KR20220086402A - 클라우드 기반 통합 보안서비스 제공 시스템 - Google Patents

Abstract

가상화 기반 메일 전달 에이전트(MTA: Mail Transfer Agent) 엔진과 클라우드 기반 지능형지속위협(APT) 및 랜섬웨어 대응을 통합적으로 제공할 수 있는 시스템을 제공한다. 본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 사용대상 고객에서 보안기능 및 관리 서비스를 제공하기 위해 서비스 종합 플랫폼인 Register Web Server, 정책 설정/전달 및 Agent 모니터링을 위한 Service Web Server, 이메일 수집을 위한 MTA 서비스, 이메일 첨부파일 추출 및 재조합을 위한 MTA Analyzer Service, 그리고 사용자의 PC에 설치되어 보안정책에 의한 대응행동을 수행하는 Agent로 구성된다.

Description

클라우드 기반 통합 보안서비스 제공 시스템{Cloud-based Integrated Security Service Providing System}

본 발명은 데이터 보안 시스템에 관한 것으로서, 보다 상세하게는, 데이터처리 장치에 대한 네트웍을 통한 공격을 탐지하고 대응하기에 적합한 보안 시스템에 관한 것이다.

사용자가 비용 부담을 최소화하면서 지능형지속위협(APT: Advanced Persistent Threat) 및 랜섬웨어에 대응할 수 있는 시스템을 쉽게 구축할 수 있도록, 기존의 구축형(On-premise) 방식에서 벗어난 클라우드 기반 보안서비스와 구독형 과금 서비스가 도입되고 있다.

현재 가장 널리 사용되고 있는 보안솔루션인 백신은 알려진 시그니쳐 즉, 패턴으로 악성코드를 탐지하기 때문에 신·변종의 고도화된 악성코드의 대응에 대해 매우 제한적이며 시그니쳐가 없는 경우 탐지가 불가능하여 제로데이 공격에 노출되어 있다. 여기서, "제로데이 공격(Zero-Day Attack)"이란 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 하지만 악성코드의 행위를 분석하여 악성코드 유무를 판단하는 행위기반 APT 대응 기술은 시그니쳐 방식이 아닌 파일의 행위기반으로 악성코드를 탐지하기 때문에 신·변종 악성코드 탐지가 가능하다.

한편, 상용화되어 있는 기존의 지능형 위협 대응 제품들은 행위분석을 위한 가상머신을 탑재한 구축형 장비로서, 주로 규모가 큰 기관이나 기업을 대상으로 하여 단가가 높기 때문에, 일반 중소기업이나 개인은 사용하기가 어려울 수 있다. 기업이 자체적으로 보안만을 위해 고가의 장비들을 구입해 관련 시스템을 구축하는 것은 비용·운영 등에 있어 부담이 클 수 있다. 만약 클라우드를 활용해 외부에 잘 갖춰진 보안 시스템을 빌려 쓸 수 있다면 비용을 절감하는 동시에 높은 수준의 정보보호까지 꾀할 수 있을 것이다.

따라서, 보안 솔루션 공급자들은 안정적 수익 모델 확보, 고객 대상 서비스 개선, 마케팅 조직의 판매촉진 기회 부여, 기업가치 확대, 신규 고객 유치를 위한 마케팅 부여, 고객의 요구에 맞는 서비스 제공을 통한고객 이탈 방지 등 다양한 요구를 충족시켜야 한다. 이처럼 다양한 시장 요구를 감안하여 임대형 솔루션도 점차 저변이 확대되고 있다.

그러므로, 규모가 작은 중소규모의 기업/기관이 쉽게 이용할 수 있고, 변종 랜섬웨어 및 악성코드에 대응할 수 있으며, 요금 부담이 적도록 온프레미스(On-premiss) 방식이 아닌 임대형으로 운영될 수 있고, 엔드포인트에서 발생하는 네트워크 패킷을 클라우드 타입의 보안서버로 보내 랜섬웨어 악성코드 공격을 탐지/분석하고 기업 및 기관의 데이터를 안전하게 보호하는 방법이 요구된다고 할 수 있다.

다른 한편으로, 최근의 보안위협 사고의 80% 정도가 이메일을 통해 이루어지고 있는 것으로 알려지고 있다. 구체적으로, 시만텍의 인터넷 보안위협 보고서에 따르면, 2019년애 향해진 이메일을 통한 표적공격이 전년대비 91% 증가했으며 2011년에 비해 6배나 증가하였다. 이에 따라 많은 기관 및 기업은 이메일 보안 솔루션을 도입해 운영하고 있는 것으로 알려져있다. 하지만 현재 대부분의 이메일 보안 솔루션은 스팸차단 및 바이러스 백신 엔진을 탑재해 패턴 매칭에 의한 바이러스의 탐지·차단 기능만 제공한다. 즉, 기존의 이메일 보안 솔루션은 단순한 스팸메일 차단과 백신으로 바이러스 탐지 정도에 지나지 않는다. 그런데 최근 피싱이나 파밍, APT 공격의 대부분이 이메일을 통해 악성코드를 감염시키는 방법으로 확대되면서 이에 대한 방어기술이 크게 요구되고 있는 실정이다.

그밖에도, 정보통신 인프라가 지속적으로 확대됨에 따라 정보통산 인프라를 이용한 다양한 형태의 보안위협이 급증하고 있으며, 특히 최근 악성코드를 이용한 기업 내 주요 정보 유출 사고 및 내부사용자들의 비업무 사이트 접근으로 인한 업무 집중도 약화 및 이로 인한 정보 유출 사고 방지를 위한 대책이 절실히 요구되고 있다. 예컨대, 신종악성코드를 이용한 보안위협, 악성코드 유포사이트를 통한 악성코드 유포, 등 새로운 형태의 보안 위협 요소가 급증하고 있으며 최근의 공격 형태는 특정 공격 대상 지정 후 지속적인 공격을 시도 하고 있다. 공격자는 다양한 SNS 서비스를 통해 공격 대상을 파악하거나 SNS 자체를 공격 경로로 이용하고 있으며. 특히 비실행(Non-PE) 파일인 문서 파일의 취약점을 이용한 공격이 증가하고 있다.

본 발명은 가상화 기반 메일 전달 에이전트(MTA: Mail Transfer Agent) 엔진과 클라우드 기반 지능형지속위협(APT) 및 랜섬웨어 대응을 통합적으로 제공할 수 있는 시스템을 제공한다.

본 발명은 MTA엔진과 신변종 악성코드 분석솔루션이 통합된 시스템을 클라우드 기반 제품으로 개발하여 기존의 클라우드 기반 APT 및 랜섬웨어 대응 시스템과 하나의 서비스로 제공하며 클라우드 기반 APT대응 제품에 이메일을 통한 위협대응을 추가하여 보안기능을 고도화한다.

또한, 본 발명은 이메일과 APT대응을 위해 각각의 비용을 지불하는 것을 통합하여 비용을 낮추며 통합관리의 편의성을 제공한다.

본 발명에 의한 보안서비스 제공 시스템은 사용대상 고객에서 보안기능 및 관리 서비스를 제공하기 위해 서비스 종합 플랫폼인 Register Web Server, 정책 설정/전달 및 Agent 모니터링을 위한 Service Web Server, 이메일 수집을 위한 MTA 서비스, 이메일 첨부파일 추출 및 재조합을 위한 MTA Analyzer Service, 그리고 사용자의 PC에 설치되어 보안정책에 의한 대응행동을 수행하는 Agent를 포함한다.

사용자PC에 설치되는 Agent는 수집된 정보를 클라우드 시스템으로 전송하여 클라우드 시스템에서 분석되며 분석된 정보를 기반으로 악성유무를 판단하여 보안정책을 Agent로 전송한다. 이처럼 정보수집, 정보분석, 보안정책 전송은 실시간으로 이루어진다. 또한, 서비스 사용자의 분석정보는 사용자간에 실시간으로 공유되어 보안정책이 전송된다.

클라우드 기반 지능형지속위협(APT) 대응 서비스는 서비스포털을 통해 사용자에게 Agent를 배포하며 클라우드 시스템에서 Agent 데이터를 수집 및 수집된 정보를 분석하게 된다. 클라우드 시스템에서 수집된 정보는 유해 정보(악성코드, 악성파일 등)를 수집하여 가상환경 하에서 시뮬레이션을 통하여 악성으로 판단되면, 이를 사용자 정책에 따라 탐지, 차단, 치료 하게 된다. 또한 이러한 플랫폼을 기반으로 한 다양한 맞춤형 보안서비스를 제공하는 프로세스로 처리된다.

본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 기존의 네트워크 보안기술과 백신 등 패턴 방식을 사용하는 관련제품의 한계로 인해 알려지지 않은 신종 악성코드에 대한 탐지의 어려움 극복을 위해 당사의 특허 기술인 행위 기반 악성코드 탐지기술 기반으로 APT공격을 일으키는 악성코드를 탐지/차단함으로써 악성행위로 인해 발생 가능한 피해를 미연에 방지하기 위함이며 악성행위를 발생시키는 악성코드를 추출 치료함으로써 알려지지 않은 악성코드에 대응 가능한 클라우드 기반 정보보안 서비스를 고도화한다.

본 발명에 따른 클라우드 기반 이메일 위협대응 및 지능형지속위협(APT) 대응 서비스는 클라우드 환경에 보안시스템을 구축하여 중소기업 및 개인사용자에게 손쉽게 솔루션을 배포하여 저렴하고 효율적으로 보안을 고도화할 수 있고 그에 따라 지능형 위협에 대한 철저한 대비를 할 수 있게 해준다.

클라우드 서버에서 실시간으로 생성된 TI(위협정보)정보는 공공기관, 통신사, 대기업에 DB형태로 제공될 수도 있다.

도 1은 본 발명의 일 실시예에 따른 보안서비스 제공 시스템의 개략도이다.
도 2는 본 발명의 일 실시예에 따른 보안서비스 제공 시스템의 블록도이다.
도 3은 도 2에 도시된 클라우드 분석 시스템의 상세 블록도이다.
도 4는 본 발명의 일 실시예에 따른 서비스 구성도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 기반 APT 대응 서비스 네트워크 및 시스템 구성을 보여주는 도면이다.
도 6은 본 발명의 일 실시예에 따른 Cloud 기반 보안 에이전트 서비스의 신청, 사용, 관리 단계의 서비스 절차를 보여주는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 클라우드 기반 Mail APT엔진의 블록도이다.
도 8은 MTA엔진의 클라우드 플랫폼으로의 마이그레이션 및 기능 업그레이드 항목을 보여주는 도면이다.
도 9는 MTA 서버에 의한 이메일 필터링 동작을 보여주는 도면이다.
도 10은 MTA 서버가 수집된 메일에서 파일/URL/IP와 특정 구문를 추출하여 조회하는 예를 보여주는 도면이다.
도 11은 클라우드 플랫폼에서 기존 시스템과 MTA를 통합하기 위한 API 변경에 대한 개념을 설명하기 위한 도면이다.
도 12는 MTA 서버에서 추출된 데이터가 분석을 위해 APT 시스템에 전달되는 것을 보여주는 도면이다.
도 13은 MTA 서버에서 APT 시스템으로 JSON 포맷으로 전달되는 정보의 일 예를 정리한 표이다.
도 14는 APT 시스템에서 분석 결과가 MTA 서버에 전달되는 것을 보여주는 도면이다.
도 15은 APT 시스템에서 MTA 서버으로 JSON 포맷으로 전달되는 정보의 일 예를 정리한 표이다.
도 16은 본 발명의 일 실시예에 따른 보안서비스 제공 시스템에서 정상 이메일과 악성 이메일의 처리 과정을 대비하여 보여주는 도면이다.
도 17은 엔드포인트에서의 IOC 생성 과정과 침해위협 정보 수집 동작을 보여주는 도면이다.
도 18은 IOC 모듈의 설계도이다.
도 19 및 도 20은 IOC 모듈 중 탐지 부분을 구현하기 위한 소스 코드이다.
도 21은 IOC기반 악성코드 분석기능을 위한 인터페이스의 구성 내역을 정리한 표이다.
도 22는 IOC 로그 정보의 일 예를 보여주는 도면이다.
도 23은 IOC 로그 정보의 일 예를 보여주는 도면이다.
도 24는 스크립트 기반 분석의 일 예를 보여주는 도면이다.
도 25는 커맨드 라인을 통한 악성 행위 탐지의 일 예를 보여주는 도면이다.
도 26은 네트워크 모니터링 결과를 시각화하여 표출하는 화면의 일 예를 보여주는 도면이다.
도 27은 클라우드 기반 EDR 순간백업 기능에 의해 데이터를 백업하는 과정을 보여주는 도면이고, 도 28은 백업된 파일을 복원하는 과정을 보여주는 도면이다.
도 29는 그레이리스트 기능 수행 프로세스의 일 예를 보여주는 흐름도이다.
도 30은 사용자 증가에 따른 서비스 속도 유지 프로세스를 보여주는 도면이다.
도 31은 물리적 리소스 추가 증설 방식을 보여주는 도면이다.
도 32는 본 발명에 의한 보안서비스 제공 시스템에서 악성 메일을 탐지하기 위한 내부 프로세스를 보여주는 도면이다.
도 33은 메일의 악성 여부에 따른 처리 프로세스를 구체적으로 보여주는 도면이다.
도 34는 본 발명의 일 실시예에 따른 보안서비스 제공 시스템의 내부 구성과 그 네트웍 환경을 보여주는 도면이다.
도 35는 MTA 서버와 행위기반 APT 대응 솔루션이 연동된 본 발명의 보안서비스 제공 시스템의 대략적인 블록도이다.
도 36 내지 도 38은 MTA 연동 설정 화면, MTA 발신 대기 목록 조회 화면, APT 분석결과 조회 화면을 각각 보여주는 화면 스크린샷이다.
도 39는 SSL 가시성 확보 솔루션, MTA 서버, APT 솔루션이 통합된 소프트웨어 제품의 내부 구성과 인터페이스를 보여주는 블록도이다.
도 40은 MTA를 통해 수집한 E-Mail을 분석한 결과를 표시해주는 통합 UI를 보여준다.
도 41은 MTA 기본 정책을 설정하기 위한 UI를 보여준다.
도 42a 및 도 42b는 트래픽 수집량에 대한 자체 시험 방법을 보여주는 표이다.
도 43a 내지 43c는 악성코드 유포지 차단 속도에 대한 시험 방법을 보여주는 표이다.
도 44는 외부 공인시험기관에서의 시험에 사용된 시험 도구를 정리한 표이다.
도 45는 이메일 정보 수집률에 대한 시험 방법을 정리한 표이다.
도 46은 이메일 첨부파일 수집률에 대한 시험 방법을 정리한 표이다.
도 47은 악성코드 탐지율에 대한 시험 방법을 정리한 표이다.
도 48은 정상파일 오탐율에 대한 시험 방법을 정리한 표이다.
도 49a 및 49b는 악성코드 유포지 탐지율에 대한 시험 방법을 정리한 표이다.
도 50은 외부 공인시험기관에서의 시험 결과를 정리한 표이다.
도 51은 자체 시험과 외부 공인시험기관에서의 전체 시험에 대한 결과를 정리한 표이다.
도 52는 종래의 시그니처 기반 악성코드 탐지 방법과 본 발명에 의한 악성코드 탐지 방법의 기능 상의 차이점을 보여주는 도면이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.

도 1은 본 발명의 일 실시예에 따른 보안서비스 제공 시스템의 개략도이다. 도 2는 본 발명의 일 실시예에 따른 보안서비스 제공 시스템의 블록도이다. 도 3은 도 2에 도시된 클라우드 분석 시스템의 상세 블록도이다. 도 4는 본 발명의 일 실시예에 따른 서비스 구성도이다.

종래에는 각각 사이트별로 어플라이언스 형태의 관리 서버를 두어 보안 에이전트를 관리하고 서비스 하던 것에 비하여, 본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 Cloud 기반으로 APT솔루션과 MTA 솔루션을 연계하여 구축되어, 보안 에이전트를 관리하고 서비스를 제공한다.

Agent는 Service Web Server를 통해 받은 악성URL패턴을 이용하여 Agent가 설치된 PC에서 악성URL에 접속하는 행위를 차단하고 악성File패턴을 이용하여 악성파일을 실행하지 못하도록 차단하고 Unknown파일이 실행 될 경우에는 실행을 보류하고 Service Web Server로 파일을 업로드하여 분석요청한다. 분석이 진행중인 동안 실행은 보류되고 분석결과를 Service Web Server로부터 다운로드 받아 결과가 악성일 경우 차단시키고 정상일 경우 보류를 취소하여 실행시키는 역할을 한다.

Service Web Server는 Agent로부터 파일을 받아 Analyzer로 분석을 요청하는 역할과 각각 고객사 관리자가 Service Web Server에 로그인하여 설치된 Agent들을 관리/모니터링 및 차단로그/통계 조회가 가능하다.

Analyzer는 Agent로부터 수집된 파일을 Service Web Server 받아 Analyzer로 분석을 요청하고, Analyzer는 파일을 Bitdefender AV Engine을 이용한 분석과 Yara Rule을 이용한 분석을 통해 정상/악성 여부를 판단하는 역할을 한다.

Dynamic Agent는 수집된 파일을 Virtual SandBox 환경에서 직접 실행하여 분석하고 정상/악성 여부를 판단하는 역할을 한다.

Register Web Server는 보안 에이전트 관리서비스를 사용하기위한 가입/결제 서비스를 제공한다.

Cloud Manage Server는 Cloud System의 운영상태 / 자원 할당 상태등을 모니터링하는 시스템이다.

Pattern Collect Server는 보안 에이전트로 적용할 패턴을 제공하는 외부 패턴 수집시스템이다.

Alarm Server는 서비스에서 발생하는 경고 E-Mail 또는 SMS를 발송하기 위한 역할을 한다.

도 5는 본 발명의 일 실시예에 따른 클라우드 기반 APT 대응 서비스 네트워크 및 시스템 구성을 보여준다.

고객과 Agent 모두 HTTPS WEB 통신을 기반으로 Cloud 서비스에 접근한다. Pattern Collect Server, Alarm Server, Cloud Manage Server, Register Web Server는 사용자수와 상관없이 단일 서버로 운영되고 Service Web Server 와 DB Server는 사용자 증가로 물리적 리소스가 부족할 경우 추가 증설하여 운영 가능하도록 한다.

도 6은 본 발명의 일 실시예에 따른 Cloud 기반 보안 에이전트 서비스의 신청, 사용, 관리 단계의 서비스 절차를 보여주는 흐름도이다.

고객이 최초 Clould 보안 에이전트 서비스를 사용하기 위해 Register Web Server를 통해 가입 후 전용 Agent를 받아 설치한다. Agent는 가입한 고객전용 Key값이 포함되어있어 고객사 별로 다른 Key값이 들어있는 Agent를 다운로드 받게 된다.

Cloud 기반 보안 에이전트 서비스(CSA 분류 : 네트워크 보안 / TRL 6단계)는 사용자 PC의 보호를 위해 실행되는 파일을 모니터링하여 악성File이 실행되지 못하도록 차단하고 네트워크를 모니터링하여 악성URL에 접근을 차단하는 Agent를 Cloud 기반 Web GUI를 이용하여 관리하고 모니터링하는 서비스이다. 또한, Agent는 랜섬웨어 대응을 위한 기능으로 파일 암호화 행위를 탐지하여 차단하는 기능이 제공되며 랜섬웨어 피해방지를 위해 순간백업 기능이 제공된다. 본 사업에서 상용화 하려고하는 Cloud 기반 서비스에서는 사용자PC의 중요파일을 Cloud에 백업하는 기능이 추가된다. 제공하는 Agent를 PC에 설치하면 Service Web Server를 통해 악성 URL패턴과 악성 File패턴을 다운로드 받아 악성URL에 접근과 악성 File의 실행을 차단한다. Agent는 고객사별로 관리되어야 하기 때문에 Register Web Server를 통해 가입하면 고객사 Key값이 등록된 Agent를 Register Web Server에서 생성하고 사용자는 해당 Agent를 다운로드 받을 수 있다.

본 발명의 일 실시예에 따르면, 클라우드 기반 Mail APT엔진이 제공된다. 도 7는 본 발명의 일 실시예에 따른 클라우드 기반 Mail APT엔진의 블록도이다. 상기 클라우드 기반 Mail APT엔진은 이메일 보안을 위해 개발된 On-Premise형 MTA엔진 + APT 솔루션을 클라우드 기반으로 개발된 것으로서, 클라우드 환경을 이용하여 스팸 솔루션을 MTA엔진에 통합하여 알려진 스팸을 사전에 필터링하게 된다.

본 발명은 클라우드 기반 APT 솔루션과 MTA 솔루션 통합 서비스를 제공한다. 즉, 본 발명은 MTA솔루션의 설정정보와 분석된 정보를 클라우드 기반 APT GUI에 연동하여 관리서비스를 통합하여 제공하고, IOC(침해지표)기능과 랜섬웨어에 대비한 순간백업기능을 EDR에 추가하여 클라우드 기반 APT서비스를 고도화한다.

클라우드 기반 MTA는 가상화엔진(hypervisor)인 EXSI 6.7에서 동작하던 가상화 기반 MTA엔진을 마이크로스프트사의 클라우드 플랫폼인 Azure에서 동작이 가능하도록 마이그레이션하여 구현할 수 있다. 도 8은 MTA엔진의 클라우드 플랫폼으로의 마이그레이션 및 기능 업그레이드 항목을 보여주는 도면이다. 또한, 기존 통합하드웨어 OS인 ESXi 6.7에서 사용하던 API를 클라우드 Azure환경에서 사용이 가능하도록 연동 관련 API 함수가 변경된다.

MTA 서버는 마이크로소프트 Azure와 같은 클라우드 플랫폼 업로드용으로 동작할 수 있다. 클라우드 버전 메일에서는 클라우드 MTA 서버가 도착한 메일을 클라우드에 설치된 맬웨어 탐지 엔진을 통해 분석 및 필터링한다. 도 9는 MTA 서버에 의한 이메일 필터링 동작을 보여준다. 또한, 클라우드 MTA 서버는 GSuite 관리 애플리케이션을 포함하며, Gmail의 받은편지함을 관리하여 필터링된 이메일만이 표시되도록 할 수 있다. 상기 GSuite 관리 애플리케이션은 도메인 관리를 위한 G Suite Admin SDK를 기반으로 개발된 것으로서, 대부분의 사용자 수준 Gmail 설정을 프로그래밍 방식으로 제어하고 Gmail 받은편지함에 별도의 폴더를 만들고 결과에 따라 필터링된 이메일을 전달하며, Alert Center API를 사용하여 G Suite 알림을 제공한다.

MTA 서버는 클라우드를 기반으로 메일을 수집하는 기능도 수행한다. 또한, MTA 서버는 수집된 메일에서 파일/URL/IP를 추출할 수 있다. 도 10은 수집된 메일에서 파일/URL/IP와 특정 구문를 추출하여 조회하는 예를 보여준다. MTA 서버는 첨부파일 또는 본문에 포함된 이미지 파일등을 추출하며, 압축된 첨부파일은 특정 구문(암호/PW/password 등 미리 지정한 문자열)이 포함되어 있으면 암호를 추출하여 압축 해제를 시도할 수 있다. MTA 서버는 Script상 URL 관련 구문이 포함되어 있는 경우 URL 정보를 추출할 수 있다. 아울러, MTA 서버는 악성코드에 대해서는 특정 첨부파일/URL/IP 등을 제외하고 메일을 재조합할 수 있다. MTA 서버는 수집한 메일 중 임의의 메일만을 Mail Server로 전달할 수도 있다.

도 11에 도시된 바와 같이 Azure에서 기존 시스템과 MTA를 통합하여 APT 대응에 활용할 수 있도록 하기 위해서는 API를 변경하는 것이 바람직할 수 있다.

도 12에 도시된 바와 같이, MTA 서버에서 추출된 파일/URL/IP 등의 데이터는 분석 요청과 함께 APT 시스템에 전달될 수 있다. 이때, 메일에 대한 Log는 JSON 포맷으로 전달될 수 있는데, JSON 포맷에 포함되는 정보의 일 예가 도 13에 정리되어 있다.

도 14에 도시된 바와 같이, APT 시스템은 분석 결과를 MTA 서버에 회신할 수 있다. 이때, 분석 결과 Log 역시 JSON 포맷으로 전달될 수 있는데, JSON 포맷에 포함되는 정보의 일 예가 도 15에 정리되어 있다.

도 16은 클라우드를 기반으로 MTA 서버와 APT 시스템이 통합된 보안서비스 제공 시스템에서, 정상 이메일과 악성 이메일이 처리되는 과정을 대비하여 보여준다.

정상적인 이메일의 경우, Spam Mail Solution에서 제공해준 메일을 MTA에서 File/URL/IP 으로 분류하여 ZombieZERO APT 시스템으로 전달하면, APT 시스템은 분석 결과를 다시 MTA로 회신하여 메일이 정상이면 Mail Server로 전달한다. 그렇지만, 악성 이메일의 경우, 악성코드의 종류에 따라 처리 과정이 달라질 수 있다. 예컨대, 알려진 악성코드가 포함된 이메일은 Spam Mail Solution에서 차단될 수 있다. 한편, 알려지지 않은 악성코드가 포함된 이메일의 경우, MTA에서 추출한 File/URL/IP를 APT 시스템에서 분석하고, 분석 결과를 바탕으로 악성코드만을 제외한 메일로 다시 조합하여 사용자에게 전달할 수 있다.

본 발명의 일 실시예에 따른 보안서비스 제공 시스템에 따르면, 지능형 포렌식 분석을 위한 엔드포인트 에이전트의 기능이 고도화되어, 클라우드 기반 IOC(침해지표)를 생성할 수 있다. 즉, 엔드포인트 에이전트는 엔드포인트에서 프로세스를 모니터링하고 프로세스 정보를 수집하면서, 엔드포인트에서 발생한 침해위협의 주요 행위에 대해 IOC를 생성하고 악성 여부를 분석할 수 있다. 도 17은 엔드포인트에서의 IOC 생성 과정과 침해위협 정보 수집 동작을 보여준다. 의심 파일에 대한 소스 분석과 검증 과정을 통해, 악성코드 유포자 등에 대한 정보를 추출하고 최신 위협에 대한 정보를 축적할 수 있다.

도 18은 IOC 모듈의 설계도이고, 도 19 및 도 20은 상기 IOC 모듈 중 탐지 부분을 구현하기 위한 소스 코드이다.

Agent가 실행되어 File / Process / Registry 이벤트를 수집하는 CIOCMgr이 실행되고, 또한 Network 이벤트를 수집하는 CTrafficMonitor가 실행되어 EndPoint의 이벤트를 수집한다.

이벤트 발생 시 DoDynamic 함수를 통해 해당 이벤트의 로그를 Rule 비교를 통해 분석을 실행하여 각각의 Insert 함수를 통해 DB에 로그 및 분석 결과를 저장한 뒤, 각각의 DoNofity 함수를 통해 Manager로 전달하기 위해 JSON 형태로 이벤트를 로그화 시킨 후 DoNofity_Send를 통해 Manager로 JSON 형태의 로그를 전달하여 UI에 표시할 수 있게 된다.

도 21은 IOC기반 악성코드 분석기능을 위한 인터페이스의 구성 내역을 정리한 표이다. IOC 모듈은 수집된 Event를 형식에 맞게 수정 후 Application 쪽으로 전달하고, Application은 전달 받은 Event 내용을 DB에 저장한다. 이때, 대표적으로 Process 부분만 추출하고 로그화한 후 JSON 포맷으로 로그 정보를 전달할 수 있다. 도 22는 IOC 로그 정보의 일 예를 보여준다.

IOC 모듈은 Yara Rule 등 Rule을 통한 IOC 분석을 통해 LOG 정보를 제공할 수 있다. Yara Rule 제작 시 악성 행위에 대한 동작 로그 분석 후 해당 악성 행위 동작기반으로 룰을 제작하고 Mitre 기반으로 해당 룰에 대한 공격분류 및 공격 방식을 추가적으로 작성하여 해당 정보를 제공할 수 있도록 룰이 제작되는 것이 바람직하다.

IOC 모듈은 정적 분석에 판단 기준을 마이터 어택(Mitre ATT&CK) 서버에 제공할 수 있고, 마이터 어택(Mitre ATT&CK) 서버는 수신된 LOG 분석을 통해 마이터 어택(Mitre ATT&CK) 프레임웍에 따른 식별번호(T_ID) 정보를 제공할 수 있다. 따라서, IOC 모듈은 해당 정보를 통해 로그의 공격 방식에 대한 분류 및 기술 정보를 제공받고, 해당 ID와 링크된 URL을 제공하여 마이터 어택(Mitre ATT&CK) 사이트의 도움말을 참조할 수 있다.

IOC 모듈은 IOC Rule 적용 및 해당 Rule을 통한 정적분석으로 Registry LOG를 분석할 수 있다. 즉, IOC 모듈은 Disk Access 및 Driver Access에 대한 Registry Path를 집중적으로 탐지하고, 디스크 접근 및 드라이버 접근에 대한 탐지 보안 프로세스를 진행하여 디스크 접근 관련 로그 내용 및 관련 룰을 통해 악성 행위를 탐지할 수 있다. 도 23은 룰을 통한 정적분석에 의한 레지스트리 로그 분석의 일 예를 보여준다.

IOC 모듈은 API Hooking을 통해 내부적으로 동작하는 프로세스 및 WMI를 분석할 수 있다. 이를 통해 IOC 모듈은 메모리 기반 공격 탐지를 보완할 수 있고, 모듈 동작 부분에 대한 탐지를 보완할 수 있으며, Script 기반 악성 행위의 탐지를 보완할 수 있다. 도 24는 스크립트 기반 분석의 일 예를 보여준다. 또한, IOC 모듈은 Command Line을 통한 악성 행위와, Script 기반 악성 행위를 탐지할 수 있다. 도 25는 커맨드 라인을 통한 악성 행위 탐지의 일 예를 보여준다.

나아가, IOC 모듈은 네트워크 통신 중인 Packet Payload를 탐지하고, Port Scan 등 네트워크를 이용한 사전 공격 준비를 감지함으로써, 네트워크 모니터링 기능을 수행할 수 있다. IOC 모듈은 도 26과 같이 네트워크 모니터링 결과를 시각화하여 제공함으로써, 아이콘화된 프로세스 분석정보를 제공하게 된다. 이를 통하여, 이용자는 프로세스 상관 관계 (부모 ? 자식) 정보를 제공받고, 악성 행위 시 최초의 프로세스 및 악성 행위 흐름을 파악할 수 있게 되며, 상세 악성 행위에 대한 정보를 제공받을 수 있게 된다.

본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 클라우드 기반 EDR 순간백업 기능을 제공한다. 즉, 도 27에 도시된 바와 같이 엔드포인트에서 발생하는 랜섬웨어의 행위 분석을 통해 드라이버 상에서 공격대상이 된 파일을 순간적으로 임시저장 폴더에 백업할 수 있으며, 랜섬웨어 판명 시에 도 28에 도시된 바와 같이 해당 파일을 원본 파일로 복원할 수 있다.

본 발명의 일 실시예에 따르면, 사용자 PC에 설치되는 Agent에 AV엔진(Bit-defender)을 탑재하여 이미 알려진 악성코드에 대한 빠른 탐지/차단이 가능하다.

한편, 본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 행위기반 화이트리스트 예외 처리 기능 즉, 그레이리스트 기능을 수행할 수 있다. 도 29은 그레이리스트 기능 수행 프로세스의 일 예를 보여주는 흐름도이다. 기존 시스템에서 사용하는 화이트리스트는 "수동으로 입력한 화이트 리스트"와 "분석시스템에서 분석한 결과 정상으로 판정된 그레이 리스트"로 구분된다. 여기서, 수동으로 입력한 화이트 리스트에 대한 처리는 기존 화이트리스트에 대한 처리와 동일할 수 있다. 분석 시스템에서 분석한 결과 정상으로 판정된 그레이 리스트의 경우, 파일은 화이트 리스트와 동일하게 실행하도록 하지만, 백그라운드단에서 계속적인 모니터링을 통해서 악성 행위(랜섬웨어)가 발생되는 시점에서 악성으로 차단(블랙리스트/파일 격리)되게 할 수 있다.

이에 따르면, 사용자가 수동으로 등록했던 화이트리스트를 제외하고 시스템에 의한 자동 분석에 의한 정상 판정이 된 데이터는 그레이리스트로 등록되어 사용자 Agent에서 계속적으로 추적 감시될 수 있다. 기존 악성코드가 점차 고도화됨에 따라 특정 조건에서만 작동하는 악성 코드 및 가상 분석머신(샌드박스)를 우회하는 악성코드가 늘어가고 있는데, 이 기능에 따르면 이와 같은 악성코드를 탐지/차단하는 것이 가능해진다. 특히, 특정 사용자 환경(OS/어플리케이션 취약점/시간차 공격 등)에서 발생된 악성코드 탐지를 위해서 분석 시점에서 정상으로 판정된 파일 또는 미탐으로 탐지되지 못한 악성코드를 백그라운드 단에서 감시하여 악성행위를 하는 시점에서 차단할 수 있다.

본 발명의 일 실시예에 따른 보안서비스 제공 시스템은 사용자 증가시 부하를 분산시켜 서비스 속도를 유지할 수 있다. 도 30은 사용자 증가에 따른 서비스 속도 유지 프로세스를 보여주는 도면이다. Agent 설치 후 Agent는 Service Web Server와 통신하고 정보를 주고받는다. Service Web Server의 로드벨런싱을 위해 L4 Switch를 이용하여 부하를 분산시킨다. 그렇지만, Cloud Manage Server는, Service Web Server Zone의 Server들의 부하(CPU, Memory, I/O)를 모니터링하여 임계치(예:70%) 이상 올라갈 경우에는, 도 31에 도시된 바와 같이 관리자에게 경보를 보내 물리적 리소스를 추가 증설할 것을 검토하도록 할 수 있다.

도 32는 본 발명에 의한 보안서비스 제공 시스템에서 악성 메일을 탐지하기 위한 내부 프로세스를 보여주는 도면이다.

MTA는 Newesm이라는 DB에 존재하는 환경설정을 읽어 그에 맞추어 동작하며 환경설정은 APT 시스템의 GUI에서 사용자가 조정할 수 있다. 분석엔진 환경설정 UI에서 192.168.1.80;/var/spool/Analyzer/devinput;NFS_MTA로 설정되어 있으며 분석엔진이 192.168.1.80의 /var/spool/Analyzer/devinput를 분석대기폴더로 사용 할 것임을 알려주는 문구이다. 또한 NFS_MTA문구는 이NFS서버에서 읽어오는 EML파일들을 MTA처리 과정에 따라 처리할 것임을 알려준다. MySQL newesm DB에 있는 환경설정에서는 EML파일이 들어오는 NFS 분석대기폴더와 분석결과 폴더의 IP가 MtaIP컬럼에 192.168.1.80서버로 지정되어 있는 것을 볼 수 있다.

도 33은 메일의 악성 여부에 따른 처리 프로세스를 구체적으로 보여준다.

MTA 서버는 이메일 첨부파일 내의 악성여부에 따라 메일을 재조합할 수 있다. MtaSubPath는 /var/spool/Analyzer로 지정되어 있으며 폴더를 공유폴더로 지정하여 NFS 분석대기폴더와 분석결과 폴더의 상위폴더로 사용된다. MtaMoveMalwarePath는 분석결과폴더의 하나로 악성으로 판명된 eml파일이 악성파일과 C&C URL이 삭제된 상태로 이 폴더로 Upload된다. 이 공유폴더는 그림과 같이 /var/spool/Analyzer/devoutput/modified가 된다. MtaMoveNormalPath는 분석결과폴더의 하나로 /var/spool/Analyzer/devoutput/으로 정상 판명된 eml의 로그(.eml.res)가 기록된다. 정상 판명된 이메일은 따로 원본 이메일을 위 폴더에 올리지 않는다.

도 34는 가상화 기반의 MTA 서버와 행위기반 APT 대응 솔루션이 연동된 본 발명의 보안서비스 제공 시스템(ZombieZERO Server)의 내부 구성과 그 네트웍 환경을 보여준다.

이 시스템에서 MTA 와 APT 대응 솔루션은 다음과 같이 통신할 수 있다. E-Mail을 송신하면 SMTP 프로토콜을 이용하여 External Port2로 들어오고 MTA서비스는 E-Mail을 E-Mail서버로 보내기 전에 Manager로 전송하여 E-Mail안에 첨부파일과 URL을 추출하여 Analyzer에서 분석하도록 처리한다. 분석이 완료된 파일과 URL이 정상이라면 MTA서비스에서 중지했던 E-Mail을 E-Mail서버로 전송하고 악성파일 또는 URL이 포함되어있다면 E-Mail서버로 해당E-Mail을 전송하지 않는다. 관리자(administrator)는 분석된 내용을 Manager Web UI를 통해 확인할 수 있다.

도 35는 MTA 서버와 행위기반 APT 대응 솔루션이 연동된 본 발명의 보안서비스 제공 시스템의 대략적인 블록도이다.

도 36 내지 도 38은 MTA 연동 설정 화면, MTA 발신 대기 목록 조회 화면, APT 분석결과 조회 화면을 각각 보여준다.

도 39는 SSL 가시성 확보 솔루션, MTA 서버, APT 솔루션이 통합된 소프트웨어 제품의 내부 구성과 인터페이스를 보여주는 블록도이다. Analyzer는 시그니처분석, 정적분석, 동적분석, 3rdParty분석을 통해 파일의 정상/악성여부를 판단하고 악성일 경우 악성패턴으로 생성하여 저장한다. Analyzer에서 시그니처분석, 정적분석, 동적분석을 수행하기 위해 분석을 위한 패턴이 필요한데 패턴 라이브 업데이트 서버를 통해 자동으로 패턴을 다운로드 받아 항상 최신 패턴을 이용하여 분석 할 수 있도록 처리한다. 최종 악성으로 판정될 경우 URL을 차단 패턴으로 등록하여 더 이상 접속이 불가능 하도록 처리하고, E-Mail의 경우 악성 판정 시 E-Mail서버로 전송되지 않도록 처리한다.

도 40은 MTA를 통해 수집한 E-Mail을 분석한 결과를 표시해주는 통합 UI를 보여주고, 도 41은 MTA 기본 정책을 설정하기 위한 UI를 보여준다.

본 출원인은 본 발명에 의한 보안서비스 제공 시스템의 성능에 대하여 자체 테스트를 수행하였고, 외부 공인시험기관에 테스트 수행을 의뢰하여 결과를 받았다.

도 42a 및 도 42b는 트래픽 수집량에 대한 자체 시험 방법을 보여준다. 시험에 있어서는, 시스템에 접속하여, 트래픽 발생기를 통해 24시간동안 트래픽을 발생시키고, 수집된 트래픽이 공유폴더(\NFS\files)에 정상적으로 저장되는지 확인한 다음 분석현황을 확인하였다. 트래픽 발생기로는 패킷 생성 및 전송 툴인 TCPReplay를 사용하였다. 통합UI에서 분석대상 트래픽(\NPUTM\info)과 트래픽에서 추출한 파일(\file\info)을 수집하여 악성코드 파일 여부에 대해 분석을 수행하는데 소요되는 시간을 확인하였다. 분석대상 트래픽에서 665,555개의 파일을 수집하여 분석하는데 소요된 시간이 22시간 50분 23초임을 확인하였다. 결과적으로, 24시간 모니터링을 통해서 일일 트래픽 처리량이 목표치인 400,000개를 초과하는 665,555개 이상임을 확인하였다.

도 43a 내지 43c는 악성코드 유포지 차단 속도에 대한 시험 방법을 보여준다. 시험에 있어서는, 시스템에 접속하여, 준비된 HTTPS URL 10개를 통합시스템의 Black list에 추가하였다. 그 다음, 클라이언트 PC에서 악성유포지 URL로 등록된 URL에 접속하여, 클라이언트 PC에서 악성유포지 접속시 차단 페이지로 접속되는 것을 확인하고 NPUTM로그를 확인하여 리셋패킷전송시간/클라이언트 차단시간 로그를 확인하여 차단 소요시간을 확인하였다. 총 3회를 반복 측정한 다음, 각 회차의 평균 소요시간의 평균시간을 계산한 결과, 악성코드 유포지 차단 속도이 0.007초 수준으로 측정되었는데, 이는 목표치인 0.1초보다 많이 짧은 값이다.

한편, 외부 공인시험기관에서의 시험에는 도 3에 도시된 클라우드 분석 시스템과 유사한 시스템이 사용되었고, 도 44에 정리된 시험 도구들이 사용되었다.

도 45는 이메일 정보 수집률에 대한 시험 방법을 보여준다.

도 46은 이메일 첨부파일 수집률에 대한 시험 방법을 보여준다.

도 47은 악성코드 탐지율에 대한 시험 방법을 보여준다.

도 48은 정상파일 오탐율에 대한 시험 방법을 보여준다.

도 49a 및 49b는 악성코드 유포지 탐지율에 대한 시험 방법을 보여준다.

도 50은 외부 공인시험기관에서의 시험 결과를 정리한 표이다.

도 51은 자체 시험과 외부 공인시험기관에서의 전체 시험에 대한 결과를 정리한 표이다.

도 50 및 도 51에 도시된 바와 같이, 전 항목에 걸쳐서 시험기준에 적합한 결과가 도출되었다.

도 52는 종래의 시그니처 기반 악성코드 탐지 방법과 본 발명에 의한 악성코드 탐지 방법의 기능 상의 차이점을 보여준다. 종래의 시그니처 기반 악성코드 탐지 방법은 알려진 시그니쳐(패턴)로 악성코드를 탐지하기 때문에 신, 변종의 고도화된 악성코드의 대응에 대해 매우 제한적이며 시그니쳐(패턴)가 없는 경우 탐지가 불가능 하다. 하지만 본 발명에 따르면 시그니쳐 방식이 아닌 행위기반으로 악성코드를 탐지하기 때문에 시그니쳐(패턴)가 없는 신,변종 악성코드에 대해서도 탐지가 가능하다.

본 발명의 실시예에 따른 방법의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.

또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.

본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.

실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.

이상 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (1)

1. 서비스 종합 플랫폼인 Register Web Server, 정책 설정/전달 및 Agent 모니터링을 위한 Service Web Server, 이메일 수집을 위한 MTA 서비스, 이메일 첨부파일 추출 및 재조합을 위한 MTA Analyzer Service, 그리고 사용자의 PC에 설치되어 보안정책에 의한 대응행동을 수행하는 Agent를 구비하는 클라우드 기반 APT 및 랜섬웨어 대응 서비스를 위한 보안서비스 제공 시스템.

Images