다양한 산업에 걸쳐 IoT 기기의 보급이 급격히 증가하면서 신뢰성, 보안성과 같은 안전한 IoT 기기 및 서비스를 위한 요구가 증가하고 있으며 보안공학에서는 고 신뢰(Trustworthy) 시스템의 설계 및 구현을 위해 안전한 개발 생명주기를 활용한다. 안전한 개발 생명주기는 보안요구사항 도출, 설계, 구현, 운영 단계로 구분되며 각 단계별로 달성하기 위한 목표 및 활동이 존재한다. 그 중 보안요구사항 도출 단계는 가장 첫 단계로 향후 설계, 구현 단계의 목표를 달성을 위해 정확하고 객관적인 보안요구사항을 도출하는 것이 중요하다. 정확하고 객관적인 보안요구사항을 도출하기 위해 보안위협모델링을 활용하며 이를 통해 도출된 보안요구사항은 위협 식별 범위에 대한 완전성과 대응되는 위협에 대한 추적성을 만족시킬 수 있다. 해외에서는 다양한 대상과 보안위협방법론을 활용한 연구가 진행되고 있는 반면 국내 연구는 중요성에 비해 상대적으로 미흡한 편이다. 따라서 본 논문에서는 IP Camera를 대상으로 Data Flow Diagram, STRIDE, Attack Tree와 같은 체계적인 보안위협모델링을 통해 보안요구사항을 도출하는 과정에 대해 설명하고 객관적인 의미 전달을 위해 도출한 보안요구사항은 국제표준인 공통평가기준을 활용하여 표현한다.
다양한 산업에 걸쳐 IoT 기기의 보급이 급격히 증가하면서 신뢰성, 보안성과 같은 안전한 IoT 기기 및 서비스를 위한 요구가 증가하고 있으며 보안공학에서는 고 신뢰(Trustworthy) 시스템의 설계 및 구현을 위해 안전한 개발 생명주기를 활용한다. 안전한 개발 생명주기는 보안요구사항 도출, 설계, 구현, 운영 단계로 구분되며 각 단계별로 달성하기 위한 목표 및 활동이 존재한다. 그 중 보안요구사항 도출 단계는 가장 첫 단계로 향후 설계, 구현 단계의 목표를 달성을 위해 정확하고 객관적인 보안요구사항을 도출하는 것이 중요하다. 정확하고 객관적인 보안요구사항을 도출하기 위해 보안위협모델링을 활용하며 이를 통해 도출된 보안요구사항은 위협 식별 범위에 대한 완전성과 대응되는 위협에 대한 추적성을 만족시킬 수 있다. 해외에서는 다양한 대상과 보안위협방법론을 활용한 연구가 진행되고 있는 반면 국내 연구는 중요성에 비해 상대적으로 미흡한 편이다. 따라서 본 논문에서는 IP Camera를 대상으로 Data Flow Diagram, STRIDE, Attack Tree와 같은 체계적인 보안위협모델링을 통해 보안요구사항을 도출하는 과정에 대해 설명하고 객관적인 의미 전달을 위해 도출한 보안요구사항은 국제표준인 공통평가기준을 활용하여 표현한다.
With rapid increasing the development and use of IoT Devices, requirements for safe IoT devices and services such as reliability, security are also increasing. In Security engineering, SDLC (Secure Development Life Cycle) is applied to make the trustworthy system. Secure Development Life Cycle has 4...
With rapid increasing the development and use of IoT Devices, requirements for safe IoT devices and services such as reliability, security are also increasing. In Security engineering, SDLC (Secure Development Life Cycle) is applied to make the trustworthy system. Secure Development Life Cycle has 4 big steps, Security requirements, Design, Implementation and Operation and each step has own goals and activities. Deriving security requirements, the first step of SDLC, must be accurate and objective because it affect the rest of the SDLC. For accurate and objective security requirements, Threat modeling is used. And the results of the threat modeling can satisfy the completeness of scope of analysis and the traceability of threats. In many countries, academic and IT company, a lot of researches about drawing security requirements systematically are being done. But in domestic, awareness and researches about deriving security requirements systematically are lacking. So in this paper, I described about method and process to drawing security requirements systematically by using threat modeling including DFD, STRIDE, Attack Library and Attack Tree. And also security requirements are described via Common Criteria for delivering objective meaning and broad use of them.
With rapid increasing the development and use of IoT Devices, requirements for safe IoT devices and services such as reliability, security are also increasing. In Security engineering, SDLC (Secure Development Life Cycle) is applied to make the trustworthy system. Secure Development Life Cycle has 4 big steps, Security requirements, Design, Implementation and Operation and each step has own goals and activities. Deriving security requirements, the first step of SDLC, must be accurate and objective because it affect the rest of the SDLC. For accurate and objective security requirements, Threat modeling is used. And the results of the threat modeling can satisfy the completeness of scope of analysis and the traceability of threats. In many countries, academic and IT company, a lot of researches about drawing security requirements systematically are being done. But in domestic, awareness and researches about deriving security requirements systematically are lacking. So in this paper, I described about method and process to drawing security requirements systematically by using threat modeling including DFD, STRIDE, Attack Library and Attack Tree. And also security requirements are described via Common Criteria for delivering objective meaning and broad use of them.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
안전한 개발 생명주기 중 가장 첫 단계는 요구사항 도출단계로 도출된 요구사항과 설계를 바탕으로 구현, 운영 단계보증 활동을 진행하기 때문에 가장 중요한 단계이며 정확하고 완전한 요구사항을 도출하는 방법에 대한 연구가 필요하다. 따라서 본 논문에서는 보안성 평가 관점에서 완전성과 추적성을 만족하는 보안요구사항 도출을 위해 IP Camera를 대상으로 보안위협모델링을 통한 체계적인 보안요구사항 도출 방법에 대해 설명한다.
보안기능요구사항 도출에 관한 국내 관련 연구에는 분석 범위의 완전성과 내용의 추적성을 보장하고, 현재까지 알려진 모든 약점, 취약점을 반영한 체계적인 보안위협모델링에 대한 연구가 없었다. 이에 본 논문에서는 IP Camera를 대상으로 보안위협모델링을 통해 체계적인 보안기능 요구사항을 도출하는 과정을 설명하였다. 또한 본 논문에서 도출한 보안기능요구사항은 정확성과 활용성, 객관적인 의미 전달을 위해 주관적인 표현 방법이 아닌 국제 표준제도에서 활용하는 분류, 표현 방법을 활용하였다.
가설 설정
공격자의 목표는 다음과 같이 IP Camera 촬영화면 획득, IP Camera 제어권 획득, IP Camera 서비스 거부 공격 수행으로 총 세 개의 공격 목표를 설정한다. 분석 가정 사항으로는 Cloud 및 Social Network Service는 분석 대상에 포함하지 않고 IP Camera 자체에서 제공하는 서비스만을 대상으로 한다. 또한 정상적인 사용자는 관리자, 일반 사용자로 구분하고 이 외의 접근하는 주체에 대해서는 허가받지 않은 사용자로 간주한다.
제안 방법
IP Camera 분석 범위, 기능, 데이터 흐름을 나타낸 DFD를 바탕으로 Process, Data Flow, Data Store, External Entity와 같은 DFD Element에 존재하는 보안위협을 식별한다.
Kristian Beckers, Stephan Fabbender 외 2명은 [26]에서 스마트 홈을 대상으로 보안위협모델링 과정에 대해 설명하였다. 규모가 큰 Smart Grid 시스템을 대상으로 Data Flow Diagram, STRIDE per Interaction 방법과 유사한 방법을 활용하였으며 Entry Point라는 데이터의 흐름 및 진입지접을 중점으로 분석하였다. 또한 규모가 큰 시스템의 Data Flow Diagram을 통해 실제 전송되는 데이터 유형 및 시스템 구조를 파악하는 효과적인 방법을 제시하는 것이 특징이다.
이에 본 논문에서는 IP Camera를 대상으로 보안위협모델링을 통해 체계적인 보안기능 요구사항을 도출하는 과정을 설명하였다. 또한 본 논문에서 도출한 보안기능요구사항은 정확성과 활용성, 객관적인 의미 전달을 위해 주관적인 표현 방법이 아닌 국제 표준제도에서 활용하는 분류, 표현 방법을 활용하였다.
마지막으로 IP Camera의 제조사는 온라인으로 설명서, Client Application 및 Firmware와 같은 분석에 참고할 수 있는 요소를 제공하므로 획득 및 분석이 용이하다는 장점이 있다. 본 논문에서는 2015년 시장 점유율 1, 2위 제조사 제품 4대 및 다수의 IP Camera의 매뉴얼 및 기술보고서를 바탕으로 분석을 진행하였다.
따라서 식별한 보안위협이 앞서 설정한 공격자의 공격목표를 달성하는데 어떻게 적용될 수 있는지 체계화시켜야 한다. 본 논문에서는 Attack Library와 Attack Tree를 이용하여 식별한 보안위협을 체계화하여 공격 목표달성에 영향을 끼치는 보안위협을 도출하였다.
본 논문에서는 Diagram을 이용하여 IP Camera의 분석범위 및 구성 요소를 식별하였다. Diagram을 활용할 경우 분석해야 할 대상의 요소에 집중하여 가시적으로 파악할 수 있는 장점이 있다.
본 장에서는 3장에서 단계별 방법론 적용을 통해 도출한 보안위협에 대응하는 보안기능요구사항을 국제표준인 공통평가기준 (Common Criteria, 이하 CC) 형식에 맞춰 도출한다. 첫 번째로 3장에서 식별한 보안위협 내용을 활용하여 보안문제를 정의하고 두 번째로 정의한 보안문제에 대응하는 보안목적을 정의하여 마지막으로 보안기능요구사항을 도출한다.
Attack Library는 STRIDE로 식별된 보안위협을 구체화하고 올바르게 보안위협을 식별했는지 판단할 수 있는 근거를 제시하는 역할을 한다. 이를 위해 다양한 자료를 수집하여 Attack Library를 제작할 수 있으며 본 논문에서는 IP Camera, CCTV, Embedded System과 관련된 논문과 신뢰할 수 있는 저자 또는 기관의 기술보고서, 저명한 해킹·보안 컨퍼런스의 발표, 공신력 있는 공격 패턴, 약점, 취약점 데이터베이스, IP Camera와 관련된 표준을 수집하여 제작하였다. 다음 Table 6은 IP Camera의 Attack Library로 완전한 Attack Library는 본 논문의 부록으로 작성하였다.
대상 데이터
본 논문에서는 다음과 같은 이유로 IP Camera를 분석 대상으로 선정하였다. 첫째, IP Camera는 네트워크에 연결되어 IP Camera가 Server, 사용자가 Client인 Server-Client 구조로 보안 속성 중 무결성(Integrity), 가용성(Availability)을 고려할 수 있다.
이론/모형
1990년대부터 소프트웨어 개발 생명주기 발전과 함께 다양한 보안위협모델링 방법에 대한 연구가 진행되었다. 1990년대 시스템 설계를 위한 방법으로 설계를 시각화해서 보여주는 UML(Unified Modeling Language) Use case가 사용되었다. 이를 응용하여 노르웨이의 Guttorm Sindre와 AndreasL.
STRIDE를 통해 도출한 위협과 공격자의 공격 목표 달성을 위한 방법과의 연관성을 파악하고 체계화하기 위해 Attack Tree를 작성하였다. IP Camera 공격자의 공격 목표에 대한 Attack Tree 그림은 크기와 양 제한으로 인해 부록에 별도로 첨부하였다.
STRIDE를 보안위협식별을 위한 방법으로 선택한 이유는 Authentication, Integrity, Non-repudiation, Confidentiality, Availability, Authorization과 같은 보안 속성을 고려한 위협식별 방법이고 DFD와 연계하여 효과적인 위협분석이 가능하기 때문이다. 본 논문에서는 IP Camera Level1 DFD에 STRIDE per Element 방법을 적용하여 총 136개의 보안위협을 식별하였다. 다음 Table 5는 IP Camera Level 1 DFD에서 STRIDE를 이용한 위협 식별 결과 일부를 나타낸다.
본 논문에서는 Microsoft에서 개발한 보안위협모델링 방법인 STRIDE를 사용하여 보안위협을 식별하였다. STRIDE를 보안위협식별을 위한 방법으로 선택한 이유는 Authentication, Integrity, Non-repudiation, Confidentiality, Availability, Authorization과 같은 보안 속성을 고려한 위협식별 방법이고 DFD와 연계하여 효과적인 위협분석이 가능하기 때문이다.
성능/효과
암호 알고리즘, 로그인 시도 횟수, 무결성 검사 방법과 같은 보안기능요구사항에 대한 세부적인 내용은 IP Camera 특성에 따라 다르게 구현할 수 있다. 따라서 IP Camera 제조사들은 본 논문의 보안기능요구사항을 활용하여 자사의 제품에 알맞은 보안기능을 구현할 수 있는 체크리스트 제작이 가능할 것으로 판단된다. 또한 본 논문에서 제시하는 분석 과정을 다른 대상에 활용할 경우 마찬가지로 분석의 완전성과 추적성을 만족하는 결과를 얻을 수 있을 것으로 보인다.
후속연구
또한 본 논문에서 제시하는 분석 과정을 다른 대상에 활용할 경우 마찬가지로 분석의 완전성과 추적성을 만족하는 결과를 얻을 수 있을 것으로 보인다. 하지만 본 논문은 요구사항을 도출하는 과정에 다양한 이해관계자들의 참여가 제한되었으며 추후 보안에 대한 전문적인 지식이 없는 이해관계자들도 함께 참여하여 진행할 수 있는 보안기능요구사항 도출에 관한 연구가 향후 과제로 남아있다.
질의응답
핵심어
질문
논문에서 추출한 답변
신뢰성(Trustworthiness)’있는 시스템이란?
이러한 IoT와 CPS는 일상생활 및 산업에 직접적인 영향을 끼치는 서비스를 제공하는 만큼 제작과 활용에 있어 높은 수준의 신뢰성(Trustworthiness)이 요구 된다. ‘신뢰성(Trustworthiness)’있는 시스템은 시스템의 Availability, Reliability, Security, Safety를 모두 고려하여 어떠한 상황에서도 안전하게 목적을 달성할 수 있는 시스템을 의미한다. 신뢰성 있는 시스템을 개발 및 운영하기 위한 일련의 과정을 정보보증(Information Assurance)이라 하며 보안 공학(Security Engineering)에서는 안전한 개발 생명주기(Secure Development Life Cycle, SDLC)를 통해 시스템의 정보보증 달성을 지원한다.
보안위협모델링이란?
보안위협모델링은 안전한 개발 생명주기(SDLC) 과정 중 구현 단계 이전에 이해관계자들이 모여 공격자의 입장에서 대상에 존재하는 잠재적인 위협을 식별하는 것을 의미한다.
1990년대의 소프트웨어 개발 생명주기 발전과 함께 다양한 보안위협모델링 방법에 대한 연구의 문제점은?
Threat tree는 시스템에 존재하는 위협을 논리적이고 계층 구조로 표현한 것으로 위협들 간의 관계를 시각적으로 이해할 수 있다는 장점이 있다. 이처럼 1990년대에는 시각화하여 위협을 설명하는 방법론을 사용하였지만 점차 소프트웨어의 규모, 복잡도가 증가하면서 표현의 범위, 내용, 구조의 어려움으로 인해 명확성이 떨어지는 어려움이 발생하였다.
참고문헌 (48)
Microsoft, Security Development Lifecycle [Internet], https://www.microsoft.com/en-us/sdl/.
Cisco, Cisco Secure Development Lifecycle(SDL) [Internet], http://www.cisco.com/c/en/us/about/security-center/security-programs/secure-development-lifecycle.html.
VMware, VMware Security Development Lifecycle [Internet], http://www.vmware.com/security/sdl.html.
OWASP, OWASP Secure Development Lifecycle Cheat Sheet [Internet], https://www.owasp.org/index.php/Secure_SDLC_Cheat_Sheet.
Guttorm Sindre and Andreas L. Opdahl, "Capturing Security Requirements through Misuse Cases," in Proceedings of the Norsk Informatikkonferanse, Bergen, 2001.
Guttorm Sindre and Andreas L. Opdahl, "Eliciting security requirements with misuse cases," Requirements Engineering, Vol.10, Issue 1, pp.34-44, 2005.
Edward G. Amosoro, "Fundamentals of computer security technology," AT&T Bell labs, 1994.
Chris Salter, O. Sami Saydjari, Bruce Schneier, and Jim Wllner, "Toward A Secure System Engineering Methodology," in Proceedings of the 1998 Workshop on New Security Paradigms, pp.2-10, 1998.
Bruce Schneier, Attack Trees [Internet], https://www.schneier.com/academic/archives/1999/12/attack_trees.html.
Adam Shostack, "Experiences Threat Modeling at Microsoft," Microsoft, 2008.
Microsoft, Microsoft Threat Modeling Tool 2016 [Internet], https://www.microsoft.com/en-us/download/details.aspx?id49168.
DistriNet Research Group, LINDDUN [Internet], https://distrinet.cs.kuleuven.be/software/linddun/contributors.php.
CERT, Software Engineering Institute, Carnegie Mellon University, OCTAVE [Internet], http://www.cert.org/resilience/products-services/octave/.
Donn B. Parker, "Our Excessively Simplistic Information Security Model and How to Fix it," ISSA Journal of Requirements Engineering, Springer-Verlag, 2010.
Shostack, Adam, Threat Modeling: Designing for Security," John Wiley & Sons, 2014.
Aaron Marback, Hyunsook Do, Ke He, Samuel Kondamarri, and Dianxiang Xu, "Security Test Generation using Threat Trees," in Proceedings of Automation of Software Test on ICSE Workshop, 2009.
Inger Anne Tondel, Jostein Jensen, Lillian Rostad, "Combining misuse cases with attack trees and security activity models," in Availability, Reliability, and Security on ARES'10 International Conference, 2010.
Goncalo Martins, Sajal Bhatia, Xenofon Koutsoukos, Keith Stouffer, CheeYee Tang, and Richard Candell, "Toward a Systematic Treat Modelling Approach for Cyber-Physical Systems," in Proceedings of National Symposium on Resilient Critical Infrastructure, Philadelphia, 2015.
Dr. Marnix Dekker and Dr.Giles Hogben, "Appstore security - 5 lines of defence against malware," European Network and Information Security Agency(ENISA), 2011.
Tong Xin and Ban Xiaofang, "Online Banking Seucurity Analysis based on STRIDE Threat Model," International Journal of Security and its Applications 8, pp.271-282, 2014.
Anthony Hadding, and Dr. J. Zalewski, "Threat Modeling in Embedded Systems," Dissertation, Florida Gulf Coast University, 2012.
Kristian Beckers, Stephan Fabbender, Maritta Heisel, and Santiago Suppan, "A Threat Analysis Methodology for Smart Home Scenarios, Technical Report," in Proceeding of the International Workshop on Smart Grid Security, Munich, pp.94-124, 2014.
Anton Bretting and Mei Ha, "Vehicle Control Unit Security using Open Source AUTOSAR," M.S. disseration, University of Gothenburg, Gothenburg, Sweden, 2015.
Katrina Mansfield, Timothy Eveleigh, Thomas H. Holzer, and Shahryar Sarkani, "DoD Comprehensive Military Unmanned Aerial Vehicle Smart Device Ground Control Station Threat Modeling," Defense ARJ, USA, 2015.
Mark Yampolskiy, Peter Horvath, Xenofon D. Koutsoukos, Yuan Xue, and Janos Sztipanovits, "Systematic Analysis of Cyber-Attacks on CPS-Evaluating Applicability of DFDbased Approach," in Proceedings of the International Symposium on Resilient Control System, Salt Lake City, pp.55-62, 2012.
Cletus O. Ohaneme, James Eke, Augustine C. O. Azubogu, Emmanuel N. Ifeagwu, and Louisa C. Ohaneme, "Design and Implementation of an IP-Based Security Surveillance System," International Journal of Computer Science Issues, Vol.9, No.5, Sept., 2012.
Craig Heffner, "Exploiting Surveillance cameras, Like a Hollywood Hacker," Tactical Network Solutions, 2013.
Sergey Shekyan and Artem Hartutyunyan, "Watching the watchers: hacking wireless IP Security Cameras," Shape Security and Qualys Inc., 2013.
Fransico Falcon, Nahuel Riva, Do you know who's watching you? An in-depth examination of IP Camera attack surface [Internet], https://www.coresecurity.com/corelabs-research/ publications/examination-ip-cameras-attack-surface-ekoparty2013.
Lee Tobin, "Reverse Engineering a CCTV system, A case study," Digital Investigation, Vol.11, No.3, pp.179-186, 2014.
Red ALert, SysSec Lab, "Security threat report Foreignmade CCTV, IP-Camera," NSHC and KAIST, 2015.
CCMB, "Common Criteria for Information Technology Security Evaluation - Part 1 : Introduction and general model," Version 3.1 Revision 4, CCRA, 2012.
CCMB, "Common Criteria for Information Technology Security Evaluation - Part 2 : Security functional components," Version 3.1 Revision 4, CCRA, 2012.
James Ransome and Anmol Misra, "Core Software Security, Security at the source," CRC Press, 2013.
Jae-ki Kim, Jeong-Hoon Shin, and Seung-joo Kim, "Study on the Femtocell Vulnerabiltiy Analysis Using Threat Modeling," The KIPS Tr. Comp. and Comm. Sys. Vol.5, No.8 pp.197-210, 2016.
Suvda Myagmar, Adam J.Lee, William Yurcik, "Threat Modeling as a Basis for Security Requirements," in Symposium on Requirements Engineering for Information Security, Pittsburgh, 2005.
Vineet Saini, Qiang Duan, Vamsi Paruchuri, "Threat Modeling Using Attack Tree," Journal of Computing Science in Colleges, Vol.23, Issue 4, pp.124-131, 2008.
Steven F Burns, "Threat Modeling: A Process to Ensure Application Security," OWSP, 2005.
Caroline Mockel and Ali E. Abdallah, "Threat modeling approaces and tools for securing architectural designs of an E-banking application," in Proceedings of the Information Assurance and Security, pp.149-154, 2010.
Sathya Prakash Kadhirvelan and Andrew Soderberg-Rivkin, "Threat Modelling and Risk Assessment within Vehicular Systems," M.S. dissertation, Chlmers University of Technology, Goteborg, Germany, 2014.
Jia Di and Scott Smith, "A Hardware Threat Modeling Concept for Trustable Integrated Circuits," in Proceedings of the Region 5 Technical Conference, 2007.
Marwan Abi-Antoun, Daniel Wang, and Peter Torr, "Checking Treat Modeling Data Flow Diagrams for Implementation Conformance and Security," in Proceeding of the International conference on Automated Software Engineering, pp.393-396, 2007.
ITSCC, "Supporting Document for Korean National Protection Profile for Network Device," V1.0, 2016.
ITSCC, "Supporting Document for Korean National Protection Profile for Virtual Private Network", V1.0, 2016.
ITSCC, "Supporting Document for Koeran National Protection Profile for Firewall", V1.0, 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.