[Cyber Crime Tracker (CCT) ①] Rethinking Harmful Websites: The Cybercrime Ecosystem Perspective and the Need for the CCT Framework

최 규현

Harmful websites rarely operate as isolated, standalone entities. Instead, they are typically run as interconnected networks, where a single operating organization manages multiple types of harmful sites in parallel. To effectively respond to this evolving threat landscape, our research team is developing the Cyber Crime Tracker (CCT) framework, designed to reflect the structural and operational characteristics of harmful website ecosystems. This blog series introduces the overall CCT research approach, focusing on how relationships between harmful sites and their underlying operating organizations can be identified and analyzed. In Part 1, we first provide a brief overview of the key characteristics of harmful websites. We then discuss the necessity of research aimed at technically detecting these ecosystems and analyzing inter-site relationships to uncover shared operational origins.

[CCT (Cyber Crime Tracker) ①] 유해사이트를 다시 보다: 사이버 범죄 생태계 관점과 CCT 프레임워크의 필요성

최 규현

유해사이트들은 단일 사이트로 존재하기보다 서로 연결된 네트워크 형태로 결합되어 운영되고, 하나의 운영 조직이 여러 유형의 유해사이트를 병렬적으로 관리하는 구조를 보이고 있습니다. 이런 위협에 효과적으로 대응하기 위해 우리 연구팀은 유해사이트의 특징을 반영하여 CCT(Cyber Crime Tracker) 프레임워크를 연구하고 있습니다. 시리즈로 기획된 이번 포스팅에선 동일한 운영 조직과 유해사이트간 연관성을 색출하기 위한 CCT의 전반적인 연구 내용을 시리즈로 정리해 소개합니다. 본 1편에서는 유해사이트의 특징을 간략히 살펴본 뒤, 이러한 생태계를 기술적으로 탐지하고 사이트 간 연관 관계를 분석하기 위한 연구의 필요성에 대해 소개하고자 합니다.

T9 Project’s 3rd Attack Data (T9 Attack) and Cyber Threat Detection (T9 Detect) Preview

신 강식

As cyber threats become increasingly diverse and sophisticated, traditional rule-based security approaches alone are finding it difficult to effectively identify anomalous or malicious network behaviors.
In response, AI-based detection enables more precise threat identification by comprehensively analyzing traffic patterns across packets, flows, and sessions.
Accordingly, Detect supports detection performance validation and analysis by constructing nine attack scenarios based on recently observed real-world attacks, providing corresponding attack traffic and environments for each scenario. This allows flexible detection not only of known threats but also of previously undefined new types of attacks.
Furthermore, relying solely on AI carries the limitation that it can be difficult to understand why a particular detection result was produced. To address this, XAI clearly explains which features and behaviors influenced the decision during the detection process. The Detect and XAI technologies currently in preparation will be released soon, delivering a highly reliable next-generation security detection solution that reflects real-world attack environments.

T9 Project의 세 번째 공격 데이터(T9 Attack) 공개와 사이버 위협 탐지(T9 Detect) 프리뷰

신 강식

사이버 위협이 점점 다양하고 정교해지면서, 기존의 규칙 기반 보안 방식만으로는 이상하거나 악성인 네트워크 행위를 효과적으로 식별하기 어려워지고 있다.
이에 따라 AI 기반 탐지는 패킷, 플로우, 세션 전반의 트래픽 패턴을 종합적으로 분석해 보다 정밀한 위협 탐지를 가능하게 한다.
따라서, Detect는 이러한 분석을 바탕으로 최근 실제로 발생한 공격을 기반으로 한 9개 공격 시나리오를 구성해, 각 시나리오에 맞는 공격 트래픽과 환경을 함께 제공함으로써 탐지 성능 검증과 분석을 지원을 통해 이미 알려진 공격은 물론, 기존에 정의되지 않았던 새로운 유형의 위협까지 유연하게 탐지하도록 제공합니다.
그 뿐만 아니라 AI에만 의존할 경우, 탐지 결과가 왜 도출되었는지 알기 어렵다는 한계가 존재하기 때문에 이를 해결하기 위해 XAI는 탐지 과정에서 어떤 특징과 행위가 결정에 영향을 미쳤는지를 명확히 설명한다. 현재 준비 중인 Detect와 XAI 기술은 곧 출시될 예정으로, 실제 공격 환경을 반영한 신뢰도 높은 차세대 보안 탐지를 제공하게 될 것이다.

LLM & RAG based Cyber Threat Prediction Part. 1 (Understanding)

박 상류

Recent cyber attacks have evolved beyond single techniques, adopting multi-stage, high-speed, and tactical approaches that clearly expose the limitations of existing defense systems. This article examines why traditional, simple pattern-based threat prediction is insufficient in this changed environment and introduces a proactive cyber threat prediction approach combining LLM and RAG as a solution to overcome these limitations. This article serves as the first part for conceptual understanding. In the upcoming series, we will provide a step-by-step explanation covering the actual architecture design and implementation process.

LLM 및 RAG 기반 사이버 위협 예측 1탄 (이해하기)

박 상류

최근 사이버 공격은 단일 기법에 머무르지 않고 다단계·고속·전술적 방식으로 진화하며 기존 대응 체계의 한계를 분명히 드러내고 있습니다. 본 글에서는 이러한 변화된 환경 속에서 기존의 단순 패턴 기반 위협 예측이 왜 충분하지 않은지 살펴보고, 이를 극복하기 위한 방안으로 LLM과 RAG를 결합한 선제적 사이버 위협 예측 접근법을 소개하고자 합니다. 이번 글은 개념 이해를 위한 첫 번째 편으로, 이어지는 연재에서는 실제 아키텍처 설계와 구현 과정까지 단계적으로 설명해 드릴 예정입니다.

보이스피싱 대응을 위한 전술 매트릭 설계

정 진

보이스피싱은 이제 단순한 전화 사기를 넘어 딥페이크 음성, 생성형 AI 등 기술과 심리 조작이 결합된 복합 범죄로 발전하고 있습니다. 이에 KAIST 사이버보안연구센터는 보이스피싱 범죄자의 행위를 단계별 전술로 구조화한 보이스피싱 전술 매트릭을 제안했습니다. 본 글에서는 기존 데이터 기반 분석 대응 방법에 대한 한계를 짚고, 보이스피싱 범죄 절차를 전술 단위로 체계화한 매트릭의 구성과 실제 사례 적용을 통해 보이스피싱의 흐름을 분석하는 새로운 관점을 소개합니다.

네트워크 사이버위협 탐지 모델 만들기 (1) – 전처리의 모든 것

손 진혁

디지털 전환 속도에 발맞춰 사이버 공격도 고도화되고 있는 오늘날, 정형화된 통계 정보만으로는 네트워크 위협을 탐지하는 데 한계가 있습니다. 이에 KAIST 사이버보안연구센터는 네트워크의 통계 정보와 비정형 페이로드 데이터를 동시에 분석하는 하이브리드 탐지 모델을 제안하며, 이를 위한 전처리 체계를 구축했습니다. 본 글에서는 네트워크 트래픽의 원천 데이터인 pcap 파일을 기반으로 CICFlowMeter를 활용한 정형 피처 추출, 커스텀 디코딩을 통한 페이로드 정제, 그리고 프로토콜 자동 식별까지 탐지 모델의 기반이 되는 전처리 과정 전반을 상세히 소개합니다.

딥페이크가 당신을 노린다! 온디바이스 AI 기반 딥페이크 생성 방지

고 기혁

딥페이크 기술의 정교화와 온디바이스 AI 기술의 발전으로 누구나 손쉽게 위조 콘텐츠를 제작·확산할 수 있는 우려가 커지고 있지만, 반대로 온디바이스 AI는 외부 서버에 의존하지 않고도 실시간으로 딥페이크를 탐지하거나 방지할 수 있는 효과적인 수단이 될 수 있습니다. 이에 KAIST 사이버보안연구센터는 주식회사 엔텀과 함께 SNS 사진 등에서 딥페이크 생성을 사전에 차단하는 노이즈를 자동 삽입하는 방식의 안드로이드 앱 DFGuard를 개발하였습니다. 본 글에서는 DFGuard의 작동 원리와 구현 방식, 데모를 통한 활용 방법을 소개합니다.

소스코드를 이해하여 취약점을 탐지하는 언어모델(구현 및 검증)

박 상류

생성형 인공지능은 다양한 분야에서 활용 가능성이 빠르게 확장되고 있으며, 그 활용 방법 또한 날로 진화하고 있습니다. 그중 앞선 블로그에서 소개드렸던 생성형 인공지능을 활용한 코드 취약점 탐지에 대하여 이번 블로그에서는 실제 코드 취약점 데이터의 전처리 및 프롬프트화 그리고 생성형 모델을 학습하고 활용하는 방법을 소개해 드리겠습니다. 또한 이렇게 학습된 모델의 실제 취약점 탐지 성능을 확인해 보도록 하겠습니다.