[논문]기업 사설 네트워크 우회 접속 분석 및 통제 대책 연구

이철원; 김휘강; 임종인

doi:10.13089/jkiisc.2010.20.6.183

기업 사설 네트워크 우회 접속 분석 및 통제 대책 연구
A Study on Analysis and Control of Circumvent Connection to the Private Network of Corporation 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.20 no.6, 2010년, pp.183 - 194

이철원 (고려대학교 정보경영공학전문대학원) , 김휘강 (고려대학교 정보경영공학전문대학원) , 임종인 (고려대학교 정보경영공학전문대학원)

초록
AI-Helper

기업의 사설 네트워크는 방화벽과 NAT(Network Address Translation)기술을 이용하여 외부 인터넷망으로부터 직접적인 접근이 불가능하다. 그러나 NetCat에서 이용되어지던 Reverse Connection 기술이 SSH Tunnel이나 HTTP Tunnel기술들로 확대됨에 따라 이제는 누구나 손쉽게 방화벽과 NAT로 보호되고 있는 기업의 사설 네트워크에 접근할 수 있게 되었다. 더욱이 이러한 기술은 원격제어서비스, HTTP Tunnel 서비스 등 상업적으로 확대되고 있는데 외부에서 원격으로 기업내 시스템에 접근하지 못하도록하는 기업 내부 규정이나 외부 지침에 위배되는 상황에서 기업내 보안 관리자나 일반 사용자들에게 혼란을 주고 있다. 더욱 심각한 것은 악성코드 또한 이러한 기술을 이용함으로써 기업 사설 네트워크에 침입할 수 있는 은닉 채널을 만들 수 있다는 것이다. 그런데 이러한 인지된 위험을 방화벽등 기존의 보안시스템에서 차단할 수 없다는 것에 문제의 심각성이 있다. 따라서 본 논문은 기업의 내부 네트워크에 대한 우회 접근의 기술적 방법들과 현황을 분석해 보고 위험을 제거하기 위한 통제 대책을 찾아 보고자 한다.

Abstract ▼ AI-Helper

A company's private network protected by a firewall and NAT(Network Address Translation) is not accessible directly through an external internet. However, as Reverse Connection technology used by NetCat extends to the technologies such as SSH Tunnel or HTTP Tunnel, now anyone can easily access a private network of corporation protected by a firewall and NAT. Furthermore, while these kinds of technologies are commercially stretching out to various services such as a remote control and HTTP Tunnel, security managers in a company or general users are confused under the circumstances of inner or outer regulation which is not allowed to access to an internal system with a remote control. What is more serious is to make a covert channel invading a company's private network through a malicious code and all that technologies. By the way, what matters is that a given security system such as a firewall cannot shield from these perceived dangers. So, we analyze the indirect access of technological methods and the status quo about a company's internal network and find a solution to get rid of the related dangers.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이러한 방화벽을 우회할 수 있는 기반 기술들로 내부 시스템이 외부시스템으로 하여금 내부 네트워크로 연결할 수 있도록 허용하는 Reverse Connection, 기업 내부 PC와 외부 PC 간의 Tunnel을 생성하여 네트워크보안시스템들이 패킷 내용을 알 수 없게 하는 방법〔4〕, 중간 경유지 서버를 이용하여 최종 목적지 서버로의 접근을 숨기는 Proxy Server 기술, 출발지와 목적지 시스템 간의 통신구간을 암호화하여 은닉채널을 생성하는 방법 등이 있으며, 이러한 방법들은 개별적으로 사용되거나 조합되어 사되어지고 있다. 따라서 이러한 우회방법들에 사용되어지는 기술들에 대해서 알아보고자 한다.
따라서, 본 논문에서는 기업의 사설네트워크 접근이 어떻게 이루어지고 있는지, 이러한 접근을 탐지하고 차단하기 위한 연구들이 어디까지 진행되고 있는지를 살펴보고, 기업에서 적용 가능한 통제 대책에 대해서 알아 보고자 한다.

제안 방법

POST 메소드를 이용하여 터널링을 구현한 것이 HTTP Tunneling이며 최근에 가장 많이 사용되는 방식으로 다음에서 구체적으로 알아보고자 한다.
기반의 정책들이다. 기존의 보안 시스템들에서 채택한 화이트리스트 기반의 보안 모델이 Inbound에 대한 화이트리스트 정책이었다면 본 논문에서 제안한 모델은 Outbound에 대한 화이트 리스트 정책으로 지금까지 기업에서 시도되지 못한 방식이다. 과거처럼 외부로부터 직접적인 공격이 아닌 내부 시스템으로부터의 우회 채널이 생성되는 최근의 사례사설 네트워크가기업의 사설네트워크가 이제 안전하다고 볼 수 없기 때문에 Outbound 정책에 대해서도 화이트 리스트 기반의 정책이 필요한 시점이 되었다.
본 논문에서 제안한 새로운 보안 모델은 화이트 리스트 기반의 정책들이다. 기존의 보안 시스템들에서 채택한 화이트리스트 기반의 보안 모델이 Inbound에 대한 화이트리스트 정책이었다면 본 논문에서 제안한 모델은 Outbound에 대한 화이트 리스트 정책으로 지금까지 기업에서 시도되지 못한 방식이다.
패킷 순서. 패킷간의 inter-arrival time등의 정보를 이용하여 fingerprint를 만들어 Tunnel을 탐지하고자 한다〔4〕. 이럿듯 해외에서는 기업의 사설네트워크에 대한 우회기술들에 대한 대책이 활발하게 논의되어지고 있다.

성능/효과

첫째’ NetCaE이나 SSH프로그램등 Reverse Connection을 위한 프로그램이 있어야 한다. 둘째 , 방화벽에서 Outbound에 사용되는 해당 포트가오픈 되어 있어야 한다. 대개 인터넷 사용의 접점에 있는 방화벽 정책은 모든 Inbound에 대해서는 차단되어있지만 인터넷을 사용하기 위해 필요한 HTTP나 HTTPS에서 사용하는 80이나 443 포트는 오픈되어 있기 때문에, Outbound 포트로 80이나 443을 이용하면 된斗.
찾아내는 것은 상대적으로 쉽다. 따라서 Out bound 접속을 시도하는 알려진 어플리케이션의 특징을 추출하여 어플리케이션 시그니처 DB를 만들고 이것을 바탕으로 허용리스트를 만들어서 허용리스트에 있는 어플리케이션에 대해서만 Outbound 접속을 허용하는 화이트리스트 정책을 수립하여 적용할 수 있다. 이와 같은 접근 방법의 필요성은 네트워크 기반에서 Anomaly detection〔14〕 의 정확성 한계와 악성코드에 대한 시그니처 기반의 보안 시스템들의 사후대응적인 탐지 및 제한적인 조건에서의 대응으로는 알려지지 않은 우회접속 위협에 대한 근본적인 해결책이 될 수 없기 때문이다.
방화벽의 HTTP 서비스를 위한 오픈된 정책과 IPS나 웹 필터링 시스템의 블랙리스트 정책은 Outbound 접속을 통한 보안 위협에 완전한 대책이 될 수 없음을 알 수 있었다. 블랙리스트 기반으로는、일부 알려진 패턴에 대해서만 대응이 가능하고 알려지지 않은 우회 접속에 대한 선제적인 통제 대책이 되지 못하기 때문이다.

후속연구

지금까지 연구들은 이러한 은닉 채널을 탐지하려는 연구들이었고 알려지지 않은 은닉 채널에 대해서는 한계가 있었다. 따라서 은닉 채널을 탐지하는 방식 보다는 우회 접속을 차단하기 위해서 Outbound 접속을 시도하는 알려진 정상적인 어플리케이션만을 허용하고 알려지지 않은 비정상 어플리케이션을 네트워크에서 차단하면 될 것이다. HTTP 프로토콜의 User-Agent 등을 분석하여 사용자가 인터넷 브라우저를 통해서 접속하는 정상적인 접속이나 HTTP 프로토콜을 준수하면서 악성코드가 아닌 어플리케이션에 대해서만 인터넷 Outbound 접속 요청 시도를 허용하고 그 외 알려지지 않은 어플리케이션에대한 Outbound 접속 요청 시도를 차단함으로써 기 업사설 네트워크 우회 접속을 통제 할 수 있다.
예를 들어 P2P 어플리케이션중 BitTorrent는 HTTP 프로토콜을 이용하여 방화벽을 우회하는데 'get request'의 URI 파트에 *info_hash', 'peerjd', 'ip', 'port', 'uploaded', downloaded', left' 그리고 'event' 같은 파라미터들을 포함하고 있으며 이것들이 BitTorrent어플리케이션의시그니처가 될 수 있다〔13〕. 또한, 인터넷 인바운드를 통해서 저장된 파일의 Magic Number나 컨텐츠 기반의 파일 타입 분석기법〔18〕 을 활용한 시그니처 생성도 활용할 수 있을 것이다. 실시간 생성된 시그니처는 False Negatives나 False Positives의 7}능성이 있기 때문에 허용리스트에 바로 등록하기보다는 인터 넷 인바운드를 통해 저장된 파일에서 생성되는 시그니처와 비교 작업으로 시그니처의 정확성을 높인 후 허용리스트에 등록할 수 있다.
그러나 국내에는 아직 이 분야에서 논의나 연구가 미진한 상태인 것 같다. 특히 어플리케이션시그니처 탐지에 대한 연구는 우회 접속 차단모델에 있어서 중요한 부분으로 앞으로 더 많이 연구되어져야할 것이다.
기업의 정보관리 실태 분석에 따르면 기업들의 정보보호교육에 대한 효과 측정 및 분석 절차를 누락하여 정보보호교육이 형식적이거나 일회성의 교육에 그치는 경우가 많은 것 같다〔19〕. 현재 기업 사설 네트워크의 보안 위협상황에 대한 교육 및 화이트리스트 기반의 보안정책 시행 후 나타난 기업내 악성코드감염현황 및 보안사고 현황에 대한 분석 결과를 적극적으로 교육하고 홍보한다면 사용자의 불만을 없애나가는 방법이 될 것이다.

참고문헌 (19)

Marc S. Sokol, "Security Architecture and Incident Management for E-Business", pp. 9-14 , May. 2000
경기경찰청 사이버 수사대, "원격조정 가능한 디도스 해킹프로그램", 2010년 9월(웹검색일),http://www.cbs.co.kr/nocut/Show.asp? IDX1509157, 2006년 6월.
국가 사이버 안전센터, "상용 원격제어프로그램을 이용한 해킹기법 및 대처방안", pp. 2-6 , Apr. 2005.
Manuel Crotti, Maurizio Dusi, Francesco Gringoli, and Luca Salgarelli, "Detecting HTTP Tunnels with Statistical Mechanisms", 2007 IEEE International Conference on Communications, pp. 6162-6168 , Jun. 2007.
전자신문, "토종 SW벤처 알서포트, 日 PC 원격제어시장 점령", Sep. 2010년 9월(웹검색일), http://www.etnews.co.kr/news/detail. html?id200911190122, 2009년 11월.
인터넷 침해대응센터, "2010년 07월 인터넷침해사고 동향 및 분석 월보", pp. 5-6 , 2010년 7월.
서정택, "가상환경을 이용한 악성코드 탐지기술," 정보보호학회지 17(5), pp. 74-82, 2007년 10월.
박성용, 문종섭, "보안 인증을 통한 ActiveX Control 보안 관리 모델에 관한 연구," 정보보호학회 논문지 19(6), pp. 113-119, 2009년 12월.

원문보기 상세보기
성재모, 노봉남, 안승호, "최근 주요 해킹 피해 동향과 대응 방안," 정보보호학회지 16(1), pp. 80-84, 2006년 2월.

원문보기 상세보기
이은배,김기영, "망 분리기반의 정보보호에 대한 고찰," 정보보호학회지 20(1), pp 39-46, 2010년 2월.

원문보기 상세보기
손태식, 김진원, 박일곤, 문종섭, 박현미, 김상철, "보안솔루션에 대한 우회 공격 기법 연구," 정보보호학회 종합학술발표회 논문집 12(1), pp.139-143, Jan. 2002.
Yu Wang, Yang Xiang, and Shun-Zheng Yu, "Automatic Application Signature Construction from Unknown Traffic," 24th IEEE International conference on Advanced Information Networking and Applications, pp. 20-23, Apr. 2010.
Zhenbin Guo and Zhengding Qiu, "Identification Peer-to-Peer Traffic for High Speed Networks Using Packet Sampling and Application Signatures," Signal Processing, 2008. ICSP 2008. 9th International Conference on, pp. 2013-2019, Oct. 2008.
Like Zhang and Gregory B. White, "Analysis of Payload Based Application Level Network Anomaly Detection," Proceedings of the 40th Hawaii International Conference on System Sciences- 2007, pp. 1-10, Jul. 2007.
Jan Kanclirz, NetCat Power Tools, Syngress, Feb. 2008.
Wikipedia, "Shell Shoveling," 2010년 9월 (웹검색일), http://en.wikipedia.org/wiki /Shell_shoveling
Network Working Group, "Upgrading to TLS Within HTTP/1.1," 2010년 9월(웹검색 일), http://www.apps.ietf.org/rfc/rfc281 7.html
Mason McDaniel and M.Hossain Heydari, "Content Based File Type Detection Algorithms," Proceedings of the 36th Hawaii International Cnference on System Sciences, vol. 9 pp. 332, Jan. 2003.
김지숙, 이수연, 임종인, "민간기업과 공공기관의 정보보호 관리체계 차이 비교," 정보보호학회 논문지 20(2), pp. 117-129, Apr. 2010.

원문보기 상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증