표제지
국문초록
목차
제1장 서론 9
제1절 연구배경 및 목적 9
제2절 연구내용 및 구성 10
제2장 관련연구 11
제1절 ICS / SCADA 개요 11
제2절 ICS / SCADA 특징 13
제3절 Sysmon 14
제4절 ELK(Elastic Search, Logstash, Kibana) 15
제5절 CTI(Cyber Threat Intelligence) 16
제6절 EDR(Endpoint Detection & Response) 17
제3장 ICS 보안 위협 및 대응기술 분석 19
제1절 최근 ICS 보안 위협 동향 19
제2절 ICS 보안 위협요인 21
제1항 보안 인력 부족 21
제2항 보안 의식 부족 21
제3항 망분리 허점 21
제4항 Legacy 시스템 운영 22
제5항 협력 업체 관리 미흡 22
제3절 ICS 보안 대응방안 23
제1항 CTI(위협 인텔리전스) 기반 탐지 23
제2항 시그니처 기반 탐지 24
제3항 Endpoint 보안로그 분석 24
제4항 비정상행위 기반 탐지 24
제5항 White-List 기반 탐지 25
제4장 Legacy ICS를 위한 APT 공격 탐지 방안 26
제1절 Sysmon 로그 분석을 통한 위협 탐지 26
제1항 Process/File Create 이용 탐지 27
제2항 Network Connection 이용 탐지 27
제3항 Image, CommandLine 이용 탐지 27
제4항 윈도우 명령어 이용 탐지 28
제5항 File Hash 이용 탐지 28
제2절 Sysmon과 ELK를 이용한 위협 탐지 제안 29
제5장 가상 시나리오 검증 34
제1절 외부 저장장치에 의한 랜섬웨어 감염 35
제1항 시나리오 35
제2항 검증 및 분석결과 35
제2절 공급망 공격을 통한 악성코드 침투 37
제1항 시나리오 37
제2항 검증 및 분석결과 37
제6장 결론 39
참고문헌 40
ABSTRACT 41
표 1. "IT System" 과 "ICS/SCADA" 의 특징 비교 13
표 2. Sysmon의 기능 14
표 3. 국내·외 ICS 중요 공격 사례 19
표 4. White·Black-List 기반 탐지 비교 25
표 5. Sysmon Log Event 26
표 6. 랜섬웨어 감염 사례 35
표 7. 공급망 공격 사례 37
그림 1. 제어시스템의 일반적인 구조 12
그림 2. ELK(Elastic search, Logstash, Kibana) 15
그림 3. SaintSecurity, malware.com 16
그림 4. Darktrace EIS(Enterprise Immune System) 18
그림 5. 국내·외 ICS 중요 피해 사례 20
그림 6. ICS 보안 위협 요인 22
그림 7. Sysmon 로그 기반 위협 탐지 모델 30
그림 8. 스크린샷 - Kibana 대쉬보드(시각화) 31
그림 9. ICS 공격 시나리오 34
그림 10. 스크린샷 - 랜섬웨어 탐지 36
그림 11. 스크린샷 - 네트워크, 정적 분석 38