[논문]UTM과 ELK Stack을 활용한 소규모 네트워크의 내부망 보안 강화방안

민송하; 이동휘

doi:10.33778/kcsa.2024.24.1.003

[국내논문] UTM과 ELK Stack을 활용한 소규모 네트워크의 내부망 보안 강화방안
Enhancement of Internal Network Security in Small Networks Using UTM and ELK Stack

융합보안논문지 = Convergence security journal, v.24 no.1, 2024년, pp.3 - 9

초록
AI-Helper

현재 사이버 공격과 보안 위협은 지속적으로 진화하고 있으며, 조직은 신속하고 효율적인 보안 대응 방법을 필요로 한다. 본 논문은 Unified Threat Management (UTM) 장비를 활용하여 네트워크 보안을 향상시키고, 이러한 장비를 통해 수집되는 내부망의 로그 데이터를 Elastic Stack (Elasticsearch, Logstash, Kibana, 이하 ELK Stack)을 활용하여 효과적으로 관리하고 분석하는 내부망 보안 강화방안을 제안하고자 한다.

Abstract ▼ AI-Helper

Currently, cyberattacks and security threats are constantly evolving, and organizations need quick and efficient security response methods. This paper proposes ways to strengthen internal network security by utilizing Unified Threat Management (UTM) equipment to improve network security and effectively manage and analyze the log data of the internal network collected through these equipment using Elastic Stack (Elasticsearch, Logstash, Kibana, hereinafter referred to as ELK Stack).

Keyword

AI 본문요약
AI-Helper

문제 정의

하지만, 많은 솔루션들이 큰 기업의 네트워크를 기준으로 구성되어 있어 소규모 네트워크 입장에서는 경제적 및 기술적으로 많은 부담이 생긴다. 따라서 이러한 문제를 해소하기 위해 본 논문에서는 소규모 네트워크를 대상으로 망분리 솔루션을 제안하였다.
이후, 제안한 솔루션의 효과를 입증하기 위해 공격 시나리오를 진행하여 해당 공격자들이 사용하는 일반적인 공격에 대한 로그를 실시간으로 수집하고 분석하는 실험을 진행하였다. 이 논문의 목적은 소규모 네트워크에서도 효과적인 보안 아키텍처를 제시하여 중요한 정보를 보호하는 데 기여하고, 제안된 솔루션의 효과적인 동작과 보안 강화에 대한 입증을 통해 산업 현장에서 보안 문제를 완화하고, 정보 유출과 공격으로부터 보호하는 활용 할 수 있다.

제안 방법

소규모 네트워크의 종류를 크게 [A]스마트공장(OT) 네트워크와 [B]기업네트워크로 나누어 설명하였으며 두 네트워크에 맞는 내부망 보안 솔루션을 제시한 후, 직접 솔루션 환경의 네트워크에 실제 공격자들이 많이 사용하는 공격들로 위협을 가했을 때 로그를 실시간 수집. 분석하여 이를 얼마나 효과적으로 막고 대응할 수 있는지 증명하고자 한다[1][2].
보통 망분리 환경으로는 논리적 망분리와 물리적 망분리를 흔히 사용하지만 본 논문에서는 소규모 네트워크 환경으로 진행하기에 UTM을 이용해 [그림 2]처럼 내·외부망을 분리하였다.
이와 더불어 외부에서 내부 시스템으로의 직접 액세스를 방지하고, 내부와 외부 네트워크에 각각 맞는 보안 정책을 구성하고 적용할 수 있었으며, 또한 내·외부의 데이터 트래픽을 효과적으로 관리 및 분석, 외부의 공격, DDoS 공격등으로부터 내부시스템의 공격을 최소화할 수 있도록 [그림 3]과 같이 정책을 설정하였다.
기업의 네트워크는 내.외부망을 간단하게 PC, Server, DB, Admin구간으로 구성하였으며 외부망에 UTM장비를 연결해 내부망을 구축하였다. 이와 더불어 외부에서 내부 시스템으로의 직접 액세스를 방지하고, 내부와 외부 네트워크에 각각 맞는 보안 정책을 구성하고 적용할 수 있었으며, 또한 내·외부의 데이터 트래픽을 효과적으로 관리 및 분석, 외부의 공격, DDoS 공격등으로부터 내부시스템의 공격을 최소화할 수 있도록 [그림 3]과 같이 정책을 설정하였다.
UTM이 로그 데이터를 수집하지만, 데이터 양이 커지면 로그 분석과 관리가 어려워 질 수 있다. 이를 보완하기 위해 대용량 데이터를 처리하고 저장하는데 뛰어난 확장성을 제공하며, 더 많은 로그 데이터를 처리하고 분석할 수 있는 ELK를 구축하였다. 또한, UTM은 실시간 분석 및 경보 시스템을 제공하기 어려운 반면 ELK는 뛰어난 로그 수집 및 검색 기능과 시각적 기능이 뛰어나다.
이 시스템은 여러 보안 장비들의 로그가 한 곳에 모아 관리하리 할 수 있다는 장점이 있고, 이를 본 연구에서 제안한 UTM + ELK를 이용한 버안아키텍처에 적용시켜 보안을 더 강화 시켰다. UTM과 ELk를 통한 내부망 보안 강화 솔루션에서 로그를 수집하고 분석하였는 데, 이때 분석된 로그들을 ESM으로 보내어 실시간 관제를 하는 것이다. 이를 통해 보안 위협이 일어나면 실시간으로 모니터링하여 빠른 대응을 할 수 있어 매우 효과적이다.
본 논문에서 제시한 [A]기업네트워크와 [B]공장 네트워크에 대한 내부망 보안 솔루션(UTM을 이용한 망분리+ELK를 통한 로그 분석 및 모니터링)의 효과를 직접 검증하고자 직접 구축한 [A],[B]네트워크에 악의적인 공격들을 실행하였다. 공격 종류로는 (1).
ICMP Flooding Permalink 공격,(4). ARP-SpoofingPermalink 공격을 진행하였으며, 해당 공격을 ELK가 설치되어 있는 [A]의 내부망 Admin구간, [B]의 내부망 PC구간에 보내었다. 이로인해 많은 패킷과 로그가 날라와 피해구간의 ELK에서 해당 이벤트로그를 수집하였고 악의적인 의도로 접근한 공격이라는 것을 시각화하여 보여주었다.
5-3. ICMP FloodingPermalink 공격

공격자가 다량의 ICMP 패킷을 서버로 전송하여 서버가 보유한 네트워크 대역폭을 가득 채워 다른 정상적인 클라이언트의 접속을 원활하지 못하도록 유발시키는 공격으로위와 마찬가지로 공격을 진행한 후, ELK로 악의적인 로그들을 확인하였다.
클라이언트의 MAC 주소를 중간에 공격자가 자신의 MAC 주소로 변조하여 마치 서버와 클라이언트가 통신하는 것처럼 속이는 공격으로 위와 마찬가지로 공격을 진행한 후, ELK로 악의적인 로그들을 확인하였다.
제안된 논문은 디지털 기술과 인터넷의 보편화로 인한 정보 기술과 네트워크의 중요성이 증가함에 따라 사이버 공격 사례가 증가하고 이에 따라 많은 기업과 OT(운영 기술) 시설이 외부 공격에 취약해지며 중요 정보가 유출되는 등의 보안 문제를 바탕으로 만들어 졌으며 본 논문은 이러한 문제를 완화하고 소규모 네트워크에서의 보안을 강화하기 위해 망분리 아키텍처를 제안하였다. 연구는 먼저 스마트공장(OT) 네트워크와 기업네트워크 환경을 직접 구성하였고, 각 중요 네트워크 구간에 ELK시스템을 도입해 효율적인 내부망 관리 환경을 구축하였다.
제안된 논문은 디지털 기술과 인터넷의 보편화로 인한 정보 기술과 네트워크의 중요성이 증가함에 따라 사이버 공격 사례가 증가하고 이에 따라 많은 기업과 OT(운영 기술) 시설이 외부 공격에 취약해지며 중요 정보가 유출되는 등의 보안 문제를 바탕으로 만들어 졌으며 본 논문은 이러한 문제를 완화하고 소규모 네트워크에서의 보안을 강화하기 위해 망분리 아키텍처를 제안하였다. 연구는 먼저 스마트공장(OT) 네트워크와 기업네트워크 환경을 직접 구성하였고, 각 중요 네트워크 구간에 ELK시스템을 도입해 효율적인 내부망 관리 환경을 구축하였다. 이후, 제안한 솔루션의 효과를 입증하기 위해 공격 시나리오를 진행하여 해당 공격자들이 사용하는 일반적인 공격에 대한 로그를 실시간으로 수집하고 분석하는 실험을 진행하였다.
연구는 먼저 스마트공장(OT) 네트워크와 기업네트워크 환경을 직접 구성하였고, 각 중요 네트워크 구간에 ELK시스템을 도입해 효율적인 내부망 관리 환경을 구축하였다. 이후, 제안한 솔루션의 효과를 입증하기 위해 공격 시나리오를 진행하여 해당 공격자들이 사용하는 일반적인 공격에 대한 로그를 실시간으로 수집하고 분석하는 실험을 진행하였다. 이 논문의 목적은 소규모 네트워크에서도 효과적인 보안 아키텍처를 제시하여 중요한 정보를 보호하는 데 기여하고, 제안된 솔루션의 효과적인 동작과 보안 강화에 대한 입증을 통해 산업 현장에서 보안 문제를 완화하고, 정보 유출과 공격으로부터 보호하는 활용 할 수 있다.

성능/효과

이를 보완하기 위해 대용량 데이터를 처리하고 저장하는데 뛰어난 확장성을 제공하며, 더 많은 로그 데이터를 처리하고 분석할 수 있는 ELK를 구축하였다. 또한, UTM은 실시간 분석 및 경보 시스템을 제공하기 어려운 반면 ELK는 뛰어난 로그 수집 및 검색 기능과 시각적 기능이 뛰어나다.
따라서, [그림 5]의 과정처럼 [A]의 경우 내부망의 Admin 구간에, [B]의 경우 기계에 명령을 내리는 내부OT망의 PC구간에 Winlogbeat를 설치하여 외부로부터 들어오는 모든 윈도우 이벤트 로그를 실시간으로 수집할 수 있다. 그리고 이러한 로그들을 Logstash를 통해 데이터를 정제한 뒤, Elasticsearch에 전달하여 각 로그를 분석하여 악성 이벤트 로그를 판별 후, Kibana로 분석 결과를 시각화하여 어떠한 악성 로그가 날라왔는지, 어떤 로그가 많이 날라오는지 등 로그를 실시간으로 관리함으로써 바로 대응할 수 있어 내부[A]와 [B]네트워크의 내부망 구간의 보안을 강화시킬 수 있었다.
UTM로그를 ELK 분석로그를 시각화하여 분석할 수 있게 ESM(Enterprise Security Management)에 적용하여 전산환경의 장애 발생 시 중앙에사 원격으로 통제하여 처리 및 조치를 취할 수 있도록 전산환경의 성능이나 보안의 취약성을 종합 관리하여 시스템의 안전성을 높여주는 시스템이다. 이 시스템은 여러 보안 장비들의 로그가 한 곳에 모아 관리하리 할 수 있다는 장점이 있고, 이를 본 연구에서 제안한 UTM + ELK를 이용한 버안아키텍처에 적용시켜 보안을 더 강화 시켰다. UTM과 ELk를 통한 내부망 보안 강화 솔루션에서 로그를 수집하고 분석하였는 데, 이때 분석된 로그들을 ESM으로 보내어 실시간 관제를 하는 것이다.

후속연구

이후, [그림 6]처럼 [A]네트워크의 Admin 구간과 [B]네트워크의 내부망 PC구간에 들어온 로그를 자세히 분석하고 시각화하기에 만약, 이상 로그가 유입될 시 즉시 대응이 가능하다. 또한, UTM의 로그와 ELK에서 수집한 로그를 비교 분석하여 공격자를 파악하는 데 도움을 얻을 수 있다.

참고문헌 (5)

임병하, 정보보안을 위한 망분리 구축에 대한？연구, 전자무역연구, 12(4), pp.1-21, 2014.
신지호, "OT 보안을 위한 산업제어시스템 EWS의 디지털포렌식 프레임워크 설계", 순천향대학교？대학원 박사학위논문, 2022.
홍성대, "Sysmon과 ELK Stack를 이용한 윈도우시스템 사이버 위협 탐지 및 가시성 증대에 관한 연구", 동국대학교 대학원 석사학위논문,？2020.
김용준, 손태식, "Sysmon과 ELK를 이용한 산업제어시스템 사이버 위협 탐지", 정보보호학회논문지, 29(2), 331-346, 2019.
이동휘, 김홍기, "망분리 네트워크 상황에서 사이버보안 취약점 실시간 보안관제 평가모델",？융합보안학회논문지, 21권 1호, pp.45-53, 2021.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증