1. 사이트맵(Site Map)

2. 페이지 설명

[로그인 페이지]

홈페이지 접속시 로그인을 통해 허용된 사용자만 메인 페이지로 이동할 수 있음

[관리자 페이지]

일반 사용자 계정은 권한이 없어, 관리자 페이지에 접근이 불가능함

관리자페이지에서 계정 변경 및 페이지 코드를 수정할 수 있음

[진단 가능한 취약점 목록]

페이지별 여러 취약점을 진단할 수 있는 환경이 구축되어 있음

[게시판]

ORACLE, MYSQL 등 여러 데이터베이스로 구축된 게시판에서 환경에 맞게 진단할 수 있음

[파일 업로드 취약점(File Upload)]

취약점 별 단계가 있으며 어떤 로직을 사용하고 있는지 확인할 수 있음

[크로스사이트스크립팅(XSS)]

크로스사이트스크립팅 취약점 진단 화면

(본 페이지는 해킹 사고를 대비해 접속, 생성 등 각종 로그를 수집하고 있으며 주 단위로 백업을 하고 있습니다.)

3. 모의해킹 결과 보고서

1. XSS와 CSRF 취약점 분석 및 모의해킹 시나리오

2. SSRF 취약점 분석 및 모의해킹 시나리오

1. 프로젝트 배경

[침해사고 교육의 한계점]

침해사고 연구는 기업 보안과 직결된 민감한 문제이기 때문에 실제 사례 이미지나 자료가 공유되지 않습니다.

특히 초심자에게는 실제 공격 환경을 구축하는 것 자체가 어려울 수 있습니다. 이에 초심자도 침해사고를 안전하게 연구할 수 있는 학습 환경을 제공하고자 합니다.

2. 본인의 역할

프로젝트 총괄 및 모의해킹

3. 프로젝트 목표

기업 내부망과 유사한 환경을 구축한 후, 실제와 같은 조건에서 모의해킹을 실시하여 정보 탈취 시점을 기록한 덤프 파일을 생성함으로써 침해사고 연구에 필요한 학습 환경을 제공합니다. 이를 통해 초심자나 보안 전문가들이 현실적인 시나리오에서 침해사고의 흐름을 이해하고 분석할 수 있도록 돕고자 합니다.

[그림 1] 망 구성도

[그림 2] 데이터 흐름도

4. 공격 시나리오

1. 목표 설정

• 목표: 내부 서버에 저장된 핵심 기술 정보(설계도, 렌즈 제조 기술, 고객 및 회원 정보 등)를 탈취하여 금전적 이득을 얻음

• 대상: 내부망의 특정 사용자('User 1')와 'Office_SERVER'에 접근하는 사용자 계정

2. 정보 수집

[공개 정보 수집]

• 인사팀 이메일 정보: 회사의 채용 공고에 공개된 인사팀 이메일 주소를 수집하여 악성 메일 발송용으로 사용

• 회사 관계자 이메일 수집: 회사 웹사이트, 공개된 SNS 프로필, 회사 행사 참여자 목록 등을 크롤링하여 내부 관계자 이메일 주소를 대량 수집

3. 사회 공학 기법을 이용한 이메일 스푸핑

[스푸핑 메일 작성]

• 인사팀 주소로 위장하여, 특정 수신자에게 연봉 계약서, 보안 정책 업데이트, IT 지원 요청 등을 가장한 악성 파일을 첨부

• 메일 내용: 연봉 계약서 파일에 VBA 매크로를 포함하여, 문서 열람 시 매크로가 실행되도록 함

4. 악성 문서 다운로드 및 실행

[문서 다운로드 및 실행]

• 내부 사용자(User 1)가 연봉 계약서 문서를 다운로드하여 실행하면, VBA 매크로가 자동으로 실행되어 외부 서버에서 키로거와 정보 수집용 악성 스크립트를 다운로드.

[초기 정보 수집 시작]

키로거가 활성화되어, 사용자의 로그인 자격 증명, 주요 정보 입력 패턴을 수집하여 공격자가 원격으로 확인할 수 있도록 함

5. 지속적인 백도어 설치 및 권한 유지

[백도어 설치 및 윈도우 이벤트 등록]

• 악성 코드가 윈도우 이벤트와 레지스트리에 등록되어 백도어가 PC 부팅 시 지속적으로 실행되도록 설정

6. 내부망 측면 이동 및 권한 상승

[공유 폴더 변조 및 권한 획득]

• 사내 공용 폴더에서 업무에 사용되는 카메라 부품 이미지 파일(.png)을 찾아내어 악성 파일로 변조

• 변조된 파일을 통해 카메라 부품 디자인 담당자(designer)의 PC에 악성 코드를 주입, 디자이너 PC(design PC)의 권한을 탈취

[권한 상승 및 랜섬웨어 배포]

• 권한을 획득한 후, 랜섬웨어를 내부망의 여러 사용자 PC에 배포하여 데이터 접근성을 제한

7. 관리자 권한 탈취

[관리자 대상 악성 파일 전송]

• 탈취한 디자이너 권한을 이용하여 변조된 이미지 파일을 관리자에게 이메일로 전송하거나 공유 폴더에 배포

[관리자 권한 획득 및 추가 정보 수집]

• 관리자가 이미지 파일을 열람할 때 관리자 권한을 탈취하는 프로그램이 실행되며, DB 서버 접근 권한을 확보

8. DB 접근 및 데이터 탈취

[DB 서버 접근]

• 탈취한 관리자 권한을 사용하여 DB 서버에 접근, 회사의 핵심 기술 정보(설계도, 제조 기술), 회원 정보 등 주요 데이터를 추출

[데이터 전송 및 정리]

• 탈취한 데이터를 암호화하여 외부 서버로 전송하며, 탐지를 피하기 위해 소량씩 전송하거나 은닉 채널을 사용

[로그 삭제 및 흔적 은폐]

로그 파일을 삭제하거나 조작하여 데이터 탈취의 흔적을 은폐함으로써 탐지 시간을 지연

[그림 3] CTF 문제 형태의 학습 가이드 라인 제공 1

[그림 4] CTF 문제 형태의 학습 가이드 라인 제공 2

1. 개발 배경 및 문제 해결

문제점 : 경계 보안의 한계와 비용 부담

• 탐지 공백 : 기존 시그니처 기반의 스팸 필터는 정상 메일로 위장한 정교한 피싱 공격(APT 등)을 100% 차단하지 못해 사내 보안 위협 지속

• 비용 효율성 저하 : 모든 의심 메일을 고가의 상용 분석 솔루션으로 처리하기에는 라이선스 비용 부담이 과다함

해결 방안 : 선별적 필터링과 하이브리드 진단 체계

• 다단계 필터링 파이프라인 : 신뢰할 수 있는 화이트리스트 IP와 중복 데이터를 사전에 제거하는 전처리 로직을 도입하여 분석 대상을 최적화

• 하이브리드 엔진 (API + AI) : 1차적으로 외부 위협 인텔리전스(TI) API로 평판을 조회하고, API 호출 한계를 넘거나 심층 분석이 필요한 영역은 Random Forest 모델이 보완하는 상호 보완적 구조 설계

2. 시스템 아키텍처 및 프로세스

• 데이터 수집 및 정제 : 사내 메일 로그 수집 후, 화이트리스트 필터링 및 중복 제거를 통해 분석 대상 트래픽을 약 40% 이상 압축

• 외부 인텔리전스 분석 : 정제된 IP 목록을 보안 API에 질의하여 평판 점수, 공격 이력, 블랙리스트 등재 여부 확인

• AI 심층 진단 : 발송 패턴, 헤더 정보, 본문 키워드 등의 특징을 기반으로 악성 확률 예측

• 통합 관제 : Flask 기반 대시보드에서 진단 리포트 시각화 및 분석 결과 아카이빙(재활용 가능한 데이터 구조화)

[그림 1] 진단 프로세스

3. 주요 기술적 구현

[API 비용 최적화를 위한 지능형 전처리 로직]

• 외부 유료 API의 호출 횟수 제한을 극복하기 위해, 내부 정책에 따른 사전 필터링 알고리즘 구현

• 신뢰도 높은 도메인과 단순 공지성 메일을 제외하고 실제 위협 가능성이 있는 데이터만 선별하여 API 리소스를 효율적으로 배분

[Random Forest 기반 자체 탐지 모델 개발]

• 외부 솔루션 의존도를 낮추기 위해 사내에 축적된 악성/정상 메일 데이터를 기반으로 머신러닝 모델 학습

• 과적합(Overfitting) 방지에 유리하고 데이터 해석이 용이한 Random Forest 알고리즘을 채택하여, API 연동 없이도 독립적인 위협 탐지가 가능한 로직 구현

[진단 리포트 구조화 및 자산화]

• 일회성 분석에 그치지 않고, 진단 결과를 DB에 정형화된 형태로 저장하여 추후 동일 위협 발생 시 API 재호출 없이 즉시 식별 가능한 캐싱 효과 구현

• 분석된 위협 정보를 시계열로 관리하여 공격 트렌드 분석의 기초 데이터로 활용

4. 프로젝트 성과

• 비용 절감 : 고가의 외부 상용 분석 솔루션 도입을 자체 개발 시스템으로 대체하여 연간 약 2,000만 원 수준의 라이선스 및 운영 비용 절감

• 보안 공백 최소화 : 게이트웨이 통과 후 사용자에게 도달한 메일에 대한 '사후 전수 검사' 체계를 확립하여 잠재적 보안 사고 예방

• 운영 효율성 증대 : 자동화된 진단 리포트 생성으로 보안 담당자의 수동 분석 시간을 획기적으로 단축

[그림 2] 대시보드 : 전체 데이터를 일,주,월,년 단위로 조회하고 관리 (이미지 데이터는 임의 데이터로 기입)

[그림 3] AI 진단 하고자 하는 일자를 선택하면 AI 진단 결과를 악성, 안전으로 표기함.

※ 본 화면은 실제 운영 데이터가 아닌 예시 데이터이며 시스템 UI는 개발 과정에서 개인 포트폴리오 목적에 맞게 일부 수정된 버전입니다.

1. 개발 배경 및 문제 해결

문제점 : 수동 점검의 한계와 대응 지연

• 가시성 부족: 다크웹이나 해커 포럼 등 음지에서 거래되는 정보 유출 정황을 일반적인 검색으로는 파악하기 어려움

• 비효율적 운영: 외부 유출 여부를 확인하기 위해 여러 사이트를 수동으로 검색해야 했으며, 수집된 데이터가 파편화되어 있어 체계적인 자산 식별이 불가능

해결 방안 : OSINT 자동화 및 중앙 집중형 대시보드 구축

• 멀티 채널 수집: 'Leak Lookup'와 같은 보안 API와 'SpiderFoot'을 결합하여 이메일, IP, 도메인 등 다양한 자산의 노출 여부를 광범위하게 스캔

• 데이터 정규화: 수집된 비정형 데이터를 유형별(계정, 포트, 취약점 등)로 자동 분류 및 시각화하여 관제 효율성 극대화

2. 시스템 아키텍처 및 프로세스

[데이터 수집]

• API 연동: Leak Lookup 등 보안 API를 통해 계정 정보 유출 여부 실시간 조회

• OSINT 크롤링: SpiderFoot을 활용하여 도메인/IP 기반의 심층 정보(서브도메인, 노출된 SSH 키 등) 수집

[데이터 처리]

• ETL 파이프라인: SpiderFoot에서 추출된 Raw Data를 업로드 시 시스템이 자동으로 파싱하여 유의미한 필드만 추출

• 자동 분류: 수집된 데이터를 6가지 핵심 카테고리(포트, 도메인, 이메일, 패스워드, SSH키, 토큰)로 맵핑하여 DB 적재

[분석 및 시각화]

• FastAPI 기반 대시보드에서 위협 현황 시각화 및 필터링 검색 제공

• 유출 일지 기능을 통해 조치 이력 기록 및 주간 리포트 생성 지원

3. 주요 기술적 구현

[대용량 OSINT 데이터 자동 파싱 로직 구현]

• SpiderFoot이 생성하는 방대한 엑셀 리포트에서 보안상 유의미한 데이터만 추출하는 전처리(Preprocessing) 엔진 개발

• 비정형 텍스트 데이터를 정형 데이터(MySQL Schema)로 변환하는 매핑 알고리즘을 적용하여 데이터 조회 속도 최적화

[반복 노출 취약점 추적 프로세스 정립]

• 단발성 탐지에 그치지 않고 동일 자산의 반복 유출 이력을 추적하는 유출 일지 시스템 설계

• 탐지 일시, 위협 수준, 대응 상태(조치 중/완료)를 기록하여 내역 관리 및 사후 분석 토대 마련

[통합 보안 인텔리전스 대시보드 구축]

• 분산된 위협 정보(API 결과 + 크롤링 결과)를 하나의 뷰로 통합

• 사용자 친화적인 UI를 통해 보안 비전문가도 직관적으로 자산 유출 현황을 파악할 수 있도록 UX 개선

4. 프로젝트 성과

• 탐지 소요 시간 단축: 수동 검색 대비 정보 수집 및 분석 시간을 약 70% 단축하여 신속한 초동 조치 가능

• 대응 프로세스 표준화: 산재되어 있던 유출 정보를 중앙 DB화하여, 반복되는 보안 위협 패턴을 구조적으로 파악 및 차단

• 운영 가시성 확보: 실시간에 가까운 유출 모니터링 체계를 갖춤으로써 기업 신뢰도 하락 리스크 최소화

[그림 1] 메인페이지 : 유출된 데이터 유형, 요약 정보, 유출 일지 등 다양한 정보를 한눈에 확인할 수 있음

※ 본 포트폴리오에 사용된 모든 데이터는 테스트용으로 생성된 임의의 정보이며, 실제 개인정보 또는 기업 내부 정보와는 무관합니다.

1. 개발 배경 및 문제 해결

문제점 : 수동 관제의 한계와 보안 공백

• 대응 지연: 보안 장비를 우회한 신종 위협 발생 시, 로그 수동 분석에 최소 24시간이 소요되어 골든타임 확보 실패

• 운영 비효율: 일 수천 건의 이메일을 전수 검사하며 발생하는 오탐(False Positive)으로 인해 보안 인력의 피로도 누적 및 중요 경보 누락 위험

해결 방안 : 하이브리드 분석 및 능동적 학습 루프 구축

• 하이브리드 탐지 엔진: 텍스트 분석(NLP) 모델로 1차 필터링 후, 고위험 URL/첨부파일을 외부 TI(VirusTotal 등)와 교차 검증하여 정확도 극대화

• Active Learning 파이프라인: 관제 요원의 피드백(정상/악성 판정)을 모델이 지속적으로 재학습하여, 조직 고유의 위협 패턴에 적응하는 진화형 시스템 구현

2. 시스템 아키텍처 및 프로세스

• 자동 수집 : 이메일 원문(EML) 자동 수집 및 MIME 파싱을 통한 구성 요소 분리

• AI 추론 : Header, Body, 첨부파일 메타데이터에서 특징 추출 후 LightGBM으로 악성 확률 스코어링

• 심층 검증 : 임계치를 초과한 의심 항목에 대해 TI API 비동기 조회 및 평판 분석

• 관제 및 대응 : Flask 대시보드 시각화 및 Google Chat을 통한 실시간 위협 알림 전송

3. 주요 기술적 구현 내용

[AI와 TI의 결합을 통한 의사결정 로직 최적화]

• 정적 분석(ML) 결과와 외부 평판(TI)을 가중 결합한 하이브리드 스코어링 알고리즘 설계

• Multi-threading을 적용하여 모델 추론과 API I/O 대기를 병렬 처리함으로써 파이프라인 병목 현상 해소

[데이터 선순환 구조 구축]

• 오탐/미탐 케이스에 대한 운영자 피드백을 즉시 학습 데이터셋으로 변환하는 자동화 파이프라인 구축

• 조직 내 발생하는 신규 위협 패턴을 모델이 스스로 학습하게 하여 탐지 성능의 노후화 방지

[신종 위협(Qshing) 방어를 위한 탐지 범위 확장]

• 본문 내 포함된 QR 코드 이미지를 인식하고 이를 URL 텍스트로 변환하는 디코딩 모듈 개발

• 텍스트 분석을 우회하는 큐싱(Qshing) 공격에 대응하기 위해 QR 코드에서 추출한 URL을 기존 하이브리드 분석 파이프라인에 통합하여 탐지 커버리지 확장

4. 프로젝트 성과 

• 평균 대응 시간 단축: 악성 메일 유입부터 분석 완료까지 24시간 → 실시간(수 분 이내)으로 단축하여 보안 골든타임 확보

• 업무 효율성 혁신: 전체 메일 전수 검사 방식을 탈피, AI가 선별한 상위 5% 고위험군 집중 분석 체계로 전환하여 리소스 낭비 제거

• 탐지 정확도 개선: 지속적인 피드백 루프 적용 결과, 초기 15% 수준이었던 오탐률을 3% 미만으로 안정화하여 관제 신뢰도 확보

[그림 1] PhishHawk 메인 화면

※ 본 포트폴리오에 사용된 모든 데이터는 테스트용으로 생성된 임의의 정보이며, 실제 개인정보 또는 기업 내부 정보와는 무관합니다.

...