네트워크기반의실시간위험관리를위한위험분석및평가방법연구 컨설팅서비스사업부김성원, 김휘영 1. 서론오늘날정보보호문제는정보시스템을운영하거나활용하는모든측면에있어서중요한문제로대두되었다. 수많은종류의정보보호시스템들이존재하고, 기업, 공공, 개인등은컴퓨터네트워크에연결된곳에서자신들이보유한정보자산을보호하기위해서적지않은비용을지불하고있으며, 정보보호의필요에공감하고있다. 하지만정보보호시스템들은다양한분야에있어서독립적인기능에특화되어있으며오히려이러한정보의단편화로인하여전체적인정보보호수준을평가하고정책을수립하는데어려움을겪고있다. 최근들어정보보호시스템에의하여보고되는단편화된정보를모으고이를기반으로전체위험의수준을평가하기위한수많은시도들이있으나컴퓨터네트워크상의위험을평가하기보다, 정보보호장비들의통합과관리에그목적이있어위험의수준을평가하는데한계가있다. 이러한한계를극복하고, 컴퓨터네트워크상의정보자산들의상태와이들의위험수준정보를제공함으로써정보보호활동의기준을제시하는 RMS(Risk Management System) 에대한연구가필수적이다. 위험평가를통한수준화된위험정보는정보보호의수준을측정하는지표로활용되며, 정보보호정책의기준을제시할수있다. 이글의목적은정보보호의기술적보안영역내에서기존의시스템을기반으로컴퓨터네트워크상의위험수준을분석하고올바르게평가하는방법을제안하는것이다. 이를위하여먼저위험분석과평가에대한기존의노력들을알아보고, 기존의방법론과응용기술이간과해온위험의구성요소를식별하고그들간의관계를정의할것이다. 이후정의된구성요소들을정보보호의기술적영역과연관하여어떻게컴퓨터네트워크전체의위험수준을평가할수있는지절차를설명할것이다. 2. 연구동향정보보호란 의도적이든비의도적이든부당한정보의열람, 유출, 변조, 파괴로부터정보를보호하는것 [Information Warfare, July 1996] 이다.
[ 그림 1] 정보보호실행과정 정보보호실행과정을보면분석, 평가된위험수준정보는다시조직의 IT보안목적, 전략, 방침에반영되는순환구조를가진다. 정보보호실행과정중정의된범위내의위험요소를식별및분석하고평가하여평가된위험요소들을관리 ( 통제선정등 ) 하는것이위험관리의영역이며이는정보보호실행과정중핵심적인사항이다. 위험관리는다시위험분석및평가라는세부적인정보보호활동을필요조건으로하고있다. 현재위험분석및평가를컴퓨터시스템화하려는노력은크게위험분석의방법론적접근과방화벽, 침입탐지, 침입차단시스템등기존정보보호제품들의성능향상과통제및관리의관점에서접근하는응용기술기반으로나누어볼수있다. 2.1. 위험분석및평가방법론적접근위험분석은위험평가를위한구성요소정보들을취합하고위험을평가할수있도록분류하고각각을수준화하는과정이고, 수준화된구성요소정보에나름의기능을적용하여위험의수준을측정하는것이위험평가이다. 본내용에서는두가지과정을합하여 위험분석및평가라는명칭을사용하도록하겠다. 1 위험분석및평가에대한연구는정보보호를수행하는조직의특성별로매우활발하게이루어지고있으나자산, 위협, 취약성을위험의구성요소로보고, 각구성요소의수준을측정하고, 이를서로상관, 분석하여수준화함으로써위험을평가하는것이일반적이다. 기존의위험분석및평가방법의방법론적인분류는위험의구성요소를무엇으로볼것인가를기준으로구분짓는방법과위험평가방법이정성적인가정량적인가를기준하는방법으로나뉠수있다. [ 표 1] 위험분석프로세스의분류 2 1 참고문헌 [7] 에의하면 위험분석및평가 를위한구성요소의유형을 위험분석프로세스 의구성으로표현하였다. 엄밀히말해위험평가프로세스가맞는것이고, 위험평가의필요조건으로위험분석프로세스가있는것이며, 두가지절차와통제를합하여 위험관리 라고부른다. 2 A : Asset, V : vulnerability, T : Threat, R : Risk
모델형태 방법 AVR : 자산-취약성기반 ISO/IEC TR 13335-3부 AVTR : 자산-취약성-위협기반 BDSS, HWAK ATVR : 자산-위협-취약성기반 OCTAVE[3][4], NIST SP-800-30, CRAMM, BDSS, CISSP, ATR : 자산-위협기반 CSE TVR : 위협-취약성기반 SSE-CMM, CAO1, GAO3, 에너지성-SRAG TR : 위협기반 GAO[9], 법무성-SRAG 기타 ISO/IEC TR 13335-1부, Open Framework [ 표 1] 은위험의구성요소를자산, 취약성, 위협으로보고, 이들을어떻게구성하고평가하는가에따라기존위험분석및평가방법을분류하고있다. 최근위험분석및평가방법의연구는 ATVR 유형의프로세스로수행되고있으며이와같은위험분석및평가방법은자산기반의프로세스를가진다. 기존위험분석및평가방법을분류하는다른하나의방법은평가방법이정성적인가혹은정량적인가를기준으로하는것이다 ([ 표 2] 참조 ). 정성적인방법은정량적인방법에비하여평가기간이짧고, 단순하지만평가근거의객관성이부족한단점을가지고있다. 정량적인평가방법은정보시스템의규모가커질수록위험분석및평가에상당히많은시간이소요되며, 위험분석및평가의모든구성요소를정량적수치로표현하기가매우어렵다는단점을가진다. 현재는정성적인방법이널리사용되고있다. [ 표 2] 기존의위험분석및평가방법론의평가방법에따른분류구분방법정량적분석 RiskCALC, HAWK 정성적분석 ISO/IEC-13335-3부, BS-7799, CSE, OCTAVE, CRAMM, CONTROL-IT, auditmasterplan, JANBER, Risk Alert, Risk Ranking Advisor, SecMOD, PRAM 복합적분석 TTASKO-12007, BDSS, The Buddy System, RiskPAC, RANK-IT 위험분석및평가의방법론적접근에는정보보호에대한풍부한경험과지식을가진전문가가반드시필요하다. 또한이들이위험분석및평가를위하여받는사전정보들은간격이넓은단위시간동안축적된데이터를기반으로분석을수행하므로짧은단위시간동안위험분석및평가의구성요소정보가변화하는컴퓨터네트워크상의위험수준을판단하기위해사용하기에는간과하는환경영향이많아오차범위가큰단점을가진다.
2.3. 위험분석및평가의응용기술기반접근위험분석및평가시스템을구현하기위한응용기술기반접근에따라침입탐지정보의연관성분석기법, 취약성과위협정보의연관성분석, 시스템로그의연관성분석으로나누어기존의연구를구분지을수있다 ([ 표 3] 참조 ). [ 표 3] 응용기술기반분류구분방법목적 침입탐지정보의연관성 분석 침입탐지이벤트및로그 분석 침입탐지시스템의오탐율 감소목적 취약성과위협정보의연관 성분석 취약성에관한위협위주의 분석 네트워크상의위협식별및 오탐율감소목적 시스템로그의연관성은분 석 (ESM) 통합된로그의연관성을위 협위주로분석 이기종정보보호시스템간 의로그통합 위험분석및평가의응용기술적인접근의결과는 ESM(Enterprise Security Management), TMS(Threat management System) 라는통합보안관리제품의형태로나타나고있다. 기존의위험분석및평가의응용기술적인접근은현재운용되고있는정보보호시스템의문제점을보완하거나, 효율적이고정확한위협의식별을목적으로한다. 따라서이와같은접근은보호해야하는정보자산의가치와상태가틀림에도불구하고분석정보의정규화를통하여위험을일반화하는오류를범하거나, 현재보호해야할대상의상태 3 에따른정확한위험수준을평가할수없다. 3. 네트워크기반위험분석방법및절차일반적으로위험분석및평가방법은정보보호의관리적, 물리적, 기술적범위에서수행되며, 이들영역중관리적, 물리적영역은위험평가의구성요소식별이나평가방법에있어서매우주관적이며, 기술적보안영역의대응방안으로해결될수없는영역의문제들이다. 예를들어컴퓨터시스템은정당한권한과정당한사용자의접근이라면시스템은접근자의의도와상관없이허용된서비스를제공한다. 정당한사용자의불순한의도혹은실수에의한정보의열람, 유출, 변조, 파괴행위는반복적인보안교육과같은관리적인정보보호체계를확립하여해결할수있는영역에해당한다. 또는전산실의소방설비 3 자산의상태는자산의가치와는무관하다. 자산의상태는자산이보유한취약성에관련된개념이다. 여기서는 자산의강도 라고 표현한다.
구조와같은형태의문제도기술적보안영역의대응방안으로해결할수없는영역의문제들이다. 즉이와같은문제들은기술적영역의대응을통해서부당한열람, 유출, 변조, 파괴로부터정보자산을보호할수없다. 또한기술적보안영역의위험분석및평가를통해서적절한대응및조치를시스템화하기위해서는기존에존재하는방법론의프로세스를특화하여새로이정의할필요가있다. 3.1. 위험평가를위한구성요소여기서제안하는기술적보안영역에서위험분석을시스템화할때위험수준에영향을주는구성요소는자산, 가치, 취약성, 위협, 가능성, 통제, 요구로구성된다 4. [ 그림 2] 위험평가를위한구성요소및관계 [ 그림 2] 에서취약성, 자산, 가치, 통제에대한정보는위험분석사전에취합되며, 가능성은위협에따라변화하므로위협, 요구와함께위험분석시실시간으로분석되어야 한다. 자산컴퓨터네트워크상에서가장안쪽에위치한자산이정보자산이라고봤을때위협이데이터까지도달하는과정에서기밀성, 무결성, 가용성에영향을받는대상을식별해내면위험분석및평가를위한정보자산을일반화하여분류할수있다 5 ([ 표 4] 참조 ). 4 [3],[4],[13] 은 ISMS의위험요소흐름및관계를참고하여설명하고있다. 본글은가능성을추가하고, 통제의개념을변화시켜표현하였다.[14] 의경우위험을구성하는 5 [11] 은자산관리적측면의운용상 fail에중점을가지고, [6] 은 Data 자산에중점을두어자산과위협을상관한다. 본글은접 근의원인을제공하는서비스에중점을두어상관한다.
[ 그림 3] 컴퓨터네트워크에있어서위협의접근 [ 그림 3] 은컴퓨터네트워크상에서위협이일반적으로데이터까지도달하는계층을 개념화시킨 것이며, 네트워크, 서비스, 어플리케이션, 시스템, 데이터 (information) 는 계층별로위협에노출될경우기밀성, 무결성, 가용성이침해받는대상이된다. 이를다시 유형별로분류하면 [ 표 3] 과같이분류할수있다. 앞서언급했듯이관리및물리적인 자산은제외한다. [ 그림 3] 에서 s는정당한권한을가지고자산에접근할수있도록각레이어에서 준비된접근경로이고. v는각단계에위치한자산들이가지는취약성이다. 화살표는 취약성을이용한위협이자산에접근하는다양성을보여준다. [ 표 4] 자산분류 분류 내용 Host 데이터 File S/W S/W, 어플리케이션 시스템 O/S 서비스 프로토콜, 통신회선및네트워크서비스, 네트워크장비, 어플리케이션서비스, DB 서비스 취약성모든자산은알려진혹은알려지지않은취약성을가지고있으므로취약성은자산이가진속성이다. 취약성은결과적으로자산의분류체계와같은형태의분류를가져야한다 ([ 표 5] 참조 ). 취약성분류기준을기술적으로다르게가져가는것은오히려자산에대한취약성의동향과현황을파악하는데제약요소로작용한다.[2] [ 표 5] 취약성분류
분류 내용 서비스 프로토콜취약성, 통신회선및네트워크서비스취약성, 어플리케이션서비스취약성, S/W S/W 취약성, 어플리케션취약성 시스템 OS 취약성 기타 기타취약성 자산의취약성정보를수집할때주의할속성은벤더에의한패치가존재하거나, 신뢰할만한제3자에의한조치가알려져있는지, 환경설정에의하여조치가가능한지여부와취약성측정시네트워크토폴로지상의측정위치에따라취약성결과가다르다는점이다. [ 그림3] 에서보듯이각단계 (Layer) 에존재하는취약성은자신의상층단계혹은동일단계에존재하는취약성을이용한위협이발현되어성공되었을때다른위협으로이용될수있다. 또한정당한접근이라하여도다른레벨의취약성을이용하여자신에게허락된권한의제약을제거할수도있다. 따라서취약성의측정은측정대상자산이존재하는단계외부 (outer), 내부 (internal) 에서수행하여나온결과를모두취합해야한다. 기존통제기존통제는정보자산을보호하기위하여이미취해진보호조치들로서호스트기반의통제, 네트워크기반의통제로나뉘어볼수있다 ([ 표 6] 참조 ). 호스트기반의통제는패치, AntiVirus S/W 설치같은호스트에직접설치되어자산에가해지는공격을차단하는형태의통제를말하며, 네트워크기준의통제는네트워크토폴로지상에서자산에대한접근정책정보이다. [ 표 6] 기존통제분석분류내용호스트기반호스트에직접설치되어취해진통제네트워크기반호스트에접근하는 IP, Port를제한하여취해진통제나컴퓨터네트워크에보안시스템을추가하여취해진통제 위험분석및평가에기존통제가영향을미치는이유는실제측정된자산의취약성은기존통제에의하여실효성이없을수있기때문이다. 기존통제분석은자산의강도를높이는보안의조치와통제에대한노력들이실질적으로알려진혹은알려지지않은위험이발현될때효과적으로자산을보호하는지에대한평가를위한요소로사용될수있다. 위협
위협은자산의기밀성, 무결성, 가용성에침해를가할수있는자산외부의 행위 들이다. 즉위협은조직의자산유형, 취약점의유형에관계없이침해를위하여광범위하게시도되는행위라는특성을가지고있다 ([ 표 7] 참조 ). 따라서위협은위협행위의의도와위협행위의수행주체를기준으로분류해야한다. 이렇게볼때위협은행위의의도에따라의도적인행위에의한위협과비의도적인행위에의한위협그리고행위주체에따라사람에의한위협과악성코드에의한위협으로분류하여분석하는것이위협에대한대응과조치를판단하는데효과적이다. [ 표 7] 위협의분류분류내용의도적해킹 Buffer Overflow, Injection, sniff 등 비의도적 패키지 Malicious Code(Worm, Virus, Spyware, GrayWare, Troyjan) 기타 Spoof, DDos, Dos 환경설정오류, 오작동 가능성가능성은컴퓨터네트워크상에발현되는위협이실제침해를발생시킬수있는지를나타낸다. 일반적으로위협을탐지하는 N-IDS의경우조직의컴퓨터네트워크망으로들어오는모든종류의위협을탐지하여보고한다. 이와같은유효하거나혹은유효하지않은위협정보는위협이실질적으로조직이보유한자산의특성과맞는가에대한가능성분석이필요하다.[15] [ 그림 4] 는 [ 그림 3] 의단위위협을상세화한다. 그림은 4개의하위망으로구성된컴퓨터네트워크환경에 4개의서비스가운영되고있다. 서비스, 어플리케이션, 시스템은망에상관없이서비스를제공하도록구성되어있고위협1과위협2는동일한유형의위협이며위협의목표가정보자산의침해라고가정한다. 위협1의경우 V1 V2 V6 V9 취약성을이용하여데이터에접근하는시나리오를가지고있다면, 위협2는 V1과 V2 취약점까지는이용할수있으나, V6 취약점을가진어플리케이션이해당컴퓨터네트워크에존재하지않으므로더이상실현되지못한다. 즉위협2의경우는해당단위컴퓨터네트워크상에서불필요한위협정보이다. 위협정보를소유자산의시스템및어플리케이션벤더, 서비스유형 (Protocols, Ports) 정보와비교하고분석함으로써 N-IDS가보고하는같은종류의모든위협이모든자산에일반화되어위험평가수준에영향을미치는것을막을수있다.
[ 그림 4] 가능성평가의개념 3.2. 위험분석및평가절차
[ 그림 5] 위험분석및평가시스템프로세스 위험평가를위한시스템적인프로세스는사전활동 ( 위험분석및평가구성요소정보취합 및분류 ), 분석 ( 자산강도분석, 가능성평가 ), 위험평가, 통제단계로이루어진다 ([ 그림 5] 참조 ). 자산강도분석자산강도의구성요소는자산의가치, 취약성의수준을고려한자산이보유한취약성의수, 내외부의기존통제항목이다. 자산의가치는조직내자산평가자의주관적인자산가치부여에따라수준이정의된다. 자산의가치를평가하는기준과방법은조직에따라다를수있으나, Very High, High, Moderator, Low, Very Low, 5단계로수준화한다. 취약성의수준은 [ 표 8] 과같이 Critical, Important, moderator, Low, 4단계로수준화한다. 자산의취약성은자산이현재 open하고있는 port 별로분류하여저장한다. [ 표 8] 취약성수준분류기준점수수준내용 Vulnerability 사람이아닌 Worm과같은자동화된도구에의하여 4 Critical about 이용되어지는취약점 Open 사용자의데이터혹은리소스의기밀성, 무결성, 3 Important Port 가용성을저해하는취약성 Within 비밀번호과같은환경설정상의부주의혹은이용하기 2 Moderator Asset 힘든취약성 1 Low 이용하기힘들며, 경미한효과를발생시키는취약성 기존통제는앞에서설명한바와같이네트워크기반, 호스트기반으로나누어지지만호스트기반의경우패치와같은상태는취약성점검시에반영되므로별도의정보취합이필요하지않다. 네트워크기반의기존통제는위협의경로분석을통해서가능하다. 단위위협의경로를분석하여접근통제시스템 ( 예를들면침입차단시스템 ) 의위치를식별하고데이터를 DB화한다. 이후 DB의자료를기반으로통제분석을수행하거나 DB에존재하지않는경우해당위협에대한경로분석을수행하여기존통제정보를알아내고 DB에저장하는방식으로정보를확대해간다. 네트워크기반의취합된기존통제를취약점과연관한다. 이때기존통제는취약성코드즉 CVE 코드를분류하기힘들므로, CVE와공통되어식별될수있는 IP, Port, Protocol을연관하고취약성과기존통제분석의항목들에내부항목인지외부항목인지를구분하여놓는다. 이는위험평가시위협의발생위치를기준으로어떤취약성과기존통제항목들을적용할것인지에대한근거가된다. 상관된분석된취약성과기존통제
항목을 DB 에저장한다. 가능성평가 가능성평가는조직이보유한자산의벤더, 서비스종류에따라기존에분류된 DB를 이용하여실시간으로취합되는위협정보를상관한후불필요한위협정보를제거한다. 제거되고남은위협정보는관리자에의하여단위시간동안쌓여저장된후위험분석에 전달된다. 가능성분석을위하여앞서기술한자산, 취약성분류는 [ 표 9] 와같은형태로 상세화되어야한다. [ 표 9] 자산의상세분류체계예 분류 내용 서비스 프로토콜 SMTP Sendmail MS-Exchange HTTP IMail IIS Apache Network device CISCO Tomcat CISCO 2801 3Com CISCO 2802 3Com SS 3 Baseline Switch 2016 3Com Baseline Switch 2024 [ 표 9] 는가능성분석뿐만아니라취약성정보의취합위협정보의분석을위하여위한 어떻게상세분류해야하는지를보여주는간단한예제이다. 위험평가위험분석및평가를위한조직의컴퓨터네트워크상의정보취합은시도되는위협이대상자산에실현가능한것인지를알기위한것이다. 측정된위험수준은정보보호의수준을투영하는지표로활용되며, 정보보호정책의기준을제시할수있다. 위험수준은개별적자산의위험수준, 조직이보유한전체컴퓨터네트워크의위험수준으로평가한다. 먼저대상자산에대한위험도는아래와같이산출할수있다. A av : 대상자산의가치 V ik : 대상자산의 i번포트가가지는취약성수준 AP a : 기존통제 (1 or 0) T ij : 대상자산의 i번포트에가해지는위협수준 T ij
T p : T ij 의가능성 (1 or 0) 기존통제및가능성분석값은단위위협및취약성에대하여통제가존재하는지의여부, 위협이실현가능한지의여부를의미하는 0 혹은 1 값을가진다.( 존재함 : 0, 존재하지않음 : 1) 단위자산에대한모든위험을더해진값으로상위수준 ( 매우위험, 위험 ) 위험의합을나누면전체자산의상위수준위험의비율을구할수있으며이는 0~1사이의값으로나온다. Risk net : 조직의컴퓨터네트워크의전체위험 Risk at : 조직의컴퓨터네트워크에존재하는자산의위험 Risk aj : 조직의컴퓨터네트워크에존재하는상위수준의위험 위험통제위험통제는평가된위험수준에따른자산에대한보안조치및대응이다. 보안조치및대응은네트워크기반, 호스트기반, 전시세가지의시스템화가능한대안이있다 ([ 표 10] 참조 ). 네트워크차단은사용자가정의한수준의위험이발생되면위험수준과위협과취약성의유형에따라 30초, 1분, 10분, 1시간, 지속차단, 등으로조치를나누어적용하여차단자산이네트워크로부터분리됨으로써겪는문제를완화시키고, 패치는 PMS에대한패치의뢰, 프로세스중단의경우호스트에설치된보안소프트웨어에의뢰할수있을것이다. 이와같은조치를위한보안시스템이존재하지않을경우보안관리자에게통보하는전시를수행한다. [ 표 10] 대응및조치분류방식의뢰대상네트워크기반차단 F/W, 호스트기반보안 S/W 호스트기반 접근정책변경 프로세스중단 F/W 호스트기반보안 S/W 패치 PMS 전시 Notice 관리자 4. 결론기존의응용기술의보안시스템통합관리형식을벗어나조직의컴퓨터네트워크에대한
위험수준을측정하기위하여위험분석방법론에근거한절차적모델을제시하였다. 앞으로의연구는기존정보보호시스템으로부터정보를획득하기위한표준프로토콜과 XML을사용한논리표현구조를연구하는것이다. 위험의판단근거와이를추적하고위험평가에따른조치및대응이유용한가에대한판단을위하여 DB화된데이터를시스템이사용하기용이하도록데이터요소와구조를정의하는것이여기에해당할것이다. 현대컴퓨터시스템의구성은매우복잡하고다양한형태를갖는다. 따라서조직의자산에가해지는위협이직접적으로목표자산을통제하지않더라도연관자산에대한통제를획득함으로써관련자산모두에침해를발생시킬수도있다. 이러한유형의위험분석및평가를위하여연관자산의유형과가중치의알고리즘을분석하는것도병행되어야할것이다. 또한연구되고개발될위험분석및평가시스템이기존의컴퓨터네트워크의보안업무에어떠한영향을미치는지분석하여산업에서의효용성또한검증해야한다. 본글은국방과학연구소주관으로안철수연구소에서수행중인 " 사이버침입탐지및대응기술개발 " 프로젝트추진과정에서작성되었음