[논문]사물인터넷 기기 침해사고 데이터 수집 방안 연구

이종범; 엄익채

doi:10.13089/jkiisc.2023.33.3.537

사물인터넷 기기 침해사고 데이터 수집 방안 연구
A Study on Data Acquisition of IoT Devices Intrusion 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.33 no.3, 2023년, pp.537 - 547

이종범 (전남대학교 시스템보안연구센터) , 엄익채 (전남대학교 시스템보안연구센터)

초록
AI-Helper

사물인터넷(Internet of Things)기술이 발전함에 따라 다양한 분야에서 사물인터넷 기기를 활용하고 있다. 하지만 이는 새로운 사이버 공격 표면이 되었고 기존 사이버 침해사고를 염두하지 않았던 산업까지 영향을 미치는중이다. 침해사고 발생 이후 사후처리, 피해확산 방지 등이 중요하지만 이에 관련된 표준이나 가이드라인이 부족하여 대응하기 어려운 현황이다. 따라서 본 논문에서는 이러한 침해사고 대응을 위해 침해사고 데이터 수집 절차를 정립하고 수집 가능한 데이터를 제시하여 범용적인 사물인터넷 기기의 침해사고 데이터 수집 방안을 개선하였다. 또한 실험을 통해 데이터 수집 절차의 효율성과 타당성을 증명하였다.

Abstract ▼ AI-Helper

As Internet of Things (IoT) technology evolves, IoT devices are being utilized in a variety of fields. However, it has become a new surface of cyber attacks and is affecting industries that did not previously consider cyber breaches. After a intrusion occurs, post-processing and damage spread prevention are important, but it is difficult to respond due to the lackof standards and guidelines. Therefore, in order to respond to such incidents, this paper establishes an incident data collection procedure and presents the data that can be collected to improve the intrusion data acquisition method for general IoT devices. In addition, we proved the efficiency and feasibility of the data collection procedure through experiments.

주제어

표/그림 (10)

그림 Fig. 1. Timeline of IoT device Incident Case
표 Table 1. Cyber intrusions guides and standards
표 Table 2. Compasion with related studies
그림 Fig. 2. Acquisition procedure of hardware based intrusion data
표 Table 3. Identifications by different type
그림 Fig. 3. Components of ip camera
표 Table 4. Collectable data depending on type
그림 Fig. 4. Memory connection with arduino and SOIC test clip
그림 Fig. 5. Structure of memory file in IP Camera
그림 Fig. 6. Acquiring a password

AI 본문요약
AI-Helper

문제 정의

따라서 본 논문에서는 국내외 침해사고 대응 절차 및 관련 연구와 사물인터넷 기기의 특성을 고려한 하드웨어 기반 사물인터넷 기기 침해사고 데이터 수집 방법 및 절차를 제시한다.
본 논문에서는 다양한 사물인터넷 기기에 대한 여러 침해사고 사례를 살펴보며 국내·외 침해사고 대응 절차 동향의 최신화 필요성에 관해 설명하고 사물인터넷 침해사고 데이터 수집의 한계에 관해 기술하였다

제안 방법

각 핀을 USB to Serial에 연결하여 분석 장비와 연결한 결과 보호된 쉘에 접근 가능하였으며 해당 쉘에서 IP카메라의 환경변수, 파일 시스템 등과 같은 하드웨어 정보들을 수집할 수 있지만 침해사고에 관련된 데이터들은 수집할 수 없었다. 따라서 메모리 칩을 통해 데이터 수집을 시도하였다.
하드웨어 기반 사물인터넷 기기 침해사고 데이터 수집 절차를 실증하기 위해 사물인터넷 기기에 대해 침해사고 데이터 수집을 진행하였다.

대상 데이터

JTAG를 통한 데이터 수집은 사물인터넷 기기의 펌웨어, 기기 구성 정보, 메모리 정보 등 다양한 정보들을 수집할 수 있으며 TDI, TDO, TMS, TCK, TRST 총 5가지의 핀을 사용하여 연결하여 사용한다.
대상 기기는 H사의 IP카메라이며 Mirai 봇넷을 감염 시켜 데이터를 수집한다. 하지만 Mirai 봇넷 특성상 감염 시 메모리에만 상주하기 때문에 전원 종료 시 악성코드 또한 같이 사라지기 때문에 Mirai 봇넷에 대한 데이터는 남아있지 않았다.

이론/모형

메모리 덤프 이후 해당 메모리 파일을 분석하기 위해 binwalk 도구를 사용하여 시스템 정보를 확인 한다. IP카메라의 경우 CramFS의 파일 시스템을 사용하는 중이었으며 추가로 도구를 사용해 추출 과정을 진행하였다.

성능/효과

의 왼쪽부터 GND, Tx, Rx, VCC 핀이라는 결과를 도출했다. 각 핀을 USB to Serial에 연결하여 분석 장비와 연결한 결과 보호된 쉘에 접근 가능하였으며 해당 쉘에서 IP카메라의 환경변수, 파일 시스템 등과 같은 하드웨어 정보들을 수집할 수 있지만 침해사고에 관련된 데이터들은 수집할 수 없었다. 따라서 메모리 칩을 통해 데이터 수집을 시도하였다.
또한, 사물인터넷 기기 특성상 침해사고 이후 비활성화 상태의 침해사고 기기에 전원을 공급하는 것은 주변 네트워크에 대한 위협, 예를 들어 봇넷에 감염되어 악성 파일이 롬에 저장될 경우 기기 재부팅 시 주변 네트워크로 전파될 가능성이 크다. 따라서 본 논문에서는 이러한 비활성화 상태에서 다양한 접근 방법을 통한 데이터 수집방안을 제시하고 실증을 통해 절차의 타당성을 입증한다.
또한 사물인터넷 기기에 침해사고 발생 이후 특히 비활성화 상태에서 데이터 수집은 저장매체가 따로 존재하지 않는 경우, 기기의 보안을 위해 디버깅 인터페이스가 존재하지 않는 경우 등 다양한 조건을 고려해야 한다. 따라서 침해사고 데이터 수집 및 식별을 위해 기존 연구에 보다 세부적인 절차를 추가하였으며 이를 통해 다양한 환경 및 조건 속에서 명확하게 데이터를 수집할 수 있다.
사물인터넷 기기에서 침해사고가 발생하기 전 보안을 강화하는 것이 우선순위이지만 기기 특성에 따라 한번 설치하면 오랫동안 업데이트 없이 사용되기 때문에 침해사고 발생 이후 대응 방안은 매우 중요하다. 또한, 사물인터넷 기기들은 다양한 취약점이 발생하고 오픈소스로 공개됨에 따라 취약점을 통해 침투한 뒤 주변 네트워크에 악성 행위를 하는 일은 비교적 쉬운 일이 되었다. 따라서 침해사고가 발생한 사물인터넷 기기에 전원을 공급하는 것은 주변 네트워크에 악영향을 끼치는 행위이며 이를 방지하며 침해사고 데이터를 수집하기 위해서는 비활성화 상태에서 조사해야 한다.

후속연구

이후 추출한 파일을 마운트하면 일반 리눅스 디렉터리 구조와 해당 시스템에서 사용하는 busybox 명령어, 사용하는 프로토콜의 종류, /etc/passwd 파일, 쉘의 종류 등 해당 사물인터넷 기기의 다양한 호스트 데이터들을 수집할 수 있다. 수집 가능한 데이터 중 일부인 /etc/passwd는 Figure.
해당 절차와 방법을 통해 낮은 비용으로 높은 효율을 도출해낼 수 있을 것이며 공격자의 악성 행위, 아티펙트 등을 획득하여 공격자의 IP주소 및 신원파악 등이 가능할 것이다. 하지만 디버깅 인터페이스가 비활성화 되어있으며 메모리 덤프 데이터 또한 암호화 되어있는 경우 제시한 절차를 적용하여도 침해사고 데이터를 수집할 수 없기 때문에 이에 대한 연구가 필요하다.

참고문헌 (26)

M.S. Mazhar, et al. "Forensic Analysis on Internet of Things (IoT) Device Using Machine-to-Machine (M2M) Framework," Electronics, vol.11, no. 7 Apr. 2022.
S. Nie, L. Liu, and Y. Du, "FREE-FALL: HACKING TESLA FROM WIRELESS TO CAN BUS,"？Black Hat USA, Jul. 2017.
A. Dalvi, S. Maddala, and Divya Suvarna, "Threat Modelling of Smart Light Bulb," In: 2018 Fourth International Conference on Computing Communication Control？and Automation (ICCUBEA), pp. 1-4,Aug. 2018.
Jeon Jeong-Hoon, "A Study on the Response to Smart Home Attacks,"？The Society of Convergence Knowledge Transactions, 10(2), pp.109-118, Jun. 2022.
T. T, et al. "A comprehensive study of？Mozi botnet. International Journal of？Intelligent Systems,"Wiley Online Library, vol. 37, no. 10, pp.6877-6908, Feb. 2022

상세보기
D. CHOI, "IoT (Internet of Things) based Solution Trend Identification and Analysis Research," 2022 IEEE/ACIS 7th International？Conference on Big Data, Cloud Computing, and Data Science (BCD), pp. 252-258, Sep. 2022.
P. Legg, et al. ""Hacking an IoT？Home": New opportunities for cyber？security education combining remote？learning with cyber-physical systems,"？2021 International Conference on？Cyber Situational Awareness, Data？Analytics and Assessment (CyberSA),？pp. 1-4, Jul. 2021
A. Banafa "Three major challenges？facing iot," IEEE Internet of things,？pp. 26-67, Mar, 2017
N. M. Karie, N. M. Sahri, P. H.？Dowland, "IoT Threat Detection？Advances, Challenges and Future？Directions.," 2020 Workshop on？Emerging Technologies for Security in？IoT (ETSecIoT), pp. 22-29, May. 2020.
Kang Min-Sup, "Design of AES-Based？Encryption Chip for IoT Security,"？The Institute of Internet,？Broadcasting and Communication,？21(1), pp. 1-6, Feb. 2021.
P. Cichonski, et al. "computer？security incident handling guide,"？NIST Special publication 800-61,？Aug. 2012.
KISA, "Cyber instrusions analysis？procedure guide", 2010-8, Jan. 2010
Lee Sang-Jin, et al. "Computer？Forensics Guideline,"？TTAK.KO-12.0058/R1, Dec. 2007.
Han Jae-hyeok, et al. "Guidelines on？Cellular Phone Forensics,"？TTAK.KO-12.0059/R1, Dec. 2020.
A. Ajijola, P. Zavarsky, R. Ruhl, "A？Review and Comparative Evaluation？of Forensics Guidelines of NIS T SP？800-101 Rev. 1 :2014 and ISO/IEC？27037:2012," World Congress on？Internet Security (WorldCIS-2014),？pp. 66-73, Feb. 2015.
A. Valjarevic, H. Venter, and？Petrovic, "ISO/IEC 27043:2015 - Role？and application," 2016 24th？Telecommunications Forum(TELFOR), pp. 1-4, Nov. 2016.
K. Kent, et al. " Guide to Integrating Forensic Techniques into Incident Response," Special Publication 800-86, Aug. 2006.
M. Harbawi and A. Varol, "Animproved digital evidence acquisition model for the Internet of Things forensic I: A theoretical framework,"？2017 5th International Symposiumon Digital Forensic and Security(ISDFS), pp. 1-6, Apr. 2017.
Lee Jin-O and Shon Tae-Shik "Acquisition of artifacts used for criminal investigations through smart home appliances and IoT devices forensics," Journal of Digital？Forensics, 16(2), Jun, 2022
M. Stoyanova, et al, "A Survey on the Internet of Things (IoT) Forensics:Challenges, Approaches, and OpenIssues", IEEE Communications Surveys & Tutorials, vol. 22, no. 2, Jan. 2020

상세보기
Z. Kazemi, et al. "Hardware Security Evaluation Platform for MCU-based Connected Devices: Application to healthcare IoT," 2018 IEEE 3rd International Verification and Security Workshop (IVSW), pp.87-92, Oct. 2018.
K. Rosenfeld and R. Karri. "Attacks and Defenses for JTAG," IEEE Design & Test of Computers, vol. 27, no. 1, pp. 36-47, Feb. 2010

상세보기
C. Kelly, et al. "Testing And Hardening IoT Devices Against the Mirai Botnet, " 2020 International？Conference on Cyber Security and Protection of Digital Services (CyberSecurity), pp. 1-8, Jun. 2020
J. Seo, S. Lee, and T. Shon, "Astudy on memory dump analysis based on digital forensic tools," Peer-to-Peer？Networking and Applications, vol. 8,？no. 4, pp. 694-703, Jun. 2013.
J. Sitek, et al. "Investigations of？temperature resistance of memory？BGA components during multi-reflow？processes for Circular Economy？applications," 2017 21st European？Microelectronics and Packaging？Conference (EMPC) & Exhibition, pp.？1-7, Sep. 2017
Y. Ma, et al. "SVM-based instruction set identification for grid device firmware," 2019 IEEE 8th Joint International Information Technologyand Artificial Intelligence Conference(ITAIC), pp. 214-218, May 2019？

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증