게 접목될 분야
#2
• Hackers.org dataset analysis
30. ID : In4matics
E-Mail :
In4matics@hotmail.com
관심사 : XSS, SQL Injection
URL, E-mail Input
Cyber
Genome
Human
Centric
Artifact
Centric
Case
Centric
Artifact
Centric
Human
Centric
Case
Centric
The Most Similar Case
ID : Ryan
Case Date : 2001/08/18
Domain :
www.zftec.gov.cn
Country : China
OS : Windows
Encoding : utf-8
Mirror Page E-Mail :
RyanM@linuxmail.org
E-Mail :
In4matics@hotmail.com
CTI example (data-driven)
31. 근 미래에 Data Driven 기술이 강하게 접목될 분야
#3
• 금융/FDS 분야
• 부정결제 탐지
33. CTF, vulnerability discovery 외에도…
• Offensive security 는 중요하나, 그것만이 전부는 아님
• 일상 생활을 영위할 탄수화물, 단백질과 같은 영양소가 필요
• 비타민만 먹고 살 수는 없음
• 내 분야에서 나는 지속가능한 성장을 할 수 있는가?
• 50살에 offensive security 분야 프리랜서로 산다고 할 때, 취약점을 몇달
연속 못찾으면… 무슨 일이 벌어질까요?
• 아빠 원숭이, 엄마 원숭이, 애기 원숭이
• 가정의 행복
34. Day by Day, in every way, getting better and
better
• 저의 학부 시절 성적 -_-
• 하지만 어제보다 오늘의 나는 1cm 라도 전진해 있으면 됨
• 우리는 120살까지 살것임
• 꾸준하기만 하면 언젠가 winner 가 됨
35. 도전해 보세요
• Data Analysis Challenge!
• challenge.cisc.or.kr
• 데이터 분석 중심의 대회
• 모바일 악성앱 데이터셋
• 차량 공격 데이터셋
Case #2 : S4t4n1c_S0uls, S3lf, Steel Edge등의 아이디를 가진 해커들은 미국, 일본, 독일, 프랑스, 영국, 이탈리아, 캐나다, 러시아의 8개국의 나라에 속한 홈페이지들을 해킹하고 반국가적인 메시지를 남겼었다.
해킹 관련 커뮤니티 게시물을 통하여 해커들의 공격 성향과 해커들의 네트워크 관계 파악
HackerSchoolData crawling 개수 : 65000여개
BugTruckData crawling 개수 : 1300여개
BugTraq Data crawling 개수 : 35000여개
Artifact => Human => Case 의 시나리오 예제입니다.
악성코드 샘플이 Artifact Module로 Input으로 들어가면 해당 악성코드의 정보(악성코드 Meta Data, 분류 등)를 Human Module로 보냅니다.
Human 모듈은 Input으로 받은 악성코드 Meta Data의 컴파일러, Packer, String, 분류 등의 정보를 이용하여 관련 유저를 검색해 내어 Case Module로 보냅니다.
Case 모듈은 Input으로 받은 관련 유저 정보를 이용하여, 해당 유저와 유사한 프로필을 가진 해커가 해킹했던 기록을 조회하여 보여줍니다.