Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

A study for Cybersecurity Risk Management by Blockade and Defense Level Analysis

봉쇄와 보안장비 수준 기반 정보보호 위험관리 수준 측정 연구

  • Received : 2021.07.28
  • Accepted : 2021.11.11
  • Published : 2021.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Existing information security risk assessment methods focus on evaluating the vulnerability of information assets. However, when the form of information assets changes and new types of information assets emerge, there is a limitation in that the evaluation standards for them are also added or deleted. Existing methods have insufficient research on the path through which cyber threats are introduced. In particular, there is very little research on blocking the inflow path for web-based information systems with public IPs. Therefore, this paper introduces the main research contents of the BDLA (Blockade and Defense Level Analysis)-based information security risk assessment model. In addition, by applying the BDLA-based information security risk assessment model, the information security risk level was studied by measuring the blockade level and security equipment level of 17 public institutions.

기존의 정보보호 위험평가 방법은 정보자산의 취약성을 평가하는데 중점을 둔다. 그러나 정보자산의 형태가 바뀌고 새로운 유형의 정보자산이 나오면 그에 대한 평가기준도 추가하거나 삭제하는 등의 보완을 거쳐야 하는 한계가 있다. 기존 방법들은 사이버 위협이 유입되는 경로에 연구가 미흡하다. 특히, 공인 IP를 가지고 있는 웹기반 정보시스템을 대상으로 유입되는 유입경로의 봉쇄를 위한 연구가 매우 부족한 상황이다. 이에 본 논문에서는 BDLA (Blockade and Defense Level Analysis) 기반 정보보호 위험평가 모델의 주요 연구내용을 소개 한다. 또한, BDLA기반 정보보호 위험평가 모델을 적용하여 17개 공공기관의 봉쇄수준과 보안장비 수준 측정을 통하여 정보보호 위험 수준을 연구하였다.

Keywords

I. 서론

2021년 클라우드, 이동통신 등 변화하는 ICT 환경 변화에 맞추어 주요정보통기반시설 취약점 분석평가 기준이 개정되었다. 기존의 위험평가 방법론은 정보자산에 초점을 맞추고 있어 정보자산의 형태가 변하면 각각의 형태에 따른 취약점 평가기준을 신설해야 하는 상황이다. 정보자산별 형태별로 다양한 평가 기준을 제정하여 운영하고 있지만 기본적으로는 패치 관리, 비밀번호 관리, 로그관리 등의 내용으로 요약할 수 있으며 사이버 공격자들도 파악하고 있는 실정으로 사이버 위협을 완벽히 방어하기 어려운 상황이다.

이에 본 논문에서는 기존 위험평가 방법론들의 위험측정을 위한 연구 노력을 살펴본다. 또한, 기존 방법들의 한계점을 보완하기 위해 BDLA 기반 정보보호 위험평가 모델을 살펴본 후 17개 공공기관에 적용하여 정보보호 위험관리 수준을 분석한다.

II. 선행 연구

정보자산의 취약성을 측정하기 위해 공격 유형별 확률을 부여하거나 Attack Graph를 생성하여 위험 을 측정하였다[1]. 사이버 공격에 의한 전력시장의 위험을 측정하기 위해 자산들의 중요도, 피해정도, 공격 용이성 등을 기준으로 위험의 순위를 측정하였다[2].

공격 경로를 생성하거나 Attack Graph와 MCDM을 이용하여 확률론적 관점에서 위험을 측정하였다[3]. Pravin은 전력 네트워크의 위험을 분석하는데 그래프 이론과 소셜 네트워크 이론을 활용하 였다[4].

Irving Lachow는 ‘단순, 발전된, 복합적 위협’으로 위험을 구분하였다[7]. Reith는 성가신(N : Nuisance) 위협에서 중요한(S : Significant) 위협으로 나누어 측정하였다[8].

한충희는 2019년 한해 동안의 전체 사이버 위협을 유입경로별로 분석하였다. 이를 바탕으로 사이버 위협의 유입경로를 웹서비스 위협, 악성 전자메일 위협, 악성 웹페이지 위협, 악성 매체 위협으로 구분하고 BDLA기반 정보보호 위험평가 모델을 정립하였다[9].

MITRE에서는 ATT&CK을 제안하였다[10]. ATT@CK는 공격 진행 단계 및 적용망에 따라 위협을 구분하였다[11]. ISMS-P는 기밀성, 무결성, 가용성을 목표로 한다[12]. 기반시설 취약점 분석평가는 관리적·물리적·기술적 점검 항목에 대한 개선 과정이다[13].

III. BDLA 기반 정보보호 위험평가 모델

BDLA(Blockade & Defense Level Analysis)기반 정보보호 위험평가 모델은 사이버 위협이 유입되는 구간들을 크게 웹서비스 위협, 악성 이메일 위협, 악성 페이지 위협, 악성 저장매체 위협 과 같이 크게 4가지로 구분하였다. BDLA 기반 정보 보호 위험평가 모델은 위에 구분한 4개의 사이버 위협 유입 구간에 대한 봉쇄 수준과 보안장비 수준을 측정하여 위험을 평가하는 방법이다. 기존 방법들과의 차이점은 정보자산들의 중요도에 대한 평가를 진행하지 않는다는 것이다.

BDLA 기반 정보보호 위험평가 모델은 그림 1과 같이 유입경로별 봉쇄수준 측정과 방어역량 수준측정으로 구성된다.

JBBHCB_2021_v31n6_1261_f0001.png 이미지

Fig. 1. BDLA based Risk Assessment

BDLA 기반 정보보호 위험평가 모델의 유입경로별 봉쇄수준은 그림 2와 같이 4개의 유입경로별 봉쇄 수준의 합이다. 웹서비스 위협의 봉쇄 수준을 16점으로 구성하고 다른 유입경로에 대한 봉쇄수준은 8점씩 부여하여 총 40점으로 구성한다. 정보보호의 현장의 관점에서 웹기반 정보시스템들을 대상으로 유입되는 웹서비스 위협 봉쇄 강화가 가장 시급하기 때문이다.

JBBHCB_2021_v31n6_1261_f0002.png 이미지

Fig. 2. Blockade Level (BL) Assessment

방어체계수준(Defense System Level, DSL)은 유입경로별 방어체계수준의 합이다. 유입경로별 방어 체계수준은 15점씩 부여한다. 전체 정보시스템의 사이버 안전성은 균형적으로 구성되어야 하기 때문이다. 상대적으로 취약한 유입경로에 대한 방어장비 수준을 개선하는 활동이 반드시 필요하다. 방어체계수준은 그림 3과 같이 봉쇄장비수준과 진압장비수준으로 구성한다[14].

JBBHCB_2021_v31n6_1261_f0003.png 이미지

Fig. 3. Defense System Level (DSL)

IV. BDLA기반 위험관리 수준 측정

33개 기관의 정보보안 담당자들에게 (부록)의 BDLA 기반 위험평가 체크리스트에 따라 체크한 후 이메일로 회신하도록 요청하였다. 회신된 17개 기관의 봉쇄수준과 방어체계 수준에 대해 각 기관별 위험 관리 수준을 분석하였다.

부록. BDLA based Cybersecurity Risk Assessment Checklist

첫째, 웹서비스 위협 유입구간 봉쇄는 거의 이루어지지 않고 있었다. 웹서비스에 대한 미봉쇄 수준은 98%, 나머지 악성메일, 악성페이지, 악성매체에 대한 미봉쇄 수준은 각각 7%, 2%, 14%로 측정되었다.

둘째, 방어체계 수준은 기반시설 보유기관 5곳의 방어체계 수준이 비 기반시설 기관 12곳의 방어체계 수준보다 다소 양호한 수준이었다. 부족한 봉쇄장비로는 Anti-Webshell이 거의 모든 기관에서 보유하지 않고 있었다. 그 다음으로 IDS, Anti-Badpage, WAF, Anti-APT, Anti-Spam, Pre-Vac 등으로 분석되었다. 부족한 진압장비로는 EDR을 대부분 보유하지 않고 있었다. 그 다음으로 DDI, SPM의 순으로 분석되었다.

사이버 위협이 내부 사용자 PC 또는 서버에 유입되기 전에 탐지하고 대응하기 위한 봉쇄장비는 적정 봉쇄장비 대비 평균 1.0대 부족하였다. 웹서비스 위협 봉쇄장비는 1.1대, 악성메일 봉쇄장비는 1.4대, 악성페이지 봉쇄장비는 0.8대, 악성매체 봉쇄장비는 0.7대가 부족한 것으로 분석되었다.

유입구간별로 사이버 위협을 실질적으로 탐지하고 대응할 수 있는 진압장비는 적정 진압장비 대비 평균 1.9대 부족하였다. 웹서비스 위협 진압장비는 1.9대, 악성메일 진압장비는 1.9대, 악성페이지 진압장비는 1.9대, 악성매체 진압장비 1.9대가 부족한 것으로 분석되었다.

17개 조사 대상기관의 BDLA 위험관리 수준은 64.1점으로 분석되었다. 세부적으로는 주요정보통신 기반시설 보유 5개 기관은 68.8점, 나머지 12개 기관은 60.7점으로 전반적으로 주요정보통신기반시설 보유기관의 정보보안 위험관리 수준이 양호한 것으로 분석되었다. 이러한 결과는 전반적으로 주요정보통신 기반시설 보유기관의 보안장비 보유 수준이 상대적으로 양호하였기 때문으로 분석되었다. 그림 4는 각 기관별 상세 측정 결과이다.

JBBHCB_2021_v31n6_1261_f0004.png 이미지

Fig. 4. Blockade & defense level of 17 organizations

V. 결론

기존의 정보보호 위험관리 방법들은 보이지 않는 사이버 위협을 측정하기 위해 수학적 지식을 통해 위험을 측정하고자 하였으나 보완이 필요한 실정이다.

이에 본 논문에서는 BDLA기반 정보보호 위험평가 모델을 적용하여 기존 정보보호 위험평가에서 간 과하고 있었던 사이버 위협의 유입경로별 봉쇄수준과 보안장비 수준을 측정하였다. 이번 연구를 통해 웹서 비스 위협에 대한 봉쇄가 거의 이루어지지 않고 있음을 확인하였다. 또한 보안장비가 적정한 수준으로 구성되지 않고 있는 상황을 계량적으로 분석하였다.

기존 정보보호 위험평가 방법의 한계를 보완할 수 있도록 BDLA기반 정보보호 위험평가 모델을 활용하는 것이 필요하다. BDLA기반 정보보호 위험평가를 통해 사이버 안전성이 획기적으로 강화되기를 기대한다.

References

  1. Dong-Joo Kang, Huy-kang Kim, 'Quantitative Methodology to Assess Cyber Security Risks of SCADA system in Electric Power Industry" Journal of The Korea Institute of Information Security and Cryptology , vol.23, no.3, pp. 445-457, 2013. https://doi.org/10.13089/JKIISC.2013.23.3.445
  2. Matias Negrete-Pincetic, Felipe Yoshida, George Gross, "Towards Quantifying the Impacts of Cyber Attacks in the Competitive Electricity Market Environment," IEEE Bucharest PowerTech, Oct. 2009,
  3. Nian Liu, Jianhua Zhang, and Wenxia Liu, "Security Assessment for Communication Networks of Power Control Systems Using Attack Graph and MCDM," IEEE Transactions on Power Delivery, Vol.25 , no.3, pp. 1492-1500, Jun. 2010. https://doi.org/10.1109/TPWRD.2009.2033930
  4. Pravin Chopade and Dr. Marwan Bikdash, "Modeling for Survivability of Smart Power Grid when subject to severe emergencies and vulnerability," Proceedings of IEEE Southeastcon, Mar. 2012.
  5. Deepa Kundar, Xianyong Feng, Shan Liu, Takis Zourntos, Karen L., Burtler-Purry, "Towards a Framework for Cyber Attack Impact Analysis of the Electric Smart Grid," First IEEE International Conference on Smart Grid Communications, Oct. 2010.
  6. Jin Wei, Deepa Kundur, Takis Zourntos, "On the Use of Cyber-Physical Hierarchy for Smart Grid Security and Efficient Control," 25th IEEE Canadian Conference on Electrical and Computer Engineering (CCECE), May. 2012.
  7. Irving Lachow, FranklinD.Krame "Cyberpower and National Security", Potomac Books Inc, April. 2009.
  8. Enter Greg Reith, "Prioritizing Cyber Threats With Real-Time Threat Intelligence," RFSID, 2018.
  9. Han Choong-Hee, 'A study for Information Security Risk Assessment Methodology Improvement by blockade and security system level assessment' Korea Information Assurance Society, vol.20, no.4, pp. 187- 196, Oct, 2020.
  10. B. E. Strom et al, "MITRE ATT&CKTM: Design and Philosophy," MITRE White paper, Jul. 2018.
  11. Lee Hyunjin, "A study for configuration about cyber attack scenario using MITRE ATT&CKTM", Annual Conference of IEIE 2020, Vol 42, pp. 1103-1104, Korea, Jun. 2019.
  12. Dong Hyun Kim, "A Study on the ISMS-P Accreditation Effect Using the Seven Threats of Security - Focused on Enterprise Size and Career", The Journal of Korean Institute of Information Technology - vol.18, no.4, pp.109-119, Apr. 2020. https://doi.org/10.14801/jkiit.2020.18.4.109
  13. Jaehyun Choi, "Security Vulnerability Management Measures for Major Information and Communication Infrastructure using VMS", Journal of The Institute of Electronics and Information Engineers vol.57, no.6, pp.37-43, June 2020 https://doi.org/10.5573/ieie.2020.57.6.37
  14. Han Choong-Hee, "Semi-quantitative cybersecurity risk assessment by blockade and defense level analysis", Process Safety and Environmental Protection, Elsevier, vol.155, pp.306-316, Nov. 2021. https://doi.org/10.1016/j.psep.2021.09.028