박근호
(Department of Computer Engineering, Ajou University)
,
최규원
(Department of Electrical and Computer Engineering, Illinois Institute of Technology)
,
손태식
(Department of Cyber Security, Ajou University)
핀테크의 등장으로 인하여 많은 금융 서비스가 모바일 인터넷 환경에서 이용할 수 있게 되었고, 최근에는 온라인으로 모든 은행 서비스를 제공하는 인터넷 은행도 생겼다. 이처럼 인터넷을 통한 금융 서비스의 비중이 늘어남에 따라 사용자들에게 편의를 제공하지만 그와 동시에 금융 전산망에 대한 위협도 증가하고 있다. 이에 따라, 금융 기관들은 침해사고에 대비하여 보안시스템에 많은 투자를 하고 있지만 날이 갈수록 해커에 의한 공격은 정교해지고 있어서 대응하기 어려운 경우도 많다. 본 논문에서는 공격자의 실제 위치를 파악할 수 있는 IP역추적 기술을 살펴보고 금융 전산망 분석을 통해 IP 역추적 기술을 적용하기 위한 다양한 방안을 제시한다. 그리고 Infra-Structure 구축을 통한 새로운 IP 역추적 방법을 금융 전산망에 적용하는 방법을 제안하고 시뮬레이션을 활용한 실험을 통해 효율성을 증명하고자한다.
핀테크의 등장으로 인하여 많은 금융 서비스가 모바일 인터넷 환경에서 이용할 수 있게 되었고, 최근에는 온라인으로 모든 은행 서비스를 제공하는 인터넷 은행도 생겼다. 이처럼 인터넷을 통한 금융 서비스의 비중이 늘어남에 따라 사용자들에게 편의를 제공하지만 그와 동시에 금융 전산망에 대한 위협도 증가하고 있다. 이에 따라, 금융 기관들은 침해사고에 대비하여 보안시스템에 많은 투자를 하고 있지만 날이 갈수록 해커에 의한 공격은 정교해지고 있어서 대응하기 어려운 경우도 많다. 본 논문에서는 공격자의 실제 위치를 파악할 수 있는 IP 역추적 기술을 살펴보고 금융 전산망 분석을 통해 IP 역추적 기술을 적용하기 위한 다양한 방안을 제시한다. 그리고 Infra-Structure 구축을 통한 새로운 IP 역추적 방법을 금융 전산망에 적용하는 방법을 제안하고 시뮬레이션을 활용한 실험을 통해 효율성을 증명하고자한다.
With the advent of FinTech, many financial services have become available in the mobile Internet environment and recently, there is an internet bank that provides all bank services online. As the proportion of financial services over the Internet increases, it offers convenience to users, but at the...
With the advent of FinTech, many financial services have become available in the mobile Internet environment and recently, there is an internet bank that provides all bank services online. As the proportion of financial services over the Internet increases, it offers convenience to users, but at the same time, the threat of financial network is increasing. Financial institutions are investing heavily in security systems in case of an intrusion. However attacks by hackers are getting more sophisticated and difficult to cope with. However, applying an IP Trace-back method that can detect the actual location of an attacker to a financial network can prepare for an attacker's arrest and additional attacks. In this paper, we investigate IP Trace-back technology that can detect the actual location of attacker and analyze it to apply it to financial network. And we propose a new IP Trace-back method through Infra-structure construction through simulation experiments.
With the advent of FinTech, many financial services have become available in the mobile Internet environment and recently, there is an internet bank that provides all bank services online. As the proportion of financial services over the Internet increases, it offers convenience to users, but at the same time, the threat of financial network is increasing. Financial institutions are investing heavily in security systems in case of an intrusion. However attacks by hackers are getting more sophisticated and difficult to cope with. However, applying an IP Trace-back method that can detect the actual location of an attacker to a financial network can prepare for an attacker's arrest and additional attacks. In this paper, we investigate IP Trace-back technology that can detect the actual location of attacker and analyze it to apply it to financial network. And we propose a new IP Trace-back method through Infra-structure construction through simulation experiments.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 금융 기관의 전산망 구조를 분석하고 능동적인 보안 시스템을 적용하기 위한 역추적 기법에 관해 연구했다. 제 2장에서는 기존에 제안된 IP 역추적 방법들을 특징에 따라 분류하여 설명한다.
본 절에서는 본 논문에서 제안하는 공격자 역추적을 위한 새로운 Infra-structure를 구축하는 방법을 실제 금융 전산망에 적용하여 활용하는 방안에 관해 논의한다.
하지만 금융거래 표준 프로토콜을 사용한 통신은 금융거래와 직결되기 때문에 다양한 공격자로부터 공격의 대상이 되기도 한다. 사례를 통해, 위에서 소개한 금융거래 프로토콜 중 하나인 SWIFT 전산망에서 발생한 침해사고 경위를 설명하고 금융거래 프로토콜의 특성과 본 논문에서 제안하는 IP 마킹 서버에 금융 거래 프로토콜을 고려하여 맞춤형 기능을 적용하는 방안에 관해 설명하겠다.
이번 장에서는 금융 전산망에 효율적으로 적용할 수 있는 IP 역추적 방법을 개발하기 위해, 기존 패킷 마킹 연구들에 대한 분석 내용을 논의한다. 이 분석 내용을 활용해 기존 기법들의 한계점을 보완한 방식으로 논문에서 제안하는 기법에 활용된다.
이번 장에서는 금융네트워크에서 역추적을 위해 새로운 인프라를 적용하는 방법을 실험적으로 검증해보고자 한다. 먼저 실험환경에 대해 설명하고 실험결과를 통해 본 논문에서 제안하는 방법과 기존의 기법을 비교 분석했다.
이번 장에서는 기존의 역추적 기법들을 금융 전산망에 적용했을 때 발생하는 단점을 보완하기 위해 Infra-structure를 추가하는 방법을 제안하고 실제 금융 전산망에 적용할 수 있는 방안에 관해 논의한다.
이번 장에서는 전자금융 전산망이 공격자에 의해 공격을 받을 경우 공격자의 위치를 알 수 있는 방법에 관해 연구했다. 이를 위해 기존의 역추적 방법들을 비교 분석하여 금융 전산망에 적용할 수 있는 가능성에 관해 알아보고 금융망에 적합한 공격자 역추적을 위한 신규 인프라를 추가하는 방안을 제안한다.
제안 방법
(1) 엣지 라우터에서 패킷을 전송할 때, 최종 목적지가 등록된 금융 기관의 IP일 경우, 네트워크 계층에서 확인할 수 있는 DDoS 공격 유형 체크 등 유해 패킷 검사를 수행한다. 만약 의심스러운 Flow가 탐지되면 Flow의 정보와 함께 마킹 서버에 마킹 요청을 보낸다.
DPM(Deterministic Packet Marking)은 2003년 Andrey Belenky에 의해 소개되었다[2]. DPM은 패킷의 소스와 가장 근처에 있어 패킷 마킹에 사용되는 엣지 라우터를 최소 단위로 취급하던 PPM과는 달리, 엣지 라우터 하나의 인터페이스를 최소 단위로 규정하였다. 인터페이스를 추적의 최소 단위로 함으로써 라우터를 향해 들어가는 패킷과 나가는 패킷을 구분할 수 있어 라우터를 향해 들어오는 패킷만 마킹한다.
DFM(Deterministic Flow Marking)은 2013년 캐나다 Dalhousie 대학의 Vahid Agheai Foroushani에 의해 제안된 기술이고 PPM, DPM과는 다른 방식으로 마킹을 한다[4]. source IP 주소, destination IP 주소, Layer 4 프로토콜 타입(TCP/UDP, ICMP), source 포트, destination 포트를 하나의 Flow ID라 하고, 두 개의 네트워크에서 통신할 때 패킷 지연시간 내에 전송되는 Flow ID가 같은 단방향 시퀀스를 Flow라고 하여 Flow마다 마킹하는 기법을 제시하였다. 또한 라우터가 탈취당해 공격자가 임의의 마킹 값을 넣어 패킷을 변조하는 경우를 대비하여 ECDSA를 사용한다.
미국의 보안업체인 FireEye 社의 보고서에 따르면, 알 수 없는 경로를 통해 방글라데시의 SWIFT 전산 시스템을 해킹하기 위한 악성 코드를 침투시켜 은행서버 컴퓨터가 감염된 것으로 보고 있다. 공격자는 감염된 컴퓨터를 통해 알아낸 SWIFT 시스템의 로그인 정보를 활용하여, SWIFT 망으로 이체 메시지를 보내어 필리핀 은행을 통해 돈을 인출하였다. 또한, 사용된 악성코드에서 KB국민은행을 포함한 8개 은행의 SWIFT 코드가 발견되었는데, 이는 악성코드에 감염된 SWIFT 단말에서 국민은행 등 8개 은행의 SWIFT 코드로 자금을 이체할 경우 중간 가로챌 목적을 염두에 둔 것으로 예상된다.
이번 장에서는 금융네트워크에서 역추적을 위해 새로운 인프라를 적용하는 방법을 실험적으로 검증해보고자 한다. 먼저 실험환경에 대해 설명하고 실험결과를 통해 본 논문에서 제안하는 방법과 기존의 기법을 비교 분석했다.
실험은 Arena Simulation을 활용하여 [Figure 2]와 같은 금융 전산망을 일반화한 네트워크를 구성하고, 기존의 역추적 방법 중 하나인 DFM 방식과 본 논문에서 제안하는 방법을 동일한 패킷과 네트워크 구성에 적용하여 네트워크 측면에서의 효율을 비교하는 방식으로 진행했다.
이번 장에서는 금융 전산망에 효율적으로 적용할 수 있는 IP 역추적 방법을 개발하기 위해, 기존 패킷 마킹 연구들에 대한 분석 내용을 논의한다. 이 분석 내용을 활용해 기존 기법들의 한계점을 보완한 방식으로 논문에서 제안하는 기법에 활용된다.
이번 장에서는 전자금융 전산망이 공격자에 의해 공격을 받을 경우 공격자의 위치를 알 수 있는 방법에 관해 연구했다. 이를 위해 기존의 역추적 방법들을 비교 분석하여 금융 전산망에 적용할 수 있는 가능성에 관해 알아보고 금융망에 적합한 공격자 역추적을 위한 신규 인프라를 추가하는 방안을 제안한다.
제안하는 방법은 Infra-structure로써 마킹정보를 관리하는 마킹 서버를 ISP에 구축한다. 이러한 마킹 서버는 ISP 곳곳에 위치하고 있고, 하나의 메인 마킹 서버가 존재하여 각각의 ISP에 존재하는 마킹 서버들의 역추적 정보를 취합하여 공유, 관리한다.
대상 데이터
역추적 기법 비교를 위해 실험에 사용된 각 Arena 모델을 구성하는 라우터와 노드의 수는 동일하며 사용되는 패킷 또한 같다. 실험에 사용된 패킷은 MIT대학교의 링컨 연구실과 DARPA 침입탐지 평가 그룹에서 개발한 네트워크 침입 탐지 테스트용 dataset 1999를 활용했다. 위 dataset은 공격이 포함된 패킷과 공격이 포함되지 않은 패킷으로 구성되어 있어 여러 상황에서 역추적 기법을 실험하기 용이하며 공공 데이터이기 때문에 누구나 활용하여 역추적 기법의 성능을 비교할 수 있기 때문에 선택하였다[3].
데이터처리
[Table 1]는 Arena Simulation을 활용하여 DFM 역추적 방식과 본 논문에서 제안하는 역추적 방식을 금융 네트워크에 적용한 실험의 결과를 비교 정리하였다. Number out은 네트워크에서 이동되는 패킷의 수를 의미하고 있다.
이론/모형
금융 네트워크 모델을 구축하고 역추적 기법을 적용하여 성능을 비교하기 위해 시간 경과에 따른 프로세스와 시스템의 동작을 설계, 분석할 수 있고 네트워크 구성 요소와 패킷의 흐름을 재현할 수 있는 Arena Simulation을 활용했다[1, 6].
성능/효과
결과적으로 실험을 통해 오버헤드는 1% 정도 증가했지만 시간이 3.5% 줄고 라우터가 감당하는 프로세스의 경우도 57% 부담이 줄었다는 것을 확인할 수 있다. 이런 수치를 통해 본 논문에서 제안하는 방법이 금융 전산망에 적합할 있다고 할 수 있다.
오버헤드와 필요한 패킷 수의 경우 PPM과 DPM에 비해 패킷의 Flow 단위로 마킹을 하는 DFM이 적은 수의 패킷으로 공격자의 위치를 재구성할 수 있으므로 더 효율적이다. 결과적으로 필요한 DFM 패킷의 수가 적기 때문에 라우터에서 식별을 위해 저장하기 위해 요구되는 메모리의 크기도 적고 그만큼 여러 명의 공격자가 존재하여도 수용할 수 있는 유연성이 좋다고 할 수 있다.
5% 줄고 라우터가 감당하는 프로세스의 경우도 57% 부담이 줄었다는 것을 확인할 수 있다. 이런 수치를 통해 본 논문에서 제안하는 방법이 금융 전산망에 적합할 있다고 할 수 있다.
후속연구
이와 같은 금융 전산망 침해사고 사례를 통해, 금융거래 프로토콜의 특성을 고려한 IP 역추적 서버 구축의 필요성을 알 수 있다. 따라서 본 논문에서 제안하는 방식에 각 금융 거래 프로토콜에서 사용되는 메시지 Type, Price, End Point 정보, 금융거래정보 필드, 개인 식별 ID 등을 이상행위 식별에 도움이 되는 정보를 고려하여 IP 마킹 서버에 금융거래 프로토콜 맞춤형 정보를 추가로 저장할 경우, 금융 전산망침해사고 발생할 시 효율적으로 사고 분석과 대처가 가능하고 다양한 금융 부정행위를 탐지할 수 있을 것으로 기대된다.
질의응답
핵심어
질문
논문에서 추출한 답변
DPM이 PPM과 비교했을 때 더 안전하다고 할 수 있는 이유는 무엇인가?
그래서 라우터 인터페이스의 IP 주소를 임의의 수로 나누어 랜덤으로 기록한다. DPM은 모든 패킷을 마킹함으로써 공격자가 mark spoofing을 하더라도 원래의 라우터 정보를 덮어 쓰기 때문에 PPM과 비교했을 때 더 안전하다고 할 수 있다.
PPM이란 무엇인가?
PPM(Probabilistic Packet Marking)은 라우터를 지나는 패킷에 라우터를 식별하는데 필요한 몇 가지 정보를 특정한 확률로 마킹하는 기술로 2000년도에 D. Wetherall, Savage에 의해 처음 소개되었다[9].
PPM 방식은 언제 효율적으로 사용될 수 있는가?
Wetherall, Savage에 의해 처음 소개되었다[9]. 이 방법은 서비스 거부 공격과 같은 발신지의 주소를 속이고 공격 트래픽을 보내는 공격의 최초 공격 발생지를 찾는데 효율적이다. 공격 트래픽의 발신지를 알아내기 위해서 엣지 라우터에서는 일정한 확률로 라우터의 주소를 IP 헤더의 identification 부분에 표시한다.
DARPA 1999 Intrusion Detection Data Sets, https://ll.mit.edu/ideval/data/.
Foroushani, V. A. and Zincir-Heywood, A. N., "Deterministic and authenticated flow marking for IP traceback," Advanced Information Networking and Applications (AINA), 2013 IEEE 27th International Conference on. IEEE, 2013.
Incident Response Team and Incident countermeasure planning team of Financial Security Institute, "Effective response to the financial crisis," 2015.
Kuhl et al., "Cyber attack modeling and simulation for network security analysis," Proceedings of the 39th Conference on Winter Simulation: 40 years! The best is yet to come, IEEE Press, 2007.
Park, E. Y. and Yoon, J. W., “A study of accident prevention effect through anomaly analysis in E-banking,” The Journal of Society for e-Business Studies, Vol. 19, No. 4, pp. 119-134, 2014.
Savage, S., Wetherall, D., Karlin, a., and Anderson, T., “Network support for IP traceback,” IEEE/ACM Transaction on Networking, Vol. 9, No. 3, pp. 226-237, 2001.
Savage, S., Wetherall, D., Karlin, a., and Anderson, T., “Practical network support for IP traceback,” ACM SIGCOMM Computer Communication Review, Vol. 30, No. 4, pp. 295-306, 2000.
Song, D. X. and Perrig, A., "Advanced and authenticated marking schemes for IP traceback," INFOCOM 2001, Twentieth Annual Joint Conference of the IEEE Computer and Communications Societies, Proceedings, IEEE, Vol. 2, pp. 878-886, 2001.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.