[go: up one dir, main page]

KR20170091989A - 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 - Google Patents

산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 Download PDF

Info

Publication number
KR20170091989A
KR20170091989A KR1020160012967A KR20160012967A KR20170091989A KR 20170091989 A KR20170091989 A KR 20170091989A KR 1020160012967 A KR1020160012967 A KR 1020160012967A KR 20160012967 A KR20160012967 A KR 20160012967A KR 20170091989 A KR20170091989 A KR 20170091989A
Authority
KR
South Korea
Prior art keywords
traffic
attack
network
control network
scenario
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020160012967A
Other languages
English (en)
Inventor
이동휘
김윤희
박우빈
최경호
Original Assignee
동신대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동신대학교산학협력단 filed Critical 동신대학교산학협력단
Priority to KR1020160012967A priority Critical patent/KR20170091989A/ko
Publication of KR20170091989A publication Critical patent/KR20170091989A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 산업 제어 네트워크에서의 보안 관제 평가 시스템에 관한 것으로, 적어도 하나의 정상 트래픽을 생성하는 정상 트래픽 생성부; 적어도 하나의 공격 트래픽을 생성하는 공격 트래픽 생성부; 상기 정상 트래픽 생성부에서 생성된 적어도 하나의 정상 트래픽과 상기 공격 트래픽 생성부에서 생성된 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성하는 평가 데이터 셋 생성부; 제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출하는 트래픽 검출부; 및 상기 트래픽 검출부에서 검출한 트래픽을 분석하는 트래픽 분석부;를 포함할 수 있다.

Description

산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING AND EVALUATING SECURITY IN INDUSTRY CONTROL NETWORK}
본 발명은 산업 제어 네트워크에 관한 것으로, 산업 제어 네트워크에서 발생하는 이벤트에 대한 보안을 관제하고 평가하기 위한 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법에 관한 것이다.
최근의 사이버 공격은 APT(Advanced Persistent Threat)로 알려진 지속적이고 지능화된 위협으로 진화하고 있다. APT 공격은 특정 회사를 공격 목표로 하는 표적 공격과 국가 기밀 데이터 탈취를 목적으로 하는 사이버 스파이 활동, 그리고 정치·사회적 목적의 해킹인 핵티비즘(hacktivism) 등 다양한 목적으로 이용되고 있다. 이러한 위협은 정찰, 무기화, 유포, 악용 및 설치, 명령제어의 공격 절차로 장기간에 걸쳐 수행되고 백신, 침입탐지시스템 등 기존의 보안체계로는 탐지되지 않도록 치밀하게 준비되기 때문에 보안체계를 잘 갖추고 있는 회사라 하더라도 실시간에 공격을 탐지하고 대응하기란 쉬운 일이 아니다.
1990년대의 인터넷을 이용한 사회공학 공격, 패킷 스푸핑, 세션 하이재킹, 자동화된 스캐닝 등의 전통적인 사이버 위협이 2010년에 진입하면서 표적형 공격으로 진화하고 있다. 예컨대, 클라이언트 소프트웨어 공격, 제어시스템 타겟 공격, 지속적인 악성코드 침투, 공급망 파괴 공격 등 흔히 APT로 알려진 지속적이고 지능화된 사이버 위협으로 발전하였고 2010년 이후로는 국가 주요 핵심시설을 공격 목표로 정교한 형태의 사이버 위협으로 발전할 것으로 예측하고 있다.
이와 같은 공격에 대해 기존의 산업 제어 네트워크에서의 보안 관제 시스템이 가지고 있는 단점은 침해사고의 탐지를 위한 시그니처나 프로파일을 사고의 우선 순위나 발생빈도, 피해의 심각성 등을 고려하지 않고 사전에 정의된 정책 및 절차 혹은 플랫폼의 종류나 데이터의 출처에 따라 단순 분류하고 있다는 데 있다. 이는 기존에 없던 새로운 내외부자의 침해 행동 유형에 대한 적절한 대응을 하지 못하고 새로운 형태의 정상적 사용에 대해서도 높은 오탐률을 보일 가능성이 크다.
한편, 최근의 산업 제어 네트워크에서의 보안 관제 기술 흐름은 시그니처를 이용한 규칙 기반의 전통적 보안 관제에서 인공지능이나 기계학습 방법을 도입한 지능형 제어망 보안관제 기술 개발로 이전되고 있다. 하지만, 이러한 다양한 시도에도 불구하고 기계적인 학습 방법의 기술적 한계로 인해 실용화 되어 실제 제어망에 사용되는 경우는 매우 드문 상황이다. 또한, 현재 산업 제어 네트워크에서의 보안관제는 유명무실한 상황이다.
대한민국 특허등록공보 10-1538709(발명의 명칭 : 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법, 등록일 : 2015년07월16일)
본 발명의 목적은 사이버 위협에 대응하기 위한 전통적인 보안 관제 방식의 한계점을 파악하고 새로운 보안 관제 모델링을 제시하여 진화하는 사이버 위협을 효과적으로 탐지하고 대응할 수 있는 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법을 제공함에 있다.
또한, 본 발명의 목적은 산업 제어 네트워크의 보안 관제에 적합한 정상 이벤트와 비정상 이벤트를 발생시키고, 이를 적절히 조합함으로써 산업 제어 네트워크 환경의 변화에 따른 정상적 활용 형태 및 비정상적 활용 형태의 변화에 적응 가능한 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법을 제공함에 있다.
또한, 본 발명의 목적은 산업 제어 네트워크를 대상으로 이벤트 발생기를 통해 이상징후 시나리오를 조합하여 데이터셋을 사용하여 무결한 환경인지 테스트를 실시함으로써, 연속적인 무결한 산업 제어 네트워크 보안 환경을 검증하고 개선할 수 있는 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법을 제공함에 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 측면에 따르면, 산업 제어 네트워크에서의 보안 관제 평가 시스템에 있어서, 적어도 하나의 정상 트래픽을 생성하는 정상 트래픽 생성부; 적어도 하나의 공격 트래픽을 생성하는 공격 트래픽 생성부; 상기 정상 트래픽 생성부에서 생성된 적어도 하나의 정상 트래픽과 상기 공격 트래픽 생성부에서 생성된 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성하는 평가 데이터 셋 생성부; 제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출하는 트래픽 검출부; 및 상기 트래픽 검출부에서 검출한 트래픽을 분석하는 트래픽 분석부;를 포함할 수 있다.
바람직하게는, 상기 정상 트래픽 생성부는, 상기 제어망의 모델에 따라 구성된 적어도 하나의 시나리오를 기반으로 정상 트래픽을 생성할 수 있다.
바람직하게는, 상기 정상 트래픽 생성부는, IP(internet protocol), UDP(user datagram protocol), TCP(transmission control protocol) 중 적어도 하나를 기반으로 정상 트래픽을 생성할 수 있다.
바람직하게는, 상기 공격 트래픽 생성부는, 상기 제어망의 모델에 따라 구성된 적어도 하나의 공격 시나리오를 기반으로 공격 트래픽을 생성할 수 있다.
바람직하게는, 상기 공격 트래픽 생성부는, 공격자, 공격 목적, 공격 가능한 영역, 취약점, 행동, 및 목표에 의해 분류된 공격 시나라오를 기반으로 공격 트래픽을 생성할 수 있다.
바람직하게는, 상기 트래픽 분석부에 의해 분석된 데이터를 기반으로 상기 제어망에 대한 평가 결과를 수치화하여 산출하는 평과 결과 산출부;를 더 포함할 수 있다.
바람직하게는, 상기 트래픽 분석부는, 상기 검출된 트래픽의 위험도에 따라 미리 설정된 가중치를 부여하여 분석할 수 있다.
본 발명의 다른 측면에 따르면, 산업 제어 네트워크에서의 보안 관제 평가 방법에 있어서, 적어도 하나의 정상 트래픽을 생성하는 단계; 적어도 하나의 공격 트래픽을 생성하는 단계; 상기 적어도 하나의 정상 트래픽과 상기 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성하는 단계; 제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출하는 단계; 및 상기 검출한 트래픽을 분석하는 단계;를 포함할 수 있다.
바람직하게는, 상기 정상 트래픽을 생성하는 단계는, 상기 제어망의 모델에 따라 구성된 적어도 하나의 시나리오를 기반으로 정상 트래픽을 생성할 수 있다.
바람직하게는, 상기 정상 트래픽을 생성하는 단계는, IP(internet protocol), UDP(user datagram protocol), TCP(transmission control protocol) 중 적어도 하나를 기반으로 정상 트래픽을 생성할 수 있다.
바람직하게는, 상기 공격 트래픽을 생성하는 단계는, 상기 제어망의 모델에 따라 구성된 적어도 하나의 공격 시나리오를 기반으로 공격 트래픽을 생성할 수 있다.
바람직하게는, 상기 공격 트래픽을 생성하는 단계는, 공격자, 공격 목적, 공격 가능한 영역, 취약점, 행동, 및 목표에 의해 분류된 공격 시나라오를 기반으로 공격 트래픽을 생성할 수 있다.
바람직하게는, 상기 검출한 트래픽을 분석한 데이터를 기반으로 상기 제어망에 대한 평가 결과를 수치화하여 산출하는 단계;를 더 포함할 수 있다.
바람직하게는, 상기 트래픽을 분석하는 단계는, 상기 검출된 트래픽의 위험도에 따라 미리 설정된 가중치를 부여하여 분석할 수 있다.
한편, 상기 산업 제어 네트워크에서의 보안 관제 평가 방법을 수행하기 위한 정보는 서버 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있다. 이러한 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있도록 프로그램 및 데이터가 저장되는 모든 종류의 기록매체를 포함한다. 그 예로는, 롬(Read Only Memory), 램(Random Access Memory), CD(Compact Disk), DVD(Digital Video Disk)-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한, 이러한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
상술한 바와 같이, 본 발명에 따르면, 산업 제어 네트워크에 특화된 침해사고의 신속한 분석을 통한 조기 탐지/대응 및 증거 보존과 원인 분석의 기술적 기반을 마련할 수 있다. 또한, 지능형 신종 공격 대응에 적합하고 신속한 기술적 방안을 마련할 수 있다.
또한, 본 발명에 따르면, 산업 제어 네트워크의 보안 관제 시스템의 응용 확장성을 검증함으로써 평가시스템 기술에 기반한 발전된 형태의 지능형 탐지 시스템 기술을 확보할 수 있다. 또한, 평가 시스템으로 인한 업그레이드된 적합한 최적 시그니처 및 프로파일 발굴은 물론 특징선택 알고리즘의 개발 또한 지능형 탐지 시스템의 실시간성의 확보, 높은 정확성, 낮은 오탐률 등의 성능 개선에 크게 기여할 수 있다.
도 1은 본 발명이 적용되는 산업 제어 네트워크의 구성을 나타내는 도면이다.
도 2 및 도 3은 본 발명의 실시 예에 따른 시스템의 구성을 나타내는 도면이다.
도 4는 본 발명의 실시 예에 따른 보안 관제 장치의 세부 구조를 나타내는 블록도이다.
도 5는 본 발명의 실시 예에 따른 산업 제어 네트워크에서의 보안 관제 평가 절차를 나타내는 신호 흐름도이다.
도 6은 본 발명의 실시 예에 따른 제어망에서의 공격 분류를 나타내는 도면이다.
도 7은 본 발명의 실시 예에 따른 감염시 증상과 위험도를 측정한 결과를 나타내는 도면이다.
도 8a 및 도 8b는 본 발명의 실시 예에 따른 감염시 증상에 대한 산정기준을 나타내는 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시 예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시 예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시 예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시 예로 구현될 수 있다. 또한, 각각의 개시된 실시 예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 발명의 다양한 실시 예들은 정상 및 비정상 행위를 표현하는 이벤트를 구축하여 발생된 이벤트를 산업 제어 네트워크에서 보안 관제를 통해 검출 여부를 검증함으로써 산업 제어 네트워크에서의 효율적인 보안 관제 평가 시스템 및 방법을 제공할 수 있다.
또한, 본 발명의 다양한 실시 예에 따르면, 상기에서 검출된 이벤트를 수치화하여 평가하고, 평가 시스템 수치에 의하여 해당 산업 제어 네트워크의 최적 프로파일 및 시그니처를 발굴할 수 있다.
이를 위해, 본 발명의 다양한 실시 예에서는, 산업 제어 네트워크(폐쇄망)에서의 특정한 이벤트의 발생을 평가하기 위해서, 미리 설정된 다양한 시나리오에 의해 생성된 정상, 비정상 이벤트(예컨대, 악성 이벤트)를 제어망 내에서 실행시킬 수 있다.
또한, 본 발명의 다양한 실시 예에서는, 상기 발생된 이벤트 조합을 보안 관제 시스템에서 탐지 또는 검출하고, 이벤트의 중요도를 상, 중, 하로 평가한 카운팅을 비교하여, 검출, 미검출, 오탐, 상관관계, 이상징후, 오용 등을 카운팅함으로써 시스템의 보안 상태를 평가할 수 있다. 또한, 상기 이벤트 조합을 요일별, 시간별로 반복하여 발생 시켜 보다 효율적인 분석을 할 수 있다.
또한, 본 발명의 다양한 실시 예에서는, 오탐 및 미검출에 대한 이벤트에 대해 재평가하고, 재오탐 및 미검출에 경우 검사를 중지시키고 수정하도록 할 수 있다. 이와 같이, 발생한 이벤트 조합과 보안 관제 시스템에서 검출된 수치를 분석하여 평가를 수치화할 수 있다.
네트워크나 시스템 활동의 공격 여부를 감시하고 이를 관리기지에 보고하는 장치 및 응용 프로그램인 침입탐지시스템(IDS, Intrusion Detection System)은 네트워크 기반과 호스트 기반 두 가지 형태로 나누어진다. 네트워크 침입탐지시스템(NIDS)은 포트 미러링용으로 구성된 네트워크 허브/스위치에 연결하거나 네트워크 탭(tap)에 연결하여 지속적으로 네트워크 트래픽을 감시하여 침입을 탐지한다. NIDS는 모든 네트워크 트래픽을 캡처하고, 그것의 정상 또는 공격 여부를 판단하기 위해 센서를 사용하여 각 패킷의 특성을 검사한다. NIDS의 예로는 Snort가 있다.
호스트 내의 처리 과정들을 감시하는 호스트 기반 침입 탐지 시스템(HIDS)은 시스템 콜, 응용 프로그램 로그, 바이너리나 암호 파일 같은 파일 시스템 변형 등의 호스트 활동 및 상태를 분석하여 침입을 식별하는 호스트 상의 센서로 에이전트를 사용한다. HIDS의 예로 OSSEC를 들 수 있다.
IDS의 탐지 방식으로는 시그니처 기반 탐지(signature-based detection)와 이상 징후 탐지(anomaly detection)가 있다. 시그니처 기반 탐지는 알려진 침입 행위에 대한 패턴을 정해놓고 이와 일치하는 경우만 침입으로 간주하기 때문에 정확한 탐지가 가능한 반면 새로운 형태의 공격이 자주 발생하는 네트워크 환경에서는 실효성을 거두기 어렵다. 이상징후 탐지는 사용자의 정상적인 행위를 기반으로 정상 패턴에 부합하지 않는 경우를 잠재적인 공격(potential attack)으로 간주하기 때문에 새로운 유형의 공격도 탐지 가능하지만 실용화를 위해서는 정상 행위를 침입 행위로 잘못 인식하는 취약점 해결이 선행 되어야 한다.
네트워크의 전형적인 침입 수단은 IT 시스템의 취약점을 공격하여 보안을 위협하는 일련의 exploits이다. 각 exploit는 후속 exploits에 대한 전제조건을 만족시키고 그들 사이에 인과관계를 형성한다. 이와 같은 일련의 exploits는 공격 경로를 구성하며 가능한 모든 공격 경로의 집합이라 할 수 있는 공격 그래프(attack graph)는 IT 시스템의 위험을 예측하고 가장 취약한 자원을 추론하는데 이용된다. 격리된 취약점은 취약점 스캐너를 통해 식별할 수 있으나 네트워크 전반적인 위험을 식별하기 위해서는 하나 또는 여러 호스트에 걸쳐있는 취약점들 간의 논리적 형식론과 상관관계가 필요하다. 따라서 시그니처가 아닌 이상징후 탐지 기반 IDS에서는 공격 발생 전후의 변화를 나타내는 전체 트래픽이 필요하다.
본 발명에서는 네트워크 기반인 제어망 이상징후 감시시스템의 성능을 평가하기 위해 데이터셋을 생성한다. 이를 위해 우선 제어망을 모델링하여 정상 트래픽 시나리오를 구상하고 이에 상응하는 일련의 단위 공격으로 구성된 공격 템플릿으로부터 임의의 공격 시나리오를 재구성한다. 본 발명에서는 상기 시나리오에 따라 데이터 생성 툴을 사용하여 정상 트래픽과 공격이 조합된 IDS 성능 평가 데이터셋을 생성하게 된다.
제어망에서 이상징후 감시시스템의 평가를 위해서 검출률과 비검출에 대한 개별적 위험에 대한 항목별 가중치를 두고 평가 방법과 절차를 제시하고, 기 제시된 평가방안에 대한 타당성을 검증하기 위하여 실증분석(Case Study)을 이용한 보정작업, AHP 통계적 기법을 이용한 검증, 실험 네트워크에서 진행하고 있는 실험 시스템과의 비교분석 결과를 보정작업 및 검증과정을 통해 최종적으로 도출된 평가 기준를 최종적으로 제시한다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시 예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
먼저, 도 1 내지 도 4를 참조하여 본 발명의 실시 예에 따른 시스템 및 장치의 구조를 설명하며, 다음으로 도 5를 참조하여 본 발명의 실시 예에 따른 절차를 상세히 설명한다.
도 1은 본 발명이 적용되는 산업 제어 네트워크의 구성을 나타내는 도면이다. 도 1을 참조하면, 산업 제어 네트워크는 인터넷(130)과 직접적으로 연결되는 내부 업무망(110), 상기 내부 업무망(110)과 연결되며, 다양한 형태의 산업 시설을 제어하기 위한 하나 이상의 제어망(120)을 포함하여 구성될 수 있다.
이하, 상기 내부 업무망(110) 및 제어망(120)의 세부 구성을 상세히 설명하기로 하며, 일반적인 기술 내용은 생략하기로 한다.
도 1을 참조하면, 제어망 연계 모델에서 제어망(120)은 인터넷과 연결되어 있지 않으며, UTM(United Threat Management)을 통해 인터넷과 연결된 내부 업무망(110)과 데이터를 교환한다. UTM은 기본적으로 라우터와 방화벽 기능 외에도 AV, IPS 등의 보안기능이 있다. 제어 시스템을 구성하는 주요 디바이스들의 역할은 다음과 같다.
- HMI(Human Machine Interface): Host에서 처리된 정보로부터 각종 제어화면, 경보표시 및 보고서 출력 지원
- Host1: 제어망의 전체 노드 및 DB 관리, 각 노드로부터 취득한 실시간 데이터 처리 및 경보처리
- Host2: Host1에 결함이 발생할 경우 신속한 대체를 위해 실시간으로 동기화되는 백업 시스템
- Engineering Workstation: 원격 필드의 현장계기 동작상태 정정 및 자료 분석
- DB Server: 제어망 내의 모든 처리정보 기록 (Data Historian).
- 운영정보전달 서버/클라이언트: 제어망에 위치한 클라이언트는 업무망의 서버에 주기적으로 데이터를 전송하여 업무망에서 제어망 모니터링을 가능케 함. 또한 클라이언트는 서버로부터 제어망 시스템 수정/업그레이드 정보를 내려 받음
- 시스템관리 서버: 주기적으로 시스템 상태 정보 수집 및 시스템의 하드/소프트웨어 업그레이드 관리. 자체 DB(mysql)를 운영하면서 DB Server(mssql)와도 연동
- FEP(Front End Processor): RTU가 연결된 통신회선과 주 제어장치인 Host 사이에서 메시지 전송과 수신, 패킷의 조립 및 해체를 수행하며 DNP3, TCP/IP 등 다양한 통신 방식을 지원.
- RTU(Remote Terminal Unit): 원격지에서 데이터를 수집해 FEP로 송신하는 원격 단말장치
- PLC(Programmable Logic Controller): 각종 릴레이, 타이머, 카운터 등의 기능을 마이크로프로세서 프로그램을 통해 제어할 수 있도록 통합한 장치
본 발명의 실시 예에서는 미리 설정된 시나리오에 따라 생성된 정상 트래픽과 공격 트래픽을 조합하여 상기 제어망(120)을 통해 실행함으로써, 이벤트 검출 여부를 판단하고 평가할 수 있다.
이하, 도 1에 도시된 제어망 모델에서 패킷의 이동 경로를 설명한다.
상기 도 1의 제어망 모델에서 각 단말기 사이의 패킷의 흐름은 단방향, 쌍방향, 또는 다른 단말기를 경유할 수 있다. 상기 제어망(120)은 인터넷과 연결되어 있지 않기 때문에 장치의 업그레이드나 외부 명령 등은 내부 업무망(110) 또는 이동장치(노트북, USB 등)를 통해 이루어질 수 있다. 내부 업무망(110)과 제어망(120) 사이의 통신은 특정 서버-클라이언트, 보안 관제 서버 사이의 데이터 교환만 가능하도록 설정하고, 극히 제한적으로 Host1으로 원격 로그인 권한이 부여된다.
제어망(120)의 실제 데이터가 보안차원의 민감성과 관련된 이유로 본 발명의 실시 예에 따라 제어망 IDS의 평가에 사용될 데이터셋은 배경 데이터(background data)와 공격 데이터를 합성하는 방법을 선택한다. 이와 같은 데이터셋 생성에 있어 반드시 고려해야 할 사항은 데이터를 생성하는데 사용된 구조에 내재된 문제점이 데이터에 반영될 수 있으며, 생성된 데이터는 IDS가 구축되는 방식에 지속적인 영향을 미칠 수 있다는 점이다. 데이터셋에서 IDS의 성능이 실제 상황에서의 성능과 정확히 부합하지 않는다면 true 탐지, false 경보와 관련하여 시스템이 비현실적으로 편향될 위험이 있다. 따라서 데이터셋의 콘텐츠와 구조가 테스트 데이터를 사용하여 개발된 시스템을 편향시키지 않으려면 주의 깊은 구성과 검증이 필요하다. 상기 검증 및 평가와 관련된 상세한 설명은 후술하기로 한다.
IDS 평가를 위해 생성된 데이터셋은 공격이 전혀 포함되어 있지 않은 배경 데이터와 공격 시나리오를 구성하기 위한 공격 데이터의 조합이다. 데이터 생성 장비는 이 두 가지 구성 요소를 동시에 생성하며, 평가를 위해 캡처된 네트워크 트래픽은 생성된 배경 데이터, 내장된 공격, 테스트 프레임 워크의 일부인 시스템들의 응답으로 구성된다. 배경 데이터와 응답을 노이즈로, 공격 데이터와 응답을 신호로 본다면, IDS 문제는 노이즈에서 신호를 검출하는 것으로 특징 지울 수 있다.
본 발명의 다양한 실시 예에서는 상술한 제어망 모델을 기준으로 정상 트래픽 시나리오와 공격 트래픽 시나리오에서 추출된 정보를 이용하여 배경 데이터와 공격 데이터를 생성하는 과정을 설명한다.
예컨대, 제어망 모델에 따라 복수 개(예컨대, 12개)의 시나리오를 구상하고 IP, UDP, TCP 프로토콜을 중심으로 다음과 같이 정상 트래픽을 생성할 수 있다.
<정상 트래픽 시나리오의 실시 예>
(1) 업무망에서 K가 자신의 PC 브라우저를 통해 회사 사이트에 접속한 후 회사 웹 메일로부터 협력업체의 메일을 수신한다. 메일에 첨부된 제어망 운영 수정 정보 문서를 ‘운영정보전달 서버’에 업로드 한다.
(2) 업무망에서 P는 자신의 PC로부터 운영정보전달 서버에 접속하여 제어망 시스템 운영관련 파일을 다운받는다. 이 파일 중 일부는 메일에 첨부되어 관계기관으로 보내진다.
(3) A망 보안관제 서버는 1 분마다 각 서버에 상주하는 에이전트로부터 보안 이벤트를 수집한다.
(4) 제어망 관리자는 운영정보전달 클라이언트에서 업무망에 위치한 운영정보전달 서버에 접속하여 제어망 시스템과 관련된 수정 및 업그레이드 여부를 확인한다. PLC에 대한 수정 정보를 내려받아 시스템관리 서버와 Host를 통해 업그레이드를 수행한다.
(5) 현장 계기 PLC1/2로부터 RTU에 수집된 데이터는 FEP를 통해 10초마다 Host1로 전송된다.
(6) Host1에서 처리된 정보는 DB Server와 HMI1/2, Engineering Workstation에 주기적으로 전달된다.
(7) Host의 원격 로그인 권한을 가진 L이 업무망 PC에서 RPC(Remote Procedure Call) 서비스에 접속해 현장 계기 상태의 실시간 정보를 복사한다.
(8) B망 보안관제 서버는 5분마다 각 시스템에 상주하는 에이전트로부터 보안 이벤트를 수집한다.
(9) 관리자는 Engineering Workstation을 통해 Host1, FEP, RTU, PLC1, PLC2의 설정 정보를 비정기적으로 변경한다.
(10) Host1에 변경사항이 있으면 rsync 서비스를 통해 Host2가 실시간으로 동기화된다.
(11) 운영정보전달 클라이언트는 5분마다 주기적으로 운영정보전달 서버에 데이터를 전송한다.
(12) 시스템관리서버는 Host1, Host2, FEP으로부터 5분마다 주기적으로 시스템상태정보를 전송 받는다.
도 2 및 도 3은 본 발명의 실시 예에 따른 시스템의 구성을 나타내는 도면이다. 도 2를 참조하면, 제어망(120)과 업무망(110) 사이에 보안 관제 장치(200)를 구비하여 트래픽을 분석할 수 있다.
제어망(120)과 연관된 패킷의 흐름을 침입 경로에 따라 분류하면 업무망(110) 내부, 제어망 내부, 업무망과 제어망 사이, 제어망의 FEP와 직렬로 연결된 원격 필드 사이트 사이로 나눌 수 있다. 하지만 전적으로 제어망 위주로 분류하면 업무망 내부의 트래픽은 따로 수집할 필요는 없다. 도 2에 도시된 바와 같이 각 트래픽 분석 지점에서 패킷의 흐름을 파악할 수 있으며, 이와 같이 생성된 정상 트래픽은 IDS 성능평가를 위한 데이터셋의 배경 데이터(background data)가 된다.
또한, 본 발명의 다양한 실시 예에 따라, 도 3에 도시된 바와 같이 트래픽 생성 장치(300)에서 정상 트래픽과 공격 트래픽이 조합된 평가 데이터 셋을 생성하고, 별도의 보안 관제 장치(200)에서 트래픽을 검출하여 평가하도록 구현할 수도 있다. 후술하는 본 발명의 실시 예에서는, 하나의 보안 관제 장치(200)에서 평가 데이터 셋을 생성하고, 생성된 데이터 셋의 실행에 따라 검출된 트래픽을 분석하는 것으로 설명하나, 본 발명이 이에 한정되지는 않는다.
도 4는 본 발명의 실시 예에 따른 보안 관제 장치의 세부 구조를 나타내는 블록도이다. 도 4를 참조하면, 본 발명의 실시 예에 따른 보안 관제 장치(200)는 정상 트래픽 생성부(410), 공격 트래픽 생성부(420), 평가 데이터 셋 생성부(430), 트래픽 검출부(440), 트래픽 분석부(450), 평가 결과 산출부(460)를 포함하여 구성될 수 있다.
정상 트래픽 생성부(410)는 미리 설정된 시나리오에 따라 적어도 하나의 정상 트래픽을 생성한다. 공격 트래픽 생성부(420)는 미리 설정된 시나리오에 따라 적어도 하나의 공격 트래픽을 생성한다.
본 발명의 실시 예에 따라 평가 데이터 셋 생성부(430)는 상기 정상 트래픽 생성부에서 생성된 적어도 하나의 정상 트래픽과 상기 공격 트래픽 생성부에서 생성된 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성한다. 상기 평가 데이터 셋 생성부(430)에 의해 생성된 성능 평가 데이터 셋은 제어망(120)을 통해 실행될 수 있다.
트래픽 검출부(440)는 상기 제어망(120)을 통해 실행된 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출할 수 있다. 트래픽 분석부(450)는 상기 트래픽 검출부(440)에서 검출한 트래픽을 분석할 수 있다. 평가 결과 산출부(460)는 상기 트래픽 분석부(450)에 의해 분석된 결과를 수치화하여 산출할 수 있다.
상기 보안 관제 장치(200)의 각 기능 블록들의 구체적인 구현 예들은 후술하기로 한다.
한편, 상기 장치의 각각의 구성요소들은 기능 및 논리적으로 분리될 수 있음을 나타나기 위해 별도로 도면에 표시한 것이며, 물리적으로 반드시 별도의 구성요소이거나 별도의 코드로 구현되는 것을 의미하는 것은 아니다.
그리고 본 명세서에서 각 기능부(또는 모듈)라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 각 기능부는 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
이상으로, 도 1 내지 도 4를 참조하여 본 발명의 실시 예에 따른 시스템 및 장치의 구조를 설명하였다. 이하, 도 5를 참조하여 본 발명의 실시 예에 따른 절차를 상세히 설명한다.
도 5는 본 발명의 실시 예에 따른 산업 제어 네트워크에서의 보안 관제 평가 절차를 나타내는 신호 흐름도이다. 도 5를 참조하면, 적어도 하나의 정상 트래픽을 생성(502)하고, 적어도 하나의 공격 트래픽을 생성(504)할 수 있다.
다음으로, 상기 적어도 하나의 정상 트래픽과 상기 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성(506)할 수 있다.
다음으로, 제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출(508)하고, 상기 검출한 트래픽을 분석(510)할 수 있다. 마지막으로, 상기 분석된 결과를 수치화하여 평과 결과를 산출(512)할 수 있다.
상기 도 5에 도시된 동작들 중 적어도 하나의 동작이 생략되어 실행될 수도 있으며, 적어도 하나의 다른 동작이 상기 동작들 사이에 추가될 수도 있다. 또한, 상기 도 5의 동작들은 도시된 순서로 처리될 수도 있으며, 적어도 하나의 동작에 대한 실행 순서가 다른 동작의 실행 순서와 변경되어 처리될 수도 있다. 또한, 상기 도 5에 도시된 동작들은 전자 장치 내에서 수행될 수도 있으며, 서버에서 수행될 수도 있다. 또한, 상기 도 5에 도시된 동작들 중 적어도 하나의 동작들은 전자 장치 내에서 수행되고, 나머지 동작들은 서버에서 수행되도록 구현될 수도 있다.
한편, 본 발명의 일 실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
한편, 정상 트래픽 시나리오에 따라 발생한 트래픽을 각 패킷의 {src_IP, src_Port, dst_IP, dst_Port, Protocol(TCP/UDP)} 정보를 기준으로 추출하여 위에서 전술한 네 개의 경로로 분류할 수 있다. 이렇게 추출된 패킷 정보는 데이터 생성 툴에 의해 데이터셋을 생성하는데 사용될 수 있다.
먼저, 업무망과 제어망 사이의 트래픽은 하기 <표 1>과 같이 생성될 수 있다.
Figure pat00001
다음으로, 업무망 내부의 트래픽은 하기 <표 2>와 같이 생성될 수 있다.
Figure pat00002
또한, 제어망 내부의 트래픽은 하기 <표 3>과 같이 생성될 수 있다.
Figure pat00003
또한, 상기 제어망과 필드 사이트 사이의 트래픽은 하기 <표 4>와 같이 생성될 수 있다.
Figure pat00004
위험의 파급효과나 상대적인 심각성은 자산 등에 대한 손상, 손실의 가치와 위협의 예상 발생빈도에 의해서 비례적(proportional)으로 결정될 수 있다. 여기서 공격트래픽은 사이버위험을 유발하는 행위를 지칭한다.
이하에서는 공격 트래픽에 대한 분류를 설명하기로 한다.
제어망에서 이상징후 감시시스템 평가를 위해 도 6에 도시된 바와 같이 본 발명의 실시 예에서는 Attacker -> Perposes -> 공격 가능한 영역(TOOL) -> 취약점 ->행동 -> 목표 순으로 결과를 나타낼 수 있다.
이하, 세부적인 공격 분류에 대해 상세히 설명하기로 한다.
(1) 시스템 및 서비스 설정 취약점을 이용한 공격
시스템 및 서비스 설정 취약점을 이용한 공격은 시스템과 시스템에서 제공하는 각종서비스 설정과 관련된 취약점을 이용하는 것으로 그 수준은 그리 높지 않는 경우가 대부분이다. 시스템에 존재하는 취약점은 일반 시스템 분석 도구를 이용하여 찾을 수 있으며, 해킹 하는데 특별한 소스코딩 작업 등 고난이도의 기술이 필요하지 않기 때문에 비교적 쉽게 공격할 수 있으며, 시스템 명령어를 알고 이를 이용하여 시스템 설정을 확인할 수 있는 경우에는 좀 더 쉽게 공격할 수 있다.
공격기법을 세부적으로 분류하면 파일 시스템의 쓰기 권한 취약점을 이용하는 경우와 SUID프로그램 관리상의 문제점을 이용하는 경우, 환경변수를 이용하는 경우가 포함된다. 이는 시스템 명령어들을 사용할 수 있고, 이를 이용하여 시스템 설정들을 확인할 수 있는 경우 공격에 쉽게 적용시킬 수 있는 방법으로 대개 유닉스 시스템에서 사용되는 파일 권한(rwxs-rwx-rwx)등을 악용하는 사례로 그 내용은 다음과 같다.
a. 쓰기권한 취약점을 이용한 공격
멀티유저 운영체제는 보안상의 이유로 다른 사용자가 자신의 파일을 읽거나 파일에 다른 내용을 기록하는 것을 금지하고 있다. 이런 역할을 하는 것을 퍼미션(Permission) 이라고 하며 다른 사용자의 파일을 마음대로 접근하지 못하도록 하기 위해 사용된다. 퍼미션은 읽기, 쓰기, 실행 등 3가지 권한으로 이루어 진다. 즉 파일이나 디렉토리에 각각의 접근권한을 부여하여 허가받은 사용자(그룹)만 파일에 접근, 실행할 수 있도록 하는 것으로 파일이나 디렉토리를 다른 사람들과 안전하게 공유하거나 개인적인 목적으로만 사용할 수 있다.
퍼미션은 소유자가 속한 그룹과 그와 유저(그룹)로 나누어지며 만일 관리자가 파일이나 디렉토리의 권한을 잘못 부여하면 비 인가자가 특정 파일을 실행하여 악의적인 행위를 수행할 수 있게 된다.
b. Suid 프로그램 관리상의 문제를 이용하는 공격
일반적으로 파일의 권한은 실행한 사용자의 권한을 따르지만 Suid가 설정되어 있을 경우에는 소유자의 권한을 따른다. 예를 들면 패스워드 파일은 관리자 권한이 있어야 한다. 이 경우 Suid를 이용하여 사용자도 임시로 관리자 권한을 획득하여 패스워드를 수정할 수 있다. 따라서 파일을 생성할 경우 Suid 권한을 잘못 부여하게 되면 공격자는 아무런 제약 없이 관리자권한으로 프로그램을 실행, 사이버 공격을 수행할 수 있다.
(2) 프로그램 취약점을 이용한 공격
프로그램 취약점을 이용하는 공격기법은 프로그래밍 상의 보안 오류와 프로그램 동작상의 보안 오류로 인하여 발생하는 취약점이 있을 수 있다. 후자의 경우에는 프로그램 단독으로 문제가 일어나는 경우도 있지만 여러 프로그램이 동시에 수행될 경우에 문제가 발생하는 경우도 있다. 프로그램 동작상의 오류로 인한 문제는 특정 프로그램에 대한 문제로 권고문의 형태로 알려지고 패치가 가능하게 된다.
프로그램 오류를 이용한 기법은 해킹의 핵심이라고 할 수 있는데, 공격 종류에는 CGI/JAVA 스크립트 취약점, ASP, PHP 스크립트 취약점을 이용한 공격, 버퍼 오버플로 공격, 힙 오버플로 공격, 레이스 컨디셔닝 공격, 포맷 스트링 공격 등이 있는데 각종 스크립트 언어의 취약점은 기본적으로 각종 소스 파일들을 읽을 수 있는 능력이 있어야 하기 때문이다. 일반적으로 각종 스크립트의 취약점들은 스크립트 자체의 문제만으로 해킹에 이용되는 경우 보다는 다른 해킹 기법과 연관되어 이용되는 경우가 대부분이다.
a. 버퍼오버플로우 공격
버퍼오버플로우는 배열로 할당한 메모리 공간에 데이터(주로 문자열)를 저장하는 과정에서 할당된 배열 공각영역을 넘어서 다른 저장 공간을 침범하는 현상을 말한다. 프로그램 언어에 따라 런 타임에 배열경계 침범하는 현상을 말한다. 프로그램 언어에 따라 런 타임에 배열경계 침범을 허용하거나 불허할 수가 있는데, C/C++ 프로그램 언어는 경계 침범을 허용하는 대표적인 언어 중의 하나이다. 버퍼오버플로우가 보안침해를 위한 공격 수단이 될 수 있는 이유는 대부분의 버퍼(배열공간)가 스택영역에 할당될 수 있고, 그 주변에는 프로그램 흐름을 결정하는 복귀주소 등의 제어정보가 존재하기 때문이다. 즉 버퍼를 벗어나 일부 데이터가 제어정보를 덮어쓰고, 악성코드가 존재하는 곳에 데이터에 대한 주소를 가지고 있다면 해당 프로그램은 원래의 목적대로 실행되지 못하고, 공격자의 의도된 침해 기능을 수행하게 되는 것이다.
Buffer란 일종의 임시 기억장소로 데이터를 임시로 저장하는 공간을 말하며 버퍼의 종류는 Stack, Heap 2가지로 구분된다. 그렇기 때문에 버퍼 오버플로우 공격 또한 Stack-Based Buffer Overflow, Heap-Based Buffer Overflow로 구분된다.
b. 포맷스트링 공격
포맷스트링(Format String)이란 C언어에서 일반적으로 Data 변수를 입출력문에서 일정한 형태로 받아들이거나 출력하기 위해서 사용하는 기호로 공격자가 출력문에서 올바르지 못한 방법을 악용하여 실제 메모리 번지를 공격하여 원하는 값으로 변경하거나 시스템 관리자 권한을 절취하는 공격기법을 의미한다.
(3) 프로토콜 취약점을 이용한 공격
프로토콜의 취약점을 이용한 공격기법의 경우 해커는 각종 프로토콜 자체를 이해하고 있어야 한다. 따라서 다른 해킹 기법보다 높은 수준이 된다. 일반적으로 프로토콜 취약점을 이용한 해킹은 기 작성된 해킹 프로그램을 이용하는 경우가 대부분이다.
대표적인 인터넷 프로토콜인 TCP/IP 프로토콜은 1960년대 미국 DoD(Department of Defense)에 의해 통신기술 사업으로 시작되었고 1975년 ARPANET IFIP(International Federation of Information Processing Work Group 6.1)에 의해 개발이 완료 되었다. TCP/IP 프로토콜은 데이터 통신을 위해 다수의 층(Layer)으로 구성되어 있다. TCP 프로토콜은 데이터를 주고받는 것에 대한 규약으로 프로토콜 개발초기에는 보안측면 보다는 활용성에 중점을 두었기 때문에 사이버 공격에 매우 취약하다. 현재 인터넷은 TCP/IP기반으로 운영되고 있으며 아직까지 해커는 TCP/IP 프로토콜 취약점을 이용한 사이버 공격을 지속적으로 수행하고 있다.
프로토콜의 취약점이란 TCP/IP뿐만 아니라 각종 인터넷 프로토콜(ICMP, ARP,RARP, UDP등)의 설계상의 취약점을 포함한다.
a. DoS 계열 공격
네트워크에 분산되어 있는 다수의 컴퓨터가 일시에 특정 전산장비(서버 등)에 패킷(Packet)을 송출, 네트워크를 넘쳐나게 하거나 전산장비(서버 등)의 가용성을 소진시켜 정상 서비스를 제공하지 못하도록 하는 공격을 말한다. 컴퓨터 이용자는 공격의도가 없으나, 자신의 컴퓨터를 해커에게 조종당해 자신도 모르게 공격을 수행하게 된다. 해커는 공격 대상과는 무관하게 다수의 컴퓨터를 해킹하여 공격용 프로그램(트로이의 목마)을 설치한 후 좀비 PC에게 공격지령을 내린다. 표적이 된 서버는 트로이 목마가 설치된 컴퓨터로부터 공격을 받기 때문에 실제 공격자를 찾아내는 것은 어렵다.
DDoS 공격은 Flooding 공격, Connection 공격, Application 공격으로 나누어지며 최근에는 공격 수행 후 증거 인멸을 위해 디스크(HDD)를 파괴하는 등 수법이 점점 교묘해 지고 있다. DDoS 공격은 피해 시스템을 공격하기 전 좀비PC를 확보하여야 하며 공격명령을 하달하여 일시에 공격을 수행한다. DDoS 공격은 국가적인 혼란을 야기하거나 게임업체?금융기관 등을 공격하여 기업의 이미지를 저하 시키는 등 주로 전문 해킹조직에 의해 수행된다.
b. 스니핑(Sniffing) 공격
스니핑(Sniffing)은 ‘코를 킁킁거리다, 냄새를 맡다’ 등의 의미를 가지며 이 공격은 사전적 의미와 같이 네트워크상에서 자신이 아닌 다른 상대방의 인터넷 통신을 엿듣는 행위를 말한다. 간단히 말하면 네트워크 트래픽을 도청하는 과정을 ‘스니핑’이라고 할 수 있으며 스니핑 공격은 공격시 막는 것도 어려우며, 탐지 역시 쉽지가 않다. 스니핑을 할 수 있도록 하는 프로그램을 ‘스니퍼’라고 하며 스니퍼를 설치하는 과정은 전화기에 도청장치를 설치하는 과정과 유사하다.
스니핑은 보안의 기본요소 중 기밀성(Confidentiality)을 해치는 공격방법으로 인터넷을 통해 이루어지는 통신내용을 절취할 수 있다. 이러한 공격에 대응하기 위해서는 데이터 암호화 통신을 수행하여야 한다.
랜(LAN)에서의 스니핑은 Promiscuous 모드에서 작동한다. 랜 카드는 설정된 IP 주소와 고유한 MAC(Media Access Control) 정보를 가지고 있으며 자신의 랜 카드에 들어오는 프로토콜 형식에 따라 IP 주소 및 MAC 정보를 인식하고 자신의 버퍼에 저장유무를 결정한다. 그러나 스니핑은 자신이 받지 말아야 할 다른 네트워크 정보까지 모두 받아들이는 것이다. 이렇듯 자신의 네트워크 정보(IP, MAC)를 무시하고 모든 패킷을 받아들이는 상태를 Promiscuous 모드라고 한다. 대표적인 공격기법에는 Switch Jamming, ARP Redirect 공격, ARP spoofing 공격, ICMP Redirect 공격 등이 있다.
(4) 사회공학을 이용한 공격
a. 피싱
피싱(Phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장하여 비밀번호, 신용카드 번호 등 비밀정보를 부정하게 얻으려는 Social Engineering의 한 종류이다. ‘피싱’이란 용어는 점점 더 복잡한 미끼들을 이용해서 사용자의 금융정보와 패스워드를 ‘낚는’다는 데서 유래 되었다.
인터넷 사기꾼(피셔)들은 일반 해커와 달리 사용자의 하드웨어와 소프트웨어 손상이나 자신의 이름을 알리는 것에는 관심이 없으며 오직 금융사기를 통해 금전적인 이득을 취하는 데 목적이 있다.
피싱 공격자들은 익명으로 보다 효과적인 방법을 통해 금전적으로 가치 있는 정보를 빼낼 수 있는 기술을 끊임없이 개발하고 향상시키고 있다.
피싱의 종유에는 도메인 사기(Domain Spoofing), 신뢰할만한 공식기관 사칭, 특정 사회적 뉴스 가장, 가짜 사이트 등이 있다.
b. 메일 공격
인터넷상에서 수신자의 의사와 관계없이 불특정 다수에게 특정 목적의 이메일 또는 뉴스그룹 기사를 발송하는 것을 의미한다. 스팸메일은 대부분 수신자가 원하지도 않고, 관심도 없는 메시지이거나 각 뉴스그룹의 토론 주제와도 상관없는 기사로 다수의 사람들에게 상품을 광고하거나 특정 상품 또는 기업을 비방할 목적으로 전자메일을 이용하여 발송하는 행위를 말한다.
(5) 악성코드(Malware)에 의한 공격
악성코드는 바이러스, 트로이안, 백도어 웜 등을 이용한 공격이다. 특히 백도어 웜은 시스템을 해킹하고 자기를 복제하는 공격으로 최근에 가장 많이 사용되고 있다. 트로이안이나 백도어 웜은 매우 다양한 형태로 나타나고 있으며, 최근에는 전문가가 아니어도 사용할 수 있도록 쉬운 인터페이스를 사용한 프로그램도 나왔다. 백도어 웜을 이용한 공격을 하려면 운영체제나 응용프로그램의 취약점에 대한 이해와 프로그램 제작 능력을 갖추고 있어야 한다. 다음은 악성코드의 종류에 대한 내용은 다음과 같다.
a. virus
virus는 컴퓨터 시스템에 몰래 침투해 숙주 프로그램이나 실행 가능한 파일에 자기자신이나 변형된 자신을 감염시키고 또 다른 대상을 감염시킴으로써 컴퓨터 시스템과 파일을 파괴하는 코드 혹은 프로그램이다. Virus는 컴퓨터 비정상적인 동작 유발, 데이터삭제, 컴퓨터 성능 저하, 인터넷 속도 저하 등의 악성행위를 수행한다.
b. Worm
Worm은 자기복제성을 가지고, 숙주 프로그램이나 파일이 없이 독자적으로 실행되어 프로그램 내에서 스스로 자신을 복제하거나 프로그램과 프로그램 사이 또는 컴퓨터와 컴퓨터 사이를 이동하여 전파시키며, 기억장소에 코드 형태 혹은 실행파일로 존재하는 프로그램 조각이다. Worm은 자기 자신을 복제하는 행위, 사용자가 인지하지 못한 방법으로 이메일을 전송하는 행위, 해당 프로그램 혹은 개발사에서 배포하지 않은 정상적인 파일에 새로운 코드를 삽입하는 등의 악성행위를 수행한다.Virus와 Worm은 모두 자기복제가 가능하다는 점에서 공통점을 가지지만, 전파 방법에 대한 차이점이 존재한다. Virus는 파일 등에 삽입되어 전파되지만, Worm은 파일과는 독립적으로 그 자체만으로도 네트워크를 통해 전파된다.
c. Trojan Horse
Trojan Horse는 정상적인 단일 프로그램으로 위장하고 있으나 악성 루틴을 포함하고 있는 프로그램이다. Trojan Horse는 다른 프로그램 내에 사용자가 알 수 없도록 포함되며, 스스로 복제하지 못한다. 공격자가 고의로 삽입시키기 때문에 프로그램의 버그와는 다르며 스스로 복제를 못하기 때문에 Worm이나 Virus와 다른 특징을 지닌다. Trojan Horse의 주요 악성행위로는 Backdoor설치, DDoS 공격, Key Logging을 통한 ID 및 Password 수집 등이 포함된다. Trojan Horse와 자기 복제가 불가능하고 다른 파일을 감염시키지 못하며, 사용자가 실행시키도록 하여 스스로 피해를 유발한다. Virus가 정상적인 Boot 영역 및 파일 등을 감염시키면서 전파된다는 점에서 차이가 있다.
d.Bot
Bot은 사용자의 컴퓨터를 공격자가 제어할 수 있도록 만들어 주는 프로그램으로, 다양한 경로로 사용자의 컴퓨터에 침입하여 Bot Master의 명령에 따라 활동한다. Bot Master는 Bot에 감염된 컴퓨터를 자유롭게 제어할 수 있을 뿐만 아니라 컴퓨터에 저장된 정보를 수집할 수 있어 각종 정보 유출이 가능하고, 다른 시스템을 공격하는 데 사용된다. 이러한 Bot들이 네트워크를 형성한 경우를 Botnet이라 부른다.
e. Key-logger
Key-logger는 키보드로부터의 입력을 감시하고 기록하여 공격자에게 전송하는 악성코드이다. Key-logger는 감염된 컴퓨터의 사용자가 키보드를 통해 입력한는 ID, Password, 주민등록번호, 계좌번호, 신용카드번호 등의 모든 데이터를 훔쳐볼 수 있는 악성행위를 수행한다.
이하, 상기 공격 방법을 기반으로 하는 다양한 공격 시나리오를 설명하기로 한다.
공격을 하는 대상은 외부의 해커가 제어망에 감염시킨 웜이나 봇 또는 내부자에 의한 공격이 이루어지며, 공격경로는 제어망을 기준으로 내·외부에서의 침입과 감염 또는 제어망 시스템에서 USB등을 이용하여 감염시킨다.
공격자의 제어망 공격 목표는 제어망내의 정보 유출, 제어시스템 정지, 모니터링 변경, 악성 제어명령 전송, 악성코드 전파로 인한 제어망의 비정상 가동이다.
공격을 하기 위한 정보습득 방법은 Port 스캔, IP스캔, Function 스캔등을 이용하여 내부정보를 습득한다.
공격 시나리오 과정을 살펴보면 다음과 같으며, 시나리오 번호는 공격 방법과 달리 테스트를 위해서 일련번호를 별도로 설정할 수 있다.
1. 웜바이러스 이용 공격
(1) 스턱스넷(Dropper.Stuxnet.611840)
외부에서 스턱스넷에 감염된 USB를 B망(제어망)에 접속, 스턱스넷은 기타 이동식 저장매체의 자동실행 기능을 이용한 자기복제, MS사의 윈도우 바로가기파일인 LNK 자동 실행 취약점, LAN상에서 P2P방식으로 스스로 업데이트, 바이너리가 숨겨진 윈도우 루트킷, 기존에 나와 있던 백신 소프트웨어 회피를 시도하는 특징을 갖고 있다.
스턱스넷의 공격 시나리오를 간단히 살펴보면, 먼저 대상인 제어 시스템의 설계문서를 획득한다. 설계문서는 내부 직원 또는 스턱스넷의 초기버전및 다른 악성 바이너리를 통해 입수한다. 입수한 설계문서를 바탕으로 제어망을 공격한다.
테스트 방법은 스턱스넷 공격 방법을 모델링 하여 표적 제어시스템과 동일한 환경을 구축하여 테스트를 실시한다.
테스트가 완료되면 접근권한이 있는 내부 직원들을 이용하여 직접 감염을 시도한다. 표적인 제어 시스템 파괴를 위한 모든 기능은 스턱스넷의 실행파일에 이미 구현되어 있으며 감염된 컴퓨터의 PLC코드를 변경하여 PLC 시스템을 파괴한 후에 코드 변경사항을 숨긴다.
상기 스턱스넷에 의한 시나리오는 하기 <표 5>와 같이 나타낼 수 있다.
발신 어드레스 포트 수신 어드레스 포트 공격 기타
1 제어망 192.168.109.151
(HMI2)		 44808 제어망 192.168.109.1 ~
192.168.109.255
(운영정보전달서버)		 5000 또는 RANDOM Dropper.Stuxnet.611840 USB
및 네트워크
2 제어망 192.168.109.53
(FEP)		 제어망 192.168.109.103
(RTU)		 Dropper.Stuxnet.611840
3 제어망 192.168.109.103
(RTU)		 제어망 192.168.109.102
(PLC)		 Dropper.Stuxnet.611840
또한, 상기 스턱스넷에 의한 제어망 위험도 분석 결과는 하기 <표 6>과 같이 나타낼 수 있다.
항목 점수
감염 대상 획득(최대 20점) 18
감염 경로(최대 15점) 15
감염 시 증상(최대 25점) 25
방어 조치 난이도(최대 5점) 5
피해 예상 자산(최대 10점) 10
위험도 총 점수(최대 75점) 73
이하, 설명하는 다른 공격 실시 예에서도 상기 <표 5> 및 <표 6>과 같이 설명될 수 있으나, 그 상세한 실시 예들은 생략하기로 한다.
(2) 두쿠(W.32 Duqu)
내부자가 USB를 통해 B망의 HMI에 W.32 Duqu를 감염시켜 키보드 입력(Keystroke) 및 시스템 정보 등을 B망의 DB서버에 저장하고 A망의 운영정보전달서버에서 운영정보 클라이언트 통해 B망의 DB서버에 접근하여 로그정보를 입수한다. 탈취된 데이터는 향후 공격을 감행하는데 사용될 수 있다.
(3) 슬래머(Worm.SQL.Slammer)
외부에서 Worm.SQL.Slammer가 A망의 Web서버를 거쳐 A망 운영정보전달서버를 통해 B망 내 전파되는 과정에서 FEP이 슬래퍼웜에 감염되어 DDos 공격을 받고 정지한다. 따라서 필드장치의 정보를 제어망에서 확인할 수 없게 된다.
2. 메일 + 웜바이러스
(4) 외부에서 표적형 스팸 메일을 이용하여 A망의 Mail 서버에 LovGate.worm.155648을 심어놓고 A망 전체에 전파시킨다. 이 웜은 운영정보전달 서버를 통해 B망 전체에 복제되어 20168 포트가 오픈되고 *.EXE 확장이 가능한 파일을 감염시킨다.
(5) 외부 봇넷에 의해 발송된 스팸메일을 A망의 개인PC가 메일확인을 하는 과정에서 크로울러 봇이 심어지면서 A망 전체에 크로울러 봇이 전파되어 좀비로 구성된 악성 네트워크를 형성하게 된다. A망의 봇넷에서 B망으로 침투하여 마찬가지로 B망 전체를 악성 네트워크로 형성하여 필드장치에 악의적 제어명령을 지시한다.
(6) 스팸메일을 열어본 A망의 개인PC는 DNS체인저라는 악성코드에 감염되어 해당 PC에 설정된 DNS서버가 아닌 공격자가 운영하는 DNS서버로 연결되도록 하여 MyDoom.worm.32768을 감염시켜 TCP포트 3127번이 열리며 접근 권한이 없는 외부에서 접속해 원격 조정을 한다. 공격자는 A망의 개인PC에서 운영정보전달서버를 통해 B망의 HMI에 MyDoom.worm.32768을 감염시켜 원격 조정으로 악의적 제어 명령을 내려 PLC에 과부하를 걸어 정지하게 한다.
3. 해킹
(7) 외부에서 해커가 웹사이트의 첨부파일에 숨겨놓은 키로거 프로그램을 A망의 개인PC 사용자가 다운받아 첨부파일의 실행 시 키로그 프로그램이 설치되어 A망 운영정보전달서버를 통해 B망 내 시스템인 HMI, Engineering Workstation에 접근한다. 이후 키로거를 HMI, Engineering Workstation를 설치하고 로그정보를 인터넷으로 전송받는다.
(8) 내부자가 A망의 개인PC를 통해 운영정보전달서버를 거쳐 B망의 시스템관리서버에 키로거를 설치한다. 이후 키로거는 정보를 인터넷으로 전송한다.
(9) 내부자가 A망의 개인PC를 통해 운영정보전달서버를 거쳐 B망 HMI에 접속하여 위험한 제어명령을 FEP→RTU→PLC로 전송하여 PLC를 정지시킨다.
(10) 해커가 자신의 PC를 개인PC에서 운영정보전달서버를 통해 B망 Host에서 HMI로 전송되는 데이터를 Man-in-the-Middle attack 형식으로 조작하여 HMI에 잘못된 데이터를 제공한다.
(11) 해커가 자신의 PC로 Malicious Bot을 다른 시스템으로 전파하여 개인PC가 이를 받게 되면 해커에 의해 원격 조정이 가능해 지고 운영정보전달서버를 통해 B망의 HMI에 접속한 후 Host로 접속하여 Host에 악성제어명령을 전송한다.
4. 내부자
(12) 내부자가 USB를 통해 B망의 DB서버에 Witty.Worm을 감염시켜 데이터를 손상시키고 UDP 4000번 포트에서 HMI로 네트워크 트래픽이 증가한다.
(13) D망의 내부자가 B망 내 HMI에 이상 제어명령을 전송한다.
(14) E망의 내부자가 B망 내 DB서버에 Trojan.Win32.Agent.500224.B를 감염시킨다. DB 정보 및 사용자 정보들을 외부로 유출시킬 수 있다.
(15) 내부자의 USB를 통해 B망의 HMI가 Trojan.Win32.S.Agent.881848가 감염되고 FEP과 RTU를 거쳐 악성코드에 감염된 PLC의 정보들을 B망의 DB서버에 저장한다. DB 정보 및 사용자 정보들을 외부로 유출시킬 수 있다.
(16) 내부자가 USB를 통해 운영정보전달 클라이언트에 감염된 악성코드가 Host를 거쳐 내부정보를 E망(또는 D망)으로 전송한다.
(17) P2P에서 다운받은 실행파일을 USB에 저장하여 저장한 파일을 운영정보전달 클라이언트에 옮겨 실행시키면서 감염된 Warpigs.worm. 67104가 B망 전체에 감염되어 113번 포트가 오픈되고 운영정보전달서버에 패킷을 보낸다.
(18) USB를 통해 B망의 HMI에 포트스캔, IP스캔 등으로 망내 정보를 수집한 후 B망 내 Engineering Workstation, Host에 Bugbear.B를 감염시켜 실행파일들을 감염시킨다.
(19) USB를 통해 HMI에 B망 내 정보가 입력되어 있는 Trojan.Win32.Bymer가 감염된 후, 망내 정보 수집단계 없이 B망 내 Engineering Workstation, Host에 전파된다.
(20) USB를 통해 운영정보전달 클라이언트에 감염된 Dropper.S.Agent.138949.A가 내부정보를 A망을 거쳐 인터넷으로 유출한다.
5. 공격 시나리오에서 추가 공격
(21) 시나리오 15번에 오버플로우 공격을 추가하여 DB Data를 외부로 유출시킨다.
(22) 시나리오 6번에 스니핑 공격을 추가하여 PLC에 과부하를 걸어 정지하게 한다.
6.다중 동시 공격
(23) 시나리오 4번, 6번, 9번, 14번을 동시에 공격하여 B망 전체에 *.EXE 확장이 가능한 파일을 감염시키고 필드 장치인 PLC를 DOWN 시키고 DB Data를 외부로 유출시키는 공격이다.
전술한 각 공격 시나리오에 대해 도구, 취약점, 행동, 목표 등으로 분류할 수 있으며, 각 세부공격 분류에 대한 시나리오를 적용할 수 있다.
다음으로, 본 발명의 실시 예에 따라, 정상 트래픽 및 비정상 트래픽을 이용한 이상징후 탐지 방법의 예를 설명하기로 한다.
전술한 바와 같이, 도 1 및 도 2를 참조하면, 네트워크 구성에서 제어망(120망)은 인터넷과 연결되어 있지 않으며, UTM(United Threat Management)을 통해 인터넷과 연결된 내부 업무망(110)과 데이터를 교환한다.
제어망 이상 징후 감시 시스템(보안 관제 장치(200))은 제어망(120)내 스위치(S/W)에 미러링 포트를 통해 설치할 수 있다.
예컨대, 보안 관제 장치(200)는 전술한 정상 트래픽 시나리오와 배경 데이터를 사용하여 N-IDS기반의 Snort에 정상 트래픽만을 올려서, 제어망(B망)에서 정상 트래픽 이외의 모든 트래픽을 검출할 수 있다. 또한, 본 발명의 실시 예에 따라 전술한 공격 시나리오 (1)~(23)까지를 활용하여 하기 <표 7>과 같이 테스트를 실시할 수 있다. 공격시나리오의 공격은 도 3의 트래픽 생성 장치(300)(예컨대, BPS-10K 장비)를 이용할 수도 있다.
검출 내역 비정상 내역 검출 내역 미검출 내역
웜 바이러스 30 30 0
시나리오1 3 2 1
시나리오2 5 3 2
시나리오3 2 2 0
시나리오4 1 1 0
시나리오5 1 1 0
시나리오6 2 1 1
시나리오7 2 2 0
시나리오8 2 2 0
시나리오9 3 3 0
시나리오10 2 2 0
시나리오11 2 2 0
시나리오12 1 1 0
시나리오13 1 1 0
시나리오14 1 1 0
시나리오15 2 2 0
시나리오16 2 2 0
시나리오17 2 2 0
시나리오18 2 2 0
시나리오19 2 2 0
시나리오20 1 1 0
시나리오21 2 2 0
시나리오22 4 4 0
시나리오23 10 10 0
85 81 4
다음으로, 본 발명의 다양한 실시 예에 따라 데이터 셋을 이용하여 이상 징후 감시 시스템을 평가하는 방법 및 절차를 상세히 설명하기로 한다.
본 발명의 다양한 실시 예에서는 제어망에서 이상징후 감시시스템의 평가를 위해서 검출율과 비 검출에 대한 개별적 위험에 대한 항목별 가중치를 두고 평가 방법과 절차를 제시하고, 기 제시된 평가방안에 대한 타당성을 검증하기 위하여 실증분석(Case Study)을 이용한 보정작업, AHP 통계적 기법을 이용한 검증, 실험 네트워크에서 진행하고 있는 실험 시스템과의 비교분석 결과를 보정작업 및 검증과정을 통해 최종적으로 도출된 평가 기준을 최종적으로 제시한다.
<평가항목>
1. 시나리오 공격 여부
(1) 순차적 시나리오 공격 검출 여부 (시나리오 1~20번)
(2) 동일 시나리오에 다른 공격이 사용 되었을 때 검출 여부 (시나리오 21-22번)
(3) 동시 다중 공격시 검출 여부 (시나리오 23번)
2. 알람제어
(1) 정상 시나리오 알람 제어 여부
- 제어망에서 이상징후 감시시스템이 정상 시나리오에 관련된 트래픽에 대해 알람을 요구하는 경우 요구한 특징을 검출 할 수 있는지 여부를 확인 한다. (가/부)
(2) 공격 감지시 알람의 정보 상세 여부
- 제어망에서 이상징후 감시시스템이 공격 트래픽에 대해 감지시 알람 정보에 대하여 공격명, 위험 수준, 상세 공격 내용, 해결 방법이 나열되는지에 대하여 확인 한다. (가/부)
(3) 동시 다중 공격 시 구분해서 알람제공 여부 (가/부로 표현)
- 제어망에서 공격 시나리오를 2개 이상 섞어서 다중 공격을 할 경우 각각에 공격 트래픽에 대해 구분하여 제공하는 지에 관련한 여부를 확인 한다. (가/부)
(4) whitelist 표현정도 (가/부로 표현)
- 제어망에서 정상 상황시 이상징후 감시시스템이 공격으로 검출하는지 여부를 확인한다. (가/부)
<평가 방법>
데이터셋을 이용한 제어망 이상징후 감시시스템에 대한 평가기준 산정은 전술한 평가 항목을 기준으로 가중치 변수를 합산한다.
위의 방법을 기준으로 이상징후 감시시스템의 평가를 계산하기 위한 평가 점수 R은 하기 <수학식 1>과 같이 나타낼 수 있다.
Figure pat00005
상기 수학식 1에서 λ는 알람 제어, i 와 j는 가변적인 항목 수, x 는 시나리오 공격 검출, α 와 b 는 가중치 변수를 나타낸다.
제어망의 특성에 따른 시나리오 공격 여부의 평가는 검출대상획득, 획득실패 시 감염경로, 감염시 증상, 방어조치 난이도 등으로 분류될 수 있다. 방어조치 난이도의 경우에는 대응적인 측면에서 중요하기 때문에 평가를 산정할 때에 반드시 포함되어야 하는 기준이다.
추가적으로 고려되어야 할 사항은 크게 두 가지로 분류된다. 검출 실패시, 첫 번째는 특정자산이 감염의 대상이 되는 경우 이에 대한 가중치를 고려하여야 하며, 두 번째로 각 시스템의 장애에 대한 가중치 현황을 종합하여 반영하여야 한다.
위에서의 시나리오 산정 내역 대로 시나리오 공격을 20개 실행하고 현재까지 알려진 웜바이러스를 대상으로 공격 실행할 수 있다. 미 검출시 검출되지 않은 공격에 대한 가중치를 더해서 감염시 증상과 위험도를 측정할 수 있다.
감염시 증상은 크게 네트워크 증상과 시스템 증상으로 나뉘며 해당 위험도 산정 항목은 도 7과 같이 나타낼 수 있다.
이하, 상기 각 항목에 대해 상세히 설명하기로 한다.
(1) 네트워크 물리적 장애
네트워크 물리적 장애에는 네트워크 장비의 사용불가, 감염된 시스템이 속한 네트워크의 속도저하, 감염된 시스템과 특정 시스템간의 네트워크 속도저하 등이 있다.
(2) 네트워크 서비스 장애
네트워크 서비스 장애에는 DNS 접속불가, 특정 웹서버의 접속불가, 특정 웹서버 접속시 세션을 가로채는 등의 장애가 발생할 수 있다.
(3) 네트워크 잠재적 장애
네트워크 잠재적 장애는 웜?바이러스가 기본적으로 수행하는 작업 이외에 추가적인 목적으로 수행하는 장애가 해당된다. 백도어를 설치하거나 백도어 포트를 오픈해 둠으로써 2차적인 공격을 수행하는데 사용될 수 있다. 또한 특정사이트에 연결을 시도함으로써 트로이목마 또는 백도어를 다운로드 받을 수도 있고 특정사이트에 다량의 패킷을 보냄으로써 서비스거부 공격을 유발할 수도 있다.
(4) 시스템 물리적 장애
시스템 물리적 장애에는 시스템장비 사용불가, 하드디스크의 포맷, OS 부팅불가, OS 다운 또는 재부팅, 시스템 중요파일 손상, 키 로깅을 통한 사용자 비밀번호 등 정보유출, 파일 변조 및 삭제 등이 있다. 시스템의 물리적 장애는 정보가 유출되고 파괴되기 때문에 높은 위험도를 나타낸다.
(5) 시스템 서비스 장애
시스템 서비스 장애에는 실행중인 보안관련 프로세스를 강제 종료시키거나 백신프로그램을 실행하지 못하도록 하는 등 서비스를 방해하는 항목이 이에 해당된다.
(6) 시스템 잠재적 장애
최근의 제어망의 비정상 공격은 USB, 또는 사회공학적인 방법을 통해 전송되거나 취약점을 통해 전송되기도 하지만 각 응용프로그램이 사용하는 공유폴더에 자신을 복제해 둠으로써 잠재적으로 전파를 꾀하기도 한다.
<시나리오에 의한 평가 점수 계산>
제어망에서 이상징후 감시시스템을 공격 데이터셋와 정상 데이터셋을 섞어서 시나리오 방식으로 테스트 후 결과 값을 다음과 같이 계산할 수 있다.
한편, 감염시 증상에 대한 산정기준은 도 8a 및 도 8b와 같이 설정할 수 있다.
<가중치 검증>
위험도에 따라서 2003년 이후 중요 위협을 가했던 웜 바이러스에 대하여 위험도를 구하고, 그에 따른 경보 발령 수준을 국가사이버안전센터에서 발령한 기준과 비교해 보았다. 위험도를 적용한 시점은 해당 웜 바이러스가 가장 활동적인 때를 기준으로 적용하였다. 하기 <표 8>은 선택된 웜 바이러스에 대해서 위험도를 평가한 결과이다.
기준 Revacc(Peep)
15번		 Net sky
12번		 MyDoom
8번		 Santy
17번		 Agobot
7번
위험도 점수 52 52 55 61 42
정부의 경보 발령 주의
(4등급)		 예보 예보 주의
(5등급)		 -
상기 <표 8>의 결과에 따르면, Revacc 변종은 2004년도 4등급 경보 체계 하에서 “주의” 경보가 발령되었으나, 본 연구에서는 “주의” 등급보다 낮은 “관심” 등급이 발령되었다. 이러한 차이는 Revacc 변종이 국가기관을 중심으로 확산되면서 중요정보 유출에 대한 우려의 급증으로 인해서 높은 등급의 경보가 발령되었던 것으로 추정된다.
MyDoom 웜의 경우는 실제 발령된 “예보” 보다 높은 등급인 “관심” 등급으로 나타났다.
전체적으로 국가사이버안전센터가 경보를 발령한 결과와 유사한 결과를 얻을 수 있었으며, Revacc, MyDoom과 같은 일부에서는 실제 발령 등급보다 높게 나타나거나 낮게 나타나는 경우도 발생했지만 발령 경보 등급의 차이는 크지 않다.
<제어망 이상징후 감시시스템 평가결과>
제어망 이상징후 감시 시스템 평가는 웜?바이러스 30종 및 공격시나리오에 의한 공격트래픽 검출과 미검출에 따라 개별적 위험도를 계산하고, 각 시나리오의 감염시 증상과 위험도에 따라서 가중치 값을 계산한다. 이후 시스템 기능에 대한 평가를 합산하여 계산된 결과가 어떤 등급이냐에 따라서 해당 등급의 평가 결과가 나오게 된다.
<표 9>는 가중치 값을 계산한 시나리오 공격 검출 평가결과 값을 다음과 같이 제시하였다.
검출내역 비정상
내역		 검출
내역		 미검출
내역		 가중치
점수		 가중치 기준총점 가중치
점수		 평가
점수
웜바이러스 30 30 0 45 1.00 30.00 30.00 100.0
시나리오1 3 2 1 73 1.62 4.87 1.62 33.3
시나리오2 5 3 2 74 1.01 5.07 1.01 20.0
시나리오3 2 2 0 53 0.72 1.43 1.43 100.0
시나리오4 1 1 0 46 0.87 0.87 0.87 100.0
시나리오5 1 1 0 59 1.28 1.28 1.28 100.0
시나리오6 2 1 1 60 1.02 2.03 0.00 0.0
시나리오7 2 2 0 58 0.97 1.93 1.93 100.0
시나리오8 2 2 0 45 0.78 1.55 1.55 100.0
시나리오9 3 3 0 59 1.31 3.93 3.93 100.0
시나리오10 2 2 0 51 0.86 1.73 1.73 100.0
시나리오11 2 2 0 48 0.94 1.88 1.88 100.0
시나리오12 1 1 0 49 1.02 1.02 1.02 100.0
시나리오13 1 1 0 60 1.22 1.22 1.22 100.0
시나리오14 1 1 0 49 0.82 0.82 0.82 100.0
시나리오15 2 2 0 54 1.10 2.20 2.20 100.0
시나리오16 2 2 0 46 0.85 1.70 1.70 100.0
시나리오17 2 2 0 48 1.04 2.09 2.09 100.0
시나리오18 2 2 0 50 1.04 2.08 2.08 100.0
시나리오19 2 2 0 52 1.04 2.08 2.08 100.0
시나리오20 1 1 0 48 0.92 0.92 0.92 100.0
시나리오21 2 2 0 60 1.25 2.50 2.50 100.0
시나리오22 4 4 0 57 0.95 3.80 3.80 100.0
시나리오23 10 10 0 63 1.11 11.05 11.05 100.0
85 81 4 88.08 78.74 89.4
알람 제어에 대한 부분으로 평가결과 값은 하기 <표 10>과 같이 나타낼 수 있다.
알람제어 가/부
정상 시나리오 알람 제어 여부
공격 감지시 알람의 정보 상세 여부
동시 다중 공격 시 구분해서 알람 제공 여부
화이트리스트 표현 정도
제어망에서 이상징후 감시시스템 평가에 대한 평가 기준은 다른 평가 결과에 따른 위협에 대해서 평가표에 적용을 하여 적절한 기준을 정하였다.
상기 <표 9>은 다양한 제어망에 대해서 적용한 결과로서 평가에 대한 수준을 나타낼 수 있다. 상기 <표 10>의 알람 제어 평가 결과에서 4가지 평가결과를 통해 1가지 평가 결과가 '부'로 나오게 되면 1단계 아래 수준으로, 2~4의 경우 그 만큼 단계를 낮춘다.
그 결과로 '부'가 없는 경우 59점 이하는 '미달' 상태이며, 60점에서 69점은 '부족', 79점까지는 '보통', 89점까지는 '우수', 90점 이상은 '최고' 수준의 평가를 내릴 수 있도록 구분하였다.
본 발명은 특정 기능들 및 그의 관계들의 성능을 나타내는 방법 단계들의 목적을 가지고 위에서 설명되었다. 이러한 기능적 구성 요소들 및 방법 단계들의 경계들 및 순서는 설명의 편의를 위해 여기에서 임의로 정의되었다. 상기 특정 기능들 및 관계들이 적절히 수행되는 한 대안적인 경계들 및 순서들이 정의될 수 있다. 임의의 그러한 대안적인 경계들 및 순서들은 그러므로 상기 청구된 발명의 범위 및 사상 내에 있다. 추가로, 이러한 기능적 구성 요소들의 경계들은 설명의 편의를 위해 임의로 정의되었다. 어떠한 중요한 기능들이 적절히 수행되는 한 대안적인 경계들이 정의될 수 있다. 마찬가지로, 흐름도 블록들은 또한 어떠한 중요한 기능성을 나타내기 위해 여기에서 임의로 정의되었을 수 있다. 확장된 사용을 위해, 상기 흐름도 블록 경계들 및 순서는 정의되었을 수 있으며 여전히 어떠한 중요한 기능을 수행한다. 기능적 구성 요소들 및 흐름도 블록들 및 순서들 둘 다의 대안적인 정의들은 그러므로 청구된 본 발명의 범위 및 사상 내에 있다.
본 발명은 또한 하나 이상의 실시 예들의 용어로, 적어도 부분적으로 설명되었을 수 있다. 본 발명의 실시 예는 본 발명, 그 측면, 그 특징, 그 개념, 및/또는 그 예를 나타내기 위해 여기에서 사용된다. 본 발명을 구현하는 장치, 제조의 물건, 머신, 및/또는 프로세스의 물리적인 실시 예는 여기에 설명된 하나 이상의 실시 예들을 참조하여 설명된 하나 이상의 측면들, 특징들, 개념들, 예들 등을 포함할 수 있다. 더구나, 전체 도면에서, 실시 예들은 상기 동일한 또는 상이한 참조 번호들을 사용할 수 있는 상기 동일하게 또는 유사하게 명명된 기능들, 단계들, 모듈들 등을 통합할 수 있으며, 그와 같이, 상기 기능들, 단계들, 모듈들 등은 상기 동일한 또는 유사한 기능들, 단계들, 모듈들 등 또는 다른 것들일 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시 예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
110 : 내부 업무망 120 : 제어망
130 : 인터넷 200 : 보안 관제 장치
300 : 트래픽 생성 장치 410 : 정상 트래픽 생성부
420 : 공격 트래픽 생성부 430 : 평가 데이터 셋 생성부
440 : 트래픽 검출부 450 : 트래픽 분석부
460 : 평가 결과 산출부

Claims (4)

  1. 산업 제어 네트워크에서의 보안 관제 평가 시스템에 있어서,
    적어도 하나의 정상 트래픽을 생성하는 정상 트래픽 생성부;
    적어도 하나의 공격 트래픽을 생성하는 공격 트래픽 생성부;
    상기 정상 트래픽 생성부에서 생성된 적어도 하나의 정상 트래픽과 상기 공격 트래픽 생성부에서 생성된 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성하는 평가 데이터 셋 생성부;
    제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출하는 트래픽 검출부; 및
    상기 트래픽 검출부에서 검출한 트래픽을 분석하는 트래픽 분석부;를 포함하는 보안 관제 장치.
  2. 제1항에 있어서, 상기 정상 트래픽 생성부는,
    상기 제어망의 모델에 따라 구성된 적어도 하나의 시나리오를 기반으로 정상 트래픽을 생성하는, 보안 관제 장치.
  3. 산업 제어 네트워크에서의 보안 관제 평가 방법에 있어서,
    적어도 하나의 정상 트래픽을 생성하는 단계;
    적어도 하나의 공격 트래픽을 생성하는 단계;
    상기 적어도 하나의 정상 트래픽과 상기 적어도 하나의 공격 트래픽을 조합하여 성능 평가 데이터 셋을 생성하는 단계;
    제어망에서 상기 성능 평가 데이터 셋에 의해 발생한 트래픽을 검출하는 단계; 및
    상기 검출한 트래픽을 분석하는 단계;를 포함하는, 산업 제어 네트워크에서의 보안 관제 평가 방법.
  4. 제3항에 있어서, 상기 정상 트래픽을 생성하는 단계는,
    상기 제어망의 모델에 따라 구성된 적어도 하나의 시나리오를 기반으로 정상 트래픽을 생성하는, 산업 제어 네트워크에서의 보안 관제 평가 방법.
KR1020160012967A 2016-02-02 2016-02-02 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 Ceased KR20170091989A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160012967A KR20170091989A (ko) 2016-02-02 2016-02-02 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160012967A KR20170091989A (ko) 2016-02-02 2016-02-02 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20170091989A true KR20170091989A (ko) 2017-08-10

Family

ID=59652188

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160012967A Ceased KR20170091989A (ko) 2016-02-02 2016-02-02 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20170091989A (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200011702A (ko) * 2018-07-25 2020-02-04 주식회사 케이티 보안관제체계 진단장치 및 보안관제체계 진단방법
KR20210087854A (ko) * 2020-01-02 2021-07-13 인스티튜트 포 인포메이션 인더스트리 테스트중인 장치의 사이버 방어 메커니즘을 테스트하기 위한 장치, 방법 및 비-일시적 유형의 기계-판독 가능한 매체
CN113656273A (zh) * 2021-08-19 2021-11-16 中国电子信息产业集团有限公司第六研究所 一种工控系统在检测时产生扰动的评估方法及装置
US11245712B2 (en) 2018-11-28 2022-02-08 Korea Internet & Security Agency Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
KR102391921B1 (ko) * 2021-09-15 2022-04-29 한화시스템 주식회사 BGP(Border Gateway Protocol) 이상탐지를 위한 인터랙티브 분석 시각화 장치 및 방법
KR20230000376A (ko) 2021-06-24 2023-01-02 국민대학교산학협력단 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법
KR20230050869A (ko) * 2021-10-08 2023-04-17 엘에스일렉트릭(주) 직렬 통신 장치에 대한 취약성 테스트 방법 및 장치
CN116155766A (zh) * 2023-01-10 2023-05-23 浪潮思科网络科技有限公司 一种园区网络质量测评方法及设备
WO2024248526A1 (ko) * 2023-05-31 2024-12-05 한화오션 주식회사 선박 nmea 프로토콜 기반 침투 테스트 방법 및 장치, 그리고 선박 내부에서 cbs의 접속을 제어하는 방법 및 장치
KR102779257B1 (ko) * 2024-04-03 2025-03-11 조남열 산업보안분석을 통한 중대재해 위험성 평가 및 중대재해사고 예방 시스템

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200011702A (ko) * 2018-07-25 2020-02-04 주식회사 케이티 보안관제체계 진단장치 및 보안관제체계 진단방법
US11245712B2 (en) 2018-11-28 2022-02-08 Korea Internet & Security Agency Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
KR20210087854A (ko) * 2020-01-02 2021-07-13 인스티튜트 포 인포메이션 인더스트리 테스트중인 장치의 사이버 방어 메커니즘을 테스트하기 위한 장치, 방법 및 비-일시적 유형의 기계-판독 가능한 매체
KR20230000376A (ko) 2021-06-24 2023-01-02 국민대학교산학협력단 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법
CN113656273A (zh) * 2021-08-19 2021-11-16 中国电子信息产业集团有限公司第六研究所 一种工控系统在检测时产生扰动的评估方法及装置
KR102391921B1 (ko) * 2021-09-15 2022-04-29 한화시스템 주식회사 BGP(Border Gateway Protocol) 이상탐지를 위한 인터랙티브 분석 시각화 장치 및 방법
KR20230050869A (ko) * 2021-10-08 2023-04-17 엘에스일렉트릭(주) 직렬 통신 장치에 대한 취약성 테스트 방법 및 장치
CN116155766A (zh) * 2023-01-10 2023-05-23 浪潮思科网络科技有限公司 一种园区网络质量测评方法及设备
WO2024248526A1 (ko) * 2023-05-31 2024-12-05 한화오션 주식회사 선박 nmea 프로토콜 기반 침투 테스트 방법 및 장치, 그리고 선박 내부에서 cbs의 접속을 제어하는 방법 및 장치
KR102779257B1 (ko) * 2024-04-03 2025-03-11 조남열 산업보안분석을 통한 중대재해 위험성 평가 및 중대재해사고 예방 시스템

Similar Documents

Publication Publication Date Title
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
US12056237B2 (en) Analysis of historical network traffic to identify network vulnerabilities
Dahbul et al. Enhancing honeypot deception capability through network service fingerprinting
Yaacoub et al. A survey on ethical hacking: issues and challenges
Gupta et al. Taxonomy of cloud security
EP3926501B1 (en) System and method of processing information security events to detect cyberattacks
US11611572B2 (en) System and method of processing information security events to detect cyberattacks
CN117319019A (zh) 一种基于智能决策的电力网络动态防御系统
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
Newman Cybercrime, identity theft, and fraud: practicing safe internet-network security threats and vulnerabilities
Adeleke Intrusion detection: issues, problems and solutions
Miloslavskaya et al. Taxonomy for unsecure big data processing in security operations centers
Waheed et al. Zero-Day Exploits in Cybersecurity: Case Studies and Countermeasure
Georgina et al. Deception based techniques against ransomwares: A systematic review
Stutz et al. Cyber threat detection and mitigation using artificial intelligence–A cyber‐physical perspective
Karie et al. Cybersecurity incident response in the enterprise
CN117195235A (zh) 一种用户终端的接入可信计算认证系统及方法
Bendiab et al. IoT Security Frameworks and Countermeasures
Chen et al. A proactive approach to intrusion detection and malware collection
Maciel et al. Impact assessment of multi-threats in computer systems using attack tree modeling
Virvilis-Kollitiris Detecting advanced persistent threats through deception techniques
Kumar et al. A review on 0-day vulnerability testing in web application
Alhasawi ICSrank: A Security Assessment Framework for Industrial Control Systems (ICS)

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20160202

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20170518

Patent event code: PE09021S01D

PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20180424

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20170518

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I