컨테이너의 사용이 클라우드 환경에서 주류가 됨에 따라, 컨테이너를 대상으로 하는 다양한 보안 위협 또한 증가하고 있다. 그중 두드러진 악성 행위는 인스턴스 소유자의 동의 없이 암호화폐를 채굴하기 위해 자원을 탈취하는 크립토재킹(cryptojacking) 공격이다. 그러나 컨테이너화된 환경에서 이러한 이상 징후를 탐지하는 일은 컨테이너가 호스트 커널을 공유하므로, 상당한 오버헤드를 유발하지 않고서는 컨테이너 단위의 자원 사용과 이상 징후를 정확히 특정하기가 어렵다는 점에서 더 복잡하다. 이에 본 연구는 클라우드 네이티브 환경에서 악성 채굴 행위를 식별하기 위한 런타임 탐지 프레임워크를 제안한다. 확장 Berkeley Packet Filter(eBPF)를 기반으로 하는 런타임 보안 도구인 Tetragon을 활용하여 크립토재킹 컨테이너의 시스템 콜 추적과 플로우 수준 정보를 수집하고, 이를 통해 다양한 기계학습 모델을 학습하고 평가하기 위한 풍부한 특징 표현을 추출한다. 실험 결과, 본 프레임워크는 적정 수준의 런타임 모니터링 오버헤드 하에서 최대 99.75%의 분류 정확도를 제공한다.

IoT 솔루션 및 서비스 시장의 규모가 확산됨에 따라, IoT 장치를 활용하는 산업 분야 역시 다변화되고 있다. 그러나 IoT 장치의 확산은 종종 사용자 개인 정보 및 프라이버시와 맞물려 있으며, 그 결과 이러한 장치를 대상으로 하는 공격이 지속적으로 증가하는 양상을 보인다. 한편, 사전에 정의된 규칙 세트를 기반으로 하는 기존의 네트워크 수준 침입 탐지 시스템은 IoT 생태계의 이질적인 환경으로 인해 점차 효과가 저하되고 있다. 이러한 보안 문제를 해결하기 위해 연구자들은 ML 기반 네트워크 수준 침입 탐지 기법을 활용해 왔다. 특히 전이 학습은, 풍부한 소스 도메인 데이터 집합으로부터의 지식 증류(knowledge distillation)를 바탕으로 IoT 환경에서의 예상치 못한 악성 트래픽을 식별하는 데 전념해 왔다. 그럼에도 불구하고 대부분의 IoT 장치는 홈 네트워크와 같은 이질적이지만 소규모 환경에서 동작하므로, 학습을 위한 적절한 소스 도메인을 선택하는 데 어려움이 있다. 본 논문은 이러한 문제를 해결하기 위한 프레임워크를 제안한다. 전이 학습을 통한 사전 학습(pre-learning) 단계에서 적절한 데이터 집합을 평가하는 일이 비사소적(non-trivial)인 경우, 제안하는 프레임워크는 전이 학습을 위한 소스 도메인으로 사용할 데이터 집합을 선택할 것을 권고한다. 이 선택 과정은 전이 학습을 적용하는 것이 적절한지 여부를 규명하여, 이러한 상황에서의 모범 사례(best practice)를 제공하는 것을 목표로 한다. 본 평가 결과, 제안된 프레임워크는 적합한 소스 도메인 데이터 집합을 성공적으로 선택하며, 가장 높은 정확도를 달성함을 확인하였다.

다크 웹은 익명성에 기반하므로 가해자들은 암호화폐와 결합하여 온라인 활동과 신원을 숨기는 데 이를 이용한다. 또한 최근의 범죄자들은 재무 거래를 난독화하기 위해 코인 믹싱 서비스(coin-mixing services)를 악용하여 추적 가능성과 투명성을 현저히 저해하고 있다. 최근 연구들은 잘 알려진 지하 시장(underground marketplaces)과 포럼에서 확보한 실제 데이터를 분석함으로써 다크 웹 생태계를 규명하는 방법을 상세히 기술해 왔다. 그러나 이전 평가는 토르(Tor) 숨김 서비스와 암호화폐의 시시각각 변하는 상태를 효율적으로 다루지 못하기 때문에, 가장 최신의 경향과 불법 활동 간의 상호 연관성을 이해하는 데는 효과가 제한적이다. 예를 들어 균일 자원 위치자(uniform resource locator, URL) 정책 업데이트와 다양한 비트코인 주소 유형이 여기에 해당한다. 이를 위해 본 연구는 범죄와 관련된 키워드에 근거하여 의심스러운 판매자가 운영하는 .onion 주소와 그에 대응하는 비트코인 주소를 자동으로 수집하는 다크 웹 데이터 수집 프레임워크를 제안한다. 우리의 프레임워크는 공통적으로 등장하는 시드(seed) .onion을 기반으로 키워드 간 의존성을 분석함으로써 불법 행위 간의 상호 연관성을 이해하는 것을 목표로 한다. 또한 각 키워드에 대해 .onion 도메인의 생애주기(life cycle)에서 나타나는 경향을 탐색한다. 우리의 프레임워크의 범용성을 입증하기 위해, 다크 판매자 프로파일링(dark vendor profiling) 및 별칭(alias) 귀속에 대한 잠재적 단서를 도출하고, 보편적 비트코인 사용 패턴으로부터 혼합된 비트코인 주소를 구별하는 방법을 달성하기 위한 다양한 사례 연구(case studies)를 제시한다.

컨테이너의 사용이 클라우드 환경에서 주류가 됨에 따라, 컨테이너를 대상으로 하는 다양한 보안 위협 또한 증가하고 있다. 그중 두드러진 악성 행위는 인스턴스 소유자의 동의 없이 암호화폐를 채굴하기 위해 자원을 탈취하는 크립토재킹(cryptojacking) 공격이다. 그러나 컨테이너화된 환경에서 이러한 이상 징후를 탐지하는 일은 컨테이너가 호스트 커널을 공유하므로, 상당한 오버헤드를 유발하지 않고서는 컨테이너 단위의 자원 사용과 이상 징후를 정확히 특정하기가 어렵다는 점에서 더 복잡하다. 이에 본 연구는 클라우드 네이티브 환경에서 악성 채굴 행위를 식별하기 위한 런타임 탐지 프레임워크를 제안한다. 확장 Berkeley Packet Filter(eBPF)를 기반으로 하는 런타임 보안 도구인 Tetragon을 활용하여 크립토재킹 컨테이너의 시스템 콜 추적과 플로우 수준 정보를 수집하고, 이를 통해 다양한 기계학습 모델을 학습하고 평가하기 위한 풍부한 특징 표현을 추출한다. 실험 결과, 본 프레임워크는 적정 수준의 런타임 모니터링 오버헤드 하에서 최대 99.75%의 분류 정확도를 제공한다.

IoT 솔루션 및 서비스 시장의 규모가 확산됨에 따라, IoT 장치를 활용하는 산업 분야 역시 다변화되고 있다. 그러나 IoT 장치의 확산은 종종 사용자 개인 정보 및 프라이버시와 맞물려 있으며, 그 결과 이러한 장치를 대상으로 하는 공격이 지속적으로 증가하는 양상을 보인다. 한편, 사전에 정의된 규칙 세트를 기반으로 하는 기존의 네트워크 수준 침입 탐지 시스템은 IoT 생태계의 이질적인 환경으로 인해 점차 효과가 저하되고 있다. 이러한 보안 문제를 해결하기 위해 연구자들은 ML 기반 네트워크 수준 침입 탐지 기법을 활용해 왔다. 특히 전이 학습은, 풍부한 소스 도메인 데이터 집합으로부터의 지식 증류(knowledge distillation)를 바탕으로 IoT 환경에서의 예상치 못한 악성 트래픽을 식별하는 데 전념해 왔다. 그럼에도 불구하고 대부분의 IoT 장치는 홈 네트워크와 같은 이질적이지만 소규모 환경에서 동작하므로, 학습을 위한 적절한 소스 도메인을 선택하는 데 어려움이 있다. 본 논문은 이러한 문제를 해결하기 위한 프레임워크를 제안한다. 전이 학습을 통한 사전 학습(pre-learning) 단계에서 적절한 데이터 집합을 평가하는 일이 비사소적(non-trivial)인 경우, 제안하는 프레임워크는 전이 학습을 위한 소스 도메인으로 사용할 데이터 집합을 선택할 것을 권고한다. 이 선택 과정은 전이 학습을 적용하는 것이 적절한지 여부를 규명하여, 이러한 상황에서의 모범 사례(best practice)를 제공하는 것을 목표로 한다. 본 평가 결과, 제안된 프레임워크는 적합한 소스 도메인 데이터 집합을 성공적으로 선택하며, 가장 높은 정확도를 달성함을 확인하였다.

다크 웹은 익명성에 기반하므로 가해자들은 암호화폐와 결합하여 온라인 활동과 신원을 숨기는 데 이를 이용한다. 또한 최근의 범죄자들은 재무 거래를 난독화하기 위해 코인 믹싱 서비스(coin-mixing services)를 악용하여 추적 가능성과 투명성을 현저히 저해하고 있다. 최근 연구들은 잘 알려진 지하 시장(underground marketplaces)과 포럼에서 확보한 실제 데이터를 분석함으로써 다크 웹 생태계를 규명하는 방법을 상세히 기술해 왔다. 그러나 이전 평가는 토르(Tor) 숨김 서비스와 암호화폐의 시시각각 변하는 상태를 효율적으로 다루지 못하기 때문에, 가장 최신의 경향과 불법 활동 간의 상호 연관성을 이해하는 데는 효과가 제한적이다. 예를 들어 균일 자원 위치자(uniform resource locator, URL) 정책 업데이트와 다양한 비트코인 주소 유형이 여기에 해당한다. 이를 위해 본 연구는 범죄와 관련된 키워드에 근거하여 의심스러운 판매자가 운영하는 .onion 주소와 그에 대응하는 비트코인 주소를 자동으로 수집하는 다크 웹 데이터 수집 프레임워크를 제안한다. 우리의 프레임워크는 공통적으로 등장하는 시드(seed) .onion을 기반으로 키워드 간 의존성을 분석함으로써 불법 행위 간의 상호 연관성을 이해하는 것을 목표로 한다. 또한 각 키워드에 대해 .onion 도메인의 생애주기(life cycle)에서 나타나는 경향을 탐색한다. 우리의 프레임워크의 범용성을 입증하기 위해, 다크 판매자 프로파일링(dark vendor profiling) 및 별칭(alias) 귀속에 대한 잠재적 단서를 도출하고, 보편적 비트코인 사용 패턴으로부터 혼합된 비트코인 주소를 구별하는 방법을 달성하기 위한 다양한 사례 연구(case studies)를 제시한다.

클라우드 컴퓨팅 분야에서의 최근 발전으로 서버리스(serverless) 기술이 도입되어, 클라우드 네이티브 애플리케이션을 편리하고 유연하게 관리할 수 있게 되었다. 일반적으로 함수형 서비스(Function-as-a-Service, FaaS) 솔루션은 오토스케일링과 파드(pod) 스케줄링을 포함하는 기반 컨테이너화된 환경에 대한 자원 관리의 이점을 활용하기 위해 Kubernetes(K8s) 및 Knative와 같은 서버리스 백엔드 솔루션에 의존한다. 이러한 이점을 취하기 위해 최근의 클라우드 서비스 제공자들은 상용 퍼블릭 클라우드 제공자에 의존하기보다는, 온프레미스에 호스팅된 FaaS 플랫폼을 제공함으로써 자체 호스팅 서버리스 서비스를 배포하고 있다. 그러나 서버리스 컴퓨팅에서 이와 같은 온프레미스 호스팅 환경의 오토스케일링 구성 옵션에 대해 자원을 공정하게 스케줄링하고 할당하기 위한 K8s 추상화(abstraction)와 관련된 표준화된 지침의 부재는, 다양한 워크로드의 서비스 수준 목표(SLOs)를 충족하는 데 어려움을 야기한다. 본 연구는 K8s에서 스케일링 관련 구성에 따라 FaaS 워크로드의 성능이 오토스케일링 거동과 어떤 관계를 갖는지 탐구함으로써 이러한 공백을 메운다. 종합적인 측정 연구에 기반하여, 베이스 메트릭(base metric), 지연(latency) SLO의 차이를 최대화하기 위한 임계값(threshold), 응답 수(number of responses)와 같은 스케일링 구성의 유형을 포함하여, 어떤 워크로드를 어떤 형태의 스케일링 구성으로 적용해야 하는지에 대한 로직을 도출하였다. 또한 관련 K8s 구성의 스케일링 효율을 FaaS 워크로드의 서비스 품질(QoS)과 관련하여 평가하기 위한 방법론을 제안한다.

암호화폐는 중앙화된 시스템 없이 신뢰성을 갖춘 탈중앙화 금융서비스 및 전자상거래를 위한 핵심 기술로 주목받아왔으나, 암호화폐가 보장하는 익명성을 바탕으로 다크웹 시장에서 불법 거래, 사기, 랜섬웨어를 통한 자금 도난 등의 범죄에 악용되고 있다. 불법 거래된 암호화폐는 주로 믹싱 서비스를 통해 자금 출처를 은닉했지만, 믹서의 불법 사용 증가로 인해 규제가 강화 되면서 새로운 트랜잭션 기법들이 등장하고 있어 기술적 대응 연구가 시급하다. 하지만 불법 자금세탁 탐지의 정확도를 평가 할 실측자료가 부족할 뿐만 아니라, 기존 불법 자금세탁 탐지기법들은 수사를 통해 불법으로 식별된 지갑을 대상으로만 세탁 여부를 탐지할 수 있어 수사 내역이 공개되지 않은 트랜잭션에 대한 실효성 검증이 미흡하다는 한계가 있다. 이에 본 연구에 서는 체이널리시스 사의 암호화폐 분석 도구(Reactor)를 사용하여 실측자료 기반으로 복합적인 자금세탁 패턴을 분석하고, 수 사 중인 주소에서 발생한 자금세탁 기법을 분석하였다.

소프트웨어 명세서(SBOM, Software Bill of Materials)의 무결성을 보장하는 일은 소프트웨어 공급망 보안에서 점차 증가하는 과제이다. SBOM은 소프트웨어 구성요소를 식별하고 의존성을 관리하는 데 핵심적이지만, 최근 연구들은 자동 생성 도구가 흔히 불완전하거나 부정확한 결과를 산출함을 보여주었다. 기존의 무결성 검증 방법은 생성 이후의 변조 탐지만을 중심으로 하며, 생성 시점에서의 진위를 확인할 수는 없다. 이러한 한계를 해결하기 위해, 우리는 원격 증명(remote attestation) 프로토콜에서 영감을 받은 새로운 SBOM 무결성 검증 프레임워크를 제안하며, SBOM 생성 과정에서 메타데이터를 내장한다. 이를 통해 SBOM 내용과 그 생성자의 신뢰성 모두를 검증할 수 있다. 완전성을 향상시키기 위해 서로 이질적인 SBOM 표준의 출력물을 병렬로 생성한 뒤 병합하여 누락된 구성요소를 채운다. 우리는 사례 연구를 통해 이 방법이 소프트웨어 공급망에서 투명성과 변조 탐지를 향상시킴을 입증한다.

최근 익명성을 보장하는 토르 네트워크 기반 다크웹 내에서의 범법 행위가 기하급수적으로 급증하고 있다. 불법적인 거래가 증가함에 따라, 다크웹 생태계에 존재하는 암시장의 형태를 파악하는 것이 수사에 있어서 중요하다. 그러나 다크웹 운영자들은 정보의 누설을 최소화하기 위해 자동화된 크롤링 봇을 제한한다. 그 중 캡챠(CAPTCHA)는 범용적으로 사용되며 다양한 형태로 존재한다. 이에 본 논문은 캡챠를 활용하여 크롤링 봇의 접근을 차단하거나 제한하는 암시장의 형태를 파악하는 자동화 프레임워크를 제시한다. 다크웹 상에서 존재하는 캡챠의 분류 기준을 제시한 뒤, 분류를 자동화할 수 있는 모델을 제시한다. 캡챠 분류 모델은 다크웹 상의 은어를 기반으로 한 크롤링 통해 120여 개의 링크를 수집한 뒤, 캡챠 분류 기준에 따라 유형에 맞추어 분류한다. 제안한 프레임워크는 93.33%의 준수한 다크웹 내 캡챠 분류 정확도 성능을 보였으며, 이를 기반으로 캡챠를 우회하는 자동화된 크롤링 봇을 통해 다크웹 프로파일링의 효율성을 증대시킬 것으로 기대한다.