본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 현재 다양하고 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 예방과 대응을 위한 사이버보안 프레임워크와 보안 관제센터까지 개소를 하였다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 TMS/IPS의 중요한 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 로그 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략을 수립했다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하여 방화벽과 IPS에 자동 차단 기능이 연계되었다. 또한, 머신러닝지도학습을 통해 TMS/IPS의 탐지 이벤트를 자동 침해사고 처리함으로 관제업무의 효율성 향상과 머신러닝 비지도 학습 결과를 통해 빅데이터 분석 중심의 위협헌팅 업무체계를 확립하였다.
본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 현재 다양하고 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 예방과 대응을 위한 사이버보안 프레임워크와 보안 관제센터까지 개소를 하였다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 TMS/IPS의 중요한 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 로그 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략을 수립했다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하여 방화벽과 IPS에 자동 차단 기능이 연계되었다. 또한, 머신러닝 지도학습을 통해 TMS/IPS의 탐지 이벤트를 자동 침해사고 처리함으로 관제업무의 효율성 향상과 머신러닝 비지도 학습 결과를 통해 빅데이터 분석 중심의 위협헌팅 업무체계를 확립하였다.
The purpose of this paper is to propose a new security orchestration service model by combining various security solutions that have been introduced and operated individually as a basis for cyber security framework. At present, in order to respond to various and intelligent cyber attacks, various si...
The purpose of this paper is to propose a new security orchestration service model by combining various security solutions that have been introduced and operated individually as a basis for cyber security framework. At present, in order to respond to various and intelligent cyber attacks, various single security devices and SIEM and AI solutions that integrate and manage them have been built. In addition, a cyber security framework and a security control center were opened for systematic prevention and response. However, due to the document-oriented cybersecurity framework and limited security personnel, the reality is that it is difficult to escape from the control form of fragmentary infringement response of important detection events of TMS / IPS. To improve these problems, based on the model of this paper, select the targets to be protected through work characteristics and vulnerable asset identification, and then collect logs with SIEM. Based on asset information, we established proactive methods and three detection strategies through threat information. AI and SIEM are used to quickly determine whether an attack has occurred, and an automatic blocking function is linked to the firewall and IPS. In addition, through the automatic learning of TMS / IPS detection events through machine learning supervised learning, we improved the efficiency of control work and established a threat hunting work system centered on big data analysis through machine learning unsupervised learning results.
The purpose of this paper is to propose a new security orchestration service model by combining various security solutions that have been introduced and operated individually as a basis for cyber security framework. At present, in order to respond to various and intelligent cyber attacks, various single security devices and SIEM and AI solutions that integrate and manage them have been built. In addition, a cyber security framework and a security control center were opened for systematic prevention and response. However, due to the document-oriented cybersecurity framework and limited security personnel, the reality is that it is difficult to escape from the control form of fragmentary infringement response of important detection events of TMS / IPS. To improve these problems, based on the model of this paper, select the targets to be protected through work characteristics and vulnerable asset identification, and then collect logs with SIEM. Based on asset information, we established proactive methods and three detection strategies through threat information. AI and SIEM are used to quickly determine whether an attack has occurred, and an automatic blocking function is linked to the firewall and IPS. In addition, through the automatic learning of TMS / IPS detection events through machine learning supervised learning, we improved the efficiency of control work and established a threat hunting work system centered on big data analysis through machine learning unsupervised learning results.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안해 보았다. 이번에 제안한 모델의 개선 효과는 크게 3가지 부분이다.
국가 및 기업들이 체계적인 보안정책을 마련하여 전략적으로 시행하지 않는 한 이러한 문제점들은 지속될 것으로 보인다. 본 논문에서는 이러한 근본적인 문제점을 해결하고자 사이버 보안 프레임워크 기반의 오케스트레이션 서비스 모델 구현 방안을 제안하였다.
본 논문에서는 체계적인 사이버 보안 프레임워크 기반의 보안 오케스트레이션 서비스 모델 구현 방안을 제안하였다. 즉, 제안된 모델에 체계화된 자동 업무 프로세스 확립을 통해서 침해사고 대응 자동화를 이루어 신속한 침해사고처리가 가능함을 보였다.
이러한 연구를 하게 된 배경과 목적은 최근 몇 년간 사이버공격의 변화된 특성에 기인한다. 즉, 침투 및 확산 속도가 빨라지고, 공격효과가 방대한 영역으로 확대됨과 동시에 더욱 정교해지고 있다는 점이다.
이를 기반으로 정의된 보안업무 프로세스에 따라 여러 보안 솔루션들의 특징을 조합하여 예방, 탐지, 예측, 대응에 이르는 일련의 침해대응 프로세스를 자동화하는 방안을 도출하였다. 특히, 새로운 보안 장비도입보다는 기존에 도입되어 있는 보안장비들 간의 관계를 재정립하여 보안의 가시성 확보와 업무의 효율성을 높일 수 있는 체계를 마련하는데 목적을 두고 [그림2]와 같은 서비스 모델을 제안하였다. 제안한 서비스 모델은 [그림 2]에서 본바와 같이 4가지 보안 프로세스로 구성된다.
제안 방법
이는 외부 위협 인텔리전스와 내부 평판정보를 활용한 적응형 탐지 전략은 직접 대응 프로세서와 자동 대응 프로세서로 정의하였다. 그리고, AI 판단인 지능형 탐지 전략과 자동 대응 프로세서를 수립하였다. 마지막으로 관제요원이 직접 대응해야하는 위협탐지 전략과 직접 대응 프로세서를 수립하였다.
또한 직접적인 위협 행위 여부를 판단하기 위해 IPS/WAF에 탐지 여부와 웹서버 접근 시 웹 상태코드와 웹 메소드, 탐지패턴을 결합하여 탐지 정책을 설정한다. 그리고, 기존과 다른 이상행위를 하는 IP 탐지를 위해 영역별로 내부 평판 위협 정보를 실시간 수집한다.
두 번째 지능형 탐지 전략 규칙에는 단순 반복적이지만 꼭 침해 이력을 남겨야 하는 Scan 공격이나 SQL Injection 같은 알려진 공격 규칙들은 “[지능형 탐지전략] [자동대응] 위협 인텔리전스+IPS+자산 비인가접근 탐지” 규칙으로 적용하였다.
첫째, 제안모델을 특정 보안환경에 어떻게 적용하였는지를 설명하였다. 둘째, 적용환경으로부터 도출된 침해대응시간이란 정량적인 지표를 설정하여 제안모델의 적정성을 검증하였다.
이는 인프라 전 영역에 걸쳐 위협 인텔리전스를 활용하여 인바운드로 접근하는 모든 IP의 식별하기 위한 것이다. 또한 직접적인 위협 행위 여부를 판단하기 위해 IPS/WAF에 탐지 여부와 웹서버 접근 시 웹 상태코드와 웹 메소드, 탐지패턴을 결합하여 탐지 정책을 설정한다. 그리고, 기존과 다른 이상행위를 하는 IP 탐지를 위해 영역별로 내부 평판 위협 정보를 실시간 수집한다.
그리고, AI 판단인 지능형 탐지 전략과 자동 대응 프로세서를 수립하였다. 마지막으로 관제요원이 직접 대응해야하는 위협탐지 전략과 직접 대응 프로세서를 수립하였다.
본 논문에서 제안한 보안 오케스트레이션 서비스모델 구현에 활용한 사이버보안 프레임워크, 국내·외적인 사이버 보안전략들, 그리고 SOAR(Security Orchestration,Automation and Response)에 관련된 연구를 요약하면 다음과 같다.
서비스 모델 검증 방법은 8가지 공격 룰을 3가지 탐지 전략과 2가지 대응 프로세서에 적용하여 [표 3]의탐지 결과를 바탕으로 각각 침해대응 소요 시간을 비교하였다.
세 번째 위협 탐지 전략에는 관제요원이 직접 공격 성공 여부를 판단하기 위해 재연 공격이 필요한 신규취약점 공격이나 웹쉘 업로드 공격 등을 분류하였다. 이 전략에는 단계별 수동 대응이 필요하기에 직접 대응 프로세서 절차를 수행하도록 적용하였다.
세 번째는 침해대응시스템을 활용하여 3가지 탐지 전략과 융합하여 2가지 자동과 직접 대응 프로세서 체계를 수립하였다. 이는 외부 위협 인텔리전스와 내부 평판정보를 활용한 적응형 탐지 전략은 직접 대응 프로세서와 자동 대응 프로세서로 정의하였다.
위협으로부터 보호해야 할 자산을 식별하고 공격 유형별 위협 대응에 필요한 보안 솔루션 선정과 수집할 수 있는 로그를 파악하였다. 이를 기반으로 자산 보호와 수집된 로그를 기반으로 3가지 탐지 전략과 2가지 대응 프로세서를 다음과 같이 관계의 3가지 모델을 생성하였다.
이는 일관되고 체계화된 보안업무 프로세스를 반영하기 위한 것이다. 이를 기반으로 정의된 보안업무 프로세스에 따라 여러 보안 솔루션들의 특징을 조합하여 예방, 탐지, 예측, 대응에 이르는 일련의 침해대응 프로세스를 자동화하는 방안을 도출하였다. 특히, 새로운 보안 장비도입보다는 기존에 도입되어 있는 보안장비들 간의 관계를 재정립하여 보안의 가시성 확보와 업무의 효율성을 높일 수 있는 체계를 마련하는데 목적을 두고 [그림2]와 같은 서비스 모델을 제안하였다.
지도학습에 의해 자동 판단되는 지능형 탐지 전략은 자동 대응 프로세서에 접수되도록 적용하였다. 자동 대응 프로세서에 적용될 단계별 입력 문구는 웹취약점,악성코드, 비인가 접근, 정보수집, 서비스거부, 악성메일로 분류하여 공격 유형별로 정의하였다.
지금까지 항목별로 설계한 서비스 모델을 [그림 8]과같이 SIEM 솔루션과 AI 솔루션, 그리고 침해대응시스템 간에 융합하여 보안 오케스트레이션을 구성하였다. 위협으로부터 보호해야 할 자산을 식별하고 공격 유형별 위협 대응에 필요한 보안 솔루션 선정과 수집할 수 있는 로그를 파악하였다.
첫 번째 적응형 탐지 전략 규칙에는 “[적응형 탐지 전략] [자동대응] 사용자IP가 CnC 서버로 접근” 규칙과 “[적응형 탐지 전략] [직접대응] 동일 SIP에서 5가지 이상의 공격” 규칙에 적용하였다.
본 논문에서 제안한 보안 오케스트레이션 서비스 모델 구현의 상세 내용을 다음과 같은 순서로 설명하였다. 첫째 사이버보안 프레임워크와 보안솔루션간의 관계 정의, 둘째 보호해야할 자신의 식별법 정의, 셋째 자산보호에 필요한 식별정보와 로그, 넷째 적응형 방어 상관분석 탐지 및 예측, 마지막으로 자동 침해 사고 처리 및 대응에 대해 설명하였다.
대상 데이터
이 정보를 활용하여 IPS/WAF등 탐지장비는 최근 7일간 접근이력이 없던 IP와 탐지명으로 탐지될 경우 구분하여 공격의 변화등 이상행위를 탐지할 수 있다. 또 하나의 방법으로는 웹서버의 일반적이지 않은 메소드인 put, delete나 400, 500대의 웹 상태코드를 발생시키는 IP들을 평판 정보로 수집한다. 이 평판정보는 IPS/WAF등 탐지 장비의 공격 IP와 상관분석 탐지하면 좀 더 효과적이다.
이론/모형
본 논문에서 제안한 보안 오케스트레이션 서비스 모델은 사이버 보안 프레임워크를 기반으로 하였다. 이는 일관되고 체계화된 보안업무 프로세스를 반영하기 위한 것이다.
성능/효과
셋째, SLA(Service Level Agrement)기준이 복잡해짐에 따라 과중한 보안업무 증가로 심층 분석에 필요한 여력이 부족한 실정이다. 넷째, 침해대응 시 단순 반복적인 침해사고 이력처리 업무로 인해 분석시간 보다 이력 입력 시간에 더 많은 시간을 소비하고 있다. 다섯째, 보안관제 요원들의 기술능력 편차로 인해 같은 공격을 다른 공격으로 판단하는 경우도 종종 발생하기도 한다.
첫째, 문서 중심의 보안프레임워크, 그리고 한정된 보안인력이란 한계로 인해 TMS/IPS(Threat Management System/Intrusion Prevention System) 중심의 초보적인 수준의 관제체계로 운영되고 있다는 점을 들 수 있다. 둘째, 전체 탐지 규칙(룰)들 중 중요한 탐지 이벤트의 20~30%만을 대상으로 단편적인 침해에 대응하는 관제형태에 머물러 있다는 점이다. 셋째, SLA(Service Level Agrement)기준이 복잡해짐에 따라 과중한 보안업무 증가로 심층 분석에 필요한 여력이 부족한 실정이다.
또한 보안 오케스트레이션 서비스 모델을 통해 체계화된 자동 업무 프로세스로 건 by 건 경보 중심의 단편적이고, 단순 반복적인 침해대응 업무를 자동화하여 나무가 아닌 숲 전체를 볼 수 있는 심층적인 분석 대응 업무를 할 수 있게 되었다. 또한 관제 업무 프로세서가 솔루션에 적용이 되어 관제요원 교체 시 업무 공백을 최소화할 수 있다.
이는 지능형 탐지 전략의 자동 대응 프로세서에서도동일한 효과를 얻을 수 있다. 알려진 공격의 대표적 규칙인 IPS의 SQL Injection 이벤트가 AI 지도학습 판단 후 SIEM에서 탐지시간부터 침해사고 처리 완료까지 평균 1분 정도 소요됨을 확인할 수 있다.
이는 적응형 탐지 전략의 자동대응 프로세서에서 이 부분을 해결할 수가 있다. 위협 인사이트 IP와 일치하는 유해 목적지IP에 대해 자동 침해사고 이력처리 후 방화벽 자동 차단까지 평균 1분 정도 시간이 소요되었다. 관제 요원이 다른 업무나 침해사고 이력처리 중이라도 프로세서에 의해 자동으로 처리가 되었기 때문이다.
본 논문에서는 체계적인 사이버 보안 프레임워크 기반의 보안 오케스트레이션 서비스 모델 구현 방안을 제안하였다. 즉, 제안된 모델에 체계화된 자동 업무 프로세스 확립을 통해서 침해사고 대응 자동화를 이루어 신속한 침해사고처리가 가능함을 보였다.
이러한 당면 사이버 보안관제 문제점을 다음과 같이 다섯 가지로 요약할 수 있다. 첫째, 문서 중심의 보안프레임워크, 그리고 한정된 보안인력이란 한계로 인해 TMS/IPS(Threat Management System/Intrusion Prevention System) 중심의 초보적인 수준의 관제체계로 운영되고 있다는 점을 들 수 있다. 둘째, 전체 탐지 규칙(룰)들 중 중요한 탐지 이벤트의 20~30%만을 대상으로 단편적인 침해에 대응하는 관제형태에 머물러 있다는 점이다.
후속연구
또한 관제 업무 프로세서가 솔루션에 적용이 되어 관제요원 교체 시 업무 공백을 최소화할 수 있다. 그러나 본 논문에서는 한 기업의 솔루션 중심으로 자동화가 구현된 한계점은 있다. 또한 관제팀의 업무 프로세스에 대한 변화도 필요하다.
향후 연구 과제로는 보안 오케스트레이션 서비스 모델에 최적화된 공격 유형별 위협헌팅 전략과 직접 및 자동화 대응 프로세서별 상세 정책 개발에 관한 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
사이버보안 프레임워크란 무엇인가?
사이버보안 프레임워크란 조직의 사이버 보안체계 강화를 목적으로 보안정책과 절차들로 정의된 틀이다. 이를 통해서 전문보안 전담인력을 중심으로 모든 사람들이 공통으로 공유할 수 있는 보안업무 기준 프로세스 정의하고, 정의된 프로세스를 처리하는 각종 보안 장비들도 정의된다.
사이버 보안관제 문제점은 어떤것들이 있는가?
이러한 당면 사이버 보안관제 문제점을 다음과 같이 다섯 가지로 요약할 수 있다. 첫째, 문서 중심의 보안프레임워크, 그리고 한정된 보안인력이란 한계로 인해 TMS/IPS(Threat Management System/Intrusion Prevention System) 중심의 초보적인 수준의 관제체계로 운영되고 있다는 점을 들 수 있다. 둘째, 전체 탐지 규칙(룰)들 중 중요한 탐지 이벤트의 20~30%만을 대상으로 단편적인 침해에 대응하는 관제형태에 머물러 있다는 점이다. 셋째, SLA(Service Level Agrement)기준이 복잡해짐에 따라 과중한 보안업무 증가로 심층 분석에 필요한 여력이 부족한 실정이다. 넷째, 침해대응 시 단순 반복적인 침해사고 이력처리 업무로 인해 분석시간 보다 이력 입력 시간에 더 많은 시간을 소비하고 있다. 다섯째, 보안관제 요원들의 기술능력 편차로 인해 같은 공격을 다른 공격으로 판단하는 경우도 종종 발생하기도 한다.
참고문헌 (8)
NIST, "Framework for Improving Critical Infrastructure Cybersecurity Version 1.1", 2018.4.16.
https://www.i-privacy.kr, NIST의 사이버 보안 프레임워크 주요내용 분석
www.igloosec.com,
www.gartner.com
엄진국, SIEM을 이용한 침해사고 탐지방법 모델 제안, 고려대학교 정보보호대학원, 석사학위논문, 2016.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.