현재 보안관제 시스템은 공격자의 공격 후 대응만을 위한 수동적인 시스템으로 운용됨에 따라 공격 발생 이후 침해사고 대응이 일반적이다. 특히, 신규 자산 추가 및 실제 서비스가 이루어지는 경우 실제 해커의 관점에서 취약점 테스트 및 사전 방어에 한계가 있다. 본 논문에서는 해킹 관련 다중 검색엔진을 활용하여 보호 자산의 사전 취약점 대응 기능을 추가한 보안관제 모델을 새롭게 제안하였다. 즉, 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여 보호 대상 자산의 특수한 취약점을 사전에 점검하고, 점검결과로 나타난 자산의 취약점을 사전에 제거하도록 하였다. 그리고 실제 해커의 입장에서 인지되는 보호 자산의 객관적인 공격 취약점을 미리 점검하는 기능, IP 대역에 위치한 광범위한 시스템 관련 취약점을 사전에 발굴하여 제거하는 기능 등을 추가로 제시하였다.
현재 보안관제 시스템은 공격자의 공격 후 대응만을 위한 수동적인 시스템으로 운용됨에 따라 공격 발생 이후 침해사고 대응이 일반적이다. 특히, 신규 자산 추가 및 실제 서비스가 이루어지는 경우 실제 해커의 관점에서 취약점 테스트 및 사전 방어에 한계가 있다. 본 논문에서는 해킹 관련 다중 검색엔진을 활용하여 보호 자산의 사전 취약점 대응 기능을 추가한 보안관제 모델을 새롭게 제안하였다. 즉, 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여 보호 대상 자산의 특수한 취약점을 사전에 점검하고, 점검결과로 나타난 자산의 취약점을 사전에 제거하도록 하였다. 그리고 실제 해커의 입장에서 인지되는 보호 자산의 객관적인 공격 취약점을 미리 점검하는 기능, IP 대역에 위치한 광범위한 시스템 관련 취약점을 사전에 발굴하여 제거하는 기능 등을 추가로 제시하였다.
As the current security monitoring system is operated as a passive system only for response after an attacker's attack, it is common to respond to intrusion incidents after an attack occurs. In particular, when new assets are added and actual services are performed, there is a limit to vulnerability...
As the current security monitoring system is operated as a passive system only for response after an attacker's attack, it is common to respond to intrusion incidents after an attack occurs. In particular, when new assets are added and actual services are performed, there is a limit to vulnerability testing and pre-defense from the point of view of an actual hacker. In this paper, a new security monitoring model has been proposed that uses multiple hacking-related search engines to add proactive vulnerability response functions of protected assets. In other words, using multiple search engines with general purpose or special purpose, special vulnerabilities of the assets to be protected are checked in advance, and the vulnerabilities of the assets that have appeared as a result of the check are removed in advance. In addition, the function of pre-checking the objective attack vulnerabilities of the protected assets recognized from the point of view of the actual hacker, and the function of discovering and removing a wide range of system-related vulnerabilities located in the IP band in advance were additionally presented.
As the current security monitoring system is operated as a passive system only for response after an attacker's attack, it is common to respond to intrusion incidents after an attack occurs. In particular, when new assets are added and actual services are performed, there is a limit to vulnerability testing and pre-defense from the point of view of an actual hacker. In this paper, a new security monitoring model has been proposed that uses multiple hacking-related search engines to add proactive vulnerability response functions of protected assets. In other words, using multiple search engines with general purpose or special purpose, special vulnerabilities of the assets to be protected are checked in advance, and the vulnerabilities of the assets that have appeared as a result of the check are removed in advance. In addition, the function of pre-checking the objective attack vulnerabilities of the protected assets recognized from the point of view of the actual hacker, and the function of discovering and removing a wide range of system-related vulnerabilities located in the IP band in advance were additionally presented.
본 논문에서는 기존 보안관제 프로세스에서의 수동적인 대응과 취약점 분석을 진행하는 과정에서 발생하는 한계를 해결하는 방안을 제시하였다. 물론 다중 검색엔진에서 검색된 배너 데이터를 분석하는 능력에 따라 인지 가능한 취약점 영역이 다소 편차가 있다는 점.
표준화된 취약점 진단 항목의 불완전함을 보완하기 위해 보안관제요원의 비정기 수시진단이 가능해야 하기 때문이다. 본 논문에서는 이러한 문제점을 개선하기 위한 방안을 제시하였다. 보안관제요원이 실제 해커들이 이용하는 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여, 보호가 필요한 IT 자산을 대상으로 사전취약점을 진단한다.
즉, 공격자의 관점에서 취약점 진단을 시도하고 규정되어 있지 않은 취약점을 탐지·대응· 예방조치 한다. 이러한 방식으로 개선된 사이버 공격 대응 체계를 수립할 수 있는 보안관제 모델을 제안하였다.
이는 수동적인 관제행위로 정형적인 취약점 분석 항목에 포함되지 않은 취약점에 대해서는 예방하지 못하는 단점을 지닌다. 이를 해결하고자 본 논문에서는 다중 검색엔진을 활용한 취약점 진단을 추가하여 기존 취약점 진단이 가지는 문제점을 능동적으로 보완하려 한다. 즉, 보안관제 요원의 개선된 취약점 예방행위를 추가하여 자산의 취약점을 사전에 제거하고, 앞으로의 공격 가능성도 미리 방지하도록 보다 강화된 점검 프로세스를 제안하였다.
가설 설정
첫째, 적은 시간 안에 많은 시스템 점검이 가능해야 한다. 국내 여건상 소수의 인원이 많은 시스템을 관리하는 경우가 대부분이기 때문이다.
제안 방법
이때 피해 시스템의 네트워크 로그, 보안시스템 로그를 포함 시켜 일괄 검사한다. 또한, 보안취약점에 대한 특징 및 패킷 샘플링, 시스템 위협분석, 시스템 피해 확산 및 영향도 분석 등의 프로세스를 동시에 진행한다. 이후 신속하게 순차적 취약점 제거를 수행하여 보안성을 크게 강화할 수 있다.
본 논문에서는 이러한 문제점을 개선하기 위한 방안을 제시하였다. 보안관제요원이 실제 해커들이 이용하는 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여, 보호가 필요한 IT 자산을 대상으로 사전취약점을 진단한다. 그리고 그 자산의 취약점을 사전에 제거하는 방안이다.
둘째, 수집한 배너 정보 정밀 분석 후 대상별 취약점을 목록화한다. 셋째, IT 자산 중요도에 따라 취약점 제거 우선순위 대상을 선정하고 위험도가 높은 취약점부터 보완한다. 넷째, 취약점 보완과 동시에 다중검색엔진으로 탐지된 위험도가 높은 취약점(CVE 등) 의보안장비 탐지정책을 신속히 추가한다.
제안한 기본 아이디어는 관제대상이 되는 IP, PORT 등에 대해 정보 수집에 필요한 점검 질의목록을 사전에 작성한 후 다중 검색엔진을 활용한 점검과 더불어 기존의 취약점 점검과 병행한다.
이를 해결하고자 본 논문에서는 다중 검색엔진을 활용한 취약점 진단을 추가하여 기존 취약점 진단이 가지는 문제점을 능동적으로 보완하려 한다. 즉, 보안관제 요원의 개선된 취약점 예방행위를 추가하여 자산의 취약점을 사전에 제거하고, 앞으로의 공격 가능성도 미리 방지하도록 보다 강화된 점검 프로세스를 제안하였다.
[그림 1]의 제안 프로세스 구성도를 기준으로 보안취약점 점검 및 분석 절차를 간략히 설명하면 다음과 같다. 첫째, 진단대상 IP 주소영역 범위를 되도록 전체로 설정한 다음 다중 검색엔진을 이용하여 취약점 정보를 취합한다. 둘째, 수집한 배너 정보 정밀 분석 후 대상별 취약점을 목록화한다.
성능/효과
이를 통해서 보다 강화된 보안취약점을 제거할 수 있고, 유사 유형 공격에 대해 사전에 대비할 수 있도록 보안시스템 탐지규칙을 제작 및 우선 적용할 수 있다. 결과적으로 제안모델은 내부 전산 인프라의 보안성 및 안전성 제고에 상당히 긍정적 영향을 미칠 수 있다. 이와 동시에 기존의 보안관제 인력의 역할이 더욱 더 중요해짐에 따라 보안관제 인력의 위치가 견고해지고 기존의 보안관제 프로세스를 획기적으로 개선할 수 있음을 보였다.
둘째, 다중 검색엔진 활용 시 비교적 간단한 선수지식으로 적은 시간을 할애하여 점검이 이루어진다. 따라서 편의성 측면에서도 우수함을 알 수 있다.
또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다. 따라서 보안관제 보안취약점 점검업무 수행 시 공격자의 관점에서 점검대상 분석을 쉽게 하고 효율적인 대응을 할 수 있도록 한다. 특히, 취약점이 많은 시스템에 대한 비정상 행위추적 프로세스 적용으로 최소한의 보안 위협을 목표로 하였다.
하지만 제안모델은 기존 방식과 달리, 다양한 유형의 취약점 항목에 대해 기구축된 다중 검색엔진을 통해 신속하게 점검할 수 있다. 또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다. 따라서 보안관제 보안취약점 점검업무 수행 시 공격자의 관점에서 점검대상 분석을 쉽게 하고 효율적인 대응을 할 수 있도록 한다.
상기와 같이 요약된 비교내용에서 보듯이 제안 보안관제 모델은 기존 취약점 점검의 불완전한 부분을 보완하였다. 특히 관제센터 요원 또는 보안관리자가 사전에 제안 프로세스[그림 1][그림 2]를 통해 정기적으로 보안관제 대상의 취약점을 발굴/인지할 수 있는 특징을 들 수 있다.
셋째, 다중 검색엔진 활용 취약점 점검 진행 시, 일반적인 애플리케이션 취약점 점검에서 발견되지 않는 다양한 치명적 취약점 진단이 가능하다. 이는 기존의 수동 보안 진단의 한계를 보완할 수 있는 장점으로 볼 수 있다.
결과적으로 제안모델은 내부 전산 인프라의 보안성 및 안전성 제고에 상당히 긍정적 영향을 미칠 수 있다. 이와 동시에 기존의 보안관제 인력의 역할이 더욱 더 중요해짐에 따라 보안관제 인력의 위치가 견고해지고 기존의 보안관제 프로세스를 획기적으로 개선할 수 있음을 보였다.
따라서 특수한 유형의 공격에 대한 대비도 사전에 할 수 있는 장점이 있다. 즉, 경제성과 신속성, 효율성, 활용도, 예방적 보안 측면에서 기존의 방식보다 장점이 있다. 따라서 제안모델은 보안관제 취약점 진단업무 수행 시 기존 취약점 진단의 불완전한 요소들을 효과적으로 보완할 수 있는 대안으로 활용 가능할 것으로 사료된다.
첫째, 제안모델은 점검항목의 다양성과 점검대상의 확장에 용이하다. 기존 보안관제모델의 취약점 점검의 경우 점검항목 및 진단대상의 확장이 제한적이다.
그리고 취약점 검색을 위해 검색엔진을 각각 이용해야 한다는 점은 앞으로 개선해야 할 부분이다. 하지만 제안모델은 기존 방식과 달리, 다양한 유형의 취약점 항목에 대해 기구축된 다중 검색엔진을 통해 신속하게 점검할 수 있다. 또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다.
후속연구
즉, 경제성과 신속성, 효율성, 활용도, 예방적 보안 측면에서 기존의 방식보다 장점이 있다. 따라서 제안모델은 보안관제 취약점 진단업무 수행 시 기존 취약점 진단의 불완전한 요소들을 효과적으로 보완할 수 있는 대안으로 활용 가능할 것으로 사료된다.
향후 연구 방향으로 본 논문에서 언급한 다중 검색엔진 활용 취약점 점검을 하나의 플랫폼에서 자동화할 방안을 연구해야 할 것이다.
조이든, 박수진, 강남희, "사물인터넷의 경량 IP 카메라 취약점을 이용한 해킹 공격 및 대응 방안," 한국디지털콘텐츠학회 논문지, 제20권, 제5호, pp.1069-1077, 2019.
R. Bodenheim, J. Butts, S. Dunlap, and B. Mullins, "Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices," International Journal of Critical Infrastructure Protection, Vol.7, No.2, pp.114-123, 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.