Embed Size (px)
Citation preview
사이버 블랙박스 연구동향 및 미래
2014. 6. 23
박 해 룡 팀장
차 례
I. 사이버 침해사고 동향
II. 기술개발 필요성
III. 기술 및 시장 동향
IV. 주요 추진계획
V. 기대 효과
1. 사이버 침해사고 동향 (1/2)
피해발생
정보유출
내부
취약점
확인
명령
제어
최초
침투
구분 APT Bot Malware
공격 대상
특정 조직이나 기업
온라인 뱅킹 계정 포함 개인정보
다수 대중
공격 유형
공격대상이 명확
공격대상 미정 공격대상 미정
공격 빈도
여러 차례 장기간 지속 공격
1회성 1회성
공격 무기
신종/변종 악성코드 주로사용
URL 다운로드 봇 악성코드
탐지율 10% 미만 86% 수준 99% 수준
< 사이버 공격별 특성 (출처 : TrendMicro 2012 >
Advanced
Persistent
Threat
웹/이메일 등을 통해 특정 조직내 내부사용자 PC를 악성코드에 감염시킴
감염PC를 원격제어하여 백도어/키로거 등 공격 프로그램 설치
기업내 네트워크 구조, 서버 IP 등 파악 다른 PC로 악성코드 전파
관리자 계정정보 탈취
< APT 공격 패턴 >
[최초침투] 사회공학적 기법으로 악성코드 유포 - 웹/이메일 기반으로 조직 내부 사용자 PC에 악성코드를 감염시킴
[정보수집] 장기간에 걸쳐 공격에 필요한 정보수집, 공격도구 설치
- 최초 침투 후, 조직 내부망 파악/주요 시스템 접속정보 획득/공격도구 추가 설치 등
- 몇 일 ~ 수 개월에 걸친 준비단계를 거침
※ 3.20 전산망마비 공격 : 수개월 추정, 농협 APT 공격(‘11) : 약 7개월, eBay 해킹사고 (‘10) : 약 2년
[피해발생] 기업기밀/고객정보 유출, 내부 시스템 파괴 등 수행
내부 서버 파괴, 전산마비, 고객 정보 유출 등
3
1. 사이버 침해사고 동향 (2/2)
4
기존 APT 공격 사례 분석
- (최초침투) 웹/이메일을 통해 내부 사용자 PC가 악성코드에 감염됨(Drive-by-Download, Watering-Hole)
- (정보수집) 감염PC를 통한 장기간 정보 수집 후 대규모 피해발생(수일 ~ 수개월 소요)
3.20 사이버테러 (`13.3) 농협 해킹 (`11.4) SK컴즈 정보유출 (`12.7) 넥슨 정보유출 (`11.11)
- 내부 관리자 PC 감염 - 웹/이메일을 통한 감염(추정)
- 협력직원 관리자 PC 감염 - 웹하드 홈페이지의 업데이트 프로그램으로 위장한 악성코드
- SK컴즈 직원PC 62대 감염 - 알집 프로그램 업데이트서버 해킹을 통해 악성코드 유입
- 넥슨 직원PC 5대 감염 - 웹/이메일을 통한 감염(추정)
- 백신업데이트서버 접속 취약점 파악을 통해 업데이트 서버에 악성코드 은닉
- 기업내 타 사용자 PC에 시스템 파괴용 악성코드 전파
- 공격준비에 수개월 소요 추정
- 감염PC에 백도어, 키로거, 공격프로그램 설치
- 농협 전산서버 IP 및 관리자 비밀번호 등 정보 획득
- 공격준비에 총 7개월 소요
- 중국 C&C에서 사내PC 원격조정 (IDS에 접속로그 있었으나 APT로 판단못함)
- DB서버 관리자의 비밀번호 등 정보 획득 등 총 7일 소요
- 감염PC내 키로거, 정보유출 프로그램 설치
- 내부DB서버에 보안을 우회하여 접속하는 정보 획득
- 직원PC를 경유, DB서버 접속 - 공격준비에 총 10일 소요
- 악성코드를 다운로드한 내부 사용자PC 파괴 및 전산망 마비
- 농협 내부 전산서버 모든파일 삭제 (587대 중 273대 파괴)
- 내부 VPN으로 DB서버에 접속하여 3,500만명 회원정보 유출
- 1,320만명의 개인정보 유출
최초침투
명령제어
내부취약점확인
정보유출
정 보 수 집
피해발생
[기존 APT 공격 사례 분석 결과]
5
2. 기술개발 필요성 (1/6) – 네트워크 증거 수집 및 보존
공격 기법이 점차 지능화되어 신속한 원인분석/대응에 어려움 존재
- APT 공격 등 지능적인 침해공격의 원인분석에 수개월 이상 소요
- 최근 공격 대부분이 기존 보안장비로 탐지되지 않아 원인 규명이 어려움
네트워크 트래픽 장기간 보존/무결성 확보를 위한 사이버 블랙박스 기술 필요
- 공격이 감행된 네트워크 트래픽 분석을 지원할 수 있는 증거 보존 기술 개발 필요
< 증거를 위한 공격 데이터 보존기술 필요 > < 네트워크 트래픽 수집범위 >
6
2. 기술개발 필요성 (2/6) – 사이버 침해사고 공격 원인 추적
네트워크 트래픽 휘발성으로 인해 신속한 원인 파악 및 사후 대응 한계
- 네트워크 상에서 장기 공격 정보를 추출/보관/분석이 어려움
- 현재, 침해사고 공격 분석은 로그 분석 위주로 알려진 공격의 대응만 가능
공격 발생 이후에 네트워크 행위 정보를 추출·분석 및 차단 하는 기술 필요
- 네트워크 트래픽 정보를 통한 악성코드 유입/악성행위 시도 분석 기술
- 중앙 사이버 보안 분석 센터와 연동하여 신/변종 악성코드의 유입 차단 기술
사후, 공격간 수행된 네트워크 행위 분석 불가능
분석을 위한 데이터가 존재하지 않음
분석의 대상이 시스템로그 및 악성코드에 집중
네트워크 행위 정보는?
packet packet packet packet
packet capture
packet
packet
네트워크
데이터 저장
< 네트워크 보안기술의 한계점 및 개선 방안 >
7
2. 기술개발 필요성 (3/6) – 대규모/지능적인 악성코드 분석
악성코드의 급격한 증가 및 지능화
- 13년 월평균 600만개 신종 악성코드 발생, 13년 4분기 3배 이상 급증(아이티투데이/ITWorld, 2014)
- 기존 자동분석 기법을 우회하는 지능적인 악성코드 지속 출현
대규모 악성코드 자동 분석, 지능형 악성코드 대응 기술 필요
- 클라우드 환경 기반 대규모 악성코드를 동시분석/관리할 수 있는 기술 필요
- 자동분석 회피형 악성코드(Sandbox 우회형) 분석 기술 필요
- 악성코드 간 유사도 분석 및 변종 그룹 탐지 기술 필요
※ 90% 이상의 악성코드는 기존 악성코드의 변종임
< VMware 툴을 탐지하는 악성코드 (FireEye, 2013) > < 신종 악성코드 증가 추이 (AV-TEST, 2014) >
2013 2012 2011 2010 2009 2008 2007 2006 2005
78,750,000
67,500,000
56,250,000
45,000,000
33,750,000
22,500,000
11,250,000
90,000,000
Vmware virtual machine 서비스 체크하는
RegOpenKeyExA() 함수
2. 기술개발 필요성 (4/6) – 모바일 침해사고 분석/대응체계
8
침해사고 공격 대상이 PC에서 모바일로 급격하게 변화하고 있음
- 모바일 침해공격 건수는 매 분기별 큰 폭으로 증가
- 백신업체는 악성앱 중심의 대응을 하고 있으나, 종합적인 대응체계 미비
PC 수준과 유사한 모바일 악성코드 분석/프로파일링 기술 개발 필요
- 모바일 악성앱 뿐 아니라, Native 코드에 대한 대응 기술 필요
※ PC 악성코드와 유사한 Oldboot 탐지(안드로이드 최초의 부트킷,2014.01.17), 커널 레벨 공격 및 삭제 방지
- PC 수준과 유사한 모바일 변종 악성코드 분석, 공격경로 프로파일링 기술 필요
< 2013년 모바일 악성코드 증가추이 (Kaspersky lab., 2014) > < Oldboot 설치 및 동작 화면 (DR Web, 2014) >
2. 기술개발 필요성 (5/6) – 침해사고 프로파일링
9 < APT 공격 연관성 분석 (FireEye, 2013) >
수많은 침해사고 간의 관계, 의미분석의 어려움
- 11개 APT 공격 분석 결과 동일한 공격자의 소행으로 발견됨(FireEye, 2013)
- 전년도 대비 고위험 DDoS의 위험도 28% 증가(Radware, 2014)
- 글로벌 보안업체들은 Intelligence Service라는 개념으로 공격 트렌드 분석, 예측 등의 분석
침해사고를 종합적으로 분석하여 신규 위협의 효과적 대응 필요
- 악성코드 및 공격경로 간의 정보에 기반한 침해사고 프로파일링 기술
- 침해사고 간 유사도 분석을 통한 동일 공격자 프로파일링 기술
- 시나리오 분석을 통한 침해사고 단계 및 향후 공격 예측
< 신규악성코드 (McAfee, 2014) >
5 6 7 8 9 10
9 5
3 2 0 0
15 11
5 2 1 0
23
18 15
8 4
2
2011 2012 2013
< 연도별 DDoS 위험도 분포 (Radware, 2014) >
2. 기술개발 필요성 (6/6) – 정보 공유체계
사이버 침해사고 정보 공유 미흡
- 각 기관/업체 별 분석 결과의 종합적 분석에 대한 한계 존재
- 분석정보 공유체계는 있으나, 실질적인 활용이 되지 않고 있음
사이버 블랙박스, 외부기관 공조를 통한 대규모 정보수집/공유 추진 필요
- 정보공유의 성공요인은 양질의 분석정보 확보가 관건
- 추후, 블랙박스/KRCert 등 공조 추진 예정
- 사이버 블랙박스는 네트워크 단에서 대규모 악성코드 수집 가능
< 침해사고 정보 공유 미흡 사례 (ZDNet, 2013) > < 정보 공유 필요성 (FPIS 2013, 2013) > 10
국내 주요 기술 및 제품 동향
- 네트워크 침입 탐지 및 차단 솔루션 중심의 제품 개발에 초점
- 침해사고 사후 분석을 위한 전문화된 증거 자료의 획득 및 보존 기능 미제공
※ 침해 사고의 발생과정, 악성코드 유포과정을 재현(Replay) 하는 기능 없음
국외 주요 기술 및 제품 동향
- 미국 중심의 네트워크 증거 수집 도구(Network Forensics Analysis Tools, NFAT) 개발 / 상용화 추진 중
- 특정 네트워크 트래픽 정보 저장/처리, 세션단위 트래픽 분석 제품 출시
- 트래픽 분석을 통한 비정상 트래픽을 분류 및 Raw Data 정보 저장
3. 기술 및 시장 동향 (1/2) - 네트워크 증거 보존
< 네트워크 증거수집 분야의 기술 동향 (Gartner, 2013) > 11 < EMC社 의 네트워크 침입 탐지 시스템 예시 (EMC, 2013) >
12
국내 주요 기술 및 제품 동향
- 침해사고 유입단계에 대한 정보 분석, 탐지 중심의 제품 개발에 초점
※ 장기간에 걸친 분석/탐지 기술은 필요성이 대두되고 있음
- 단순 침해사고 분석 이외 침해사고 프로파일링 기반 지능형 보안관리 기술 필요성 대두
국외 주요 기술 및 제품 동향
- 보안 정보 이벤트 관리 시스템(SIEM) 위주의 로그 관리 제품 출시
- 글로벌 백신기업 중심의 클라우드 및 빅데이터 분석 기술 기반 신종 악성코드 탐지기술 중점 추진
관 련 제 품 특 징
국내 안철수 연구소,
ASD(Ahnlab Smart Defense)
- 파일에 대한 정보를 대규모의 서버에서 관리/처리
- 모든 악성코드 정보를 Ahnlab Smart Defense Center에서 관리
국외
EMC社,
RSA NetWitness
- 네트워크 트래픽 수집, 저장하여 네트워크 포렌직 수행
- 실시간으로 수집/저장 트래픽 재구성하여 분석
시만텍社,
SONAR(Symantec Online Network for
Advanced Response)
- 알려지지 않은 보안 위험 요소 사전 탐지
- 응용 프로그램의 동작을 기반, 새로운 위협 요소 식별
트랜드마이크로社,
SPN(Smart Protection Network)
- 방대한 분량의 데이터 수집 (매일 6TByte 이상의 전세계 위협 데이터 수집)
- 빅데이터 분석을 통한 위협 탐지
3. 기술 및 시장 동향 (2/2) - 침해사고 탐지/대응
4. 주요 연구 (1/7) – 개 요
13
공격유형 지능화 및 위협 심화
APT 등 지능화된 사이버 위협/침해사고에 대한 기존 보안장비 대응 불가
•기가급 네트워크 원본 트래픽 수집/저장 및
침해사고 증거보존/관리
•침해공격 자동탐지/원인분석/공격재현
•침해사고 분석정보제공 및 실시간 차단/조치
사이버 블랙박스 기술 개발
•대규모 침해사고 정보 수집/저장/관리
•대량의 유무선 공격정보 동시분석 및 탐지
•공격 행위/침투경로 분석 및 유사공격/C&C/
감염PC 탐지
대량의 침해사고 수집/분석 기술 개발
•대규모 침해사고 연관분석 및 공격자 추적/
공격예측
•상황분석/시각화 기반 보안관제 Intelligence
•침해사고 정보공유 및 신속한 대응기반 마련
침해사고 보안관제 Intelligence 및
정보공유
사이버 공격 증거수집 및 공격원인 분석/공격 재현
대규모 사이버 침해사고 정보 수집/분석
보안관제 Intelligence, 침해대응기관간 정보공유
+ +
사이버 공격의 증거보존/원인분석을 위한 사이버 블랙박스 및 대규모 침해사고 분석을 통한 보안관제 Intelligence/정보공유 기술 개발
침해사고 공격원인 분석 수단 부재
침해사고 인지 및 증거보존 어려움
대량의 침해사고 수집/분석 체계부재
비효율적 보안관제 및 전문성 저하
신속한 정보공유/대응체계 미흡
4. 주요 연구 (2/7) – 개념적 구성도
14
침해사고 원인분석/ 공격재현 시스템
사이버 침해사고 증거 수집/보존/관리 시스템
대량의 침해사고 정보 수집/분석/관리 시스템
대규모 침해사고 연관분석, 보안관제 Intelligence/정보공유 시스템
사이버 블랙박스
통합보안 상황분석 시스템
침해공격 의심 파일/URL/IP, 공격관련 네트워크 트래픽 정보, 침해사고 원인분석 결과 등
[ 사이버 침해사고 정보/원인분석 결과 제공 ] 악성으로 탐지된 파일/URL/IP, 침해공격 행위/경로/상황분석 결과, 신규 침해사고 분석정보 공유 등
[ 대량의 침해사고 정보 분석결과 제공/정보공유 ]
기가급 네트워크 원본 트래픽 수집/분석 기술
침해사고 증거보존/관리 기술
사이버 침해사고 원인분석 기술
사이버 침해사고 공격재현 기술
대량의 침해사고 정보 수집/분석/탐지 기술
대규모 침해사고 상황분석/정보공유 기술
대규모 침해사고 정보 통합관리 기술
침해대응기관
대규모 침해사고 연관분석 및공격자 추적/공격예측 기술
네트워크 트래픽 수집, 관리 및 무결성 보장
Semantic 기반 침해공격 원인 분석 및 공격 재현
15
4. 주요 연구 (3/7) – 주요 추진내용
대량의 유무선 사이버 침해사고에 대한 정보 수집 및 분석
16
4. 주요 연구 (4/7) – 주요 추진내용
유포경로 중 핵심 요소 심층분석
※ ▽:경유지, ○:공격지, ☆:유포지, △:악성코드 < 13.06.07 ~ 06.27, 악성코드 유포사건 103건 >
17
연관분석
4. 주요 연구 (5/7) – 공격경로 프로파일링
침해사고 공격경로 프로파일링
18
감염대상악용취약성
프로세스명
코드유사도
백신진단명
기타 정밀 분석 정보
프로세스명
유출서버Domain/IP
경유서버Domain/IP
침해서버악용취약성
감염대상악용취약성
프로세스명
코드유사도
백신진단명
기타 정밀 분석 정보
프로세스명
유출서버Domain/IP
경유서버Domain/IP
침해서버악용취약성
감염대상악용취약성
프로세스명
코드유사도
백신진단명
기타 정밀 분석 정보
프로세스명
유출서버Domain/IP
경유서버Domain/IP
침해서버악용취약성
악성 바이너리 A정보 악성 바이너리 B정보 악성 바이너리 C정보
악성코드 간 네트워크 활동 상황분석
4. 주요 연구 (6/7) – 침해유형 프로파일링
침해사고 침해유형 프로파일링
4. 주요 연구 (7/7) – 침해사고 원인분석/정보공유
공격 분석 정보 공유 기술
분 류 공 유 정 보
공격징후탐지 공격유형, 탐지패턴
공격범위, 공격자 IP
악성코드샘플
유입경로, 탐지시간
악성코드 유형 및 API/행위 분석 정보
악성코드 바이너리
변종 및 백신진단정보
공격URL/IP
유포/경유지/Exploit URL, 탐지시간
공격코드 및 공격도구
C&C IP 및 공격URL
좀비PC IP
공격경로, 공격유형, 탐지시간
좀비PC IP
악성코드, 유출정보
사이버공격 발생현황
공격유형, 발생일시
공격자정보
탐지건수 및 피해정보
공격 분석 정보 공유 시스템
백신업체
대응기관
이통사/ISP
포털/SNS 업체
대량의 침해사고 연관분석을 통한 보안관제 Intelligence 및 정보 공유
- 다수의 침해사고 연관분석을 통한 동일 공격자에 의한 침해공격 Clustering 기술
- 대량의 침해사고 트렌드 분석을 통한 침해공격 예측 기술
- 사이버 블랙박스 및 다수의 침해기관과의 분석정보 공유 기술
19
5. 기대 효과 (1/3)
20
[해외 보안 관리 시장 주요 벤더] ※출처: Security and Vulnerability Management Forecast (IDC, 2013)
[보안 관리 시장의 확대] ※근거 : 2013 국내 정보보안산업 실태조사 (KISIA, 2013)
2012 2017
구분 2014
(과제시작연도) 2015
(과제시작연도+1) 2016
(과제종료연도) 2017
(과제종료연도+1)
사이버 블랙박스, 통합보안상황분석 시스템
(End Product)
① 매출액 1,313 1,369 1,426 1,483
② 생산유발효과 2,473 2,578 2,685 2,792
③ 고용유발효과 (명/10억)
943 986 1,030 1,066
[경제적 파급 효과 (추정)]
① 매출액: 국내 보안관리 시장 매출액을 근거로 산정 (출처: KISIA, 국내 정보보안산업 실태조사, 2013)
② 생산유발효과 : 매출액 x 생산유발계수 (1.883)적용 (출처: 한국은행, 2010 산업연관표)
③ 고용유발효과 : 매출액 x 고용유발계수 (7.2)적용 (출처: 한국은행, 2010 산업연관표)
[국내 통합 보안관리 솔루션 수요 증가]
벤더 매출액(백만$)
시장점유율 2011 2012
IBM 424.4 477.8 11.4%
HP 360.6 393.3 9.4%
EMC 175.7 216.6 5.2%
Symantec 122.3 129.4 3.1%
McAfee 82.6 127.0 3.0%
NetIQ 158.4 120.6 2.9%
사이버 침해사고 탐지/분석 원천기술 확보를 통한 보안 시장 활성화 및 수출 증대
- (국내 보안관리 시장) 17년까지 약 1,483억원 (평균 4.7% 성장)으로, 신규 밴더들의 시장진입 용이 (KISIA, 2013)
- (해외 보안관리 시장) 관련 시장은 매년 증가세에 있어, 해외 시장 진출을 위한 기회 존재 (KISIA, 2013)
사이트 적용 시험(16년 1Q)
- 고객의 NEED 대응
- 개발제품의 안정성 검증
APT 대응 솔루션 연동 - 사이버표적공격 인지/추적 시스템
과의 연동/통합(APT 탐지율 증가)
- 상용 보안관제 솔루션과 연동
단위 기술별 기술이전 - 3차년도 부터 단위기술 이전
- 기업체 브랜드로 통합된 제품 판매
침해사고 증거보존 - 특징 : 아카이빙 기반의 고속검색
- 수요처 : 금융, 공공, 대기업
증거재현 상용화 시스템 - 특징 : 파일 행위검사 영향도 검사
- 수요처 : CERT 조직, CVM 개발업
체, 사후분석 업체(금융 등)
네트워크 악성행위분석 - 특징 : 기존 보안장비 연동차단
- 수요처 : 소규모 기업, 학교
침해사고증거보존 및 사이버 블랙박스 시스템
사이버 블랙박스 요소기술 개발/보급을 통한 사이버 보안 솔루션 상용화
- 사이버블랙박스 국내시장 창출 및 해외 IPR 시장 진출 추진
- 산업체의 DLP 제품(Privacy)과 통합 및 고도화, 국내 시장 선도 및 해외 시장 진출
- 산업체의 IPS/UTM 등 네트워크 보안장비와의 통합 및 고도화, 해외 시장 진출
사업화 기술 기술별 주요 수요처 사업화 노력
21
5. 기대 효과 (2/3)
PC/모바일 사이버 침해사고 프로파일링 시장 활성화 및 정보공유 체계 구축
- 다수의 요소기술 보안업체 기술이전 및 사이버 침해사고 분석 정보 공유체계 구축
- 사이버 침해사고 프로파일링 기술 시장 개척
- 모바일 악성행위 탐지/행위분석 기술 국산화 및 해외 시장 진출
사이버 침해사고 맞춤 백신 제작
공유 정보 기반 침해사고 심화 분석
백신 등 보안 업체
백신 및 악성코드 탐지 제품
사이버센터 등 공공기관
Cert
포털 업체 등
보안관제, 컨설팅 서비스
일반 회사, 공공기관 등
기업/기관 보안
2차 사이버 침해사고 예방
공격자 그룹 추적 및 조사
악성URL/악성코드 조치
악성코드 관련 검색 차단 및 링크 삭제
내부 감염 PC 조치 및 방화벽 보안 설정 강화
추가 피해사례 조사 및 점검
침해사고 프로파일링 및 분석 정보 공유
22
5. 기대 효과 (3/3)
-23
감사합니다.
