[논문]공개 데이터를 활용한 제어시스템 취약점 분석 방안 연구

신미주; 윤성수; 엄익채

doi:10.13089/jkiisc.2022.32.2.243

공개 데이터를 활용한 제어시스템 취약점 분석 방안 연구
A Study on the Method of Vulnerability Analysis of Critical Infrastructure Facilities 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.32 no.2, 2022년, pp.243 - 253

신미주 (전남대학교) , 윤성수 (전남대학교) , 엄익채 (전남대학교)

초록
AI-Helper

최근 국가 기반시설에 대한 사이버 공격이 지속해서 발생하고 있다. 이에 따라 ICS-CERT 취약점이 작년보다 두 배 이상이 증가하는 등 원자력 시설 등의 산업제어시스템에 대한 취약점이 날로 증가하고 있다. 대부분의 제어시스템 운영자는 미국의 ICS-CERT에서 제공하는 산업제어시스템 취약점 정보원을 바탕으로 취약점 대응 방안을 수립한다. 그러나 ICS-CERT는 연관된 모든 취약점 정보를 포함하지 않으며, 국내 제조사 제품에 대한 취약점을 제공하지 않아 이를 국내 제어시스템 보안에 적용하기 어렵다. 따라서 본 연구에서는 CVE, CWE, ICS-CERT, CPE 등의 공개된 취약점 관련 정보를 활용하여 제어시스템의 자산에 존재 가능한 취약점을 발견하고 향후 발생 가능한 취약점을 예측할 수 있는 방안을 제안하며, 이를 국내 주요 제어시스템 정보에 적용해보았다.

Abstract ▼ AI-Helper

Recently, cyber attacks on national infrastructure facilities have continued to occur. As a result, the vulnerabilities of ICS-CERTs have more than doubled from last year, and the vulnerabilities to industrial control systems such as nuclear facilities are increasing day by day. Most control system operators formulate vulnerability countermeasures based on the vulnerability information sources of industrial control systems provided by ICS-CERT in the United States. However, it is difficult to apply this to the security of domestic control systems because ICS-CERT does not contain all relevant vulnerability information and does not provide vulnerabilities to domestic manufacturer's products. In this research, we will utilize publicly available vulnerability-related information such as CVE, CWE, ICS-CERT, and CPE to discover vulnerabilities that may exist in control system assets and may occur in the future. I proposed a plan that can predict possible vulnerabilities and applied it to information on major domestic control systems.

주제어

표/그림 (13)

표 Table 1. Data features of Vulnerability Information Sources in Related Studies
그림 Fig. 1. Vulnerability analysis workflow
그림 Fig. 2. Relationships between Database tables
그림 Fig. 4. Relevance between CPE and CVE
그림 Fig. 3. CPE URI format
그림 Fig. 5. Proposing vulnerability analysis process
표 Table 2. Vulnerability sources based on asset information. T is a type, V is a vendor of asset, M is a model name of asset, R is a version of model, U is an update information of asset. Vul Sources means which database the vulnerability exists in.
그림 Fig. 6. Number of ICS-CERT vulnerabilities by vendor
그림 Fig. 7. CWE distribution graph for Siemens products
표 Table 3. Vulnerability searching result for real assets in ICS (Because of the security of The Critical Infrastructure, Product name of the real assets were masked.)
표 Table 4. Vulnerability researching result by application information for fault assets in Table 3 (Because of the security of The Critical Infrastructure, Product name of the real assets were masked.)
그림 Fig. 8. CWE distribution Pie graph for Advantech, Siemens, Schneider products
그림 Fig. 9. Proposing vulnerability analysis process

AI 본문요약
AI-Helper

문제 정의

국내외 취약점 정보원을 통해서는 국내 제어시스 템에 사용되는 국내 제조사의 설비에 대한 취약점 파악이 쉽지 않아, 적합한 대응 체계를 수립하기에는 무리가 있다. 따라서 본 연구는 국내 제어시스템의 자산에 대한 취약점을 분석하고 예측할 수 있는 통합 취약점 분석 방안을 제안하고자 한다.

제안 방법

또한 기존 연구에 CPE와 CAPEC의 데이터를 추가하여 CPE 기반의 자산 식별 방법론과 자산에 대한 취약점 분석 방법론을 새롭게 제안한다. 또한 CWE를 사용하여 발견되지 않은 취약점에 대하여 예측 할 수 있는 방법론을 제안한다.
RJ 등[9]을 참고하여 ICS-CERT 권고, CVE, CWE 공개된 취약점 데이터를 반영하여 연관된 취약점 정보를 파악할 수 있도록 한다. 또한 기존 연구에 CPE와 CAPEC의 데이터를 추가하여 CPE 기반의 자산 식별 방법론과 자산에 대한 취약점 분석 방법론을 새롭게 제안한다. 또한 CWE를 사용하여 발견되지 않은 취약점에 대하여 예측 할 수 있는 방법론을 제안한다.
제안하는 통합 취약점 분석 방안을 이용하여 임의의 실제 취약점 평가 대상 자산 23개에 대한 취약점을 분석한 결과 기존의 ICS-CERT를 통한 취약점 분석은 총자산의 48%에 대하여 취약점을 찾았지만, 제안하는 방법론은 87% 이상의 자산에 대한 취약점을 탐색하였다. 또한 제안하는 취약점 예측 방안을 이용하여 Siemens, Advantech, Schneider의 2018년에서 2020년의 취약점 근본 원인을 바탕으로 2021년부터 2022년까지의 취약점 예측을 수행하였다.
또한 제어시스템에 적용할 수 있는 CPE 기반 자산 입력 체계와 CVE, ICS-CERT를 통한 취약점 분석 방법론을 제안하였다. 이를 이용하여 국내 제조사의 자산에 대한 정보가 ICS-CERT와 CVE에 존 재하지 않을 때, 자산에 탑재된 어플리케이션 정보를 이용하여 취약점을 찾을 수 있다.
본 연구에서는 [14]를 바탕으로 CWE를 이용하되, 결함 집중원리를 기반으로 이전 취약점의 상위 10개의 CWE로 다음 취약점을 예측하는 방안을 제안한다.
본 연구에서는 이러한 CPE와 CVE의 관계성을 이용하여 자산을 정확하게 식별하고 취약점을 탐색한다.
산업제어시스템 취약점 정보와 공개 취약점 정보를 통합하여 통합 산업제어시스템 취약점 데이터베이스를 구축하여 사용자가 자산 유형을 조회했을 때 산재해 있는 ICS-CERT 권고, CVE, CWE, CPE, CAPEC에 근거한 취약점 정보를 통합적으로 조회할 수 있도록 한다.
제어시스템의 자산에 대한 잠재적인 취약점을 예측하기 위해서는 분석적 방법론을 적용하여 CWE를 기반으로 잠재적인 취약점을 예측하는 방법론을 제안하였다.

대상 데이터

3.1에서 구축한 취약점 데이터베이스에서 산업제어시스템 자산 관련 취약점인 ICS-CERT 취약점 1800개를 분석하였다. Fig.
[13]은 NVD 데이터를 바탕으로 다음 취약점 발생 까지의 시간을 예측하여 위험 평가를 수행하였다. CVE에서 가장 많은 취약점을 가지고 있는 상위 6개의 제조업체를 선별하여 각 제조사별 인공지능 모델을 구축하였다. Linux, Sun, Cisco, Mozilla,Microsoft, Apple의 제품군에 대하여 CVE가 발행된 날짜 간의 간격을 피처로 사용하여 다음 취약점이 발생할 시간을 예측했다.
본 연구는 CISA에서 제공하는 현재 산업제어시스템의 보안 문제, 취약성 및 악용에 대한 적시 정보인 ICS-CERT 권고(Advisories)를 이용하여 산업제어시스템에 대한 전반적인 취약점 정보를 수집한다.
본 연구에서 제시하는 취약점 분석 방법론에 대한 효과성을 검증하기 위하여 실제 자산 23개에 대한 취약점 분석을 실시하였다. 분석 과정에 사용되는 자산은 국내 기반 시설에 쓰이는 자산으로 이루어져있다.

데이터처리

4.1에서는 총 23개의 국내 기반 시설의 취약점 평가 대상 자산에 대하여 기존의 ICS-CERT 기반으로 11개의 자산의 취약점 분석을 수행할 수 있었지만, 제안하는 CPE 기반의 CVE 취약점 검색 방법론으로 추가로 3개 자산에 대한 취약점을 분석했다. 또한, 취약점을 찾지 못한 나머지 9개의 자산에 대하여 본 논문에서 제안하는 탑재된 어플리케이션 정보를 이용한 취약점 분석 방법론을 적용하여 추가로 6개의 자산에 대한 취약점을 찾을 수 있었다.
본 연구에서 제안하는 취약점 예측 방법론을 실험하기 위하여 4.1의 취약점 평가 대상 목록 중Siemens, Adventech, Schneider 社에 대한 잠재적 취약점을 분석하였다. Fig.

이론/모형

4.2에서는 Siemens, Advantech, Schneider 의 세 제조사에 대하여 3.4에서 제시한 취약점 예측 방법론을 적용하였다. 그 결과 각 제조사의 제품군의 이전의 취약점 근본 원인을 바탕으로 발생할 수 있는 취약점을 알아낼 수 있었다.
본 논문에서는 Tomas. RJ 등[9]을 참고하여 ICS-CERT 권고, CVE, CWE 공개된 취약점 데이터를 반영하여 연관된 취약점 정보를 파악할 수 있도록 한다. 또한 기존 연구에 CPE와 CAPEC의 데이터를 추가하여 CPE 기반의 자산 식별 방법론과 자산에 대한 취약점 분석 방법론을 새롭게 제안한다.
원자력 시설에 대한 취약성을 점검하기 위해서는 원자력 시설을 구성하는 자산에 대한 취약점 검색을 수행해야 하며, 취약점 검색에 사용되는 자산에 대한 정확한 식별이 필수적이다. 따라서 본 연구에서는 취약점을 검색하기 위한 CPE 기반 자산 식별 방법론을 제시한다.

성능/효과

이때 Siemens 제품에 대한 CVE 207개에 대한 CWE를 분석하여 해당 취약점이 제로데이 취약점으로써 남아있던 기간을 추론하였다. 결과적으로 Siemens 제품 릴리즈와 CVE 공개 사이의 최소 기간은 115일, 최대 기간은 14.7년임을 파악했다.
결과적으로 기존의 취약점 분석 방법론은 48%의 자산에 대해 취약점을 분석하였지만, 제안하는 방법론은 87%의 자산에 대해 취약점을 분석할 수 있었다.
4에서 제시한 취약점 예측 방법론을 적용하였다. 그 결과 각 제조사의 제품군의 이전의 취약점 근본 원인을 바탕으로 발생할 수 있는 취약점을 알아낼 수 있었다.
본 연구가 제안하는 제어시스템 취약점 분석 방안은 ICS-CERT를 기반으로 산재하여 있는 공개 데 이터 CVE, CWE 등의 취약점 관련 정보를 통합하였다.
또한 제어시스템에 적용할 수 있는 CPE 기반 자산 입력 체계와 CVE, ICS-CERT를 통한 취약점 분석 방법론을 제안하였다. 이를 이용하여 국내 제조사의 자산에 대한 정보가 ICS-CERT와 CVE에 존 재하지 않을 때, 자산에 탑재된 어플리케이션 정보를 이용하여 취약점을 찾을 수 있다.
제안하는 통합 취약점 분석 방안을 이용하여 임의의 실제 취약점 평가 대상 자산 23개에 대한 취약점을 분석한 결과 기존의 ICS-CERT를 통한 취약점 분석은 총자산의 48%에 대하여 취약점을 찾았지만, 제안하는 방법론은 87% 이상의 자산에 대한 취약점을 탐색하였다. 또한 제안하는 취약점 예측 방안을 이용하여 Siemens, Advantech, Schneider의 2018년에서 2020년의 취약점 근본 원인을 바탕으로 2021년부터 2022년까지의 취약점 예측을 수행하였다.

후속연구

본 연구가 제안하는 취약점 분석 및 예측 방안을 실제 제어시스템에 적용하면 높은 정확도로 필수 디지털 자산에 대한 취약점을 분석할 수 있으며, 잠재적인 취약점을 예측할 수 있을 것이다.

참고문헌 (15)

NVD Vulnerabilities, "National Vulnerability Database" https://nvd.nist.gov/vuln, Apr. 2022.
MITRE CVE, "CVE Data Feeds" https://cve.mitre.org/cve/data_feeds.html, Apr. 2022.
CISA ICS-CERT Advisories, "ICS-CERT Advisories" https://us-cert.cisa.gov/ics/advisories, Apr. 2022.
KrCERT Vulnerability Informations,"KISA Vulnerability Informations" https://www.krcert.or.kr/data/secInfoList.do, Apr. 2022
NVD Data Feed for Vulnerabilities,"NVD CVE Data" https://nvd.nist.gov/vuln/data-feeds Apr. 2022
NVD Official Common Platform Enumeration (CPE) Dictionary, "NVDCPE Data" https://nvd.nist.gov/products/cpe, Apr. 2022
MITRE Common Weakness Enumeration, "Mitre CWE Data" https://cwe.mitre.org/data/downloads.html, Apr. 2022
MITRE Common Attack Pattern Enumeration and Classification, "Mitre CAPEC data" https://capec.mitre.org/data/index.html, Apr. 2022
J.T. Richard and T. Chothia, "Learning from Vulnerabilities - Categorising, Understanding and Detecting Weaknesses in Industrial Control Systems," International Workshop on the Security of Industrial Control Systems and Cyber-Physical Systems, pp. 100-116, Dec. 2020
In-kyung Kim and Kook-heui Kwon, A Study on Vulnerability Assessment for the Digital Assets in NPP Based on Analytical Methods," Journal of the Korea Institute of Information Security & Cryptology, 28(6), pp. 1539-1552, Dec. 2018

원문보기 상세보기
Min-Cheol Kim and Se-Joon Oh, "Risk Scoring System for Software Vulner ability Using Public Vulnerability Information," Journal of the Korea Institute of Information Security & Cryptology 28(6), pp. 1449-1461, Oct. 2018

원문보기 상세보기
Hee-Hyun Kim and Jin-Ho Yoo, "A Study on ICS/SCADA System Web Vulnerability," The Jounal of Society for e-Business Studies 24(2), pp. 15-27, Nov. 2019
Xinming Ou and Doina Caragea "Predicting Cyber Risks through National Vulnerability Database," Information Security Journal: A Global Perspective,vol. 24, no. 4, pp. 194-206, Nov. 2015

상세보기
Richard J. Thomas and Joseph Gardiner "Catch Me If You Can: An In-Depth Study of CVE Discovery Time and Inconsistencies for Managing Risks in Critical Infrastructures," CPSIOTSEC' 20: Proceedings of the 2020 Joint Workshop on CPS & IoT Security and Privacy, pp. 49-60, Nov. 2020
Sung-Min Kim and Dong-Kwan Kim,"Automatic Detection of Software Security Vulnerabilities," Jonal of The Transactions of the Korean Institute of Electrical Engineers, 70(3), pp. 157-162, Sep. 2021

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증