KR20090039524A

KR20090039524A - 위협 관리를 위한 보안 위험도 평가 방법

Info

Publication number: KR20090039524A
Application number: KR1020070105228A
Authority: KR
Inventors: 강필용; 심원태; 김우한
Original assignee: 한국정보보호진흥원
Priority date: 2007-10-18
Filing date: 2007-10-18
Publication date: 2009-04-22
Also published as: KR100955281B1; US20090106843A1

Abstract

본 발명은 위협 관리를 위한 보안 위험도 평가 방법에 관한 것이다. 본 발명에 의하면, 보호 대상 네트워크에 대한 신규 위협 또는 취약점을 수집하고, 상기 위협 또는 취약점과 관련된 자산에 대한 공격시도 탐지규칙 및 취약점 점검규칙 적용여부 등 위협관리 환경을 점검한다. 이와 같은 점검결과에 기반하여 대응 범위 및 수준 등 보안 미비사항을 사전에 파악 및 보완하고, 이에 대한 위험도 평가를 제공함으로써 위협 관리 환경을 효과적으로 운영할 수 있다.

위협관리, 위험도, 위협관리시스템, 네트워크, 보안

Description

위협 관리를 위한 보안 위험도 평가 방법 {Security Risk Evaluation Method for Threat Management}

본 발명은 위협 관리를 위한 보안 위험도 평가 방법에 관한 것이다. 본 발명에 의하면, 보호 대상 네트워크에 대한 신규 위협 또는 취약점을 수집하고, 상기 위협 또는 취약점과 관련된 자산에 대한 공격시도 탐지규칙 및 취약점 점검규칙 적용여부 등 위협관리 환경을 점검한다. 이와 같은 점검결과에 기반하여 대응 범위 및 수준 등 보안 미비사항을 사전에 파악함으로써 위협 관리 환경을 보완하고, 우선순위 부여 등 관리의 효율을 위해 이에 대한 위험도를 평가하기 위한 방법을 제공하고자 한다.

웜, 바이러스, 해킹 등과 같은 네트워크 보안 위협 및 이와 관련된 침해 사고는 날이 갈수록 지능화 및 복잡화되고 있으며, 그 발생주기가 짧아지고 있다. 이에 대한 대응책으로서, IT 자산에 대한 위협 및 보안 정보를 수집하고 분석하여 경보 및 관리를 지원하는 통합적 보안 관리 시스템인 위협관리시스템이 주목 받고 있 다. 이러한 위협관리시스템은, 로컬 영역에서의 침입탐지, 트래픽 분석 및 상관관계 분석 등의 위협분석 외에도, 공신력 있는 외부 정보보호기관으로부터의 최신 위협 정보들을 수집 및 분석하여 보안 관리자에게 제공함으로써, 보안 관리자가 취약점을 사전에 점검하고 이에 따라 침해사고 대응체계를 구축할 수 있도록 한다.

시스코 TR(Threat Response)은 보안 위협에 대한 대응을 지원하는 시스템으로, 공격시도 탐지에 의해 발생한 침입경보에 대한 필터링을 제공함으로써, 실제 공격에 대해 보다 효과적이고 신속한 대응을 지원할 수 있도록 한다. 그러나 탐지규칙 및 취약점 점검 환경이 알려진 위협에 대비하여 얼마나 충분히 준비되어 있는지 사전에 알 수 없고, 침입경보 관련 취약점 점검결과가 누락된 경우엔 운영 효과가 많이 떨어진다.

시만텍 DeepSight TMS(Threat Management System)은 글로벌 취약점 정보 및 네트워크 현황을 참조하고, 보호 대상 네트워크에서 수집된 보안로그를 기반으로 위협관리를 지원하지만, 공격시도 탐지규칙 및 취약점 점검규칙 등 운용중인 보안체계가 적절한지 여부에 대한 체계적인 분석은 지원하지 않는다.

이처럼, 종래의 위협관리시스템을 사용할 경우, 현재 운용중인 보안체계가 중요 자산에 영향을 줄 수 있는 공격을 얼마나 탐지할 수 있는지, 운용 중인 보안 취약점 스캐너가 해당 위협을 얼마나 커버하는지 정확하게 파악하기 어렵기 때문에, 중요 자산에 대한 공격시도 탐지규칙, 취약점 점검규칙과 같은 현재의 보안관리 체계가 적절히 적용 및 운용되고 있는지 판단하는 것이 어려운 문제가 있다.

본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 안출된 것으로, 본 발명에서는, 보호 대상 네트워크에 대한 신규 위협 또는 취약점을 수집하고, 상기 위협 또는 취약점과 관련된 자산에 대한 공격시도 탐지규칙 및 취약점 점검규칙 적용여부 등 위협관리 환경을 점검하며, 상기 점검결과를 기반으로 하여 위협관리 환경을 보완하고, 그 위험도를 평가하기 위한 방법을 제공하고자 한다.

본 발명은 위협 관리를 위한 보안 위험도 평가 방법에 관한 것이다. 상기 방법은 보호 대상 네트워크의 위협관리 환경에 대한 보안 위험도 평가 방법으로서, 상기 네트워크에 대한 신규 위협 또는 취약점을 수집하여 데이터베이스에 저장하는 단계(a); 상기 신규 위협 또는 취약점과 관련된 자산이 상기 네트워크에 존재하는지 여부를 점검하는 단계(b); 상기 자산과 관련된 공격시도 탐지규칙의 적용여부를 점검하는 단계(c); 상기 자산과 관련된 취약점 점검규칙의 적용여부를 점검하는 단계(d); 상기 단계(c) 및 단계(d)의 점검결과를 기반을 기반으로 하여 누락된 취약점, 공격시도 탐지규칙 및 취약점 점검규칙을 추가하는 단계(e); 및 상기 점검결과를 기반으로 하여 보안 위험도를 산정하는 단계(f)를 포함한다.

본 발명에 의하면, 보호 대상 네트워크에 속한 중요 자산과 관련된 위협 및 취약점을 사전에 조사하고 위협관리 환경을 점검함으로써, 알려진 위협에 대한 보안 미비사항을 파악하고 이에 대응하여, 보안 수준을 향상시킬 수 있다.

이하에서는, 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다. 그러나, 본 발명이 하기의 실시예에 의하여 제한되는 것은 아니다.

도 1은 종래의 위협 관리 절차의 흐름을 도시한 순서도이다. 일반적인 위협 관리 절차는 도 1에 도시된 바와 같이, 보안 장비로부터 보안로그를 수집하고, 수집한 보안로그를 정규화하며, 위협 및 자산과 보안로그간의 상관관계를 분석한 후, 보안 위험도를 계산하여, 위험도가 높은 경우 보안 관리자에게 레포팅하는 단계로 구성된다.

일반적으로 모든 네트워크 환경에 최적인 단일 보안 시스템은 존재하지 않는다. 따라서, 다양한 보안 시스템을 적절하게 연동시켜 통합 보안 체계를 구축하는 것이 바람직하다. 이를 위해, 위협관리 오픈 프레임워크가 활용되며, 본 발명에 따른 보안 위험도 평가 방법도 후술하는 위협관리 오픈 프레임워크를 기반으로 한 것이다.

도 2는 본 발명에 따른 보안 위험도 평가 방법을 적용하기 위한 위협관리 오 픈 프레임워크를 도시한 도면이다. 본 발명의 일 실시예에 따른 위협관리 환경에는 침입탐지 시스템, 취약점 스캐너 등의 보안 도구가 설치되어 있으며, 프레임워크를 구성하는 각각의 모듈은 통신허브를 통한 에이전트간의 메시지 전달에 의해 연동된다.

도 3은 본 발명에 따른 보안 위험도 점검 절차의 흐름을 도시한 순서도이다. 우선, 새로운 보안 위협 또는 취약점을 수집하여(S10), 새로운 위협/취약점이 발견된 경우 이를 위협/취약점 데이터베이스에 저장한다. 그 후, 보호 대상 네트워크에 상기 새로운 위협/취약점과 관련된 자산이 존재하는지 여부를 점검한다(S20). 이는 상기 위협/취약점을 자산 데이터베이스에 기 저장된 자산과 매핑시킴으로써 수행된다. 그 후, 상기 자산과 관련된 공격시도 탐지규칙의 적용여부를 점검한다(S30). 즉, 위협관리 환경에 설치된 침입탐지시스템이 새로운 위협을 탐지하는지 여부를 확인하고, 그 탐지 빈도를 조사한다. 또한, 상기 자산과 관련된 취약점 점검규칙 적용여부를 점검한다(S40). 이는, 위협관리 환경에 설치된 취약점 스캐너가 새로운 취약점에 대한 취약점 스캔을 지원하는지 여부를 확인하고, 스캔 결과, 즉 새로운 취약점을 상기 자산에서 발견하였는지 여부를 조사함으로써 행해진다. 그 후, 보안 점검 결과를 기반으로 하여 누락된 취약점과 공격시도 탐지규칙 및 취약점 점검규칙을 추가함으로써 보안 대응체계를 보완하고(S50), 보안 위험도를 산정한다(S60).

본 발명의 실시예에 따르면, 각각의 자산 및 위협별로 정량적인 위험도를 계 산할 수도 있다. 이를 위해, 자산별로 탐지된 공격시도 및 취약점 점검결과와 자산가치(V), 알려진 취약점에 대한 취약 수준을 나타내는 충격도(I)를 기반으로 총체적인 위험수준을 산출한다.

상기의 자산 및 위협별 위험도는 공격도(T), 충격도(I) 및 자산가치(A)의 곱으로 표현될 수 있다.

자산 i에 대한 위험도인 R_a(i)는 수학식 1에 의해 계산될 수 있다. 이때, T(i)는 자산 i에 대한 검증된 공격시도 정도를 나타내는 것으로, 이는 보안 관리자에 의해 정의된 일정시간 동안 수집된 침입경보에 대해 자산 및 취약점 정보를 기반으로 검증된 값이다. V(i)는 자산 i가 갖는 취약점 색인 리스트이고, I(t)는 위협(또는 취약점) t에 대한 충격도이다. 따라서, ∑I(V(i))는 자산 i가 갖는 모든 취약점에 대한 충격도의 합이다. 또한, A(i)는 자산 i에 대한 가치로서, 이는 보안 관리자에 의해 부여된 값이다.

위협 t에 대한 위험도인 R_t(t)는 수학식 2에 의해 계산될 수 있다. 이때, T(i, t)는 취약점 t를 갖는 자산 i에 대한 검증된 공격시도 정도이고, A(i, t)는 취약점 t를 갖는 자산 i에 대한 가치이다.

위협 t를 이용한 공격에 대한 대응도인 P_t(t)는 수학식 3에 의해 계산될 수 있다. 이때, P_t(j, t)는 위협 t 에 대한 보안도구 유형 j의 대응여부를 0 또는 1로 나타낸 값이다. 여기서, 보안도구 유형은 침입탐지시스템, 취약점 스캐너 등으로 구분될 수 있으며, k는 보안도구 유형의 수를 나타낸다.

자산 i의 위협 및 공격에 대한 대응도인 P_a(i)는 수학식 4에 의해 계산될 수 있다. 이때, COUNT(V(i))는 자산 i가 갖는 실제 취약점 수를 나타내며, ∑P_t(V(i))는 자산 i가 갖는 취약점별 대응도의 합이다.

상기의 공격도, 충격도 및 자산가치는 모두 정성적 및 정량적 평가가 가능하며, 관리자 부여 가중치가 제공되면 운영환경에 적합하게 상기 계산식을 보정할 수 있다.

한편, 상기 실시예는, 위협관리 환경에 침입탐지시스템 및 취약점 스캐너가 설치된 경우의 보안 위험도 점검 절차를 설명한 것이다. 따라서, 다른 유형의 보안 장비가 추가로 설치된 경우, S40 단계 이후에 상기 추가적인 보안 장비에 대한 점검 단계가 포함될 수도 있다.

본 발명에 따른 보안 위험도 평가 방법에 의하면, 보안 위험도의 점검 결과를 도 4에 도시된 바와 같이 점검표에 표시함으로써, 보안 대책의 준비 여부를 손쉽게 확인할 수 있도록 한다. 도 4에 도시된 점검표에서, 음영 부분에 표시된 X는 관련 항목의 누락을 나타내며, ( )는 공격시도 탐지횟수 및 취약점 점검결과를 표시한 것으로, O는 발견, X는 미발견, -는 미점검을 나타낸다. 또한, NIDS는 네트워크 기반 침입탐지시스템을, HIDS는 호스트 기반 침입탐지시스템을 의미한다.

상기 점검표를 기반으로 보안 관리자가 수행할 수 있는 대응 업무는 크게 4가지로 구분할 수 있다. 도 4에서 ①로 표시된 경우는, 관련 위협이 없는 상태, 즉 위협 데이터베이스에 관련 위협이 존재하지 않으나, 탐지규칙 및 점검규칙과 관련 자산이 존재하는 경우이다. 이 경우, 보안 관리자는 신규 위협을 위협 데이터베이스에 추가시킬 수 있다. 또한, ②로 표시된 경우는, 보호 대상 네트워크에 관련 자산이 존재하지 않는 상태로서, 이 경우는 관련 탐지규칙 및 점검규칙을 적용할 필요가 없다. 한편, ③으로 표시된 경우는, 위협관리 환경에서 관련 공격시도 탐지규칙을 제공하지 않는 경우로서, 보안 관리자는 해당 탐지규칙을 자체적으로 생성하 거나 또는 이를 지원하는 침입탐지시스템을 추가로 설치할 수 있다. 또한, ④로 표시된 경우는, 위협관리 환경에서 관련 취약점 점검규칙을 제공하지 않는 경우로서, 보안 관리자는 해당 점검규칙을 자체적으로 생성하거나 또는 이를 지원하는 취약점 스캐너를 추가로 설치할 수 있다.

이와 같이, 보안 위험도 점검 절차 및 점검표를 통한 점검결과를 이용하면, 대상 네트워크에 속한 중요 자산과 관련된 위협 및 취약점을 사전 조사하고 위협관리 환경을 점검함으로써, 알려진 위협에 대한 보안 미비사항을 파악하고 이에 대응하여 보안 수준을 향상시킬 수 있다.

본 발명에 따른 실시예는 상술한 것으로 한정되지 않고, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위 내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.

본 발명에 의하면, 보호 대상 네트워크에 속한 중요 자산과 관련된 위협을 사전에 조사하고 관련 공격시도 탐지규칙 및 취약점 점검규칙 등 위협관리 환경을 점검함으로써, 알려진 위협에 대한 대응 범위 및 수준 등 보안 미비사항을 사전에 파악 및 보완하고, 우선순위 부여를 위한 위험도 평가를 통해 위협관리 환경을 효과적으로 운영할 수 있다.

도 1은 종래의 위협 관리 절차의 흐름을 도시한 순서도.

도 2는 본 발명에 따른 보안 위험도 평가 방법을 적용하기 위한 위협관리 오픈 프레임워크를 도시한 도면.

도 3은 본 발명에 따른 보안 위험도 점검 절차의 흐름을 도시한 순서도.

도 4는 본 발명의 일 실시예에 따른 보안 위험도 점검결과를 점검표로 나타낸 도면.

Claims

보호 대상 네트워크의 위협관리 환경에 대한 보안 위험도 평가 방법으로서,

상기 네트워크에 대한 신규 위협 또는 취약점을 수집하여 데이터베이스에 저장하는 단계(a);

상기 신규 위협 또는 취약점과 관련된 자산이 상기 네트워크에 존재하는지 여부를 점검하는 단계(b);

상기 자산과 관련된 공격시도 탐지규칙의 적용여부를 점검하는 단계(c);

상기 자산과 관련된 취약점 점검규칙의 적용여부를 점검하는 단계(d);

상기 단계(c) 및 단계(d)의 점검결과를 기반을 기반으로 하여 누락된 취약점, 공격시도 탐지규칙 및 취약점 점검규칙을 추가하는 단계(e); 및

상기 점검결과를 기반으로 하여 보안 위험도를 산정하는 단계(f)를 포함하는 것을 특징으로 하는 보안 위험도 평가 방법.
제 1 항에 있어서,

상기 단계(c)는 상기 위협관리 환경에 설치된 침입탐지시스템이 상기 신규 위협을 탐지하는지 여부 및 탐지 빈도를 조사하는 단계인 것을 특징으로 하는 보안 위험도 평가 방법.
제 1 항에 있어서,

상기 단계(d)는 상기 위협관리 환경에 설치된 취약점 스캐너가 상기 신규 위협에 대한 취약점 스캔을 지원하는지 여부 및 상기 신규 위협을 발견하였는지 여부를 조사하는 단계인 것을 특징으로 하는 보안 위험도 평가 방법.
제 1 항에 있어서,

상기 단계(b), 단계(c) 및 단계(d)의 점검결과가 점검표에 표시되는 것을 특징으로 하는 보안 위험도 평가 방법.
제 1 항에 있어서,

상기 단계(f)는 상기 네트워크에 포함된 각각의 자산 및 상기 자산과 관련된 각각의 위협별로 위험도를 계산하는 단계인 것을 특징으로 하는 보안 위험도 평가 방법.
제 5 항에 있어서,

상기 자산 및 위협별 위험도는 공격도, 충격도 및 자산가치의 곱에 의해 계산되는 것을 특징으로 하는 보안 위험도 평가 방법.