Advanced High-interaction Client Honeypot에 관한 연구

악성 웹사이트를 통한 악성 행위 코드를 사용자 모르게 사용자의 컴퓨터로 다운받은 후 악의적 행위를 하는 Drive-by Download 공격이 날로 증가하고 있다. 악성 웹사이트의 증가로 인한 개인 정보 유출 또는 사회 공공 기관에 대한 사이버 공격 등이 발생하여 사회적으로 큰 문제가 되고 있다. 따라서 이러한 악성 웹사이트를 분석하여 보다 안전한 인터넷사용 환경을 만들기 위한 연구가 많이 진행되고 있다. 웹사이트 분석 방식 중 하나 인 High-interaction client honeypot을 이용하여 웹사이트 분석 및 악성 행위 코드를 수집, 분석하는 방식이 있다. High-interaction client honeypot은 웹사이트를 직접 방문하여 웹사이트가 모든 작업을 종료한 후 시스템의 변화를 감지하여 웹사이트를 분석한다. 따라서 악성 웹사이트를 방문한 이후 분석 시스템은 공격을 당해서 시스템이 오염된다. 이러한 이유로 웹사이트 분석 후 분석 시스템을 초기화하는 작업이 수반된다. 초기화 작업에는 시간이 소요되며 악성 웹사이트 방문 회수만큼 시스템을 초기화해야 한다. 이러한 단점을 보완하기 위해 시스템의 특정 부분에서만 파일을 쓰고 읽고 변경이 가능하도록 설정한 Advanced high-interaction client honeypot 방식을 제안한다.