[논문]망분리 환경에서 파일형식 변환을 통한 안전한 파일 전송 및 포렌식 준비도 구축 연구

한재혁; 윤영인; 허지민; 이재연; 최정인; 홍석준; 이상진

doi:10.13089/jkiisc.2019.29.4.859

[국내논문] 망분리 환경에서 파일형식 변환을 통한 안전한 파일 전송 및 포렌식 준비도 구축 연구
Secure File Transfer Method and Forensic Readiness by converting file format in Network Segmentation Environment 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.4, 2019년, pp.859 - 866

한재혁 (고려대학교 정보보호연구원) , 윤영인 (고려대학교 정보보호연구원) , 허지민 (고려대학교 정보보호연구원) , 이재연 (한화시스템(주)) , 최정인 (한화시스템(주)) , 홍석준 (한화시스템(주)) , 이상진 (고려대학교 정보보호연구원)

초록
AI-Helper

최근의 사이버 보안 위협은 특정 표적을 대상으로 하는 특징이 있으며 보안을 강화시키기 위한 지속적인 노력에도 불구하고 APT 공격에 의한 피해 사례는 계속 발생하고 있다. 인터넷망과 업무망이 분리된 망분리 환경은 외부 정보의 유입을 봉쇄시킬 수 있으나 업무의 효율성과 생산성을 위해서는 현실적으로 외부 정보의 유입을 모두 통제할 수는 없다. 이에 망연계 시스템 등 보안 정책을 강화시키고 파일 내부에 포함된 불필요한 데이터를 제거할 수 있도록 CDR 기술이 적용된 솔루션을 도입하더라도 여전히 보안 위협에 노출되어 있다. 본 연구는 망분리 환경에서 망간 파일을 전송할 때 파일의 형식을 변환하여 전송함으로써 문서삽입형 악성코드의 보안 위협을 방지하는 방안을 제안한다. 또한 포렌식 준비도를 고려하여 문서파일이 원활한 사고대응을 위한 정보를 보관할 수 있는 기능을 포함하여 망 분리 환경에서 활용할 수 있는 시스템을 제안한다.

Abstract ▼ AI-Helper

Cybersecurity attack targeting a specific user is rising in number, even enterprises are trying to strengthen their cybersecurity. Network segmentation environment where public network and private network are separated could block information coming from the outside, however, it is unable to control outside information for business efficiency and productivity. Even if enterprises try to enhance security policies and introduce the network segmentation system and a solution incorporating CDR technology to remove unnecessary data contained in files, it is still exposed to security threats. Therefore, we suggest a system that uses file format conversion to transmit a secure file in the network separation environment. The secure file is converted into an image file from a document, as it reflects attack patterns of inserting malicious code into the document file. Additionally, this paper proposes a system in the environment which functions that a document file can keep information for incident response, considering forensic readiness.

Keyword

표/그림 (5)

표 Table 1. File formats mostly supported by CDR solutions
그림 Fig. 1. Secure file transfer system by converting file format in network separation
표 Table 2. Document File Formats and File Signatures
표 Table 3. Evaluation of file type conversion to eliminate security threats in the Documents
그림 Fig. 2. How to convert a document file for user in the secure gate

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 망분리 환경에서 악성코드를 감염시키려는 보안 취약점에 대응하기 위해 문서파일을 대상으로 파일형식을 변환시키는 방법으로 망간 안전하게 파일을 전송하는 기법을 연구하였다. 또한 보안 강화가 업무 편의성을 저하시킬 수 있다는 단점을 보완하고 포렌식 준비도(forensic readiness)를 고려한 적용 모델을 제시한다.
본 연구에서는 인터넷망에서 생성된 문서파일이 업무망으로 안전하게 전송될 수 있도록 파일형식을 변환하는 방식을 사용하여 시스템을 구축하였으며, 문서파일 내의 특이한 데이터를 제거하여 재생성하는 기술인 CDR이 가지고 있는 한계의 대안으로 사용될 수 있음을 확인하였다.

제안 방법

본 논문에서는 망분리 환경에서 악성코드를 감염시키려는 보안 취약점에 대응하기 위해 문서파일을 대상으로 파일형식을 변환시키는 방법으로 망간 안전하게 파일을 전송하는 기법을 연구하였다. 또한 보안 강화가 업무 편의성을 저하시킬 수 있다는 단점을 보완하고 포렌식 준비도(forensic readiness)를 고려한 적용 모델을 제시한다.
이렇게 구축된 망분리 환경은 인터넷망과 업무망을 나누어 관리하기 위한 정보보호조치이지만, 외부와의 네트워크 단절로 인해 업무의 편의성과 효율성을 저하시킬 수 있다는 단점이 있다. 이에 인가된 저장매체와 매체제어 솔루션을 추가로 도입하거나 망연계 시스템(secure gate)을 구축하여 망간 정보의 교환이 가능하도록 구성한다. 다시 말하면, 망분리 환경을 구축해놓더라도 인터넷망에서의 정보는 최종적으로 업무망으로 유입될 수 있는 것이며 사이버 보안 위협에의 노출을 최소화하는 방법일 뿐, 정보보호 시스템이나 보안 솔루션에서 악성코드 탐지에 실패할 경우에는 여전히 보안 위협의 가능성이 있음을 의미한다.
따라서 망간 안전한 정보 교환을 위해서는 보안 위협이 되는 요소를 원천적으로 제거할 필요가 있다.이에 업무에서 사용되는 정보로 많은 비중을 차지하는 문서파일을 대상으로 파일형식을 변환시키는 과정을 적용하여 Fig.1과 같이 시스템으로 구축하였다.
CDR은 새로운 공격 방법에 대응하기 위해서 안티바이러스와 같이 주기적인 패치가 필수적이다. 이러한 한계를 극복하기 위해 안전한 파일전송 적용 시스템(Fig. 1)은 안전한 파일전송과 포렌식 준비도를 고려하여 다음 기능들을 지원하도록 구축하였다.
일반적으로 사용되는 문서편집기에서 ‘다른 이름으로 저장하기 (Save As, Export)’ 기능과 유사하다. 하지만 이 시스템에서는 화면을 캡쳐하는 방식(screenshot)을 응용하여 그림파일형식의 파일을 생성하도록 개발하였다. 이 방식은 원본파일로부터 활용하는 데이터가 전혀 없이도 원본의 문서파일을 열람할 때와 새로 생성된 그림파일을 열람할 때와의 차이를 인지하기 어려울 정도로 동일한 파일 생성이 가능하고, 파일형식에 대한 자세한 구조분석 없이도 생성이 가능하므로 새로운 파일형식이 등장하거나 구조가 개선되어도 기존 시스템과의 호환성이 좋다.
파일형식을 변환하는 방식이 악성코드와 같은 보안 위협 제거에 대한 성능을 평가하기 위해 문서 삽입형 악성코드 샘플을 수집하여 실험을 진행하였다. 악성코드 샘플은 문서파일의 확장자로 태그를 설정하여 멀웨어즈닷컴(malwares.
파일형식을 변환하는 방식이 악성코드와 같은 보안 위협 제거에 대한 성능을 평가하기 위해 문서 삽입형 악성코드 샘플을 수집하여 실험을 진행하였다. 악성코드 샘플은 문서파일의 확장자로 태그를 설정하여 멀웨어즈닷컴(malwares.com)의 API를 이용하여 2,765개를 수집하였으며, VirusTotal에 조회하여 악성여부를 확인하였고 샌드박스 환경에서 악성코드를 동작시켜서 새로운 파일 생성, 레지스트리 키변경, 네트워크 통신 등의 악성행위를 확인하였다. 악성코드 분석은 우분투(ubuntu ver.
이에 본 시스템은 사용자가 문서파일의 편집이 필요한 경우에 대비하여 파일형식을 변환시키기 이전 상태(원본)로 파일을 저장한다. 원본 문서파일이 저장되어 있는 저장소에 접근하여 샌드박스 환경이 구성된 상태에서 편집을 하거나 인가된 저장매체에 원본을 복사하고 인터넷망이 연결된 PC에서 작업할수 있도록 구성하였다. 이러한 방식은 물리적 망분리 환경과 동일한 보안 수준을 확보할 수 있으며 업무망은 안전한 네트워크 환경을 유지할 수 있도록 한다.
악성코드 분석을 위한 서버는 시그니처 기반 분석및 행위기반 분석을 적용하거나 이메일 백신 클라우드 시스템을 이용하여 첨부파일을 분석하는 가상화 기술을 활용하되[12], 본 연구에서는 악성코드를 포함하는 파일을 탐지하고 분석하는 방법을 구체적으로 논하지 않고 사고 대응을 위한 기반 정보로써 다음 항목을 포함하여 기록(윈도우 이벤트로그 포함)이 쌓이도록 시스템을 구성하였다.

대상 데이터

구축한 시스템에서 지원하는 문서파일은 업무에서 주로 사용되는 것을 선정하였으며, 각 파일은 파일 확장자와 파일 시그니처를 비교하여 파일 종류를 확인할 수 있다(Table 2). 문서파일의 파일형식을 변환 하는 프로세스를 적용하면 원본의 파일구조에서 문서를 열람하였을 때 보이는 내용 이외에 추가된 데이터는 제거할 수 있으므로, 악성코드가 포함되었던 원본 이더라도 악성코드 탐지 프로세스를 수행하지 않고도 안전한 파일로 생성할 수 있다.

성능/효과

본 연구에서는 인터넷망에서 생성된 문서파일이 업무망으로 안전하게 전송될 수 있도록 파일형식을 변환하는 방식을 사용하여 시스템을 구축하였으며, 문서파일 내의 특이한 데이터를 제거하여 재생성하는 기술인 CDR이 가지고 있는 한계의 대안으로 사용될 수 있음을 확인하였다. CDR은 완벽하게 구현하기가 어렵고 현재 출시되어 있는 솔루션에서도 예외 사항이 발생하고 있으나, 본 연구에서 제안하는 방식은 알려지지 않은 취약점과 은닉된 데이터와 같은 보안 위협이 될 수 있는 요소를 보다 확실하게 제거하고 호환성을 확보할 수 있으며 예외처리가 쉽다는 장점을 가진다. 다만, 사용자가 문서파일을 열람만 하는 것이 아니라 편집을 위해서는 물리적 망분리 환경과 같이 업무처리 효율성이 저하될 수 있다는 단점을 가지므로 향후에는 이를 보완할 수 있는 모델이 추가적으로 연구될 필요가 있다.
악성코드 분석은 우분투(ubuntu ver. 14.04) 운영 체제에서 cuckoo sandbox(ver. 1.2)을 사용하여 진행하였으며, 파일형식을 변환시킨 샘플은 모두 악성행위가 작동되지 않음을 확인하였다.

후속연구

CDR은 완벽하게 구현하기가 어렵고 현재 출시되어 있는 솔루션에서도 예외 사항이 발생하고 있으나, 본 연구에서 제안하는 방식은 알려지지 않은 취약점과 은닉된 데이터와 같은 보안 위협이 될 수 있는 요소를 보다 확실하게 제거하고 호환성을 확보할 수 있으며 예외처리가 쉽다는 장점을 가진다. 다만, 사용자가 문서파일을 열람만 하는 것이 아니라 편집을 위해서는 물리적 망분리 환경과 같이 업무처리 효율성이 저하될 수 있다는 단점을 가지므로 향후에는 이를 보완할 수 있는 모델이 추가적으로 연구될 필요가 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	망을 분리하는 등의 방법은 어떻게 법제화 되어있는가?	기업에서는 사이버 공격에 대응하기 위해 정보보호 시스템(방화벽, IDS, IPS 등)이나 보안 솔루션 (ESM, SIEM 등)을 설치하고 보안 정책을 주기적으로 강화시키며 망을 분리하는 등의 방법으로 자산을 보호하기 위해 노력한다. 특히, 망분리(외부 인터 넷망 차단)는 정보통신망법(정보통신망 이용촉진 및정보보호 등에 관한 법률 시행령, 제15조 2항 3호), 개인정보보호법(개인정보 보호법 시행령, 제30조 1항 2호)에서 의무사항으로 법제화되었으며, 정부는 보안 강화를 위해 가이드를 배포하고 있다.
	지능형 지속 위협 공격이란?	최근의 사이버 보안 위협은 과거와 달리, 공격자 개인의 만족이나 금전적인 이익을 위한 불특정 다수를 대상으로 하는 공격보다는 정치적, 외교적, 군사적, 문화적, 금전적 이익 등 다양한 목적을 달성하기 위해 특정 공격 표적을 집요하게 공격하는 지능형 지속 위협(APT; Advanced Persistent Threat) 공격이 대부분이며[1], 공급망 공격(Supply Chain Attack)에 의한 피해 사례도 발생하고 있다.
	사이버 보안 위협은 주로 무엇을 시작으로 활동하는가?	사이버 보안 위협은 주로 기존 보안제품을 우회하거나 소프트웨어 취약점(Zero-Day 공격 등)을 이용하고, 특정 시스템에 접근할 수 있는 권한을 가질수 있는 악성코드를 감염시키는 것을 시작으로 활동한다. 악성코드는 메일[2]이나 메신저에서 사용자가 첨부된 파일을 다운로드 받거나 신뢰할 수 없는 인터넷 사이트에 접속하거나 인가되지 않는 외부저장매체를 연결하는 방법 등으로 유입되고 이를 사용자가 실행시킴으로써 감염된다[3].

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증