[논문]다중 검색엔진을 활용한 보안관제 모델 개선방안

이제국; 조인준

doi:10.5392/jkca.2021.21.01.284

다중 검색엔진을 활용한 보안관제 모델 개선방안
Improvement Mechanism of Security Monitoring and Control Model Using Multiple Search Engines 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.21 no.1, 2021년, pp.284 - 291

이제국 (배재대학교대학원 사이버보안학과) , 조인준 (배재대학교대학원 사이버보안학과)

초록
AI-Helper

현재 보안관제 시스템은 공격자의 공격 후 대응만을 위한 수동적인 시스템으로 운용됨에 따라 공격 발생 이후 침해사고 대응이 일반적이다. 특히, 신규 자산 추가 및 실제 서비스가 이루어지는 경우 실제 해커의 관점에서 취약점 테스트 및 사전 방어에 한계가 있다. 본 논문에서는 해킹 관련 다중 검색엔진을 활용하여 보호 자산의 사전 취약점 대응 기능을 추가한 보안관제 모델을 새롭게 제안하였다. 즉, 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여 보호 대상 자산의 특수한 취약점을 사전에 점검하고, 점검결과로 나타난 자산의 취약점을 사전에 제거하도록 하였다. 그리고 실제 해커의 입장에서 인지되는 보호 자산의 객관적인 공격 취약점을 미리 점검하는 기능, IP 대역에 위치한 광범위한 시스템 관련 취약점을 사전에 발굴하여 제거하는 기능 등을 추가로 제시하였다.

Abstract ▼ AI-Helper

As the current security monitoring system is operated as a passive system only for response after an attacker's attack, it is common to respond to intrusion incidents after an attack occurs. In particular, when new assets are added and actual services are performed, there is a limit to vulnerability testing and pre-defense from the point of view of an actual hacker. In this paper, a new security monitoring model has been proposed that uses multiple hacking-related search engines to add proactive vulnerability response functions of protected assets. In other words, using multiple search engines with general purpose or special purpose, special vulnerabilities of the assets to be protected are checked in advance, and the vulnerabilities of the assets that have appeared as a result of the check are removed in advance. In addition, the function of pre-checking the objective attack vulnerabilities of the protected assets recognized from the point of view of the actual hacker, and the function of discovering and removing a wide range of system-related vulnerabilities located in the IP band in advance were additionally presented.

주제어

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 기존 보안관제 프로세스에서의 수동적인 대응과 취약점 분석을 진행하는 과정에서 발생하는 한계를 해결하는 방안을 제시하였다. 물론 다중 검색엔진에서 검색된 배너 데이터를 분석하는 능력에 따라 인지 가능한 취약점 영역이 다소 편차가 있다는 점.
표준화된 취약점 진단 항목의 불완전함을 보완하기 위해 보안관제요원의 비정기 수시진단이 가능해야 하기 때문이다. 본 논문에서는 이러한 문제점을 개선하기 위한 방안을 제시하였다. 보안관제요원이 실제 해커들이 이용하는 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여, 보호가 필요한 IT 자산을 대상으로 사전취약점을 진단한다.
즉, 공격자의 관점에서 취약점 진단을 시도하고 규정되어 있지 않은 취약점을 탐지·대응· 예방조치 한다. 이러한 방식으로 개선된 사이버 공격 대응 체계를 수립할 수 있는 보안관제 모델을 제안하였다.
이는 수동적인 관제행위로 정형적인 취약점 분석 항목에 포함되지 않은 취약점에 대해서는 예방하지 못하는 단점을 지닌다. 이를 해결하고자 본 논문에서는 다중 검색엔진을 활용한 취약점 진단을 추가하여 기존 취약점 진단이 가지는 문제점을 능동적으로 보완하려 한다. 즉, 보안관제 요원의 개선된 취약점 예방행위를 추가하여 자산의 취약점을 사전에 제거하고, 앞으로의 공격 가능성도 미리 방지하도록 보다 강화된 점검 프로세스를 제안하였다.

가설 설정

첫째, 적은 시간 안에 많은 시스템 점검이 가능해야 한다. 국내 여건상 소수의 인원이 많은 시스템을 관리하는 경우가 대부분이기 때문이다.

제안 방법

이때 피해 시스템의 네트워크 로그, 보안시스템 로그를 포함 시켜 일괄 검사한다. 또한, 보안취약점에 대한 특징 및 패킷 샘플링, 시스템 위협분석, 시스템 피해 확산 및 영향도 분석 등의 프로세스를 동시에 진행한다. 이후 신속하게 순차적 취약점 제거를 수행하여 보안성을 크게 강화할 수 있다.
본 논문에서는 이러한 문제점을 개선하기 위한 방안을 제시하였다. 보안관제요원이 실제 해커들이 이용하는 범용 또는 특수한 목적을 지닌 다중의 검색엔진을 이용하여, 보호가 필요한 IT 자산을 대상으로 사전취약점을 진단한다. 그리고 그 자산의 취약점을 사전에 제거하는 방안이다.
둘째, 수집한 배너 정보 정밀 분석 후 대상별 취약점을 목록화한다. 셋째, IT 자산 중요도에 따라 취약점 제거 우선순위 대상을 선정하고 위험도가 높은 취약점부터 보완한다. 넷째, 취약점 보완과 동시에 다중검색엔진으로 탐지된 위험도가 높은 취약점(CVE 등) 의보안장비 탐지정책을 신속히 추가한다.
제안한 기본 아이디어는 관제대상이 되는 IP, PORT 등에 대해 정보 수집에 필요한 점검 질의목록을 사전에 작성한 후 다중 검색엔진을 활용한 점검과 더불어 기존의 취약점 점검과 병행한다.
이를 해결하고자 본 논문에서는 다중 검색엔진을 활용한 취약점 진단을 추가하여 기존 취약점 진단이 가지는 문제점을 능동적으로 보완하려 한다. 즉, 보안관제 요원의 개선된 취약점 예방행위를 추가하여 자산의 취약점을 사전에 제거하고, 앞으로의 공격 가능성도 미리 방지하도록 보다 강화된 점검 프로세스를 제안하였다.
[그림 1]의 제안 프로세스 구성도를 기준으로 보안취약점 점검 및 분석 절차를 간략히 설명하면 다음과 같다. 첫째, 진단대상 IP 주소영역 범위를 되도록 전체로 설정한 다음 다중 검색엔진을 이용하여 취약점 정보를 취합한다. 둘째, 수집한 배너 정보 정밀 분석 후 대상별 취약점을 목록화한다.

성능/효과

이를 통해서 보다 강화된 보안취약점을 제거할 수 있고, 유사 유형 공격에 대해 사전에 대비할 수 있도록 보안시스템 탐지규칙을 제작 및 우선 적용할 수 있다. 결과적으로 제안모델은 내부 전산 인프라의 보안성 및 안전성 제고에 상당히 긍정적 영향을 미칠 수 있다. 이와 동시에 기존의 보안관제 인력의 역할이 더욱 더 중요해짐에 따라 보안관제 인력의 위치가 견고해지고 기존의 보안관제 프로세스를 획기적으로 개선할 수 있음을 보였다.
둘째, 다중 검색엔진 활용 시 비교적 간단한 선수지식으로 적은 시간을 할애하여 점검이 이루어진다. 따라서 편의성 측면에서도 우수함을 알 수 있다.
또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다. 따라서 보안관제 보안취약점 점검업무 수행 시 공격자의 관점에서 점검대상 분석을 쉽게 하고 효율적인 대응을 할 수 있도록 한다. 특히, 취약점이 많은 시스템에 대한 비정상 행위추적 프로세스 적용으로 최소한의 보안 위협을 목표로 하였다.
하지만 제안모델은 기존 방식과 달리, 다양한 유형의 취약점 항목에 대해 기구축된 다중 검색엔진을 통해 신속하게 점검할 수 있다. 또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다. 따라서 보안관제 보안취약점 점검업무 수행 시 공격자의 관점에서 점검대상 분석을 쉽게 하고 효율적인 대응을 할 수 있도록 한다.
상기와 같이 요약된 비교내용에서 보듯이 제안 보안관제 모델은 기존 취약점 점검의 불완전한 부분을 보완하였다. 특히 관제센터 요원 또는 보안관리자가 사전에 제안 프로세스[그림 1][그림 2]를 통해 정기적으로 보안관제 대상의 취약점을 발굴/인지할 수 있는 특징을 들 수 있다.
셋째, 다중 검색엔진 활용 취약점 점검 진행 시, 일반적인 애플리케이션 취약점 점검에서 발견되지 않는 다양한 치명적 취약점 진단이 가능하다. 이는 기존의 수동 보안 진단의 한계를 보완할 수 있는 장점으로 볼 수 있다.
결과적으로 제안모델은 내부 전산 인프라의 보안성 및 안전성 제고에 상당히 긍정적 영향을 미칠 수 있다. 이와 동시에 기존의 보안관제 인력의 역할이 더욱 더 중요해짐에 따라 보안관제 인력의 위치가 견고해지고 기존의 보안관제 프로세스를 획기적으로 개선할 수 있음을 보였다.
따라서 특수한 유형의 공격에 대한 대비도 사전에 할 수 있는 장점이 있다. 즉, 경제성과 신속성, 효율성, 활용도, 예방적 보안 측면에서 기존의 방식보다 장점이 있다. 따라서 제안모델은 보안관제 취약점 진단업무 수행 시 기존 취약점 진단의 불완전한 요소들을 효과적으로 보완할 수 있는 대안으로 활용 가능할 것으로 사료된다.
첫째, 제안모델은 점검항목의 다양성과 점검대상의 확장에 용이하다. 기존 보안관제모델의 취약점 점검의 경우 점검항목 및 진단대상의 확장이 제한적이다.
그리고 취약점 검색을 위해 검색엔진을 각각 이용해야 한다는 점은 앞으로 개선해야 할 부분이다. 하지만 제안모델은 기존 방식과 달리, 다양한 유형의 취약점 항목에 대해 기구축된 다중 검색엔진을 통해 신속하게 점검할 수 있다. 또한, 점검대상 범위의 확장성이 좋고 동시 점검 수행이 가능하며, 누구에게나 익숙한 방식의 검색형 취약점 점검 수행이 가능하다.

후속연구

즉, 경제성과 신속성, 효율성, 활용도, 예방적 보안 측면에서 기존의 방식보다 장점이 있다. 따라서 제안모델은 보안관제 취약점 진단업무 수행 시 기존 취약점 진단의 불완전한 요소들을 효과적으로 보완할 수 있는 대안으로 활용 가능할 것으로 사료된다.
향후 연구 방향으로 본 논문에서 언급한 다중 검색엔진 활용 취약점 점검을 하나의 플랫폼에서 자동화할 방안을 연구해야 할 것이다.

참고문헌 (10)

과학기술정보통신부, 한국정보보호산업협회, 2019 정보보호 실태조사, pp.33-34, 2020.
김영진, 이수연, 권헌영, 임종인, "국가 전산망 보안관제업무의 효율적 수행방안에 관한 연구," 한국정보보호학회 논문지, 제19권, 제1호, pp.103-111, 2009.
조이든, 박수진, 강남희, "사물인터넷의 경량 IP 카메라 취약점을 이용한 해킹 공격 및 대응 방안," 한국디지털콘텐츠학회 논문지, 제20권, 제5호, pp.1069-1077, 2019.
R. Bodenheim, J. Butts, S. Dunlap, and B. Mullins, "Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices," International Journal of Critical Infrastructure Protection, Vol.7, No.2, pp.114-123, 2014.

상세보기
행정안전부, 웹 취약점 표준 점검 항목, p.1, 2019.
OWASP Top Ten Web Application Security Risks | OWASP. (2017). Retrieved from https://owasp.org/www-project-top-ten/
한규석, 김태규, 심신우, 전성구, 윤지원, "기계학습을 이용한 네트워크 전장정보 수집," 한국정보과학회 논문지, 제45권, 제10호, pp.1096-1103, 2018.
김민준, 김귀남, "데이터 마이닝 기반 보안관제 시스템," 한국융합보안학회 논문지, 제11권, 제6호, pp.3-8, 2011.
조창섭, 신용태, "보안관제 조직을 위한 사이버보안 프레임워크 개선에 관한 연구," 한국융합보안학회 논문지, 제19권, 제1호, pp.111-120, 2019.
이재헌, 이상진. "웹 서비스 특성 기반 효율적인 보안 관제 모델 연구," 한국정보보호학회 논문지, 제29권, 제1호, pp.175-185, 2019.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증