NETCONF 표준을 따른 XML 기반의 네트워크 구성관리 시스템

Similar documents
< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>


2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

UDP Flooding Attack 공격과 방어

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

5th-KOR-SANGFOR NGAF(CC)

ㅇ악성코드 분석

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

PowerPoint 프레젠테이션

Cloud Friendly System Architecture

*****

TGDPX white paper

Windows 10 General Announcement v1.0-KO

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

*

Microsoft PowerPoint - 4. 스캐닝-2(11.21) [호환 모드]

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

untitled

ìœ€íŁ´IP( _0219).xlsx

Windows Server 2012

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

*2008년1월호진짜

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft PowerPoint - thesis_rone.ppt

인문사회과학기술융합학회

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

PowerPoint 프레젠테이션

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Windows 8에서 BioStar 1 설치하기

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

Cisco FirePOWER 호환성 가이드

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

Microsoft PowerPoint - 6.pptx

Microsoft Word - 장승주.doc

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

국가기반시설제어시스템사이버보안 발견날짜 ID 내 용 ICSA Alstom Grid S1 Agile의인증취약점존재 ICSA QNX의 Phrelay, Phwindows, Phditto 제품취약점다수발견

IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있

SMB_ICMP_UDP(huichang).PDF

목차 Q-1. 데이터를 통한 음성통화가 되지 않습니다 Q-2. WiFi 연결이 안됩니다 Q-3. 인터넷 또는 네트워크 연결이 안됩니다 Q-4. 표준 부속품을 알려주시기 바랍니다 Q-5. 구입하였습니다만, 배터리는 어떻게 장착하

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

Microsoft Word - src.doc

제20회_해킹방지워크샵_(이재석)

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

TTA Journal No.157_서체변경.indd

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

CTS사보-2월

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Microsoft PowerPoint - ch13.ppt

1.메타스플로잇 구조, 모듈 사용법

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

방송통신기술 이슈&전망 2013년 제 28 호 요약 본고에서는 차세대 지능형 전력망이라 불리우는 스마트그리드에 대한 일반적인 개 념 및 효과에 대해 알아보고, 현재 스마트그리드 구축에 있어 이슈가 되고 있는 사 이버 보안측면에서 고려해야 할 위협요소와 취약성에 대해 살

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

BEef 사용법.pages

Microsoft PowerPoint 자동설치시스템검증-V05-Baul.pptx

Microsoft PowerPoint - 권장 사양

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

bn2019_2

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

PowerPoint 프레젠테이션

1217 WebTrafMon II

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

PowerPoint 프레젠테이션

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com


Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

IPC$ 에 대한 정보

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

RFID USN_K_100107

Microsoft Word - UG-BetaDraft_KO_TT-OK.doc

Microsoft Word - access-list.doc

PowerPoint Template

클라우드컴퓨팅이란? WHAT IS CLOUD COMPUTING? 2

본 기기에 대하여 언제, 어디서나 자유롭게 LG 넷하드를 구입해주셔서 감사합니다. LG 넷하드는 인터넷이 연결된 곳이라면 언제 어디서나 자유롭게 파일을 저장하고 공유할 수 있는 장치입니다. 2

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

10X56_NWG_KOR.indd

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

ESET Endpoint Security

6강.hwp

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074>

최종_백서 표지

슬라이드 1

Transcription:

능동공격에대한계층방어시험및최적보안구현방안 (Layer Security Test and Optimized Security Implementation Scheme on Active Attack) 이명신, 현대환, 정대원 한국항공우주연구원저궤도위성관제팀 {mslee, dhhyun, dwchung}@kari.re.kr 요 약 1. 서론 산업제어시스템은전기, 철도, 교통, 항공우주등국가주요기간시설을모니터링하고제어하는시스템으로구성되어있으며, 높은보안성을요구하고있어대부분인터넷및기관의업무망과는격리된형태의폐쇄망으로운영이되어왔다. 산업제어시스템의운영에대한결정, 운영중생성하는데이터의공유등을목적으로격리되어있던네트워크를연결하거나또는 USB 저장장치를통해서데이터전달작업을수행하고있다. 그러나, 폐쇄망으로운영되는제어망내호스트보안의취약성, 제어망과관련네트워크의비보안연결, USB 사용에의한악성코드감염등의문제등이발생하고있다. 특히, 제어망과업무망이방화벽을이용하여연결이되어있더라도, 적절한보안정책이적용되어있지않으면간단한공격툴을이용한악의적인내부사용자의능동공격에대해서쉽게공격받을수있다. 반면에, 별도의방화벽을사용하지않더라도호스트자체적으로소프트웨어기반의방화벽, 안티바이러스소프트웨어의운용또는불필요한포트의폐쇄를통해서공격자의능동공격으로부터시스템을보호할수있다. 본논문에서는가상의제어망과업무망을이중방화벽으로연결하고, 방화벽의보안설정여부, 제어망호스트의서비스중인포트설정, 보안패치등의체계적인보안관리를수행하는계층방어개념을설정하고, 업무망에위치한가상의내부공격자호스트에는포트스캐너, 취약점스캐너및해킹툴등을설치하여능동공격이가능하도록테스트베드환경을구성하여이에대한계층방어시험을수행하였으며, 이를토대로시스템의보안설정방안을제시한다. Keywords: Industrial Control System, Network security, Layer security, Active attack 산업제어시스템은전기, 철도, 교통, 항공우주등국가주요기간시설을모니터링하고제어하는시스템으로구성되어있으며 [1], 높은보안수준유지의필요성으로대부분이격리된폐쇄망으로구성되어운영이되었다. 자체프로토콜을사용하거나패치의어려움등이있어서보안상취약점을가지고있었다. 산업제어시스템의운영에대한결정, 운영중생성하는데이터의공유등을목적으로격리되어있던네트워크를연결하거나또는 USB 저장장치를통해서데이터전달작업을수행하고있다. 그러나외부네트워크로의비보안적인연결또는 USB 를통한악성코드의감염이보고되고있는실정이다. 2010 년 7 월에 스턱스넷 (Stuxnet) 이라는악성코드가출현하여이란, 중국등의원전시설을마비시키는등심각한피해를입혔다. 스턱스넷은산업제어시스템을공격대상으로만들어진첫번째웜으로써, 대부분외부인터넷과차단되어있음에도불구하고 USB 저장장치 를통해기간시설에침투한것으로알려져있다 [2]. 조직내의보안강화를위해서인터넷과연결되어있던기존의사내망을업무망과인터넷망으로분리하고있는추세이다 [13]. 따라서, 제어망과업무망사이의데이터흐름을위해서두개의망을연결하더라도물리적으로는인터넷과분리되는결과가되므로조직외의악의적인위협으로부터는어느정도안정성을확보하게된다. 그러나, 조직내의업무망에악의적인내부공격자가있으면서, 방화벽의부적절한설정및제어망호스트의적절한관리가이루어지고있지않으면내부공격자는제어시스템에대한직접적인시스템침투등의위협요소가될수있다. 시스템에대한능동적공격은공격자가보안장비및호스트의취약점을이용하여시스템내부로침입하는공격의형태로써, 시스템의파괴또는정보의수정또는탈취등에목적으로두고수행된다. 이를위해서는보통공격의대상및정보수집을위해서포트스캔또는취약점스캐너가활용이되고, 공격대상 18

및열린포트등을포함하는호스트의정보를획득하면공격툴을이용하여시스템침투를시작하게된다. 최근공격기법은고도화되고있으면서, 동시에공격을위한공격툴의사용법은기본적인네트워크에대한이해를가지고있는사람은활용가능한공격툴이증가하고있다. 이에대한방어전략으로써이중방화벽의구축및적절한보안정책적용을통한경계선에서의방어, 호스트내에서의소프트웨어적인방화벽의사용, 안티바이러스소프트웨어의사용및열린포트제거등을포함하는호스트방어등의계층방어를통해서주요시스템을보호할수있을것이다. 본논문에서는가상의제어망과업무망을이중방화벽으로연결하고, 방화벽의보안설정여부, 제어망호스트의서비스중인포트설정, 보안패치등의체계적인보안관리를수행하는계층방어개념을설정하고, 업무망에위치한가상의내부공격자호스트에는포트스캐너, 취약점스캐너및해킹툴등을설치하여능동공격이가능하도록테스트베드환경을구성하여이에대한계층방어시험을수행하였으며, 이를토대로시스템의보안설정방안을제시한다. 2. 산업제어시스템네트워크보안 2.1 산업제어시스템 산업제어시스템 (ICS: Industrial Control System) 이란산업부문및주요하부구조에서자주사용되는여러가지형태의제어시스템을포함하는일반적인용어이며, SCADA(Supervisory Control And Data Acquisition) 시스템, DCS(Distributed Control System), PLC(Programmable Logic Controllers) 등을포함한다. 산업제어시스템은전기, 수도, 정유및천연가스, 화학, 교통등주요산업시설의제어를포함한다 [1]. 그림 1. 전형적산업제어시스템구성도 국내에서는전력시스템운영과관련된 SCADA 시스템중심으로운영및관련연구가이루어지고있으며 [3], 기존의전력망에정보통신기술을접목하여공급자와소비자가양방향으로실시간전력정보를교환함으로써에너지효율을최적화하는차세대전력망인스마트그리드 (Smart Grid) 분야에서도다양한보안관련연구가진행되고있다 [4]. 또한, 2011 년 9 월에는행정안전부를주최로제어시스템보안연구회가설립되어국내외제어시스템의보안사고에대한분석, 보안정책의수립및평가에대한전략수립등의활동을수행하고있다 [5]. 미국의경우국립표준기술연구소 (NIST), 국토보안부 (DHS) 에서도산업제어시스템에대한보안지침을발행하고있다 [6]. 미국의컴퓨터응급대처팀 (US-CERT) 에서도 ICS 에대한별도의팀을운영하여보안사고, 각종보안관련지침서를발행하고있다 [7]. 그림 1 은 DHS 에서기술하고있는일반적인산업제어시스템의구성도를보여주고있다. 2.2 계층방어 효과적인보안설계및사고발생시로그분석활동을수행하기위해서공격자들에의해서수행되어지는공격의종류및공격메커니즘에대해서이해할필요가있다. 표 1 은공격의종류를보여주고있다 [8]. 19

공격수동적공격능동적공격근거리공격내부공격분산공격 표1. 공격의종류설명트래픽분석, 약한암호문의해독, 인증정보의캡처방어의회피또는침입, 악성코드삽입, 정보의수정물리적으로근접한거리에서의공격, 데이터변조, 수집목적의도적정보의수집, 파괴, 부주의, 인식부족, 의도적인보안회피하드웨어또는소프트웨어배포시악의적인수정, 백도어설치 아무리뛰어난정보보증제품도취약점이내재되어있어서결국에는이용할수있는취약점이발견되는것을인지해야한다. 계층방어는단일방어의단점을보완하여보안성을강화하고자하는개념으로써, 공격자와타겟사이에다중방어를구축하고서로다른방어메커니즘적용하는것을의미한다. 표 2 는각공격의형태에대한계층방어의예를보여주고있다 [8]. 표 2. 계층방어의예 공격 1차방어 2차방어 수동적공격 링크 / 네트워크계층암호화 보안내장응용 능동적공격 엔클레이브경계 방어 컴퓨팅환경방어 근거리공격 물리적및인적보안 기술적인감시대책 내부공격 물리적및인적보안 인증된접근제어, 감사 분산공격 신뢰가능한소프트웨어개발및배포 운영중무결성제어 2.3 보안관리툴 보안관리툴은해커가사용하면해킹툴이되고보안관리자가사용하면취약점스캐닝, 보안평가등보안관리툴이된다. 표 3 은각분류별로널리활용되고있는보안관리툴을보여주고있다 [12]. 표 3. 보안관리툴 분류 제목 비용 운영체제 인터페이스 소스코드 비고 Password Cain & Abel 무료 W GUI No www.oxid.it Cracker John the Ripper 무료 L/U/W CLI Yes Openwall.com Sniffers Wireshark 무료 L/U/W GUI/CLI Yes Wireshark.org Tcpdump 무료 L/U/W CLI Yes Tcpdump.org Port Scanners Nmap 무료 L/U/W GUI/CLI Yes Nmap.org superscan 무료 Foundstone.com Vulnerability Nessus 유료 L/U/W No Nessus.org Scanner SARA 무료 L/U/W GUI/CLI Yes www-arc.com/sara Exploitation Metasploit 무료 L/U/W CLI Yes Metasploit.com Framework Canvas 유료 L/U/W GUI/CLI Yes Immunity.com * 운영체제 : L(Linux), U(Unix), W(Windows) * 인터페이스 : GUI(Graphic User Interface), CLI(Command Line Interface) 본논문의테스트베드에서는엔맵포트스캐너 [9], Nessus 취약점스캐너 [10] 및메타스플로이트 [11] 로불리는공격툴이사용되었다. 엔맵 (Network Mapper) 은모든운영체제에서사용가능하다. 운영체제의종류및서비스에대한정보, FTP 서버의취약성을위용한 bounce 공격수행이가능하며, 프로그램소스를공개하여직접적으로소스를업그레이드하여기능추가가가능하다. Nmap hacker 에서제공하는 exploit 코드들과결합하여실제공격도구로도사용가능하다. Nessus 는 Tenable 사에서 2004 년부터배포하기시작한취약점점검도구이다. 현재동일제품에서가장널리사용되고있는툴중의하나이다. Nessus 의대표적인특징은 Plugin 구조를가지고있다는것이다. 42 개의 family 로그룹되어진약 40,000 여개의시험항목이정의되어있다. 대부분의 plugin 은 CVE(Common Vulnerability and Exposures) 에연결되어있어서배포된취약점에대해서추가적인정보를얻어낼수있다. 2003 년메타스플로이트프레임워크 (MSF, Metasploit Framework) 라고하는새로운해킹툴이공개됐다. 이툴은공격모듈개발프레임워크를제공하는최초의오픈소스로서현재가장널리사용되는툴중하나이다. MSF 는펄 (perl) 로작성됐고유닉스, 윈도우즈플랫폼에서작동한다. MSF 는 msfcli, msfweb, msfconsole 과같은세가지인터페이스를제공한다. 20

Msfweb 인터페이스는웹브라우저를통해이뤄지며생생한데모를위한훌륭한매개체로서의서비스를제공한다. Msfconsole 인터페이스는공격모듈개발을위해가장선호되는인터페이스이며대화형커맨드라인 Shell 을제공한다. 공격을수행하기위한주요두가지는 Exploit 과 payload 이다. - Exploit : 취약점을이용하여프레임워크가임의의코드를실행할수있게함. - Payload : 익스플로잇성공한후타겟머신에서실행할코드 3. 계층방어시험및보안구현방안 3.1 테스트베드구성 그림 2 는테스트베드를보여주고있다. 가상의업무망영역과제어망영역은각각 2 개의방화벽을사용하여논리적으로분리한다. 업무망과제어망사이의데이터이동은 DMZ 내에위치한데이터서버를통해서만이동하도록테스트베드를구성하였다. 본논문에서는데이터서버를통한데이터흐름에대한시험내용은기술하지않는다. 업무망은인터넷과는분리된한기관의인프라망을의미한다. 업무망영역의공격자호스트에는공격의시작을위한포트스캐너, 취약점스캐너및침투테스터등이설치되어있다. 업무망영역에서제어망영역으로의취약점분석을위해서공격자호스트에는 nmap, nessus, metasploit 를설치하였다. 이를통해서방화벽및공격대상호스트의설정에따른취약점분석을실시한다. 방화벽은상용방화벽을사용하였다. 외부및내부방화벽의방화벽정책과이에따른설정은다음과같다. 업무망과제어망간의직접적인모든트래픽은허용하지않음. 업무망과제어망간의데이터이동은 DMZ 서버를통해서만허용함. 업무망과제어망간의데이터이동은지정된호스트에의한 FTP 서비스를통해서수행함. FTP 서비스를허용하는호스트에대해서는 ICMP 트래픽을허용함. 방화벽은허용된시간에만트래픽을허용함. 업무망영역 제어망영역 접근자호스트 공격자호스트 외부방화벽 내부방화벽 제어망 PC DMZ 영역 방화벽관리서버 DMZ Server 그림 2. 테스트베드구성도 3.2 시험및결과 공격의종류를수동공격, 능동공격, 내부자공격, 근접공격및배포공격등 5 가지로분류하고있다. 능동공격에대한계층방어의예로써엔클레이브경계방어와컴퓨팅환경방어를예시하고있다. 능동공격은포트스캔, 취약점스캔및침투공격을통해서시험한다. 시험전략은엔클레이브경계방어가없다는가정하에서호스트방어능력을먼저시험하고이후엔클레이브경계방어에대한능력을시험한다. 호스트방어능력시험은운영체제의설정, 패치및운영체제방화벽의설정아래에서수행한다. 엔클레이브경계방어는포트스캔및취약점스캔을통해서실시한다. 표 4 는계층방어에대한시험항목을보여주고있다. 시험항목 1 번부터 4 번까지가운영체제설정, 패치및방화벽설정을통한호스트방어능력에대한시험이고 5 번 6 번은각각엔클레이브경계선방어에해당한다. 21

표4. 시험항목의단계적설정 No 외부내부호스트 FW FW 설정패치 FW 1 - - - - - 포트및취약점스캔, 침투테스트 2 - - + - - 포트및취약점스캔 3 - - - + - 포트및취약점스캔 4 - - + + + 포트및취약점스캔 5 - + + + + 방화벽로그분석 6 + + + + + 방화벽로그분석 시험 1 의목적은취약한네트워크의접근통제및컴퓨팅환경에서악의적인내부자로부터쉽게공격됨을보이고자함이다. 내외부방화벽은모든트래픽을통과시키고, Windows XP 서비스팩 1 환경에서특별한보안설정, 보안패치및윈도우방화벽을사용하지않는다. 그림 3 은시험 1 에서수행한포트스캔및취약점스캔의결과를보여주고있다. Nessus 는발견된취약점을그림과같이상, 중, 하로구분하여보여준다. 위험성요소가높은수준인취약점 ( 상 ) 이 21 개에해당되어관련해킹툴과기본적인운영방법망을가지고있어도쉽게해킹이될수있다. 그림 4 는실제공격을수행하여공격대상호스트의 Shell 을획득한결과를보여주고있다. 아래공격에사용된취약점은 MS06-040 (MS 취약점사이트 ) 으로분류된취약점이다. Nessus 를통해서취약점을확인을하였고, 해킹툴인 metasploit 를통해서공격대상호스트의 Shell 을획득하였다. Metasploit 로공격을수행하기위해서취약점을선택하고, 여기에서이용되는 Exploit 과 Payload 를선택한다. 아래공격에선택되어진내용은다음과같다. Vulnerability Exploit Payload MS06-040, Vulnerability in Server Service Could Allow Remote Code Execution Windows/smb/ms06_040_netapi Windows/shell/bind_tcp C:\Program Files\Nmap>nmap su st PN T4 40.40.40.2 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-27 10:43 대한민국표준시 Nmap scan report for 40.40.40.2 Host is up (1.0s latency). Not shown: 1981 closed ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open icrosoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 5000/tcp open upnp 123/udp open ntp 135/udp open msrpc 137/udp open netbios-ns 138/udp open filtered netbios-dgm 445/udp open filtered icrosoft-ds 500/udp open filtered isakmp 1027/udp open filtered unknown 1028/udp open ms-lsa 1029/udp open unknown 1900/udp open filtered upnp 3456/udp open filtered IISrpc-or-vat Nmap done: 1 IP address (1 host up) scanned in 221.70 seconds [A. 공격대상으로의포트스캔 ] [B. 공격대상으로의취약점스캔 ] 그림 3. 시험 1 의포트스캔및취약점스캔결과 22

공격 포트스캔 공격대상 IP 공격자 IP 취약점스캔 그림 4. 취약한환경에서의탐지및해킹완료상태 시험 2 의목적은열려있는포트를최소화함으로써치명적인취약점이감소됨을보이고자함이다. 아래와같이시험 1 에서열려있는포트들을닫기위해서서비스를중지하거나필요한설정을하였다. 그결과취약점 ( 상 ) 은 1 개로감소하였다. 표 5. 열린포트최소화 포트 서비스 중지 21 FTP 서비스중지 (iisadmin) 25 SMTP 서비스중지 (iisadmin) 123 NTP 서비스중지 (w32time) 137,138139 NetBIOS-SSN Network 속성의 WINS에서 NetBIOS를 Disable함. 445 MS-DS 서비스중지 (netbt) 135 MSRPC 닫히지않음. 5000 SSDP 서비스중지 (ssdpsrv) 1025 닫히지않음. 시험 3 의목적은포트가열린상태에서필요한보안패치를통해서취약점이완화됨을보이고자함이다. 내외부방화벽은모든트래픽을통과시키고, Windows XP 서비스팩 2,3 을패치하고, 취약점스캐너에서감지된리스트에대해서보안패치를수행하였다. 서비스팩 2 설치후에는취약점상, 중, 하가각각 5,3,28 개가탐지되었으며, 서비스팩 3 설치후에는 2,2,28 개로감소되었고, 해당보안취약점의패치이후에는아래와같이 0,1,28 개로감소하여취약점 ( 상 ) 은제거된것을볼수있다. 시험 3 에서낮은수준의취약점이증가한이유는서비스팩이서치되면서새로운버전에서의취약점이며, 이중대부분은 SMB 관련취약점이다. Nessus 에서는이들취약점의수준을 None 으로표시하고있다. 시험 4 의목적은호스트에서패치, 설정 ( 열린포트최소화 ) 및윈도우방화벽사용을통해호스트환경자체만으로보안이강화됨을보이고자함이다. 방화벽은모든트래픽을그대로통과시키고, 호스트의보안설정, 보안패치및윈도우방화벽을설정하였다. 시험 5 와시험 6 은내부방화벽및외부방화벽을각각설정하여실제트래픽이수락또는거절되는지를로그분석을통해서확인하였다. 그림 5 는시험 6 에서외부방화벽의로그를보여주고있다. 공격자호스트및허용시간외의접근자호스트의트래픽이차단되는것을보여주고있다. 23

외부방화벽,2010-12-31 13:51:58,Packet Filtering, 패킷버림,192.168.10.4,40.40.40.2,ICMP [ A. 공격자호스트의외부방화벽로그 ] 외부방화벽,2010-12-31 13:44:35,Packet Filtering, 패킷통과 ( 세션시작 ),192.168.10.1,40.40.40.2,3104,21,ftp (21),TCP [ B. 접근자호스트의외부방화벽로그 _ 허용시간내 ] 외부방화벽,2010-12-31 15:18:45,Packet Filtering, 패킷버림,192.168.10.1,40.40.40.2,3108,21,ftp (21),TCP [C. 접근자호스트의외부방화벽로그 _ 허용시간외 ] 그림 5. 시험 6 의시험결과로그 표 6 은각시험환경에따른열린포트및탐지된취약점결과를보여주고있다. 호스트에대해서어떠한보안강화대책을수립하지않으면서업무망과단순하게연결된다고가정하는시험 1 의경우, 8 개 (TCP) 의열려있는포트및취약성이높은취약점 ( 상 ) 의개수가 21 개탐지되었다. 결과적으로전문적인해커가아니더라도공격툴의조작방법에대한기본적인지식을가진내부공격자에의해서공격을허용하게된다. 그러나, 시험 2 에서와같이해커에게공격의시작점이될수있는필요없는포트를제거함으로써탐지되는취약점은 1 개로현저하게감소됨을볼수있다. 표 6. 시험환경에따른열린포트및취약점결과 시험환경 열린구분호스트방어경계선방어취약점 ( 상 ) 보안패치윈도우내부외부포트개수설정 SP2 SP3 기타방화벽방화벽방화벽시험1 - - - - - - - 8 21 시험 2 + - - - - - - 2 1 시험 3.1 - + - - - - - 6 5 시험 3.2 - + + - - - - 6 2 시험 3.3 - + + + - - - 6 0 시험 4.1 + + + + - - - 0 0 시험 4.2 + + + + + - - 0 0 시험 5 + + + + + + - 0 0 시험 6 + + + + + + + 0 0 * 취약점 ( 상 ) 개수 는 Nessus 취약점스캐너를통해서탐지된취약점상 (High) 의개수임 30 포트취약점 _ 상취약점 _ 중취약점 _ 하 25 20 15 10 5 0 시험 1 시험 2 시험 3.1 시험 3.2 시험 3.3 시험 4.1 시험 4.2 시험 5 시험 6 24

마찬가지로시험 3 에서와같이포트가열려있더라도윈도우의업데이트및취약점스캐닝으로부터밝혀진특정보안패치를수행함으로써탐지되는높은수준의취약점은제로가되었다. 그러나, 업데이트된서비스팩으로부터중간및낮은수준의새로운취약점이발견되었다. 이취약점은시험 4 에서와같이열린포트최소화작업및호스트기반의방화벽을설정함으로써스캐닝되는모든취약점은발견되지않았다. 추가적으로내부방화벽및외부방화벽을포함하는이중방화벽을운영하여경계선방어를수행함으로써공격자의공격은더욱어려워지게된다. 호스트의강화를통해서이미열려있는포트및취약점이발견되지않기때문에경계선방어를설정한시험환경에서는공격대상호스트에포트및취약점스캐닝은무의미하다. 따라서, 경계선방어시험에서는각방화벽이사전에정의된방화벽정책에따라서각각의트래픽을정상적으로통과또는차단하는지의시험을수행하고로그분석결과정상적으로동작함을시험하였다. 3.3 계층방어최적보안구현방안 위의시험을통해서호스트의보안관리수준에따라서공격자의공격루트가될수있는열린포트의개수와취약점 ( 상 ) 의개수의증감상태를살펴보았다. 불필요한열린포트를폐쇄하는것을통해서도취약점스캐너를통해서탐지되는취약점의숫자는현저하게줄어들었으며, 또한포트가열려있어도해당운영체제의서비스팩을업데이트함으로써탐지되는취약점이감소되는것을확인하였다. 결과적으로시험 4.1 단계에서와같이호스트의보안관리측면에서불필요한열린포트의제거, 서비스팩설치와해당보안패치만을통해서도방화벽이적절한접근통제를수행하지못하는환경에서포트스캐너및취약점스캐너에의해서탐지되는열린포트및취약점 ( 상 ) 의개수는 0 가되는것을볼수있다. 호스트에서의취약점을제거한이후호스트내에서의추가적인소프트웨어기반의보안소프트웨어운용및하드웨어적인방화벽의설치와적절한보안정책을수행함으로써제어망의호스트를악의적인내부공격자로부터일정수준에서안전하게보호할수있을것이다. 따라서, 불가피하게제어망과업무망의연결을시도하는경우에는다음과같은계층방어개념을구축하고보안설정을운용할필요가있으며, 1 차호스트방어작업을수행한이후포트스캐너및취약점스캐너를이용한점검을수행해야할것이다. 1 차호스트방어 : 열린포트제거, 서비스팩및해당보안패치업데이트 2 차호스트방어 : 윈도우방화벽및안티바이러스프로그램운용 3 차경계선방어 : 방화벽을이용한경계선방어 - 기본적으로 Deny All 및필요한데이터의흐름은 DMZ 서버를통해서만수행 4 결론 산업제어시스템은전기, 철도, 교통, 항공우주등국가주요기간시설을모니터링하고제어하는시스템이다. 높은보안수준유지의필요성으로대부분이격리된폐쇄망으로구성되어운영이되고있다. 그러나여러가지효율성을위하여제어망과관련업무망의연결의필요성이제기되고있다. 조직내의망분리등을통하여업무망이인터넷과물리적으로분리되어조직외부의위협으로부터는안전하게되더라도, 조직내악의적인내부공격자가업무망에존재할경우, 방화벽및제어시스템의적절한보안관리가이루어지지않으면내부능동공격의위협에처하게될것이다. 본논문에서는업무망과제어망을이중방화벽으로연결하면서, 데이터이동은 DMZ 서버를통해서수행하는테스트베드를구축하였다. 동시에호스트에서의포트설정, 보안패치및윈도우방화벽의사용기법등의호스트강화를포함하는계층방어개념기반의테스트베드를구축한후단계별설정을통해서포트스캔, 취약점스캔및침투테스트에의한시험을수행하였다. 시험 / 분석결과호스트에서의포트설정, 서비스팩및특정보안패치를통해서포트스캐너및취약점스캐너를통해서탐지되는열린포트와취약점이 0 가되는것을확인하였다. 이와같이일차적으로호스트의취약점을제거한후에추가적으로윈도우방화벽, 안티바이러스와같은소프트웨어적인방화벽과경계선의방화벽설치와적절한보안정책구현을통해서계층방어적인보안을구현할수있을것이다. 향후에는방화벽의취약성을이용한공격방법등에대한연구를통하여방화벽의안전한운용및필요한추가대책을제시하고자한다. 25

참고문헌 [1] NIST SP 800-82, Guide to Industrial Control Systems(ICS) Security, Sep 2009 [2] 디지털타임즈, http://www.dt.co.kr [3] 김영진외, SCADA 시스템의안전성확보방안에관한연구, 정보보호학회지제 19 권제 6 호, 2009. [4] 정영곤외, 스마트그리드보안동향, 정보보호학회지제 20 권제 4 호, 2010 [5] 한국정보보호학회, http://www.kisc.or.kr [6] NIST Computer Security Resource Center, http://csrc.nist.gov [7] US-CERT Control Systems Security Program, http://www.us-cert.gov/control_systems [8] Fedric, Information Assurance Technical Framework Release 3.1, Sep 2002 [9] Nmap, http://nmap.org [10] Nessus, http://www.nessus.org [11] Metasploit, http://www.metasploit.org [12] Top100 Network Security Tools, http://sectools.org/index.html [13] 이성훈외 2 명, 공공기관망분리사례, 발표자료 이명신 1998 전북대학교, 제어계측공학학사 2009 정보통신기술사 2010 충남대학교, 정보통신공학석사 1999 ~ 현재한국항공우주연구원저궤도위성관제팀선임연구원 < 관심분야 > 산업제어시스템보안, 보안정책관리, 위성지상시스템설계 현대환 1998 우송대학교컴퓨터공학과학사 2002 국민대학교정보통신공학석사 2001 ~ 현재한국항공우주연구원저궤도위성관제팀선임기술원 < 관심분야 > 네트워크엔지니어링, 산업제어시스템보안, 정보보안, 클라우드컴퓨팅 정대원 1992 경북대학교, 전자공학과학사 1994 경북대학교, 전자공학과석사 2007 충남대학교, 전자공학과박사 1995 ~ 현재한국항공우주연구원저궤도위성관제팀장책임연구원 2009 ~ 현재과학기술연합대학원대학교부교수 2009 ~ 현재 SpaceOps Committee 이사 2010 ~ 현재위성전파감시자문위원회위원 < 관심분야 > 위성시스템엔지니어링, 위성지상국설계, 위성통신간섭, 위성궤도결정, 위성임무운용 26

2024 © docsplayer.org 개인정보보호 | 약관 | 지원