상황인식기반의지능형보안기술연구개발동향 박현규국방부 hkpark@mnd.go.kr 1. 서론 2. 사이버공간의공통상황인식과표준화 3. IoT 환경의사이버위협대응방향 4. 빅데이터및기계학습기술동향 5. 결론 1. 서론사물인터넷 (IoT) 은현재 IT 트렌드를주도하고있다. 이에따라시스템의복잡도와네트워크트래픽이증가하고정보보호측면에서는새로운취약점의지속적발생과사이버공간에서의피해가물리적공간으로확대되는도전을받고있다. 따라서사이버공간의안전을확보하기위해서는 IoT 를포함한인터넷, 산업제어시스템등다양한네트워크에대한통합보안관리기능을갖추는것이중요하다. 효율적인통합보안관리를위해서는다양한이기종보안시스템에서나오는대량의정보들의상관관계를분석하고, 효과적인대응이가능하도록시스템들간실시간정보공유가이루어져야한다. 또한외부위협으로부터시스템과데이터를보호하는것이외에도내부의정보유출을예방하고, 시스템의이상치 (Anomaly) 를탐지하여위협에대한예측과징후경보를할수있어야한다. 빅데이터는새로운유형의공격에대한사전예측과예방, 탐지오류최소화, 정확한대응조치결정을지원할수있는지능형보안 (Security Intelligence) 의기술로주목받고있다. 그러나실제적용을위해서는비정형데이터의수집, 저장과처리방법에대한기계학습 (Machine Learning) 의적용등관련연구가좀더필요하다. 군사작전의지휘통제를위해감시정찰, 표적정보등의정보를공통작전상황도를통해 * 본내용과관련된사항은국방부박현규박사 ( 02-748-5916) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다 정보통신기술진흥센터 13
주간기술동향 2015. 4. 8. 제공하는 C4I 시스템은네트워크중심작전환경의핵심으로사이버전수행체계는이와유사한측면이많이있다. 사이버위협에대한신속한대응체계를갖추기위해서는 C4I 시스템같이사이버공간에대한실시간상황인식 (Situational Awareness) 이필요하다. 사이버공간정보에대한상황인식을위해미국은관련시스템구축경험과지식을가지고있는국방부에서연구가폭넓게이루어지고있으며, IT 환경변화에따른민ㆍ관ㆍ군협력을통해많은기술적문제를해결하고있다. 최근에는민간분야의사이버안보정보공유촉진을위한행정명령 (Executive Order Promoting Private Sector Cybersecurity Information Sharing) 을통해정보공유조직구성, 규정마련등국토안보부 (DHS) 의역할과권한을확대하고, 사이버위협정보접근을위한민간회사의역량을활용하는절차간소화까지규정하고있다. 이러한변화방향에맞추어우리나라도 IoT 환경에부합하는정보보호기술과체계의개발이효율적으로이루어질수있도록민ㆍ관ㆍ군의통합된노력이필요하며, 개발업체들은사이버위협에신속한대응이가능한시스템개발과보안프로토콜, 룰관리등의표준화를통해사이버공간의안전을확보해야한다. 본고의 2 장에서는사이버공간에서의상황인식모델과관련기술의표준화필요성및방향, 3 장에서는 IoT 환경의사이버위협대응기술과관련연구사례, 4 장에서는빅데이터와기계학습기술을활용한지능형보안연구개발동향과사례를제시하고, 5 장에서결론을맺는다. 2. 사이버공간의공통상황인식과표준화사이버공간에서상황인식은네트워크와시스템, 사용자에대한모니터링과관련정보를실시간수집, 처리및가시화 (Visualization) 함으로써신속한의사결정과후속조치를할수있도록해주는보안관제의핵심이다. 지금까지 CERT 에서는위협관리시스템 (TMS) 를설치하여사이버공간의유해정보에대한흐름을파악하고, 관련정보를교환하여조치를취하는것이일반적인상황인식으로간주되어왔다. 그러나정상적인애플리케이션트래픽에악성코드를숨기는은닉, 회피등의수단을이용하는경우, 수동적대응체계로파악하기어려우며전역네트워크수준의대응과의도적정보유출에대한탐지는더욱제한된다. 14 www.iitp.kr
군사작전에서공통작전상황도 (Common Operating Picture: COP) 는실시간지휘결심을지원할수있도록감시, 정찰및타격체계를연동하고다양한출처의정보를융합하여지휘관과참모에게원하는형태로보여주게된다. 사이버공통작전상황도 (Cyber COP) 는이와유사한개념으로다양한유형의사이버공격과시스템상태에대한실시간탐지및신속한대응과복구기능을제공하는중심역할을하므로적극적감시, 정찰기능에해당하는모니터링과분석을통해상황인식기능을제공할수있어야한다. ( 그림 1) 은사이버공간에서의상황인식을위한 Endsley 모델로서세부기능과상황인식수준은환경과목적에따라수정, 보완되어사용되고있다 [1]. 사이버공간상황을정확히인식하기위해서는모델과같이대용량정보처리, 지식베이스를활용한자동분석기능등기술의뒷받침이있어야하며, 공격정보, 악성코드분석자료등관련정보를공유함으로써적절한대응조치를취할수있다. 전역네트워크에서모든기관들이사이버정보를공유하고협력대응을위한공통상황인식은사이버정보의표현, 네이밍, 프로토콜등의표준화를통해보다효율적으로달성 Task/System Factors - System Capability - Interface Design - Stress & Workload - Complexity - Automation Feedback Situational Awareness State of the Environment Perception of Elements in Current Status Level 1 Comprehension of current Status Level 2 Projection of future Status Level 3 Decision Performance of Action - Goals & Objectives - Preconceptions(Expectations) Information Processing Mechanisms Long Term Automaticity Memory Stores - Abilities - Experience - Training ( 그림 1) Endsley 상황인식모델 정보통신기술진흥센터 15
주간기술동향 2015. 4. 8. 할수있다. 우리군의항공기, 전차등무기체계와 C4I 시스템은정보교환을위한메시지표준으로 KMTF, KVMF 를규정하여사용함으로써정보공유를향상시키고있으나사이버위협및대응정보는대부분표준화가미흡하다. 미국은이미사이버공간에서표준으로 STIX 와 TAXII 를정의하고, 국토안보부와국방부에서획득하는체계는이를준수하도록하고있다 [2]. 국제표준화기구 ITU-T 의사이버보안관련 SG-17 에서는 5 개의작업반 (Working Party: WP) 과산하 12 개연구과제 (Question) 로구성되어인터넷및네트워크시스템등에발생할수있는침해사고대응, 사이버공격대응기술, 보안솔루션, 사이버보안취약점들에대한해결방법및정보공유방법등에대해연구가이루어지고있다. 우리나라의 TTA 에서도매년표준화전략맵을수립하고있으며, Ver. 2015 에는사이버보안분야에서네트워크장비들간에보안정보메시지교환포맷등을대상으로국가표준화를추진하고있다 [3]. 사이버공간의정보대부분을차지하는네트워크패킷은정형, 비정형데이터가다양하게포함되어있어표준화의효과를거두기위해서는페이로드데이터를정규표현식으로표현하여악성코드에대한탐지, 분석기반을마련해야한다. 정규표현식에대한표준은시장지배적으로사용되는 PCRE 를적용하는방안을고려할수있다. 또한표준화를통해실시간처리가어려운대용량데이터분석을분산처리할수있으며, 가시화기술의적용이용이하여사이버공통작전상황도 (Cyber COP) 를전문분석요원또는의사결정자가요구하는다양한형태로구성할수있다. 미국국토안보부는 2004 년사이버정보의가시화및분석을위해 PNNL(Pacific Northwest Nat. Lab) 을책임기관으로대용량네트워크트래픽의이벤트모델링과이상행위발견을지원하는 CLIQUE 모델, 정밀분석도구트래픽서클등연구를지원하고있다 [4]. 사이버공간의가시화는사용자인터페이스와그래프이론, 상관관계분석등다양한기술이필요하여 UCSB 대학에서는 ictf 와같은사이버해킹대회결과를활용하는군ㆍ산ㆍ학ㆍ연연구또한이루어지고있다 [5]. 3. IoT 환경의사이버위협대응방향 IoT 기술은스마트폰과같이 IT 환경의전반적변화와새로운부가가치를창조하는혁 16 www.iitp.kr
신을가져오는반면에새로운형태의사이버위협과보안취약점이제기될것으로예상되 고있다 [6]. IoT 환경의기기는 Bluetooth, WiFi 등네트워크접속방식이다양하고앱과 애플리케이션에서다루는비정형데이터는악성코드를탐지하기어려워서비스의상호운 용성을보장하면서이상징후를탐지할수있는기술이요구된다. 가트너는 2018 년까지약 25% 의데이터가기존보안시스템을우회하여모바일기기 에서클라우드로전송될것이며, 이와관련된신규보안시스템시장을약 25 억달러규모 로예측하고있다. 스마트자동차에대한해킹은 Black Hat 행사등을통해공개적으로수행되었으며, 임 베디드 SW 를탑재한 IoT 기기들은대부분비슷한보안문제를가지고있어앞으로보안 대책을마련하지않으면심각한사회안전문제로등장할수있다 [7]. 기존군사용체계는암호장비를통신구간에설치하여운영되고있으나 Stuxnet 과같 이폐쇄형네트워크에대한공격이나타나면서정상적인데이터내부에포함된악성코드 와내부정보의유출에대한대책을보완하고있다. 그러나대부분기기들은전력소모, 크 기등의제한사항으로패스워드설정기능외에는별도보안대책을갖추기어렵다. 따라서네트워크경계영역에서 DPI(Deep Packet Inspection) 전수조사기술을임베디 드 SW 로구현하여외부네트워크접속인터페이스, 네트워크허브, 상호인증등의역할 을하는기기에서이상징후및침입을탐지하고대응함으로써사이버공간의상황인식 기능을제공하는연구가이루어지고있다. < 표 1> 미국국방분야의관련연구개발프로그램프로그램 ADAMS (Anomaly Detection at Multiple Scales) CINDER (Cyber Insider Threat) ICAS (Integrated Cyber Analysis System) XDATA 내용 대량의데이터들로부터이상치 (Anomaly) 를식별하고검출하기위한연구로서다양한실세계문맥에서데이터들을대량수집하고이상치식별을위한다양한척도들을설정하여탐지가능성향상 네트워크에서발생한사이버첩보행위와같은비밀리에수행되는이상행위들을탐지하기위한기법연구 모든종류의네트워크정보들을데이터베이스에통합시켜상시적으로사이버포렌식과전술적인사이버방어에활용하기위한시스템으로전체적인차원의모니터링을가능하게해줌으로써 APT 공격탐지시간감소추진 비정형, 반정형데이터처리, 분산저장된불완전한데이터등처리를위한 Scalable 알고리즘, 사용자적응형 Visual Reasoning 기능을제공하는공개소스 SW 동적인네트워크환경에서전세계컴퓨터도메인과서버를표시하고이들의커넥션 Plan X 을파악하여사이버전장지도를구성하고사이버작전을계획하고수행하기위한시스템프레임워크와프로토타입 < 자료 >: 2013 국방과학기술조사서부분인용 정보통신기술진흥센터 17
주간기술동향 2015. 4. 8. 미국은국방부에서 < 표 1> 과같이상황인식, 악성코드탐지등의핵심기술을연구개발하기위해산ㆍ학ㆍ연협력을강화하고있다. 기업의시스템개발시간단축과네트워크트래픽정보등사이버위협징후판단에필요한데이터를처리하는전용 ASIC 칩기술등의발전은탐지우회를방지할수있는시그니처생성과관리, 다양한정보로부터신종위협, APT 공격에대응하기위한실시간탐지 SW 와룰 DB 관리를제공하는빅데이터기반지능형보안이향후보안기술을주도할것으로예상된다 [8]. 4. 빅데이터및기계학습기술동향빅데이터는정부와기업에서많은투자가이루어지고향후시장이크게성장할것으로기대되고있는주요기술이나아직은이를효율적으로활용하는사례는많지않다. 사이버보안분야에서빅데이터기술은실시간보안과비대칭분석솔루션으로구분되어발전하고있으나점차차이는줄어들것으로보인다. 실시간처리는네트워크트래픽, 시스템로그등의정보를실시간모니터링하는 SIEM 형태로발전하고있으며, 비대칭적기법은이상행위, 이벤트에대한분석을지원하는 Hadoop, NoSQL 같은플랫폼과시각화기술을기반으로할것으로예상된다. 블루코트 (Blue Coat), 카스퍼스키랩 (Kaspersky Lab), 트렌드마이크로 (Trend Micro) 등정보보호전문기업들은네트워크허니팟 (Honeypots) 을설치하여데이터를수집, 악성코드에대한시그니처를생성함으로써실시간탐지된위협에대해대응시간을줄이는노력을통해관련시장을주도하고있다. IBM, HP 등 IT 를선도하는기업들은핵심기술을보유한정보보호전문기업을인수합병하여차세대사이버위협대응서비스체계를구축하고있으며, 최근 SIEM(Security Incident and Event Management) 도구들은정보보호시스템에서발생하는대량의로그데이터를수집, 관리하는기능을갖추고있다. 비대칭적보안은보안전문가들이이벤트나이상현상을발견시추적ㆍ분석을지원하는기능을제공하며, 기계학습과시각화를통해정상적인행위와각종비정상적인행위를학습된지식을기반으로판단하고탐지룰관리등이이루어지도록하는방향으로발전하고있다. 국내의연구는악성코드의탐지대응을위한바이러스백신은안랩, 하우리등에서상 18 www.iitp.kr
당한기술수준을확보하고있으며, 네트워크전수조사탐지 SW 에서는인프니스네트웍스의기술이국제적경쟁력을갖춘것으로판단된다. 상황인식기반지능형보안체계로구축하기위해서는분야별확보한기술의통합이필요하며, ( 그림 2) 와같이실시간의미있는데이터확보와누적된정보를이용하여지식베이스를구축하고기계학습기술을적용하여데이터의상관관계분석이자동으로이루어지도록하는것이무엇보다중요하다. 빅데이터기반솔루션의성공은네트워크행동과상태를정확히파악할수있도록네트워크패킷과시스템에대한의미있는데이터를일관된방법으로수집하고기존 DB 를이용한추론이가능해야한다. 빅데이터기술을이용한이미지, 텍스트, 동영상등비정형데이터분석은아직정확한분석을지원하는수준에이르지못하고있으며, 영어에비해한글분석은관련연구가많이부족하다. < 자료 >: The Executives Guide to Cyber Threats, Gartner, 2013. 재구성 ( 그림 2) 지능형보안개념과관련기술 정보통신기술진흥센터 19
주간기술동향 2015. 4. 8. 기계학습은감독학습 (Supervised Learning) 과비감독학습 (Unsupervised Learning) 으로구분된다. 사이버대응을위한의사결정을위해서는축적된지식기반없이처리하는비감독학습방법의개발이필요하며, 동적으로변화하는그래프와같은속성을가진대량의사이버정보를분석하는기법으로고차원배열을다루는텐서 (Tensor) 알고리즘을이용하는방법이연구되고있다 [10]. 텐서를이용한분석은시그니처와이상치탐지에적용할수있으며, ( 그림 3) 과같이핵심텐서가대각 (Diagonal) 인경우 PARAFAC 분해방법과일반적인핵심텐서인경우 Tucker 텐서분해로나누어진다. 각각의방법은다루고자하는사이버정보의속성에따라적용할수있다. 처리속도와시스템구성에따라서도 PARAFAC 방법은대표적으로사용되는 Alternating Least Square(ALS) 알고리즘을대용량데이터를다룰수있도록분산처리를통해대용량텐서분해가가능한기가텐서알고리즘등이연구되고있다. 터커방법은 Tucker-N 모델들로이루어지며, 각모델들은알고리즘의특성이외에도데이터저장공간, 처리성능, 결과의신뢰성등을고려해야한다. 감독학습분야에서텐서를적용하는것은아직제한적이나사이버정보에대한분류모델의정립이이루어지면서활용분야가넓어질수있을것으로보인다. 무엇보다빅데이터를다루기위한기계학습은알고리즘개발과최적화를높이는것이가장중요하다. unsupervised Parafac dense or sparse Tucker supervised ( 그림 3) 기계학습과텐서 (Tensor) 모델 20 www.iitp.kr
5. 결론사이버위협은국가안보에위협이될수있는군사및공공기관을대상으로하는사이버공격과개인정보보호등의사회경제분야에대한대응이구분되었으나, 최근에는전영역에서국가안보를위협하는수준까지이루어지고있어전력, 가스등사회적인프라역시사이버공격의주요대상이되고범국가적차원의통합된대응노력이필요하게되었다. 많은국가들이이미사이버전대응조직과체계에서민ㆍ관ㆍ군연계를강화하고있으며, 미국은사이버사령부의역할을국방부및주요군시설의네트워크시스템방어그리고민간영역의주요기반시설방어업무까지확장하고있다. 이스라엘의경우, 기존국방기관이외국가사이버방어기구를총리직속기관으로창설하는등사이버방어의중요성에대한인식과함께제도개선과산ㆍ학ㆍ연협력연구확대를추진하고있다. 정보보호기술은사이버위협으로부터국가안보를보장하면서금융, 제조, 서비스등산업전반의신뢰성과안정성을제공하여산업경쟁력을향상시키는역할을한다. 향후 IoT 가구체적으로도래하여보안에대한위협이증가하면정보보호기술은연구개발과운영전반에서민ㆍ관ㆍ군영역의구분이더욱없어지고공유할수있는부분이많을것으로보인다. 궁극적으로 ICT 환경변화에따른정보보호방향은지능형보안으로발전할것으로보인다. 지능형보안은정보보호의주요키워드로다루어질것이며, 상황인식과빅데이터기반의정보보호핵심기술에대한확보가 ICT 국가경쟁력의핵심이될것이다. 따라서전역네트워크에대한실시간탐지, 데이터시각화를통한전문가분석지원, 빅데이터와기계학습기술을적용한지능형보안은국방분야의상황인식기능에대한운영개념과경험을사이버공간의특성에맞추어체계를구축하는통합노력이반드시필요한시점이다. < 참고문헌 > [1] Endsley's SA model, Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors, 37(1), Mar. 1995, pp.32-64. [2] MITRE, STIX/TAXII, https://stix.mitre.org, https://taxii.mitre.org 정보통신기술진흥센터 21
주간기술동향 2015. 4. 8. [3] ICT 표준화전략맵 Ver. TTA, 2015, 2014. 12. [4] PNNL, http://www.pnnl.gov [5] The UCSB ictf. http://ictf.cs.ucsb.edu. [6] 사물인터넷 (IoT) 정보보호로드맵, 미래창조과학부, 2014. 10. [7] Black Hat Conference, https://www.blackhat.com [8] S. King, Defense Cyber S&T Strategies &Initiatives, DoD/DHS Small Business Innovation Research Workshop, Jul. 2013. [9] E.Paulak, The Executives Guide to Cyber Threats, Gartner, 2013. [10] E. Acar, B. Yener, Unsupervised Multiway Data Analysis: A Literature Survey, IEEE Transactions on Knowledge and Data Engineering, 21(1), July 2013, pp.6-20. 22 www.iitp.kr