현재 네트워크 정보보호를 위하여 다양한 보안 시스템들이 개발되어 활용되고 있다. 보안 솔루션을 도입하는 것만으로 보안상의 위험을 상당수 방지할 수 있지만, 보안 솔루션은 그 목적과 기능에 따라 적절한 형태로 사용되어야 충분한 가치가 발휘될 수 있다. 정보보호시스템에 많이 사용되는 보안 솔루션으로는 방화벽, IDS, IPS 등이 있다. 그러나 다양한 정보보호시스템을 도입하고 있더라도 이를 우회하여 공격하는 기법은 항상 존재한다. 본 논문에서는 정보보호시스템에서 우회공격 기법에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련 시나리오를 제안한다. 제안한 대응 훈련 시나리오의 유효성을 검증하기 위해 GNS3 네트워크 시뮬레이터를 사용하였으며, VirtualBox를 이용하여 가상 운영체제를 구축하였다. 제안하는 네트워크 정보보호시스템을 우회하는 공격에 대한 대응훈련 시나리오는 실제 공격에 대응하는데 매우 효과적으로 활용될 수 있다.
현재 네트워크 정보보호를 위하여 다양한 보안 시스템들이 개발되어 활용되고 있다. 보안 솔루션을 도입하는 것만으로 보안상의 위험을 상당수 방지할 수 있지만, 보안 솔루션은 그 목적과 기능에 따라 적절한 형태로 사용되어야 충분한 가치가 발휘될 수 있다. 정보보호시스템에 많이 사용되는 보안 솔루션으로는 방화벽, IDS, IPS 등이 있다. 그러나 다양한 정보보호시스템을 도입하고 있더라도 이를 우회하여 공격하는 기법은 항상 존재한다. 본 논문에서는 정보보호시스템에서 우회공격 기법에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련 시나리오를 제안한다. 제안한 대응 훈련 시나리오의 유효성을 검증하기 위해 GNS3 네트워크 시뮬레이터를 사용하였으며, VirtualBox를 이용하여 가상 운영체제를 구축하였다. 제안하는 네트워크 정보보호시스템을 우회하는 공격에 대한 대응훈련 시나리오는 실제 공격에 대응하는데 매우 효과적으로 활용될 수 있다.
Nowadays, various security systems are developed and used for protecting information on the network. Although security solutions can prevent some of the security risks, they provide high performance only if used appropriately in accordance with their purposes and functionality. Security solutions co...
Nowadays, various security systems are developed and used for protecting information on the network. Although security solutions can prevent some of the security risks, they provide high performance only if used appropriately in accordance with their purposes and functionality. Security solutions commonly used in information protection systems include firewalls, IDS, and IPS. However, despite various information protection systems are introduced, there are always techniques that can threaten the security systems through bypassing them. The purpose of this paper is to develop effective training techniques for responding to the bypass attack techniques in the information security systems and to develop effective techniques that can be applied to the training. In order to implement the test bed we have used GNS3 network simulator, and deployed it on top of virtual operating system using VirtualBox. The proposed correspondence training scenario against bypassing information protection system attacks could be very effectively used to counteract the real attacks.
Nowadays, various security systems are developed and used for protecting information on the network. Although security solutions can prevent some of the security risks, they provide high performance only if used appropriately in accordance with their purposes and functionality. Security solutions commonly used in information protection systems include firewalls, IDS, and IPS. However, despite various information protection systems are introduced, there are always techniques that can threaten the security systems through bypassing them. The purpose of this paper is to develop effective training techniques for responding to the bypass attack techniques in the information security systems and to develop effective techniques that can be applied to the training. In order to implement the test bed we have used GNS3 network simulator, and deployed it on top of virtual operating system using VirtualBox. The proposed correspondence training scenario against bypassing information protection system attacks could be very effectively used to counteract the real attacks.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 정보보호시스템의 우회 공격에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련시나리오를 제안하였다. 이를 위해 가상네트워크 시뮬레이터인 GNS3을 이용하여 가상 네트워크를 구축하고, 오픈 소스 차단 시스템인 Snort를 사용하였다.
본 훈련 시나리오는 네트워크 정보보호시스템 우회공격에 대한 기법들을 연구하고 그 결과로 나온 시나리오로 실시할 수 있는 훈련을 목적으로 하고 있으며, 실제 공격에 대한 대응 훈련에도 효과적일 것이다. 또한, 본 연구 결과는 국내·외 정보보호시스템 우회 공격 기법 및 대응체계나 시나리오 분석과 더불어 가상 네트워크 환경을 구성하여 공격 기법을 직접 분석하는데 효과적으로 활용될 수 있을 것이다.
훈련 시나리오를 만들어 사이버 공격 사례에 대한 대응 프로세스를 사전에 실시하여 진행해봄으로써, 이후 유사한 공격이 발생하였을 때 훈련 시나리오를 활용하여 빠른 대처를 통해 피해 규모를 최소화하는 것을 목적으로 한다.
제안 방법
관리자는 추가적인 피해를 막기 위해 Apache 설정에서 웹 디렉토리를 변경하여 메인 화면을 임시 페이지로 전환한다. 그 후 공격 경로를 확인하기 위하여 웹 서버 로그를 분석한다.
먼저 우회 공격 재연, 우회 공격 대응방안 및 훈련 시나리오를 개발하기 위해 가상화 시뮬레이터인 GNS3와 VirtualBox, Snort를 활용하여 네트워크 우회 공격 테스트베드를 구축하였다. 그리고 IPS/IDS, 방화벽 등 정보보호시스템에 대한 우회공격 기법들을 연구하여 테스트베드에 사용할 공격 기법들을 정의하였다. 마지막으로 우회 공격 테스트베드를 구축하여 적용한 공격 기법들을 바탕으로 네트워크 우회공격 대응 시나리오를 도출하고, 도출한 시나리오를 토대로 최종적으로 우회 공격 기법을 훈련에 적용할 수 있는 훈련 시나리오를 도출하였다.
그리고 IPS/IDS, 방화벽 등 정보보호시스템에 대한 우회공격 기법들을 연구하여 테스트베드에 사용할 공격 기법들을 정의하였다. 마지막으로 우회 공격 테스트베드를 구축하여 적용한 공격 기법들을 바탕으로 네트워크 우회공격 대응 시나리오를 도출하고, 도출한 시나리오를 토대로 최종적으로 우회 공격 기법을 훈련에 적용할 수 있는 훈련 시나리오를 도출하였다.
정보보호시스템에서 우회공격 기법에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련 시나리오를 제안하였다. 먼저 우회 공격 재연, 우회 공격 대응방안 및 훈련 시나리오를 개발하기 위해 가상화 시뮬레이터인 GNS3와 VirtualBox, Snort를 활용하여 네트워크 우회 공격 테스트베드를 구축하였다. 그리고 IPS/IDS, 방화벽 등 정보보호시스템에 대한 우회공격 기법들을 연구하여 테스트베드에 사용할 공격 기법들을 정의하였다.
또한, 데이터베이스나 기타 다른 장치에 피해가 있다면 복구를 마치고, 마지막으로 임시 페이지로 전환했던 메인 페이지를 원래의 페이지로 되돌린다. 복구 직후 작성한 SnortRule이 정상적으로 동작하는지에 대한 테스트를 실시한다.
본 연구에서는 GNS를 사용하였으며, GNS의 장점은 크게 두 가지이다. 첫 번째, Comand Line 방식인 Dynamips를 시스코의 Packet Tracer처럼 Graphic User Interface(GUI) 환경에서 사용할 수 있도록 해준다.
이를 위해 가상네트워크 시뮬레이터인 GNS3을 이용하여 가상 네트워크를 구축하고, 오픈 소스 차단 시스템인 Snort를 사용하였다. 우회공격 기법을 연구하여 공격 시나리오를 만들고 이에 대응하는 우회 공격 대응 방법 및 훈련 적용시나리오를 제안하였다.
웹 서버 로그 분석을 통해 해당 공격의 경로 및 의심 IP를 추출하여 취약점을 파악한다. 해당 취약점을 막는 방안으로는 Snort Rule 작성 및 발견된 취약점 제거, Bash version upgrade가 있다.
정보보호시스템에서 우회공격 기법에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련 시나리오를 제안하였다. 먼저 우회 공격 재연, 우회 공격 대응방안 및 훈련 시나리오를 개발하기 위해 가상화 시뮬레이터인 GNS3와 VirtualBox, Snort를 활용하여 네트워크 우회 공격 테스트베드를 구축하였다.
그림 5는 GNS3와 VirtualBox와의 연동을 통하여 Virtual Machine 3대를 설치한 토폴로지를 나타낸 것이다. 즉, GNS3와 VirtualBox를 연동하여 다수의 Virtual Machine을 생성하고, 2대의 C2691 라우터를 이용하여 GNS3 안에 별도로 네트워크를 구성하였다.
해당 훈련 시나리오는 훈련을 지시하는 훈련자와 훈련을 실시하는 훈련생으로 나누어 실시한다. 훈련 실시단계는 공격, 탐지, 초동 조치, 분석, 취약점 대응 등 5단계로 실시되며, 탐지 항목부터 점수표를 토대로 배점 항목을 수행하면 점수를 얻는다.
대상 데이터
가상 네트워크 구축을 위해 반드시 필요한 도구로는 가상화 소프트웨어와 가상 네트워크 시뮬레이터이다. 본 논문에서 사용한 가상 네트워크 시뮬레이터로는 GNS3 0.8.7버전이며, 최초 실행화면은 그림 2와 같다.
훈련 실시단계는 공격, 탐지, 초동 조치, 분석, 취약점 대응 등 5단계로 실시되며, 탐지 항목부터 점수표를 토대로 배점 항목을 수행하면 점수를 얻는다. 최종 단계까지 수행 후 각 훈련생들마다 점수를 평가하여 최종적으로 점수가 높은 훈련생을 우수 훈련생으로 선정한다. 표 5는 훈련실시 단계를 나타낸 것이다.
그림 3은 VirtualBox로 총 4개의 운영체제를 설치한 화면이다. 해당 운영체제는 Snort+Web Server, User PC, Kali Linux, Window Attacker 등 총 4개의 운영체제로 구성되어 있으며, 공격자용 운영체제는 Kali Linux와 Window Attacker로 방어자용 운영체제는 Snort+Web Server와 User PC로 구성하였다.
이론/모형
RCE는 원격으로 실행되는 모든 공격을 말하며, RCE공격 중에서도 다양한 취약점 번호가 존재한다. 본 논문에서 구현한 RCE 공격의 취약점 번호는 CVE-2014-6271로써 Shell Shock의 취약점을 이용한다. Shell Shock은 홈페이지 주소창에 명령을 입력하여 RCE 공격을 실행하여 사이트의 정보를 얻는 등의 이득을 취하는 형태이다.
본 논문에서는 정보보호시스템의 우회 공격에 대한 대응 방안과 우회 공격 기법을 훈련에 적용할 수 있는 효과적인 훈련시나리오를 제안하였다. 이를 위해 가상네트워크 시뮬레이터인 GNS3을 이용하여 가상 네트워크를 구축하고, 오픈 소스 차단 시스템인 Snort를 사용하였다. 우회공격 기법을 연구하여 공격 시나리오를 만들고 이에 대응하는 우회 공격 대응 방법 및 훈련 적용시나리오를 제안하였다.
성능/효과
첫 번째, Comand Line 방식인 Dynamips를 시스코의 Packet Tracer처럼 Graphic User Interface(GUI) 환경에서 사용할 수 있도록 해준다. 두번째, Virtualbox, VMWare와 같은 가상 컴퓨터, 실제 호스트와 Dynamips에서 구성한 스위치, 라우터를 상호 연동할 수 있게 해준다. 또한, Wireshark 등을 활용하여 Dynamips와 Virtualbox를 통해 구성한 네트워크를 분석할 수 있다.
추가 점검 후 Apache 설정에서 웹 디렉토리를 다시 변경하여 Website를 복구한다. 이러한 대응 방안 적용 후 공격자가 3차 공격을 시도하였을 때 추가 적용시킨 Snort Rule에 의해 공격에 실패하는 것을 확인할 수 있다.
본 연구에서는 GNS를 사용하였으며, GNS의 장점은 크게 두 가지이다. 첫 번째, Comand Line 방식인 Dynamips를 시스코의 Packet Tracer처럼 Graphic User Interface(GUI) 환경에서 사용할 수 있도록 해준다. 두번째, Virtualbox, VMWare와 같은 가상 컴퓨터, 실제 호스트와 Dynamips에서 구성한 스위치, 라우터를 상호 연동할 수 있게 해준다.
후속연구
현재 사이버공격은 주로 PC나 모바일 기기를 대상으로 하는 공격인 APT(Advanced Persistent Threat) 공격 같은 은밀한공격을 통해 정보를 유출하거나 시스템을 파괴하는 시도가 이어지고 있다[1]. 더군다나 ICT 기술이 급속하게 발전하고 있는 상황에서 보안이 취약한 네트워크를 통해 각종 기관 등이 공격 대상의 목표가 된다면 더 심각한 직접적인 피해를 줄 수 있을 것이다. 예를 들어 보안이 상대적으로 취약한 교육기관 네트워크의 방화벽을 우회하여 침입한 뒤 정보를 유출한다거나, 공공기관의 네트워크 침입방지시스템을 뚫어 해당 사이트를 마비시키는 등 우려가 현실화되고 있다.
본 훈련 시나리오는 네트워크 정보보호시스템 우회공격에 대한 기법들을 연구하고 그 결과로 나온 시나리오로 실시할 수 있는 훈련을 목적으로 하고 있으며, 실제 공격에 대한 대응 훈련에도 효과적일 것이다. 또한, 본 연구 결과는 국내·외 정보보호시스템 우회 공격 기법 및 대응체계나 시나리오 분석과 더불어 가상 네트워크 환경을 구성하여 공격 기법을 직접 분석하는데 효과적으로 활용될 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
GNS이란?
GNS(Graphical Network Simulator)는 Cisco 장비 시뮬레이터 중 하나이며, 이 밖에도 Packet Tracer, Boson의 Netsim, Dynagen의 Dynamips 등 여러 가지 시뮬레이터들이 있다.
GNS외에 어떤 시뮬레이터들이 있는가?
GNS(Graphical Network Simulator)는 Cisco 장비 시뮬레이터 중 하나이며, 이 밖에도 Packet Tracer, Boson의 Netsim, Dynagen의 Dynamips 등 여러 가지 시뮬레이터들이 있다.
SnortRule을 구성할 때에는 우회 공격 각각의 기법들의 취약점을 분석하여 그 취약점들에 대한 패턴을 분석한 뒤 SnortRule을 작성해야하는 이유는?
Shell Shock은 홈페이지 주소창에 명령을 입력하여 RCE 공격을 실행하여 사이트의 정보를 얻는 등의 이득을 취하는 형태이다. 이 밖에도 CVE-2014-4114의 제로데이 취약점, MySQL에서 원격으로 루트 권한을 얻어 실행하는 CVE-2016-6662 취약점 등 다양한 우회 공격의 취약점이 존재한다. 따라서 SnortRule을 구성할 때에는 우회 공격 각각의 기법들의 취약점을 분석하여 그 취약점들에 대한 패턴을 분석한 뒤 SnortRule을 작성해야 한다.
참고문헌 (15)
J. S. Choi, M. J. Choi, and K. H. Kook, "Cases Analysis of Specific Group Targeting APT Attack Characteristics," Journal of Security Engineering, vol.11, no.3. pp.251-262, June 2014.
N. Y. Jo and S. D. Jeon, "Security Audit Checklist and performance evaluation of Intrusion Prevention System(IPS)," M.S. thesis, Kunkook University, 2008.
M. Y. Shin, Y. S. Jeong, and S. H. Lee, "A Design of Time-based Anomaly Intrusion Detection Model," Journal of the Korea Institute of Information and Communication Engineering, vol.15, no.5, pp.1066-1072, May 2011.
Y. S. Shin and J. W. Jang, "Design and Implementation of a Responsive Network Monitoring System using Hadoop-based Snort log analysis," in Proceedings of 2016 winter conference of Korean Institute of Information Scientists and Engineers, pp.166-168, 2016.
GNS3: A graphical network simulator to design and configure virtual networks. [Internet]. Available: https://sourceforge.net/projects/gns-3/.
Cisco Catalyst Switch Implementation in GNS3. [Internet]. Available: http://se34.tistory.com/46.
D. H. Park, J. U. Kim, and M. J. Kim, "A study of small scale network security infrastructure construction using GNS3," in Proceeding of 2015 conference of The Korean Institute of Communications and Information Sciences, pp. 398-399, 2015.
J. S. Lee, J. Y. Lee, and H. Y. Kim, "Design and implementation of virus test simulation using VMWare," Journal of Korea Information Assurance Society, vol. 2, no. 2, pp.199-207, Feb. 2002.
Y. J. Park, "Mobile Code Protection Schemes Based on Remote Core Code Execution," M.S. thesis, Soongsil University, 2016.
F. Foomany, E. Foroughi, and R. Sethi, "Inquiring Into Security Requirements of Remote Code Execution for IoT Devices," ISACA Journal, vol.4, pp 29-34, April 2016.
Y. R. Choi, J. Y. Jeong, and B. C. Park, "A Study on System Architecture for Application-Level Mobile Traffic Monitoring and Analysis," KNOM Review, vol. 14, no. 2, pp. 10-21, Dec. 2011.
D. J. Kim, Y. S. Jeong, and K. Y. Yoon, "Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Feature of Information Security Systems," Journal of Korea Institute of Information Security & Cryptology, vol. 22 no. 5, pp.1191-1204, May 2012.
S. H. Yoon, J. S. Park, and M. S. Kim, "Behavior Signature for Fine-grained Traffic Identification," An International Journal of Applied Mathematics & Information Sciences, vol.9, no. 21, pp. 523-534, April 2015.
B. C. Park, Y. J. Won, and J. Y. Chung, "Fine-grained Traffic Classification based on Functional Separation," International Journal of Network Management (IJNM), vol. 23, no. 6, pp. 350-381, Sept/Oct 2013.
Y. S. Lee, "A Competency Assessment Model for Cybersecurity Defense Team using Attack-Defense Simulation Training System," Ph. D. dissertation, Soongsil University, 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.