데이터분석 기술 중심의 시대,

무엇을 준비해야 하는가?고려대학교 정보보호대학원, 사이버국방학과

김휘강

cenda@korea.ac.kr

About me

약력

• 2015.03 ~ 현재 고려대학교 정보보호대학원, 사이버국방학과 부교수

• 2010.03 ~ 2015.02 고려대학교 정보보호대학원, 사이버국방학과 조교수

• 2004.05 ~ 2010.02 엔씨소프트, 정보보안실 실장/Technical Director

• 1999.08 ~ 2004.05 에이쓰리시큐리티컨설팅 (현 에이쓰리시큐리티) 창업자

• 2000.03 ~ 2009.02 KAIST 산업 및 시스템공학과 박사

• 1998.03 ~ 2000.02 KAIST 산업공학과 석사

• 1994.03 ~ 1998.02 KAIST 산업경영학과 학사

주요 연구 실적

• International Conferences: NDSS 2016, WWW (2014, 2017), MILCOM 2016, ACM NetGames (2013, 2014, 2015, 2017), IEEE VizSec (2017)

• International Journals: IEEE Trans. On Information Forensics and Security (2017), Computer & Security (2016), Digital Investigation (2015)

김휘강 교수

들어가기에 앞서

• “학생 vs 회사내 보안담당자vs 보안회사종사자 – Now it’s your call”

• https://www.slideshare.net/sakai76/seminar-16284072

• “버그를 마시자” (2010)

• 2010 vs. 2017

• Negative -> positive

• BoB 의 역할 그리고 성과

들어가기에 앞서

• BoB

Security Job != Job Security

• 40대 그 이후, 50대 그 이후

• 당신이 만일 “간손미” 라면…

• 40살 – 조기은퇴? (강제?)

• 결국은 또 닭 이슈인가• 튀길 것인가• 배달할 것인가• 시켜 먹을 것인가

Irreplaceable (a. 대체 불가능한)

• 고부가가치 job • Irreplaceable!

• 생산성 여부와 관계없이 대체 불가능한 job, 난이도가 높은 job = irreplaceable job

• 저부가가치, 노동집약적 job • 기계(로봇), 자동화, 글로벌화에 의해 대체됨

• 우리(보안인)는 대체 불가능한가?

Irreplaceable (a. 대체 불가능한)

• 취약점 점검은 대체불가능한가?

• 바이너리 분석은 대체불가능한가?

• 모의해킹은 대체불가능한가?

Irreplaceable (a. 대체 불가능한)

• 아니요… 난이도와 시간의 문제일 뿐입니다.

• 그간 많은 업무들이 자동화 되어 가고 있습니다.

• 이건 다 뭐죠? 소위 우리가 보안 솔루션이라고 부르는 제품들은?

• Firewall, Log Analyzer, …

• IDS, IPS, …

• Port Scanner, Vulnerability Scanner, Web Scanner, …

• AntiVirus, …

Irreplaceable (a. 대체 불가능한)

• 30년전 port scanner 가 나오기 전에는 어떻게 원격 서버 해킹을 했었을까요?• 한땀한땀 telnet remotehost 80

• 25년전 IDS 가 나오기 전에는 어떻게 침입을 탐지했을까요?• Firewall 로그분석

• 서버 로그분석

• 수상한 계정이 생겼는지 등등 일일점검리스트 작업

• “차라리 누가 LAN cable을 내 머리에 꼽아주면 좋겠어”

replaceable (a. 대체 가능한)

• 인공지능의 시대

• 고부가가치 job != irreplaceable job

• 의사, 판사 역시 근 미래에 대체될 가능성

• 우리는 대체 불가능한가?

Lessons learned from the DARPA CGC

• Now is the dawn of the automated security • Automated Vulnerability Analysis

• Automated Attack & Defense

자동공격, 자동방어를 하려면

• AI? (Not really…)

• 취약점 enumeration 기술

• Smart Fuzzing (Software Vulnerability Discovery)

• Local, remote

• 찾아진 정보를 통한 의사결정 기술

• Attack Graph

• 확률, Hidden Marcov Model, …

Irreplaceable, again

• 그럼에도 불구하고 대체 불가능한 취약점 점검 기법은 뭐지?

• 그럼에도 불구하고 대체 불가능한 바이너리 분석 기법은 뭐지?

• 그럼에도 불구하고 대체 불가능한 모의해킹 영역은 뭐지?

지피지기

• 인공지능, 머신러닝은 무엇으로 지식을 습득하는가?• Learn by example

Data

Machine Learning (Vision/Pattern Recognition)

Deep Learning (AlphaGo, AlphaGo-Zero)

Deep Learning (AlphaGo, AlphaGo-Zero)

• Cyber-Punk 의 시대

•디스토피아

지피지기, again

• 모든 것이 쉽게 자동학습이 가능할 것인가?

Data + Rule (Knowledge) + Labeling

보안 기술 외에 갖춰야 할 지식

• 소위 Data Science 와 관련된 분야• Data Mining, Machine Learning

• 이를 배우기 위해• 통계, 확률, 선형대수, 벡터 미적분 …(도 알아두면 당연히 도움됩니다.)

Quick Path

• 하지만 미적분 문제 하나 풀겠다고 구구단부터 시작할 여력이 없다면…

• Coursera (https://www.coursera.org)

• Python (Numpy)• http://aikorea.org/cs231n/python-numpy-tutorial/

• R? WEKA? SAS? SPSS? MATLAB? OCTAVE? • 뭐가 되었든 하나만 제대로 하면 됨

하고 싶은 이야기: 새로운 security 영역 찾기

• “보안이라는 좁은 영토” 내에서 “사람 vs AI” 의 구도로 싸울 필요 없이 영토를 늘려 나가기

• Machine Learning Adversarial Machine Learning 모델을 이용하여Machine Learning 자체의 결함 점검

22

새로운 security 영역 찾기

• Adversarial machine learning 에 기반한 공격은 가장 위험한공격 수단이 될 것• Black box 를 black box 로 공격하는 셈

• https://blog.openai.com/adversarial-example-research/

Key paper

• https://arxiv.org/pdf/1602.02697.pdf

• “Practical Black-Box Attacks against Machine Learning”

근 미래에 Data Driven 기술이 강하게 접목될 분야#1

• Malware analysis

• 하루에 55,000 여개 이상의 신종/변종 악성코드 발생

• 자동화가 반드시 필요한 분야

• 기계학습의 지원이 빛을 발할 수 있는 분야

• IDS/IPS • 자동 분류, 자동 탐지

• Pattern (signature) 자동관리

근 미래에 Data Driven 기술이 강하게 접목될 분야#2

• 해커 profiling, APT group 추적, CTI (Cyber Threat Intelligence) 분야

26

근 미래에 Data Driven 기술이 강하게 접목될 분야#2

다양한 나라를 공격했지만 특히 메시지로 남긴

8개국의 해킹횟수가 훨씬 두드러지게 많았다.

포르투칼어로되어있었고, 구글번역기로확인한결과“가난한 나라를 방치하는 8개의 부자 국가들은

사라져야” 한다 라는 내용이었다.

ontology

web crawling

Database

A

B

C

D

<Hacker clustering>

<Hacker`s Network>

해커스쿨 65,000여개BugTruck 1,300여개BugTraq 35,000여개

CrawlerCrawling DB

clustering

근 미래에 Data Driven 기술이 강하게 접목될 분야#2

• Hackers.org dataset analysis

ID : In4matics E-Mail : In4matics@hotmail.com관심사 : XSS, SQL Injection

URL, E-mail Input

Cyber Genome

Human Centric

Artifact Centric

Case Centric

Artifact Centric

Human Centric

Case Centric

The Most Similar Case

ID : RyanCase Date : 2001/08/18Domain : www.zftec.gov.cnCountry : ChinaOS : WindowsEncoding : utf-8Mirror Page E-Mail : RyanM@linuxmail.org

E-Mail : In4matics@hotmail.com

CTI example (data-driven)

근 미래에 Data Driven 기술이 강하게 접목될 분야#3

• 금융/FDS 분야• 부정결제 탐지

맺으며

CTF, vulnerability discovery 외에도…

• Offensive security 는 중요하나, 그것만이 전부는 아님

• 일상 생활을 영위할 탄수화물, 단백질과 같은 영양소가 필요

• 비타민만 먹고 살 수는 없음

• 내 분야에서 나는 지속가능한 성장을 할 수 있는가?

• 50살에 offensive security 분야 프리랜서로 산다고 할 때, 취약점을 몇달연속 못찾으면… 무슨 일이 벌어질까요?• 아빠 원숭이, 엄마 원숭이, 애기 원숭이• 가정의 행복

Day by Day, in every way, getting better and better

• 저의 학부 시절 성적 -_-

• 하지만 어제보다 오늘의 나는 1cm 라도 전진해 있으면 됨

• 우리는 120살까지 살것임

• 꾸준하기만 하면 언젠가 winner 가 됨

도전해 보세요

• Data Analysis Challenge!

• challenge.cisc.or.kr

• 데이터 분석 중심의 대회

• 모바일 악성앱 데이터셋

• 차량 공격 데이터셋

여러분들의 건승을 빕니다!