정보보호학회논문지 (Journal of the Korea Institute of Information Security & Cryptology)

  • 제21권4호
  • /
  • Pages.101-114
  • /
  • 2011
  • /
  • 1598-3986(pISSN)
  • /
  • 2288-2715(eISSN)
한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지
DOI QR코드

DOI QR Code

윈도우 운영체제 상의 사용자 행위 추적에 관한 연구

A Study on System Tracing User Activities in the Windows Operating System

  • 정창성 (한밭대학교 정보통신전문대학원 컴퓨터공학과) ;
  • 김영찬 (한밭대학교 정보통신전문대학원 컴퓨터공학과)
  • Jung, Chang-Sung (Dept. of Computer Engineering, Graduate School of Information and Communications, Hanbat National University) ;
  • Kim, Young-Chan (Dept. of Computer Engineering, Graduate School of Information and Communications, Hanbat National University)
  • 투고 : 2011.01.12
  • 심사 : 2011.05.30
  • 발행 : 2011.08.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

산업스파이 및 악의적인 내부 이용자에 의한 기업 내부 핵심 정보유출 사건이 증대되고 있는 현실을 반영하듯, 감사 및 로그 보안기술의 중요성이 한층 부각되고 있는 것이 현실이다. 본 논문에서는 기업의 중요 정보를 처리하는 운영체제에 접속한 사용자에 대한 행위를 면밀히 감시 및 분석하여, SOX 법안에서 요구하는 수준의 기업 내부통제를 위한 세션로깅시스템을 제안한다. 본 논문에서 제안하는 시스템은 운영체제에 접속한 사용자의 불법적인 행위를 모니터링하고, 그 행위 과정의 세부 로그를 통해 명확한 증거를 제시할 수 있도록 하고 있다. 이를 위해 논문에서 제안한 별도의 여러 서비스를 추가하여 운영체제를 변경하는데, 이러한 서비스는 기존의 운영체제가 제공하는 인터페이스를 이용하면서 접근을 제어하고 로그를 획득하기 위한 기능을 추가적으로 제공한다. 서버에 접속한 관리자 및 사용자의 행위에 대한 세션 로그를 중앙 집중적으로 저장, 관리하고 해당 로그에 대한 검색 및 조회 기능을 제공할 수 있도록 하여, SOX 법안에서 요구하는 수준의 기업 내부통제를 위한 컴퓨터 포렌식 시스템 및 로그 기술을 제안한다.

As it seems like critical information leakages have been increasing due to industrial espionage and malicious internal users, the importance of introducing audit and log security technology is growing every now and then. In this paper, we suggest the session logging system for the company's internal control to meet the SOX legislation level, by monitoring and analyzing users behaviors connecting to the business-critical Operating System. The system proposed in this paper aims to monitor the user's illegal activities in the Operating System, and to present the clear evidence of purpose of those activities by detailed logs. For this purpose, we modified Operating System by adding multiple services suggested in this paper. These services utilize interfaces provided by the existing Operating System and add functions to control access and get logs. The system saves and manages session logs of users or administrators connected to the server with centralized log storage. And the system supports session log searching and lookup features required by SOX legislation for the company's internal controls with the level of computer forensics and logging technology.

키워드

참고문헌

  1. M. Souppaya and K. Kent, "Guide to Computer Security Log Management," National Institute of Standards and Technology, Apr. 2006.
  2. D.C. Brewer, "Security Controls for Sarbanes-Oxley Section 404 IT," Wiley, May. 2006.
  3. 내부회계관리제도운영위원회, "내부 회계 관리제도 모범규준," 금융감독원, 2005년 6월.
  4. 이도영, 김일곤, "법적 증거능력 및 증명력을 위한 컴퓨터 포렌식에 관한 연구," 한국정보처리학회 춘계학술발표대회 논문집, 11(1), pp. 1149-1152, 2004년 5월.
  5. J. Shenk, "SANS Annual 2009 Log Management Survey," SANS, Apr. 2009.
  6. 김완집, 염흥열, "이기종 로그에 대한 통합관리와 IT 컴플라이언스 준수," 정보보호학회지, 20(5), pp. 65-73, 2010년 10월.
  7. 고은주, 오세민, 장은겸, 이종섭, 최용락, "컴퓨터 포렌식스 지원을 위한 시스템 로그 및 휘발성 정보수집에 관한 연구," 한국정보기술전략혁신학회, 10(4), pp. 41-56, 2007년 12월.
  8. J. Babbin, D. Kleiman and E.F. Carter, Security Log Management, SYNGRESS, pp. 244-251, Jan. 2006.
  9. R. Rinnan, "Benefits of Centralized Log file Correlation," Master's Thesis, Gjovik University College, Jan. 2005.
  10. J.Q. Walker, "Security Event Correlation: Where Are We Now?," NetIQ Corporation, Nov. 2001.
  11. I. Ivanov, "API hooking revealed," available at http://www.codeproject.com/KB/ system/hooksys.aspx, 2002.
  12. P. Dabak, S. Phadke and M. Borate, Undocumented Windows NT, M&T Books, Oct. 1999.
  13. M. Pollitt, "Computer Forensics: An Approach to Evidence in Cyberspace," Proceedings of the National Information Systems Security Conference, Vol. II, pp. 487-491, Oct. 1995.
  14. 김경호, "회계투명성 확보는 기업의 장기 성장전략: 엔론 사태의 교훈," 회계기준위원회, 2002년 3월.