2011년 NH농협 전산망마비 사건, 2013년 3.20 사이버테러 및 2015년 12월의 한국수력원자력 원전 중요자료 유출사건이 있었다. 이러한 사이버테러는 해외(북한)에서 조직적이고 장기간의 걸친 고도화된 APT공격을 감행하여 발생한 사이버테러 사건이다. 하지만, 이러한 APT공격(Advanced Persistent Threat Attack)을 방어하기 위한 탁월한 방안 아직 마련되지 못했다. APT공격은 현재의 관제 방식으로는 방어하기가 힘들다. 따라서, 본 논문에서는 빅데이터 분석을 통해 APT공격을 예측할 수 있는 방안을 연구한다. 본 연구는 대한민국 3계층 보안관제 체계 중, 정보공유분석센터(ISAC)를 기준으로 하여 빅데이터 분석, APT공격 및 취약점 분석에 대해서 연구와 조사를 한다. 그리고 외부의 블랙리스트 IP 및 DNS Log를 이용한 APT공격 예측 방안의 설계 방법, 그리고 전조현상 분석 방법 및 APT 공격에 대한 대응방안에 대해 연구한다.
2011년 NH농협 전산망마비 사건, 2013년 3.20 사이버테러 및 2015년 12월의 한국수력원자력 원전 중요자료 유출사건이 있었다. 이러한 사이버테러는 해외(북한)에서 조직적이고 장기간의 걸친 고도화된 APT공격을 감행하여 발생한 사이버테러 사건이다. 하지만, 이러한 APT공격(Advanced Persistent Threat Attack)을 방어하기 위한 탁월한 방안 아직 마련되지 못했다. APT공격은 현재의 관제 방식으로는 방어하기가 힘들다. 따라서, 본 논문에서는 빅데이터 분석을 통해 APT공격을 예측할 수 있는 방안을 연구한다. 본 연구는 대한민국 3계층 보안관제 체계 중, 정보공유분석센터(ISAC)를 기준으로 하여 빅데이터 분석, APT공격 및 취약점 분석에 대해서 연구와 조사를 한다. 그리고 외부의 블랙리스트 IP 및 DNS Log를 이용한 APT공격 예측 방안의 설계 방법, 그리고 전조현상 분석 방법 및 APT 공격에 대한 대응방안에 대해 연구한다.
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and Classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on December in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to ...
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and Classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on December in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to the script kids attacks and the techniques used were very complex and sophisticated. However, no successful solution has been implemented to defend an APT attack thus far. Therefore, we will use big data analytics to analyze whether or not APT attack has occurred in order to defend against the manipulative attackers. This research is based on the data collected through ISAC monitoring among 3 hierarchical Korean defense system. First, we will introduce related research about big data analytics and machine learning. Then, we design two big data analytics models to detect an APT attack and evaluate the models' accuracy and other results. Lastly, we will present an effective response method to address a detected APT attack.
The NH-NongHyup network and servers were paralyzed in 2011, in the 2013 3.20 cyber attack happened and Classified documents of Korea Hydro & Nuclear Power Co. Ltd were leaked on December in 2015. All of them were conducted by a foreign country. These attacks were planned for a long time compared to the script kids attacks and the techniques used were very complex and sophisticated. However, no successful solution has been implemented to defend an APT attack thus far. Therefore, we will use big data analytics to analyze whether or not APT attack has occurred in order to defend against the manipulative attackers. This research is based on the data collected through ISAC monitoring among 3 hierarchical Korean defense system. First, we will introduce related research about big data analytics and machine learning. Then, we design two big data analytics models to detect an APT attack and evaluate the models' accuracy and other results. Lastly, we will present an effective response method to address a detected APT attack.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 먼저 빅데이터 분석을 이용한 APT공격 분석에 관련된 연구에 대해 살펴보고 통합보안관제선터 모니터링 환경에서 효율적일 것으로 판단되는 APT공격 분석 방법 2가지를 제안하고자 한다. 또한, APT공격이라고 의심되는 건을 발견 시 취해야 할 대응방안에 대해서도 제안하고자 한다.
일례로, APT공격은 이메일, SMS 등의 사회공학적 방법을 이용하므로 기존 기술적 취약점을 찾는 것과 함께 빅데이터 분석을 통해 관리적 측면의 취약점을 찾는 방법을 고려해 볼 수 있다. 모의해킹훈련을 수행 후 훈련결과를 빅데이터 분석 하여 어떠한 유형의 수신자가 취약한지 밝혀낸다. 이러한 분석결과로 정보보안 정책 수립·개정 및 관련 솔루션을 개발한다면 APT공격 예방효과가 있을 것으로 판단된다.
본 연구에서는 APT솔루션의 1차 분석 단계인 행위기반 파일 분석 등과 같이 악성코드 분석 등의 심층 분석 전 단계에 집중하여 연구할 계획이다. 또한, 파일 분석이 아닌 통합보안관제에서의 관제데이터 및 트래픽데이터를 이용한 빅데이터 분석에 대해 연구할 계획이다.
본 연구에서는 먼저 빅데이터 분석을 이용한 APT공격 분석에 관련된 연구에 대해 살펴보고 통합보안관제선터 모니터링 환경에서 효율적일 것으로 판단되는 APT공격 분석 방법 2가지를 제안하고자 한다. 또한, APT공격이라고 의심되는 건을 발견 시 취해야 할 대응방안에 대해서도 제안하고자 한다.
제안 방법
최도현외 1명은 사용자들의 거래 성향을 빅데이터 분석을 통해 분석하였다[7]. Naive Bayes Algorithm 및 Aproiri Algorithm 등을 상호 응용하여 분석하였고, 분석 결과 제품별 긍정, 부정 성향 및 성향별 관심의 정도를 도출하였다. 이와 같이 빅데이터 분석을 통해 무의미하게 보이는 대량의 데이터에서 의미있는 정보를 수치화할 수 있음을 알 수 있다.
그리고 보안관제 솔루션 제품의 DNS Log를 이용한 빅데이터 분석 방법 등을 1개의 회원사에 개선·적용하여 분석효과를 측정하고 여러 회원사에도 적용하여 회원사간의 분석효과를 연관분석하면서 분석 효과를 향상시킨다.
나날이 고도화되고 있는 APT공격을 분석하기 위해 빅데이터 분석을 이용한 보안관제 고도화 2가지 방법을 제안하였다. 본 연구는 개별보안관제가 아닌 통합보안관제 상황에서의 분석 방법을 연구하는 것이며 앞으로 제안한 분석 방법이 APT공격 탐지에 어느정도 효과가 있는지 측정하고 효과가 미흡한 경우에는 분석 방법을 변경하여 효과를 극대화시키도록 할 계획이다.
매핑 후에는 해당 패킷의 헤더 정보나 페이로드 정보 중 정상적인 패킷과 다른 특이점이 있는지 지도학습, 비지도학습 머신러닝 방법 등을 적용하여 조사한다.
먼저 NH농협 전산망마비 사건을 살펴보면 APT공격자는 D-day(‘11.4.12) 7개월 전 외부업체 직원이 웹하드 무료 다운로드 쿠폰으로 업무 노트북에 영화를 다운로드 할 때 악성코드를 해당 노트북에 설치하게 하였고 그 후에는 추가적인 악성코드를 다운시켰으며 관리자 비밀번호 등 전산망 정보를 수집하였다.
먼저 블랙리스트IP의 신뢰성 확보를 외부 블랙리스트IP들 중 2개 이상의 외부업체에서 지목한 블랙리스트IP를 트래픽정보와 매핑시킨다. 만약 이에 해당되는 외부업체 블랙리스트IP수가 많은 경우 3개 또는 4개 이상으로 기준을 높여 매핑시킴으로써 빅데이터 분석 성능을 향상시킨다.
Sumeet Dua외 1명은 머신러닝을 이용한 보안관제는 ①오용/시그니처 탐지(Misuse/Signature Detection), ②이상 탐지(Anomaly Detection), ③하이브리드 탐지(Hybrid Detection), ④네트워크 스캔 탐지(Network Scan Detection), ⑤프로파일링 모듈(Profiling Module)의 5가지 방법이 있다고 하였다[8]. 본 연구는 Sumeet Dua외 1명의 방법을 참고하여 APT공격 분석을 진행한다.
손경호외 2명은 APT공격 분석 방법으로 연관성 분석이 주요한 방법이며 이러한 연관도 분석 방법에는 로그 유사속성 비교 방법[9, 10], 공격 초기의 이벤트 설정 탐지 방법[11, 12, 13], 시간 흐름별 공격의 통계적 원인분석 방법[14, 15], 개별 이벤트를 군집하여 침해시도 여부를 결정하는 방법[16, 17] 등 다양한 방법이 있다고 하였다[18]. 악성코드에 감염된 PC의 트래픽을 분석하는 방법으로 주기적 접속시도 탐지 방법을 제안하였다.
정상적인 DNS Log의 특성을 찾아내기 위해 빅데이터 분석으로 정상적인 DNS Log의 대표적인 특성을 찾는다.
대상 데이터
취약점 분석대상에 따라 H/W와 S/W로 분류할 수 있다. H/W 취약점 분석대상은 서버, 네트워크 장비, 방화벽 등이며, S/W 취약점 분석대상은 웹페이지, 애플리케이션, 소스코드(시큐어 코딩 점검) 등이다.
하지만, ‘한글’ 프로그램의 제로데이 취약점을 이용하였고 한국수력원자력 직원 3,571명을 대상으로 하였다[3].
성능/효과
김원필은 IEEE 논문 정보를 이용해 정보보안 분야 트렌드를 빅데이터 분석으로 분석하였다[6]. 분석 결과 정보보안에 유망한 기술로 안드로이드 플랫폼, 사물인터넷, 클라우드 컴퓨팅과 함께 빅데이터가 도출되었다.
후속연구
동 방법의 관건 중 하나는 신뢰성이 떨어지는 외부 블랙리스트IP의 신뢰성 확보이며 이 또한 빅데이터 분석을 통해 확보되어야 할 것이다.
본 연구에서는 APT솔루션의 1차 분석 단계인 행위기반 파일 분석 등과 같이 악성코드 분석 등의 심층 분석 전 단계에 집중하여 연구할 계획이다. 또한, 파일 분석이 아닌 통합보안관제에서의 관제데이터 및 트래픽데이터를 이용한 빅데이터 분석에 대해 연구할 계획이다.
3에서 언급된 취약점 분석 고도화 방안을 연구하는 것도 공격 예방을 위해 필요하다. 마지막으로 본 논문에서 연구 중인 빅데이터 분석 이용 APT공격 탐지 방법을 지속적으로 연구해야 APT공격 예방에 성공할 것으로 판단된다.
나날이 고도화되고 있는 APT공격을 분석하기 위해 빅데이터 분석을 이용한 보안관제 고도화 2가지 방법을 제안하였다. 본 연구는 개별보안관제가 아닌 통합보안관제 상황에서의 분석 방법을 연구하는 것이며 앞으로 제안한 분석 방법이 APT공격 탐지에 어느정도 효과가 있는지 측정하고 효과가 미흡한 경우에는 분석 방법을 변경하여 효과를 극대화시키도록 할 계획이다.
본 연구에서 구현할 2가지 방법 외에 Sumeet Dua외 1명의 머신러닝을 방법들을 이용한 추가적인 APT공격 분석 방법의 제안 및 연구를 통해 APT공격 분석 성공률을 향상시켜야 할 것이다.
이러한 분석결과로 정보보안 정책 수립·개정 및 관련 솔루션을 개발한다면 APT공격 예방효과가 있을 것으로 판단된다.
이러한 이유는 APT공격이 알려지지 않은 취약점인 제로데이 취약점을 이용하기에 현재의 취약점 분석 방법으로 APT공격 취약점을 찾아내기가 어려워서일 것이다. 하지만, 빅데이터 분석 등을 이용한 취약점 분석 고도화로 APT공격 가능성을 제거할 수 있을 것으로 판단된다.
질의응답
핵심어
질문
논문에서 추출한 답변
3.20 사이버테러는 어떤 공격이었는가?
3.20 사이버테러는 백신 등의 S/W 중앙배포서버를 이용하여 ‘13.3.20일 전산장비 파괴용 악성코드를 공격대상 PC 및 서버에 8개월간 설치한 장기간의 고도화된 APT공격이었다. 동 공격에 사용된 악성코드는 67종에 이르며 파악된 해킹 경유지만 해외 24곳, 국내 25곳에 이른다[2].
가트너는 빅데이터를 어떻게 정의하였는가?
가트너는 ‘12년에 Volume(대용량), Velocity(실시간 변경), Variety(비정형)의 3Vs를 가진 데이터를 빅데이터라고 정의하였다[4]. 이러한 빅데이터를 이용하는 대표적인 과학은 예측적인 데이터 분석(Predictive Data Analytics)로 빅데이터에서 특정 패턴을 찾고 예측하는 것을 말한다[5].
NH농협 전산망마비 사건의 D-day에 APT공격자는 무엇을 하였나?
12) 7개월 전 외부업체 직원이 웹하드 무료 다운로드 쿠폰으로 업무 노트북에 영화를 다운로드 할 때 악성코드를 해당 노트북에 설치하게 하였고 그 후에는 추가적인 악성코드를 다운시켰으며 관리자 비밀번호 등 전산망 정보를 수집하였다. D-day에는 공격 명령 파일 설치 후 원격 공격을 감행하여 공격 개시 30분만에 운영 시스템의 절반을 파괴하였다[1].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.