[go: up one dir, main page]

KR102836867B1 - 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법 - Google Patents

사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법

Info

Publication number
KR102836867B1
KR102836867B1 KR1020250021397A KR20250021397A KR102836867B1 KR 102836867 B1 KR102836867 B1 KR 102836867B1 KR 1020250021397 A KR1020250021397 A KR 1020250021397A KR 20250021397 A KR20250021397 A KR 20250021397A KR 102836867 B1 KR102836867 B1 KR 102836867B1
Authority
KR
South Korea
Prior art keywords
cyber
crisis
attack
attack procedure
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020250021397A
Other languages
English (en)
Inventor
김서연
임준형
오동환
김태은
이새움
최슬기
김태현
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020250021397A priority Critical patent/KR102836867B1/ko
Priority to US19/183,089 priority patent/US12452295B1/en
Application granted granted Critical
Publication of KR102836867B1 publication Critical patent/KR102836867B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computational Linguistics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Artificial Intelligence (AREA)
  • Bioethics (AREA)
  • Virology (AREA)

Abstract

사이버 위기 시나리오 자동 생성을 위한 AI 멀티 도메인 통합 시스템 및 그 방법이 제공된다. 본 개시의 일 실시예에 따른 사이버 위기 시나리오 자동 생성 방법은, 컴퓨팅 시스템에 의해 수행되는 방법에 있어서, 사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계, 상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계, 상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계, MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계, 상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계 및 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함할 수 있다.

Description

사이버 위기 시나리오 자동 생성을 위한 AI 멀티 도메인 통합 시스템 및 그 방법{AI MULTI-DOMAIN INTEGRATED SYSTEM AND METHOD FOR AUTOMATED GENERATION OF CYBER THREAT SCENARIO}
본 개시는 사이버 위기 시나리오 자동 생성을 위한 AI 멀티 도메인 통합 시스템 및 그 방법에 관한 것이다. 보다 자세하게는, 사이버 위기 보고서에 포함된 컨텐츠로부터 사이버 위기 시나리오를 자동으로 생성하는 방법 및 그 시스템에 관한 것이다.
현존하는 사이버 위기 시나리오 생성 방식은 대부분 수동 작업에 의존하고 있어 비효율적이다. 전문가가 과거 사례를 분석하고 시뮬레이션을 수행하여 시나리오를 작성하는 과정은 많은 시간과 인적 자원을 소모하며, 빠르게 변화하는 사이버 위협 환경을 실시간으로 반영하기 어렵다. 또한, 기존 방식은 최신 위협 요소를 즉각적으로 반영하지 못해 조직의 보안 대응력을 저하시킬 수 있는 문제가 있다.
이에 따라, 멀티모달 데이터를 활용하여 사이버 위기 시나리오를 자동으로 생성하는 기술이 요구된다. 이를 통해 최신 위협을 신속하게 반영하고 위기 상황을 보다 정확하게 예측할 수 있으며, 보안 대응 과정의 효율성을 높일 수 있다. 자동화된 시나리오 생성 시스템은 조직의 보안 역량을 강화하고, 보다 효과적인 사전 방어 체계를 구축하는 데 기여할 수 있다.
공개특허공보 제10-2024-0073317호 (2024.05.27)
본 개시의 몇몇 실시예들을 통해 해결하고자 하는 기술적 과제는, 사이버 위기 보고서에 포함된 컨텐츠를 이용하여 사이버 위기 시나리오를 자동으로 생성하는 방법 및 그 시스템을 제공하는 것이다.
본 개시의 몇몇 실시예들을 통해 해결하고자 하는 다른 기술적 과제는, 보안 사고 보고서에 포함된 컨텐츠를 이용하여 사이버 위기 시나리오 템플릿을 생성하고, 생성된 사이버 위기 시나리오 템플릿에 기초하여 사이버 위기 시나리오를 생성함으로써 재사용성을 증대하는 사이버 위기 시나리오 자동 생성 방법 및 그 시스템을 제공하는 것이다.
본 개시의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 개시의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 해결하기 위한 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법은, 컴퓨팅 시스템에 의해 수행되는 방법에 있어서, 사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계; 상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계; 상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계; MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계; 상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계; 및 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 및 행위 정보를 추출하는 단계는, 상기 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의하는 단계; 및 상기 구성 요소 및 상기 관계에 기초하여, 상기 공격 절차 및 행위 정보를 추출하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터로 생성하는 단계는, 상기 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차에 대하여, 공격 수행 순서에 따라 수행 순서 고유 식별 정보를 생성하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오 템플릿을 생성하는 단계는, 상기 공격 절차 및 행위 정보에 따라, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각의 내용이 상기 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교하는 단계; 및 상기 비교의 결과에 기초하여, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각이 상기 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터는, 공격 대상인 조직에 관한 정보, 수행된 공격에 관한 정보 및 상기 수행된 공격에 대한 태그를 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하는 단계는, 상기 수행된 공격에 관한 정보에 대하여, 의미 분석(Semantic Analysis)를 수행하는 단계; 및 상기 의미 분석의 수행 결과를 이용하여, 상기 수행된 공격에 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오 템플릿을 생성하는 단계는, 상기 사이버 위기 시나리오 템플릿이 상기 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성을 검증하는 단계; 및 상기 위협 행위 데이터가 상기 MITRE ATT&CK 프레임워크에 정의된 TTPs와 적절하게 매칭되었는지에 관한 정보 적합성을 검증하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오를 자동으로 생성하는 단계는, 상기 정보 유효성 및 상기 정보 적합성이 모두 검증된 경우에 한하여, 상기 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오를 자동으로 생성하는 단계는, 상기 사이버 위기 시나리오 템플릿에 포함된 상기 위협 행위 데이터에 대응되는 실행 요소를 추가하는 단계를 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 시스템은, 통신 인터페이스; 컴퓨터 프로그램이 로드되는 메모리; 및 상기 컴퓨터 프로그램이 실행되는 하나 이상의 프로세서를 포함하되, 상기 컴퓨터 프로그램은, 사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 동작; 상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 동작; 상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 동작; MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 동작; 상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 동작; 및 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 동작을 수행하는 인스트럭션들(instructions)을 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 및 행위 정보를 추출하는 동작은, 상기 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의하는 동작; 및 상기 구성 요소 및 상기 관계에 기초하여, 상기 공격 절차 및 행위 정보를 추출하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터로 생성하는 동작은, 상기 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차에 대하여, 공격 수행 순서에 따라 수행 순서 고유 식별 정보를 생성하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오 템플릿을 생성하는 동작은, 상기 공격 절차 및 행위 정보에 따라, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각의 내용이 상기 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교하는 동작; 및 상기 비교의 결과에 기초하여, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각이 상기 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터는, 공격 대상인 조직에 관한 정보, 수행된 공격에 관한 정보 및 상기 수행된 공격에 대한 태그를 포함할 수 있다.
몇몇 실시예들에서, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하는 동작은, 상기 수행된 공격에 관한 정보에 대하여, 의미 분석(Semantic Analysis)를 수행하는 동작; 및 상기 의미 분석의 수행 결과를 이용하여, 상기 수행된 공격에 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오 템플릿을 생성하는 동작은, 상기 사이버 위기 시나리오 템플릿이 상기 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성을 검증하는 동작; 및 상기 위협 행위 데이터가 상기 MITRE ATT&CK 프레임워크에 정의된 TTPs와 적절하게 매칭되었는지에 관한 정보 적합성을 검증하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오를 자동으로 생성하는 동작은, 상기 정보 유효성 및 상기 정보 적합성이 모두 검증된 경우에 한하여, 상기 사이버 위기 시나리오를 자동으로 생성하는 동작을 포함할 수 있다.
몇몇 실시예들에서, 상기 사이버 위기 시나리오를 자동으로 생성하는 동작은, 상기 사이버 위기 시나리오 템플릿에 포함된 상기 위협 행위 데이터에 대응되는 실행 요소를 추가하는 동작을 포함할 수 있다.
상술한 기술적 과제를 해결하기 위한 본 개시의 몇몇 실시예들에 따른 컴퓨터로 판독가능한 기록매체에 저장된 컴퓨터 프로그램은, 컴퓨팅 장치와 결합되어, 사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계; 상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계; 상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계; MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계; 상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계; 및 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 실행시킬 수 있다.
도 1은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 시스템의 구성 및 동작을 설명하기 위한 시스템 구성도이다.
도 2는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 동작을 설명하기 위한 순서도이다.
도 3은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 4는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 5는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 6은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 7은 본 개시의 몇몇 실시예들에 따른 시스템들을 구현할 수 있는 예시적인 컴퓨팅 시스템에 관한 도면이다.
이하, 첨부된 도면을 참조하여 본 개시의 다양한 실시예들을 상세히 설명한다. 본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 개시의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 개시의 기술적 사상을 완전하도록 하고, 본 개시가 속한 기술분야에서 통상의 지식을 가진 자에게 본 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
본 개시의 다양한 실시예들을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 개시의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 이하의 실시예들에서 사용되는 용어(기술 및 과학적 용어를 포함)는 본 개시가 속한 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수도 있다. 본 개시에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 개시의 범주를 제한하고자 하는 것은 아니다.
이하의 실시예들에서 사용되는 단수의 표현은 문맥상 명백하게 단수인 것으로 특정되지 않는 한, 복수의 개념을 포함한다. 또한, 복수의 표현은 문맥상 명백하게 복수인 것으로 특정되지 않는 한, 단수의 개념을 포함한다.
또한, 이하의 실시예들에서 사용되는 제1, 제2, A, B, (a), (b) 등의 용어는 어떤 구성요소를 다른 구성요소와 구별하기 위해 사용되는 것일 뿐, 그 용어에 의해 해당 구성요소의 본질이나 차례 또는 순서 등이 한정되지는 않는다.
이하, 첨부된 도면들을 참조하여 본 개시의 다양한 실시예들에 대하여 상세하게 설명한다.
이하에서는, 도 1을 참조하여, 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 시스템의 구성 및 동작을 설명한다. 도 1은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 시스템의 구성 및 동작을 설명하기 위한 시스템 구성도이다.
도 1을 참조하면, 사이버 위기 시나리오 자동 생성 시스템(10)은 데이터 분류 모델(11), 이미지 처리 모델(12), 텍스트 처리 모델(13), 사이버 위기 TTP-ID 매칭 모델(14) 및 사이버 위기 시나리오 생성 모델(15)을 포함하여 구성될 수 있다. 다만, 본 개시의 범위가 이에 한정되는 것은 아니다. 경우에 따라서는, 사이버 위기 시나리오 자동 생성 시스템(10)이 도 1에 도시되지 않은 모듈/장치/시스템을 더 포함하는 형태로 구성될 수도 있다. 또는, 도 1에 도시된 구성요소들(11 내지 15) 중 적어도 일부가 제외된 형태로 사이버 위기 시나리오 자동 생성 시스템(10)이 구성될 수도 있다.
도 1을 참조하면, 사이버 위기 시나리오 자동 생성 시스템(10)은 사이버 위기 보고서(20)를 입력 받고, 사이버 위기 보고서(20)에 포함된 컨텐츠를 이용하여 사이버 위기 시나리오(30)를 생성할 수 있다. 사이버 위기 보고서(20)는 기업, 정부기관 등의 조직이 사이버 보안 위협이나 사고에 대응하기 위해 작성하는 문서로, 위협 식별 및 분석을 위해 사이버 공격의 세부적인 내용(공격 방법, 절차, 대상 등)과 이에 사고의 원인, 영향을 받은 자산 및 대응 조치 등을 기록한 보고서로서, 인증된 기관에서 발행되는 공식 문서일 수 있다.
데이터 분류 모델(11)은 사이버 위기 보고서에 포함된 컨텐츠의 유형을 이미지 데이터 및 텍스트 데이터로 분류하여 추출할 수 있다. 사이버 위기 시나리오 자동 생성 시스템(10)은 상기 이미지 데이터를 이미지 처리 모델(12)에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 생성할 수 있다. 사이버 위기 시나리오 자동 생성 시스템(10)은 상기 텍스트 데이터를 텍스트 처리 모델(13)에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성할 수 있다. 공격 절차는 공격자가 수행한 공격을 논리적인 하나의 단위로 분류한 공격을 의미한다. 이에 대하여는, 도 3 내지 도 5를 참조하여 자세하게 설명한다.
한편, 이미지 처리 모델(12) 및 텍스트 처리 모델(13)은 각각 텍스트 및 이미지로 구성된 데이터를 처리하고 이해할 수 있는 인공지능 시스템이다. 이미지 처리 모델(12) 및 텍스트 처리 모델(13)은 텍스트 설명을 기반으로 이미지를 생성하거나, 이미지를 보고 텍스트로 설명하는 등의 작업이 가능하다. 본 개시가 속하는 분야의 통상의 기술자라면 상기 모델에 관한 기술을 이미 숙지하였을 것인 바, 자세한 설명은 생략한다.
TTP-ID 매칭 모델(14)은 상기 생성된 공격 절차 관련 데이터와 공격 절차 및 행위 정보를 이용하여, 사이버 위기 시나리오 템플릿을 생성할 수 있다. 사이버 위기 시나리오 템플릿은 하나의 사이버 위기 보고서(20)로부터 생성될 수 있다. 추후에 사이버 위기 보고서(20)와 상이한 사이버 위기 보고서가 입력되는 경우, 사이버 위기 시나리오 자동 생성 시스템(10)은 사이버 위기 보고서(20)와 유사한 사이버 위기 보고서에 대하여 상기 생성된 사이버 위기 시나리오 템플릿을 이용하여, 사이버 위기 시나리오를 생성할 수 있다. 이로써, 사이버 위기 시나리오 자동 생성 시스템(10)이 매번 새롭게 사이버 위기 시나리오를 생성하지 않고, 사이버 위기 시나리오 템플릿을 이용함으로써, 리소스를 절감하고 재사용성을 증대할 수 있다. 이에 대하여는, 도 5 및 도 6을 참조하여 자세하게 설명한다.
사이버 위기 시나리오 생성 모델(15)은 사이버 위기 시나리오 템플릿이 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성 및 공격 절차 관련 데이터에 대응되는 위협 행위 데이터가 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)와 적절하게 매칭되었는지에 관한 정보 적합성을 검증할 수 있다. 이에 대하여는, 도 6을 참조하여 자세하게 설명한다.
사이버 위기 시나리오 생성 모델(15)은 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성할 수 있다.
상술한 사이버 위기 시나리오 자동 생성 시스템(10)의 구성요소들 각각은 적어도 하나의 컴퓨팅 장치로 구현될 수 있다. 예를 들어, 사이버 위기 시나리오 자동 생성 시스템(10)의 모든 기능이 하나의 컴퓨팅 장치에서 구현될 수도 있고, 사이버 위기 시나리오 자동 생성 시스템(10)의 제1 기능은 제1 컴퓨팅 장치에서 구현되고 제2 기능은 제2 컴퓨팅 장치에서 구현될 수도 있다. 또는, 사이버 위기 시나리오 자동 생성 시스템(10)의 특정 기능이 복수의 컴퓨팅 장치들에서 구현될 수도 있다.
이하에서는, 이해의 편의를 제공하기 위해, 후술될 방법들의 모든 단계/동작이 상술한 사이버 위기 시나리오 자동 생성 시스템(10)에서 수행되는 것을 가정하여 설명을 이어가도록 한다. 따라서, 특정 단계/동작의 주체가 생략된 경우, 사이버 위기 시나리오 자동 생성 시스템(10)에서 수행되는 것으로 이해될 수 있다. 다만, 실제 환경에서는 후술될 방법의 일부 단계/동작이 다른 컴퓨팅 장치에서 수행될 수도 있다.
또한, 호칭의 편의를 위해 사이버 위기 시나리오 자동 생성 시스템(10)은 '시나리오 자동 생성 시스템(10)'으로 약칭될 수 있다.
이하에서는, 도 2를 참조하여 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 동작을 설명한다. 도 2는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 동작을 설명하기 위한 순서도이다.
도 2를 참조하면, 데이터 분류 모델(11)은 사이버 위기 보고서(20)에 포함된 컨텐츠의 유형을 분류하고, 사이버 위기 보고서(20)로부터 이미지 데이터 및 텍스트 데이터를 추출할 수 있다(S100). 사이버 위기 보고서(20)는 기업, 정부기관 등의 조직이 사이버 보안 위협이나 사고에 대응하기 위해 작성하는 문서로, 위협 식별 및 분석을 위해 사이버 공격의 세부적인 내용(공격 방법, 절차, 대상 등)과 이에 사고의 원인, 영향을 받은 자산 및 대응 조치 등을 기록한 보고서로서, 인증된 기관에서 발행되는 공식 문서일 수 있다.
시나리오 자동 생성 시스템(10)은 사이버 위기 보고서로부터 추출한 이미지 데이터를 이미지 처리 모델(12)에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출할 수 있다(S200). 공격 절차는 공격자가 수행한 공격을 논리적인 하나의 단위로 분류한 공격을 의미한다. 상기 공격 절차 및 행위 정보는 이미지 데이터에 포함된 전체적인 공격 절차와 그 맥락을 파악할 수 있는 정보일 수 있다.
이하에서는, 도 3을 참조하여, 본 개시의 몇몇 실시예들에 따른 공격 절차 및 행위 정보를 추출하는 방법을 설명한다. 도 3은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 3을 참조하면, 이미지 처리 모델(12)은 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의할 수 있다(S210). 이미지 처리 모델(12)은 상기 이미지 데이터에 포함된 다이어그램 또는 공격 흐름도를 식별하고, 해당 다이어그램 등에 대하여 전처리를 수행함으로써, 이미지 해상도를 조정하거나 노이즈를 제거할 수 있다. 이미지 처리 모델(12)은 OCR(Optical Character Recognition, 광학 문자 인식) 기술을 이용하여, 이미지 데이터 내 텍스트를 추출하고 분석하고, 이미지 데이터 내의 객체를 감지하여 이미지 데이터 내 구성 요소를 식별할 수 있다. 이미지 처리 모델(12)은 상기 구성 요소 간의 화살표 또는 선의 방향성 등을 분석함으로써, 구성 요소 및 구성 요소 간의 관계를 정의할 수 있다.
시나리오 자동 생성 시스템(10)은 상기 구성 요소 및 구성 요소 간의 관계에 기초하여, 공격 절차 및 행위 정보를 추출할 수 있다(S220). 상기 공격 절차 및 행위 정보는 이미지 데이터에 포함된 전체적인 공격 절차와 그 맥락을 파악할 수 있는 정보일 수 있다.
이하에서는, 몇몇 실시예를 들어 도 3을 부연 설명한다.
시나리오 자동 생성 시스템(10)은 이미지 데이터를 이미지 처리 모델(12)에 입력하고, 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의할 수 있다. 예를 들어, 시나리오 생성 시스템(10)은 공격자의 공격 절차와 행위 정보의 식별을 위해 사이버 위기 보고서 내 이미지 데이터(e.g., 공격 흐름도 내 구성 요소 분석)과 텍스트 데이터를 분석할 수 있다. 이미지 처리 모델(12)은 각 구성 요소 간의 화살표 또는 선의 방향성 등을 분석함으로써, 상기 구성 요소 간의 관계를 정의할 수 있다.
이후, 시나리오 자동 생성 시스템(10)은 상기 구성 요소 및 구성 요소 간의 관계에 기초하여, 공격 절차 및 행위 정보를 추출할 수 있다. 시나리오 자동 생성 시스템(10)은 공격 절차 및 행위 정보의 예시로서, 공격 흐름도를 생성할 수 있다. 공격 흐름도는 이미지 데이터에 포함된 전체적인 공격 절차와 그 맥락을 파악할 수 있는 정보로서, 공격 단계 및 각 공격 단계에 관한 설명이 기재된 문서일 수 있다. 시나리오 자동 생성 시스템(10)은 상기 공격 흐름도 및 이하에서 설명할 공격 절차 관련 데이터에 기초하여, 사이버 위기 시나리오 템플릿을 생성할 수 있다. 다만, 본 개시의 범위가 이에 한정되는 것은 아니고, 시나리오 자동 생성 시스템(10)은 다양한 형태로서 공격 절차 및 행위 정보를 추출할 수 있다.
본 실시예에 따르면, 사이버 위기 보고서(20)에 포함된 텍스트 데이터 뿐만 아니라 이미지 데이터에 대해 추가적인 분석 작업을 수행하여 복잡한 공격 절차에 대한 이해도를 높일 수 있으며, 이를 통해 시나리오 자동 생성 과정에서의 오류를 최소화하여 정확도를 높일 수 있다는 효과가 있다.
다시, 도 2를 참조하여 설명한다.
시나리오 자동 생성 시스템(10)은 사이버 위기 보고서(20)로부터 추출한 텍스트 데이터를 텍스트 처리 모델(13)에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성할 수 있다(S300). 공격 절차 관련 데이터는 공격 대상인 조직에 관한 정보, 수행된 공격에 대한 정보 및 상기 수행된 공격에 대한 태그를 포함할 수 있다. 상기 수행된 공격에 대한 태그는 전체 공격의 키워드를 식별할 수 있는 대표 정보를 의미하는 것일 수 있다. 다만, 본 개시의 범위가 이에 한정되는 것은 아니고, 공격 절차 관련 데이터는 다양한 정보를 포함할 수 있다. 공격 절차 관련 데이터는 JSON 형식의 정형화된 데이터일 수 있다.
이후, 시나리오 자동 생성 시스템(10)은 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합할 수 있다(S400).
MITRE ATT&CK 프레임워크에서 정의하는 TTPs(Tactics, Techniques, and Procedures)는 사이버 공격자가 사용하는 전술(Tactics), 기법(Techniques) 및 절차(Procedures)를 체계적으로 분류한 개념이다. 전술(Tactics)은 공격의 목적(예: 초기 접근, 권한 상승 등)을 의미하고, 기법(Techniques)은 그 목적을 달성하기 위한 특정 방법(예: 피싱, 프로세스 주입 등), 절차(Procedures)는 실제 공격 그룹이 기법을 활용하는 구체적인 방식이다. 이 프레임워크는 보안 연구자와 기업이 공격 행위를 분석하고 방어 전략을 수립하는 데 유용하게 활용될 수 있다. 본 개시가 속하는 기술 분야의 통상의 기술자라면 이미 숙지하였을 사항인 바, 자세한 설명은 생략한다.
위협 행위 데이터는 공격 절차 관련 데이터에 대응되고, MITRE ATT&CK 프레임워크에서 정의하는 TTPs(Tactics, Techniques, and Procedures)의 고유 식별 정보에 포함된 위협 행위에 관한 정보로서, 위협 행위의 명칭 및 사용되는 전술(Tactics), 기법(Techniques) 및 절차(Procedures)에 관한 정보를 포함할 수 있다.
이후, TTP-ID 매칭 모델(14)은 상기 공격 절차 관련 데이터를 이미지 데이터로부터 추출한 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성할 수 있다(S500). 사이버 위기 시나리오 템플릿은 하나의 사이버 위기 보고서(20)로부터 생성될 수 있다. 추후에 사이버 위기 보고서(20)와 상이한 사이버 위기 보고서가 입력되는 경우, 사이버 위기 시나리오 자동 생성 시스템(10)은 사이버 위기 보고서(20)와 유사한 사이버 위기 보고서에 대하여 상기 생성된 사이버 위기 시나리오 템플릿을 이용하여, 사이버 위기 시나리오를 생성할 수 있다. 이로써, 사이버 위기 시나리오 자동 생성 시스템(10)이 매번 새롭게 사이버 위기 시나리오를 생성하지 않고, 사이버 위기 시나리오 템플릿을 이용함으로써, 리소스를 절감하고 재사용성을 증대할 수 있다.
이하에서는, 도 4를 참조하여, 본 개시의 몇몇 실시예들에 따른 공격 절차 관련 데이터를 생성하는 방법을 설명한다. 도 4는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 4를 참조하면, 시나리오 자동 생성 시스템(10)은 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차에 대하여, 공격 절차 및 행위 정보를 추출할 수 있다(S310).
시나리오 자동 생성 시스템(10)은 텍스트 데이터를 텍스트 처리 모델(13)에 입력하고, 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성할 수 있다.
일 실시예에서, 시나리오 자동 생성 시스템(10)은 텍스트 데이터에 포함된 공격 절차에 대하여, 공격 수행 순서에 따라 수행 순서 고유 식별 정보를 생성할 수 있다. 공격 절차 관련 데이터는 각 공격 절차 별로 수행 순서 고유 식별 정보, 각 공격 절차에 관한 설명, 각 공격 절차의 액션(수행 방법, 수행 도구, 타겟) 및 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보 등에 관한 정보를 포함할 수 있다. 다만, 본 개시의 범위가 이에 한정되는 것은 아니고, 공격 절차 관련 데이터는 열거된 정보 이외에 다른 정보를 포함할 수 있다.
다시, 도 4를 참조하여 설명한다.
S310 단계 이후에, 시나리오 자동 생성 시스템(10)은 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합할 수 있다(S400).
이하에서는, 도 5를 참조하여, 본 개시의 몇몇 실시예들에 따른 위협 행위 데이터를 생성하는 방법에 관하여 설명한다. 도 5는 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 5를 참조하면, 텍스트 처리 모델(13)은 수행된 공격에 대한 정보에 대한 의미 분석(Semantic Analysis)를 수행할 수 있다(S410). 의미 분석(Semantic Analysis)은 자연어 처리(NLP)에서 텍스트의 의미를 해석하고 이해하는 과정으로서, 정형화된 공격 절차 관련 데이터에서 수행된 공격에 대한 정보의 의미적 관계를 파악하며, 문맥을 고려하여 단어의 다의성(Ambiguity) 해결, 개체 간 관계 분석(Entity Recognition), 감성 분석(Sentiment Analysis) 등에 활용될 수 있다.
이후, TTP-ID 매칭 모델(14)은 상기 의미 분석의 수행 결과를 이용하여, 상기 수행된 공격에 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭할 수 있다(S420).
예를 들어, 시나리오 자동 생성 시스템(10)은 제1 공격 절차 및 제2 공격 절차에 대한 의미 분석을 수행할 수 있다. 시나리오 생성 시스템(10)은 텍스트 처리 모델(13)에 제1 공격 절차의 공격에 관한 정보 및 제2 공격 절차의 공격에 관한 정보를 입력하고, 제1 공격 절차 및 제2 공격 절차 각각에 대한 의미 분석의 수행 결과를 획득할 수 있다. 각 공격 절차의 공격에 관한 정보는 각 공격 절차 별로 수행 순서 고유 식별 정보, 각 공격 절차에 관한 설명 및 각 공격 절차의 액션(수행 방법, 수행 도구, 타겟)에 관한 정보를 포함할 수 있다.
이후, TTP-ID 매칭 모델(14)은 상기 의미 분석의 수행 결과와 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)가 정리된 표를 비교하고, 제1 공격 절차 및 제2 공격 절차와 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭할 수 있다. 예를 들어, 시나리오 자동 생성 시스템(10)은 제1 공격 절차의 의미 분석의 수행 결과와 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)를 비교하고, TTP의 고유 식별 정보(TTP-ID)가 'T1566.001', TTP의 명칭이 'Phishing Spear Phishing Attachment'이며, Tactic이 '["Initial Access"]'인 정보를 매칭할 수 있다.
시나리오 자동 생성 시스템(10)은 제2 공격 절차의 의미 분석의 수행 결과와 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)를 비교하고, TTP의 고유 식별 정보(TTP-ID)가 'T1204.002', TTP의 명칭이 'User Execution Malicious File'이며, Tactic이 '["Execution"]'인 정보를 매칭할 수 있다. 시나리오 자동 생성 시스템(10)은 제2 공격 절차의 의미 분석의 수행 결과와 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)를 비교하고, TTP의 고유 식별 정보(TTP-ID)가 'T1569.002', TTP의 명칭이 'System Servies Service Execution'이며, Tactic이 '["Execution"]'인 정보를 매칭할 수 있다.
다시, 도 4를 참조하여 설명한다.
S400 단계 이후, TTP-ID 매칭 모델(14)은 S310 단계에 따라 추출한 공격 절차 및 행위 정보에 따라, 제1 공격 절차 및 제2 공격 절차 각각의 내용이 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교할 수 있다(S510). 예를 들어, TTP-ID 매칭 모델(14)은 수행 순서 고유 식별 정보에 따라, 사이버 위기 보고서 내 공격 절차와 생성한 사이버 위기 시나리오 템플릿 내 공격 절차 단계가 일치하는지 여부를 결정할 수 있다. TTP-ID 매칭 모델(14)은 위와 같은 방법으로 수행 순서 고유 식별 정보에 따라, 각 공격 절차의 내용이 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교할 수 있다
이후, TTP-ID 매칭 모델(14)은 S510 단계의 결과에 기초하여, 제1 공격 절차 및 제2 공격 절차 각각이 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교할 수 있다. 즉, TTP-ID 매칭 모델(14)은 공격 절차 각각이, 공격 절차의 수행 순서에 따라, 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 결정하고 매칭할 수 있다.
본 실시예에 따르면, 사이버 위기 보고서(20)에 포함된 텍스트 데이터 뿐만 아니라 이미지 데이터에 대해 추가적인 분석 작업을 수행하여 복잡한 공격 절차에 대한 이해도를 높아질 수 있다. 시나리오 자동 생성 시스템(10)은 텍스트 데이터의 분석 결과를 이미지 데이터의 분석 결과와 일치하는지 판정하고, 판정 결과를 이용하여 정확성이 높은 사이버 위기 시나리오 템플릿을 생성할 수 있다, 따라서, 본 실시예에 따르면, 시나리오 자동 생성 과정에서의 오류를 최소화하여 정확도를 높일 수 있다는 효과가 있다.
시나리오 자동 생성 시스템(10)은 도 4에 도시된 방법에 따라 사이버 위기 시나리오 템플릿을 생성할 수 있다. 사이버 위기 시나리오 템플릿은 공격 절차 관련 데이터와 이미지 데이터로부터 추출된 공격 절차 및 행위 정보의 매칭 결과에 따라 생성될 수 있다. 사이버 위기 시나리오 템플릿은 템플릿 고유 식별 정보, 템플릿에 관한 설명, 템플릿 상에서 수행된 공격에 대한 태그, 공격 대상인 조직에 관한 정보, 공격 대상인 자산에 관한 정보 및 공격 절차 관련 데이터 등을 포함할 수 있다. 다만, 본 개시의 범위가 이에 한정되는 것은 아니고, 사이버 위기 시나리오 템플릿은 열거된 정보 이외에 다른 정보를 포함할 수 있음에 유의한다.
사이버 위기 시나리오 템플릿은 특정 환경에 의존하지 않도록 공격 절차를 추상화된 것으로서, 시나리오 자동 생성 시스템(10)은 사이버 위기 시나리오 템플릿을 이용하여 다양한 사이버 위기 시나리오를 생성할 수 있다는 점에서 사이버 위기 시나리오 템플릿의 재사용성이 증대될 수 있다. 반면, 사이버 위기 시나리오는 조직의 실질적인 사고 대응을 위한 재현성에 초점이 맞춰진 것일 수 있다. 따라서, 본 실시예에 따르면, 시나리오 자동 생성 시스템(10)은 동일하거나 비슷한 사례에 대해서는 사이버 위기 시나리오 생성을 위한 모든 작업을 반복하지 않고, 사이버 위기 시나리오 템플릿을 재사용하여 위기 시나리오를 구성할 수 있다. 즉, 본 실시예에 따르면, 시나리오 자동 생성 시스템(10)은 사이버 위기 보고서를 분석할 때마다 전체적인 사이버 위기 시나리오를 생성하지 않고, 사이버 위기 시나리오 템플릿을 참조하여 사이버 위기 시나리오를 생성할 수 있도록 사이버 위기 시나리오 템플릿을 생성하여 관리하며, 이를 통해 사이버 위기 시나리오의 생성 속도를 향상시킬 수 있다는 효과가 있다.
다시, 도 2를 참조하여 설명한다.
S500 단계 이후, 사이버 위기 시나리오 생성 모델(15)은 공격 절차 관련 데이터 및 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성할 수 있다(S600). 사이버 위기 시나리오 생성 모델(15)은 사이버 위기 시나리오 템플릿에 포함된 위협 행위 데이터에 대응되는 실행 요소를 추가함으로써, 사이버 위기 시나리오를 자동으로 생성할 수 있다.
사이버 위기 시나리오 생성 모델(15)은 전체 실행 요소 목록 중에서, 사이버 위기 시나리오 템플릿에 포함된 위협 행위 데이터에 대응되는 실행 요소를 추가할 수 있다. 예를 들어, 사이버 위기 시나리오 생성 모델(15)은 제1 공격 절차에 대하여, 전체 실행 요소 목록 중에서, 제1 공격 절차의 위협 행위 데이터에 대응되는 실행 요소인 'COMP-001'을 추가할 수 있다. 사이버 위기 시나리오 생성 모델(15)은 제2 공격 절차에 대하여, 전체 실행 요소 목록 중에서, 제2 공격 절차의 위협 행위 데이터에 대응되는 실행 요소인 'COMP-002' 및 'COMP-003'을 추가할 수 있다.
사이버 위기 시나리오는 사이버 위기 시나리오 템플릿과는 달리, 실질적인 공격 절차 및 방법이 포함된 것일 수 있다. 즉, MITRE ATT&CK 프레임워크에 정의된 TTPs가 매칭되어 공격 절차와 방식만 기재된 사이버 위기 시나리오 템플릿과 달리, 사이버 위기 시나리오는 실제 수행 가능한 컴포넌트를 매칭하여 사이버 위기 보고서(20)의 공격을 동일하게 재현한 것일 수 있다.
본 실시예에 따르면, 사이버 위기 시나리오 템플릿에 실행 가능한 실행 요소를 추가함으로써, 실제 사이버 공격이 수반되는 다양한 사이버 위기 시나리오가 생성될 수 있다. 따라서, 본 실시예에 따르면, 재사용 가능한 사이버 위기 시나리오 템플릿 및 실행 요소를 조합함으로써 다양한 사이버 위기 시나리오가 생성되고, 이에 따라 사이버 위기 시나리오 생성을 위해 소요되는 리소스를 절감할 수 있다는 효과가 있다.
이하에서는, 도 6을 참조하여, 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 템플릿을 생성하는 방법을 설명한다. 도 6은 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 방법의 세부 동작을 설명하기 위한 상세 순서도이다.
도 6을 참조하면, 사이버 위기 시나리오 생성 모델(15)은 사이버 위기 시나리오 템플릿이 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성을 검증할 수 있다(S510). 또한, 사이버 위기 시나리오 생성 모델(15)은 공격 절차 관련 데이터에 대응되는 위협 행위 데이터가 MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)와 적절하게 매칭되었는지에 관한 정보 적합성을 검증할 수 있다(S520).
사이버 위기 시나리오 생성 모델(15)이 TTPs의 고유 식별 정보를 매칭하고 이를 기반으로 사이버 위기 시나리오 템플릿을 생성한 후에, 텍스트 처리 모델 및 이미지 처리 모델을 활용하여 분석하고 생성한 결과물인 사이버 위기 시나리오 템플릿에 대한 신뢰성을 보장되어야 한다. 따라서, 시나리오 자동 생성 시스템(10)은 사이버 위기 보고서 내에 기재된 모든 공격 정보와 공격 절차별 위협 행위가 모두 포함되어 있는지를 위한 정보 유효성에 관한 검증 작업 및 사이버 위기 보고서 내에 기재된 전체 공격 절차와 각 공격 절차의 위협 행위별 매칭된 TTP가 적합하게 잘 매칭되었는지에 관한 정보 적합성 검증 작업이 필요하다. 사이버 위기 시나리오 생성 모델(15)은 검증을 위한 AI 모델(e.g. LLM 모델)을 이용하여, 상기 정보 유효성 및 정보 적합성 검증 작업을 수행할 수 있다.
일 실시예에서, 상기 정보 유효성 및 상기 정보 적합성이 모두 검증된 경우에 한하여, 사이버 위기 시나리오 생성 모델(15)은 사이버 위기 시나리오를 자동으로 생성할 수 있다. 즉, 사이버 위기 시나리오 템플릿의 정보 유효성 및 정보 적합성이 검증된 경우에 한하여, 사이버 위기 시나리오를 생성함으로써, 최종적으로 생성되는 사이버 위기 시나리오가 논리적으로 수행 가능한 공격 시퀀스임을 보장하여 실제 발생할 가능성이 있는 사이버 위기 시나리오를 생성할 수 있다.
이하에서는, 도 7을 참조하여 본 개시의 몇몇 실시예들에 따른 사이버 위기 시나리오 자동 생성 시스템(10)을 구현할 수 있는 예시적인 컴퓨팅 시스템(1000)에 대하여 설명하도록 한다. 도 7은 본 개시의 몇몇 실시예들에 따른 시스템들을 구현할 수 있는 예시적인 컴퓨팅 시스템에 관한 도면이다.
도 7의 컴퓨팅 시스템(1000)는, 하나 이상의 프로세서(1100), 시스템 버스(1600), 통신 인터페이스(1200), 프로세서(1100)에 의하여 수행되는 컴퓨터 프로그램(1500)을 로드(load)하는 메모리(1400)와, 컴퓨터 프로그램(1500)을 저장하는 스토리지(1300)를 포함할 수 있다.
도 7의 컴퓨팅 시스템(1000)은, 예를 들어 도 1를 참조하여 설명한 사이버 위기 시나리오 자동 생성 시스템(10)을 구성하는 하나 이상의 컴퓨팅 장치의 하드웨어 구조를 제시하는 것일 수 있다.
프로세서(1100)는 컴퓨팅 장치(1000)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1100)는 본 개시의 다양한 실시예들에 따른 방법/동작을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 메모리(1400)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1400)는 본 개시의 다양한 실시예들에 따른 방법/동작들을 실행하기 위하여 스토리지(1300)로부터 하나 이상의 컴퓨터 프로그램(1500)을 로드(load) 할 수 있다. 스토리지(1300)는 하나 이상의 컴퓨터 프로그램(1500)을 비임시적으로 저장할 수 있다.
컴퓨터 프로그램(1500)은 본 개시의 다양한 실시예들에 따른 방법/동작들이 구현된 하나 이상의 인스트럭션들(instructions)을 포함할 수 있다. 컴퓨터 프로그램(1500)이 메모리(1400)에 로드 되면, 프로세서(1100)는 상기 하나 이상의 인스트럭션들을 실행시킴으로써 본 개시의 다양한 실시예들에 따른 방법/동작들을 수행할 수 있다.
일 실시예에서, 컴퓨터 프로그램(1500)은, 사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 동작, 상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 동작, 상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 동작, MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 동작, 상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 동작 및 상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 동작을 수행하는 인스트럭션들(instructions)을 포함할 수 있다.
지금까지 도 1 내지 도 7을 참조하여 본 개시의 다양한 실시예들 및 그 실시예들에 따른 효과들을 언급하였다. 본 개시의 기술적 사상에 따른 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
또한, 이상의 실시예들에서 복수의 구성요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 개시의 기술적 사상이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 개시의 기술적 사상의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
지금까지 설명된 본 개시의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 컴퓨터로 읽을 수 있는 기록 매체에 기록된 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.

Claims (19)

  1. 컴퓨팅 시스템에 의해 수행되는 방법에 있어서,
    사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계;
    상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계;
    상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계;
    MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계;
    상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계; 및
    상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함하고,
    상기 사이버 위기 시나리오 템플릿을 생성하는 단계는,
    상기 공격 절차 및 행위 정보에 따라, 상기 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차 각각의 내용이 상기 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교하는 단계; 및
    상기 비교의 결과에 기초하여, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각이 상기 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  2. 제1 항에 있어서,
    상기 공격 절차 및 행위 정보를 추출하는 단계는,
    상기 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의하는 단계; 및
    상기 구성 요소 및 상기 관계에 기초하여, 상기 공격 절차 및 행위 정보를 추출하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  3. 제1 항에 있어서,
    상기 공격 절차 관련 데이터로 생성하는 단계는,
    상기 텍스트 데이터에 포함된 상기 제1 공격 절차 및 상기 제2 공격 절차에 대하여, 공격 수행 순서에 따라 수행 순서 고유 식별 정보를 생성하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  4. 삭제
  5. 제1 항에 있어서,
    상기 공격 절차 관련 데이터는,
    공격 대상인 조직에 관한 정보, 수행된 공격에 관한 정보 및 상기 수행된 공격에 대한 태그를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  6. 제5 항에 있어서,
    상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하는 단계는,
    상기 수행된 공격에 관한 정보에 대하여, 의미 분석(Semantic Analysis)를 수행하는 단계; 및
    상기 의미 분석의 수행 결과를 이용하여, 상기 수행된 공격에 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  7. 컴퓨팅 시스템에 의해 수행되는 방법에 있어서,
    사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계;
    상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계;
    상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계;
    MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계;
    상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계; 및
    상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함하고,
    상기 사이버 위기 시나리오 템플릿을 생성하는 단계는,
    상기 사이버 위기 시나리오 템플릿이 상기 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성을 검증하는 단계; 및
    상기 위협 행위 데이터가 상기 MITRE ATT&CK 프레임워크에 정의된 TTPs와 매칭되었는지에 관한 정보 적합성을 검증하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  8. 제7 항에 있어서,
    상기 사이버 위기 시나리오를 자동으로 생성하는 단계는,
    상기 정보 유효성 및 상기 정보 적합성이 모두 검증된 경우에 한하여, 상기 사이버 위기 시나리오를 자동으로 생성하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  9. 제1 항에 있어서,
    상기 사이버 위기 시나리오를 자동으로 생성하는 단계는,
    상기 사이버 위기 시나리오 템플릿에 포함된 상기 위협 행위 데이터에 대응되는 실행 요소를 추가하는 단계를 포함하는,
    사이버 위기 시나리오 자동 생성 방법.
  10. 통신 인터페이스;
    컴퓨터 프로그램이 로드되는 메모리; 및
    상기 컴퓨터 프로그램이 실행되는 하나 이상의 프로세서를 포함하되,
    상기 컴퓨터 프로그램은,
    사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 동작;
    상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 동작;
    상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 동작;
    MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 동작;
    상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 동작; 및
    상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 동작을 수행하는 인스트럭션들(instructions)을 포함하고,
    상기 사이버 위기 시나리오 템플릿을 생성하는 동작은,
    상기 공격 절차 및 행위 정보에 따라, 상기 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차 각각의 내용이 상기 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교하는 동작; 및
    상기 비교의 결과에 기초하여, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각이 상기 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  11. 제10 항에 있어서,
    상기 공격 절차 및 행위 정보를 추출하는 동작은,
    상기 이미지 데이터에 포함된 구성 요소 및 상기 구성 요소 간의 관계를 정의하는 동작; 및
    상기 구성 요소 및 상기 관계에 기초하여, 상기 공격 절차 및 행위 정보를 추출하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  12. 제10 항에 있어서,
    상기 공격 절차 관련 데이터로 생성하는 동작은,
    상기 텍스트 데이터에 포함된 상기 제1 공격 절차 및 상기 제2 공격 절차에 대하여, 공격 수행 순서에 따라 수행 순서 고유 식별 정보를 생성하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  13. 삭제
  14. 제10 항에 있어서,
    상기 공격 절차 관련 데이터는,
    공격 대상인 조직에 관한 정보, 수행된 공격에 관한 정보 및 상기 수행된 공격에 대한 태그를 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  15. 제14 항에 있어서,
    상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하는 동작은,
    상기 수행된 공격에 관한 정보에 대하여, 의미 분석(Semantic Analysis)를 수행하는 동작; 및
    상기 의미 분석의 수행 결과를 이용하여, 상기 수행된 공격에 대응되는 MITRE ATT&CK 프레임워크에 정의된 TTP-ID를 매칭하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  16. 통신 인터페이스;
    컴퓨터 프로그램이 로드되는 메모리; 및
    상기 컴퓨터 프로그램이 실행되는 하나 이상의 프로세서를 포함하되,
    상기 컴퓨터 프로그램은,
    사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 동작;
    상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 동작;
    상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 동작;
    MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 동작;
    상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 동작; 및
    상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 동작을 수행하는 인스트럭션들(instructions)을 포함하고,
    상기 사이버 위기 시나리오 템플릿을 생성하는 동작은,
    상기 사이버 위기 시나리오 템플릿이 상기 사이버 위기 보고서의 컨텐츠를 모두 포함하는지에 관한 정보 유효성을 검증하는 동작; 및
    상기 위협 행위 데이터가 상기 MITRE ATT&CK 프레임워크에 정의된 TTPs와 매칭되었는지에 관한 정보 적합성을 검증하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  17. 제16 항에 있어서,
    상기 사이버 위기 시나리오를 자동으로 생성하는 동작은,
    상기 정보 유효성 및 상기 정보 적합성이 모두 검증된 경우에 한하여, 상기 사이버 위기 시나리오를 자동으로 생성하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  18. 제10 항에 있어서,
    상기 사이버 위기 시나리오를 자동으로 생성하는 동작은,
    상기 사이버 위기 시나리오 템플릿에 포함된 상기 위협 행위 데이터에 대응되는 실행 요소를 추가하는 동작을 포함하는,
    사이버 위기 시나리오 자동 생성 시스템.
  19. 컴퓨팅 장치와 결합되어,
    사이버 위기 보고서에 포함된 컨텐츠의 유형을 분류하고, 상기 사이버 위기 보고서로부터 이미지 데이터 및 텍스트 데이터를 추출하는 단계;
    상기 이미지 데이터를 이미지 처리 모델에 입력하고, 상기 이미지 데이터에 포함된 공격 절차 및 행위 정보를 추출하는 단계;
    상기 텍스트 데이터를 텍스트 처리 모델에 입력하고, 상기 텍스트 데이터에 포함된 각 공격 절차를 정형화된 공격 절차 관련 데이터로 생성하는 단계;
    MITRE ATT&CK 프레임워크에 정의된 TTPs(Tactics, Techniques and Procedures)의 고유 식별 정보를 이용하여, 상기 공격 절차 관련 데이터에 대응되는 위협 행위 데이터를 생성하고, 상기 위협 행위 데이터를 상기 공격 절차 관련 데이터에 병합하는 단계;
    상기 공격 절차 관련 데이터를 상기 공격 절차 및 행위 정보와 매칭하고, 사이버 위기 시나리오 템플릿을 생성하는 단계; 및
    상기 공격 절차 관련 데이터 및 상기 사이버 위기 시나리오 템플릿에 기초하여, 사이버 위기 시나리오를 자동으로 생성하는 단계를 실행시키고,
    상기 사이버 위기 시나리오 템플릿을 생성하는 단계는,
    상기 공격 절차 및 행위 정보에 따라, 상기 텍스트 데이터에 포함된 제1 공격 절차 및 제2 공격 절차 각각의 내용이 상기 사이버 위기 보고서에 작성된 공격 절차의 모든 내용을 포함하는지 여부를 비교하는 단계; 및
    상기 비교의 결과에 기초하여, 상기 제1 공격 절차 및 상기 제2 공격 절차 각각이 상기 사이버 위기 보고서에 작성된 각 공격 절차와 일치하는지 여부를 비교하는 단계를 포함하는,
    컴퓨터로 판독가능한 기록매체에 저장된 컴퓨터 프로그램.
KR1020250021397A 2025-02-19 2025-02-19 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법 Active KR102836867B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020250021397A KR102836867B1 (ko) 2025-02-19 2025-02-19 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법
US19/183,089 US12452295B1 (en) 2025-02-19 2025-04-18 Ai multi-domain integrated system and method for automatic generation of cyber crisis scenario

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020250021397A KR102836867B1 (ko) 2025-02-19 2025-02-19 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102836867B1 true KR102836867B1 (ko) 2025-07-21

Family

ID=96583723

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020250021397A Active KR102836867B1 (ko) 2025-02-19 2025-02-19 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US12452295B1 (ko)
KR (1) KR102836867B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200065387A1 (en) * 2018-08-24 2020-02-27 Royal Bank Of Canada Systems and methods for report processing
KR20230089822A (ko) * 2021-12-14 2023-06-21 (주)유엠로직스 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법
KR20240067476A (ko) * 2022-11-09 2024-05-17 한국인터넷진흥원 인공 지능에 기반한 플레이북 자동 생성과 유효성 검증을 위한 시스템과 방법
KR20240073317A (ko) 2022-11-18 2024-05-27 가천대학교 산학협력단 사이버 공격 시나리오 생성 방법 및 장치

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10600335B1 (en) * 2017-09-18 2020-03-24 Architecture Technology Corporation Adaptive team training evaluation system and method
KR102047929B1 (ko) 2018-01-11 2019-11-25 주식회사 케이티 웹사이트 검증 방법
KR102008707B1 (ko) 2019-03-26 2019-08-09 이종훈 업무 리스크 관리 시스템
US20220279015A1 (en) * 2021-02-26 2022-09-01 ArmorBlox, Inc. Method for detecting financial attacks in emails
KR102698547B1 (ko) 2021-03-19 2024-08-26 인제대학교 산학협력단 플랜트 절차서를 음성 인터페이싱을 지원하는 스마트 절차서로 변환하는 방법 및 시스템
US12170685B2 (en) * 2022-03-24 2024-12-17 Microsoft Technology Licensing, Llc Multi-dimensional risk assesment, reporting, and mitigation for computational and communication systems
US12445488B2 (en) * 2023-04-28 2025-10-14 Karthik Shourya Kaligotla Webpage phishing auto-detection
US20240411994A1 (en) * 2023-06-07 2024-12-12 NEC Laboratories Europe GmbH Extracting information from reports using large language models
US12499329B2 (en) * 2023-06-13 2025-12-16 Zscaler, Inc. Generative AI report on security risk using LLMs
US20250030730A1 (en) * 2023-07-20 2025-01-23 Darktrace Holdings Limited Modification of connections
US20250055859A1 (en) * 2023-08-07 2025-02-13 IronNet Cybersecurity, Inc. Active command and control server detection via distributed network scanning
KR102708849B1 (ko) * 2023-10-12 2024-09-25 (주)아스트론시큐리티 위협 시나리오를 판단하는 방법
US20250193210A1 (en) * 2023-12-06 2025-06-12 Shayan Ahmed Khan Malware evolution for proactive cyber defense

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200065387A1 (en) * 2018-08-24 2020-02-27 Royal Bank Of Canada Systems and methods for report processing
KR20230089822A (ko) * 2021-12-14 2023-06-21 (주)유엠로직스 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법
KR20240067476A (ko) * 2022-11-09 2024-05-17 한국인터넷진흥원 인공 지능에 기반한 플레이북 자동 생성과 유효성 검증을 위한 시스템과 방법
KR20240073317A (ko) 2022-11-18 2024-05-27 가천대학교 산학협력단 사이버 공격 시나리오 생성 방법 및 장치

Also Published As

Publication number Publication date
US12452295B1 (en) 2025-10-21

Similar Documents

Publication Publication Date Title
Gotthardt et al. Current state and challenges in the implementation of smart robotic process automation in accounting and auditing
Rouland et al. Specification, detection, and treatment of STRIDE threats for software components: Modeling, formal methods, and tool support
EP4435649A1 (en) Apparatus and method for automatically analyzing malicious event log
CN110147540B (zh) 业务安全需求文档生成方法及系统
CN115268847A (zh) 区块链智能合约的生成方法、装置及电子设备
US11625483B2 (en) Fast identification of trustworthy deep neural networks
Yin et al. Digital Forensics in the Age of Large Language Models
US12333281B2 (en) Method and system for automated discovery of artificial intelligence (AI)/ machine learning (ML) assets in an enterprise
Shen et al. GHGDroid: Global heterogeneous graph-based android malware detection
US12265618B1 (en) System and method for efficient malicious code detection and malicious open-source software package detection using large language models
CN117349159A (zh) 一种自动化业务逻辑漏洞挖掘方法
Pham et al. Verifying neural networks against backdoor attacks
WO2025062356A1 (en) Method and system for the automatic detection of cyber vulnerabilities in an api
CN115795058B (zh) 一种威胁建模方法、系统、电子设备及存储介质
Chernyshev et al. Towards Large Language Model (LLM) Forensics Using LLM-based Invocation Log Analysis
KR102836867B1 (ko) 사이버 위기 시나리오 자동 생성을 위한 ai 멀티 도메인 통합 시스템 및 그 방법
CN118626379B (zh) 面向Hyperledger Fabric的智能合约漏洞检测方法与系统
Adebiyi et al. Security assessment of software design using neural network
Buvvaji et al. Cybersecurity in the Age of Big Data: Implementing Robust Strategies for Organizational Protection
Aguilera et al. Deep learning CNN implementation on packed malware for cloud cross domain solution filters
Maiti Capturing, Eliciting, and Prioritizing (CEP) Non-Functional Requirements Metadata during the Early Stages of Agile Software Development
WO2015083178A1 (en) Tools of advanced model of software engineering and software testing management
CN116010951A (zh) 电力区块链智能合约安全检测方法、装置、设备及介质
Ali et al. Power of Fuzzing and Machine Learning in Smart Contract Security Validation
CN120750631B (zh) 基于自然语言处理的安全事件研判脚本生成方法及装置

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PA0302 Request for accelerated examination

St.27 status event code: A-1-2-D10-D16-exm-PA0302

PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601