[논문]산업기술 유출 방지를 위한 보안 프레임워크 연구

임양규; 박원형; 이환수

doi:10.33778/kcsa.2023.23.4.033

[국내논문] 산업기술 유출 방지를 위한 보안 프레임워크 연구
Security Frameworks for Industrial Technology Leakage Prevention 원문보기

융합보안논문지 = Convergence security journal, v.23 no.4, 2023년, pp.33 - 41

임양규 (단국대학교 IT법학협동과정) , 박원형 (성신여자대학교 융합보안공학과) , 이환수 (단국대학교 산업보안학과)

초록
AI-Helper

최근 지능형 지속위협(APT) 공격조직은 국가핵심기술을 보유한 기업이나 기관을 대상으로 다양한 취약점 및 공격기법을 악용해서 랜섬웨어를 유포한 후 금전을 요구하거나 국가적으로 중요한 산업기밀 자료를 절취해서 암시장(다크웹)에 유통시키거나 제3국에 판매 또는 기술격차를 줄이는데 활용하는 등 국가차원의 보안대비가 필요하다. 이 논문에서는 Kimsuky, Lazarus 등 한국을 대상으로 APT 공격으로 산업기밀유출 피해를 입혔던 공격조직의 공격수법을 MITRE ATT&CK 프레임워크로 분석하고, 기업의 보안시스템이 추가적으로 갖추어야 할 사이버 보안관련 관리적, 물리적 및 기술적 보안요구사항 26개를 도출하였다. 또한, 보안 요구사항을 실제 보안업무에 활용할 수 있도록 보안 프레임워크 및 시스템 구성방안도 제안하였다. 이 논문에서 제시한 보안요구 사항은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 활용할 수 있도록 실질적인 방법 및 프레임워크를 제시했으며 향후 이 논문을 기반으로 다양한 APT 공격그룹의 고도화·지능화된 공격을 분석하고 관련 보안대책 연구가 추가적으로 필요하다.

Abstract ▼ AI-Helper

In recent years, advanced persistent threat (APT) attack organizations have exploited various vulnerabilities and attack techniques to target companies and institutions with national core technologies, distributing ransomware and demanding payment, stealing nationally important industrial secrets and distributing them on the black market (dark web), selling them to third countries, or using them to close the technology gap, requiring national-level security preparations. In this paper, we analyze the attack methods of attack organizations such as Kimsuky and Lazarus that caused industrial secrets leakage damage through APT attacks in Korea using the MITRE ATT&CK framework, and derive 26 cybersecurity-related administrative, physical, and technical security requirements that a company's security system should be equipped with. We also proposed a security framework and system configuration plan to utilize the security requirements in actual field. The security requirements presented in this paper provide practical methods and frameworks for security system developers and operators to utilize in security work to prevent leakage of corporate industrial secrets. In the future, it is necessary to analyze the advanced and intelligent attacks of various APT attack groups based on this paper and further research on related security measures.

Keyword

AI 본문요약
AI-Helper

문제 정의

또한, 각 보안 요구사항 별로 보안대책을 매핑하는 보안프레임워크를 제안하였고, 이를 기반으로APT 공격에 효과적으로 대응하기 위한 신규 시스템 도입 또는 구축방안도 제안하였다. 본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다. 한편, 본 논문에서 도출한 보안요구사항, 보안프레임워크 및 시스템 구축 방안이 APT 공격을 방어하는 절대적인 방법이 될 수는 없으나, APT 공격조직의 공격 행태는 유사한 방법으로 진행된다는 점에 착안해서 주기적으로 공격 방법 등을 분석해서 모듈 형태로 본 프레임워크에 추가 한다면 각종 해킹 공격에 효과적으로 대응할 수 있다고 생각한다.

제안 방법

본 논문에서는 APT 공격 분석에 적합한 ATT&CK를 활용해서 한국을 대상으로 APT 공격으로 피해를 입혔던 Kimsuky, Lazarus, LAPSUS$ APT 해킹조직의 공격수법을 분석하고, 그에 따른 보안시스템 운영자 또는 보안조직이 추가적으로 수행해야 하는 보안 요구사항을 도출하고 프레임워크를 제안 한다
제2장에서는 Lockheed Martin사의 사이버 킬 체인과 MITRE사의ATT&CK 관련 기본 개념을 살펴보고 제3장에서는 대표적인 APT 공격조직의 공격을 ATT&CK 프레임워크에 맞춰 분석해서 각 조직별 공격전술 및 기술을 비교해 보았으며, 제4장에서는 제3장에서 분석한 결과와 실제 사이버 보안 영역에서 이뤄지고 있는 해킹기법을 조합해서 기업에서 현재 운용중인 보안시스템 또는 보안조직에서 갖추어야 할 추가적인 보안요구사항을 도출하고 산업기밀 유출 방지를 위한 보안 프레임워크를 제안하였다
각 공격전술별 해킹조직의 공격 방법을 분석해서 <표 3>과 같이 보안 요구사항 26개를 도출하였다. 도출한 보안 요구사항은 시스템으로 구현 가능한 기술적(Technical, T로 표시) 방안 외에도 직원 인식 교육 등의 관리적(Administritive, A로 표시) 방안 및 물리적(Physical, P로 표시) 방안도 함께 고려하였다.
[12] 따라서, 이러한 유형의 APT 공격을 방어하기 위해서는 유지보수 목적으로 반입하는 내외부 직원의 USB나 노트북에 대한 반입통제 및 반입 전에 악성코드를 검사하고, 스마트폰 테더링, LTE 라우터 등의 인터넷 연결이 가능한 통신장비 반입여부 등을 점검하는 물리적인 절차도 추가 및 강화해야 한다. 본 논문에서는 관리적 방안 3개(SR-3, 19, 25), 물리적 방안 3개(SR-6, 8, 10) 및 기술적 방안 20개(SR-1, 2, 4, 5, 7, 9, 11, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 24, 26) 등 총 26개의 보안요구사항을 도출하였다.
APT 공격조직의 공격 행태 분석을 통해 보안 요구사항 26개를 도출하였으며, 이를 기반으로 보안 프레임워크를 제안하고자 한다. 보안 프레임워크를 구현함에 있어, 기술적인 방안 외에도 직원 보안 교육 등의 관리적 방안 및 물리적 방안도 함께 고려하여야한다.
이러한 한계점을 극복하기 위해 본 논문에서는 우리나라를 대상으로 APT 공격을 감행한 3가지 조직의 공격 수법을 ATT&CK 툴로 분석하였다.
조직별로 공격 유형 및 공격방법을 교차 분석하였으며, 그에 따른 방어자 입장에서의 보안 요구사항(SR, Security Requirements) 26개를 도출하였다. 도출된 보안요구사항은 관리적, 물리적, 기술적 방안으로 구분해서 보안대책을 수립할 수 있다.
또한, 각 보안 요구사항 별로 보안대책을 매핑하는 보안프레임워크를 제안하였고, 이를 기반으로APT 공격에 효과적으로 대응하기 위한 신규 시스템 도입 또는 구축방안도 제안하였다. 본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다.
각 공격전술별 해킹조직의 공격 방법을 분석해서 <표 3>과 같이 보안 요구사항 26개를 도출하였다

후속연구

본 논문은 보안시스템 개발 및 운영자들이 기업의 산업기밀 유출 방지를 위한 보안업무에 실질적으로 활용할 수 있도록 현재의 기술로 구현 가능한 시스템으로 구성하였다. 한편, 본 논문에서 도출한 보안요구사항, 보안프레임워크 및 시스템 구축 방안이 APT 공격을 방어하는 절대적인 방법이 될 수는 없으나, APT 공격조직의 공격 행태는 유사한 방법으로 진행된다는 점에 착안해서 주기적으로 공격 방법 등을 분석해서 모듈 형태로 본 프레임워크에 추가 한다면 각종 해킹 공격에 효과적으로 대응할 수 있다고 생각한다.
향후, 이 논문을 기반으로 각종 사고사례를 통해 실체가 파악된 다양한 APT 공격조직의 고도화·지능화된 공격을 ATT&CK 툴로 분석해서 보안 요구사항을 도출 한 후 보안대책을 마련하는 추가적인 연구가 필요하다.

참고문헌 (18)

LockheedMartin, "Seven Ways to Apply the Cyber Kill Chain with a Threat Intelligence Platform", lockheedmartin.com, 2015.
Eric M. Hutchins, "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", www.lockheedmartin.com, 2011.
윤영인, 김종화, 이재연, 유석대, 이상진, "APT 공격 사례 분석을 통한 사이버 킬체인과 TTP에 대한 연구", 융합보안논문지, 제20권, 제4호, pp92-99, 2020.
Jung-Sik Lee, Sung-Young Cho, Haeng-Rok Oh, Myung-Mook Han, "A Study on Defense and Attack Model for Cyber Command Control System based Cyber Kill Chain", Journal of Internet Computing and Services(JICS), pp.41-50, 2021.
안명길, 이정륜, "사이버전투실험분석을위한MITREAT T&CK기반의시스템구성및방법론연구", 한국컴퓨터정보학회논문지, vol.25, no.7, 통권197호, pp.31-37, 2020.
안광현, 오재헌, 여서래, 박원형, "MITRE ATT&CK 기반 산업기술유출 방지 프레임워크 기술", 정보보호학회지, Vol. 21, Issue 3, pp.29-38, 2021.
MITRE, https://attack.mitre.org/.
https://github.com/mitre/cti/releases/.
Kimsuky, https://attack.mitre.org/groups/G0094/.
Lazarus, https://attack.mitre.org/groups/G0032/.
LAPSUS$, https://attack.mitre.org/groups/G1004/.
전성철, "검찰 농협 해킹, 北정찰총국이 7개월간 준비", 동아일보, 2011년 5월 4일.
서지민, "KAI, 해킹 수사 의뢰...'K-2' 설계도면 유출 가능성", 시사저널, 2021년 6월 30일.
오수진, "북해커조직'김수키' 블랙리스트올랐다... 위성.군사기밀 해킹", 연합뉴스, 2023년 6월 2일.
김영명, "민.관.학, '산업기밀 탈취 해킹' 공동대응방안 마련한다", 보안뉴스, 2022년 12월 15일.
장용석, "원자력硏12일간 해킹 노출...대우조선해양 '암호화폐' 협박까지", 뉴스1, 2021년 7월8일.
박형주, "한국방산기관'북한해커'에잇따라뚫려... "한국군사.기술력파악시도"", VOA, 2021년7월9일.
정의식, 美보안회사 '맥아피',"2009년부터 한국 해킹한 세력 포착", CNBNews, 2013년 7월 9일.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증