최근 사이버 공격은 명확한 목적과 특정화된 대상에 대해 지능적이고 지속적이며 복잡한 공격 특성을 가짐으로써 사전에 인지하거나 사고 발생 시 대응하기에 상당히 어려워지고 있다. 또한 피해규모도 상당히 크기 때문에 이에 대한 대응체계가 국가적인 측면에서 시급한 상황이다. 기존의 데이터센터 및 전산실의 통합보안체계는 이러한 최근의 사이버 공격에 대응하기에는 시대에 뒤떨어진 면이 많다고 판단된다. 그러므로 본 연구에서는 지능형지속위협(APT)기반의 공격에 대비해 보다 고도화된 차세대 융합형 보안 프레임워크를 제안한다. 제안한 차세대 융합형 보안 프레임워크는 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성으로 APT 공격에 대한 선제적 대응이 가능하도록 설계하였다. 영역별 보안계층은 관리적, 물리적, 기술적 보안영역별로 보안 지침과 방향을 제시한다. 영역별 연계계층은 보안 도메인간의 상태정보가 일관성을 갖도록 한다. 지능화된 공격 행위의 가시화 계층은 데이터 취합, 비교, 판단, 통보의 수명주기로 구성된다. 행위 통제계층에서는 가시화된 행위를 통제하는 계층이다. 마지막으로 융합대응계층은 APT공격 전과 후의 대응체계를 제안하였다. 제안하는 차세대 융합 보안 프레임워크의 도입은 지속적이고 지능적인 보안위협에 대해 보다 향상된 보안관리를 수행하게 될 것이다.
최근 사이버 공격은 명확한 목적과 특정화된 대상에 대해 지능적이고 지속적이며 복잡한 공격 특성을 가짐으로써 사전에 인지하거나 사고 발생 시 대응하기에 상당히 어려워지고 있다. 또한 피해규모도 상당히 크기 때문에 이에 대한 대응체계가 국가적인 측면에서 시급한 상황이다. 기존의 데이터센터 및 전산실의 통합보안체계는 이러한 최근의 사이버 공격에 대응하기에는 시대에 뒤떨어진 면이 많다고 판단된다. 그러므로 본 연구에서는 지능형지속위협(APT)기반의 공격에 대비해 보다 고도화된 차세대 융합형 보안 프레임워크를 제안한다. 제안한 차세대 융합형 보안 프레임워크는 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성으로 APT 공격에 대한 선제적 대응이 가능하도록 설계하였다. 영역별 보안계층은 관리적, 물리적, 기술적 보안영역별로 보안 지침과 방향을 제시한다. 영역별 연계계층은 보안 도메인간의 상태정보가 일관성을 갖도록 한다. 지능화된 공격 행위의 가시화 계층은 데이터 취합, 비교, 판단, 통보의 수명주기로 구성된다. 행위 통제계층에서는 가시화된 행위를 통제하는 계층이다. 마지막으로 융합대응계층은 APT공격 전과 후의 대응체계를 제안하였다. 제안하는 차세대 융합 보안 프레임워크의 도입은 지속적이고 지능적인 보안위협에 대해 보다 향상된 보안관리를 수행하게 될 것이다.
As a recent cyber attack has a characteristic that is intellectual, advanced, and complicated attack against precise purpose and specified object, it becomes extremely hard to recognize or respond when accidents happen. Since a scale of damage is very large, a corresponding system about this situati...
As a recent cyber attack has a characteristic that is intellectual, advanced, and complicated attack against precise purpose and specified object, it becomes extremely hard to recognize or respond when accidents happen. Since a scale of damage is very large, a corresponding system about this situation is urgent in national aspect. Existing data center or integration security framework of computer lab is evaluated to be a behind system when it corresponds to cyber attack. Therefore, this study suggests a better sophisticated next generation convergence security framework in order to prevent from attacks based on advanced persistent threat. Suggested next generation convergence security framework is designed to have preemptive responses possibly against APT attack consisting of five hierarchical steps in domain security layer, domain connection layer, action visibility layer, action control layer and convergence correspondence layer. In domain connection layer suggests security instruction and direction in domain of administration, physical and technical security. Domain security layer have consistency of status information among security domain. A visibility layer of Intellectual attack action consists of data gathering, comparison, decision, lifespan cycle. Action visibility layer is a layer to control visibility action. Lastly, convergence correspond layer suggests a corresponding system of before and after APT attack. An introduction of suggested next generation convergence security framework will execute a better improved security control about continuous, intellectual security threat.
As a recent cyber attack has a characteristic that is intellectual, advanced, and complicated attack against precise purpose and specified object, it becomes extremely hard to recognize or respond when accidents happen. Since a scale of damage is very large, a corresponding system about this situation is urgent in national aspect. Existing data center or integration security framework of computer lab is evaluated to be a behind system when it corresponds to cyber attack. Therefore, this study suggests a better sophisticated next generation convergence security framework in order to prevent from attacks based on advanced persistent threat. Suggested next generation convergence security framework is designed to have preemptive responses possibly against APT attack consisting of five hierarchical steps in domain security layer, domain connection layer, action visibility layer, action control layer and convergence correspondence layer. In domain connection layer suggests security instruction and direction in domain of administration, physical and technical security. Domain security layer have consistency of status information among security domain. A visibility layer of Intellectual attack action consists of data gathering, comparison, decision, lifespan cycle. Action visibility layer is a layer to control visibility action. Lastly, convergence correspond layer suggests a corresponding system of before and after APT attack. An introduction of suggested next generation convergence security framework will execute a better improved security control about continuous, intellectual security threat.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
대규모 전산장비를 운영하고 있는 데이터센터에서의 서비스 중단, 해킹, 정보유출 사고의 부정적인 영향은 국가적, 사회적으로 심각한 수준에 이른다. 본 연구에서는 국내 데이터센터에서 기본적으로 적용되고 있는 통합 보안 프레임워크에 대해 알아보고, 더욱 더 지능화 되어가고 있는 사이버 위협의 형태인 지능형 지속위협(APT, Advanced Persistent Threat)에 대응하기 위해 기존의 통합형 보안 프레임워크의 한계를 극복하기 위해 할 수 있는 차세대 융합형 보안 프레임워크를 제시하였다.
제안 방법
본 논문의 구성은 다음과 같다. Ⅰ장 서론에서는 연구목적을 기술하고, Ⅱ장 최근 보안위협의 특징을 기술하고, Ⅲ장 기존의 통합 보안프레임워크를 공공 및 민간분야에 대한 사례와 고려사항을 제시하고, Ⅳ장에서는 본 연구에서 제안하는 차세대 융합 보안 프레임워크를 제안 하였으며, Ⅴ장에서는 결론과 향후 연구방향을 제시하였다.
공공분야 통합보안 프레임워크 사례 [그림 2]를 보면 외부 인터넷 접점으로부터 데이터베이스에 이르는 정보시스템 서비스 구간을 8단계로 나누고 각 단계에 대응하여 DDoS대응시스템, 스팸/바이러스차단시스템, 침입차단시스템(IPS) 침입탐지시스템(IDS), 방화벽(Firewall), DDoS대피소, 웹방화벽, 서버보안시스템, DB보안시스템의 8개 관제/대응 시스템으로 구성된다. 이로부터 수집된 정보들을 분석하는 유해트래픽분석시스템, 취약점분석시스템, 악성코드분석시스템, 종합분석시스템의 4개 분석시스템을 통해 사후 분석 및 대응까지 가능하도록 지원한다[2].
이를 기반으로 정형·비정형 데이터 분석을 수행한다. 또한 SDW를 기반으로 정보보호 데이터마이닝을 수행하여 APT 공격 시나리오를 주기적으로 추출하는 활동을 수행한다. 정보보호인 텔리전스(SBI, Security Business Intelligence) 구현을 통해 진행 중인 APT 공격의 탐지 및 차단, 기 침해시도가 성공한 APT 공격에 대한 사후조치를 수행할 수 있다.
물리적 보안은 [그림 7]과 같이 설비와 제어의 2개축으로 설계하고, 통제가능 위협, 통제불가 위협에 맞추어 구성한다. 통제불가 위협의 대응으로 재난복구센터(DR, Disaster Recovery)구축과 내진설계를 일반화 한다.
이를 기반으로 정형·비정형 데이터 분석을 수행한다.
더불어 IT기술에 내재된 취약점 역시 더욱 많이 노출되고 있으며 이에 대응하기 위한 보안투자는 너무나 부족한 실정이다. 이에 본 연구에서는 지능형지속위협(APT, Advanced Persistent Threat)기반의 공격에 대비한 차세대 융합 보안 프레임워크를 제안하였으며, 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성을 갖도록 설계하였다. 제안한 융합보안 프레임워크는 기존의 통합보안관제 체계에서 한단계 상향된 융합보안관제 체계로 전환하기 위한 변화관리를 수행할 수 있도록 단계별, 영역별, 연계성 등을 고려하여 설계하였다.
제안하는 차세대 융합 보안 프레임워크의 영역간 연계계층은 [그림 9]에서와 같이 관리적·물리적·기술적 보안 도메인간의 교차적 연계를 통한 보안활동을 말한다.
제안하는 차세대 융합보안 프레임워크[그림 5]는 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성을 갖는다.
이에 본 연구에서는 지능형지속위협(APT, Advanced Persistent Threat)기반의 공격에 대비한 차세대 융합 보안 프레임워크를 제안하였으며, 영역별 보안계층, 영역별 연계계층, 행위가시화 계층, 행위통제계층, 융합대응계층의 5단계 계층적 구성을 갖도록 설계하였다. 제안한 융합보안 프레임워크는 기존의 통합보안관제 체계에서 한단계 상향된 융합보안관제 체계로 전환하기 위한 변화관리를 수행할 수 있도록 단계별, 영역별, 연계성 등을 고려하여 설계하였다. 차후에는 본 연구에서 제시한 차세대 융합 보안 프레임워크가 실무에서 적용할 수 있도록 세부 가이드와 중소규모 전산실 적용을 위한 맞춤적용을 위한 테일러링 가이드를 제시할 계획이다.
데이터센터 시설 내 또는 전산실내의 각종 단말기와 시스템을 통해 사용자의 ID카드를 인식하고 이벤트를 발생시킨다. 즉, 사용자의 출근부터 컴퓨터 로그인, 네트워크 접속 그리고 시스템 접속과 사용내역을 빈틈없이 기록하고 관리하며, 이에 대한 분석으로 위협을 식별한다.
통제가능 위협은 불법침입·내부자 불법행위·시설고장·화재 등에 대하여 비인가자의 데이터센터와 전산실출입에 대한 통제, 출입 인가된 자라 할지라도 권한이 없는 특정보호 구역에는 접근할 수 없도록 통제하고 금속탐지기, X-Ray 검색대 등의 검사장치를 통해 차단하도록 한다.
통합보안 관점에서 관리 + 물리 + 기술 보안이 연계되고, 관리 + 기술, 관리 + 물리, 기술 + 물리 보안이 연계되는 형태로 총 4개의 연계가 발생하에 대해 일관성있는 보안설계를 한다. 그러므로 각 보안 도메인별 보안관련 이력정보는 데이터베이스화 되어 저장되어야 하며 이러한 정보를 이용하여 보안업무가 수행될 수 있도록 시스템이 구현되어야 한다.
후속연구
제안한 융합보안 프레임워크는 기존의 통합보안관제 체계에서 한단계 상향된 융합보안관제 체계로 전환하기 위한 변화관리를 수행할 수 있도록 단계별, 영역별, 연계성 등을 고려하여 설계하였다. 차후에는 본 연구에서 제시한 차세대 융합 보안 프레임워크가 실무에서 적용할 수 있도록 세부 가이드와 중소규모 전산실 적용을 위한 맞춤적용을 위한 테일러링 가이드를 제시할 계획이다.
질의응답
핵심어
질문
논문에서 추출한 답변
APT란?
APT는 해킹을 시도하는 개인이나 그룹이 명확한 목적을 가지고 특정 대상을 겨냥하여 지능적이고 복합적인 방법을 동원하여 지속적으로 공격하는 위협형태를 말한다[1]. 이러한 APT의 특징은 지능형, 지속형, 복합형 공격으로 분류할 수 있다[6~7].
APT의 특징은 어떻게 분류할 수 있는가?
APT는 해킹을 시도하는 개인이나 그룹이 명확한 목적을 가지고 특정 대상을 겨냥하여 지능적이고 복합적인 방법을 동원하여 지속적으로 공격하는 위협형태를 말한다[1]. 이러한 APT의 특징은 지능형, 지속형, 복합형 공격으로 분류할 수 있다[6~7].
공공분야 통합보안 프레임워크의 단점은?
기술적인 보안요소를 계층적 구조로 체계화하고 통합 운영하고 있으며, 24시간 365일 동안 중단이 없는 관제, 분석활동 수행으로 효과적인 공격 대응이 가능하며, 기술적 보안을 위한 시스템에 지속적인 투자를 통해 필요한 방어시스템을 골고루 갖추고 있으나 공격 및 이상 징후에 대하여 수동적인 대응에 집중되어 있어서 복합적인 공격에 대응하기에는 부족하며, 위협의 관점을 외부요소에 치중하고 있어서 내부위협, 즉 내부 사용자와 PC, 서버들 또한 공격을 수행하는 주체 혹은 공격에 이용될 수 있다는 것을 고려할 필요가 있다.
참고문헌 (8)
Strategies for Dealing With Advanced Targeted Threats, GARTNER Aug. 2011.
http://isis.kisa.or.kr/ 2011. 2012, 2013.
Safezone ID Provisioning, LG CNS, http://safezone.lgcns.com/solu/solu_idpro_intro.asp, Mar. 2013.
Blue Coat Labs Report: Advanced Persistent Threats, BlueCoat, BlueCoat, 2011.
김현성, "인지무선네트워크를 위한 회전자 기반 적응형 보안프레임워크 설계", 대한전자공학회, 전자공학회논문지 제 50권 제 5호, 2013.5, 165-171 (7pages)
※ AI-Helper는 부적절한 답변을 할 수 있습니다.