A Security Monitoring System for Security Information Sharing and Cooperative Countermeasure

논문 2013-50-2-8

협력대응기반 전역네트워크 보안정보공유 시스템

( A Security Monitoring System for Security Information Sharing and Cooperative Countermeasure )

김 기 영^*, 이 성 원^*, 김 종 현^*

^*

( Ki-Young Kim, Sung-Won Lee, and Jong-hyun Kim )

요 약

최근 사이버공간의 위협이 사이버전쟁이라고 할 정도로 사실상의 위협으로 현실화되고 있다. 특히, APT 같은 특정 기업이나 조직을 노린 표적공격이 치밀하게 계획된 국가 간 사이버전 공격기법의 성향을 띠고 전 세계의 사회기반시설 을 통제하려는 위협으로 발전하고 있어 현재 각 ISP 및 기관에서 제공하는 통합보안관리 시스템과 같은 기존 보안장비 및 솔루션으로는 대응의 한계를 가지고 있다.

본 논문에서는 사이버테러의 체계적인 대응을 위하여 국가차원의 전역네트워크 위협 상황 대응을 위한 협력대응기반 보안정보공유 시스템을 설계 및 구현하고 이를 실 ISP 운영센터에 적용한 결과에 대하여 기술한다. 개별 ISP의 이종 보안 장비에서 제공되는 다양한 보안 이벤트 통합 인터페이스의 정의 및 수집, 보안정보 전달 프로토콜 정의, 전역 네 트워크 차원의 연관성분석과 시각화 인터페이스를 통한 대응 기술 등을 제공하도록 구현하였으며, 실 ISP 운영환경에 적용하여 연동시험을 수행함으로써 운영사이트 적용가능성 또한 확인하였다.

Abstract

Highlighted by recent security breaches including Google, Western Energy Company, and the Stuxnet infiltration of Iranian nuclear sites, Cyber warfare attacks pose a threat to national and global security. In particular, targeted attacks such as APT exploiting a high degree of stealthiness over a long period, has extended their victims from PCs and enterprise servers to government organizations and critical national infrastructure whereas the existing security measures exhibited limited capabilities in detecting and countermeasuring them.

As a solution to fight against such attacks, we designed and implemented a security monitoring system, which shares security information and helps cooperative countermeasure. The proposed security monitoring system collects security event logs from heterogeneous security devices, analyses them, and visualizes the security status using 3D technology. The capability of the proposed system was evaluated and demonstrated throughly by deploying it under real network in a ISP for a week.

Keywords: 통합보안관리, 전역네트워크 위협, 협력대응기반, 보안정보공유

Ⅰ. 서 론

국가 주요 IT 인프라에 대한 사이버 공격이 급증 추

* 정회원, 한국전자통신연구원 사이버융합보안연구단

(Cyber Security-Convergence Research Laboratory, Electronics and Telecommunications Research Institute)

※ 본 연구는 방송통신위원회 정보보호 원천기술개발 사업의 일환으로 수행하였음. [2012/10912-06002, 전역적 협력기반의 통합보안제어 시스템 개발]

접수일자: 2012년8월29일, 수정완료일: 2013년2월5일

세에 있으며, APT 공격과 같은 새로운 공격 패러다임 의 전환으로 인해 피해 수준과 규모가 심각해지고 있 다

^[1]

이와 같은 APT 공격은 지능적이고, 지속적이며, 특 정 조직 또는 그룹을 대상으로 명확한 목표를 달성하기 위하여 확장된 방식으로 진행되고 있다. 결국에는 어떠 한 대응방법도 이를 차단하지 못하도록 공격이 성공할 때까지 공격이 계속 된다는 심각한 문제를 갖고 있다.

궁극적으로는 공격한다는 것을 알고도 막지 못하는 상

황을 발생시켜, 단지 일시적인 테러리즘 수단의 성격보 다는 빈번하게 표적 공격화 되어 국가 사이버 인프라를 다양한 경로로 위협하고 있다

^[1∼4]

지금까지 발생한 대규모 공격 중 2003년 1.25 대란은 사고 발생 10분 만에 전 세계 90%의 취약성을 가진 호 스트를 감염시켰고, 약 5일간 피해가 약 10억 달러에 이르렀으며, 2009년 국내에서 발생한 7.7 DDoS는 감염 된 좀비가 115,044대에 피해액은 363~544억으로 추정되 었다

^[5]

^[6]

현재 대부분의 기관들이 사이버위협 대응을 위하여 기존 보안장비 및 솔루션을 제공하고 있으나 대부분 공 격을 받고 서비스가 중단된 후에야 공격을 인지한다든 지, 인지된 공격에 대한 분석을 통해 보안장비에 해당 기능을 설정하거나 백신을 만들어 배포하는 수준이다.

악성코드 유포지 IP 차단, 네트워크 및 서버 용량 증설, 목표지 임시 회피와 같은 다양한 방법으로 대규모 공격 상황에 처하지 않도록 하고 있지만 이러한 대응방안으 로는 정상 및 비정상 트래픽 탐지가 완전히 제공되지 않고, 비정상으로 탐지된 트래픽의 경우 무조건 차단하 도록 하고 있어 제대로 된 대응기술 및 체계가 제공되 지 않고 있음을 알 수 있다. 개별 네트워크 및 ISP 차 원의 대응이 아닌, 협력대응기반의 정보공유 프레임워 크와 같은 전역네트워크 차원의 다양한 대응전략이 요 구된다.

본 논문은 Ⅱ장에서 최근 네트워크 위협 동향과 적용 보안 솔루션, 그리고 이를 적용하는 국내 주요센터의 현황·한계 및 요구사항에 대하여 알아본다. Ⅲ장에서 통합보안제어 기술의 필요성과 구성기술의 상세 구현내 용에 대하여 알아보고, Ⅳ장에서는 본 시스템을 일정기 간 실 ISP환경에서 적용 및 운영한 결과에 대하여 기술 한다. 마지막으로 Ⅴ장 결론에서는 전역네트워크 차원 의 보안기술 실현 가능성과 향후 발전방향에 대하여 기 술한다.

Ⅱ. 관련연구

지난 10여년간 2003년 1.25 대란으로부터 시작한 네 트워크 공격이 확대되어 2009년 7.7 DDoS 공격, 2011 년 3.4 DDoS공격으로 진화하고 있다. 최근 ASEC, 트 랜트마이크로 및 블루코트 등 각 기관에서 비교 분석 한 ‘12년 보안위협을 보면 온라인 게임계정 탈취 목적 의 악성파일, 표적공격 형태를 지칭하는 APT와 같은 지능형지속위협이 본격적으로 가시화되었다는 것과 기 타 모바일서비스 확산에 따른 보안이슈가 대부분임을 알 수 있다

^[12]

보안위협동향의 변화에 따라 이를 차단하기 위한 DDoS 대응환경도 변경되고 있으나, 지금까지 장비중심 의 대응, 폭주 트래픽 무조건 차단, 알려진 공격의 대응 및 DDoS 대응 정책부재 등 다양한 문제점이 내재되어 있어 DDoS 공격자들은 이를 악용하고 있는 실정이다.

표 1은 각 기관에서 제시·적용하고 있는 현재 DDoS 대 응 방안과 향후 발전해야할 대응 방안에 대하여 정리하 고 있다.

네트워크위협의 가장 대표적인 공격인 DDoS 공격은 네트워크 대역폭을 소진하는 단순공격에서 대량의 봇 감염 PC를 통해 정상 PC와 같은 IP당 낮은 연결을 유 지하는 자원소모공격으로 변화하고 있다. 특히 스파이 아이(SpyEye), 고로드(Golod), 제우수(Xeus) 2.0, 아래 스(ARES) 및 넷봇(Netbot)과 같은 자동화된 공격 툴들 은 전문가가 아니더라도 손쉽게 활용가능하며 slowloris/Pyloris 및 RUDY 공격의 출현으로 공격탐지 는 더욱더 어려워지고 있다

^[8]

이러한 공격기술의 변화는 최근 발생하였던 DDoS 공격 사례를 간단히 살펴보더라도 쉽게 알 수 있다. 실 제 2011년 3월4일 발생하였던 DDoS 공격의 트래픽 공 격방식은 HTTP GET Flooding, ICMP Flooding, 그리

현재 DDoS 대응 방안 향후 DDoS 대응 방안 y 새로운 DDoS 공격 방

어 패러다임

y 새로운 DDoS 공격 예방 패러다임

y 소규모 정밀 타격형 DDoS 공격

y 평상 보안 수준 확립 및 유지

y 대규모 DDoS 공격탐지 y C&C 서버 탐지 및 방어 y 신종 DDoS 공격 도구

분석

y 유해 URL 접근 탐지 및 방어

y DDoS 조기 경보 및 긴 급 대응

y 신종 악성 코드 선제 대 응

y DDoS 공격 방어 프로세스 확립

y DDoS 공격 예방 프로세스 확립

표 1. 현재와 향후 DDoS 대응 방안

Table 1. Current and Future DDoS Response Mechanism.

표 2. 3ㆍ4 DDoS 공격과. 7ㆍ7 DDoS 공격의 트래픽 유형 비교

Table 2. Comparison of 3·4 and 7·7 DDoS attacks.

고 UDP Flooding이 이용됐으며, 이를 7.7 DDoS 공격 트래픽과 비교하면 비슷하거나 오히려 더 단순한 DDoS 공격으로 분석된다. 하지만 좀비 PC를 제어하는 악성코드 기술은 상당히 고도화 되어있으며 좀비 PC 당 공격량 또한 변화되고 있음을 다음 표 2에서 보여 준다

^[1]

3.4 DDoS 공격은 정부 및 민간의 협력대응이 성공하 여 거의 피해가 없었던 것으로 분석되고 있지만 향후 훨씬 고도화된 공격이 발생한다면 지금과 같은 대응체 계 및 기술로는 한계를 갖게 될 것이며, 공격의 고도화 로 인한 사전 인지 및 개인정보보호 등의 문제로 인한 협력대응이 어려울 경우 그 피해의 심각성은 엄청날 것 이다.

2. 공격 탐지 및 대응 솔루션

지금까지 각 기관의 정보보호 시스템 구축은 각각의 침해유형에 대처하기 위해 Firewall, IPS, IDS, DDoS 전용장비 등을 이용하여 구성하고 있다. 하지만 대상 기관 간의 협력부족과 전역차원의 제어 장비 미비 및 개인정보보호 법상의 문제 등으로 인하여 점차 고도화 되고 지능적인 공격유형의 대처에 한계점이 있으며 대 부분 자체적으로 운영되고 있다.

위와 같은 개별 네트워크 보안장비의 한계를 극복하 기 위하여 모든 보안장비들을 중앙 통제 및 모니터링 하고 보안 이벤트들 사이의 연관성을 분석해 좀 더 효 과적인 공격 탐지가 가능한 통합보안관리(ESM : Enterprise Security Management) 시스템이 출현하였 으나 기존 보안솔루션의 탐지 한계 및 새로운 공격에

대한 정보 부재 등으로 인하여 적극적인 대응할 수 없 고, 탐지된 정보의 정규화 등으로 인하여 특정 상황의 이상징후 탐지에 한계를 갖는다.

최근 TMS(Threat Management System) 및 RMS(Risk Management System)와 같은 능동적인 보안 솔루션이 출현하면서 이의 기반기술로 발전하고 있는 추세이지만, TMS·RMS 기술 역시 이미 발생한 공격 상황에 대한 정보를 기반으로 인터넷 상의 위협을 예·

경보하는데 중점을 두고 있어 기존 보안 솔루션과 크게 차별화하기 어렵고, 로컬 차원의 보안 솔루션이라는 한 계가 있어 전역 차원의 실제 공격이 발생하기 전에 위 협 상황을 사전 인지하기 위한 솔루션으로 활용하기는 어려운 상황이다.

3. 공격 대응 솔루션 운영현황

국가정보통신망을 보호하기 위하여 국가사이버안전 센터(NCSC)가 운영되고 있으며, 민간차원의 안전한 인 터넷 서비스 제공을 위하여 인터넷침해대응센터(KISC) 가 운영되고 있다

^[9∼11]

최근 발생한 대규모의 공격 탐지는 대부분 ISP 중심 으로 탐지되었으며, 피해상황이 공격이 확산되지 않는 것에 대부분의 초점을 두고 있다. 악성코드 및 대규모 공격 확산 방지를 위하여 ISP는 자사 관리망의 공격현 황 및 안정성에만 집중하였으며, 심지어 악성코드 및 DDoS 감시까지도 유입트래픽을 중심으로 운영하여 자 사망을 향한 외부공격 차단에 주력하고 있다.

하지만 기본적으로 자사 내부자산 보호 정책 및 기술 지원, 자사 이익의 극대화에 비즈니스 모델이 중점이 되어 있어서 자사 유출트래픽이 타 ISP에 대한 DDoS 공격의 원인을 제공하여도 일차적 보안 감시·차단 대상 에서는 제외하는 등 국가전역 네트워크 차원의 제어 프 레임워크나 시스템운영을 찾아보기 어려운 형편이다.

최근 APT 등 발전된 공격으로 인하여 국가 전역 차 원의 대규모 공격 발생 시 국가 중요 인프라가 마비될 수 있어, 네트워크 위협 차단을 위한 보안 기술 및 솔루 션 개발 필요성이 증대되고 있다. 하지만 지금과 같은 ISP간 협력 구조 및 개인정보보호 법적규제 등을 고려 한다면 단순히 필요성만으로 ISP 협조를 이끌어 내기 는 어려운 상황이다. 법적인 규제를 위반하지 않는 국

가 전역 네트워크 인프라 위협에 대한 비상상황 재정의 및 개별 ISP 비즈니스 모델에 영향을 최소화할 수 있는 접근방안이 요구된다.

Ⅲ. 협력대응기반의 보안정보 공유시스템

지금까지 네트워크 위협동향, 국가차원의 대응방안과 체계 및 한계상황에 대하여 알아보았다. 본장에서는 이 러한 한계상황을 극복하기 위한 협력대응기반 보안정보 공유 시스템을 제안하고, 본 시스템에서 제공하는 통합 보안제어 기술의 필요성과 구성, 설계 및 구현내용에 대하여 설명한다.

1. 통합보안제어기술 필요성 및 요구사항

대형화되는 DDoS 공격을 비롯한 각종 사이버공격을 효과적으로 대응하기 위해서 ISP 협력에 의한 전역 네 트워크 차원의 보안 정보공유체계 및 프레임워크 필요 성이 대두되고 있다. 여기에서 보안 정보란 알려지거나 알려지지 않은 공격, 위협, 취약성, 침입 악성 행위 등과 관련된 정보들을 총칭한다. 이러한 보안 정보들을 상호 고유하기 위한 기술과 표준은 지속적으로 진행되고 있 다

^[7]

지금까지 국내 대부분의 ISP 들은 자체적으로 네트 워크 위협 대응기술제공을 위하여 ESM, TMS·RMS, DDoS 대응 시스템, 좀비 PC 및 C&C 서버 탐지 보안 장비를 보유·운영하고 있어 이를 전역차원에서 통합분 석 하여야 한다. 하지만 장비별 성능·기능 측면에서 격 차가 존재하여, 이를 ISP간 협력단계를 거치지 않고 동 일하게 적용한다면 공유수준 및 제공범주의 불균형적 상황이 심각할 것으로 예상된다.

뿐만 아니라 지금까지 국내 ISP 들의 보안 이벤트 공유는 거의 부재상황이며, 서로 경쟁관계인 각 기관들 끼리 자발적인 협력을 통해 전역네트워크 차원의 보안 정보 공유환경 구축은 어려울 것으로 생각된다. ISP는 기본적으로 자사 관리망의 보안상황과 안전성에 집중하 는 경향이 있으며 특히 자사 망 서비스·서버·생존성을 가장 우선시하고 있어서 국가차원의 요구사항이 제공되 지 않는다면 자발적인 협력은 한계를 가지고 있다고 하 겠다.

이에 따라, 2010년 5월 방송통신위원회 주재로 발족 된 “네트워크 보호 연구개발협력회의” 와 같은 국가차 원의 사이버위협 대응을 위한 전역차원의 보안프레임워 크 구축을 위한 노력이 지속되어야 한다. 아울러 ISP사

표 3. 침해사고 수집 유형(예)

Table 3. Collected Information for Security Breaches.

(Example)

업자와 국가 간 통합보안제어 필요성에 대한 공감대 형 성을 위하여 각 기관별 보안정보공유를 위한 로그정보 및 인터페이스 협의 등의 노력도 지속적으로 추진해야 한다.

다음 표 3은 네트워크 보호 연구개발 협력회의 때 각 ISP에 요청되었던 침해사고 수집유형(예)을 보여주고 있다. ISP 자체적으로 분석하는 자료와 보안장비로부터 제공받은 원시 로그자료를 구분하여 수집가능성을 항목 별(봇넷대응, DDoS 대응 및 통합보안관제)로 분류한다.

ISP 분석자료 수집을 위하여 봇넷 대응정보와 좀비 PC 정보를 개인정보보호 범주 내에서 제공 장비(자체 개발 장비 및 외산장비 등)의 수준별로 수집하고, ISP 원시 보안로그 정보수집을 위하여 DDoS 대응정보와 통합보안관제 정보로 분류하여 요청한다.

DDoS 대응정보는 현재 대부분의 시스템에서 제공하 는 플로우 정보, DDoS 공격 정보 및 트래픽정보가 제 공가능한지 확인한다. 통합보안관제 정보는 플로우 및 공격유형과 트래픽 정보가 제공가능한지 확인한다.

여러 ISP의 다양한 네트워크 보안장비로부터 수집된 공격트래픽 탐지 정보를 공유하여 전역적 협력대응기반 의 보안프레임워크 구축이 가능하며, 이러한 프레임워 크를 기반으로, 전역차원의 통합보안관제 서비스가 제 공 가능하다.

향후 전역차원의 협력대응기반 보안 프레임워크를 기반으로 악성코드가 백본으로 유입되는 접속점을 찾아 대규모 공격 발생의 사전인지 및 조기차단이 가능하도 록 설계한다.

2. 협력대응기반의 보안정보 공유시스템 설계

가. 통합보안제어 기술 개념

국가·사회적으로 위협이 되고 있는 정보유출 목적의

그림 1. 통합보안제어 기술 개념도

Fig. 1. Conceptual view of a Security Monitoring System.

APT공격의 증가와 DDoS 공격의 잦은 발생은 개별 ISP 자체적 공격 대응으로는 체계적이고 종합적인 실 시간 보안제어체계 운용의 한계를 나타낸다.

본 협력대응기반의 보안정보 공유기술은 ISP사업자 와 국가 간 통합보안제어 필요성에 대한 공감대 형성 뿐 아니라 ISP 연동구간 트래픽을 제어함으로 추가적 인 네트워크 인프라 증설비용 절감이 가능하도록 설계 한다. 다음 그림 1은 전역차원의 통합보안제어 기술 개 념도이다.

공격탐지 정확도 향상을 위하여 여러 ISP에서 수집 된 보안이벤트 연관성 분석결과를 활용한다. 즉 국가 전역차원의 보안상황 해결로 개별 ISP 운영 시 보안에 따른 문제를 최소화 시켜주고, 기 개발된 기술은 개별 ISP에 적용할 수 있어 미래의 공격에 대비하는 이중의 효과가 있다.

전역차원의 통합보안제어 프레임워크 구축을 위해 다양한 ISP에서 제공된 이종보안장비의 정보를 표준포 맷으로 제공받고, 이 정보를 통합 분석하여 전역 네트 워크 차원의 보안상황 관제서비스 및 제어, 네트워크 위협 사전 인지 및 대응 서비스 제공이 가능하다. 추후 탐지된 의심도메인 탐지정보기반 공격량 예측 발령 서 비스 및 공격근원지 추적서비스 기능도 적용가능하다.

나. 통합보안제어 기술 구성

협력대응기반의 정보공유시스템에서 제공하는 통합 보안제어기술은 여러 ISP의 이종보안장비로부터 정보 수집을 위한 에이전트, 공유정보 전달을 위한 보안정보 공유프로토콜 및 에이전트로부터 수집된 보안정보 관

그림 2. 협력대응 기반의 보안정보 기능구성

Fig. 2. Security information sharing and Cooperative countermeasure architecture.

리, 제어 및 대응을 위한 서버 시스템으로 구성되며 다 음 그림 2와 같다.

여러 ISP로부터 탐지된 정보를 통합보안제어 서버에 전달하여 분석하고, 분석된 정보를 대상 네트워크 전체 가 공유함으로써 보호하고자 하는 전역네트워크 보안을 위한 다양한 보안제어가 가능한 구조를 나타낸다.

통합보안제어 에이전트 시스템에서는 ISP의 기존 네 트워크 보안장비로부터 제공받은 보안이벤트 수집을 제 공하는 통합관제 시스템 외에 DDoS 대응시스템과 같 은 보안장비로부터 이종보안이벤트 수신이 실시간으로 이루어져야 하며, 수집된 보안이벤트 정보가 공격유형 파싱 정규화 기능을 통하여 전역차원의 연관성 분석이 가능한 표준 포맷으로 재정의 되고, 정보공유 프로토콜 을 통하여 서버에 전달되어야한다

통합보안제어 서버시스템은 다양한 에이전트 시스템 으로부터 수신된 보안이벤트를 분석, 경보계산 및 통계 처리하여 통합보안관제를 위한 시각화 데이터 작성 등 의 기능을 제공하여야 한다. 통합분석기능은 에이전트 로부터 수신된 이벤트정보를 누적하여 공격 발생 시간 별 및 피해지별, 특징 별 분석기능을 제공하고, 경보계 산은 지금까지 각 기관별로 산정하던 취약점 점수와 공 격상황정보 연관성 분석을 통하여 전역 네트워크 차원 에서 발생한 공격 당 해당 점수를 산정하도록 한다. 산 정된 점수를 기반으로 위협 등급을 분류하며 위협상황 전파 등의 대응기술도 제공된다.

3. 협력대응기반의 보안정보 공유시스템 구현 지금까지 설계한 부분이 실 ISP환경에서 운용 가능 하도록 초당 7~8천개 이상의 이벤트 처리, 다양한 보안 이벤트 신뢰성 보장을 위한 통합 I/F 정의, 정보공유 프 로토콜의 전달성능, 전역차원의 제어를 위한 20분 이내 차단정책 적용 등 보안 프레임워크 동기화가 가능하도 록 구현한다. 각 개별 시스템의 구현 상세내용은 다음 과 같다.

가. 통합보안제어 서버시스템

통합보안제어 서버시스템은 전역 네트워크에서 발생 하는 보안상황을 신속하고 정확하게 파악할 수 있도록 네트워크의 공격상황, 좀비PC 및 C&C 서버의 확산 현 황을 3D 시각화 엔진과 지리정보를 연계하여 시각화함 으로써 네트워크 보안상황을 직관적으로 파악하고 신속 하게 대응할 수 있도록 한다.

여러 ISP로부터 제공받은 보안이벤트정보를 지리정 보와 연계하여 어느 지역에서 공격이 발생하였는지, 공 격의 종류 및 포트 등이 제공될 뿐 아니라, 실시간으로 네트워크 전역을 모니터링하며, DDoS와 같은 대규모의 공격 발생 시 보안상황 관제센터에서 대상 IP를 확인하 고, 이를 차단하기 위한 정책을 즉시 생성 및 전달할 수

(a) 지역 및 공격유형별 3D 보안상황관제 : 지역, 공격명 및 포트번호 별 분류

(b) C&C 서버와 좀비 PC 연결상태(지역정보포함) 및 공격 유형

그림 3. 통합보안제어 서버 시스템 3D 화면 Fig. 3. Security Monitoring Server System 3D GUI.

있다.

지금까지 전화, 이메일 등으로 전달되던 텍스트기반 의 보안상황전파문이 시스템 화된 자동화전파기능으로 동기화되어 실제 공격 탐지에서부터 이의 대응정책 생 성, 전달, 적용까지 20여분 내에 가능하게 되었다. 이러 한 지리정보 기반의 3D 보안상황 시각화를 통하여 전 역네트워크에서 발생하는 보안위협을 직관적으로 파악 할 수 있다. 공격 실시간 탐지, 자동화된 보안상황 전파 를 통한 협력 대응, 위협 조기차단 등이 가능하다.

그림 3은 통합보안제어 서버의 보안상황 3D 시각화 가 구현된 화면을 보여주고 있다.

그림 4를 보면 국내 각 ISP별로 발생한 공격을 지역 별로 차트를 이용하여 나타내고 있다. 공격이 많이 발 생하는 지역 및 사이트를 관제화면을 통하여 쉽게 파악 가능하다. 개별 ISP 별 공격현황을 색깔(ISP 1 : 파랑, ISP 2 노랑, ISP 3 : 빨강 등) 등을 이용하여 구분하고, 공격 량 또한 차트의 높이 등으로 구분할 수 있도록 하 였다. 본 화면을 통하여 ISP별 보안현황을 직관적으로 파악할 수 있다.

그림 5는 통합보안제어 서버의 경보 통계 2D 화면을 보여준다. 어느 지역에서 발생한 공격인지, 시간별 공격

그림 4. 통합보안제어 서버 시스템 3D 화면 : ISP별 (색상) 공격량(차트높이)에 따른 보안상황관제 Fig. 4. Security Monitoring Server System 3D GUI :

Security status based on attack traffic volume (height).

그림 5. 통합보안제어 서버 시스템 2D 화면 Fig. 5. Security Monitoring Sever System 2D GUI.

량을 통계정보로 보여주고, 이러한 정보를 기반으로 전 체보안상황 등급을 5단계(정상, 관심, 경계, 주의, 심각) 로 보여주고 있다(현재는 보안로그 정보 통합분석에 의 하여 경계상황임을 나타냄).

나. 통합보안제어 에이전트시스템

통합보안제어 에이전트시스템은 전역 네트워크에서 발생하는 보안상황을 신속하고 정확하게 파악할 수 있 도록 여러 ISP의 이종 보안장비로부터 보안이벤트를 실시간으로 수집하는 기능을 제공한다. 지금까지 사이 버공격에 대한 개별 ISP의 대응을 국가차원에서 통합 제어할 때 가장먼저 요구되는 기능으로, 다양한 이종 보안 이벤트포맷을 하나의 통합이벤트 포맷으로 수집하 여 누락 없이 서버시스템으로 전달한다.

지금까지 DDoS 대응을 위한 국가 R&D 연동 시스템 을 대상으로 통합 이벤트 포맷협의가 추진되었지만 향 후 전역 네트워크 차원으로 확장된다면 표준포맷 정규 화부분에 대한 표준화작업이 진행되어야 할 것이다. 그 림 6은 통합보안제어 에이전트 시스템의 응답메시지 상 세내역을 보여주고 있다.

통합보안제어 에이전트 시스템의 경우 이종보안이벤 트 정보가 실시간으로 누락되지 않고 제공되어야하며 표준포맷으로 정규화시 개별 ISP 특성정보가 누락되지 않도록 하여야 한다.

그림 6. 통합보안제어 에이전트 시스템 2D : 공격 소스, 목적지 IP 및 포트번호 등 상세내역

Fig. 6. Security Monitoring Sever System 2D GUI:

Attack Source, Destination IP and Port number etc.

다. 보안정보공유 프로토콜

통합보안제어 서버시스템과 에이전트 시스템 간 실 시간 이벤트 전달을 위한 정보공유프로토콜을 IETF와 같은 국제표준에서 정의하는 표준 프로토콜을 기반으로 제공가능 하도록 한다. 보안정보공유 프로토콜은 다양

한 보안정보를 안전하게 공유할 수 있도록 보안과 편의 성을 고려하였으며, 보안로그정보, 봇넷 탐지정보 및 악 성코드 탐지 정보 등의 보안정보 공유 지원과 보안정보 공유 시 프로토콜의 상태를 모니터링 하는 관리기능도 제공하도록 구현한다.

실제 구현에서는 Syslog 표준 프로토콜[13]과 RID 표준 프로토콜

^[14]

^[15]

프로토콜 메시지 전달 성능과 보안로그 데이터 전달 성능을 분리하여 측정하였으며 기본적인 프로토콜 메시 지 전달 성능은 보안로그 성능의 5배 이상을 처리하여 제공 프로토콜로 인하여 성능 문제가 발생하지 않도록 구현한다.

Ⅳ. 통합보안제어 시스템 운영 결과

가. TB환경에서 DDoS 대응 관련 기술 연동시험 개발된 협력대응기반 정보공유 시스템이 전역 네트워 크 차원에서 제공가능한지 시험하기 위하여 시험망을 구축하고 그림 7과 같은 시나리오 순으로 검증하였다.

그림 7. DDoS 대응 및 봇넷탐지 기술 통합보안제어 TB Fig. 7. DDoS and Botnet Detection Systems in a

Security Monitoring System Testbed.

시험망은 실제 DDoS 대응시스템, 봇넷 탐지 시스템 과 지능형악성코드 자동분석 및 경유/유포지 탐지시스 템을 연동되어 구성하였으며, 전역차원의 네트워크 보 안제어기술 적용이 가능함을 검증하였다. 검증을 위한 통합 시나리오는 다음과 같은 순서로 구성한다.

y 악성코드유포서버에서 악성코드 감염/확산 (Netbot or N0ise Bot) 시험을 위하여 봇넷을 구성한다(가상 머신에서 사전준비 상태로 대기)

y 악성코드분석서버에서 보안정보 공유시스템으로 유포지정보 전송(유포지에 대한 Action이 모호함) 한다.

y 보안정보 공유시스템에서 전파문 작성하고 이를 전 역네트워크 시스템으로 전송/전역차원의 공유기능 을 제공한다.

y DDoS 공격을 이미 설치된 Netbot 등의 툴킷을 이 용하여 발생시킨다

y ETRI 개발 DDoS대응시스템에서 보안정보공유 시 스템으로 공격로그를 전송한다

y 봇넷탐지/관제 시스템에서 C&C정보를 보안정보 공 유시스템으로 전송한다

y 보안정보 공유시스템에서 전파문 작성 및 전송 (DNS Sinkhole 정책전송)한다.

y 봇넷 C&C 서버에서 공격대상 변경 및 공격 차단 확인한다.

위와 같은 DDoS 대응 및 봇탐지 등 관련 보안시스 템 연동시험을 통하여 안전한 네트워크 인프라 구축 및 서비스 제공이 전역네트워크 차원에서 제공 가능함을 알 수 있었다. 만약 이러한 통합보안제어 프레임워크가 실 네트워크에 제공된다면 악성코드의 생성과정부터 탐 지하여 네트워크 위협 사전 인지 및 차단이 가능할 것 이다. 뿐만 아니라 탐지된 공격 정보의 전역 차원의 공 유로 인하여 통합보안제어 프레임워크가 구축되지 않은 site의 위협차단 또한 가능하게 될 것이다.

향후 실 네트워크 환경 및 트래픽을 통한 검증이 제 공가능하면 훨씬 더 적용가능성은 높아질 것이다.

나. 실 ISP트래픽 적용 및 운용

협력대응기반의 정보공유 시스템은 전역 네트워크에 서 통합보안제어 프레임워크가 실제 데이터 및 운영센 터에서 적용가능한지 시험하기 위하여 약9일 동안 적용 하였으며, 본장에서는 이를 시범운영한 결과를 기술한 다. 본 시험에서는 제공된 보안로그 정보가 프레임워크 를 통하여 탐지되는 과정과, 이를 분석하여 제공하는 보안상황관제 기술이 제공되었으며 대응기술 적용은 시 험범위에서 제외되었다.

그림 8은 공격 피해지별 로그수, 공격패킷수와 공격 량을 분석한 결과를 그래프로 보여주고 있다..

(a) 로그수 (b) 공격 패킷수

(c) 평균 공격량

그림 8. 피해지별 로그수, 패킷수 및 공격량(a, b, c) Fig. 8. The number of security logs, attack packets and

volume for each victim site.

(a) 로그수 (b) 공격 패킷수

(c) 평균공격량

그림 9. 공격 시간별 로그수, 패킷수 및 공격량(a, b, c) Fig. 9. The number of security logs, attack packets and

volume over time(a, b, c).

그림 9는 공격 시간별 로그수, 공격패킷수와 평균공 격 량을 분석한 결과를 그래프로 보여주고 있다.

그래프를 보면 공격은 보통 18시를 기준으로 증가하 여 2시에서 10시 사이에 최고값을 보이고 있으며, 이벤 트 로그 수와 공격 패킷수와 반드시 비례하지 않는다는 것을 보여주고 있다. 그리고 최대 공격량은 27일 오전 0시에서 4시 사이에 2Gbps 정도이며, 오후 6시에서 8시 사이에 250억개의 패킷을 이용한 공격이 발생하였음을 알 수 있다. 평균공격량도 비례하여 크게 증가하지 않 는 것으로 보아 지역별 공격분석 그래프에서 예측하였

던 플러딩류의 공격이 발생하였음을 알 수 있다.

지금까지 실 ISP 데이터를 검증한 협력대응기반 보 안정보공유 시스템의 운영결과에 대하여 살펴보았다.

협의된 통합보안제어 인터페이스를 통하여 해당 ISP의 기존 보안장비로부터 보안 로그정보를 제공받아 감시대 상 네트워크의 보안상황을 직관적으로 파악할 수 있었 다. 하지만, 실제 공격이 발생한 시간 및 장소 등에서 수집된 대규모의 비정상 트래픽이 제공되지 않고, 이를 이용한 명확한 결과확인이 어려워 보안로그정부 분석에 의한 검증에 의존할 수밖에 없었다.

개별 ISP별로 관리되고 있는 이러한 보안이벤트 정 보가 네트워크 전역차원에서 통합·운영된다면 통합보안 제어 프레임워크 구축에 의한 국가차원의 사이버 인프 라 보안이 실현가능할 것이다.

V. 결 론

본 논문에서는 사이버테러의 체계적인 대응을 위한 통합보안제어 기술의 필요성에 대하여 언급하였으며, 전역차원의 통합보안제어 기술을 제공하기 위한 협력대 응기반 보안정보공유 시스템을 제안하였다. 보안정보 공유체계가 개인정보보호 법적규제와 ISP 개별 보안모 델을 위반하지 않는 방안으로 접근하였으며, 통합보안 제어 서버 및 에이전트, 보안정보 공유 프로토콜로 구 성되어 구현한 결과도 아울러 기술하였다.

통합보안제어 기술의 전역 네트워크 차원 적용성 검 증을 위하여 DDoS 대응 및 봇탐지 기술 등과 연계하 고, 이를 검증하기 위한 테스트베드를 구축하였으며, 자 체 테스트베드를 통하여 검증된 기능을 기반으로 ISP 의 실 사이트에서 일정기간동안 실험한 결과도 분석하 였다.

향후 발생하는 사이버 공격을 국가차원에서 신속하 게 대응하며 피해를 최소화하기 위하여 여러 ISP를 대 상으로 시험 및 검증이 추가적으로 제공되어야 할 것이 며, 이에 따른 관련기술개발도 지속적으로 이루어져야 한다.

참 고 문 헌

[1] 안철수연구소 보안매거진, “APT 공격의 비밀을 파헤치다”, 2011년 10월.

[2] IDG Tech Report, “은밀하고 끈질긴 위협 APT의 이해”, 2011년 12월

[3] 블루코트 보안 보고서: APT(지능형 타깃 지속 공 격, Advanced Persistent Threat), 2011년 11월 [4] 시만텍, ISTR 제17호, “인터넷 보안위협 보고서”,

2011년 5월

[5] NARS 현안보고서, 제48호, “7.7 DDoS 사고”대응 의 문제점과 재발방지 방안. 2009년 12월

[6] 조희정, 국회입법조사처, 3.4 DDos. 공격과 네트워 크 보안의 과제. 2011년 3월.

[7] 정일안, 오진태, 장종수, “보안 정보 공유 기술 및 표준화 동향,” 전자통신동향분석, 23권 4호, pp.

30-38, 2008년 8월.

[8] KISA 제2010-13호, 침해사고대응팀(CERT) 구축/

운영 안내서. 2010년 1월 [9] 2012년 국가 정보보호백서

[10] 국가사이버안전센터, http://www.ncsc.go.kr/

[11] 인터넷침해대응센터, http://www.krcert.or.kr/

[12] 2012년 보안위협 전망, http://dailysecu.com/

[13] IETF, RFC 3164, “The BSD Syslog Protocol”, 2001년

[14] IETF, RFC 6045, “Real-time Inter-network Defense,” 2010년

[15] IETF, RFC 4765, “The Intrusion Detection Message Exchange Format”, 2007년

저 자 소 개 김 기 영(정회원)

1988년 전남대학교 전산통계학과 졸업

1993년 전남대학교 전산통계학과 석사 졸업

2002년 충북대학교 전자계산학과 박사 졸업

1988년 2월∼현재 한국전자통신연구원 융합보안 연구팀 책임연구원

<주관심분야 : 네트워크보안, SDN 보안기술 및 모바일 보안기술 등>

이 성 원(정회원)

1995년 광운대학교 제어계측 공학과 학사 졸업.

2005년 실베니아 주립대 컴퓨터 공학과 석사 졸업.

2004년 실베니아 주립대 컴퓨터 공학과 박사 졸업.

1995년∼1998년 LG-CNS 시스템 엔지니어 2005년∼현재 한국전자통신연구원 사이버융합연

구단 선임연구원

<주관심분야 : 네트워크 보안, 모바일 컴퓨팅, 스 토리지 시스템 등>

김 종 현(정회원)

2000년 오클라호마주립대 컴퓨터 과학과 석사 졸업.

2005년 오클라호마주립대 컴퓨터 과학과 박사 졸업.

1995년∼1997년 삼성전자 연구원

2000년∼2001년 삼성SDS 시스템컨설턴트 2005년∼현재 한국전자통신연구원 선임연구원

<주관심분야 : 정보보호, 사이버보안, 역추적기 술>