알려지지 않은 취약점을 악용한 침해사고와 다양한 공격기법들이 등장함에 따라 기존 단위 보안 솔루션을 통한 대응에 많은 어려움이 생겨나고 있다. 특히, 취약점 발견시간과 이를 악용한 공격기법의 등장시점 간격이 점차 좁혀져, 이른바 ‘Zero Day 공격’에 대한 위험도 큰 부담으로 다가오고 있다. 최근 조기경보 시스템(Eary warning System)에 대한 언급이 눈에 띄게 증가하고 있는 배경도 이런 상황과 무관하지 않다. 이런 의미에서 이번 연재는 조기경보 시스템의 개요와 동향을 파악해 봄으로써 최근 관심이 일고 있는 조기경보 시스템의 이해를 위한 기초를 제공하고자 한다. 연재의 순서로는 정보보호 사고 동향과 이에 따른 조기경보 시스템의 필요성에 대해 살펴보고, 조기경보 시스템을 구성하는 기술 및 조직체계를 자세히 살펴본 후 국내외 조기경보 시스템의 동향을 통한 조기경보 시스템의 발전방향을 제시해 보고자 한다.
홍 기 향 | 이비즈텍 컨설팅부 부장(kihyang_hong@hanmail.net)
조기경보 시스템의 등장배경과 필요성
IT 기술의 발전과 함께 정보화의 역기능이 확산되면서 정보보호를 위한 기술 또한 꾸준히 발전해 왔다. 그러나 최근 일어나는 침해사고 유형은 그림 1에서 보는 바와 같이 특정 정보 시스템을 대상으로 한 것이 아닌 정보통신 인프라 전반을 침해하는 양상으로 변화하고 있다. 이에 발맞춰 정보보호 기술 역시 특정 정보 시스템으로의 접근을 차단 및 탐지하는 기술에서 시스템 간 정보공유를 바탕으로 정보보호 사고의 조기발견과 대응을 위한 조기경보 시스템에 대한 관심으로 이어지고 있다.
조기경보 시스템은 그림 2에서 보는 바와 같이 침입탐지 기술에 의해 수집된 정보를 분석해 유해 트래픽 여부를 확인하고, 조기 예·경보를 발령하도록 함으로써 정보보호 사고에 능동적으로 대처할 수 있도록 지원한다. 물론 침입탐지 등 기술을 이용해 기초 정보를 수집하는 것은 기존 정보보호 기술과 동일하다. 하지만 수집된 정보에 대한 트래픽 분류 및 추이분석, 이벤트 간 상관관계 분석 등을 수행해 유해 트래픽을 산정 및 예측함으로써 정보보호 사고의 발생과 확산을 방지한다는 점은 조기경보 시스템만의 특징이다.
이런 의미에서 조기경보 시스템은 정보보호 사고의 징후를 조기에 파악해 능동적으로 대처할 수 있도록 공격정보의 수집, 분석 및 예·경보를 발령하는 통합된 정보보호 기술체계라고 정의할 수 있다.
조기경보 시스템의 구성
조기경보 시스템은 일반적으로 공격정보를 수집하기 위한 부분을 비롯해 수집된 정보를 분석하기 위한 각종 기술, 정보공유 네트워크, 그리고 예·경보에 대응하는 조직 및 기술체계 등으로 구성된다.
조기경보 시스템의 단계별 구성은 그림 3에서 보는 바와 같이 정보수집, 분석 및 발송단계로 이루어져 있고, 각 단계별 활동은 정보공유 네트워크(Trusted Information Sharing Network)를 통해 관련 조직간 공유되도록 구성돼 있다.
정보수집 단계에서는 침입차단 시스템, 침입탐지 시스템, Secure OS, 취약점 분석도구, 바이러스 방역 시스템 등 각종 정보보호 시스템의 모듈로부터 수집된 정보가 침입탐지 시스템 이력 DB, 공격평가 DB, 사고이력 DB, 컴퓨터 포렌식 DB 등 각 정보보호 시스템 내 DB로 축적된다.
두 번째 정보분석 단계에서는 각 정보보호 시스템의 DB가 정보공유 네트워크를 통해 통합수집 DB 또는 취약점 DB로 통합된 후 정보분석 시스템을 통해 분석된다. 정보분석 시스템은 이를 기반으로 공격여부의 파악, 예·경보 발령, 공격평가 및 관련 시스템의 모니터링을 실시한다.
마지막 정보발송 단계는 정보분석 단계의 활동결과와 수집된 정보가 침해사고 또는 공격유형으로 판단돼 조기 예경보가 발령된 경우에만 수행한다. 정보발송 단계는 다시 예·경보 시스템의 환경설정, 예·경보 및 침해대응, 정책수정 및 보고의 3가지 분야로 구성된다.
이를 다시 세분화해 보면, 예·경보 시스템의 환경설정은 예·경보 발령의 기준 및 단계를 정의하고 각 단계별로 예·경보 조건 및 방법 등을 지정하는 활동으로, 공격의 영향 및 긴급성에 따라 예·경보가 적절히 전파될 수 있도록 하는 역할을 한다. 정보보호 담당자가 적절히 공격에 대응하고 필요한 정보공유 및 연계체계를 가동하는 활동인 예·경보 및 대응은 단계별로 미리 정의된 시나리오에 따라 체계적인 복구가 이뤄질 수 있도록 한다. 한편, 정보보호 사고 재발방지 목적의 정책수정 및 보고 단계에서는 정보보호 사고의 대응결과에 따라 필요한 보안정책을 수정하고, 사고 및 대응결과에 대한 사례 보고 및 전파활동을 하게 된다.
한편, 조기경보 시스템의 데이터 구성은 그림 4에서 보는 바와 같이 침입탐지 시스템, 침입차단 시스템, 바이러스 방역 시스템 등 기존 정보보호 시스템으로부터 수집돼 정보내용에 따라 서로 다른 DB를 구성하고, 예·경보를 위한 데이터로 축적 및 가공된다.
조기경보 시스템에 사용되는 데이터는 표 1과 같이 정보의 내용에 따라 몇 가지로 구분할 수 있으나 이외 다른 데이터들도 조기경보 시스템의 정보분석을 위해 사용될 수 있다. 다만, 정보분석 시 유의해야 할 점은 조기경보 시스템의 DB 중 ‘소스 DB’는 침해사고의 피해자와 해당 내용을 파악할 수 있기 때문에 일반적인 네트워크와 구분해 별도의 전산실 서버에 저장해 보관해야 한다는 사실이다. 또한 관련 데이터 전파 시에도 별도로 원시 데이터를 가공해 저장한 ‘가공 DB’의 데이터를 제공해야 한다. 특히, 침해사고 데이터의 공유를 위해서는 원시 데이터의 보호가 매우 중요하다는 점은 항상 기억해둬야 한다.
한편, 조기경보 시스템의 조직구성은 그림 5에서 보는 바와 같이 정보수집, 공유 및 대응에 있어 많은 조직이 상호 밀접하게 연관돼 있다. 각 단계별로 조직들의 역할을 나열해 보면,
▲정보수집 단계
국내외 정보보호 홈페이지에서 정보보호 동향, 논문, 보고서, 패치 및 업데이트 프로그램 등을 수집하여 활용하고, 기업 통합 정보보호 관리시스템(ESM)간에는 중요 침해자에 대한 블랙리스트(공격기법, 유형, 회수, 국가, ISP, Port 별 등)를 공유한다. 또 국내외 CERT, ISAC와 침해사고에 대한 협력(해킹사고 접수/지원,신규 해킹기술 공유/전파)을 수행하는 한편, 바이러스 백신업체와는 바이러스 예·경보(신규 바이러스, 웜 정보 백신 업데이트 및 패치)를 실행하며, 주요 ISP와는 네트워크 트래픽 정보(트래픽 이상징후 정보, 유해 트래픽 분석정보 등)를 공유하게 된다.
▲정보공유 및 분석 단계
이 단계에서는 정보공유 네트워크(Trusted Information Sharing Network) 및 관련 시스템을 이용해 개인이나 민간의 IT 인프라(Information Technology Infrastructure), 회사의 주요 전산시설, 정보통신기반 보호법상의 주요 정보공유 및 분석센터(ISAC : Information Sharing & Analysis Center), 대규모 관제 센터, 주요 정부 및 공공기관 시스템, 통신사업자, ISP 등 관련 기관이나 기업 및 조직에 필요한 침해사고 또는 취약성 정보를 공유한다. 또 이를 토대로 이용자, 관제요원, 주요 ISAC·CERT 요원, 시스템(네트워크 관리자)에게 예·경보를 발령한다.
▲정보공유 네트워크(Trusted Information Sharing Network) 및 사이버상황실(CyberWarroom)의 관련 시스템
자신의 전산자산과 연결된 모든 ESM, CERT, ISAC, 바이러스 백신업체, ISP, 그리고 해당 기업 및 정보수집 채널에 연동된 관제 대상 정보보호 제품의 로그를 암호화된 표준 포맷으로 가공 및 분석하고 통계를 산출하며, 수집 데이터의 자동분류 및 DB 관리를 함으로써 참여 기관/회사/센터 간에 암호화된 파일·화상·멀티미디어 통신 등의 방법으로 필요한 보안정보를 공유할 수 있는 시스템적 환경을 제공한다.
이처럼 광범위한 정보수집과 분석 및 공유를 수행하는 조기경보 시스템 조직은 다양한 조직 및 국가에 걸쳐 정보공유 및 협조체계가 수반되어야 한다. 국내외 조기경보 시스템의 조직 및 동향에 대해서는 다음 회에서 더 자세히 살펴보도록 하겠다.
조기경보 시스템 관련 기술
조기경보 시스템은 개별 정보보호 시스템으로부터 정보를 수집 및 분석하고, 관련 정보를 공유하도록 하는 기술 및 정책을 필요로 한다. 때문에 조기경보 시스템 구축을 위해서는 다양한 관리적 기법과 기술적 도구가 필요하다. 보다 자세한 내용은 두번째 연재에서 살펴보겠지만 이와 관련된 기술만을 간단하게 살펴보면 표 2와 같다.
조기경보 시스템의 발전동향
정보보호 사고대응 기술은 그림 6에서 보는 바와 같이 단위 보안장비 도입을 통한 개별 정보보호 시스템 구축 등 기술적 대응으로부터 정보보호관리체계 및 예·경보 도입 등 관리적 대응으로 발전하고 있다.
이런 의미에서 조기경보 시스템 역시 개별 정보보호 시스템 연계, 기술적 취약점 분석, 로그 분석 및 침해대응 등 기술적 대응 뿐 아니라 정보공유 및 공동대응을 위한 ISAC(Information Sharing & Analysis Center) 체계의 구축, 정보보호관리체계(Information Security Management System) 구축 등 관리적 방향으로 발전할 것이라는 예상이 지배적이다. 무엇보다 조기경보 시스템은 향후 기업 조직 전반의 업무를 안정적으로 수행하기 위한 효과적 대안으로 자리 잡을 것이라는 사실은 분명해 보인다. 또한 각 국가, 지역(아시아) 및 전 세계적인 경보체계 구축이 이뤄지고 있는 가운데 우리나라도 국가 사이버안전센터 등이 건립돼 향후 지역 및 세계적인 조기경보 체계와의 연계는 물론, 이를 토대로 효과적인 정보공유가 이뤄질 것으로 예상된다.
출처 : http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=155&numm=65&search=title&find=조기경보시스템&kind=03&order=ref
