[논문]취약점 데이터베이스 기반 개선된 보안관제 모델의 효과성 연구

현석우; 권태경

doi:10.13089/jkiisc.2019.29.5.1167

취약점 데이터베이스 기반 개선된 보안관제 모델의 효과성 연구
A Study of Effectiveness of the Improved Security Operation Model Based on Vulnerability Database 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.5, 2019년, pp.1167 - 1177

현석우 (연세대학교 정보대학원 정보보호연구실) , 권태경 (연세대학교 정보대학원 정보보호연구실)

초록
AI-Helper

본 논문에서는 기존 보안관제의 한계점을 살펴보고, 효율적인 모니터링을 위한 취약점 데이터베이스 기반의 새로운 보안관제 모델과 그 효과성을 연구한다. 제안한 모델은 로그 탐지를 위한 정보보호 장비, 취약점 데이터베이스, 탐지 로그와의 연동 결과를 시각화하여 제공하는 대시보드로 구성하였다. 모델의 평가는 사전에 구축한 가상 인프라에서 모의공격 시나리오를 설정하여 효과를 분석하였으며, 기존의 방식과 달리 자산이 가지고 있는 보안 취약점에 특화된 공격 위협에 신속히 대응할 수 있고 취약점 데이터베이스와 연계한 보안관제로 탐지 규칙 간의 중복을 발견하여 최적의 탐지 규칙을 작성할 수 있음을 확인하였다.

Abstract ▼ AI-Helper

In this paper, the improved security operation model based on the vulnerability database is studied. The proposed model consists of information protection equipment, vulnerability database, and a dashboard that visualizes and provides the results of interworking with detected logs. The evaluation of the model is analyzed by setting up a simulated attack scenario in a virtual infrastructure. In contrast to the traditional method, it is possible to respond quickly to threats of attacks specific to the security vulnerabilities that the asset has, and to find redundancy between detection rules with a secure agent, thereby creating an optimal detection rule.

주제어

표/그림 (12)

그림 Fig. 1. Security Operation Model
그림 Fig. 2. Building a Virtual Infrastructure
그림 Fig. 3. E-R Diagram of Vulnerability Database
표 Table 1. Description of Vulnerability Layer
표 Table 2. Description of Asset Layer
표 Table 3. Description of CVE Layer
그림 Fig. 4. CVE Information Crawling Process
그림 Fig. 5. Classification of Alert Log
그림 Fig. 6. ELK Stack Visualizing Process
그림 Fig. 7. Dashboard Configuration using Kibana
그림 Fig. 8. Monitoring Alert Log with Sguil
그림 Fig. 9. Monitoring with Improved Model

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 조직의 정보자산이 가지고 있는 보안 취약점을 통합 관리할 수 있는 취약점 데이터베이스를 구축하고 이에 기반한 보안관제 모델을 연구하였다. 단순히 정보를 통합하여 제공하는 기존의 취약점 데이터베이스와 달리 조직의 운영환경과 연계한 활용방안에 관한 연구를 진행하여 자산의 가치, 위협의 중요도를 고려한 보안관제 모델을 구현하였다.
우선순위를 고려하지 않은 단순한 그래프로는 발생하는 로그 전체에 대응해야하기 때문에 효율적인 관제 업무 수행이 제한된다. 이러한 점을 개선하기 위하여 우선순위별로 그래프를 분리하여 조직의 자산이 가지고 있는 보안 취약점과 연계한 관제가 가능하도록 하였다.
이에 본 논문에서는 기존 보안관제의 한계점은 무엇이며, 취약점 데이터베이스에 기반한 개선된 보안관제 모델의 효과에 관하여 연구한다. 연구 범위는 다음과 같다.
이에 본 논문에서는 취약점 데이터베이스 구축의 핵심 요소인 자산 관리와 취약점 진단에 관한 연구를 수행하며, 관리대상 취약점 정보 확인부터 식별된 취약점 후속조치 완료 시까지의 이력관리가 가능하다는 점에서 차이점을 가진다. 그뿐만 아니라 보안관제의 정탐률 향상을 위하여 고위험 취약점에 대한 가중치를 부여하는 보안관제 모델을 제안하였다.

제안 방법

모델을 구현하고 검증하기 위해 가상환경의 인프라를 구축하며 가상화 솔루션인 VMware Wortkstation을 이용한다. Fig. 2와 같이 모의공격과 효과분석의 효용성을 높이기 위해 Ubuntu 서버를 구축하며, 취약점 진단의 대상이 될 APM(Apache struts2, Php, Mysql) 패키지와 bWAPP 애플리케이션을 서버에 구성한다.
가상 인프라에서 모의공격 시나리오를 바탕으로 제안한 보안관제 모델의 효과를 분석한다. 디렉터리 탐색 공격의 경우 취약점 패치를 완료하였고, 나머지 취약점들은 패치가 되지 않은 상태이다.
Yung-Yu Chang 등은 NVD에 포함되어 있는 CVE 정보를 바탕으로 발생빈도, 위험도 등 보안 취약점의 트렌드를 분석하였다. 그뿐만 아니라 CVSS범위에 따라 위험도를 3단계로 구분하여 고위험군 취약점의 발생빈도, 위험도 등을 함께 분석하였다[5].
이에 본 논문에서는 취약점 데이터베이스 구축의 핵심 요소인 자산 관리와 취약점 진단에 관한 연구를 수행하며, 관리대상 취약점 정보 확인부터 식별된 취약점 후속조치 완료 시까지의 이력관리가 가능하다는 점에서 차이점을 가진다. 그뿐만 아니라 보안관제의 정탐률 향상을 위하여 고위험 취약점에 대한 가중치를 부여하는 보안관제 모델을 제안하였다.
가상 인프라 구축에 사용되는 소프트웨어는 모두 오픈소스로 모델 적용 시 비용을 절감할 수 있고, 라이센스의 제약 없이 기능을 사용할 수 있다는 장점이 있다. 그뿐만 아니라 필요한 기능을 자체적으로 개발할 수 있다는 점에서 개발 단계의 의존성을 줄이고 모델의 자유도를 확보하였다.
모의환경은 VMware를 통해 구축하며 오픈소스 소프트웨어를 활용하여 비용과 모델의 자유도를 고려하였다. 넷째, 정보보호 장비의 로그와 취약점 데이터베이스, 취약점 분석 결과를 연계한 위협 탐지 모델을 구현한다. 제안한 모델은 자산이 가지고 있는 보안 취약점을 이용한 위협에 해당하는 로그에 우선순위를 부여해 보안관제의 효율성을 높인다.
본 논문에서는 조직의 정보자산이 가지고 있는 보안 취약점을 통합 관리할 수 있는 취약점 데이터베이스를 구축하고 이에 기반한 보안관제 모델을 연구하였다. 단순히 정보를 통합하여 제공하는 기존의 취약점 데이터베이스와 달리 조직의 운영환경과 연계한 활용방안에 관한 연구를 진행하여 자산의 가치, 위협의 중요도를 고려한 보안관제 모델을 구현하였다.
취약점 데이터베이스는 정보자산 현황, 취약점 분석 결과, 공개 취약점 정보 등을 저장, 관리한다. 둘째, 웹 크롤링을 통하여 CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System)와 같은 공개 취약점 정보를 수집하는 모듈을 개발한다. 이는 취약점에 대한 상세내용, 참고자료 등 객관적인 정보를 제시한다.
Gu Yun-hua 등은 취약점 데이터베이스가 다양한 종류의 취약점에 대한 정보를 제공하는 것뿐만 아니라 취약점 정보를 관리하는 데에도 유용하므로 사이버 위협으로부터 시스템을 보호하는 중요한 역할을 한다고 주장하였다. 또한, CVE, IBM의 X-Force, NVD(National Vulnerability Database)를 활용한 취약점 데이터베이스를 제안하였다. 제안한 취약점 데이터베이스는 공신력 있고 객관성이 확보된 3가지 데이터베이스의 정보를 통합하여 사용자에게 필요한 정보를 제공한다[3].
Logstatsh의 input plugin에서는 탐지 로그가 저장되어 있는 데이터베이스로부터 데이터를 전달하기 위하여 jdbc 라이브러리를 사용하며, 데이터를 불러오는 데 필요한 구문, 페이징 처리에 관한 설정을 해주었다. 또한, 지속적으로 발생하는 로그 데이터를 전달받아야 하므로 리눅스의 cron 서비스를 통해 매분 입력 작업 스케줄에 맞춰 파이프라인 작업이 실행될 수 있도록 하였다. Output plugin에서는 입력받은 로그 데이터를 전송할 목적지인 elasticsearch로 전송하고 데이터 조회에 필요한 index를 설정한다.
모델 구현을 위하여 가상 인프라 구성, 취약점 데이터베이스 모델링, 공개 취약점 정보수집 모듈 개발, 취약점 데이터베이스 연동 개발 등을 수행하였으며, 모의공격 시나리오를 설정하여 제안한 모델의 효과를 분석하였다. 모의실험 결과 탐지 로그를 차례대로 분석하는 기존의 방식과 달리 자산이 가지고 있는 보안 취약점에 특화된 공격 위협에 신속히 대응할 수 있었다.
셋째, 모델 구현을 위한 개발환경, 가상 인프라를 구축한다. 모의환경은 VMware를 통해 구축하며 오픈소스 소프트웨어를 활용하여 비용과 모델의 자유도를 고려하였다. 넷째, 정보보호 장비의 로그와 취약점 데이터베이스, 취약점 분석 결과를 연계한 위협 탐지 모델을 구현한다.
이 장에서는 사전에 구축한 가상 인프라에서 모의공격 시나리오를 설정하여 제안한 보안관제 모델의 효과를 분석한다.
1과 같이 로그 탐지를 위한 정보보호 장비, 공개 취약점 정보와 취약점 진단 결과가 저장되는 취약점 데이터베이스, 탐지 로그와 취약점 데이터베이스 연동 결과를 시각화하여 제공하는 대시보드(dashboard)로 구성한다. 이를 통하여 보안관제 인력에게는 위협 우선순위를 고려한 경고 메시지를 제공하며, 자산 관리자는 자산 정보를 등록, 수정하고 취약점 진단 결과와 후속조치 결과를 등록하여 이력관리 및 조치 추적이 가능하도록 한다.
C 영역(priority count with alert message)은 우선순위와 탐지명에 따라 분류한 경고 메시지 개수를 나타내는 데이터 테이블이다. 전체 경고 메시지 개수를 세분화한 것으로 발생 빈도가 높은 보안 취약점을 직관적으로 확인할 수 있도록 하였으며, 이외에도 파이 차트를 통해 대응에 필요한 데이터들을 명확하고 직관적으로 제공한다.
넷째, 정보보호 장비의 로그와 취약점 데이터베이스, 취약점 분석 결과를 연계한 위협 탐지 모델을 구현한다. 제안한 모델은 자산이 가지고 있는 보안 취약점을 이용한 위협에 해당하는 로그에 우선순위를 부여해 보안관제의 효율성을 높인다.
또한, CVE, IBM의 X-Force, NVD(National Vulnerability Database)를 활용한 취약점 데이터베이스를 제안하였다. 제안한 취약점 데이터베이스는 공신력 있고 객관성이 확보된 3가지 데이터베이스의 정보를 통합하여 사용자에게 필요한 정보를 제공한다[3].
연구 범위는 다음과 같다. 첫째, 취약점 데이터베이스를 모델링하고 설계한다. 취약점 데이터베이스는 정보자산 현황, 취약점 분석 결과, 공개 취약점 정보 등을 저장, 관리한다.
취약한 서버에 시스템 명령어를 삽입하기 위하여 ‘|’, ‘&’와 같은 메타 문자를 사용하고, 이를 탐지하기 위해 명령어 내에서 사용되는 ‘/’, ‘\’와 같은 문자를 pcre 정규표현식으로 표현하여 탐지 시그니처를 작성하였다.

이론/모형

단순한 로그 처리 작업은 데이터베이스를 통해서도 수행할 수 있지만, 보안관제에서는 로그를 저장하면서 분석하는 작업이 필수적이다. 또한, 경우에 따라 통합된 정보에서 원하는 결과를 얻을 수 있어야 하므로 ELK Stack을 활용한다.
모델을 구현하고 검증하기 위해 가상환경의 인프라를 구축하며 가상화 솔루션인 VMware Wortkstation을 이용한다. Fig.

성능/효과

보안관제 인력이 로그 1건을 분석하는 데 걸리는 시간이 최소 3분에서 최대 5분이라고 가정하면 기존의 방식으로는 117건의 로그를 분석하는데 최소 351분에서 최대 585분이 소요된다. 개선된 방식을 적용하면 분석해야 할 로그는 90건으로 줄어들게 되고 분석하는데 최소 270분에서 최대 450분이 소요되어 약 23.1%의 개선 효과를 보였다. 모델의 효율성은 수식(1)과 같이 나타낼 수 있다.
모의실험 결과 탐지 로그를 차례대로 분석하는 기존의 방식과 달리 자산이 가지고 있는 보안 취약점에 특화된 공격 위협에 신속히 대응할 수 있었다. 그뿐만 아니라 취약점 데이터베이스와 연계한 보안관제로 탐지 규칙 간의 중복을 발견하여 최적의 탐지 규칙을 작성할 수 있었다.
모델 구현을 위하여 가상 인프라 구성, 취약점 데이터베이스 모델링, 공개 취약점 정보수집 모듈 개발, 취약점 데이터베이스 연동 개발 등을 수행하였으며, 모의공격 시나리오를 설정하여 제안한 모델의 효과를 분석하였다. 모의실험 결과 탐지 로그를 차례대로 분석하는 기존의 방식과 달리 자산이 가지고 있는 보안 취약점에 특화된 공격 위협에 신속히 대응할 수 있었다. 그뿐만 아니라 취약점 데이터베이스와 연계한 보안관제로 탐지 규칙 간의 중복을 발견하여 최적의 탐지 규칙을 작성할 수 있었다.
2순위 탐지로그는 직접 로그를 분석하여 자산의 취약점에 해당하는 위협인지를 판단해야 한다. 하지만 취약점 데이터베이스와 연계하여 자산이 가지고 있는 보안 취약점에 대한 탐지 규칙을 작성할 수 있었고 이를 적용한 결과, 탐지 규칙 간의 중복을 발견하여 최적의 탐지규칙을 작성할 수 있었다.

후속연구

지금까지의 취약점 데이터베이스 관련 연구는 단순히 데이터베이스의 정보를 통합하여 제공하는 것으로 운영환경과 연계하여 적용하기 어렵다. 그뿐만 아니라 보안 취약점 진단 결과의 적용을 자동화할 수 있는 보안관제 프로세스와 소관체계 자산정보의 이력관리에 관한 연구가 필요하다.
본 연구를 실제 운영환경에 적용하여 정보자산에 대한 정기적 취약점 분석과 결과에 대한 이력관리, 공개 취약점 정보의 정기적 수집, 정확한 자산 현황관리 등을 수행할 수 있으며, 취약점 데이터베이스의 최적화를 통하여 사이버 위협 징후에 대한 적시적인 관제로 조직의 위협 대응능력이 향상될 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	취약점 데이터베이스의 역할은 무엇인가?	첫째, 취약점 데이터베이스를 모델링하고 설계한다. 취약점 데이터베이스는 정보자산 현황, 취약점 분석 결과, 공개 취약점 정보 등을 저장, 관리한다. 둘째, 웹 크롤링을 통하여 CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System)와 같은 공개 취약점 정보를 수집하는 모듈을 개발한다.
	보안관제 분야에서는 신속한 대응이 절실한데 이를 위해 필요한 것은 무엇인가?	사이버 경계영역인 보안관제 분야에서는 신속한 대응이 절실하다. 이를 위해선 발생하는 전체의 로그를 분석하는 것이 아니라 정보자산이 갖는 취약성에 해당하는 위협에 선제 대응할 수 있는 역량과 식별된 취약점을 적시에 전파하고 보안대책 적용결과 및 후속조치 등을 통합 관리하는 체계의 구축이 필요하다.
	취약점 분석 결과가 적시에 이루어지지 않는 이유는 무엇인가?	하지만 취약점 분석 결과는 서비스 가용성 또는 시스템 호환성 등의 문제로 소프트웨어 패치, 업그레이드와 같은 조치가 적시에 이루어지고 있지 않다. 침해사고 대응훈련의 경우 단기 효과는 있겠지만, 장기적인 관점에서는 효과가 미비한 것이 사실이다.

참고문헌 (11)

Dong-jin Kim, Sung-je Cho, "An Analysis of Domestic and Foreign Security Vulnerability Management Systems based on a National Vulnerability Database," Internet and Information Security, vol. 1, no. 2, pp. 130-147, Nov. 2010.
Han-eul Ryu, Tae-kyu Kim, Wan-soo Cho, "Method of Standard Dataset based Vulnerability Database Design for Constructive Modeling & Simulation," Proceedings of Symposium of the Korean Institute of Communications and Information Sciences, pp. 1346-1347, Jun. 2017.
Gu Yun-hua, Li Pei, "Design and Research on Vulnerability Database," 2010 Third International Conference on Information and Computing, vol. 2, pp. 209-212, Jun. 2010.
Yu-kyong Kim, Seung-cheol Shin, Joon-seon Ahn, Ouk-seh Lee, Eun-young Lee, Hwan-soo Han, "Analysis and Documentation of Korean Common Weakness Enumeration for Software Security," Communications of the Korean Institute of Information Scientists and Engineers, vol. 28, no. 2, pp. 20-31, Feb. 2010.
Yung-Yu Chang, Pavol Zavarsky, Ron Ruhl, Dale Lindskog, "Trend Analysis of the CVE for Software Vulnerability Management," 2011 IEEE Third International Conference on Privacy, Security, Risk, and Trust, and IEEE International Conference on Social Computing, pp. 1290-1293, Oct. 2011.
Su Zhang, Xlnmlng OU, Dolna Caragea, "Predicting Cyber Risks through National Vulnerability Database," Information Security Journal : A Global Perspective, pp. 194-206, Nov. 2015.
Jeong-hoon Hyun, Hyoung-joong Kim, "Security Operation Implementation through Big Data Analysis by Using Open Source ELK Stack," Journal of Digital Contents Society, vol. 19, no. 1, pp. 181-191, Jan. 2018.
Jin-guk Um, Hun-yeong Kwon, "Model Proposal for Detection Method of Cyber Attack using SIEM," The Journal of The Institute of Internet, Broadcasting and Communication, vol. 16, no. 6, pp. 43-54, Dec. 2016.
Sang-duck Cho, "A Study of Security Monitoring Enhancement by Using Security Vulnerability diagnosis," Konkuk University, Feb. 2014.
In-seok Jeon, Keun-hee Han, Dong-won Kim, Jin-yung Choi, "Using the SIEM Software vulnerability detection model proposed," Journal of the Korea Institute of Information Security & Cryptology, vol. 25, no. 4, pp. 961-974, Aug. 2015.

원문보기 상세보기
Jae-heon Lee, Sang-jin Lee, "A Study on Effective Security Control Model Based on Characteristic of Web Service," Journal of the Korea Institute of Information Security & Cryptology, vol. 29, no. 1, pp. 175-185, Feb. 2019.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증