사이버 킬체인 (Cyber Kill Chain)은 기존의 군사적 용어인 킬체인 (Kill Chain)에서 유래한다. 킬체인은 "파괴를 요구하는 군사 표적을 탐지하는 것에서 파괴하는 것까지의 연속적이고 순환적인 처리 과정 또는 그것을 몇 개의 구분된 행위로 나눈 것"을 의미한다. 킬체인은 핵무기나 미사일과 같이 위치가 변화하고 위험성이 커서 즉각적인 대응을 요구하는 시한성 긴급 표적을 효과적으로 다루기 위해 기존의 작전절차를 발전시켰으며, 방어자가 파괴를 필요로 하는 핵무기나 미사일이 타격점에 도달하기까지의 여러 과정 중 한 단계라도 제 기능을 발휘하지 못하게 하여 공격자가 의도한 목적을 달성하지 못하도록 무력화하는 군사적 개념에서 시작되었다고 볼 수 있다. 이러한 사이버 킬체인의 기본 개념은 사이버 공격자가 수행하는 공격은 각 단계로 구성되어 있으며, 사이버 공격자는 각 단계가 성공적으로 수행되어야 공격 목표를 달성할 수 있으며, 이를 방어 관점에서 보았을 때 각 단계에서 세부적으로 대응 절차를 마련하여 대응하면 공격의 체인 (chain)이 끊어지므로 공격자의 공격을 무력화하거나 지연시킬 수 있다고 본다. 또한 공격 관점에서 보았을 때 각 단계에서 구체적인 대응 절차를 마련하면 공격의 체인이 성공하여 공격대상을 무력화시킬수 있다. 사이버 지휘통제체계는 방어와 공격에 모두 적용되는 체계로 방어시 적의 킬체인을 무력화하기 위한 방어 대응 방안을 제시하여야 하며 공격시에는 적을 무력화하기 위한 각 단계별 구체적인 절차를 제시하여야 한다. 따라서 본 논문은 사이버 지휘통제체계의 방어 및 공격 관점의 사이버 킬체인 모델을 제안하였으며, 또한 방어 측면의 사이버 지휘통제제계의 위협 분류/분석/예측 프레임워크를 제시하였다.
사이버 킬체인 (Cyber Kill Chain)은 기존의 군사적 용어인 킬체인 (Kill Chain)에서 유래한다. 킬체인은 "파괴를 요구하는 군사 표적을 탐지하는 것에서 파괴하는 것까지의 연속적이고 순환적인 처리 과정 또는 그것을 몇 개의 구분된 행위로 나눈 것"을 의미한다. 킬체인은 핵무기나 미사일과 같이 위치가 변화하고 위험성이 커서 즉각적인 대응을 요구하는 시한성 긴급 표적을 효과적으로 다루기 위해 기존의 작전절차를 발전시켰으며, 방어자가 파괴를 필요로 하는 핵무기나 미사일이 타격점에 도달하기까지의 여러 과정 중 한 단계라도 제 기능을 발휘하지 못하게 하여 공격자가 의도한 목적을 달성하지 못하도록 무력화하는 군사적 개념에서 시작되었다고 볼 수 있다. 이러한 사이버 킬체인의 기본 개념은 사이버 공격자가 수행하는 공격은 각 단계로 구성되어 있으며, 사이버 공격자는 각 단계가 성공적으로 수행되어야 공격 목표를 달성할 수 있으며, 이를 방어 관점에서 보았을 때 각 단계에서 세부적으로 대응 절차를 마련하여 대응하면 공격의 체인 (chain)이 끊어지므로 공격자의 공격을 무력화하거나 지연시킬 수 있다고 본다. 또한 공격 관점에서 보았을 때 각 단계에서 구체적인 대응 절차를 마련하면 공격의 체인이 성공하여 공격대상을 무력화시킬수 있다. 사이버 지휘통제체계는 방어와 공격에 모두 적용되는 체계로 방어시 적의 킬체인을 무력화하기 위한 방어 대응 방안을 제시하여야 하며 공격시에는 적을 무력화하기 위한 각 단계별 구체적인 절차를 제시하여야 한다. 따라서 본 논문은 사이버 지휘통제체계의 방어 및 공격 관점의 사이버 킬체인 모델을 제안하였으며, 또한 방어 측면의 사이버 지휘통제제계의 위협 분류/분석/예측 프레임워크를 제시하였다.
Cyber Kill Chain is derived from Kill chain of traditional military terms. Kill chain means "a continuous and cyclical process from detection to destruction of military targets requiring destruction, or dividing it into several distinct actions." The kill chain has evolved the existing operational p...
Cyber Kill Chain is derived from Kill chain of traditional military terms. Kill chain means "a continuous and cyclical process from detection to destruction of military targets requiring destruction, or dividing it into several distinct actions." The kill chain has evolved the existing operational procedures to effectively deal with time-limited emergency targets that require immediate response due to changes in location and increased risk, such as nuclear weapons and missiles. It began with the military concept of incapacitating the attacker's intended purpose by preventing it from functioning at any one stage of the process of reaching it. Thus the basic concept of the cyber kill chain is that the attack performed by a cyber attacker consists of each stage, and the cyber attacker can achieve the attack goal only when each stage is successfully performed, and from a defense point of view, each stage is detailed. It is believed that if a response procedure is prepared and responded, the chain of attacks is broken, and the attack of the attacker can be neutralized or delayed. Also, from the point of view of an attack, if a specific response procedure is prepared at each stage, the chain of attacks can be successful and the target of the attack can be neutralized. The cyber command and control system is a system that is applied to both defense and attack, and should present defensive countermeasures and offensive countermeasures to neutralize the enemy's kill chain during defense, and each step-by-step procedure to neutralize the enemy when attacking. Therefore, thist paper proposed a cyber kill chain model from the perspective of defense and attack of the cyber command and control system, and also researched and presented the threat classification/analysis/prediction framework of the cyber command and control system from the defense aspect
Cyber Kill Chain is derived from Kill chain of traditional military terms. Kill chain means "a continuous and cyclical process from detection to destruction of military targets requiring destruction, or dividing it into several distinct actions." The kill chain has evolved the existing operational procedures to effectively deal with time-limited emergency targets that require immediate response due to changes in location and increased risk, such as nuclear weapons and missiles. It began with the military concept of incapacitating the attacker's intended purpose by preventing it from functioning at any one stage of the process of reaching it. Thus the basic concept of the cyber kill chain is that the attack performed by a cyber attacker consists of each stage, and the cyber attacker can achieve the attack goal only when each stage is successfully performed, and from a defense point of view, each stage is detailed. It is believed that if a response procedure is prepared and responded, the chain of attacks is broken, and the attack of the attacker can be neutralized or delayed. Also, from the point of view of an attack, if a specific response procedure is prepared at each stage, the chain of attacks can be successful and the target of the attack can be neutralized. The cyber command and control system is a system that is applied to both defense and attack, and should present defensive countermeasures and offensive countermeasures to neutralize the enemy's kill chain during defense, and each step-by-step procedure to neutralize the enemy when attacking. Therefore, thist paper proposed a cyber kill chain model from the perspective of defense and attack of the cyber command and control system, and also researched and presented the threat classification/analysis/prediction framework of the cyber command and control system from the defense aspect
본 논문에서는 우리 군의 사이버 지휘통제체계의 방어와 공격을 위한 사이버 킬체인 모델을 제안하고 이를 기반으로 한 방어 관점의 위협 분류체계를 제안하였다. 이를 위하여 기존의 다양한 사이버 킬체인 모델을 비교분석하고 그들이 가지는 한계를 살펴보았다.
본 연구의 목적은 사이버 지휘통제체계의 개발 방향을 체계화 하기 위한 것으로 연구 아이디어는 우리 군의 사이버 지휘통제체계의 방어와 공격을 위한 사이버 킬체인 모델을 제안하고 이를 기반으로 한 방어 관점의 위협분류체계를 제안하였다. 또한 본 연구는 우리군의 사이버 지휘통제체계 개발의 구체적인 방향과 구조의 체계화에 기여할 것으로 판단된다.
제안 방법
기존의 사이버 킬체인 모델을 보완하고, 방어적 모델에서는 사이버 위협을 식별하는 방어 관점에서 공격자가 수행하는 공격 패턴을 사이버 킬체인이라는 공격자의 공격 모델을 방어 관점에서 수정하였으며, 공세적 모델에서는 공격 관점에서 허니팟 및 유인시스템을 활용한 공격 패턴을 기존 록히드 마틴 공세적 모델에서 수정하였다.
또한 사이버 킬체인 모델에 적용하기 위한 알려진 사이버 위협 분류체계로 MITRE 社의 CAPEC과 ATT&CK을 이용하였으며 위협 분류체계를 정립하면서, 현재 발생하고 있는 사이버 위협은 사이버 킬체인 개념과 모델에 적용할 수 있음을 확인할 수 있었다. 또한 전문가의 지식에 전적으로 의존하지 않고 자동으로 사이버 위협 시나리오를 분석하고(킬체인 분석), 그 결과를 바탕으로 다음 위협 유형을 예측하는 시스템을 제안하였다. 이를 위하여 시나리오분석 및 위협 예측을 위한 경보 상관분석 분야에 대한 관련 연구를 분석하였다.
사이버 킬체인 모델을 기반으로 한 사이버 지휘 통제체계 실시간 의사결정지원의 방어를 위한 위협 분류체계, 위협 분석 및 위협예측 프레임워크는 그림 6과 같으며, 공격을 위한 프레임워크는 이슈사항으로 본 논문에서는 제외하고 공격 모델만을 제안하였다.
이러한 알고리즘을 연구하고 검증하기 위한 데이터셋을 개발하기 위해, 현재 군에서 운용하고 있는 네트워크 환경을 모의한 테스트베드를 구축하고, MITRE ATT&CK을 반영한 모의침투 시나리오를 설계하고 수행하여 각 보안 센서에서 위협 경보를 생성하고자 한다
본 논문에서는 우리 군의 사이버 지휘통제체계의 방어와 공격을 위한 사이버 킬체인 모델을 제안하고 이를 기반으로 한 방어 관점의 위협 분류체계를 제안하였다. 이를 위하여 기존의 다양한 사이버 킬체인 모델을 비교분석하고 그들이 가지는 한계를 살펴보았다. 또한 사이버 킬체인 모델에 적용하기 위한 알려진 사이버 위협 분류체계로 MITRE 社의 CAPEC과 ATT&CK을 이용하였으며 위협 분류체계를 정립하면서, 현재 발생하고 있는 사이버 위협은 사이버 킬체인 개념과 모델에 적용할 수 있음을 확인할 수 있었다.
또한 전문가의 지식에 전적으로 의존하지 않고 자동으로 사이버 위협 시나리오를 분석하고(킬체인 분석), 그 결과를 바탕으로 다음 위협 유형을 예측하는 시스템을 제안하였다. 이를 위하여 시나리오분석 및 위협 예측을 위한 경보 상관분석 분야에 대한 관련 연구를 분석하였다. 관련 연구들은 대부분 전문가의 지식이 전적으로 요구되며, 실시간으로 수집되는 위협경보에 대한 온라인 분석보다는 데이터베이스에 저장된 주어진 데이터에 대한 오프라인 분석에 초점을 두고 있다는 점에서 한계를 보인다.
관련 연구들은 대부분 전문가의 지식이 전적으로 요구되며, 실시간으로 수집되는 위협경보에 대한 온라인 분석보다는 데이터베이스에 저장된 주어진 데이터에 대한 오프라인 분석에 초점을 두고 있다는 점에서 한계를 보인다. 제안 시스템에서는 기존의 전문가 지식을 보완하기 위해, 이미 생성된 위협 경보 데이터를 이용하여 베이지안 네트워크를 활용한 알고리즘으로 위협 관계정보를 구축하는 방안을 제안하였다.
데이터처리
룰셋 기반 위협 이벤트 상관분석 기능에서는 위협 이벤트를 이용하여 위협을 분석하기 위한 룰셋(rule set)을기반으로 SIEM에서 상관분석을 수행한다. 그 결과 보다 높은 수준(high level)의 정보를 포함하는 위협분석 경보(alerts)를 생성한다.
위협 관계정보 분석을 통해 생성된 위협 관계정보 모델을 이용하여, 룰셋 기반 위협 이벤트 상관분석에 의해 실시간으로 생성된 위협분석 경보에 대해 다음 단계에 올 수 있는 가장 설득력 있는 위협 유형과 관련 속성을 예측한다. 이는 위의 그림과 같은 기능 흐름을 통해 수행된다.
위협분석 경보 생성은 실제 룰셋(rule set)을 기반으로 SIEM에서 위협 이벤트 간에 상관분석을 수행하고, 그 결과로 위협분석 경보를 생성한다. 생성된 위협분석 경보는 데이터베이스에 저장되고, 위협분석 경보가 필요한 다른 기능에 전달된다.
킬체인 분석은 룰셋 기반 위협 이벤트 상관분석에서 위협 이벤트 간 상관분석을 통해 생성된 위협분석 경보에 대해, 과거에 일어났을 것으로 가장 설득력 있는 위협 시나리오를 실시간으로 분석한다.
성능/효과
또한 사이버 킬체인 모델에 적용하기 위한 알려진 사이버 위협 분류체계로 MITRE 社의 CAPEC과 ATT&CK을 이용하였으며 위협 분류체계를 정립하면서, 현재 발생하고 있는 사이버 위협은 사이버 킬체인 개념과 모델에 적용할 수 있음을 확인할 수 있었다
후속연구
이를 위하여 시나리오분석 및 위협 예측을 위한 경보 상관분석 분야에 대한 관련 연구를 분석하였다. 관련 연구들은 대부분 전문가의 지식이 전적으로 요구되며, 실시간으로 수집되는 위협경보에 대한 온라인 분석보다는 데이터베이스에 저장된 주어진 데이터에 대한 오프라인 분석에 초점을 두고 있다는 점에서 한계를 보인다. 제안 시스템에서는 기존의 전문가 지식을 보완하기 위해, 이미 생성된 위협 경보 데이터를 이용하여 베이지안 네트워크를 활용한 알고리즘으로 위협 관계정보를 구축하는 방안을 제안하였다.
따라서 향후 연구에서는 사이버 킬체인 모델을 보다 정교화하고, 사이버 킬체인 모델을 구성하는 각 공격 단계에 대한 전체적인 공격 기술을 (재)분류하고, 이에 대한 대응 방안이 사전에 마련된 프레임워크를 정립할 필요가 있으며, 이를 우리 군의 사이버 지휘통제체계 의사결정 지원에도 반영함으로써 보다 체계화된 사이버 작전을 수행할 수 있을 것으로 기대한다.
이러한 알고리즘을 연구하고 검증하기 위한 데이터셋을 개발하기 위해, 현재 군에서 운용하고 있는 네트워크 환경을 모의한 테스트베드를 구축하고, MITRE ATT&CK을 반영한 모의침투 시나리오를 설계하고 수행하여 각 보안 센서에서 위협 경보를 생성하고자 한다. 또한 데이터셋을 통하여 알고리즘을 평가하는 지표를 결정하여 개발하고자 하는 시스템이 얼마나 잘 분석하는지를 평가할 필요가 있다.
본 연구의 목적은 사이버 지휘통제체계의 개발 방향을 체계화 하기 위한 것으로 연구 아이디어는 우리 군의 사이버 지휘통제체계의 방어와 공격을 위한 사이버 킬체인 모델을 제안하고 이를 기반으로 한 방어 관점의 위협분류체계를 제안하였다. 또한 본 연구는 우리군의 사이버 지휘통제체계 개발의 구체적인 방향과 구조의 체계화에 기여할 것으로 판단된다.
본 논문에서 제안한 연구 수준은 시스템 및 각 구성요소를 식별한 수준이며 향후 각 구성요소, 구체적으로는 위협 관계정보 분석 기능에서 실제로 위협 관계정보를 생성하고 업데이트하기 위한 알고리즘, 위협 관계정보를 이용하여 실시간으로 수집되는 위협 경보에 대해서 위협시나리오를 분석하고 다음 위협 단계를 예측하기 위해 필요한 구체적인 알고리즘에 대한 연구를 진행할 예정이다. 이러한 알고리즘을 연구하고 검증하기 위한 데이터셋을 개발하기 위해, 현재 군에서 운용하고 있는 네트워크 환경을 모의한 테스트베드를 구축하고, MITRE ATT&CK을 반영한 모의침투 시나리오를 설계하고 수행하여 각 보안 센서에서 위협 경보를 생성하고자 한다.
Sung-young Cho, Insung Han, Hyunsook Jeong, Sungmo Koo, Moosung Park, "Killchain model and cyber threat classification for cyber situational awareness", CISC-S , pp.149-153, 2017.
Sungyoung Cho, Insung Han, Hyunsook Jeong, Jinsoo Kim, Sungmo Koo, Haengrok Oh and Moosung Park, "Cyber Kill Chain based Threat Taxonomy and its Application on Cyber Common Operational Picture", Cyber Situational Awareness, Data Analytics and Assessment (Cyber SA 2018), 2018 International Conference on. IEEE, pp 1-8. 2018. https://doi.org/10.1109/CyberSA.2018.8551383
Bryan Harris, Eli Konikoff, and Phillip Petersen, "Breaking the DDoS attack chain", Institute for Software Research, 2013.
Dongho Kang and Jungchan Na, "A rule based event correlation approach for physical and logical security convergence", IJCSNS, 12(1), pp.28, 2012. http://paper.ijcsns.org/07_book/201201/20120104.pdf
Bin Zhu and Ali A. Ghorbani, "Alert correlation for extracting attack strategies", IJ Network Security, vol.3, no.3, pp.244-258, 2006. http://ijns.jalaxy.com.tw/contents/ijns-v3-n3/ijns-2006-v3-n3-p244-258.pdf
Tarun Yadav and Arvind Mallari Rao, "Technical aspects of cyber kill chain", International Symposium on Security in Computing and Communication, pp.438-452, Springer, 2015. https://arxiv.org/pdf/1606.03184.pdf
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), https://attack.mitre.org/wiki/Main_Page
Ali Ahmadian Ramaki and Abbas Rasoolzadegan, "Causal knowledge analysis for detecting and modeling multi-step attacks", Security and Communication Networks, 9(18), pp.6042-6065, Wiley Online Library, 2016. https://doi.org/10.1002/sec.1756|
Chih-Hung Wang and Ye-Chen Chiou, "Alert correlation system with automatic extraction of attack strategies by using dynamic feature weights", International Journal of Computer and Communication Engineering, 5(1), pp.1, IACSIT Press, 2016. https://doi.org/10.17706/IJCCE.2016.5.1.1-10
※ AI-Helper는 부적절한 답변을 할 수 있습니다.