Model Proposal for Detection Method of Cyber Attack using SIEM

https://doi.org/10.7236/JIIBC.2016.16.6.43

JIIBC 2016-6-6

SIEM을 이용한 침해사고 탐지방법 모델 제안

Model Proposal for Detection Method of Cyber Attack using SIEM

엄진국

, 권헌영

Jin-Guk Um

, Hun-Yeong Kwon

요 약 최근 각종 사이버 범죄 위협이 증가하고 있고, 근래 각종 정보시스템을 대상으로 하는 사이버 공격에 대해서 사전 탐지, 차단 등 최전방에서 초동대응을 해야 하는 보안관제센터의 중요성이 높아가고 있다. 보안관제센터, 침해대 응센터, 사이버테러 대응센터, Cert Team, SOC(Security Operater Center) 등의 이름으로 국가기관 및 금융권 등의 보안관제센터 분석인원들은 사이버 공격 예방을 위한 많은 노력들을 하고 있다. 침해사고 탐지를 위한 방법으로 관제 시스템을 이용하거나 네트워크 보안장비들을 활용하여 탐지를 하고 있다. 하지만 단순 패턴기반으로만 모니터링 하는 1 차원적인 방법으로는 침해사고의 예방을 위한 탐지방법으로 많이 부족하다. 관제시스템도 많은 발전을 하고 있으며 침 해위협에 대한 예방활동으로 탐지방법에 대한 연구들도 많이 진행하고 있다. 근래 ESM에서 SIEM 시대로 넘어가면서 관제시스템으로 많은 정보를 가져올 수 있게 되었고 필요한 데이터만을 파싱, 분석하여 침해위협 시나리오에 접목시켜 상관분석 정책을 만들 수 있게 되었다. 이에 본 논문에서는 초창기 관제시스템부터 지금의 SIEM(Security Information Event Management)을 이용한 관제시스템까지 노하우를 통하여 효과적인 침해위협의 탐지방법에 대한 사례연구를 발 표한다. 본 사례연구 결과를 통해서 우리나라의 다른 관제센터에서 침해사고 탐지를 효과적으로 할 수 있도록 도움이 되었음 한다. 과거 단순 위협 탐지가 아닌 시나리오 기반의 관제체계를 소개하고 상관분석정책에 대한 제작 및 검증 방법을 제시하고자 한다.

Abstract

Key Words :

*정회원, 고려대학교 정보보호대학원

**정회원, 고려대학교 정보보호대학원

접수일자: 2016년 10월 11일, 수정완료: 2016년 11월 15일 게재확정일자: 2016년 12월 9일

Received: 11 October, 2016 / Revised: 15 November, 2016 Accepted: 9 December, 2016

*Corresponding Author: [email protected]

Center for Information Security Technologies(CIST), Korea University, Korea

Ⅰ. 서 론

10여년 전만해도 보안관제시스템이라고 한다면 보안 장비들에 대한 가용성(Cpu, Disk, Memory) 정도만 체크 할 수 있는 수준이었다. 그 이후에 나온 관제시스템은 ESM(Enterprise Security Management)으로 한 단계 업그레이드 되었고 보안장비들의 실제 로그들을 통합하 여 관리해주는 시스템으로 발전하였다. 현재는 국내 보안 시장에서도 활발히 연구되고 있고 해외 보안시장에서도 SIEM(Security Information & Event Management)장비 들이 관제시스템으로 발전되고 있다. ESM(Enterprise Security Management)에서 SIEM(Security Information

& Event Management)으로의 발전은 매우 많은 변화를 가져다주었다. ESM은 보안장비의 로그들을 통합 관리 하여 활용하는 관제시스템이고 SIEM은 보안장비의 로 그들안에 있는 데이터필드들을 독립적으로 파싱할 수 있기 때문에 SIEM 장비는 관제를 할 수 있는 범위의 확 대에 대한 기회를 주었고 SIEM으로의 발전은 빅데이터 를 활용한 시나리오의 상관분석정책을 만들 수 있게 되 었으며, 독립적이 파싱 기능으로 정교한 분석을 할 수 있는 환경을 만들어 주었다. 국내의 대다수의 기업에서 는 환경에 따라 아직 SIEM 장비가 아닌 ESM으로 관제 시스템을 활용하는 곳도 많이 있다. ESM을 관제시스템 으로 활용하는 관제센터는 서비스를 못한다는 말은 아 니고 조금 더 효과적으로 사용 할 수 있는 방법을 알리 고자 한다.

본 논문은 SIEM을 이용한 관제시스템의 효과성을 발표 하려한다. 네트워크 보안 장비뿐만 아닌 Endpoint 보안 장비들을 포함하여 침해사고 예방에 대하여 시나 리오를 만들어서 위협 탐지를 할 수 있는 효과적인 방법 들을 제시하고 ESM으로는 모니터링을 할 수 없는 영역 의 위협들에 대해서 상관분석정책을 이용하여 가능 하 게하는 시나리오 기반 관제체계를 연구하고 상관분석정 책에 대한 검증체계를 제안하도록 하겠다.

Ⅱ. 보안관제 시스템과 업무분석

1. ESM

해킹문제에 대해서 처음 등장한 침입탐지시스템 (Intrusion Detection System)은 로컬 네트워크나 호스 트에 위치하여 분석을 통해서 공격이나 불법행위 등을

탐지하여 대응방안을 세울 수 있게 하는 방어벽의 역할 을 하였고, 복잡한 정보 인프라의 안전성을 향상시키는 기술을 제공하였다.(1).

그 후로 침입탐지시스템 등의 여러 가지 보안장비들 의 로그들을 취합하는 ESM이 등장한다. ESM은 이미 2000년 말부터 국내에 출시되기 시작했다. 이전부터 존 재했던 NMS(Nework Managemant System) 형태의

‘Enterprise System Management‘ 개념이 'Enterprise Security Management' 로 발전한 것인데, 방화벽이나 VPN 등을 제외한 IDS, IPS 등의 네트워크 보안솔루션 시장을 활성화 된 시점이 ’1.25대란’ 이고 그 당시 ESM 은 다른 보안솔루션부에서 수집한 정보에 대한 관리와 분석의 ‘통합’을 기치로 내걸고 탄생하게 되었다(2).

ESM은 네트워크보안 장비들의 로그들을 수집하여 관리, 분석하는 ‘통합’을 보여주었지만 정교하지는 못하 였다. 로그들의 데이터필드 들을 분석하고 파싱하는 기 능이 부족하였고 또한 네트워크 보안장비에만 Agent를 설치하여 로그를 전송하는 방법을 사용하였다. endpoint 보안장비 단에는 로그를 전송하는 기능은 없었고 단순 가용성에 대한 체크를 할 수 있었다.

2. SIEM

초기에는 방화벽, IPS/IDS,DDoS 등의 외부경계선 방 어를 목적으로 하는 경계 방어 시스템(Perimeter Defense System) 들의 로그들을 단순 분석하는 ESM솔 루션으로 확장되었고(3), 현재에는 내부 통제를 수행하 는 보안 시스템의 이벤트와 장기간 동안 수집된 저장 로 그를 기반을 기초적인 분석이 아니라 입체적 관점으로 상관분석하는 형태로 변화하고 있다(4). 따라서 보안관 제시스템은 보안시스템과 IT시스템들에서 발생되는 이 벤트들을 장기간 수집/저장하고 통합적으로 분석하여 의미 있는 위협을 사전에 탐지 및 모니터링하는 시스템 으로 정의할 수 있다(5).

사이버 공격이 점차 고도화 되고 정교해짐에 따라 기

존 보안솔루션들의 공격 대응에 한계점이 드러나고 있

다. 이를 개선하기 위해 IT 전반에서 발생하는 로그 데

이터를 수집한 뒤, 이상 로그 데이터에 대한 상관 관계

를 분석함으로서 보안 위협에 대응하는 SIEM이 활동되

고 있다. SIEM은 대용량 데이터 분석을 위해 빅데이터

기술 등을 이용하며, 이를 통한 로그데이터로부터 유의

미한 보안 위협들을 찾아내고 이러한 SIEM 이용한 솔

루션의 사례가 국내에서도 증가하고 있다(6).

표 1. 국내 관제시스템(SIEM)의 특징(7)

Table 1. Features of of the national control system (SIEM) (7)

그림 1. 보안 정보 및 이벤트 관리를 위한 매직 쿼드런트 (8) Fig. 1. Magic Quadrant for Security Information

and Event Management(8)

표 2. 국외 관제시스템(SIEM)의 특징(7)

Table 2. Features of foreign control system (SIEM)(7)

그림 2. 주요 금용社 보안관제시스템 현황

Fig. 2. Major financial institutions security control system status

3. 보안관제의 개념

보안관제의 개념에 대한 정의를 찾아보기는 어려우 나, 미국의 학자가 전산망 보안관제에 관한 ‘네트워크 트 래픽 분석도구를 이용하여 24시간 서버와 네트워크를 통해 통신한 방대한 데이터에서 잠재적인 침입자의 공 격시도를 규명하고 이러한 과정에서 분석된 내용을 토 대로 불명확했던 침입시도를 규명하는 일련의 행위(9) 라고 정의한바 있다.

현재 보안관제는 각 관제센터의 기술 수준이나 관제 노하우 등에 따라 탐지, 분석, 대응활동이 다양한 형태로 이루어지고 있다. 따라서 ‘보안관제의 정의’는 보안관제 업무의 세부내용을 수행하는 범위에 따라 협의의 보안 관제와 광의의 보안관제로 나누어 볼 수 있다. ‘협의의 보안관제’는 Monitoring 즉 사이버공격을 탐지하는 활 동만을 일컫는 말이고, ‘광의의 보안관제’는 Monitoring

& Control 즉 탐지, 분석, 대응까지 포함하는 일련의 활 동을 포함하는 개념이라고 볼 수 있다(10).

4. 보안관제의 업무분석

보안관제체계는 대부분 침해사고 예방활동(탐지), 침 해사고 대응활동(분석), 침해사고 사후활동(대응)으로 정의 한다. 국내의 보안관제 체계에는 탐지, 분석, 그리 고 프로세스를 거쳐 사이버 공격을 확인하고 대응하는 체계이다.

① 탐지 : 사전에 알려진 공격들을 분석, 특징을 추출해 만든 탐지패턴들과 네트워크에 유입된 트래픽을 비 교분석하여 사이버공격 위험이 존재하는 보안 이벤 트들을 자동으로 검출하여 보안관제 모니털이 시스 템 및 보안관제 요원에게 제공한다.

② 분석 : 기본에 분석된 사고이력과 비교분석, 보안관 제 인력의 노하우 활용 등의 과정을 거쳐 탐지된 보 안 이벤트들이 실제 사이버 공격과 연관이 있는지를 확인한다.

③ 대응 : 분석과정에서 ‘사고’로 판단되는 항목들에 대

하여 보안 이벤트가 탐지된 관제대상기관에 통보하

고 대응방안 마련을 권장한다. 통보내용에는 판단의 근거가 되는 분석 자료와 사고조치에 필요한 대응 방 안 등의 정보를 포함한다(11).

5. 보안관제 범위

일반적으로 보안관제 업무 중 이벤트 탐지에 해당하 는 모니터링 부분은 침해사고 예방활동과 대응활동 부 분에 포함 된다. 모니터링 할 수 있는 부분과 범위에 대 해서는 이렇게 정리를 해보려 한다.

문제는 실제 현장에서 모니터링 할 수 있는 로그들은 과연 얼마나 발생할까? 서비스 구조나 성격상에 따라 다르겠지만 보통 1G망의 네트워크 환경에서 상단의 방 화벽이 가장 명확하게 IP/Port 기반으로 트래픽을 1차 필터링할 경우 하단에서 4000여개의 IPS(패턴 기반으로 사용하는 룰 기반 솔루션)면 하루에 3만건 이상의 로그 를 발생시킨다. 상단의 1차 필터링을 해주는 방화벽이 없다면 하루의 몇 백만 건 이상의 로그 발생이 될 것이 다. 그렇다면 몇 명의 관제센터 분석요원이 있어야 3만 건의 이벤트를 분석할 수 있을까? Cert 분석요원 출신으 로서 경험 상 하루에 심층 분석이벤트는 10건 내외이다.

그렇다면 3만건의 이벤트를 분석하려면 몇 명의 분석 요원이 있어야 하는가? 이론적인 모니터링에 대해서는 불가능하다고 해야 하며 결과적으로 모니터링을 실패하 게 된다고 봐야 한다.

여기서 문제점을 도출해낼 수 있다. 3만건 이상의 이 벤트에 대해서 불필요한 로그(오탐성 이벤트와 과탐성 이벤트)들에 대한 발생을 줄여야 하고 확인이 필요한 위 협이라고 판단되는 이벤트 발생에 대한 부분을 분석하 고 처리를 해야 한다. 본 논문에서는 이러한 문제점에 대해서 오탐성을 줄이고 정탐성을 높여야 하는 부분에 대해서 시나리오 상관분석으로 만들어 효울성을 높이고 시나리오 상관분석을 만들게 되면서 기존 ESM 보안관 제시스템으로 탐지 할 수 없는 영역에 대해서 탐지를 가 능하게 된 신규 서비스로 외부의 내부의 위협에 대해서 도 효율성을 높인 사례를 이야기 하겠다.

Ⅲ. 시나리오 상관분석정책 LifeCycle

그림 3. 시나리오 LIfeCycle Fig. 3. Scenario LIfeCycle

그렇다면 SIEM 시스템을 활용해서 보안관제 업무 분야 중 탐지 부분에 대한 방법은 어떻게 하면 만들 수 있을까?

SIEM 장비를 통하여 수많은 Security Information Event(보안장비의 개별 로그들)를 관리할 수 있기 때문 에 로그들의 데이터필드를 연구 한다면 CASE에 맞는 시나리오를 만들 수 있다. 많은 이벤트들을 CASE에 맞 는 시나리오 조건에 맞추어 필터가 된다면 관제센터에서 의 분석 요원들은 충분히 오탐성 적고 리스크가 높은 이 벤트들만을 분석하여 침해위협상황을 줄일 수 있을 것이 다. 단 분석 요원들의 적절한 인원수는 시나리오에 대한 종류와 깊이, 이벤트들의 양에 따라 달라질 수 있다.

이번 장에서는 전체적인 시나리오 상관분석에 대한 프로세스를 설명하고 다음 장에서는 실제로 1년 동안 진행해온 실제 연구사례를 설명하겠다.

1. 대상위협 정의

대상위협 정의란 보호하고 싶은 자산들을 말한다.

(현재 SIEM과 보호하고 싶은 자산정보에 대한 부분은 관제 대상 범위에 대해서 현재 관제서비스에 포함되지 않고 있는 취약점 CVE 정보를 연동해야하는 부분이라 다음 연구과제로 삼으려 한다.) SIEM 장비의 대상위협 정의는 시나리오의 보안장비 데이터 필드와 매핑시킬 수 있도록 자산의 IP정보로만 정의하였다.

2. 탐지방법 정의

탐지방법 정의란 보안장비들의 데이터 필드를 확인 하고 분석하여 시나리오를 만드는 과정이다.

그림 4. 네트워크 보안장비의 데이터필드 정의

Fig. 4. Data field definitions of network security devices

그림 4와 그림 5과 같이 원하는 장비의 데이터 필드 정의서를 작성하여 필드값 들을 조합하여 어떠한 정보 들을 모아서 탐지를 할 수 있는지에 대해서 정의한다.

여기서 중요한건 두 가지이다. 첫 번째 Attacker 입장에

서 어떠한 정보를 취득 할 수 있는지에 대한 부분과 공 격할 때의 어떤 정보들을 남기는지에 대해서 사전연구 를 해야 한다.

그림 5. 매체보안 장비 데이터 정의서 샘플(Safe pc) Fig. 5. Media security devices defined sample

data (Safepc)

그렇기 때문에 저희는 방어하는 입장에서 정의서를 만들어야 하기 때문에 해킹팀(모의해킹 및 취약점에 대 한 분석을 하는 RED Team)의 도움을 받았고 시나리오 회의체가 있는 정기모임에는 꼭 참석해달라고 요청을 하였다. 두 번째 중요한 점은 기존에 ESM장비는 네트 워크 기반의 보안장비들의 로그들을 모아서 분석하였지 만 SIEM으로 넘어오면서 네트워크 기반의 보안장비뿐 만 아닌 Endpoint 보안장비들의 로그를 함께 파싱하여 분석할 수가 있기 때문에 두 가지 다른 영역의 장비들끼 리 식별자가 있어야 한다. 즉 네트워크 기반의 보안장비 방화벽과 Endpoint 보안장비 백신(V3)과는 Datafield를 분석해보면 "IP" 정보가 공통으로 들어가 있다. 방화벽 의 출발지, 목적지 필드와 백신의 USER 필드가 동일한 값을 가지고 있기 때문에 식별자가 되어 장비들 간의 정 보를 상관분석 할 수 있게 된다. 네트워크 보안장비들은 IP라는 부분에 대해서 전부 가지고 있기 때문에 문제가 되지 않았지만 Endpoint 장비들은 탐지하고자하는 정보 들이 다르기 때문에 특성상에 따라 식별자를 잘 찾아서 매핑 시켜야 한다. (사번이 있는 회사들은 대부분 사번 들로 식별자를 만들면 쉽다. 그렇지 않을 경우 장비들과 의 연동 할 수 있는 정보들을 분석해야한다)

3. 적용패턴 수립

패턴 수립 부분은 “시나리오 정의서“ 를 만들기 위한 부분이다. 시나리오 정의서를 만들지 않으면 시나리오

를 만들고 관리를 할 수가 없다. 여러 가지의 패턴들의 시나리오를 만들게되면 비슷한 패턴의 시나리오가 나오 게 된다. 또한 시나리오들의 정의서를 만들어 누구라도 보고 이해를 할 수 있도록 표준을 만들어 놔야 파생되거 나 수정되는 시나리오들이 관리가 될 수 있다.

그림 6. 시나리오 정의서 Fig. 6. Scenario Definition

시나리오 정의서는 두 가지로 관리번호가 구분된다.

“CASE~” 로 시작되는 해킹사고가 발생되었떤 시나리오

와 “SNR~" 로 번호가 매겨지는 데이터필드 분석으로 만

든 시나리오로 구분되어진다. 그림 7은 CASE로 구분되

는 2014년 11월에 발생한 소니픽쳐스 해킹사건 시나리

오이다. CASE 별 시나리오는 2010 부터 2015년까지 SK

컴즈 개인정보유출사건(CASE-001), KT 파로스 프록시

개인정보유출(CASE-003)등 발생하였던 해킹사고 시나

리오를 분석된 자료들과 함께 패턴을 만들어 시나리오

정의서를 만들었다. 그림 6과 같이 APC, APT, FW 세

개의 보안장비들의 로그를 매핑시키고 분석하여 하나의

시나리오 패턴을 만들 수 있다. 그림 6의 시나리오 정의

서는 악성메일로 사용자를 감염시키려 할것이고 PC가

감염이 된다면 사용자 pc 에서는 첫 번째로 백신(APC)

에서 Win-Trojan /Destroyer.268579로 탐지가 되고 그

다음 APT 장비(Fireeye)에서 사용자가 C&C 서버로 통

신을 시도 할 때 Trojan.APT.TINYFUSE 탐지명으로

탐지가 된다. 마지막으로 감염 PC에서 내부 네트워크

대해서 445port, 139port를 사용하여 주변을 찾을 것이고

외부로 Wellknown port 80port 로 전파를 시도할 것이

다. (각 장비의 세부적인 임계치 조건들은 백신과 APT

장비는 Source ip 기준 TTL=3day, 방화벽 445,139 port 에 대해서는 2분 1회 이상으로 설정하였다) CASE 별 해 킹사고에 대한 시나리오 부분은 분석된 자료가 있어서 정책에 대한 탐지부분만 검증하면 되지만 신규 시나리 오의 정책 설정 부분과 임계치에 대해서는 관제센터 분 석요원 및 노하우를 통해서 만들어진 것이고 또한 만들 어진 시나리오 정책에 대해서 내부세미나 및 Tool을 이 용한 검증 등 총 4차례 검증을 하게 된다. 검증하는 부분 은 뒤에서 다시 자세히 논하도록 하겠다.

4. 관제시스템 적용

본 논문에서의 SIEM 관제시스템은 HP의 아크사이 트(Arcsight)이다. 시나리오에서는 위에서 설명한대로 A장비와 B장비의 결합하여 공통된 킷값(식별자)을 가 지고 탐지하도록 되어 있다. 시나리오는 아크사이트에 서 대부분 Rule, Active List, Filters, Active Channels 기능을 사용한다. 시나리오가 정의서가 정해지면 우선 A장비에서 발생되는 로그를 담을 수 있는 Active List를 생성하고 생성된 Active List에 어떤 값을 채울지를을 Rule에서 첫 번째 조건을 코딩하게 된다. 이렇게 A장비 에 대한 로그 리스트가 구성되면 실제로 발생 시킬 시나 리오 룰을 생성하는데 앞에서 생성한 Active List를 참조 하여 B장비와 공통 키값(Source Address, Destination Address 등)을 이용하여 두 번째 조건을 코딩하게 된다.

위와 같은 조건으로 시나리오 룰에 여러개의 장비들의 로그를 상관분석하여 만들고 최종 모니터링은 Active Channels에서 이벤트를 모니터링 하게 된다.

① Rule: 시나리오를 생성하기 위한 조건 카테고리

② Filters: 사용자 임의로 유사한 보안장비를 묶어 놓은 카테고리

③ Active List: 조건에 대한 로그를 담아 놓을 수 있는 리스트 카테고리

④ Active Channels: 최종적으로 조건에 부합하여 발생 되는 로그를 모니터링하기 위한 카테고리

5. 가상공격 수행 및 탐지확인

가상공격이라고 하는 부분은 제조사에서 제공해주는 툴(Tool name : TestAlert)을 이용한 탐지가 되는지 여 부를 확인하는 부분이다.

TestAlert는 실제 시나리오 Rule 대로 조건에 의해 발생하는지 알 수 없기 때문에 임의의 로그를 생성하는

툴을 사용함으로써 시나리오에 해당되는 데이터 필드에 임의 값을 넣어 아크사이트 보내서 룰이 발생하는지를 보기 위한 로그 생성기이다.

예를 들어 시나리오(IPS IP 스캔 이벤트 탐지 이후 다른 IPS 이벤트 발생)를 검증할 경우 필요한 데이터 필 드에 맞춰서 이벤트 Host Sweep과 Source IP 1.1.1.1의 로그를 생성하고 아크사이트로 보내어 Active List에 업 데이트 한 후 Source IP 1.1.1.1로 추가 IPS 이벤트 (Random)의 로그를 생성하여 한번 더 아크사이트에 로 그를 보내면 시나리오 이벤트가 발생하는 형식으로 시 나리오의 이벤트가 발생하는지 검증한다.

그림 7. 알람테스트 툴 Fig. 7. TestAlert tool

6. 유효성 검증

하나의 시나리오가 만들어지고 실제로 이벤트가 발 생하는지 테스트까지 끝냈으면 유효성에 대해서 확인을 해야 한다. TestAlert 툴로 인해 테스트할 때 임의의 로 그들을 넣어 이벤트가 발생했는지를 확인하였지만 장비 의 실제 네트워크 환경에서의 Real 로그로는 탐지가 되 는지 현황이 어떻게 되는지, 임계치를 낮게하여 많은 양 의 이벤트가 발생하는지 또는 임계치를 너무 높게해서 한건도 발생하지 않는지를 확인 하는 작업을 꾸준히 해 야 한다. 또한 단일회사가 아닌 그룹사나 2개 이상의 회 사를 보안관제하고 계신다면 같은 장비라고 해도 들어 오는 로그들이 달라질 수 있으니 꼭 파싱되는 로그의 데 이터필드들의 내용을 확인해봐야 한다.

유효성검증은 한번, 두 번의 현황들을 확인하는게 아

니고 꾸준히 관리해야하는 포인트가 있다. 지금 본 논문

에 다음장에도 나오겠지만 1년 유지 중 매주, 매월 현황 을 뽑아서 고도화하는 부분에 대해서 연구를 진행하고 있으며 차기 논문으로는 사나리오 상관분석 정책에 대 한 관리부분을 주제로 삼으려고 하고 있다.

Ⅳ. 시나리오 상관분석 정책 검증

관제센터나 연구소에서는 시나리오와 같은 상관분석 정책을 만들게 되고 시스템에 적용 하는 곳들이 많아지 고 있다. 하지만 시스템에 적용 후에 시나리오 상관분석 정책을 관리하지 하지 않는다면 기존에 단순 연관성분 석 정책을 만들어 과도한 탐지 이벤트를 두고 보지 못하 는 것과 다를 바가 없다. 내가 생각하는 시나리오 LifeCycle에서 가장 중요한 부분은 시나리오에 대한 정 책의 효율성 검증 부분이다. 툴을 이용한 테스트 후 이 벤트가 나오는 시나리오를 만들었어도 실제로 환경에 맞도록 꾸준히 정형화를 해야 하고 관제센터 입장(이벤 트의 차단 등 방어적인 입장)에서만 정형화를 해야 할 뿐 아니라 실제 장비를 운영하는 운영자 입장, 공격을 하고자하는 공격자의 입장에서도 확인을 해봐야 한다.

앞서 설명한 시나리오 Lifecycle에 대한 부분은 주요 담 당자들이 모여서 보안관제센터를 한 단계 업그레이드 시키기 위하여 고도화 워크샵을 1박2일 동안 진행하였 고 결과물로 나온 내용이다. 앞장이 이론으로만든 결과 물이었다고한다면 이번장에서는 시나리오 상관분석정 책을 검증하는 모델로 실제 1년 동안 “해킹 시나리오 회 의체” 라는 TFT를 만들어서 수행했던 연구결과와 샘플 들을 공개하려 한다.

그림 8. 시나리오 검증 프로세스

Fig. 8. Scenario Verification process

해킹 시나리오 회의체란 한 달에 한 번씩 정기적인 회의를 통해서 관제센터가 제작한 시나리오들을 검증하

는 회의체이다. 참여자는 실제로 보안장비를 운영하고 있는 보안담당자와 모의해킹 등 공격을 하는 입장에서 의 해킹Lab, 관제센터 시나리오 제작자로 구성되어 있 다. 보안담당자들은 관제센터의 입장에서 데이터필드만 을 보고 이론적인 시나리오에 대해서 정말로 데이터필 드의 내용을 어떻게 사용하는지 등의 내용 확인을 해준 다. 해킹 랩에 담당자들은 공격자에서 시나리오 단계별 이벤트에 대해서 우회하거나 다른 방법도 있을 수 있다 고 하는 방안들을 준비해서 확인을 해준다.

1. 사전준비

대상위협 정의 및 탐지방법에 대한 정의로서 데이터 필드만을 보고 시나리오를 만드는 단계이다. 시나리오 룰에 대한부분은 세 가지로 구분할 수 있다. 첫 번째 구 ESM 정책이고 기존에 사용했던 ESM 장비에서 과도한 탐지나 의미가 퇴색한 불필요한 정책들에 대해서는 필 터를 하였다. IPS(칩입차단시스템)의 패턴을 기반으로 하는 1차원적인 기존 방식이지만 오탐성이 적고 정탐성 이 높은 패턴 정책을 정형화하여 꼭 모니터링이 필요한 부분에 대해서는 구분을 해놓았다(약 20여개). 두 번째 정책은 CASE(사례) 정책이다. 2010년부터 현재까지 해 킹사고가 나왔던 부분에 대해서 외부 기관 및 연구서의 분석자료와 샘플을 가지고 직접 테스트하여 나온 분석 자료로 시나리오를 만들어 놓은 정책들이다. 명확한 보 안장비의 패턴명들이 나와 있어 꺼진 불에 대해서 다시 한번 볼 수 있는 기회가 되고, 유사사례에 대한 시나리 오를 파생시킬 수도 있기 때문에 매우 중요한 정책이다.

세번째로는 보안장비들의 데이터필드를 분석하여 내부 세미나를 통해서 가상으로 나올 수 있는 시나리오를 만 들어 놓은 정책이다. 처음에는 무에서 유를 만들어야 하 는 시나리오에 대한 작성의 부담감을 가지고 시작하였 지만 단순 문구열 같은 패턴을 가지고 ESM에 등록하는 기존방식과는 달리 있을수 있는 해킹사건에 대한 스토 리를 구상하는 방법으로 브레인스토밍으로 해보니 부담 감보다는 재미와 호기심이 더 높아서 연구를 계속 진행 하는데에 무리가 없었다.

2. 내부세미나

내부 세미나는 총 3단계의 세미나를 통하여서 진행하

였다. 1단계에서는 팀원 전원에게 자유형식으로 한 개의

시나리오를 만들어서 발표를 진행하였다. 자유롭게 브

레인스토밍을 할 수 있는 단계이다. 첫 번째 단계를 진 행하다보면 정말로 다양한 시나리오를 볼 수 있다. 물론 말도 안 될 정도의 수준으로 만들어온 팀원도 있지만 간 단하면서도 참신한 아이디어로 만들어낸 시나리오도 있 었다. 2단계에서는 관제센터의 노하우를 통해서 선임들 과의 세미나를 통해서 내부적으로 검증을 하여 취합된 시나리오에 대해서 수정을 하거나 필터를 하는 단계이 다. 원석에 가까운 시나리오에 대해서 다듬어 관제시스 템에 적용시 정탐률을 높이는 단계이다. 3단계는 CERT 담당자들과의 세미나를 통해서 최종 선발하여 해킹 시 나리오 회의체에 가져갈 시나리오를 검증하는 단계이 다. 시나리오만 중점적으로 보고 관리하는 CERT 팀원 들과 함께 실제적인 이벤트 탐지에 대해서 관제센터 내 에 산출물이 나오는 단계이다.

그림 9. 내부세미나를 통한 검증

Fig. 9. Verified through internal seminars

3. 해킹 시나리오 회의체

해킹 시나리오 회의체는 실무에 보안장비를 직접 운 영하고 있는 담당자의 데이터필드 내용을 확인할 수 있 고 공격자의 입장에서 시나리오를 확인 할 수 있는 해킹 Lab 담당자와 함께 정기적으로 매달 모여 회의체를 통 해 최종 ‘시나리오 정의서’를 결정하는 자리이다. (그림6.

시나리오정의서 샘플) 처음 실행하는 실무 회의체로서 시나리오 회의체에서 매달 회의체를 진행하였지만 초창 기에는 한 달에 두 번씩 모여서 방향성을 잡아갔지만 시 간이 부족하였다. 구 ESM 정책과 CASE별 해킹사고에 대한 시나리오 상관분석정책은 이미 나와 있는 자료에 대한 것으로 시나리오 정의서를 작성하고 고도화하는 부분은 순조롭게 진행을 하였지만 데이터필드를 가지고 창조적으로 만든 시나리오부분은 각 그룹사의 담당자들 이 가지고 있는 장비들과 필드명들이 다르기도하고 담

당자들의 입장들이 있어서 의견충돌도 많았지만 표준 시나리오 정의서들이 하나둘 나오면서 정확한 포지션들 이 잡혀갔다.

4. 관제시스템 정책 생성 및 적용

그림 10. 그룹사 보안장비 연동 현황

Fig. 10. Groups linked security devices status

관제시스템에 룰 생성하는 부분과 적용하는 부분에 대해서는 초창기에는 HP社 정책을 생성하는 시스템 언 어를 정확히 파악하지 못했기 때문에 수행사인 협력업 체 엔지니어분께 도움을 받기도 하였다. 정확하게 정책 이 생성되었는지도 검증을 받아야 했다. and 조건이 or 조건이나 다른 하나의 조건으로 잘못 되기만해도 상관 분석정책에 대한 결과물은 엄청나게 다르기 때문이다.

그림 11. 시나리오 관계도 Fig. 11. Scenarios relations

시스템 적용 부분은 위에 ‘Ⅲ.4. 관제시스템 적용‘ 에

기술적인 적용 방식에 대해서는 설명을 하였기 때문에

이번 장에서는 모니터링 방법에 대해서 설명을 하도록

하겠다. 실제 이벤트에 대해서 적용을 한 후 모니터링을

하기위해 시나리오 정책에 대한 관계도를 그려야한다.

카타고리를 조건들로 잡을지, 시나리오 명으 잡을지 또 는 장비별로 잡을지를 결정해야하고 구분을 하였으면 시나리오별로 관리번호를 만들어야 적용한 룰에 대한 이벤트 현황을 쉽게 확인할 수 있다.

그림 11과 같이 시나리오에 대한 관계도를 작성하고 관리번호가 나왔다면 관리번호 별로 기간을 설정하고 주차별로 모니터링을 하여 탐지 현황을 분석한다.

그림 12에서 보면 대분류를 시나리오와 사고사례로 구분을 하였고 관리번호를 통하여 주차별로 탐지된 이 벤트를 볼 수 있다. 시나리오를 만들고 모니터링을 하면 서 현황분석 대해서는 정탐 및 오탐 분석보다는 과탐과 미탐에 대한 분석이 중요하다. 모니터링 시스템에서 오 탐(false-Positive)과 미탐(false-Negativ)의 문제는 매 우 민감한 문제이다. 오탐을 없애려고 하면 미탐이 증가 하기 때문에 오탐과 미탐의 사이에서 적절한 조절이 필 요하다. 이번 침해사고 탐지방법 모델은 기존에 ESM에 서 탐지하지 못했던 미탐과 과탐에 대한 문제점을 개선 하기 위한 모델이다. 미탐이 감소한다는 뜻은 오탐이 증 가 할 수 있다는 의미가 될수 있고, 미탐이 감소된다 하 더라도 오탐이 기준의 모델과 비슷한 수준으로 증가하 거나 오히려 더 높은 수준으로 증가한다면 해당 모델은 실 서비스에 적용 될 수 없다(12).

그림 12. 시나리오 탐지현황

Fig. 12. Scenario detection status

5. 시나리오 고도화

시나리오 고도화 부분은 매월 진행한 해킹 시나리오 회의체와 별도로 분기별로 워크샵을 진행 하였다. 모니 터링 현황분석이 주간단위로 체크를 한다면 고도화 부 분에 대한 분기별이나 반기별로 진행을 하는게 효율적 이다. 왜냐하면 매월 해킹 시나리오 회의체를 진행하고 주간단위로 모니터링을 해봐도 시나리오에 대한 수정이

나오지 않는 것들이 대부분이다. 왜냐하면 과탐에 대한 부분은 적용을 하자마자 바로 볼 수 있지만 미탐에 대한 부분은 시간이 지나야 알 수 있고 미탐의 경우에도 정말 로 침해위협이 없어서 발생하지 않은 것과 조건식들이 잘못 되어 나오지 않는 것으로 구분되어진다. 이러한 부 분들은 어느 정도 시간이 지나고 나면 확인이 가능해지 는 정책들이 대부분이다.

시나리오에 대한 효율성을 위한 고도화 부분은 계속해 서 진행되어야 한다. 본 논문은 2015년에 1년 동안 연구 활동을 했던 부분이고 지금(2016년)에도 계속해서 시나리 오 대한 고도화 관리부분을 현황분석은 진행 중이다.

6. 시나리오 현황분석 효과성

본 논문에서 제안한 시나리오 상관분석 정책 탐지모 델을 실제 관제시스템에 적용해보았다. 실제로 서비스 에 적용한 결과 크게 두 가지 부분에 대해서 큰 효과성 을 얻을 수 있었다.

그림 13. SIEM을 이용한 신규 시나리오 정의서 Fig. 13. New scenarios defined by the SIEM

(백신 미 업데이트 점검 : APC(백신)의 Datetime 필

드를 이용하여 SIEM장비 Time 테이블을 이용, 장기세

션 점검 : 방화벽장비의 Duration 필드를 이용하여 로그

의 end time 과 start time을 빼서 계산, 출력물에 대한

외부 유출행위 탐지 서비스 : 출력물 보안 장비의 출력

물의 개인정보 활용, 비정상 이벤트 : 7일이상, 30일이상

탐지 되지 않았던 이벤트가 발생할 때 탐지/SIEM의

TTL data를 활용)

첫 번째로는 기존 ESM시스템에서 탐지 할 수 없었 던 부분에 대해서 탐지를 할 수 있었다. SIEM 장비를 이용하여 장비마다의 독립적인 데이터필드를 분석 후 파싱하는 기술을 이용하여 ① 백신 미 업데이트 PC 점 검 서비스(Daily로 최신버전의 백신 버전으로 업데이트 가 잘 되었는지 점검하는 서비스) ② 장기세션(7day) 점 검 서비스(3.20 전산장애 이후 불필요한 세션을 유지하 고 있는 PC들에 대해서 점검하는 서비스) ③ 출력물에 대한 외부 유출행위 감지 서비스(개인정보 100개 이상 을 가진 프린트물에 대한 점검 서비스) ④ 비정상 이벤 트 확인(7day,30day) 서비스(7일,30일동안 한번도 탐지 가 되지 않았다가 새롭게 탐지가 되는 이벤트들에 대한 점검 서비스) 등의 신규 관제서비스를 개발하게 되었고 그림 13과 같이 오탐이 있을 수 없는 정탐 이벤트로 침 해사고가 발생할 수 있는 직접적인 위협에 대해서 탐지 및 대응을 할 수가 있었다.

그림 14. SIEM을 이용한 신규 시나리오 현황 Fig. 14. New scenarios status with SIEM

두 번째로는 기존에 사용하고 있는 ESM 연관성분석 정책과 SIEM 시나리오 상관분석정책에 대해서 비교 정탐률에 대한 효과성이다. 여기서 정탐률에 대한 효과 성은 기존 ESM 시스템과 비교할 필요가 없다. 왜냐하 면 기존 ESM　시스템은 로그 전체를 받아서 분석하여 나온 탐지결과이고 SIEM 시스템은 로그들의 데이터필 드들의 내용을 확인 후 조건식에 맞게 나오기 때문에 조 건식의 코딩오류가 없는 한 오탐율은 기존 ESM 시스템 과는 비교도 할 수치가 아니다. 대신 SIEM 시나리오 상 관분석에 대해서는 조건식을 정확하게 하여도 관리적인 측면의 과도한탐지가 나올 수 있다. 아래 그림 15는 그 러한 오탐은 없지만 과탐으로 인한 관리적인 측면을 현 행화하는 그림이다.

그림 15. SIEM 시나리오 상관분석 탐지 현황

Fig. 15. SIEM correlation detection scenarios status

기존 ESM 시스템으로는 탐지 못했던 부분에 대해서 탐지하는 것을 확인하였고 오탐성이 많았던 ESM 정책 과는 달리 (조건식의 코딩 오류가 없다는 전제로)오탐성 이벤트가 얼마나 많이 적어졌는지는 그림 15를 보면서 임계치를 줄여나가는 현황분석 그림을 보고 알 수 있다.

그림 15는 2016.06월 기준, 실제 적용 후 6개월간 현행화 를 하면서 이벤트에 대해서 조건식 및 임계치를 계속해 서 줄여나가고 있는 그림이다.(0건으로 표시되어 있는 부분은 탐지가 되는 자체로도 문제가 되는 시나리오 상 관분석 정책이다.)

그림 16은 시나리오 상관분석 정책으로 인해서 해킹 사고가 일어날 수 있는 위협에 대해서 실제로 탐지 했던 부분은 도식화해보았다.

그림 16. 시나리오(SNR_BL_002) 로 인한 탐지 사례 Fig. 16. Case scenario(SNR_BL_002) due to detection

물론 네트워크 보안장비의 로그와 endpoint 단 보안

장비의 로그를 추가로 조건식에 넣었기 때문에 기존의

단순 네트워크 보안장비 로그로만 사용했던 ESM 연관

성분석 룰보다는 정탐율은 높아질 수밖에 없고 탐지 못

하던 부분의 모니터링 범위는 넓어질 수 밖에 없다. 하

지만 기존에 탐지를 못했던 서비스에 대한 부분을 추가

적으로 탐지하게 되었고 정탐율을 높임으로서 침해사고 에 대한 위협의 예방에 대해서 리스크를 줄일 수 있다는 것은 입증되었다.

따라서 본 논문에서 제안한 SIEM을 이용한 침해사 고 위협 탐지 모델은 해킹사고 예방을 위한 효과적으로 탐지하는 것으로 확인 하였다.

Ⅴ. 결 론

본 논문에서 SIEM을 이용한 침해사고 탐지방법에 대 한 시나리오를 제작하여 검증하는 부분까지 모델을 제안 해보았다. 이번에 제안한 모델에 대해서는 기존의 관제서 비스에 대해서 두 가지 큰 장점을 보여줄 수 있다.

첫 번째로는 관제범위에 대한 확대 부분이다. 그동안 은 네트워크 보안 장비인 IPS, IDS, Anti-DDoS, FW, Web-FW, 정도에서 연관성을 만들어 정보를 분석하였 지만 본 논문에서 제안한 SIEM 장비를 활용하게 된다 면 Endpoint 단의 장비인 APC(백신), DRM, SafePC(usb 등 통제 매체보안장비), DLP, Webkeeper (웹통제시스템) 등의 장비에 대한 정보를 분석할 수 있 게 되었다.(기존 4~5개종의 장비에서 지금은 12~13개 종 의 장비의 로그를 분석하게 됨).

두 번째로는 시나리오 기반으로 관제체계를 할 수 있 도록 되었다. 원하는 시나리오대로 만들 수 있도록 데이 터필드 값을 가져오는 기능(파싱기능)이 유연해졌기 때문 에 그동안에 받아오는 수동적으로 이벤트에 대한 대응을 하였다면 이제는 시나리오 기반의 이벤트를 가져오는 능 동적인 관제서비스를 할 수 있게 되었다는 점이다.

하지만 제안한 모델의 효과를 극대화하기 위해서는 역시나 사람이다. 연구와 같이 두 가지에 대한 기술적인 장점을 살려서 시나리오를 만들게 된다면 기존에 모니 터링 하여 대응 처리하는 이벤트들이 100배, 1000배는 줄여서 탐지할 수 있을 것이다. 하지만 그 시나리오 대 한 검증 및 제작에 있어서는 데이터필드 분석, 정보들의 연관성, 식별자 값에 대한 건 어쩔 수 없이 사람의 몫이 다. 최근 이세돌 9단과 AI 알파고의 바둑 대결로 인해서 보안시장에도 AI나 인텔리전스 같은 단어들이 유행처럼 번지고 있다. 앞으로는 네트워크 단에 설치 후 일정기간 자동으로 학습하여 취합되는 로그들의 데이터필드 값들 을 분석하여 위협상황을 만들게 되고 그 위협상황에 맞 는 시나리오를 만들어 시나리오의 적합성들을 검증할

수 있는 관제시스템이 나오게 될 것이다. 하지만 현재로 서는 아직 AI 기능이 보안관제서비스에 활용되지 않았 기 때문에 사람이 해야 할 것이다. 또한 위와 같은 기능 들이 전부 기계들이 할 수 있다고 하더라도 마지막 오탐 (False-Positive)과 미탐(Fasle-Negative)의 문제는 매 우 중요한 문제이기 때문에 사람이 풀어야 할 숙제이다.

시나리오 상관분석정책에 대한 관리를 위해서는 계속해 서 조건식 및 세부 임계치 분석을 통해서 이벤트에 대해 서는 정확성을 맞춰 나가야 하고 또한 트랜드에 맞는 패 턴 및 공격 유형에 따라 시나리오도 업데이트를 시켜줘 야 한다.

향후 연구과제로서 시나리오에 대한 검증과 현황분 석에 대한 연구는 소개하였지만 그 시나리오에 대해서 트랜드에 맞는 Customizing 및 체계적으로 관리하는 방 안에 대한 연구가 필요하다.

References

[1] Hyun-A Park, Dong-Hoon Lee, Jong-In Lim, Sang-Hyun Cho "Privacy Preserving Audit Log for Intrusion Detection System" The Institute of Webcasting Internet and Telecommunication, PP 59-60 7 2007

[2] Myung-Hoon Kang, “Completion of information security monitoring system with complete control and security of the IDS pattern matching techniques discussed in Big Data Analytics”, pp 40-41. 5 2013

[3] Jae Chan Yoo, "A Study on the Protection for Corporation Information Using Scenario Technique," The Graduate of SungKyunkwan University, pp. 14-16, August 2012

[4] Kelly M, Mark Nicolett, Oliver Rockford, "Magic

Quadrant for Security Inofrmation and Event

Management", Gartner Group, pp. 2-8, June 2014

[5] DongSung im, YoungMin Kim, "Enhancement of

internal Control by expanding Security

Information Event Management System", Korea

Society of Computer and Information, pp 36-37. 8

2015

DOI: https://doi.org/10.9708/jksci.2015.20.8.035 [6] Jae-Hwa Sim, Sung-Hwan Kim, Tai-Myung

Chung, “A Survey of Solutions using Security Information Event Management” Proceedings of Symposium of the Korean Institute of communications and Information Sciences, page 390-391. 1 2014

[7] Han-Dong Kim, “Security information / event management with intelligent log management platform evolving in big data environments (SIEM) trends”, pp 11~13. 8 2013

[8] Mark Nicolett Kelly M, Kavanagh, "Magic Quadrant for Security Information and Event Management:, Garther Group, July. 2013 [9] R. Bejtlick, Tao of Network Security Monitoring,

the beyond Intrusion Detection:What is Network Security Monitoring, Addision Wesley Professional. pp 40-41 July 2004.

[10] Young-Jin Kim, Su-yeon Lee, Hun-Young Kwon, Jong-in Lim "A Study on the Improvement of Effectiveness in National Cyber Security Monitoring and Control" Korean Institute if Information Security And Cryptology, pp 3-4, 2 2009

[11] Si-Jang Park, Jong-Hoon Park, "Current Status and Analysis if Domestic Security Monitoring Systems, korea institute of electronic communication science." 2 page 9. 2014 DOI: https://doi.org/10.13067/jkiecs.2014.9.2.261 [12] Young-Jin Kim, Su-yeon Lee, Hun-Young Kwon,

Jong-in Lim "A Study on the Improvement of Effectiveness in National Cyber Security Monitoring and Control" Korean Institute if Information Security And Cryptology, pp 10-11, 2 2009)

저자 소개

엄 진 국(정회원)

∙2016년 ～ : 고려대학교 정보보호대학원

∙2005년 ～ : 행안부 전자정부정보보 호센터

∙2007년 ～ : 신한은행 CERT TEAM

∙2009년 ～ : 신한금융그룹 통합관제 센터 총괄

권 헌 영(정회원)

∙1999년 ～ 2005년 : 연세대학교 법학 박사

∙2002년 ～ 2006년 : 대통령자문 전자 정부특별위원회 전문위원

∙2013년 ～ : 금융감독원 금융IT 전문 가협의회

∙2014년 ～ : 행정자치부 정책자문위원회

∙2015년 ～ : 고려대학교 정보보호대학원 교수