텍스트 마이닝을 활용한 피싱 사례 분석

Abstract

정전, 홍수, 그리고 해킹 등 다양한 종류의 재해는 기업과 이들의 정보시스템을 괴롭히고 있다[1]. 특히, 해킹은 해마다 증가하고 있으며, 2007년부터 2016년까지 10년동안 개인 정보 유출로 인한 피해 금액의 평균이 107 ~ 307조 원으로 추산된다[2]. 또한, 시스템의 새로운 보안 취약점들이 해커들에 의해 개발되어 수법이 더욱 교묘해지고 있다[3]. 예를 들어, 2020년에 발생한 해킹 공격에서 Shell command injection이 800만 건으로 가장 많았으며, ThinkPHP 원격 코드 삽입 공격이 350만건, SQL injection이 244만건, Webshell 접근 공격이 240만건, File upload 취약점이 200만건으로 확인되었다[4]. 이러한 위협에 효과적으로 대응하기 위해서는 사이버 위협 정보를 분석 공유함으로써 해킹 피해를 예방할 수 있다. Mkuzangwe 그리고 Khan (2020) 은 사이버 위협 정보를 공유하기 위한 Structured threat information expression, Incident object description exchange format 등의 프로토콜을 이용한 표준화 방법을 제안했다[5]. 김인환, 외. (2021)은 사고 발생 이후 분석 과정에서 사이버 거점에 대한 정보를 획득 또는 공유를 넘어 능동적으로 감시하는 것을 제안한다[6]. 또한 위협에 대응하기 위한 조직 내부의 통제강화가 필요하다. 내부 관계자에 의한 범죄도 늘어나고 있기 때문에, “데이터에 대한 모든 접근을 신뢰하지 않는다.”를 의미하는 제로 트러스트 대책과, 누가 무엇을 했는지 감시 정 보를 기록하고 관리하는 대책이 요구된다[7]. 김자희, 최광렬, 그리고 김창재 (2015) 의 연구에 따르면, 인적보안교육, 사고 관리 등의 통제분야를 기반으로 한 정보보호성숙도모델의 최적화 단계에서 정보보호와 관련된 이슈를 지속적으로 식별 및 분석을 해야 한다고 주장한다[8]. 정보시스템을 성공적으로 운영하기 위해서는 조직을 둘러싼 외부 환경에 대한 이해가 필수적이다[9]. 즉, 다양한 사이버 위협과 관련된 외부 환경으로부터 조직 스스로 해킹 사례에 대한 분석을 통해 침해사고를 막기 위한 예방이 필요하다. 이에 본 연구에서는 2017년부터 2022년까지 115 건의 ‘Threatpost’의 피싱 사례들을 대상으로 텍스트 마이닝 도구를 이용해 주요 이슈들에 대해 살펴 본다. 먼저 Python을 이용해 피싱 사례들을 수집 및 검토 한 후, 전처리 과정을 수행한다. 그리고 단어 빈도 분석을 수행 한 후, 군집 분석을 통해 군집별 키워드를 추출하고, 연관어 분석을 통해 주요 이슈와 관련된 시사점을 제안한다. 이를 통해 조직의 정보시스템을 보호 하기 위한 보안 전략을 세울 수 있으며, 더 나아가 다양한 조직과 정보 공유를 함으로써 해킹 침해의 예방 효과를 키울 수 있다. 본 연구는 다음과 같이 구성된다. 2장에서는 피싱 공격의 이론적인 배경에 대해 설명한다. 3장에서는 연구 진행을 위해 사용한 공격 사례와 분석 기법 및 절차를 다룬다. 4장에서는 분석 결과에 대해 설명한다. 그리고 5장에서는 결론 및 향후 연구를 다룬다.