네트워크 보안사각

네트워크 보안사각은 보안 장비들이 보안 위협의 침투나 그로 인한 보안 사고를 탐지하지 못하는 것을 의미한다^[1]^[2]. 즉, 침해(악성코드의 침투 또는 데이터의 유출)임에도 불구하고 이를 정상적인 트래픽으로 인지하여 이를 차단하지 못하거나 경보를 띄우지 못하는 것이다. 제로데이 기간에 있는 보안 위협의 침투, 아직 알려지지 않은 Black List 사이트로의 데이터 유출, 그리고 아직 알려지지 않은 C&C 서버와의 통신 등이 이에 해당한다.

네트워크 보안사각의 발생 이유 : 제로데이(Zero-day)[편집]

모든 실시간 네트워크 보안 장비들은 신·변종 보안 위협의 등장 이후 해당 위협을 탐지하거나 대응할 수 있는 탐지 정보(TI, Threats Intelligence) 제공까지의 시간적인 간격인 제로데이^[3] 때문에 보안사각을 가질 수밖에 없다. 글로벌 보안 정보 회사에서 제공하는 탐지 규칙과 악성 사이트 정보는 매일 수십에서 수천까지의 탐지 정보가 업데이트되므로, 탐지 정보를 기준으로 최소 3% ~ 5%의 보안사각이 발생된다.

네트워크 보안사각을 발생시키는 제로데이는, 보안 위협의 생성 이후 해당 위협에 대해 탐지 가능한 정보(TI, Threats Intelligence)가 제공될 때까지의 시간상의 공백 기간을 말한다. 탐지정보(Threats Intelligence, Signature/Backlist IP 정보/C&C 서버 IP 정보 등)가 제공되는 날부터 Day 1이 시작된다.

블랙 리스트(Black list) 기반 보안환경에서 제로데이 기간에 있는 보안위협은 위협으로 판단할 수 있는 정보가 없기 때문에 항상 정상적인 것으로 판단된다. 따라서 네트워크를 통한 악성 코드의 침투 등은 정상 트래픽으로 인지되므로, 항상 성공할 수밖에 없다(False-Negative). 제로데이 기간은 정확한 숫자로 표현할 수는 없으며, 대한민국 육군본부 보안팀 요구사항에 따르면 보통 평균 3개월 정도를 필요로 한다고 한다.

보안사각을 이용한 제로데이 공격(Zero-day Attack)[편집]

제로데이 공격은 제로데이(Zero-day) 라는 특성을 이용한 사이버공격을 말한다. 이는 좁게는 운영체제나 소프트웨어의 취약점이 발견된 후 해당 취약점이 패치되기 전까지 이루어지는 공격을 의미하고, 넓게는 신종, 변종 보안위협의 생성 이후 이를 인지할 수 있는 TI(Threats Intelligence)가 제공되기 전에 이루어지는 공격을 의미한다.

제로데이 공격은 제로데이 기간이라는 시간 특성과 블랙 리스트(Black list) 기반의 침해 대응이라는 특성으로 말미암아 항상 성공할 수밖에 없기에, 이에 대한 대응은 “실시간 방어”가 아닌 “조기 인지를 통한 피해 최소화” 영역에 속하게 된다^[4]^[5].

네트워크 보안사각의 종류[편집]

네트워크 보안사각은 하나의 문제가 아니라, 보안 침해의 발생 시점과 탐지 정보(Threats Intelligence)의 제공 시점을 기준으로 따라 세 종류의 문제로 세분화할 수 있다^[6].

운용상의 보안사각: 침해 발생 이전에 탐지 정보가 제공되는 경우
시간상의 보안사각: 침해는 과거에 발생했는데, 탐지 정보가 오늘 제공되는 경우
언노운(Unknown) 보안사각: 침해는 과거에 발생했는데, 아직 탐지 정보가 제공되지 않는 경우

운용상의 보안사각[편집]

운용상의 보안사각(공백)은 보안 담당자(운용자)의 실수로 위협 정보의 설정이 누락되거나 지연되는 경우를 말한다.

운용자의 실수로 인해 탐지 정보의 설정이 늦어지거나 누락되어 경보 발생이 안되는 경우, “Lost once, Lost forever”이라는 경보 발생의 실시간 특성에 따라 트래픽의 재검사 외에는 경보를 다시 발생시킬 수 있는 방법이 없다.

시간상의 보안사각[편집]

시간상의 보안사각(공백)은 새로운 TI(Threats Intelligence)가 제공되더라도 이미 과거에 일어난 침해는 보안 장비들이 경보를 발생시키지 못하는 것을 의미한다^[7]. 이는 신·변종 보안 위협의 침투 및 유출의 시점(침해 시점)과 이를 검출할 수 있는 위협 정보(TI, Threats Intelligence)의 제공 사이의 시간적인 차이인 제로데이 때문이다.

따라서 매일 배포되는 신규 탐지 정보를 바로 적용한다고 할 지라도 과거에 이미 발생한 보안 위협의 침투와 이로 인한 데이터 유출에 대한 검출 및 대응은 할 수 없게 된다.

언노운(Unknown) 보안사각[편집]

언노운 보안사각은 신·변종 보안 위협이 생성된 후, 아직 이를 탐지할 수 있는 TI(Threats Intelligence)가 제공되지 않아서 침해에 대해 보안 장비들이 경보를 발생시키지 못하는 것을 의미한다. 즉, 아직 해당 보안 위협에 대한 제로데이가 끝나지 않은 상태임을 의미한다.

언노운 보안사각은 관련된 보안 위협의 제로데이가 끝나는 시점에서, 해당 보안위협의 침해는 시간상의 보안사각으로 변하게 된다.

보안 사각에 대한 대응 방법^[8][편집]

사이버 보안사각은 실시간으로는 경보가 발생하지 않으므로, 가능한 빨리 놓친 경보를 찾아내고, 추적하여 분석함으로써 침해로 인한 피해를 최소화하는 것으로 대응해야 한다^[9]^[10]. TI(Threats Intelligence)의 제공 여부를 기준으로 대응 방법은 두 가지로 나누어 볼 수 있다^[11].

첫번째는 회귀보안검사로서 TI(Threats Intelligence)가 제공된 상태인 운용상 보안사각과 시간상 보안사각을 해결하는 방법이다. 제공된 모든 탐지 정보로 과거 트래픽을 주기적으로 재검사함으로써 운용상의 보안사각으로 누락된 침해 경보를 찾아내고, 새롭게 제공된 탐지 정보로 조직이 결정한 평균 제로데이 기간 이전부터 오늘까지의 트래픽을 재검사함으로써 시간상의 보안사각으로 누락된 침해 경보를 찾아낼 수 있다^[12].

두번째는 이상행위탐지로서 TI(Threats Intelligence)가 제공되지 않은 상태인 언노운 보안사각을 해결하는 방법이다. 언노운 보안사각에 관련된 보안 위협은 TI(Threats Intelligence)가 존재하지 않으므로 회귀보안검사를 수행하는 것은 불가능하다. 따라서 내부의 이상한 행위를 잘 모니터링하여 침해가 발생하였음을 유추하는 것이 유일한 방법이다^[13]^[14]^[15]^[16]^[17]^[18].

시간상/운용상의 보안사각을 해소하는 방법으로 이상행위탐지를 권고하지 않는 이유는 검출의 정확성과 검증의 한계성 때문이다. 이상행위탐지는 행위 패턴의 분석이라는 특성상 “Best Effort”로 동작할 수밖에 없으므로, 정확도에 대한 보장을 할 수 없다. 또한 침투 경로에 대한 검증, 분석, 그리고 추적이 힘들다. 따라서 이상행위탐지 기술은 탐지 정보가 존재하지 않는 언노운 보안사각에서는 의미를 가지지만, 회귀보안검사를 사용하면 100% 정확하게 시간상/운용상의 보안사각의 검출이 가능하고, 과거 트래픽이 존재하므로 검증과 추적을 정확하게 할 수 있으므로, 시간상/운용상 보안사각을 해소하는 데는 적합하지 않다.

같이 보기[편집]

제로 데이 공격

각주[편집]

↑ Check Point Software Technologies Ltd. (2020년 3월 24일). “(CHECK POINT + VANAFI) PROTECT MACHINE IDENTITIES” (PDF).
↑ https://www.dailysecu.com/news/articleView.html?idxno=128739
↑ Bilge, Leyla; Dumitraş, Tudor (2012년 10월 16일). “Before we knew it: an empirical study of zero-day attacks in the real world”. CCS '12. New York, NY, USA: Association for Computing Machinery: 833–844. doi:10.1145/2382196.2382284. ISBN 978-1-4503-1651-4.
↑ “[솔라윈즈 SUNBURST 보안위협 총정리] “한국 병원·대학·기관 등에서도 공격 스캔 발견””. 2021년 1월 25일. 2021년 9월 24일에 확인함.
↑ “지니언스-엑사비스, 보안솔루션 넷아르고스 통해 제로데이 침투 사례 밝혀”. 2021년 12월 23일. 2022년 1월 19일에 확인함.
↑ 황석훈 (2021.09.17). “[AIS2021] 타이거CNS-보안사각을 어떻게 대응할 것인가?”. 2021.09.24에 확인함.
↑ 엑사비스 주식회사 (2021년 10월 29일). “네트워크 보안 방법 및 이를 수행하는 시스템(특허등록번호: 1021744620000)”. KIPRIS.
↑ https://www.dailysecu.com/news/articleView.html?idxno=131490
↑ Check Point Software Technologies Ltd. (2019년 5월 27일). “(CHECK POINT + XABYSS) INTEGRATED THREAT PREVENTION” (PDF).
↑ “Xabyss NetArgos® Eliminates network security blind spots” (미국 영어). 2020년 8월 26일. 2021년 7월 27일에 확인함.
↑ “[판교기업]세계 최초의 사이버보안 CCTV 솔루션을 제공한다” 엑사비스 이시영 대표”. 2019년 7월 6일. 2021년 9월 24일에 확인함.
↑ “황석훈 타이거CNS 대표 “제로데이 보안사각, 새로운 접근방식 ZDR로 대응해야””. 2021년 9월 26일. 2021년 9월 28일에 확인함.
↑ Sun, Xiaoyan; Dai, Jun; Liu, Peng; Singhal, Anoop; Yen, John (2017). 《Using Bayesian Networks to Fuse Intrusion Evidences and Detect Zero-Day Attack Paths》. Cham: Springer International Publishing. 95–115쪽.
↑ Al-Rushdan, Huthifh; Shurman, Mohammad; Alnabelsi, Sharhabeel H.; Althebyan, Qutaibah (2019년 12월). “Zero-Day Attack Detection and Prevention in Software-Defined Networks”. IEEE. doi:10.1109/acit47987.2019.8991124.
↑ Hindy, Hanan; Atkinson, Robert; Tachtatzis, Christos; Colin, Jean-Noël; Bayne, Ethan; Bellekens, Xavier (2020년 10월 14일). “Utilising Deep Learning Techniques for Effective Zero-Day Attack Detection”. 《Electronics》 9 (10): 1684. doi:10.3390/electronics9101684. ISSN 2079-9292.
↑ Innab, Nisreen; Alomairy, Eman; Alsheddi, Lamya (2018년 4월). “Hybrid System Between Anomaly Based Detection System and Honeypot to Detect Zero Day Attack”. IEEE. doi:10.1109/ncg.2018.8593030.
↑ Duessel, Patrick; Gehl, Christian; Flegel, Ulrich; Dietrich, Sven; Meier, Michael (2016년 7월 20일). “Detecting zero-day attacks using context-aware anomaly detection at the application-layer”. 《International Journal of Information Security》 16 (5): 475–490. doi:10.1007/s10207-016-0344-y. ISSN 1615-5262.
↑ Aygun, R. Can; Yavuz, A. Gokhan (2017년 6월). “Network Anomaly Detection with Stochastically Improved Autoencoder Based Models”. IEEE. doi:10.1109/cscloud.2017.39.

외부 링크[편집]

[:0-1] Check Point Software Technologies Ltd. (2020년 3월 24일). “(CHECK POINT + VANAFI) PROTECT MACHINE IDENTITIES” (PDF).

[2] ttps://www.dailysecu.com/news/articleView.html?idxno=128739

[3] Bilge, Leyla; Dumitraş, Tudor (2012년 10월 16일). “Before we knew it: an empirical study of zero-day attacks in the real world”. CCS '12. New York, NY, USA: Association for Computing Machinery: 833–844. doi:10.1145/2382196.2382284. ISBN 978-1-4503-1651-4.

[4] “[솔라윈즈 SUNBURST 보안위협 총정리] “한국 병원·대학·기관 등에서도 공격 스캔 발견””. 2021년 1월 25일. 2021년 9월 24일에 확인함.

[5] “지니언스-엑사비스, 보안솔루션 넷아르고스 통해 제로데이 침투 사례 밝혀”. 2021년 12월 23일. 2022년 1월 19일에 확인함.

[6] 황석훈 (2021.09.17). “[AIS2021] 타이거CNS-보안사각을 어떻게 대응할 것인가?”. 2021.09.24에 확인함.

[7] 엑사비스 주식회사 (2021년 10월 29일). “네트워크 보안 방법 및 이를 수행하는 시스템(특허등록번호: 1021744620000)”. KIPRIS.

[8] ttps://www.dailysecu.com/news/articleView.html?idxno=131490

[9] Check Point Software Technologies Ltd. (2019년 5월 27일). “(CHECK POINT + XABYSS) INTEGRATED THREAT PREVENTION” (PDF).

[10] “Xabyss NetArgos® Eliminates network security blind spots” (미국 영어). 2020년 8월 26일. 2021년 7월 27일에 확인함.

[11] “[판교기업]세계 최초의 사이버보안 CCTV 솔루션을 제공한다” 엑사비스 이시영 대표”. 2019년 7월 6일. 2021년 9월 24일에 확인함.

[12] “황석훈 타이거CNS 대표 “제로데이 보안사각, 새로운 접근방식 ZDR로 대응해야””. 2021년 9월 26일. 2021년 9월 28일에 확인함.

[13] Sun, Xiaoyan; Dai, Jun; Liu, Peng; Singhal, Anoop; Yen, John (2017). 《Using Bayesian Networks to Fuse Intrusion Evidences and Detect Zero-Day Attack Paths》. Cham: Springer International Publishing. 95–115쪽.

[14] Al-Rushdan, Huthifh; Shurman, Mohammad; Alnabelsi, Sharhabeel H.; Althebyan, Qutaibah (2019년 12월). “Zero-Day Attack Detection and Prevention in Software-Defined Networks”. IEEE. doi:10.1109/acit47987.2019.8991124.

[15] Hindy, Hanan; Atkinson, Robert; Tachtatzis, Christos; Colin, Jean-Noël; Bayne, Ethan; Bellekens, Xavier (2020년 10월 14일). “Utilising Deep Learning Techniques for Effective Zero-Day Attack Detection”. 《Electronics》 9 (10): 1684. doi:10.3390/electronics9101684. ISSN 2079-9292.

[16] Innab, Nisreen; Alomairy, Eman; Alsheddi, Lamya (2018년 4월). “Hybrid System Between Anomaly Based Detection System and Honeypot to Detect Zero Day Attack”. IEEE. doi:10.1109/ncg.2018.8593030.

[17] Duessel, Patrick; Gehl, Christian; Flegel, Ulrich; Dietrich, Sven; Meier, Michael (2016년 7월 20일). “Detecting zero-day attacks using context-aware anomaly detection at the application-layer”. 《International Journal of Information Security》 16 (5): 475–490. doi:10.1007/s10207-016-0344-y. ISSN 1615-5262.

[18] Aygun, R. Can; Yavuz, A. Gokhan (2017년 6월). “Network Anomaly Detection with Stochastically Improved Autoencoder Based Models”. IEEE. doi:10.1109/cscloud.2017.39.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]