<4D F736F F D2032C6ED20B3D7C6AEBFF6C5A920B1E2B9DDC0C720BDC7BDC3B0A320C0A7C7E8B0FCB8AEB8A620C0A7C7D120C0A7C7E8BAD0BCAE20B9D720C6F2B0A120B9E6B9FD2E646F63>

Similar documents

F1-1(수정).ppt

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

TGDPX white paper

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>


< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

ìœ€íŁ´IP( _0219).xlsx

untitled

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

<B3EDB4DC28B1E8BCAEC7F6292E687770>

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

PowerPoint 프레젠테이션

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

2 Journal of Disaster Prevention

5th-KOR-SANGFOR NGAF(CC)

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

- 2 -

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

Á¦3ºÎ-6Àå

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

UDP Flooding Attack 공격과 방어

이 장에서 사용되는 MATLAB 명령어들은 비교적 복잡하므로 MATLAB 창에서 명령어를 직접 입력하지 않고 확장자가 m 인 text 파일을 작성하여 실행을 한다


행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

Cloud Friendly System Architecture

SW

1 SW

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

*****

[Brochure] KOR_TunA

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1


PowerPoint 프레젠테이션

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

184최종

200707Á¤Ã¥¸®Æ÷Æ®_³»Áö

07Á¤Ã¥¸®Æ÷Æ®-pdf¿ë

untitled

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

Microsoft PowerPoint - 6.pptx

Deloitte Template: SOC 1 Type II Report

PowerPoint 프레젠테이션

Cisco FirePOWER 호환성 가이드

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

제목 레이아웃

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환


KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

게시판 스팸 실시간 차단 시스템

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft Word - src.doc

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Windows 8에서 BioStar 1 설치하기

서현수

Microsoft PowerPoint - chap06-2pointer.ppt

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

Secure Programming Lecture1 : Introduction

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770>

[ 목차 ]

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

1 경영학을 위한 수학 Final Exam 2015/12/12(토) 13:00-15:00 풀이과정을 모두 명시하시오. 정리를 사용할 경우 명시하시오. 1. (각 6점) 다음 적분을 구하시오 Z 1 4 Z 1 (x + 1) dx (a) 1 (x 1)4 dx 1 Solut

IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있


<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

PowerPoint 프레젠테이션

Sena Device Server Serial/IP TM Version

_ƯÁý-½ºÆù

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

¿ÀǼҽº°¡À̵å1 -new

Windows Server 2012

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

2차 수사분석사례집_최종.hwp

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

±èÇö¿í Ãâ·Â

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

Microsoft Word - How to make a ZigBee Network_kr

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

PowerPoint Presentation

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

네트워크안정성을지켜줄최고의기술과성능 TrusGuard는국내최고의방화벽솔루션인 수호신 Absolute 기반기술위에설계되었습니다. 수호신 Absolute는국내최초의상용방화벽으로써지난 10년간약 3,000여고객 References를확보하면서기술의안정성과성능면에서철저한시장검증

방송통신기술 이슈&전망 2013년 제 28 호 요약 본고에서는 차세대 지능형 전력망이라 불리우는 스마트그리드에 대한 일반적인 개 념 및 효과에 대해 알아보고, 현재 스마트그리드 구축에 있어 이슈가 되고 있는 사 이버 보안측면에서 고려해야 할 위협요소와 취약성에 대해 살

ISP and CodeVisionAVR C Compiler.hwp

Network seminar.key

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

슬라이드 제목 없음

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

Transcription:

네트워크기반의실시간위험관리를위한위험분석및평가방법연구 컨설팅서비스사업부김성원, 김휘영 1. 서론오늘날정보보호문제는정보시스템을운영하거나활용하는모든측면에있어서중요한문제로대두되었다. 수많은종류의정보보호시스템들이존재하고, 기업, 공공, 개인등은컴퓨터네트워크에연결된곳에서자신들이보유한정보자산을보호하기위해서적지않은비용을지불하고있으며, 정보보호의필요에공감하고있다. 하지만정보보호시스템들은다양한분야에있어서독립적인기능에특화되어있으며오히려이러한정보의단편화로인하여전체적인정보보호수준을평가하고정책을수립하는데어려움을겪고있다. 최근들어정보보호시스템에의하여보고되는단편화된정보를모으고이를기반으로전체위험의수준을평가하기위한수많은시도들이있으나컴퓨터네트워크상의위험을평가하기보다, 정보보호장비들의통합과관리에그목적이있어위험의수준을평가하는데한계가있다. 이러한한계를극복하고, 컴퓨터네트워크상의정보자산들의상태와이들의위험수준정보를제공함으로써정보보호활동의기준을제시하는 RMS(Risk Management System) 에대한연구가필수적이다. 위험평가를통한수준화된위험정보는정보보호의수준을측정하는지표로활용되며, 정보보호정책의기준을제시할수있다. 이글의목적은정보보호의기술적보안영역내에서기존의시스템을기반으로컴퓨터네트워크상의위험수준을분석하고올바르게평가하는방법을제안하는것이다. 이를위하여먼저위험분석과평가에대한기존의노력들을알아보고, 기존의방법론과응용기술이간과해온위험의구성요소를식별하고그들간의관계를정의할것이다. 이후정의된구성요소들을정보보호의기술적영역과연관하여어떻게컴퓨터네트워크전체의위험수준을평가할수있는지절차를설명할것이다. 2. 연구동향정보보호란 의도적이든비의도적이든부당한정보의열람, 유출, 변조, 파괴로부터정보를보호하는것 [Information Warfare, July 1996] 이다.

[ 그림 1] 정보보호실행과정 정보보호실행과정을보면분석, 평가된위험수준정보는다시조직의 IT보안목적, 전략, 방침에반영되는순환구조를가진다. 정보보호실행과정중정의된범위내의위험요소를식별및분석하고평가하여평가된위험요소들을관리 ( 통제선정등 ) 하는것이위험관리의영역이며이는정보보호실행과정중핵심적인사항이다. 위험관리는다시위험분석및평가라는세부적인정보보호활동을필요조건으로하고있다. 현재위험분석및평가를컴퓨터시스템화하려는노력은크게위험분석의방법론적접근과방화벽, 침입탐지, 침입차단시스템등기존정보보호제품들의성능향상과통제및관리의관점에서접근하는응용기술기반으로나누어볼수있다. 2.1. 위험분석및평가방법론적접근위험분석은위험평가를위한구성요소정보들을취합하고위험을평가할수있도록분류하고각각을수준화하는과정이고, 수준화된구성요소정보에나름의기능을적용하여위험의수준을측정하는것이위험평가이다. 본내용에서는두가지과정을합하여 위험분석및평가라는명칭을사용하도록하겠다. 1 위험분석및평가에대한연구는정보보호를수행하는조직의특성별로매우활발하게이루어지고있으나자산, 위협, 취약성을위험의구성요소로보고, 각구성요소의수준을측정하고, 이를서로상관, 분석하여수준화함으로써위험을평가하는것이일반적이다. 기존의위험분석및평가방법의방법론적인분류는위험의구성요소를무엇으로볼것인가를기준으로구분짓는방법과위험평가방법이정성적인가정량적인가를기준하는방법으로나뉠수있다. [ 표 1] 위험분석프로세스의분류 2 1 참고문헌 [7] 에의하면 위험분석및평가 를위한구성요소의유형을 위험분석프로세스 의구성으로표현하였다. 엄밀히말해위험평가프로세스가맞는것이고, 위험평가의필요조건으로위험분석프로세스가있는것이며, 두가지절차와통제를합하여 위험관리 라고부른다. 2 A : Asset, V : vulnerability, T : Threat, R : Risk

모델형태 방법 AVR : 자산-취약성기반 ISO/IEC TR 13335-3부 AVTR : 자산-취약성-위협기반 BDSS, HWAK ATVR : 자산-위협-취약성기반 OCTAVE[3][4], NIST SP-800-30, CRAMM, BDSS, CISSP, ATR : 자산-위협기반 CSE TVR : 위협-취약성기반 SSE-CMM, CAO1, GAO3, 에너지성-SRAG TR : 위협기반 GAO[9], 법무성-SRAG 기타 ISO/IEC TR 13335-1부, Open Framework [ 표 1] 은위험의구성요소를자산, 취약성, 위협으로보고, 이들을어떻게구성하고평가하는가에따라기존위험분석및평가방법을분류하고있다. 최근위험분석및평가방법의연구는 ATVR 유형의프로세스로수행되고있으며이와같은위험분석및평가방법은자산기반의프로세스를가진다. 기존위험분석및평가방법을분류하는다른하나의방법은평가방법이정성적인가혹은정량적인가를기준으로하는것이다 ([ 표 2] 참조 ). 정성적인방법은정량적인방법에비하여평가기간이짧고, 단순하지만평가근거의객관성이부족한단점을가지고있다. 정량적인평가방법은정보시스템의규모가커질수록위험분석및평가에상당히많은시간이소요되며, 위험분석및평가의모든구성요소를정량적수치로표현하기가매우어렵다는단점을가진다. 현재는정성적인방법이널리사용되고있다. [ 표 2] 기존의위험분석및평가방법론의평가방법에따른분류구분방법정량적분석 RiskCALC, HAWK 정성적분석 ISO/IEC-13335-3부, BS-7799, CSE, OCTAVE, CRAMM, CONTROL-IT, auditmasterplan, JANBER, Risk Alert, Risk Ranking Advisor, SecMOD, PRAM 복합적분석 TTASKO-12007, BDSS, The Buddy System, RiskPAC, RANK-IT 위험분석및평가의방법론적접근에는정보보호에대한풍부한경험과지식을가진전문가가반드시필요하다. 또한이들이위험분석및평가를위하여받는사전정보들은간격이넓은단위시간동안축적된데이터를기반으로분석을수행하므로짧은단위시간동안위험분석및평가의구성요소정보가변화하는컴퓨터네트워크상의위험수준을판단하기위해사용하기에는간과하는환경영향이많아오차범위가큰단점을가진다.

2.3. 위험분석및평가의응용기술기반접근위험분석및평가시스템을구현하기위한응용기술기반접근에따라침입탐지정보의연관성분석기법, 취약성과위협정보의연관성분석, 시스템로그의연관성분석으로나누어기존의연구를구분지을수있다 ([ 표 3] 참조 ). [ 표 3] 응용기술기반분류구분방법목적 침입탐지정보의연관성 분석 침입탐지이벤트및로그 분석 침입탐지시스템의오탐율 감소목적 취약성과위협정보의연관 성분석 취약성에관한위협위주의 분석 네트워크상의위협식별및 오탐율감소목적 시스템로그의연관성은분 석 (ESM) 통합된로그의연관성을위 협위주로분석 이기종정보보호시스템간 의로그통합 위험분석및평가의응용기술적인접근의결과는 ESM(Enterprise Security Management), TMS(Threat management System) 라는통합보안관리제품의형태로나타나고있다. 기존의위험분석및평가의응용기술적인접근은현재운용되고있는정보보호시스템의문제점을보완하거나, 효율적이고정확한위협의식별을목적으로한다. 따라서이와같은접근은보호해야하는정보자산의가치와상태가틀림에도불구하고분석정보의정규화를통하여위험을일반화하는오류를범하거나, 현재보호해야할대상의상태 3 에따른정확한위험수준을평가할수없다. 3. 네트워크기반위험분석방법및절차일반적으로위험분석및평가방법은정보보호의관리적, 물리적, 기술적범위에서수행되며, 이들영역중관리적, 물리적영역은위험평가의구성요소식별이나평가방법에있어서매우주관적이며, 기술적보안영역의대응방안으로해결될수없는영역의문제들이다. 예를들어컴퓨터시스템은정당한권한과정당한사용자의접근이라면시스템은접근자의의도와상관없이허용된서비스를제공한다. 정당한사용자의불순한의도혹은실수에의한정보의열람, 유출, 변조, 파괴행위는반복적인보안교육과같은관리적인정보보호체계를확립하여해결할수있는영역에해당한다. 또는전산실의소방설비 3 자산의상태는자산의가치와는무관하다. 자산의상태는자산이보유한취약성에관련된개념이다. 여기서는 자산의강도 라고 표현한다.

구조와같은형태의문제도기술적보안영역의대응방안으로해결할수없는영역의문제들이다. 즉이와같은문제들은기술적영역의대응을통해서부당한열람, 유출, 변조, 파괴로부터정보자산을보호할수없다. 또한기술적보안영역의위험분석및평가를통해서적절한대응및조치를시스템화하기위해서는기존에존재하는방법론의프로세스를특화하여새로이정의할필요가있다. 3.1. 위험평가를위한구성요소여기서제안하는기술적보안영역에서위험분석을시스템화할때위험수준에영향을주는구성요소는자산, 가치, 취약성, 위협, 가능성, 통제, 요구로구성된다 4. [ 그림 2] 위험평가를위한구성요소및관계 [ 그림 2] 에서취약성, 자산, 가치, 통제에대한정보는위험분석사전에취합되며, 가능성은위협에따라변화하므로위협, 요구와함께위험분석시실시간으로분석되어야 한다. 자산컴퓨터네트워크상에서가장안쪽에위치한자산이정보자산이라고봤을때위협이데이터까지도달하는과정에서기밀성, 무결성, 가용성에영향을받는대상을식별해내면위험분석및평가를위한정보자산을일반화하여분류할수있다 5 ([ 표 4] 참조 ). 4 [3],[4],[13] 은 ISMS의위험요소흐름및관계를참고하여설명하고있다. 본글은가능성을추가하고, 통제의개념을변화시켜표현하였다.[14] 의경우위험을구성하는 5 [11] 은자산관리적측면의운용상 fail에중점을가지고, [6] 은 Data 자산에중점을두어자산과위협을상관한다. 본글은접 근의원인을제공하는서비스에중점을두어상관한다.

[ 그림 3] 컴퓨터네트워크에있어서위협의접근 [ 그림 3] 은컴퓨터네트워크상에서위협이일반적으로데이터까지도달하는계층을 개념화시킨 것이며, 네트워크, 서비스, 어플리케이션, 시스템, 데이터 (information) 는 계층별로위협에노출될경우기밀성, 무결성, 가용성이침해받는대상이된다. 이를다시 유형별로분류하면 [ 표 3] 과같이분류할수있다. 앞서언급했듯이관리및물리적인 자산은제외한다. [ 그림 3] 에서 s는정당한권한을가지고자산에접근할수있도록각레이어에서 준비된접근경로이고. v는각단계에위치한자산들이가지는취약성이다. 화살표는 취약성을이용한위협이자산에접근하는다양성을보여준다. [ 표 4] 자산분류 분류 내용 Host 데이터 File S/W S/W, 어플리케이션 시스템 O/S 서비스 프로토콜, 통신회선및네트워크서비스, 네트워크장비, 어플리케이션서비스, DB 서비스 취약성모든자산은알려진혹은알려지지않은취약성을가지고있으므로취약성은자산이가진속성이다. 취약성은결과적으로자산의분류체계와같은형태의분류를가져야한다 ([ 표 5] 참조 ). 취약성분류기준을기술적으로다르게가져가는것은오히려자산에대한취약성의동향과현황을파악하는데제약요소로작용한다.[2] [ 표 5] 취약성분류

분류 내용 서비스 프로토콜취약성, 통신회선및네트워크서비스취약성, 어플리케이션서비스취약성, S/W S/W 취약성, 어플리케션취약성 시스템 OS 취약성 기타 기타취약성 자산의취약성정보를수집할때주의할속성은벤더에의한패치가존재하거나, 신뢰할만한제3자에의한조치가알려져있는지, 환경설정에의하여조치가가능한지여부와취약성측정시네트워크토폴로지상의측정위치에따라취약성결과가다르다는점이다. [ 그림3] 에서보듯이각단계 (Layer) 에존재하는취약성은자신의상층단계혹은동일단계에존재하는취약성을이용한위협이발현되어성공되었을때다른위협으로이용될수있다. 또한정당한접근이라하여도다른레벨의취약성을이용하여자신에게허락된권한의제약을제거할수도있다. 따라서취약성의측정은측정대상자산이존재하는단계외부 (outer), 내부 (internal) 에서수행하여나온결과를모두취합해야한다. 기존통제기존통제는정보자산을보호하기위하여이미취해진보호조치들로서호스트기반의통제, 네트워크기반의통제로나뉘어볼수있다 ([ 표 6] 참조 ). 호스트기반의통제는패치, AntiVirus S/W 설치같은호스트에직접설치되어자산에가해지는공격을차단하는형태의통제를말하며, 네트워크기준의통제는네트워크토폴로지상에서자산에대한접근정책정보이다. [ 표 6] 기존통제분석분류내용호스트기반호스트에직접설치되어취해진통제네트워크기반호스트에접근하는 IP, Port를제한하여취해진통제나컴퓨터네트워크에보안시스템을추가하여취해진통제 위험분석및평가에기존통제가영향을미치는이유는실제측정된자산의취약성은기존통제에의하여실효성이없을수있기때문이다. 기존통제분석은자산의강도를높이는보안의조치와통제에대한노력들이실질적으로알려진혹은알려지지않은위험이발현될때효과적으로자산을보호하는지에대한평가를위한요소로사용될수있다. 위협

위협은자산의기밀성, 무결성, 가용성에침해를가할수있는자산외부의 행위 들이다. 즉위협은조직의자산유형, 취약점의유형에관계없이침해를위하여광범위하게시도되는행위라는특성을가지고있다 ([ 표 7] 참조 ). 따라서위협은위협행위의의도와위협행위의수행주체를기준으로분류해야한다. 이렇게볼때위협은행위의의도에따라의도적인행위에의한위협과비의도적인행위에의한위협그리고행위주체에따라사람에의한위협과악성코드에의한위협으로분류하여분석하는것이위협에대한대응과조치를판단하는데효과적이다. [ 표 7] 위협의분류분류내용의도적해킹 Buffer Overflow, Injection, sniff 등 비의도적 패키지 Malicious Code(Worm, Virus, Spyware, GrayWare, Troyjan) 기타 Spoof, DDos, Dos 환경설정오류, 오작동 가능성가능성은컴퓨터네트워크상에발현되는위협이실제침해를발생시킬수있는지를나타낸다. 일반적으로위협을탐지하는 N-IDS의경우조직의컴퓨터네트워크망으로들어오는모든종류의위협을탐지하여보고한다. 이와같은유효하거나혹은유효하지않은위협정보는위협이실질적으로조직이보유한자산의특성과맞는가에대한가능성분석이필요하다.[15] [ 그림 4] 는 [ 그림 3] 의단위위협을상세화한다. 그림은 4개의하위망으로구성된컴퓨터네트워크환경에 4개의서비스가운영되고있다. 서비스, 어플리케이션, 시스템은망에상관없이서비스를제공하도록구성되어있고위협1과위협2는동일한유형의위협이며위협의목표가정보자산의침해라고가정한다. 위협1의경우 V1 V2 V6 V9 취약성을이용하여데이터에접근하는시나리오를가지고있다면, 위협2는 V1과 V2 취약점까지는이용할수있으나, V6 취약점을가진어플리케이션이해당컴퓨터네트워크에존재하지않으므로더이상실현되지못한다. 즉위협2의경우는해당단위컴퓨터네트워크상에서불필요한위협정보이다. 위협정보를소유자산의시스템및어플리케이션벤더, 서비스유형 (Protocols, Ports) 정보와비교하고분석함으로써 N-IDS가보고하는같은종류의모든위협이모든자산에일반화되어위험평가수준에영향을미치는것을막을수있다.

[ 그림 4] 가능성평가의개념 3.2. 위험분석및평가절차

[ 그림 5] 위험분석및평가시스템프로세스 위험평가를위한시스템적인프로세스는사전활동 ( 위험분석및평가구성요소정보취합 및분류 ), 분석 ( 자산강도분석, 가능성평가 ), 위험평가, 통제단계로이루어진다 ([ 그림 5] 참조 ). 자산강도분석자산강도의구성요소는자산의가치, 취약성의수준을고려한자산이보유한취약성의수, 내외부의기존통제항목이다. 자산의가치는조직내자산평가자의주관적인자산가치부여에따라수준이정의된다. 자산의가치를평가하는기준과방법은조직에따라다를수있으나, Very High, High, Moderator, Low, Very Low, 5단계로수준화한다. 취약성의수준은 [ 표 8] 과같이 Critical, Important, moderator, Low, 4단계로수준화한다. 자산의취약성은자산이현재 open하고있는 port 별로분류하여저장한다. [ 표 8] 취약성수준분류기준점수수준내용 Vulnerability 사람이아닌 Worm과같은자동화된도구에의하여 4 Critical about 이용되어지는취약점 Open 사용자의데이터혹은리소스의기밀성, 무결성, 3 Important Port 가용성을저해하는취약성 Within 비밀번호과같은환경설정상의부주의혹은이용하기 2 Moderator Asset 힘든취약성 1 Low 이용하기힘들며, 경미한효과를발생시키는취약성 기존통제는앞에서설명한바와같이네트워크기반, 호스트기반으로나누어지지만호스트기반의경우패치와같은상태는취약성점검시에반영되므로별도의정보취합이필요하지않다. 네트워크기반의기존통제는위협의경로분석을통해서가능하다. 단위위협의경로를분석하여접근통제시스템 ( 예를들면침입차단시스템 ) 의위치를식별하고데이터를 DB화한다. 이후 DB의자료를기반으로통제분석을수행하거나 DB에존재하지않는경우해당위협에대한경로분석을수행하여기존통제정보를알아내고 DB에저장하는방식으로정보를확대해간다. 네트워크기반의취합된기존통제를취약점과연관한다. 이때기존통제는취약성코드즉 CVE 코드를분류하기힘들므로, CVE와공통되어식별될수있는 IP, Port, Protocol을연관하고취약성과기존통제분석의항목들에내부항목인지외부항목인지를구분하여놓는다. 이는위험평가시위협의발생위치를기준으로어떤취약성과기존통제항목들을적용할것인지에대한근거가된다. 상관된분석된취약성과기존통제

항목을 DB 에저장한다. 가능성평가 가능성평가는조직이보유한자산의벤더, 서비스종류에따라기존에분류된 DB를 이용하여실시간으로취합되는위협정보를상관한후불필요한위협정보를제거한다. 제거되고남은위협정보는관리자에의하여단위시간동안쌓여저장된후위험분석에 전달된다. 가능성분석을위하여앞서기술한자산, 취약성분류는 [ 표 9] 와같은형태로 상세화되어야한다. [ 표 9] 자산의상세분류체계예 분류 내용 서비스 프로토콜 SMTP Sendmail MS-Exchange HTTP IMail IIS Apache Network device CISCO Tomcat CISCO 2801 3Com CISCO 2802 3Com SS 3 Baseline Switch 2016 3Com Baseline Switch 2024 [ 표 9] 는가능성분석뿐만아니라취약성정보의취합위협정보의분석을위하여위한 어떻게상세분류해야하는지를보여주는간단한예제이다. 위험평가위험분석및평가를위한조직의컴퓨터네트워크상의정보취합은시도되는위협이대상자산에실현가능한것인지를알기위한것이다. 측정된위험수준은정보보호의수준을투영하는지표로활용되며, 정보보호정책의기준을제시할수있다. 위험수준은개별적자산의위험수준, 조직이보유한전체컴퓨터네트워크의위험수준으로평가한다. 먼저대상자산에대한위험도는아래와같이산출할수있다. A av : 대상자산의가치 V ik : 대상자산의 i번포트가가지는취약성수준 AP a : 기존통제 (1 or 0) T ij : 대상자산의 i번포트에가해지는위협수준 T ij

T p : T ij 의가능성 (1 or 0) 기존통제및가능성분석값은단위위협및취약성에대하여통제가존재하는지의여부, 위협이실현가능한지의여부를의미하는 0 혹은 1 값을가진다.( 존재함 : 0, 존재하지않음 : 1) 단위자산에대한모든위험을더해진값으로상위수준 ( 매우위험, 위험 ) 위험의합을나누면전체자산의상위수준위험의비율을구할수있으며이는 0~1사이의값으로나온다. Risk net : 조직의컴퓨터네트워크의전체위험 Risk at : 조직의컴퓨터네트워크에존재하는자산의위험 Risk aj : 조직의컴퓨터네트워크에존재하는상위수준의위험 위험통제위험통제는평가된위험수준에따른자산에대한보안조치및대응이다. 보안조치및대응은네트워크기반, 호스트기반, 전시세가지의시스템화가능한대안이있다 ([ 표 10] 참조 ). 네트워크차단은사용자가정의한수준의위험이발생되면위험수준과위협과취약성의유형에따라 30초, 1분, 10분, 1시간, 지속차단, 등으로조치를나누어적용하여차단자산이네트워크로부터분리됨으로써겪는문제를완화시키고, 패치는 PMS에대한패치의뢰, 프로세스중단의경우호스트에설치된보안소프트웨어에의뢰할수있을것이다. 이와같은조치를위한보안시스템이존재하지않을경우보안관리자에게통보하는전시를수행한다. [ 표 10] 대응및조치분류방식의뢰대상네트워크기반차단 F/W, 호스트기반보안 S/W 호스트기반 접근정책변경 프로세스중단 F/W 호스트기반보안 S/W 패치 PMS 전시 Notice 관리자 4. 결론기존의응용기술의보안시스템통합관리형식을벗어나조직의컴퓨터네트워크에대한

위험수준을측정하기위하여위험분석방법론에근거한절차적모델을제시하였다. 앞으로의연구는기존정보보호시스템으로부터정보를획득하기위한표준프로토콜과 XML을사용한논리표현구조를연구하는것이다. 위험의판단근거와이를추적하고위험평가에따른조치및대응이유용한가에대한판단을위하여 DB화된데이터를시스템이사용하기용이하도록데이터요소와구조를정의하는것이여기에해당할것이다. 현대컴퓨터시스템의구성은매우복잡하고다양한형태를갖는다. 따라서조직의자산에가해지는위협이직접적으로목표자산을통제하지않더라도연관자산에대한통제를획득함으로써관련자산모두에침해를발생시킬수도있다. 이러한유형의위험분석및평가를위하여연관자산의유형과가중치의알고리즘을분석하는것도병행되어야할것이다. 또한연구되고개발될위험분석및평가시스템이기존의컴퓨터네트워크의보안업무에어떠한영향을미치는지분석하여산업에서의효용성또한검증해야한다. 본글은국방과학연구소주관으로안철수연구소에서수행중인 " 사이버침입탐지및대응기술개발 " 프로젝트추진과정에서작성되었음