표제지

제출문

요약문

SUMMARY

CONTENTS

목차

제1장 서론 28

제1절 연구의 목적 및 필요성 28

제2절 연구의 내용 및 범위 31

제3절 연구결과 및 실적 33

제4절 보고서의 구성 35

제2장 침해사고 대응 및 예방 환경 36

제1절 침해사고 대응 환경 36

제2절 침해사고 예방 환경 41

제3장 통합 프레임워크 개발 51

제1절 통합 프레임워크의 개념 및 구조 51

제2절 주요 기능 및 핵심기술 53

제3절 구현결과 60

제4장 대응 시스템 개발 64

제1절 대응 시스템의 개념 및 구조 64

제2절 주요 기능 및 핵심기술 65

제3절 구현결과 127

제5장 예방 시스템 개발 152

제1절 예방 시스템의 개념 및 구조 152

제2절 주요 기능 및 핵심기술 159

제3절 구현결과 199

제6장 예방 및 대응 시스템 시험 224

제1절 침해사고 대응 시스템 224

제2절 침해사고 예방 시스템 246

제7장 결론 259

참고문헌 262

약어표 265

부록 - 연구결과물 목록 267

판권기 274

(표 2-2-1) 국내 취약점 점검도구 46

(표 2-2-2) 국외 취약점 점검도구 46

(표 4-2-1) 침해사고 분석 모델의 AS-IS와 TO-BE 70

(표 4-2-2) 트래픽 통계 정보 검색 조건 108

(표 4-2-3) 색상 코드별 점유율 110

(표 4-2-4) 검색 조건 설명 120

(표 4-2-5) 취약점 데이터 항목 121

(표 4-2-6) 웜/바이러스 정보 검색 조건 항목 122

(표 4-3-1) Walrus 색상코드 분류표 140

(표 5-2-1) 취약점 점검도구의 위험도 정의 179

(표 5-2-2) No-match ID 저장 DB 스키마 181

(표 5-2-3) 정보 자산의 표현 191

(표 5-2-4) 소프트웨어와 취약성 정보 연결 192

(표 6-1-1) 시험 구성 모듈 227

(표 6-1-2) 시험 절차 227

(표 6-1-3) 침해사고 탐지센서 시험 항목 228

(표 6-1-4) 다차원 시각화 시험 항목 229

(표 6-2-1) 예방시스템 시험 항목 249

(표 6-2-2) 1차 시험결과 249

(표 6-2-3) 1차 시험결과(상세) 250

(표 6-2-4) 2차 시험결과 251

(표 6-2-5) 2차 시험결과(상세) 251

(그림 2-1-1) 대응 시스템 운영 환경 37

(그림 2-2-1) 예방 시스템 운영 환경 41

(그림 2-2-2) 정보보호 관리업무 관련 제품 및 도구들 44

(그림 2-2-3) 예방시스템의 정보보호 관리업무 프로세스 49

(그림 3-1-1) 침해사고 대응 및 예방을 위한 통합 프레임워크 개념 51

(그림 3-1-2) 통합 프레임워크 구성도 52

(그림 3-2-1) 허브 구조도 55

(그림 3-2-2) 제어 메시지 처리 58

(그림 3-2-3) 어플리케이션 메시지 처리 59

(그림 3-2-4) 구성 메시지 처리 59

(그림 3-3-1) 로그인 화면 60

(그림 3-3-2) 에이전트 관리 화면 61

(그림 3-3-3) 에이전트 유형관리 화면 62

(그림 3-3-4) 허브 관리 화면 62

(그림 3-3-5) 사용자 관리 화면 63

(그림 4-1-1) 대응 시스템 구성도 64

(그림 4-2-1) 침해사고 탐지센서 구성도 66

(그림 4-2-2) 전문가 시스템 구성도 69

(그림 4-2-3) 침해사고 분석 프로세스 71

(그림 4-2-4) 침해사고 정보 분석 워크플로우 72

(그림 4-2-5) 트래픽 영향 점검 의사결정트리 73

(그림 4-2-6) 네트워크 운용현황 의사결정트리 74

(그림 4-2-7) 침해사고 원인분석 워크플로우 74

(그림 4-2-8) 위험도 평가 워크플로우 75

(그림 4-2-9) 다차원 시각화 구조도 78

(그림 4-2-10) 네트워크 트래픽의 시계열 데이터 80

(그림 4-2-11) 네트워크 트래픽 시계열의 High-pass와 Low-pass 필터링 결과 82

(그림 4-2-12) 기저성분 시계열의 자기상관과 편자기상관의 분포 83

(그림 4-2-13) NDD(ARMA) 분석 순서도 85

(그림 4-2-14) 주성분 분석 순서도 91

(그림 4-2-15) ARMA 분석 클래스 다이어그램 94

(그림 4-2-16) 주성분분석 클래스 다이어그램 96

(그림 4-2-17) Walrus 3D 시각화 99

(그림 4-2-18) PCA 분석 그래프 프로토타입 100

(그림 4-2-19) Matrix 형태의 그래프 100

(그림 4-2-20) Radar 형태의 그래프 101

(그림 4-2-21) 그래프 모듈관련 클래스 다이어그램 102

(그림 4-2-22) DB Connection, DAO, VO 104

(그림 4-2-23) DAO 클래스 다이어그램 105

(그림 4-2-24) 3D 시각화모듈관련 클래스 다이어그램 106

(그림 4-2-25) 트래픽 정보 검색 조건 108

(그림 4-2-26) 5분 단위 ISP 트래픽 통계 그래프 결과 109

(그림 4-2-27) 그룹별 트래픽 조회 화면 110

(그림 4-2-28) Walrus 호출 화면 111

(그림 4-2-29) 포트 트래픽 검색 조건 112

(그림 4-2-30) 프로토콜 트래픽 검색 조건 113

(그림 4-2-31) 공격 유형별 정보 검색 조건 114

(그림 4-2-32) NIDS 검색 조건 115

(그림 4-2-33) AutoGraph 검색 조건 및 결과 조회 화면 115

(그림 4-2-34) Taintcheck 검색 조건 및 조회 결과 117

(그림 4-2-35) FAD 검색 조건 118

(그림 4-2-36) DNS 서버 현황 검색 조건 118

(그림 4-2-37) Web 서버 현황 검색 조건 119

(그림 4-2-38) 취약점 정보 검색 조건 120

(그림 4-2-39) 웜·바이러스 정보 검색 조건 121

(그림 4-2-40) ARMA 분석 결과 (1) 123

(그림 4-2-41) ARMA 분석 결과 (2) 124

(그림 4-2-42) 주성분 분석 조건입력 화면 125

(그림 4-3-1) 네트워크 트래픽 이상징후 탐지모듈 구성도 127

(그림 4-3-2) 네트워크 이상징후 탐지모듈 상세도 128

(그림 4-3-3) 네트워크 트래픽 시그널 필터링 응용결과 128

(그림 4-3-4) 전문가 시스템 사용자 인터페이스 130

(그림 4-3-5) 경보 내역 요약화면 131

(그림 4-3-6) 추론과정 설명화면 132

(그림 4-3-7) 상관성 데이터 설명화면 133

(그림 4-3-8) 경보발령 설명화면 134

(그림 4-3-9) 지식편집기의 의사결정트리 인터페이스 135

(그림 4-3-10) 지식편집기의 센서정보 등록 인터페이스 136

(그림 4-3-11) 침해사고 대응시스템 웹 인터페이스 137

(그림 4-3-12) ISP 트래픽 통계 정보 조회 화면 139

(그림 4-3-13) 그룹별 트래픽 조회 화면 140

(그림 4-3-14) Walrus 실행 화면 (1) 141

(그림 4-3-15) Walrus 실행 화면 (2) 142

(그림 4-3-16) 포트 트래픽 조회 화면 (1) 143

(그림 4-3-17) 포트 트래픽 조회 화면 (2) 144

(그림 4-3-18) 공격 유형별 통계 그래프 145

(그림 4-3-19) KCVE 정보 조회 결과 화면 146

(그림 4-3-20) KCVE 정보 상세조회 화면 147

(그림 4-3-21) ARMA 이상징후 분석 149

(그림 4-3-22) PCA 분석 결과 그래프 150

(그림 5-1-1) 예방시스템 구성 153

(그림 5-1-2) 정보계층 기반의 접근방법 155

(그림 5-1-3) 정보계층 기반의 접근방법 중 1, 2, 3계층 156

(그림 5-1-4) 정보계층 기반의 접근방법 중 5.1계층 157

(그림 5-1-5) 정보계층 기반의 접근방법 중 5.2 ~ 7계층 158

(그림 5-2-1) 예방 시스템 구성(상세) 159

(그림 5-2-2) 네트워크 시큐리티 맵 구성 161

(그림 5-2-3) 토폴로지 검색 및 능동자산탐색 실행순서 163

(그림 5-2-4) 수동탐색 실행 순서 164

(그림 5-2-5) 1계층 : 관리대상 네트워크의 정보를 직접 입력 165

(그림 5-2-6) 2, 3계층 관리대상 네트워크의 정보를 능동/수동으로 탐색 166

(그림 5-2-7) 4계층 : 관리대상 네트워크의 취약점 정보를 탐색 167

(그림 5-2-8) 5~7계층 : 관리대상 네트워크의 위험분석 및 보안대책 제시 168

(그림 5-2-9) 통합 보안취약점 점검도구 구성도 170

(그림 5-2-10) 자동화된 통합 보안취약점 점검도구 배치도 173

(그림 5-2-11) 점검 정책 구현 위치 177

(그림 5-2-12) 취약점의 위험도 결정 프로세스 183

(그림 5-2-13) 실시간 위험평가 시스템 구성 187

(그림 5-2-14) libpcap을 이용하여 네트워크 패킷 정보를 수집하고 추출 189

(그림 5-2-15) 취약점 DB 관련 데이터베이스 스키마 190

(그림 5-2-16) 보호 대책 제시 방법 193

(그림 5-2-17) 예방시스템 배치모드 연동 시나리오 197

(그림 5-2-18) 예방시스템 운영절차 198

(그림 5-3-1) 통합제어판 화면 200

(그림 5-3-2) 통합제어판의 상태보기 201

(그림 5-3-3) 예방 시스템 통합화면 202

(그림 5-3-4) 능동 및 수동자산탐색 조회를 위한 그래픽 맵 203

(그림 5-3-5) 네트워크 시큐리티 맵 편집 화면 204

(그림 5-3-6) 네트워크 시큐리티 맵 속성 편집 화면 205

(그림 5-3-7) 능동자산탐색 결과 화면 206

(그림 5-3-8) 수동자산탐색 결과 화면 207

(그림 5-3-9) 취약점 분석 제어판 208

(그림 5-3-10) 취약점 점검도구 상태 조회 208

(그림 5-3-11) 취약점 진단 결과 210

(그림 5-3-12) 취약점 목록 - 전체 211

(그림 5-3-13) 취약점 목록 - 그룹 212

(그림 5-3-14) 취약점 목록 - 노드 213

(그림 5-3-15) 취약점 목록 - 부분점검 214

(그림 5-3-16) 취약점 목록 - SANS Top 20 215

(그림 5-3-17) 취약점 그래프 - 그룹 216

(그림 5-3-18) 취약점 그래프 - 노드 216

(그림 5-3-19) 취약 포트 랭킹 217

(그림 5-3-20) 취약점 랭킹 218

(그림 5-3-21) 취약 노드 랭킹 218

(그림 5-3-22) 취약 그룹 랭킹 219

(그림 5-3-23) 점검결과 연관성 분석 220

(그림 5-3-24) 위험분석 결과 화면 221

(그림 5-3-25) 위험분석 결과 화면 223

(그림 5-3-26) 위험분석 중 보안대책 제시 화면 223

(그림 6-1-1) 대응 시스템 테스트 망 구성도 225

(그림 6-1-2) 경보 흐름도 235

(그림 6-1-3) 센서로부터 입력된 경보 리스트 235

(그림 6-1-4) 지식편집기 최종 평가 236

(그림 6-1-5) ISP 트래픽 레이더 그래프 237

(그림 6-1-6) 3D Walrus 연동 구현결과 238

(그림 6-1-7) 포트 트래픽 레이더 그래프 239

(그림 6-1-8) 라인그래프 및 매트릭스형 분포도 그래프 239

(그림 6-1-9) 취약점 및 웜·바이러스 정보 조회결과 240

(그림 6-1-10) 웹 및 DNS 서버 테스트 결과 조회화면 241

(그림 6-1-11) 주성분 분석을 이용한 잔여성분분석 그래프 242

(그림 6-1-12) 잔여성분 분석을 통한 이상징후 리스트 243

(그림 6-1-13) TCP/443포트에 대한 변화율 TOP 5 그래프 244

(그림 6-1-14) ARMA를 이용한 NDD분석 결과 그래프 245

(그림 6-2-1) 네트워크 노드 및 해당 운영체제 검색의 정확도 검증을 위한 테스트베드 1차 247

(그림 6-2-2) 네트워크 노드 및 해당 운영체제 검색의 정확도 검증을 위한 테스트베드 2차 248

(그림 6-2-3) Hop = 0 일 때 토폴로지 검색 255

(그림 6-2-4) Hop = 1 일 때 토폴로지 검색 256

(그림 6-2-5) Hop = 1 일 때 토폴로지 검색 256

(그림 6-2-6) 링 토폴로지 테스트베드 257

(그림 6-2-7) 링 토폴로지 검색 결과 257

(그림 6-2-8) 버스 토폴로지 테스트베드 258

(그림 6-2-9) 버스 토폴로치 검색 결과 258

1. 제목

차세대 침해사고 예측 및 대응 기술 개발

2. 연구개발의 목적 및 중요성

가. 연구의 목적

o 침해사고 조기 탐지 및 원인 분석 등 피해 최소화를 위한 요소기술 개발을 통한 지능형 대응 시스템 구축

o 취약점 진단 및 위험평가 등 침해사고 사전 예방을 강화하기 위한 요소기술 개발을 통한 사용자 요구기반 예방 시스템 구축

나. 연구의 중요성

o 점차 지능화 및 고도화 추세에 있는 인터넷 침해사고로 인한 피해 최소화 및 발생 가능성의 사전 차단을 위해서는 침해사고 대응 및 예방분야의 선도기술 개발과 실제 업무로의 적용을 통한 최적화가 중요

o 이에 대응하기 위해 본 과제에서는 침해사고 대응 및 예방분야의 선도 기술을 보유한 미국 카네기멜론대학(CMU)의 보안연구소(CyLab)와 다양한 실무 경험을 보유한 한국정보보호진흥원(KISA)이 공동연구를 통해 국내 환경에 바로 적용할 수 있는 요소기술 개발의 추진이 필요

o 국제공동연구를 통해 개발한 요소기술을 적용한 침해사고 대응 및 예방 시스템을 구축하고, 실제 운영환경에서 설치 및 시험적인 적용을 통한 성능 검증 및 최적화의 추진이 필요

o 본 과제를 통해 산출된 연구결과는 국내의 침해사고 대응 및 예방분야에 직접 적용됨으로써 국가 정보보호 수준의 제고는 물론, 관련 정보보호 업체로의 기술이전을 통해 정보보호제품 개발에 활용되는 등 기술력 제고에 기여할 것으로 기대

3. 연구개발의 내용 및 범위

가. 통합 프레임워크 개발

o 트래픽 이상징후 탐지센서, 취약점 스캐너 등 다양한 보안모듈의 손쉬운 연동 및 통합 분석환경을 지원하는 공통의 프레임워크를 개발

o 프레임워크를 통한 통합 과정에서 기존 모듈의 소스코드 변경을 최소화하기 위해 공통의 인터페이스 및 라이브러리 등을 지원하는 에이전트에 기반하여 개발

o 다양한 보안모듈의 연동을 위해 확장성 및 신뢰성을 지원

나. 침해사고 대응 시스템 개발

o 네트워크 및 호스트 등 다양한 환경에서의 침해사고 탐지 범위 및 정확도가 향상된 탐지기술 개발

o 다양한 탐지센서로부터 수집된 보안 이벤트간 상관분석 등을 통한 침해사고 판단 및 원인 분석을 위한 요소기술 개발

o 사용자의 직관적인 인지를 지원하는 보안 이벤트 시각화 및 조회 기술 개발

다. 침해사고 예방 시스템 개발

o 네트워크를 구성하는 노드 정보 등 중요 자산에 대한 탐색기술 개발

o 다양한 취약점 점검도구의 손쉬운 연동 및 통합 분석기술 개발

o 중요 자산별 취약점 및 위험분석에 기반, 보호 대상 사이트의 보안 수준의 직관적인 파악 및 관리를 지원하는 네트워크 시큐리티 맵 개발

4. 연구개발결과

가. 통합 프레임워크 개발

o 침해사고 대응 및 예방을 위한 통합 프레임워크 개발

- 취약점 진단 및 침해사고 탐지 등 다양한 보안 모듈을 손쉽게 연동 및 통합할 수 있는 공통의 프레임워크 제공

- 대용량 메시지 처리를 위한 분산형 허브 및 보안 모듈간 안전한 통신 채널 제공

- 웹 기반의 편리한 보안관리 기능 제공

- 공통의 라이브러리 제공을 통한 에이전트 기반 통합 환경 제공

나. 대응 시스템 개발

o 침해사고 탐지 범위 및 정확도가 개선된 다양한 탐지센서 개발

- 통계적 기법 등을 활용한 BGP, Net-Flow 및 네트워크 트래픽 이상 징후 탐지센서 구현

- 웹 방화벽 로그, DNS/WEB 상태, 시그니처 기반 NIDS 침입경보 수집 모듈 구현

- 알려지지 않은 공격탐지를 위한 메모리 기반 공격탐지(TaintCheck)및 탐지패턴 자동생성 모듈 개발

o 침해사고 원인, 대응책, 위험도 추론을 위한 전문가시스템 개발

- 침해사고 및 이상징후 탐지, 트래픽, 취약점, 웜/바이러스 정보간 상관분석을 위한 지식베이스 구축

- 침해사고 판단 및 원인 분석을 위한 추론 엔진 구현

o 침해사고의 직관적 인지를 위한 다차원 시각화 기술 개발

- 다양한 수집 ·분석 데이터(ISP 트래픽, 보안경보 등)간 상관관계 분석 및 조회를 지원하는 시각화 모듈 구현

다. 예방 시스템 개발

o 네트워크 정보수집 시스템 개발

- 네트워크 토폴로지 및 운영체제 등 네트워크 정보 수집 모듈 구현

o 사용자 요구 기반 취약점 자동진단 및 분석시스템 개발

- 다양한 취약점 점검도구 연동 및 통합 분석시스템 구현

o 자산 기반 위험분석 시스템 개발

- 정보 자산의 가치 산정 모듈 구현

- 정보 자산의 가치, 취약점, 공격 가능성 등을 활용한 위험도 산정 및 보안대책 제시 모듈 구현

o 네트워크 시큐리티 맵 개발

- 네트워크 토폴로지, 중요 자산별 취약점 및 위험도에 대한 시각화제공

- 네트워크 및 호스트의 취약 부분, 관련 공격 및 대응책의 조회 및 관리를 지원하는 네트워크 시큐리티 맵 구현

5. 활용에 대한 건의

o 국가 정보보호수준 제고를 위해 KISC 등 국가 차원의 침해사고 조기 예·경보 등 대응 업무에 직접적으로 활용

o 주요 정보통신망의 안전성 제고를 위해 취약점 진단 및 위험평가 등 침해사고 예방 업무에 활용

o 국내 기술력 향상을 위해 관련 국가기관 및 연구기관, 정보보호업체 등으로의 요소기술 이전을 추진

6. 기대효과

o 침해사고 대응 및 예방 시스템 개발을 통한 국가 정보보호 수준 강화

- 국가 규모의 침해사고 이상징후 탐지, 분석 그리고 예·경보 업무의 신속·정확·자동 수행을 위한 지능형 침해사고 대응 시스템 개발에 따른 침해사고 피해 최소화 달성

- 정보통신망 취약점 자동진단 및 관리, 위험평가 및 위험제거를 위한 침해사고 예방 시스템 개발에 따른 침해사고 사전 점검 및 예방을 통한 정보통신망의 안정성 및 신뢰성 확보

o 정보보호분야 우수 지적재산 발굴

- 침해사고 대응 및 예방 관련 실무경험을 보유한 주관연구기관(KISA)과 정보보호분야 선도기술을 보유한 공동연구기관(CMU CyLab)간 국제 공동연구 수행을 통해 국내 환경에 바로 적용할 수 있는 기술개발 및 관련 특허출원을 통한 우수 지적재산 산출

o 국제 수준의 전문인력 양성 및 기술이전 활성화

- 주관연구기관의 연구인력을 공동연구기관에 파견(5명/년), 연구개발전과정에 공동으로 참여함으로써 정보보호분야 선도기술을 습득하고, 향후 관련 기관으로의 원활한 기술이전 수행 및 관련 분야 오피니언리더로 활동