[논문]인터넷 와이드 스캔 기술 기반 인터넷 연결 디바이스의 취약점 관리 구조 연구

김태은; 정용훈; 전문석

doi:10.5762/kais.2019.20.9.504

인터넷 와이드 스캔 기술 기반 인터넷 연결 디바이스의 취약점 관리 구조 연구
A Study on the Vulnerability Management of Internet Connection Devices based on Internet-Wide Scan 원문보기

한국산학기술학회논문지 = Journal of the Korea Academia-Industrial cooperation Society, v.20 no.9, 2019년, pp.504 - 509

김태은 (한국인터넷진흥원) , 정용훈 (숭실대학교 컴퓨터학과) , 전문석 (숭실대학교 컴퓨터학과)

초록
AI-Helper

최근 무선 통신 기술과 소형 디바이스의 성능이 기하급수적으로 발전하였다. 이런 기술과 환경 변화에 따라 다양한 종류의 IoT 디바이스를 활용한 서비스가 증가하고 있다. IoT 서비스의 증가로 오프라인 환경에서 사용되던 소형 센서, CCTV 등의 디바이스가 인터넷에 연결되고 있으나, 많은 수의 IoT 디바이스는 보안 기능이 없고 취약한 오픈소스, SW를 그대로 사용하고 있다. 또한, 전통적으로 사용되던 스위치, Gateway 등의 네트워크 장비도 사용자의 주기적인 업데이트가 이루어지지 않아 수많은 취약점을 내포한 채 운영된다. 최근에는 IoT 디바이스의 간단한 취약점을 대상으로 대량의 봇넷(botnet)을 형성하여 DDoS 공격 등에 악용하는 사례가 늘어나고 있다. 본 논문에서는 Internet-Wide Scan 기술을 활용하여 인터넷에 연결된 대량의 디바이스를 빠르게 식별하고, 내포된 취약점 정보를 분석 및 관리하는 시스템을 제안한다. 또한, 실제 수집한 배너 정보를 통해 제안 기술의 취약점 분석률을 검증하였다. 향후 제안 시스템이 사이버 공격을 예방할 수 있는 기술로 활용 될 수 있게 자동화 및 고도화를 진행 할 계획이다.

Abstract ▼ AI-Helper

Recently, both wireless communications technology and the performance of small devices have developed exponentially, while the number of services using various types of Internet of Things (IoT) devices has also massively increased in line with the ongoing technological and environmental changes. Furthermore, ever more devices that were previously used in the offline environment-including small-size sensors and CCTV-are being connected to the Internet due to the huge increase in IoT services. However, many IoT devices are not equipped with security functions, and use vulnerable open source software as it is. In addition, conventional network equipment, such as switches and gateways, operates with vulnerabilities, because users tend not to update the equipment on a regular basis. Recently, the simple vulnerability of IoT devices has been exploited through the distributed denial of service (DDoS) from attackers creating a large number of botnets. This paper proposes a system that is capable of identifying Internet-connected devices quickly, analyzing and managing the vulnerability of such devices using Internet-wide scan technology. In addition, the vulnerability analysis rate of the proposed technology was verified through collected banner information. In the future, the company plans to automate and upgrade the proposed system so that it can be used as a technology to prevent cyber attacks.

주제어

표/그림 (6)

그림 Fig. 1. Structure of Devices Vulnerability Management System
그림 Fig. 2. Internet Wide Scan Module
그림 Fig. 3. Devices Vulnerability Analysis Module
그림 Fig. 4. Example of banner information analysis
그림 Fig. 5. The identification rate of the device information for CPE
표 Table 1. The result of the CVSS analysis for device information

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 다수의 디바이스를 빠르게 찾아 정보를 수집하는 ‘Internet-Wide Scan’과 알려진 취약점 정보를 활용 수집한 디바이스 정보에 알려진 취약점이 존재하는지 분석하는 '보안 취약점 정보 분석' 기술을 활용하여 사이버 공격을 예방할 수 있는 시스템 구조를 제안하고 성능을 검증한다. 또한 제안 기술은 사이버 공격의 사후 대응 관점보다는 사전 예방의 중요성을 강조하고자한다.
본 논문에서는 인터넷에 연결된 디바이스의 취약점을 관리하는 시스템의 구조를 제안하였다. 현재 개발된 시스템은 다양한 환경에서 비교 테스트를 계속 진행하고 있다.
NVD(National Vulnerability Database)에서 관리하는 CVE(Common Vulnerabilities and Exposures)가 대표적이며 Bugtraq, VulDB, 디바이스·SW등의 제조사 에서도 취약점 정보들을 관리한다[7]. 본 논문에서는 취약점 정보 분석 기술을 활용하여 인터넷에 연결된 다수의 디바이스를 관리하는 시스템을 제안 한다.
본 장에서는 IPv4 주소 기반의 디바이스를 고속으로 검색하고 보안 취약점 정보를 식별하여 사이버 위협을 예방할 수 있는 시스템을 제안한다. 제안하는 시스템은 Passive 방식의 Internet-Wide Scan과 보안 취약점 정보 분석 기술을 활용한다.

제안 방법

❷ 취약점 정보 분석 모듈은 앞의 디바이스 정보 분석 모듈에서 식별한 디바이스의 CPE 정보와 취약점 정보관리 모듈에서 수집한 취약점 정보에 포함된 CPE 정보를 매칭 분석한다. 디바이스 정보에서 CPE가 식별되었다면 취약점이 존재함을 의미 한다.
개발 시스템은 ‘Internet Wide Scan Module’, ‘Vulnerability Information Management Module’, ‘Devices Vulnerability Analysis Module’, ‘Interface Module’ 총 4개의 기능 모듈을 개발하였다.
인터넷에 연결된 디바이스의 정보를 수집하기 위해 'ZMap','ZGrab' 오픈소스를 개량하여 2가지 하위 모듈을 개발했다. 또한 2개의 수집 모듈에서 생성하는 스캔트래픽을 관리하기 위해 트래픽 관리 모듈을 별도로 구현하고, DAG-CARD, PF-RING을 적용하여 성능을 향상시켰다. Internet Wide Scan Module의 구성은 Fig.
❷ 디바이스의 포트 별 정보 수집을 위한 ‘Handshake Scan Engine’은 ZGrab 오픈소스 같이 디바이스의 주요 포트를 대상으로 시스템 접속 배너, 암호 통신 정보, 패킷 헤더·바디 정보를 수집한다. 또한 다양한 추가 포트 정보를 수집하기 위해 사용자가 직접 포트와 데이터를 정의하거나, 트래픽 캡쳐(PCAP) 형태를 추출하여 임의의 프로토콜을 스캔하는 기능을 추가하였다. 따라서 디바이스 정보 수집 범위를 IPv4 전대역·전포트를 대상으로 확대하였다.
이와 같은 이슈를 개선하기 위해 Whois 정보를 기반으로 IP 할당 기관을 분류하고, 동일한 대역에 딜레이 타임을 적용한 스캔 스케줄러를 개발 하였다. 또한 스캔 스케줄러에는 Hit-rate 향상을 위한 White/Black List 기능도 적용하였다.
기존의 네트워크 스캔 기술은 하나의 디바이스(단일 IP)를 대상으로 운영체제를 파악하고 열려있는 포트에 다량의 트래픽을 전송하여 디바이스 정보를 수집하였다. 또한 취약점 분석을 목적으로 공격적인 기법을 사용하여 디바이스의 취약점을 확인한다. 예를 들어 디폴트 패스워드 취약점을 확인하기 위해 잘 알려진 ID/PW를 대입해보고, exploit 코드를 활용하여 디바이스를 직접적으로 공격 해 보기도 한다.
본 논문에서는 다수의 디바이스를 빠르게 찾아 정보를 수집하는 ‘Internet-Wide Scan’과 알려진 취약점 정보를 활용 수집한 디바이스 정보에 알려진 취약점이 존재하는지 분석하는 '보안 취약점 정보 분석' 기술을 활용하여 사이버 공격을 예방할 수 있는 시스템 구조를 제안하고 성능을 검증한다.
하지만 실제 모듈 테스트에서 과도한 트래픽 발생으로 인해 보안 장비에 탐지되고, 패킷이 유실되는 현상이 발생하였다. 이와 같은 이슈를 개선하기 위해 Whois 정보를 기반으로 IP 할당 기관을 분류하고, 동일한 대역에 딜레이 타임을 적용한 스캔 스케줄러를 개발 하였다. 또한 스캔 스케줄러에는 Hit-rate 향상을 위한 White/Black List 기능도 적용하였다.
인터넷에 연결된 디바이스의 정보를 수집하기 위해 'ZMap','ZGrab' 오픈소스를 개량하여 2가지 하위 모듈을 개발했다.
인터넷에 연결된 디바이스의 취약점 정보를 관리하기 위해 디바이스 정보 및 취약점 정보 수집 기술, 디바이스에 포함된 취약점 정보 분석 기술로 시스템을 구성하였다. 개발 시스템은 ‘Internet Wide Scan Module’, ‘Vulnerability Information Management Module’, ‘Devices Vulnerability Analysis Module’, ‘Interface Module’ 총 4개의 기능 모듈을 개발하였다.
스캔 IP주소 목록을 순차적으로 생성하게 되면 방화벽, IDS, IPS 등의 보안 장비에 비정상으로 탐지되고 더 이상 스캔을 할 수 없게 된다. 제안 시스템은 프로토타입 상태에서 주소 목록을 램덤하게 생성하기 위해 IP주소를 10진수로 변환하여 순환하는 알고리즘을 개발하여 사용하였다. 하지만 실제 모듈 테스트에서 과도한 트래픽 발생으로 인해 보안 장비에 탐지되고, 패킷이 유실되는 현상이 발생하였다.
본 장에서는 IPv4 주소 기반의 디바이스를 고속으로 검색하고 보안 취약점 정보를 식별하여 사이버 위협을 예방할 수 있는 시스템을 제안한다. 제안하는 시스템은 Passive 방식의 Internet-Wide Scan과 보안 취약점 정보 분석 기술을 활용한다.
취약점 분석 전문가들은 이런 스캔 기술을 활용한 'Shodan' 등에서 제공하는 정보를 통해 디바이스의 취약점을 발견하고 있다. 제안하는 시스템은 사람이 직접 인터넷 스캔 결과를 활용해 취약점을 분석하는 과정을 자동화하여 사이버 공격을 사전에 빠르게 예방하기 위한 기술이다. 향후 개발 시스템의 스캔 성능, 취약점 분석 등의 기능을 개선하여 사이버 보안 위협 대응을 위해 사용할 것이다.
하지만 취약점이 NVD에 등록되기까지 오랜 시간이 필요하며 다양한 취약점 정보를 얻기 위해서 정보 수집 채널의 확대가 필요했다. 추가적으로 Bugtraq, VulDB, Rapid7 등의 취약점 정보 사이트를 선정하여 업데이트 주기, 추가적인 취약점의 종류 등을 비교하였다. 그 결과 다양한 취약점 정보와 업데이트 주기가 빠른 Bugtraq, VulDB를 수집 대상으로 선정하여 웹 크롤링을 통해 취약점 정보를 수집한다.
인터넷에 연결된 디바이스의 취약점 정보를 분석하기 위해 공개된 취약점 정보들을 수집하고, 분석이 가능하게 구조화 하는 기능이 필요하다. 취약점 정보 관리 모듈은 NVD에서 제공하는 파일화된 CVE 정보를 다운로드하여 CPE(Common Platform Enumeration), CWE(Common Weakness Enumeration), CVSS(Common Vulnerability Scoring System) 등의 정보를 구조화 한다. 현재까지 수집한 CVE 취약점 정보는 약10만개 정도이다.
취약점 정보는 CVE/non-CVE 분류로 정보를 수집하며, 하루 주기로 new/modified 정보를 업데이트한다. Bugtraq과 VulDB에는 각각의 취약점에 부여된 ID가 있고 연관된 CVE-ID가 포함되어 있다.

대상 데이터

❷ 디바이스의 포트 별 정보 수집을 위한 ‘Handshake Scan Engine’은 ZGrab 오픈소스 같이 디바이스의 주요 포트를 대상으로 시스템 접속 배너, 암호 통신 정보, 패킷 헤더·바디 정보를 수집한다.
추가적으로 Bugtraq, VulDB, Rapid7 등의 취약점 정보 사이트를 선정하여 업데이트 주기, 추가적인 취약점의 종류 등을 비교하였다. 그 결과 다양한 취약점 정보와 업데이트 주기가 빠른 Bugtraq, VulDB를 수집 대상으로 선정하여 웹 크롤링을 통해 취약점 정보를 수집한다.
따라서 디바이스 정보 수집 범위를 IPv4 전대역·전포트를 대상으로 확대하였다.
또한 수집의 대상도 인터넷에 연결된 대부분의 디바이스가 대상이며, 주로 콘솔 서비스 등의 접속 배너 정보와 통신 트래픽의 헤더·바디 등의 정보를 고속으로 수집한다.
보안 취약점과 관련된 기술은 네트워크 스캔 기술과 같이 분석 대상(디바이스)에게 직접적인 공격 행위가 없는 기술을 대상으로 한다.
프로토콜 4종의 데이터에서 각 10만개의 배너를 샘플링 했다. 샘플링 된 배너는 Unique한 배너 상위 1,000개를 기반으로 랜덤하게 선정하였다.(중복을 제외한 Unique 배너 Top 1,00 비율 : FTP - 69%, HTTP - 96%, SSH - 99%, TELNET - 82%)
‘Devices Vulnerability Analysis Module’은 앞의 두 모듈에서 수집한 디바이스 정보, 취약점 정보를 매칭하여 디바이스에 포함된 취약점을 분석한다. 취약점 분석성능 측정을 위해 사용된 데이터는 배너 분석을 통해 CPE 정보의 식별이 가능한 FTP, HTTP, SSH, TELNET 4종의 포트 정보를 사용하였다.
취약점 분석률은 수집된 전체 배너 수 에서 CPE를 정상적으로 식별한 비율을 계산한다. 프로토콜 4종의 데이터에서 각 10만개의 배너를 샘플링 했다. 샘플링 된 배너는 Unique한 배너 상위 1,000개를 기반으로 랜덤하게 선정하였다.

데이터처리

성능 측정은 수집된 디바이스 정보 중 제품명, 제조사, 버전 정보와 취약점 정보의 CPE 매칭 비율을 계산한다. CVE 취약점 정보에는 관련된 디바이스 정보를 CPE 형태로 포함하고 있어, CPE 식별을 통해 연관된 취약점 정보를 식별 할 수 있다.
취약점 분석률 실험은 배너 정보와 CPE의 매칭 임계 값을 66%, 75%, 80%로 설정하여 분석 하였으며 결과는 Fig. 5, Table. 1과 같다.

성능/효과

취약점 분석률 실험 결과 배너정보의 정상 식별률은 평균 87.38% 으로 나탔으며, 4개의 프로토콜 모두 CPE 매칭 임계값을 80% 이상으로 설정하였을 때, 디바이스 정보에서 CPE를 정상으로 식별한 비율이 가장 높았다. 임계값이 낮은 경우에는 유사한 이름의 제품, 제조사 등이 과도하게 식별되는 오식별이 많이 발생함을 알 수 있다.

후속연구

제안하는 시스템은 사람이 직접 인터넷 스캔 결과를 활용해 취약점을 분석하는 과정을 자동화하여 사이버 공격을 사전에 빠르게 예방하기 위한 기술이다. 향후 개발 시스템의 스캔 성능, 취약점 분석 등의 기능을 개선하여 사이버 보안 위협 대응을 위해 사용할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	IoT 서비스의 보급의 수는 증가하는 반면 미흡한 점과 이유는?	IoT 서비스 및 디바이스 수의 급격한 증가와는 반대로 보안에 대한 수준과 대안은 미흡하며, 이에 따른 인터넷 연결 디바이스의 취약점을 통한 사이버 위협은 늘어나고 있다. 네트워크, IoT 디바이스 등의 소형기기는 사용자가 최초 설치를 하고나면 주기적으로 펌웨어 업데이트 등의 관리를 하지 않아 오래된 취약점을 다량 보유하고 있어 주요한 공격 대상되므로 빠른 식별을 통한 업데이트, 격리(차단) 등의 예방조치가 필요하다[2].
	DDoS 공격이란?	위 공격은 인증이 취약한 CCTV 등을 ‘Mirai’ 악성코드를 통해 감염 시켜 공격에 활용하였다. 이와 같이 감염된 디바이스에서 생성된 트래픽은 IP당 평균 1~30Mbps 크기의 트래픽을 총 1.5Tbps 규모로 전송하여 서비스를 이용하지 못하게 공격하였다. ‘Dyn’의 경우는 공격을 통해 트위터, 넷플릭스 등 1,200 여개의 대형 사이트의 서비스가 정지되기도 하였다.
	Shodan과 Censys의 차이점은?	Shodan과 Censys는 디바이스 정보 수집량과 속도에서 차이점을 보인다. Shodan의 경우 IPv4 전체 대역의 정보가 갱신되는 주기가 4주인 반면 디바이스가 사용할 수 있는 모든 포트의 정보를 포함하고 있다.

참고문헌 (7)

"State of the IoT 2018: Number of IoT devices now at 7B", IoT Analytics. Available online: https://iot-analytics.com/state-of-the-iot-update-q1- q2-2018-number-of-iot-devices-now-7b/ (accessed August 15, 2019).
Ziegeldorf JH, Morchon OG, Wehrle K., "Privacy in the Internet of Things: threats and?challenges", Security and Communication Networks, Vol.7, No.12, pp.2728-2742, Jun. 2014. DOI: https://doi.org/10.1002/sec.795

상세보기
Auffret P., "SinFP, unification of active and passive operating system fingerprinting", Journal in Computer Virology, Vol.6, No.3, pp.197-205, Aug. 2010. DOI: https://doi.org/10.1007/s11416-008-0107-z

상세보기
Shamsi Z, Nandwani A, Leonard D, Loguinov D., "Hershel: single?packet OS fingerprinting.", SIGMETRICS '14 The 2014 ACM international conference on Measurement and modeling of computer systems, Vol.42, No.1, pp.195-206, June. 2014. DOI: https://dx.doi.org/10.1145/2591971.2591972
Z. Durumeric, E. Wustrow, J. A. Halderman, "ZMap : Fast Internet-Wide Scanning and its Security Applications", 22nd USENIX conference on Security, 2013.
Anton V. Arzhakov, Irina F. Babalova, "Analysis of Current Internet Wide Scan Effectiveness", Proceedings of 2017 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering, 2017. DOI: https://doi.org/10.1109/EIConRus.2017.7910503
B. Genge, C. Enachescu, "ShoVAT: Shodan-based vulnerability assesment tool for Internet-facing services", Security & Communication Networks, 2015. DOI: https://doi.org/10.1002/sec.1262

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증