[논문]통합보안관리시스템 보안 분석 및 개선

김경신

doi:10.7236/jiibc.2015.15.1.15

[국내논문] 통합보안관리시스템 보안 분석 및 개선
Security Analysis and Improvement of Integrated Security Management System 원문보기

The journal of the institute of internet, broadcasting and communication : JIIBC, v.15 no.1, 2015년, pp.15 - 23

초록
AI-Helper

본 논문은 지난 2012년 이후 떠오른 개념인 '빅 데이터'의 등장으로 정보보안 환경이 어떻게 변화되고 있는지, 빅 데이터와 관련된 분석 기술을 바탕으로 보안위협으로부터 어떤 통합보안시스템을 구축해야 하는지 제안하고자 한다. 빅 데이터 분야에 대해서는 최근 활용 분야에 대한 연구가 활발히 진행 중이며 APT(Advanced Persistent Threats)와 같은 보안 위협으로부터 보호하기 위해 빅 데이터 기반 통합보안관리시스템에서는 어떤 요구사항이 필요한 지 살펴보고자 한다. 또한, 기존 통합보안관리시스템과 현재 빅 데이터 기반 통합보안관리시스템을 비교 분석하며 한계점은 무엇이며 보완되어야 할 점을 제안하여 개선된 통합보안관리시스템을 제안하고자 한다.

Abstract ▼ AI-Helper

This thesis proposes how data security has changed since the emergence of 'Big Data' in 2012 and the type of Integrated Security Management System that needs to be built against security threats, based on an analysis of Big Data. Much research has been conducted in Big Data. I need to think about what an Integrated Security Management System requires in order to safeguard against security threats such as APT. I would like to draw a comparison between the current Integrated Security Management System and one that is based on Big Data, including its limitations and improvements, so that I can suggest a much improved version of Integrated Security Management System.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 보안 환경에 있어서 중요한 변수로 작용할 빅 데이터의 특성을 먼저 이해하고, 그에 따른 보안위협을 살펴본 후, 그에 따른 통합보안관리시스템을 제안하고자 한다. 통합보안관리시스템에 대해서는 빅 데이터 이전과 빅 데이터 이후 현재 적용되고 있는 시스템이 무엇인지 살펴본 후 보안성이 강화된 통합보안관리시스템을 제안하고자 한다.
본 논문에서는 보안 환경에 있어서 중요한 변수로 작용할 빅 데이터의 특성을 먼저 이해하고, 그에 따른 보안위협을 살펴본 후, 그에 따른 통합보안관리시스템을 제안하고자 한다. 통합보안관리시스템에 대해서는 빅 데이터 이전과 빅 데이터 이후 현재 적용되고 있는 시스템이 무엇인지 살펴본 후 보안성이 강화된 통합보안관리시스템을 제안하고자 한다. 또한 현재 사용하고 있는 통합보안관리시스템과 그에 따른 한계점을 분석하고 향후 통합보안관리시스템이 필요로 하는 요건과 보완점을 제시하고자 한다.
통합보안관리시스템에 대해서는 빅 데이터 이전과 빅 데이터 이후 현재 적용되고 있는 시스템이 무엇인지 살펴본 후 보안성이 강화된 통합보안관리시스템을 제안하고자 한다. 또한 현재 사용하고 있는 통합보안관리시스템과 그에 따른 한계점을 분석하고 향후 통합보안관리시스템이 필요로 하는 요건과 보완점을 제시하고자 한다.
본 절에서는 통합보안관리시스템 내 로그관리솔루션의 로그 수집 및 저장, 검색 및 분석 기능으로 구분하여 현재 사용되고 4개 사의 통합보안로그 솔루션의 특징과 취약점을 진단하며 보완해야 할 점을 도출하고자 한다.
그러므로 기존 SIEM 기능은 APT와 같은 위협에 대해 통찰력, 가시성, 민첩성, 신속성을 갖춘 종합적인 분석 플랫폼으로서의 변화를 취해야 할 것이다. 본 장에서는 기존 통합보안관리시스템을 강화할 두 가지 부분을 도입하여 해당 기능의 연동을 제안하고자 한다. 또 해당 기술을 적용했을 때 성능 비교와 기대효과를 제시한다.
이에 따라 주요 개인정보를 포함한 데이터에 대해 내외부 개인정보보호 감사에 대응 가능한 컴플라이언스를 준수하고 검증받은 암호 모듈을 이용한 암호화 기능을 제공해야 한다. 단순 DB 암호화를 넘어 다양한 시스템에서 적용 가능한 데이터 암호화 플랫폼 연동의 필요성을 제시하고자 한다. 그리고 다음과 같은 요소를 충족하는 새 DB암호화 방식을 제안하고 그에 따른 성능비교 및 기대효과를 제시하고자 한다.
단순 DB 암호화를 넘어 다양한 시스템에서 적용 가능한 데이터 암호화 플랫폼 연동의 필요성을 제시하고자 한다. 그리고 다음과 같은 요소를 충족하는 새 DB암호화 방식을 제안하고 그에 따른 성능비교 및 기대효과를 제시하고자 한다. 우선 최근 사용되고 있는 DB 암호화 솔루션의 강점을 채택하여 통합보안관리시스템에서 채택해야 할 할 암호화 방식과 주요 기능들을 소개하고 암호문 조회 성능 비교, 암호화 복호화에 따른 DBMS의 부하율을 비교하여 새 암호화 방식에 대한 우수성을 입증하고자 한다.
그리고 다음과 같은 요소를 충족하는 새 DB암호화 방식을 제안하고 그에 따른 성능비교 및 기대효과를 제시하고자 한다. 우선 최근 사용되고 있는 DB 암호화 솔루션의 강점을 채택하여 통합보안관리시스템에서 채택해야 할 할 암호화 방식과 주요 기능들을 소개하고 암호문 조회 성능 비교, 암호화 복호화에 따른 DBMS의 부하율을 비교하여 새 암호화 방식에 대한 우수성을 입증하고자 한다.
지금까지 통합보안관리시스템의 현황 및 보완 요소에 관한 부분을 살펴보았다. SIEM에 탑재 되어 있는 보안 요소의 부재, 보안 이벤트 수집의 어려움, APT 공격에 대해 장기적으로 대응하기 어려운 점을 확인할 수 있었다.
와 비교하였다. 그리고 제안한 항목을 추가한 통합보안관리시스템이 보여줄 수 있는 기대효과를 제시하고자 한다.
또 통합보안관리시스템에서 중요한 부분은 차지하고 있는 통합로그분석시스템의 각 기준에 대해서 현 상황을 분석하고 보완해야 할 측면에 대해서 제시하였다. 또, 주된 내용으로 다루지는 않았지만 통합보안관리시스템은 운영적인 측면에 있어서 데이터 보안, 애플리케이션 보안, 엔드 포인트 보안과 시스템 전체를 관리하는 통합 솔루션을 어떻게 통합시킬 것인가에 관한 다양한 모델 연구도 과제로 남아있다.

가설 설정

- 기존 DB의 Plan 변경 및 Object 추가 없이 성능 극대화 및 DB 무결성을 보장하여야 한다.
- 사용자 행위 기반 접근제어 정책을 적용한 고객정보보호가 가능하다.

제안 방법

1. 기존 통합보안관리시스템 보안 현황

현재 SIEM을 활용하는 국내외 업체들의 솔루션 현황과 주요 특징들을 정리해 보았으며, 이처럼 SIEM은 대용량 데이터 분석을 위해 빅데이터 기술을 이용하며, 이를 통해 로그 데이터로부터 유의미한 보안 위협을 찾아낸다. 이러한 SIEM을 이용한 솔루션의 사례가 국내외에서 증가하고 있다.
MapReduce기반의 분산처리 기술의 지원여부, 로그 솔루션 내에 자체 DBMS를 지원하는지, Agent, Syslog, SNMP 등 다양한 로그 수집 방식을 지원하는지, 신규로 그 연동과 로그 압축 성능, 지원되는 비교적 안전한 로그 암호화 알고리즘을 지원하는지 등을 세부 평가항목으로 정하였다.
로그 시스템 원본 내 구문 검색이 가능 여부, 드릴다운 상세 검색 기능 제공 여부, 차등 및 멀티레벨 상관분석 기능 제공 여부, 실시간 쿼리 이벤트 지원 기능, 데이터 통계분석 기능 지원 여부를 세부 평가항목으로 정하였다.
위에서 분석한 4개의 통합보안관리시스템 제품을 비롯해 빅 데이터 환경의 관점에서 보완되어야 할 요건들을 제시한다. 첫째, 현재 많은 시스템에 SIEM 기능이 연동되지 않고 있는 상황이다.
위에서 언급한 성능 비교 외에도 추가로 기대할 수 있는 항목들을 정리하였다.
본 논문에서 현 통합보안관리시스템에 두 가지 제안 사항을 반영하여 성능 변화를 기록한 기대효과를 분석하였다. 본 논문의 제안 사항 외에도 현재 보안 사고를 예방하고 분석하기 위해서는 가장 이상적인 시스템에 가까운 모델을 연구하거나 지속적인 사이버 공격의 진화로 발생 가능한 다양한 상황에서 시스템 보완이 필요하다.

성능/효과

첫째, 현재 많은 시스템에 SIEM 기능이 연동되지 않고 있는 상황이다. 위의 4개 사의 솔루션 분석 결과 C사를 제외하고는 SIEM과 관련된 로그 보안 기능이 제대로 구현되지 않았음을 살펴볼 수 있다. 둘째, 현재 SIEM 시스템 기능은 결국 IT 인프라에 관한 정보만 수집하므로 APT와 같은 공격에 대응하기 어려운 점도 존재한다.
CEP 기반 분석의 경우 메모리상에서 데이터를 로드하여 선 분석 후 저장하는 방식을 채택하고 있기 때문에 데이터 발생 주기와 지연 시간에 있어서 상당한 차이가 발생할 수 있다. 특히 분석 대상 데이터의 크기가 크면 클수록 두 방식의 처리 속도 격차는 상당히 커진다는 것을 알 수 있다.
첫째, 초당 수백 수십만 이상의 이벤트 스트림 분석이 가능하다. 기존 SQL기반의 AD-HOC processing은 데이터베이스에 저장해서 분석하기 때문에 많은 이벤트 발생시 업데이트 지연현상이 발생하고 병목현상으로 이어진다.
기존 통합보안관리시스템에서 제공하는 암호화 방식은 AES, 3DES 등 비교적 강력한 알고리즘 기능을 지원하지만, 현재 컴플라이언스 이슈나 데이터 보호를 위한 기술적 요구를 충족하기에는 다소 부족하거나 일부 시스템의 경우 구성시 원본 로그에 대한 무결성 및 암호화 기능이 포함하지 않는 경우도 있었다. 일부 외산 솔루션의 경우에는 일방향 알고리즘을 비롯해 SEED, SHA-256과 같은 검증된 알고리즘 계정단위 권한 관리 및 접근 통제 항목에 있어서 미흡한 점이 발견되었다.
UPDATE, INSERT 문의 경우에도 약 5∼7% 정도의 리소스만 추가되었을뿐 성능에는 거의 영향을 미치지 않았다.
위에서 서술했듯 Plug-In 방식의 경우 DB 프로세스 종속에 따른 성능 저하가 발생하므로 경우에 따라서 필요 이상의 데이터 누적 시 사용하기 어려울 수 있음을 보여주고 있다. 그러나 제안하는 방식의 경우는 100만 건 조회 시 Plug-In 방식 대비 2.5배의 성능차이를 보여주고 있다.
에서 쿼리 암호화 적용 전후의 CPU 점유율의 변화율을 측정하였다. SELECT 문 사용 시 성능에 영향을 주지 않았음을 확인할 수 있었다. UPDATE, INSERT 문의 경우에도 약 5∼7% 정도의 리소스만 추가되었을뿐 성능에는 거의 영향을 미치지 않았다.
제안한 시스템이 대부분의 평가항목을 충족시킬 수 있음을 확인할 수 있다. 먼저 제시한 4개사 솔루션의 경우 각 솔루션마다 우수한 기능이 탑재되어 경쟁력을 갖추고 있었지만, 우수한 평가를 받는 솔루션이라도 적어도 한두 가지 항목에 대해서는 필요한 기능이 제공되지 않아 다소 불편함이 따랐다.

후속연구

한편 컴퓨터와 인터넷의 확산으로 실현된 정보화는 데이터 생산을 가속하여 2011년 한 해에만 1.8ZB(제타바이트)를 생산하는 데이터 폭증 현상에 직면하고 있으며, 향후에도 데이터는 기하급수적으로 증가하여 2020년에 이르면 현재 대비 50배로 폭증할 것으로 예상된다.^[1]
또 기존 SIEM 기능은 실행 가능한 정보를 담고 있지 않기 때문에 많은 기관들이 SIEM으로부터 원하는 일부 데이터만을 사용하고 있는 실정이다. 그러므로 기존 SIEM 기능은 APT와 같은 위협에 대해 통찰력, 가시성, 민첩성, 신속성을 갖춘 종합적인 분석 플랫폼으로서의 변화를 취해야 할 것이다. 본 장에서는 기존 통합보안관리시스템을 강화할 두 가지 부분을 도입하여 해당 기능의 연동을 제안하고자 한다.
본 논문에서 현 통합보안관리시스템에 두 가지 제안 사항을 반영하여 성능 변화를 기록한 기대효과를 분석하였다. 본 논문의 제안 사항 외에도 현재 보안 사고를 예방하고 분석하기 위해서는 가장 이상적인 시스템에 가까운 모델을 연구하거나 지속적인 사이버 공격의 진화로 발생 가능한 다양한 상황에서 시스템 보완이 필요하다. 또 본 논문에 제안 사항을 통합보안관리시스템에 도입하는 과정에 있어서도 각 구성요소가 공통의 컴플라이언스를 충족하는지, 해당 솔루션 도입에 따라 비용 측면에서 최소의 요건을 충족할 수 있는지도 고려해야 한다.
이런 흐름에 대응하기 위해서는 본 논문에서 제시한 보완 기준을 반영하여 강화하는 것뿐 아니라 관리 측면에서 발생할 수 있는 보안 위협 요소, 내부자에 의한 정보 유출과 같은 관리 측면의 위험을 방지하도록 노력해야 한다. 또한 다양하고 더 나은 평가 기준을 제공할 수 있도록 노력해야 하며 지속적으로 변하고 있는 네트워크 환경에서 유연하게 대처할 수 있는 방향으로 고민하고 발전해야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	최근 IT 환경은 어느 시대로 진입하고 있는가?	최근 IT 환경은 디지털 데이터 빅뱅 시대로 진입하고 있다. 기업의 IT 활용단계는 제 1의 벽인 전자화, 정보화 단계를 넘어 제 2의 벽인 데이터 활용 단계로 넘어가고 있으며 전자화, 정보화 단계는 기업의 비용 절감을 강조 하는 반면, 데이터 활용 단계는 새로운 이익의 창출에 초점을 맞추게 됨에 따라 대량의 데이터를 활용하여 분석한 데이터를 바탕으로 새로운 이익을 창출하려는 빅 데이터 분석 기술이 부각되고 있다.
	침입탐지시스템은 어떠한 목적으로 구축되었는가?	침입탐지시스템(IDS: Intrusion Detection System)은 대상 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 불법 행위를 구별하여 실시간으로 침입을 차단하는 기능을 가진 보안시스템이다. 침입탐지시스템은 일반적인 보안시스템 구현 절차의 관점에서 침입차단시스템(IPS)과 더불어 가장 우선적으로 구축되었으며, 해킹 등의 불법 행위에 대한 실시간 탐지 및 차단과 침입차단시스템에서 허용한 패킷을 이용하는 해킹 공격의 방어 등의 목적으로 구축된다.
	침입방지시스템은 어떠한 기능을 제공하는가?	IPS는 공격 Signature를 찾아내 네트워크에 연결된 기기에서 발생하는 수상한 활동을 감시 및 중단시키는 보안 솔루션이다. 이것은 단순한 네트워크 단에서의 탐지가 제공하지 못하는 각종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지 시스템으로 OS 레벨에서 실시간 방어와 탐지 기능을 제공한다.

참고문헌 (8)

James Manyika etc, "Big data: The next frontier for innovation, competition, and productivity", McKinsey Global Institute, 2011
Jyung Hyun Kim, "BigDataplatform-based socia-l net workdata analysis paractices", 2012
John P. Wack, "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls", NIST Special Publication, 1994
KISA Internet Weekly, 2012.08.02
Tyler Bell, "Big Data: An oppertunity in search of a metaphor", rader.oreilly.com/2011/02/big-datameterphor.html
NACS : Client/Server Security Assessment and Awareness, Accessed; 2009.04
Ahn, C. W. and S. G. Hwang, "Big Data technologies and main issues", Journal of Korean Institute of Information Scientist and Engineers, Vol.30, No.6, pp.10-17, 2012
Kyung-Bae Min, Jang-Mook Kang, "Rights to Control Information and Related Security Technologies on the CyberSpace", Journal of the institute of internet, broadcasting and communicaion, Vol.10, No.2, pp.136-142, 2010

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증