최찬영
(Department of Convergence Technology, Hoseo Graduate School of Venture)
,
박대우
(Department of Convergence Technology, Hoseo Graduate School of Venture)
2011년 NH농협 전산망마비 사건, 2013년 3.20 사이버테러 및 2015년 12월의 한국수력원자력 원전 중요자료 유출사건이 있었다. 이러한 사이버테러는 해외(북한)에서 조직적이고 장기간의 걸친 고도화된 APT공격(Advanced Persistent Threat Attack)을 감행하여 발생한 사이버테러 사건이다. 하지만, 이러한 APT공격을 방어하기 위한 탁월한 방안은 아직 마련되지 못했다. APT공격은 현재의 관제 방식으로는 방어하기가 힘들다. 본 논문에서는 빅데이터 분석을 통해 APT공격을 예측할 수 있는 방안을 연구한다. 본 연구는 대한민국 3계층 보안관제 체계 중, 정보공유분석센터(ISAC)를 기준으로 하여 빅데이터 분석, APT공격 및 취약점 분석에 대해서 연구와 조사를 한다. 그리고 외부의 블랙리스트 IP 및 DNS Log를 이용한 APT공격 예측 방안의 설계 방법, 그리고 전조현상 분석 방법 및 APT공격에 대한 대응방안에 대해 연구한다.
2011년 NH농협 전산망마비 사건, 2013년 3.20 사이버테러 및 2015년 12월의 한국수력원자력 원전 중요자료 유출사건이 있었다. 이러한 사이버테러는 해외(북한)에서 조직적이고 장기간의 걸친 고도화된 APT공격(Advanced Persistent Threat Attack)을 감행하여 발생한 사이버테러 사건이다. 하지만, 이러한 APT공격을 방어하기 위한 탁월한 방안은 아직 마련되지 못했다. APT공격은 현재의 관제 방식으로는 방어하기가 힘들다. 본 논문에서는 빅데이터 분석을 통해 APT공격을 예측할 수 있는 방안을 연구한다. 본 연구는 대한민국 3계층 보안관제 체계 중, 정보공유분석센터(ISAC)를 기준으로 하여 빅데이터 분석, APT공격 및 취약점 분석에 대해서 연구와 조사를 한다. 그리고 외부의 블랙리스트 IP 및 DNS Log를 이용한 APT공격 예측 방안의 설계 방법, 그리고 전조현상 분석 방법 및 APT공격에 대한 대응방안에 대해 연구한다.
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on december in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to ...
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on december in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to the script kids attacks and the techniques used were very complex and sophisticated. However, no successful solution has been implemented to defend an APT attacks(Advanced Persistent Threat Attacks) thus far. We will use big data analytics to analyze whether or not APT attacks has occurred. This research is based on the data collected through ISAC monitoring among 3 hierarchical Korean Defense System. First, we will introduce related research about big data analytics and machine learning. Then, we design two big data analytics models to detect an APT attacks. Lastly, we will present an effective response method to address a detected APT attacks.
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on december in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to the script kids attacks and the techniques used were very complex and sophisticated. However, no successful solution has been implemented to defend an APT attacks(Advanced Persistent Threat Attacks) thus far. We will use big data analytics to analyze whether or not APT attacks has occurred. This research is based on the data collected through ISAC monitoring among 3 hierarchical Korean Defense System. First, we will introduce related research about big data analytics and machine learning. Then, we design two big data analytics models to detect an APT attacks. Lastly, we will present an effective response method to address a detected APT attacks.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 먼저 빅데이터 분석을 이용한 APT공격 분석에 관련된 연구에 대해 살펴보고 통합보안관제센터 관제 환경에서 효율적일 것으로 판단되는 APT공격 분석 방법 2가지를 제안하고자 한다. 또한, APT공격이라고 의심되는 건을 발견 시 취해야 할 대응방안에 대해서도 제안하고자 한다.
APT공격은 이메일, SMS 등의 사회공학적 방법을 이용하므로 기존 기술적 취약점을 찾는 것과 함께 빅데이터 분석을 통해 관리적 측면의 취약점을 찾는 방법을 고려해 볼 수 있다. 모의해킹훈련을 수행 후 훈련 결과를 빅데이터 분석하여 어떠한 유형의 수신자가 취약한지 밝혀낸다. 이러한 분석결과로 정보보안 정책 수립·개정 및 관련 솔루션을 개발한다면 APT공격 예방효과가 있을 것으로 판단된다.
본 연구에서는 APT솔루션의 1차 분석 단계인 행위기반 파일 분석 등과 같이 악성코드 분석 등의 심층 분석 전 단계에 집중하여 연구할 계획이다. 또한, 파일 분석이 아닌 통합보안관제에서의 관제데이터 및 트래픽데이터를 이용한 빅데이터 분석에 대해 연구할 계획이다[19].
본 연구에서는 먼저 빅데이터 분석을 이용한 APT공격 분석에 관련된 연구에 대해 살펴보고 통합보안관제센터 관제 환경에서 효율적일 것으로 판단되는 APT공격 분석 방법 2가지를 제안하고자 한다. 또한, APT공격이라고 의심되는 건을 발견 시 취해야 할 대응방안에 대해서도 제안하고자 한다.
제안 방법
최도현외 1명은 사용자들의 거래 성향을 빅데이터 분석을 통해 분석하였다[7]. Naive Bayes Algorithm 및 Aproiri Algorithm 등을 상호 응용하여 분석하였고, 분석 결과 제품별 긍정, 부정 성향 및 성향별 관심의 정도를 도출하였다. 이와 같이 빅데이터 분석을 통해 무의미하게 보이는 대량의 데이터에서 의미있는 정보를 수치화할 수 있음을 알 수 있다.
먼저 정상 DNS Log를 제외한 후 주기적인 DNS 통신 및 URL-IP 매핑 변경이 있는지 검색한다. 검색된 DNS Log에 대해 빅데이터 분석을 수행하여 APT 공격 전조 현상을 분석한다.
그리고 보안관제 솔루션 제품의 DNS Log를 이용한 빅데이터 분석 방법 등을 1개의 회원사에 개선·적용하여 분석효과를 측정하고 여러 회원사에도 적용하여 회원사간 연관분석하면서 분석 효과를 향상시킨다.
외부의 블랙리스트 IP들을 수집한 후 트래픽 정보와 매핑하고 매핑된 결과 건수에 따라 처리 방법을 달리한다. 매핑 후 최종적으로 빅데이터 분석을 수행하여 APT공격 전조 현상을 분석한다.
매핑 후에는 해당 패킷의 헤더 정보나 페이로드 정보 중 정상적인 패킷과 다른 특이점이 있는지 지도학습, 비지도 학습 머신러닝 방법 등을 적용하여 분석한다.
먼저 블랙리스트 IP의 신뢰성 확보를 외부 블랙리스트 IP들 중 2개 이상의 외부업체에서 지목한 블랙리스트 IP를 트래픽정보와 매핑시킨다.
그림 2는 DNS Log를 이용한 빅데이터 분석 방법 흐름도이다. 먼저 정상 DNS Log를 제외한 후 주기적인 DNS 통신 및 URL-IP 매핑 변경이 있는지 검색한다. 검색된 DNS Log에 대해 빅데이터 분석을 수행하여 APT 공격 전조 현상을 분석한다.
Sumeet Dua외 1명은 머신러닝을 이용한 보안관제는 ①오용/시그니처 탐지(Misuse/Signature Detection), ②이상 탐지(Anomaly Detection), ③하이브리드 탐지(Hybrid Detection), ④네트워크 스캔 탐지(Network Scan Detection), ⑤프로파일링 모듈(Profiling Module)의 5가지 방법이 있다고 하였다[8]. 본 연구는 Sumeet Dua외 1명의 방법을 참고하여 APT공격 분석을 진행한다.
사이버세계에서 고도화되고 있는 APT공격을 분석하기 위해 빅데이터 분석을 이용한 보안관제 고도화 2가지 방법을 제안하였다.
손경호외 2명은 APT공격 분석 방법으로 연관성 분석이 주요한 방법이며 이러한 연관도 분석 방법에는 로그 유사속성 비교 방법[9, 10], 공격 초기의 이벤트 설정탐지 방법[11-13], 시간 흐름별 공격의 통계적 원인분석 방법[14, 15], 개별 이벤트를 군집하여 침해시도 여부를 결정하는 방법[16, 17] 등 다양한 방법이 있다고 하였다[18]. 악성코드에 감염된 PC의 트래픽을 분석하는 방법으로 주기적 접속 시도 탐지 방법을 제안하였다.
표 1은 APT공격의 전조 현상 분석을 위하여, 해외로부터 DNS Log를 추출한 자료이다. 이러한 주기적인 통신 DNS Log에 대해 이상탐지 등의 머신러닝 방법으로 분석하여 APT공격을 탐지한다.
정상적인 DNS Log의 특성을 찾아내기 위해 빅데이터 분석으로 정상적인 DNS Log의 대표적인 특성을 찾는다. 그리고 보안관제 솔루션 제품의 DNS Log를 이용한 빅데이터 분석 방법 등을 1개의 회원사에 개선·적용하여 분석효과를 측정하고 여러 회원사에도 적용하여 회원사간 연관분석하면서 분석 효과를 향상시킨다.
대상 데이터
2015년 한국수력원자력 원전 중요자료 유출사건은 해킹공격 기간은 4개월 정도로 타 APT공격과 비교하여 짧지만, ‘한글’ 프로그램의 제로데이 취약점을 이용하였고 한국수력원자력 직원 3,571명을 대상으로 하였다[3].
취약점 분석대상에 따라 H/W와 S/W로 분류할 수 있다. H/W 취약점 분석대상은 서버, 네트워크 장비, 방화벽 등이며, S/W 취약점 분석대상은 웹페이지, 애플리케이션, 소스코드(시큐어 코딩 점검) 등이다.
성능/효과
김원필은 IEEE 논문 정보를 이용해 정보보안 분야 트렌드를 빅데이터 분석으로 분석하였다[6]. 분석 결과 정보보안에 유망한 기술로 안드로이드 플랫폼, 사물인터넷, 클라우드 컴퓨팅과 함께 빅데이터가 도출되었다.
후속연구
본 연구에서는 APT솔루션의 1차 분석 단계인 행위기반 파일 분석 등과 같이 악성코드 분석 등의 심층 분석 전 단계에 집중하여 연구할 계획이다. 또한, 파일 분석이 아닌 통합보안관제에서의 관제데이터 및 트래픽데이터를 이용한 빅데이터 분석에 대해 연구할 계획이다[19].
마지막으로 본 논문에서 연구 중인 빅데이터 분석 이용 APT공격 탐지 방법을 지속적으로 연구해야 APT공격 예방에 성공할 것으로 판단된다.
본 연구는 개별보안관제가 아닌 통합보안관제 환경에서의 분석 방법을 연구하는 것이며 앞으로 제안한 분석 방법이 APT공격 탐지에 어느 정도 효과가 있는지 측정하고 효과가 미흡한 경우에는 분석 방법을 변경하여 효과를 극대화시키도록 할 계획이다.
본 연구에서 구현할 2가지 방법 외에 Sumeet Dua외 1명의 머신러닝 방법들을 이용한 추가적인 APT공격 분석 방법의 제안 및 연구를 통해 APT공격 분석 성공률을 향상시켜야 할 것이다.
빅데이터 분석은 난이도가 높은 분야이며 APT공격은 조직적으로 알려지지 않은 공격을 이용해 장기간 수행하는 공격이므로 본 연구에서 제안하는 방법으로도 APT공격 분석이 어려울 수 있지만, 지속적인 빅데이터의 분석을 통해 APT공격 전조현상 탐지 노하우가 축척된다면 APT공격 분석이 가능할 것으로 생각된다.
이러한 분석결과로 정보보안 정책 수립·개정 및 관련 솔루션을 개발한다면 APT공격 예방효과가 있을 것으로 판단된다.
APT공격 분석 관점에서 취약점 분석 관련 연구조사사례가 적은 이유는, APT공격이 알려지지 않은 취약점인 제로데이 취약점을 이용하기에 현재의 취약점 분석 방법으로 APT공격 취약점을 찾아내기가 어려워서 일 것이다. 하지만, 빅데이터 분석 등을 이용한 취약점 분석 고도화로 APT공격 가능성을 제거할 수 있을 것으로 판단된다.
질의응답
핵심어
질문
논문에서 추출한 답변
가트너가 정의한 빅데이터란?
가트너는 2012년에 Volume(대용량), Velocity(실시간 변경), Variety(비정형)의 3Vs를 가진 데이터를 빅데이터라고 정의하였다[4]. 이러한 빅데이터를 이용하는대표적인 과학은 예측적인 데이터 분석(Predictive Data Analytics)으로 빅데이터에서 특정 패턴을 찾고 예측하는 것을 말한다[5].
빅데이터를 이용하는 대표적인 과학은?
가트너는 2012년에 Volume(대용량), Velocity(실시간 변경), Variety(비정형)의 3Vs를 가진 데이터를 빅데이터라고 정의하였다[4]. 이러한 빅데이터를 이용하는대표적인 과학은 예측적인 데이터 분석(Predictive Data Analytics)으로 빅데이터에서 특정 패턴을 찾고 예측하는 것을 말한다[5]. 예측적인 데이터 분석을 하는 대표적인 방법이 머신러닝이며 머신러닝은 이러한 특정 패턴을 자동으로 찾게 만드는 것을 말한다.
빅데이터를 이용하는 예측 데이터 분석의 대표적인 방법은 무엇인가?
이러한 빅데이터를 이용하는대표적인 과학은 예측적인 데이터 분석(Predictive Data Analytics)으로 빅데이터에서 특정 패턴을 찾고 예측하는 것을 말한다[5]. 예측적인 데이터 분석을 하는 대표적인 방법이 머신러닝이며 머신러닝은 이러한 특정 패턴을 자동으로 찾게 만드는 것을 말한다.
참고문헌 (19)
S. B. Han and S. K. Hong, "Financial Services Industry's Reaction Plan to Defend APT Attack," J. Korea Inst. Info. Security & Cryptology, vol. 2, no. 1, pp. 44-53, 2013.
Ministry of Science, ICT and Future Planning in Rep. of Korea. 3.20 Cyberterror Investigation Interim Report[Internet]. Available: http://korea.kr/policy/mainView.do?newsId148758717.
Privacy Info. Crime Gov. Joint Investigation Dept. in Rep. of Korea. KHNP Cyberterror Incident Investigation Interim Report[Internet]. Available: http://www.spo.go.kr/_custome/spo/_common/board/download.jsp?attach_no154704.
Peter Zadrozny and Ragha Kodali, Big Data Analytics Using Splunk,,1st ed, New York, NY: Apress,, 2013.
John D. Kelleher, Brian Mac Namee and Aoife D'Arcy, Fundamentals of Machine Learning for Predictive Analytics, 1st ed, Cambridge, MA: The MIT Press, 2015.
W. P. Kim, "Analysis of Global Research Trend on Information Security," J. Korea Inst. Inf. Commun. Eng, vol. 19, no. 5, pp. 1110-1116, May 2015.
D. H. Choi et al., "Tha Application Method of Machine Learning for Analyzing User Transaction Tendency in Big Data environment," J. Korea Inst. Inf. Commun. Eng, vol. 19, no. 10, pp. 2232-2240, Oct. 2015.
Sumeet Dua and Xian Du, Data Mining and Machine Learning in Cybersecurity, New York, NY: CRC Press, 2011.
Elshoush. H. Tagelsir. and I. M. Osmank, "Alert correlation in collaborative intelligent intrusion detection systems - A survey." Applied Soft Computing In Press, vol. 11, no. 7, pp. 4349-4365, Oct. 2011.
K. Julish, "Mining alarm clusters to improve alarm handling efficiency.," Proceedings of the 17th Annual Conference on Computer Security Applications, vol. 10, no. 14, pp. 12-21, Dec. 2001.
S. Cheung, U. Lindqvist, "Modeling multistep cyber attacks for scenario recognition," DARPA Information Survivability Conference and Exposition, vol. 1, pp.284-292, Apr. 2003.
H. Debar. and A. Wespi, "Aggregation and correlation of intrusion detection alerts," Proceedings of the International Symposium on Recent Advances in Intrusion Detection, pp. 85-103, 2001.
B. Morin, L. Me, H. Debar, and M. Ducasse, "M2D2: A formal data model for IDS alert correlation," Proc. Recent Advances in Intrusion Detection, pp. 115-137, 2002.
X. Qin and W. Lee, "Statistical causality analysis of infosec alert data." in Proceedings of The 6th International Symposium on Recent Advances in Intrusion Detection (RAID 2003), Pittsburgh, PA, Sep. 2003.
X. Qin and W. Le, "Statistical causality analysis of infosec alert data", Lecture Notes in Computer Science, vol. 2820, pp. 73-93, Sep. 2003.
A. Valdes and K. Skinner, Probabilistic alert correlation, Berlin, HDB: Springer, 2001.
O. Dain and R. Cunninghan, "Building scenarios from a heterogeneous alert stream," in Proceedings of the 2001 IEEE Workshop on Information Assurance and Security, pp. 231-235, Jun. 2001.
K. H. Son, T. J. Lee and D. Won, "Design for Zombie PCs and APT Attack Detection based on traffic analysis," J. Korea Inst. Info. Security & Cryptology, vol. 24, no. 3, pp. 491-498, Jun. 2014.
C. Y. Choi and D. W. Woo, "The Analysis of the APT Prelude by Big Data Analytics", in Proceedings of The 39th Conference of KIICE, vol. 20, no. 1, pp. 317-320, May 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.