Journal of the Korea Institute of Information and Communication Engineering 주태경 1 신원 2* A New Filtering System against the Disclosure of Sensitive Internal Information Tae-kyung Ju 1 Weon Shin 2* 1 Dept. of Computers and Media Engineering, Tongmyong University, Busan, 608-711, Korea 2* Dept. of Information Security, Tongmyong University, Busan, 608-711, Korea 요약 다양한서비스를제공하는인터넷환경에서수많은중요정보가전송되고있으나, 대부분의내부사용자는어떠한중요정보가전송되는지모르고있다. 본논문에서는네트워크패킷내에포함된중요정보를지속적으로모니터링하고, 유출여부를사용자에게알려주는차단시스템개발을목표로한다. 이를위하여중요정보필터링시스템을설계하고구현하여그결과를분석한다. 사용자는제안시스템을사용하여중요정보의유출여부를시각적으로직접확인할수있으며, 해당패킷을폐기할수도있다. 본연구결과는중요정보유출방지에기여함으로써기업내부정보를대상으로하는다양한사이버침해를줄이는데기여할수있을것으로판단한다. ABSTRACT Sensitive internal information has been transmitted in a variety of services of Internet environment, but almost users do not know what internal information is sent. In this paper, we intend to develop a new filtering system that continuously monitors the sensitive information in outbound network packets and notifies the internal user whether or not to expose. So we design a filtering system for sensitive information and analyze the implementation results. Thus users visually can check whether disclosure of the important information and drop the corresponding packets by the proposed system. The results of this study can help decrease cyber threats various targeting internal information of company by contributing to prevent exposure of sensitive internal information. 키워드 : 중요정보, 네트워크패킷, 데이터유출방지, 모니터링도구 Key word : Sensitive information, Network packet, Data loss prevention, Monitering tool Received 05 March 2015, Revised 30 March 2015, Accepted 14 April 2015 * Corresponding Author Weon Shin(E-mail:shinweon@tu.ac.kr, Tel:+82-51-629-1284) Dept. of Information Security, Tongmyong University, Busan, 608-711, Korea Open Access http://dx.doi.org/10.6109/jkiice.2015.19.5.1137 print ISSN: 2234-4772 online ISSN: 2288-4165 This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/li-censes/ by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited. Copyright C The Korea Institute of Information and Communication Engineering.
Ⅰ. 서론수많은정보가컴퓨터시스템에저장되어인터넷을통하여공유되고재가공하여배포할수있는환경이구축됨에따라매년관련산업이폭발적인성장을거듭하고있다. 그러나관련서비스의성장과새로운사용자요구사항, 다양한기능이컴퓨터시스템에경쟁적으로도입됨에따라이를악용한역기능또한함께증가하고있는추세이다. 해킹공격및악성코드유포, 기업중요정보변조및유출, 개인정보유출등의피해사례가지속적으로보고되고있다 [1]. 그러나인터넷을통한다양한서비스는각종서버와데이터베이스로구성되어네트워크로연결되어있고, 각종중요정보가시스템에축적되므로다양한취약점이존재할뿐만아니라이에따른위협도함께발생하고있다. 또한개인 PC 내백그라운드로동작하는키로거, 루트킷, 트로이목마, 웜과같은악성코드에의해자신도모르는사이에중요정보가유출될수있다. 이로인해기업내중요정보유출로인한피해도갈수록증가하고있는데, 특히중소기업의경우대기업에비해기술유출비중이높고, 유출피해금액또한갈수록증가하고있는것으로나타나고있다. 중소기업내중요정보유출에관한피해는주로내부자의정보유출로인해발생하는경우가많은데, 내부자는 E-mail, FTP, P2P, 메신저등을이용해네트워크로중요정보및고객정보를유출할수있다. 따라서본논문에서는네트워크패킷내에서내부중요정보유출여부를모니터링하고, 이를차단할수있는도구개발을목표로한다. 이를위하여 2장에서는관련연구를살펴보고, 3장에서내부중요정보차단시스템의설계와구현을제안한다. 4장에서시스템동작및실험결과를제시하고, 마지막 5장에서결론을맺는다. Ⅱ. 관련연구 2.1. 패킷캡처라이브러리패킷캡처를수행하는대표적인라이브러리로는 pcap(packet capture), libpcap(portable Packet Capturing Library), WinPcap, WinDivert(Windows Packet Divert) 등이있으며, tcpdump, snort, WireShark와같은범용 소프트웨어에널리이용되고있다 [2-4]. 그림 1은 WinPcap의 NPF(Net Group Packet Filter) 의구조를나타내는데, NIC(Network Interface Card) 를통해지나가는패킷을복사하여 User Level에전송함으로써필터, 모니터링, 로깅이가능하도록지원하는것을알수있다. 다른라이브러리도 WinPcap과구조는상이하지만, 유사한기능을가지고있다. 그림 1. WinPcap 의 NPF 구조 Fig. 1 NPF structure of WinPcap 반면 WinDivert는 Windows Vista / 7 / 8, Windows Server 2008에서동작하는사용자모드라이브러리로패킷에대한캡처 / 도청 / 수정 / 차단 / 수정등이가능하다 [5]. WinDivert는다른라이브러리와는다르게사용자모드애플리케이션이윈도우네트워크스택 (Windows Network Stack) 에서전송된네트워크패킷을캡처 / 수정 / 폐기할수있는기능을지원한다. 그림 2는 WinDivert 의기본구조를나타내는데, 새로운패킷이생성이되면먼저사용자가미리정의한필터규칙 (Filter Rule) 에해당하는패킷인지아닌지를구분한다. 만약필터규칙에해당하지않는패킷이라면네트워크를통해패킷이전송되고, 필터규칙에해당하는패킷이라면패킷이애플리케이션으로우회된다. WinDivert는 WinPcap 및 libpcap에서제공하는스니핑 (Sniffing) 기능을제공할뿐만아니라, 폐기 (Dropping), 필터링 (Filtering), 수정 (Modification), 재주입 (Re-injection) 과같은다양한기능을추가로제공한다 [5]. 1138
표 1. 기존연구와제안시스템비교 Table. 1 Comparison between the previous studies and the proposed system 그림 2. WinDivert 의구조 Fig. 2 WinDivert architecture 2.2. 기존연구중요정보유출을탐지하기위한기존연구들을살펴보면다음과같다. 김유진등 [6] 은쿠키, 인터넷임시파일, 로그파일, 각종문서파일등사용자가인지하기어려운파일내개인정보를찾고발견된개인정보에대해민감도에따른위험도를산출하여사용자에게삭제를권고하는시스템을개발하였다. 김원규등 [7] 은 DoS, SYN Flooding, ACK Strom, Port Scan, TCP connect Sacn, SYN steath scan 탐지룰을정의하고, pcap과 iptables를이용한 Linux기반호스트 IPS를제안하였다. 이방안은개인정보유출및해킹사고에대응하기위해 iptables의차단기능을활용하였지만, 구현에서활용한 libpcap은기본적으로 NIC로부터전송되는패킷을붙잡아두지못하며단순히패킷을복사하여애플리케이션계층으로전송하기때문에 iptables의차단기능만으로는모든패킷의유출을완전히막을수없다는단점이있다. 홍정환 [8] 은 snort를개량하여 Linux 호스트에서활용가능한침입탐지시스템구현하고, FTP Keylog, IRC Botnet에의한정보유출탐지예를보였는데, 유출되는패킷내개인정보를정규표현식을이용해탐지하고, 포렌식수행을돕는기능을구현하였다. 하지만중요정보가단순히정규표현식을적용하였을경우오탐이발생할가능성이매우높다. 또한탐지된패킷을직접차단하지못하여개인정보를그대로노출할수밖에없는한계가있다. 표 1은기존연구와제안시스템과의차이점을간략히나타내고있다. Yu-jin Kim et al[6] Won Kyu Kim et al[7] Jeong Hwan Hong[8] The proposed system Detect information disclosure Recommend to delete Sensitive information Drop packets OS Windows N/A Linux Linux Windows Ⅲ. 차단시스템의설계및구현 본논문에서는기존연구의단점을개선하여네트워크패킷내내부중요정보를탐지할뿐아니라유출이발견된경우해당패킷을사용자가폐기할수있는시스템을제안한다. 3.1. 시스템구성그림 3은제안시스템의구성도이다. 그림 3. 시스템구조 Fig. 3 System architecture overview 구성요소로 사용자인증모듈 (User Authentication Module), 정보입력모듈 (Information Input Module), 정규표현식입력모듈 (Regex Input Module), 매칭모드설정모듈 (Matching Mode Setting Module), 패턴 1139
매칭모듈 (Pattern Matching Module), 패킷폐기모듈 (Packet Drop Module), 패킷모니터링모듈 (Packet Monitoring Module), UI(User Interface) 이존재한다. 제안시스템은중요정보와정규표현식패턴매칭과수동패킷폐기, 자동패킷폐기, 모니터링모드를구현하였다. Windows 7 환경의 Visual Studio 2012에서패킷모니터링및패킷폐기를구현하기위해 Win32 API 기반에서 WinDivert-1.1.6 라이브러리를이용하였다. 또한각각의중요정보특징에맞게패킷내다량의중요정보를탐지할수있도록하기위해정규표현식라이브러리 PCRE-8.35를이용하였다. 3.2. 시스템구현방안제안시스템구성요소의구현방안은다음과같다. 첫째, 사용자인증모듈은허가받지않은사용자가모니터링도구를실행하고각종설정을변경할수없도록사용자인증정보를등록하고인증된사용자만사용할수있도록한다. 둘째, 정보입력모듈은고유식별정보, 민감정보등중요정보를입력받아중요정보패턴데이터베이스에암호화하여저장한다. 셋째, 정규표현식입력모듈은중요정보각각의특성에맞춘정규표현식을입력받는모듈이다. 입력받은정규표현식은중요정보를탐지하기위해패턴과같이이용되어지는데예를들면주민등록번호정규표현식을등록하면, 주민등록번호특성을가지는패킷내문자열들을모두탐지하는데이용된다. 입력된정규표현식은 중요정보 + 정규표현식 탐지방식에이용되어진다. 넷째, 매칭모드설정모듈은패킷내중요정보탐지방식을결정하는모듈이다. 탐지방식에는 중요정보 탐지방식과 중요정보 + 정규표현식 탐지방식중하나를설정할수있다. 중요정보 탐지방식은미리입력된중요정보를패킷에일대일매칭한다. 중요정보 + 정규표현식 은정규표현식을이용해패킷내중요정보문자열들을추출하고, 추출된문자열중입력받은중요정보가존재하는지패턴매칭하게된다. 만약에중요정보는입력되지않고, 정규표현식만등록되어진경우에는무특정다수중요정보탐지가가능하다. 주로중소기업내다수의중요정보를보호하고자하거나, 개인이파일내다수의중요정보유출을보호하고자할때이용할수있도록구현되어있다. 다섯째, 패킷폐기설정모듈은중요정보가탐지된패킷을폐기하는방식을결정하는모듈이다. 폐기방식에는수동패킷폐기, 자동패킷폐기, 모니터링방식중하나를결정할수있다. 수동폐기는사용자가직접패킷의폐기여부를 YES 혹은 NO와같은방법으로실시간결정할수있는방식이다. 자동폐기는탐지된패킷을사용자에게묻지않고경고또는의심패킷여부에따라프로그램이자동폐기하는방식이고모니터링모드는폐기기능을수행하지않고모니터링만수행한다. 마지막으로패킷모니터링모듈은아웃바운드 (Outbound) 패킷을대상으로패킷분석을실시하는데, 패킷매칭모듈과패킷폐기모듈을이용하여패킷들을지속적으로모니터링, 패턴매칭, 패킷폐기역할을수행한다. 3.3. 패킷필터링방안그림 4는제안시스템동작을간략히나타내는순서도이다. 그림 4. 제안시스템의동작 Fig. 4 Algorithm of the proposed system 제안시스템은최초패킷발생시패킷을붙잡아두고 TCP/IP 계층에따라파싱 (Parsing) 을수행한다. 그다음중요정보의토큰별로정규표현식패턴매칭을수 1140
행하여페이로드내중요정보의토큰을일차적으로모두걸러낸다. 정규식과일치하는중요정보가존재하면추가적으로일대일매칭을수행하여토큰의보안레벨 (Security Level) 을결정한다. 표 2는토큰의보안레벨분류를나타내고있다. 표 2. 보안레벨분류 Table. 2 Security level classification 메인화면은모니터링한패킷을프로토콜계층에따라보여주고사용자가그내용을확인할수있도록해준다. 중요정보와전체가일치하는경우에경고를, 일부가일치하는경우의심을출력하여사용자에게중요정보유출여부를알려준다. 특히, 경고인경우패킷의전송혹은폐기여부를사용자가직접선택할수있도록구현하였다. Category Details Conditions Regular Alert All matches expression Warning Regular expression matches pattern Pass Regular expression mismatches Sensitive informatio n pattern Alert Warning Pass Sensitive information matches Sensitive information partially matches Sensitive information 토큰의보안레벨은표 2의상세내용에따라결정된다. 중요정보하나와관련한토큰각각에보안레벨이모두결정되면, 최종적으로패킷에대한보안레벨을결정한다. 패킷의보안레벨에따라사용자에게 Alert, Warning, Normal 등의결과를통지하고, 동시에패킷의폐기 (Drop) 또는통과 (Pass) 여부를결정한다. Ⅳ. 시스템동작및실험 4.1. 메인화면그림 5는제안시스템의메인화면이다. 그림 5. 메인화면 Fig. 5 Main screen 그림 6. 환경설정 Fig. 6 Configuration UI 그림 6은환경설정화면으로, 중요정보설정은중요정보와정규표현식을입력받는다. 그림 5와같이중요정보와정규표현식은토큰별로나누어서입력받고있다. 그이유는중요정보가네트워크로전송되어질때, 다양한토큰별로나누어져서전송되어질수있기때문이다. 이러한사실은단순패턴매칭을수행하였을경우정확도가떨어질수있다. 예를들어계좌번호를네트워크를통해패킷으로전송한다고하였을경우 111111-22-333333, phonnum1=111111 phonnum2=22 phonnum3=333333, 11111122333333 등같은중요정보라도다양한형태로전송되어질수있기때문에사용자가입력한개인정보에따라단순히정규식을적용 1141
하거나일대일매칭을수행하면패킷내중요정보가존재하더라도탐지하지못하는경우가발생할수있다. 따라서토큰별로일대일매칭혹은정규식을적용하여중요정보탐지정확도를올릴수있다. 4.2. 실험및분석실험환경은 PC에키로거 (Keylogger), 원격접속소프트웨어, 제안도구를설치하고, 노트북에 Windows 7 과원격접속소프트웨어를설치하여동작하였다. 본실험은다음과같은시나리오로진행되었다. 1. 키로거가설치된 PC에에중요정보를입력한다. 2. PC에설치된원격접속소프트웨어를이용하여외부 PC로원격접속후중요정보파일을유출한다. 그림 7은키로거를통해수집된 ID, 패스워드, 이메일, 주민등록번호, 핸드폰번호, 집전화번호등을포함하는중요정보파일을원격접속소프트웨어를통해외부 PC로전송을시도했을때관련패킷들이차단됨을타나내고있다. 파일전송이차단되자원격접속소프트웨어가폐기된패킷의재전송을여러차례시도하려했음을알수있다. 그림 8은노트북으로무선네트워크환경에서제안도구를이용해온라인쇼핑몰 T 사이트에서로그인할때패킷모니터링결과를나타내고있다. 모니터링결과 ID, 패스워드가암호화되지않은상태로전송되려했고패킷폐기가이루어지고접속이차단됨을확인할수있다. Ⅴ. 결론 그림 7. 키로거전송중요정보포함패킷을필터링 Fig. 7 Filtering packets including sensitive information by a keylogger 그림 8. 웹사이트접속시중요정보를포함하는패킷을필터링 Fig. 8 Filtering packets including sensitive information for accessing a website 정보화사회에서정보는곧재화와같은의미를가진다. 최근기업내기업정보및중요정보유출과관련한사건이지속적으로증가하고있는데, 이러한정보유출은재화유출과같다할수있다. 특히, 중소기업은대기업에비해기술유출비중이높고, 피해금액도갈수록증가하고있다. 또한 2013년기준으로중소기업의 10.2% 가최근 3년간기술유출로인해피해를경험하였으며, 피해중소기업들은기술유출 1건당평균 16.9억원의매출액이감소한것으로나타났다 [9]. 하지만중소기업 1개사당기업전체매출액의 0.24% 만을보안관리비용으로지출하고있는것으로나타나내부자및악성코드에의한기업중요정보와개인정보변조및유출과같은피해가갈수록증가할것으로보인다 [9]. 본논문에서는정규표현식기반의패턴매칭을수행하여중소기업및개인이무특정다수의중요정보유출을탐지및차단을수행하는시스템을구현하고실험을수행하였다. 이를통하여제안시스템은외부로유출시키려는중요정보파일및패킷을차단함을확인할수있었다. 따라서전문지식이없는사용자도사내 PC에제안도구를설치하여내부자및악성코드에의한중요정보유출차단을수행함으로서, 영세한기업내중요정보유출방지에도움이될수있을것이라예상한다. 1142
REFERENCES [1] KrCERT/CC, Korea Internet Incident Trend Report, Korea & Security Agency, December 2014. [2] pcap[internet]. available: http://en.wikipedia.org/wiki/pcap [3] Luis MartinGarcia, PROJECT LIST [Internet]. available: http://www.tcpdump.org/related.html [4] The WinPcap Team, WinPcap Documentation [Internet]. availavle: http://www.winpcap.org/docs/docs_412/html/ main.html [5] basil, WinDivert 1.1: Windows Packet Divert[Internet]. available: https://reqrypt.org/windivert-readme.txt [6] Yu-jin Kim, Seng-phil Hong, Risk Detection and Control Mechanism Design for the protection of Personal Information, Proceeding of the Korean Society for Internet Information, pp.59-60, 2010. [7] Won Kyu Kim, Seung Hwi Kim, Jae Hyuk Lee, Tae Chul Hwang, Young Yeol Choo, Implementation of Host Intrusion Prevention System Based on Linux, Proceeding of the Fall Conference of the Korea Multimedia Society, pp. 95-98, 2006. [8] Jeong Hwan Hong, "Protection of Private Information Via Packet Filtering and Pattern Matching with Regular Expressions", MA Thesis, Hanyang university, 2007. [9] Min-sun No, Current Status and Challenges for the Support Policies of Technologies Protection for Small and Medium Business, KOSBI Issue Paper, Korea Small Business Institute, no. 14-17, December 2014. 주태경 (Tae-kyung Ju) 2014 년 2 월 : 동명대학교정보보호학과졸업 2014 년 3 월 ~ 현재 : 동명대학교컴퓨터미디어공학과석사과정 관심분야 : 네트워크보안, 소프트웨어보안 신원 (Shin, Weon) 2001 년 8 월 : 부경대학교전자계산학과이학박사졸업 2002 년 3 월 ~ 2005 년 1 월 ( 주 ) 안철수연구소선임연구원 2005 년 3 월 ~ 현재동명대학교정보보호학과전임강사, 조교수, 부교수 관심분야 : 소프트웨어보안, 악성코드확산, 디지털포렌식 1143