1. 서론
한국은 세계 최고 수준의 정보통신기술과 인프라를 보유하고 있는 환경으로서, 정보 행정서비스와 국가 주요 기간시설 운영의 핵심 기반은 사이버공간으로 인식되고 있으며, 최근 국가 기반 사이버 범죄와 테러가 급증하면서, 조직적으로 이루어지는 사이버공격은 국가안보에 심각한 도전에 직면하고 있다 [1].
사이버공간이 육·해·공·우주에 이은 제5의 전장 영역으로 편입되면서 국방부는 2019년 2월, 국군사이버사령부령을 개정하여 국방부 직할부대에서 사이버작전사령부로 명칭을 바꾸고 그 임무와 역할을 합참의 통제하에 합동군사작전의 하나로서 사이버 작전을 본격 수행하도록 개선하였다. 합참은 합동교범 3-24 [2]를 발간하고 사이버 작전을 네트워크 작전(CNO), 방어적 사이버 작전(DCO), 공세적 사이버 작전(OCO)으로 유형을 분류하고 있다.
한국군은 본격적으로 사이버공간 영역을 작전·임무영역 으로 인식하면서 “사이버공간 우세” 확보를 위해 거시적 관점에서의 사이버 작전 수행역량을 확보해 나가야 하는 시대적 흐름을 맞이하고 있다. 군의 사이버 작전은 방호뿐만 아니라 능동적·적극적 활동이 필요하다. 능동적·적극적인 사이버 작전전\ 활동은 기본적으로 평시부터 적 사이버공간에 대한 사이버 정보·감시·정찰(ISR)을 수행하고 표적을 식별·관리하는 것이 요구된다. 식별된 잠재표적들은 표적처리(Targeting) 2단계인 표적개발 및 우선순위 부여 과정을 통해 표적을 추천하게 된다. 2단계에서는 기본·중간 표적개발과 검증 및 승인된 표적은 사이버표적목록(Cyber Target List)으로 작성되며 최종적으로 표적 우선순위를 부여해야 한다.
본 연구에서는 사이버표적목록에 대한 우선순위를 부여할 때 고려해야 하는 항목들을 설명하고 고려해야 하는 항목 중 사이버 표적의 중요성 CTI(Cyber Target Importance)에 대한 점수를 산정하기 위해 PageRank 알고리즘을 기반으로 TIR(Target Importance Rank) 알고리즘을 도출하여 중요성 점수를 산정하고 우선순위를 부여하는 방안을 제시한다.
2. 관련 연구
2.1 사이버 작전 및 사이버 객체 정의
사이버 작전(Cyberspace Operation)은 사이버 공간상에서 군사적 목적을 달성하기 위해 사이버 관련 능력을 운용하는 작전이다. 사이버 작전의 형태는 크게 방어적 사이버 작전, 공세적 사이버 작전, 네트워크 작전으로 나누어진다. JP 3-12 (2018) [3]에서는 사이버 작전을 수행하는 사이버공간을 크게 3가지 상호연관된 계층으로 설명하고 있으며, FM 3-12 (2021) [4]에서는 계층별 사이버 객체를 아래와 같이 설명하고 있다.
물리적 네트워크 계층(Physical network layer)은 데이터 저장소 및 네트워크 구성 요소 간에 데이터를 전송하는 연결을 포함하여 사이버공간 내에서 정보의 저장, 전송 및 처리를 제공하는 물리적 도메인의 IT 장치(PC, 서버, 라우터 등)로 구성된다. 논리적 네트워크 계층(Logical network layer)은 네트워크 구성 요소를 구동하는 논리 프로그래밍(OS, 앱 등)으로써 물리적 네트워크에서 추상화 된 방식으로 서로 관련된 네트워크 요소로 구성된다. 인적 네트워크 계층(Persona network layer)은 사이버공간에서 사람 또는 사람의 신원의 디지털 표현에 대한 설명을 개발하기 위해 논리 네트워크 계층에 적용되는 규칙을 사용하고 논리 네트워크 계층에서 데이터를 추상화하여 생성된 사이버공간의 관점이다. 이러한 인적 네트워크 계층은 일부 개인 또는 조직 데이터(이메일, IP주소, 웹 페 이지, 전화번호, SNS 계정 등)를 통합하여 개인 또는 조직(부대, 법인 등)과 직접 관련될 수 있다.
2.2 사이버 표적 및 표적처리 정의
2.2.1 사이버 표적 정의
표적(Target)은 교전이나 군사적 조치를 취하기 위해 고려하는 적의 특정지역 복합체 시설물 부대 장비 인원 등의 목표 또는 대상을 말하며, 표적의 가치는 지휘관이 하달한 작전목표 달성에 기여하는 정도에 의해 결정된다 [5].
표적정보(Target Intelligence)는 표적 또는 표적집단을 묘사하고 위치를 확인하여 취약성과 중요성을 나타내는 정보로써 적 인원, 부대, 위치, 시설 체계, 임무, 목표, 능력과 관련된 노드에 대한 분석을 세부화 및 체계화한 것을 말한다 [6][12].
사이버 표적(Cyber Target)은 엄정호 (2014) [7]와 2.1의 사이버 객체의 내용을 종합하여 보면, 군사작전에서 표적의 정의와 유사하나 공격 대상이 물리적 개체뿐만 아니라 무형적인 개체도 포함된다. 즉, 사이버공간의 각 계층에 존재하는 사이버 객체들이 사이버 표적이 될 수 있다.
본 연구에서는 [3]의 사이버 계층별 종속관계를 그림 1과 같이 해석하여 인적 네트워크 계층은 논리적 네트워크 계층에 속하며, 논리적 네트워크 계층은 물리적 네트워크 계층에 속한다고 정의한다. 또한, 사이버 표적을 물리적 네트워크 계층에 속하는 호스트(서버, 클라이언트)로 정의한다.
(그림 1) 사이버공간 3계층과 사이버 표적
(Figure 1) Cyberspace 3 layers and cyber target
2.2.2 사이버 표적처리 절차 정의
표적처리(Targeting)는 작전적 요구사항, 능력, 작전 평가 결과를 고려하여 지휘관의 목표를 달성하도록 체계적으로 표적을 분석, 우선순위화하고 적절한 살상 및 비살상 조치를 표적에 적용하는 것이다. 표적개발은 표적처리 주기의 2단계의 일부로서 지휘관의 목표를 달성에 기여하는 잠재표적을 식별하고 특성을 분석, 평가 및 문서화 하는 과정을 말한다 [8].
군사작전에서 표적처리 절차는 충분한 시간을 가지고 표적을 검토 및 분석하여 정상적인 표적처리 과정을 수행하는 기계획 표적처리와 예측하지 못한 표적이거나, 정상적인 기 계획 표적처리 과정에 포함시키지 못한 표적에 대해 신속하게 처리하는 절차를 의미하는 긴급표적처리로 구분한다.
기계획 표적처리 절차는 그림 2와 같이 1단계 지휘관 목표, 표적화 지침 및 의도, 2단계 표적개발 및 우선순위 부여, 3단계 능력분석, 4단계 지휘관 결심 및 전력적용, 5 단계 임무계획 수립 및 전력 시행, 6단계 전투평가로 이루어지며 표적정보는 작전과 긴밀한 관계를 유지하면서 순환과정별로 그림 2와 같이 연속성을 가진다.
(그림 2) 기계획 표적처리 절차
(Figure 2) Pre-planned targeting process
본 연구에서는 그림 2의 기계획 표적처리 절차를 기준으로 적용하여 사이버 표적처리를 정의하기 위해 각 연구 및 교범 등을 참조했다.
이수진 (2014) [9]은 육군교육사령부 전투발전세미나에서 미래지상군의 사이버 작전개념을 “공세적 통합 사이버 작전”으로 제시하였으며 사이버 작전 표적처리를 합동표적처리 주기 중 긴급 표적처리주기 6단계 F2TEA(Find, Fix, Track, Targeting, Engage, Assess)를 적용하여 지상작전과 사이버작전을 구분하여 각 단계별로 사이버 작전 행동을 제시하였다.
김기훈 등 (2016) [10]은 사이버 표적의 개념, 사이버 표적의 특징, 사이버 표적분류 및 표적추천에 대한 내용을 제시하였다. 사이버 표적 분류를 사이버전장 구성요소와 표적 속성과 특성, 마비 작전, 즉 전쟁수준에 의한 중심(Center of Gravity) 등을 고려한 방식으로 분류하고 있으며, 전략적 표적, 지휘통제요소, 구성요소, 취약점에 이르는 표적 간의 관계를 설정하고 이를 기초로 사이버 표적 추천절차를 1.표적 탐지 – 2.표적식별 – 3.표적분석 – 4.표적 선정 – 5. 주공격지점 결정까지 긴급표적처리주기에 준하여 제시하였다.
美 합참의장 지침 CJCSI 3370.01B (2016) [11]에서는 JP 3-60 (2020) [12]의 표적개발 분야를 보다 구체적인 내용을 기 술하고 있으며, 표적개발 단계별 절차 및 내용, 산출물과 개발단계에서 활용하는 전자표적폴더(Electronic Target Folders), 표적 DB 내용을 수록하고 있다. 그리고 합동 표적에 관한 데이터, 첩 정보 관계와 표적개발 역할과 책임, 표적처리 주기를 정의하고 표적체계 분석내용, 표적개발 단계별 기본·중간· 상세표적 개발에 대한 데이터 항목과 사례를 제시하고 있다
美 사이버사령부 현행작전부장 G. Franz [11]는 사이버 영역에서 합동군의 작전계획과 시행에 있어서 사이버공간 작전 효과 통합이 필수적이며, 사이버공간 작전에서 표적처리는 합동부대지휘관의 표적처리주기에 맞추어 사 이버표적처리주기의 시행하도록 제시하고 있다. 그리고, 표적처리 6단계 절차의 적용과 USCYCOM JIPTL(US Cyber Command Joint Integrated), 종합사이버 공격계획 MCAP(Master Cyber Attack Plan) 등 주요 작전문서, 협조 사항 등에 관하여 설명하고 있다.
이와 같은 연구 및 교범[9-12]들을 종합하면, 사이버 표적처리(Cyber Targeting) 절차는 그림 2와 동일한 단계를 적용하고, 합동작전의 표적처리절차와 연계하여 시행하고 있으며 단계별 내용 사이버작전에 부합하도록 조정하고 시행하고 있다. 그에 따라 본 연구에서는 사이버 작전 표적 처리 절차와 주요 활동 내용을 그림 3과 같이 정리했다.
(그림 3) 사이버 표적처리 절차
(Figure 3) Cyber targeting process
2.3 사이버 표적개발 및 우선순위 부여 절차
2.3.1 사이버 표적개발
표적처리(Targeting) 절차의 2단계 표적개발 및 우선순위 부여 단계에서는 표적개발을 위한 정보 수집과 표적 분석 및 인증, 우선순위 부여 등을 수행하며, 사이버 표적개 발도 군사작전의 절차를 동일 적용한다 [3]. 표적개발은 먼저 표적체계를 분석하고 이어 개체수준의 표적개발이 이루어지며 개체수준의 표적개발은 ①기본, ②중간, ③상세 표적개발 등 3단계로 구분된다. 각 단계는 표적의 기본정 보 식별, 기능적 특성 분석, 임무수행 등 표적처리 과정에 따라 요구되는 최소한의 필수 포함자료에 의해 구분된다.
사이버작전에 필요한 표적목록도 군사작전의 표적목 록을 준용하여 사이버작전에 적합하도록 목록을 유지 관리하며 표적 검증과 인증인 진행 중인 후보표적목록, 표적이 인증되어 교전에 특정 제한사항이 없는 사이버표적 목록(CTL), 사이버작전사령관 목표에 의거 우선순위화된 사이버우선순위표적목록 CPTL(Cyber Prioritized Target list) 등 다양한 형태로 생성과 관리를 해야한다.
2.3.2 사이버 표적 우선순위
군사표적의 우선순위는 합동군사령관 목표에 따라 구성군에서 추천한 표적추천목록 TNL(Target Nomination List)을 통합하고, 이를 지휘관의 목표와 작전적 관점에서 검토하여 선정한다. 사이버표적목록(CTL)에 대한 우선순위 부여도 지휘관의 목표에 따라 통상 사이버 전력 운용 지침에 명시된 사항을 적용한다.
작전적 관점 검토사항은 군사작전의 구성군사 표적추천 우선순위 선정 항목을 검토해 본 결과 전반적으로 지휘관의 목표 달성 여부와 작전 성공을 위해 피아 입장에서 중요성, 그리고 작전 목적과 기타 제한사항이 없는 표적의 적합성으로 표 1과 같이 3개 항목으로 선정할 수 있다.
(표 1) 구성군사 추천 표적 우선순위 기준항목
(Table 1) Component Military Recommendation Target Priority Criteria
미 합동 표적처리 교범[12] 에서는 군사작전표적 우선 순위 부여에 관련한 특별 고려사항을 제시하고 있다. 이를 요약하면 표 2와 같이 3가지 유형으로 정리할 수 있다.
상기 내용을 종합하면 표적 우선순위 산정에 고려할 항목으로는 ①지휘관의 목표 달성에 적절성(지휘관 목표, 운 용 지침 부합 여부 : 기준항목 1, 특별고려사항 1항목), ② 표적의 중요성(사이버공간 내 표적 간의 상대적 중요성 : 기준항목 2), ③표적 적합성(특별고려사항 2, 3항목)으로 총 3개 항목이 된다.
(표 2) 군사작전 우선순위 부여 특별 고려사항
(Table 2) Special considerations for prioritizing military operations
상기 내용을 기초로 사이버 표적에 우선순위를 부여 절차는 그림 4와 같이 설계하였으며 우선순위 분석항목을 지휘관 목표 부합성, 표적의 중요성, 표적의 적합성으로 선정하였으며 필요하면 추가, 제외할 수 있다. 사이버 표적 우선순위 부여 항목을 사이버작전의 특성을 고려하여 적용하고 정량화하여 종합하면 우선순위화 할 수 있으며, 이렇게 우선순위화 된 사이버표적목록은 사이버우선순위 표적목록 CPTL(Cyber Prioritization Target List)이 되어 표적처리 3단계(능력분석)과 작전계획 방책수립에 활용한다.
(그림 4) 사이버 표적 우선순위 부여 절차
(Figure 4) Cyber target prioritization process
본 연구에서는 사이버표적목록 CTL(Cyber Target List) 에 대한 우선순위를 부여하기 위하여 사이버표적 우선순위 분석 항목 중 표적의 중요성에 대한 정량화를 위해 표적별 중요성 점수를 산정과 우선순위화하는 방안을 제시하고자 한다.
2.3.3 사이버 표적 중요성 정의
군사작전에서 표적 중요성은 [8, 11, 12]을 참조하여 종합하면 표 3과 같이 정리될 수 있고, 이를 종합하면 적 방어작전의 중요 목표(지역, 시설, 노드 등)는 아 중요표적으로 선정할 수 있으며, 개별 표적 중요도 산정 상대적 우선순위로 적용할 수 있다.
표 3에서 정리된 군사작전 표적 중요성과 [3,4]를 종합한 사이버작전에서 표적 중요성 CTI의 정의는 사이버공간 내에서 사이버 표적들 간의 상대적 중요성을 의미한다. 이는 사이버 작전을 진행하는 상황일 때, 특정 표적을 공격하면 적에게 얼마만큼의 피해를 줄 수 있을 것인가에 대한 값이다. 따라서 적 사이버 자산 중에서 사이버 표적을 선정하고 표적의 가치(Value) 측면에서 2.2.1에 정의된 바와 같이 호스트를 우선 고려하여 표적의 중요성을 평가하는 방안이 필요하다.
(표 3) 군사작전에서의 표적 중요성
(Table 3) The importance of targets in military operations
2.4 사이버 자산 중요성 정량화 연구사례
2.2.1에서 사이버 표적을 물리적 네트워크 계층에 속하는 호스트(서버, 클라이언트)로 정의함에 따라 사이버 자산 중 호스트의 중요성을 도출하는 연구사례들을 조사했다.
2.4.1 PageRank 알고리즘
Page, Brin 등 (1998) [13,14]은 WWW(World Wide Web) 와 같은 하이퍼링크(Hyperlink) 된 문서 세트의 각 요소에 숫자 가중치를 할당하고 반복곱(Power iteration)을 수행하여 세트 내 상대적 중요성을 정량적으로 산출하는 PageRank 알고리즘을 제안했다.
PageRank 알고리즘은 링크를 무작위로 클릭하는 사람이 특정 페이지에 도착할 가능성을 나타내는 데 사용되는 확률 분포를 출력한다. 그리고 컴퓨터 프로세스가 시작될 때 수집할 수 있는 모든 페이지 간의 분포가 균등하게 나눠져 있다고 가정한다. 해당 확률은 0과 1사이의 숫 자 값으로 표현되며 예를 들어 0.3 확률은 일반적으로 어떤 일이 발생할 “30% 확률”로 표현된다. 즉, PageRank가 0.3인 페이지는 임의의 링크를 클릭하는 사람이 해당 문서로 연결될 확률이 30%임을 의미한다.
PageRank 계산 식은 식 1과 같으며, 식에서 사용하는 매개변수들의 정의는 표 4와 같다.
(표 4) PageRank 알고리즘 매개변수 정의
(Table 4) PageRank algorithm parameter definition
식 1을 분석하면, WWW에 존재하는 모든 페이지와 하이퍼링크는 정점(Vertex)과 호(Arc)로 표현될 수 있다. PageRank 알고리즘의 계산 예를 들어보면, 6개의 페이지 중 페이지 p1의 값을 도출하려고 한다. 이때, d의 값은 0이고 각 페이지가 보유하는 링크와 PageRank 값이 그림 5와 같을 때, p1의 PageRank 값은 1/6(전체 페이지 수) + {(0.1/5) + (0.3/2) + (0.05/1) + (0.2/10) + (0.3/3)} = 0.54와 같은 계산 식이 도출되어 계산할 수 있다.
\(P R_{p_{i}}=\frac{(1-d)}{n\left(M\left(p_{i}\right)\right)+1}+d \sum_{p_{j} \in M\left(p_{i}\right)} \frac{P R\left(p_{j}\right)}{L\left(p_{j}\right)}\) (1)
2.4.2 Event Prioritization Framework
Kim 등 (2014) [18]은 호스트에 대한 이벤트의 영향에 따라 우선순위를 결정하는 EPF(Event Prioritization Framework) 를 제안했다. 해당 프레임워크는 네트워크의 호스트 노출도, 자산 긴요도를 정량적으로 산출하고 호스트에 대한 이벤트(포괄적인 이벤트 효과도, 이벤트 클러스터링 등의 합) 또한 정량적으로 산출하여 호스트에 대한 이벤트 영향에 따라 우선순위를 결정하는 프레임워크를 제안했다
(그림 5) PageRank 계산 예제
(Figure 5) PageRank calculation example
호스트 노출도 HE(Host Exposure)는 호스트에 대한 각종 취약점들을 종합한 잠재적 공격 위험 수치로써, 계산 식은 식 2와 같으며, 식에 사용되는 매개변수들의 정의는 표 5과 같다.
(표 5) EPF 매개변수 정의
(Table 5) EPF parameter definition
자산 긴요도 AC(Asset Criticality)는 Yoon 등 (1995)이 제안한 TOPSIS [18] 알고리즘을 사용하여 App, Network, Data, Command, OS(Operation System)의 중요도를 고려하여 정량화했다
\(\begin{aligned} H E_{C, I, A}\left(h_{i}\right)=& I C_{C, I, A}\left(h_{i}\right) *(10-y) \\ & * M I_{C, I, A}\left(h_{i}\right)^{W_{M I *}} M V\left(h_{i}\right)^{W_{M V}} \\ & * A C A\left(h_{i}\right)^{W_{A C A}} \\ &+A T T_{C, I, A}\left(h_{i}, x, y\right) \end{aligned}\) (2)
2.4.3 호스트 긴요도 평가 사례
국방과학연구소에서 진행했던 프로젝트 일부로 네트워크 인프라에 사이버공격을 받았을 때, 임무 수행에 대한 영향성을 평가했다. 영향성 평가를 위해 자산과 임무에 대한 의존성을 Mapping 및 관리했으며, 호스트자산의 긴요도 (Criticality)를 평가하기 위해 표 6과 같은 지표를 사용했다.
3. Target Importance Rank 알고리즘 설계
본 장에서는 2.3의 사이버 표적개발 및 사이버 표적 중요성 내용을 종합하여 사이버작전에서의 표적 중요성 기준 항목 도출하고 2.4의 사이버 자산 중요성 정량화 연구사례 들을 종합하여 각 기준항목 점수를 정량화하는 TIR(Target Importance Rank) 알고리즘을 설계한다. 그리고 본 알고리즘을 검증하기 위한 시나리오(네트워크 토폴로지, 실험 데이터)를 STUXNET 사례를 기반으로 설계한다.
3.1 사이버표적 중요성 기준항목과 활용 파라미터 식별
2.3.3에서 정의한 CTI를 기준으로 사이버 표적 중요성의 정량화 방안을 2.4의 연구사례들을 활용하여 도출했다.
2.4.1의 식 1은 M(pi)등의 매개변수를 통해 각 페이지 간의 연결성을 계산하고 매개변수 d를 활용하여 확률 분포를 출력하였다. 따라서, 페이지 간의 연결성 정의를 호 스트 간의 연결성으로 바꾸고 d를 자산의 긴요도 등으로 정의를 바꾸면 해당 알고리즘을 활용하여 사이버 표적 중요성을 부여할 수 있다.
2.4.2의 식 2는 2.2.1에서 사이버 표적을 호스트로 정의함에 따라 호스트 노출도는 표적의 노출도로 귀결될 수 있으며 표적의 취약한 정도인 노출도를 EPF를 활용하여 정량적으로 산출할 수 있다.
마지막으로 2.4.3의 표 6 또한 2.2.1에서 사이버 표적을 호스트로 정의함에 따라 호스트를 공격하거나 호스트가 공격 당했을 때의 영향도인 긴요도를 정량적으로 계산할 수 있다.
이러한 연구결과들을 바탕으로 사이버 표적 중요성의 기준을 3가지로 표 7과 같이 정의하고 각각의 기준항목에 대한 점수들을 정량적으로 도출할 때, 활용될 수 있는 요 소(Factor)들을 표 8과 식별했다.
(표 7) 사이버 표적 중요성 기준항목
(Table 7) Cyber target materiality criteria
(표 8) 표적 중요성 기준항목 정량화를 위한 매개변수 식별
(Table 8) Identification of parameters for quantifying target importance criteria
표 8을 분석하면 식 1은 표적 중요성 기준항목을 2가지 이상 내포하고 있으며, 조사한 연구사례들의 요소들을 종 합하기에 적합한 알고리즘이다. 또한 표적 노출도를 정량화할 수 있는 식 2를 식 1과 적절하게 융합하면 표적의 중요성을 정량적으로 계산할 수 있다.
다음 장에서는 식 1을 활용하여 본 연구의 목적 달성에 사용할 TIR 알고리즘을 설계한다.
3.2 TIR 알고리즘 설계 및 우선순위 선정 방안
본 장에서는 표 7과 표 8에서 작성된 기준항목별과 식별된 매개변수들을 활용하여 항복 별 점수를 산정하는 방안을 제시한다. 그리고 산정된 점수를 종합하여 사이버 표적 점수를 계산하고 그를 활용해 우선순위를 선정하는 방안을 제시한다.
3.2.1 표적 연결도 점수 산정방안
사이버 표적을 호스트로 정의한 2.2.1에 따라 2.4.1의 정의인 링크를 무작위로 클릭하는 사람이 특정 페이지에 도달할 가능성을 공격자가 특정 호스트에 도달할 가능성으로 정의를 변환한다. 그에 따라 표 9과 같이 식 1의 매개변수들의 심볼(Symbol)과 정의를 변환했고 2.4.1의 식 1을 식 3과 같이 변환했다.
(표 9) PageRank 기반 표적 연결도 점수 산정 매개변수
(Table 9) PageRank-based target connectivity scoring parameters
\(P R_{h_{i}}=\frac{(1-d)}{n\left(M\left(h_{i}\right)\right)+1}+d \sum_{h_{j} \in M\left(h_{i}\right)} \frac{P R\left(h_{j}\right)}{L\left(h_{j}\right)}\) (3)
3.2.2 표적 긴요도 점수 산정방안
표 4의 d(Damping Factor)는 0~1 사이의 임의의 값을 대입한다. 이를 표적 중요성 산정방안에 부합되도록 표 6 의 지표를 활용하여 도출된 값을 10으로 나누어 산출한다. 여기서 2.4.1은 d의 값이 전역으로 적용되기 때문에 하나의 네트워크 군집에 속한 호스트들의 d값 평균을 산출하여 표 9 d의 점수를 그림 6과 같이 산정한다.
(그림 6) 표적 긴요도 점수 산정방안
(Figure 6) Target criticality score calculation method
3.2.3 표적 노출도 점수 산정방안
앞서, 표적 중요성 기준 중 표적 연결도와 긴요도를 도출하였고 최종적으로 표적 노출도는 2.4.2의 식 2 HE값으로 도출한다. 우선, HE의 정의를 ‘표적에 대한 각종 취약점들 을 종합한 잠재적 공격 위험 수치’로 변경하며, 도출된 HE 값을 기존 식 3과 같이 도출한 PageRank 기반 표적 중요성 부여식 내에 통합하여 TIR(Target Importance Rank)로 정의한다. 그에 따라 그림 7과 같이 PR을 TIR로 변경한다.
(그림 7) 표적 노출도 점수 산정방안
(Figure 7) Target exposure score calculation method
3.2.4 사이버 표적 중요성 점수 및 순위 산정 방안
3.2.1 ~ 3.2.3까지 사이버 표적 중요성 기준항목별 점수 산정 요소들을 그림 8과 같이 정리하고 표적 중요성 점수를 종합하기 위한 식 4를 도출한다.
(그림 8) 표적 중요성 기준항목별 연구사례들의 요소 연결
(Figure 8) Linking factors of research cases by target materiality criteria
\(\begin{aligned} T I R\left(h_{i}\right) &=H E_{C, I, A}\left(h_{i}\right) \\ & *\left\{\frac{(1-d)}{n\left(M\left(h_{i}\right)\right)+1}+d \sum_{h_{j} \in M\left(h_{i}\right)} \frac{T I R\left(h_{j}\right)}{L\left(h_{j}\right)}\right\} \end{aligned}\) (4)
식 4는 본 연구에서 제안하는 PageRank 알고리즘을 활용한 표적 중요성 점수를 도출하는 알고리즘 식이며, 사용하는 매개변수는 표 9의 내용을 준수하되 추가된 매개 변수와 정의가 바뀐 매개변수를 표 10과 같이 정의한다.
(표 10) TIR 매개변수
(Table 10) TIR parameters
(그림 9) 표적 중요성 우선순위 도출을 위한 논리적 네트워크 토폴로지 예시
(Figure 9) Example logical network topology for deriving target importance priorities
표적 중요성 우선순위를 도출할 네트워크 토폴로지를 그림 9와 같이 논리적 관계로 변환한 뒤, TIR 알고리즘을 활용하면 표 11과 같은 결과가 도출되어 TIR 점수를 내림 차순으로 정렬하면 위에서부터 중요한 표적들이 나열된다.
(표 11) 표적 중요성 우선순위 결과 예시
(Table 11) Example Target Materiality Priority Results
4. 실험 시나리오 설계 및 결과
4.1 실험 시나리오 설계
4.1.1 스턱스넷 사례 분석
이란 핵 발전소 SCADA 시스템을 파괴 및 무력화한 스턱스넷(STUXNET) 공격은 2007년부터 2012년 사이에 이뤄진 일련의 사이버공격으로 인해 이란 나탄즈(Natanz) 핵시설 내 원심분리기가 파손된 사건이다.[19-21]. 이란 핵시설 표적체계는 나탄즈(Natanz) 핵시설, 아락(Arack) 등으로 구성되며, 원심 분리기, 전력공급 시스템, SCADA 시스템 등은 표적 구성체(Component)로 볼 수 있다. 사이버표적(Cyber Target)은 사이버공간 3계층을 고려하여 PLC H/W, PLC 논리제어 S/W, 운용요원(USB) 등으로 식별하였다 [19,20].
SCADA 시스템은 실시간으로 데이터를 수집하여 통제하는 주요 장비로써 주로 발전소, 석유, 가스관, 정제소, 급수 설비 등 컴퓨터로 제어하는 핵심 기반시설에 설치되며 물리적 부분을 통제를 위해 PLCs (Programmable Logic Controllers) H/W를 사용한다. 스턱스넷이 표적으로 공격한 나탄즈 핵시설의 PLCs는 독일 지멘스(Simens)사의 Simatic Step 7 컨트롤러에 의해 운영되고 있었다. 스턱스넷은 이 시스템을 감염시켜 PLC 코드 블록을 변조, 변조된 코드는 숨기고 Step7이 호출될 때는 감춰진 변조 코드 블록이 시행되도록 하였다. 이러한 스턱스넷의 최종 공격대상은 S7-315와 S7-417이라는 두 가지 종류의 중앙처리장치였다. 이때 신뢰할만한 기업들의 인증서를 사용하여 자동 감지 시스템에서 노출되는 것을 방지하고 에어갭(Air-Gap)을 극복하고 시설 내 컴퓨터에 침입하기 위해 컴퓨터 간 혹은 컴퓨터와 USB 사이에 존재하는 취약점을 이용했다.
위의 본문을 분석해 보면 나탄즈 핵시설은 이란 핵시설 중 생산 및 농축시설로서 표적체계의 구성체로 구분할 수 있으며 표적으로는 원심분리기, 전력공급시스템, SCADA 시스템 등으로 분류할 수 있다. 표적의 선정은 SCADA 시스템과 이중 구성요소로서 PLCs를 선정하고 내부근무자 PC를 USB로 접속하는 접근로를 선택하여 공격을 수행했다
4.1.2 스턱스넷 사례 기반 네트워크 토폴로지 및 시나리오 데이터 구성
3.3.1에서 소개된 사례 [19,20]들과 [20]의 그림 10과 같은 스턱스넷 사례 기반으로 설계된 공격 그래프를 활용하여 시나리오를 구성했다. 작전의 목표 및 지휘관의 목표를 그림 10의 최하단 Target Industrial Process의 무력화를 목표로 하며, 사이버공간에서 작전을 수행한다고 가정한다. 그 후 그림 3의 사이버 표적처리 절차에 따라 분석된 표적들이 그림 11과 같은 네트워크 토폴로지 구조로 이루어져 있다고 가정한다.
(그림 10) 스턱스넷 사례 기반으로 설계된 공격 그래프
(Figure 10) Attack graph designed based on Stuxnet case
그림 10의 각 정점을 네트워크 구조를 나타낸 그림 11 에서는 하나의 노드라고 정의했다. 그리고 Printer Server, Employee Workstation, Laptop 등은 여러 노드가 있을 수 있다고 가정하여 노드의 개수를 2~5개 정도로 선정했다. 군집은 Initial Asset Layer와 Printer Server를 제외하고 그림 10의 각 Layer 단위로 군집을 형성했다. 또한, 각 군집은 스위치 하나로 이어져 있다고 가정하고 각 스위치들은 서로 일방향으로 이어져 있다고 가정했다.
(그림 11) 스턱스넷 사례 기반 네트워크 토폴로지(물리)
(Figure 11) Stuxnet case-based network topology (Physical)
본 연구에서 제안한 TIR을 수행하기 위해서는 그림 9와 같이 논리적 네트워크 토폴로지로 변환해야 한다. 변환과정은 스위치를 기준으로 군집 된(녹색 배경으로 군 집 된) 노드들은 스위치로 인해 서로 내부적으로 통신할 수 있다고 가정하고, 하나의 군집에 있는 노드들을 서로 연결하면 그림 12와 같이 변환할 수 있다.
(그림 12) 스턱스넷 사례 기반 네트워크 토폴로지(논리)
(Figure 12) Stuxnet case-based network topology (Logical)
그림 12의 노드 중 호스트들의 각 취약점 CVE(Common Vulnerabilities and Exposures) 등은 [19,20] 사례들과 그림 10을 종합하여 대입했다. 예를 들어 Engineering Station의 경우 그림 10에서 볼 때, 취약점과 관련된 호는 Network Share만 존재한다. 따라서, [19,20] 의 사례들에서 소개한 Network Share 취약점인 윈도우 쉘 LNK(CVE-2010-2568)를 취약점에 대입하고 취약점의 CVSS(Common Vulnerability Scoring System) v2 [CVSS 논문 번호] 매개변수 점수들을 대입한다. 그리고 이웃 호스트(같은 군집 내 존재하는 다른 호스트)의 개수는 총 2개로 이와 같은 해당 작업을 반복하여 표 12와 같이 실험에 사용될 데이터를 생성했다.
(표 12) 시나리오 데이터 일부
(Table 12) Part of the scenario datas
4.2 실험 결과
3.2에 작성한 TIR 알고리즘(식 4)과 우선순위 선정 방안을 표 12와 같이 구성한 시나리오 데이터에 대입하여 표적의 우선순위를 표 13과 같이 도출했다.
(표 13) TIR 알고리즘 실험 결과 데이터 일부
(Table 13) Part of the TIR algorithm experiment result datas
표적의 연결도는 2.2.1 사이버 표적의 정의에 따라 그림 12에서 녹색 상자로 군집화된 부분 중 스위치를 제외한 호스트끼리의 간선(Edge) 수를 대입했다. 표적의 긴요 도는 표 6에 따라 정성적인 항목들을 정량화하여 대입했고 표적의 노출도를 계산할 때 가중치는 MI: 1, MV: 0.5, ACA: 1로 선정했다. 그림 6의 과정까지 계산할 때, 최초 PR의 값을 0.1로 선정하고 벡터(Vector) 값을 유사하게 만들기 위해 반복곱을 4번 수행하여 연결도와 긴요도 점수를 종합했다. 마지막으로 노출도 값을 곱하여 TIR 점수를 산출하고 내림차순으로 정렬하여 표 13과 같은 결과를 최종 도출했다.
결과적으로 S7-315 PLCs이 가장 중요한 표적으로 선정되었으며, 그림 11에 순위 값을 입력하면 그림 13과 같은 화면이 만들어지고 이를 활용하여 지휘관이 표적 우선순위를 쉽게 이해하고 올바른 작전적 지침을 하달할 수 있을 것이다.
(그림 13) 네트워크 토폴로지 내 표적 우선순위 표기 예
(Figure 13) Example of target priority notation in network topology
5. 결론
본 연구는 사이버 표적 우선순위를 계산하기 위한 사이버 표적 중요성 부여 방안을 제시했다. 연구를 수행하기 위해 우선 국ˑ내외 교범들을 조사하여 표적의 중요성을 정의했다. 그리고 정의한 표적의 중요성 점수를 산출하기 위해 PageRank, Event Prioritization Framework, 호스트 긴요도 평가 사례들을 조사하여 표적 중요성 기준항 목을 도출하고 연구사례들의 식과 지표 등을 종합하여 Target Importance Rank 알고리즘을 설계했다. 이를 증명하기 위해 스턱스넷 사례를 분석하고 실험 데이터를 생성한 후 실험을 진행했다. 그 결과 작전의 목표와 물리적, 논리적으로 가장 근접한 S7-315 PLCs가 가장 중요한 표적으로 선정되었다.
본 연구를 활용 및 지속적인 연구를 통해 군에서 사이버 작전에서의 표적 우선순위를 정량적으로 선정할 수 있을 것으로 기대되며, 사이버보안 분야에서 Red-Team 임무 수행 시 공격자를 모델링 할 때 사용할 수 있을 것이다.
향후 연구는 BGP-Archive 등의 OSINT 데이터를 활용하여 아군 네트워크 지역, 적대적 네트워크 지역, 민간 네트워크 지역에 대한 정보를 수집하고 표적군을 식별한다. 그 후 표적에 대한 우선순위를 선정하고 표적을 공격하기 위한 방책선정까지 수행함으로써 사이버공격을 수행하기 위한 절차와 기법들을 더 발전시킬 예정이다.
References
- 문재인 대통령, "국가 사이버안보 전략", 청와대 국가안보실, pp.2, 2019.
- 합동참모본부, "합동교범 3-24 합동사이버작전", 2016.
- The Joint Staff, "Joint Publication (JP) 3-12, Cyberspace Operation", Washington, DC, June 2018.
- Department of the army, "FM 3-12 Cyberspace and Electromagnetic Warfare", Washington, DC, August 2021.
- 합동참모본부, "합동교범 3-8 합동화력운용", 2016.
- 합동참모본부, "합동교범 2-0 합동정보", 2010.
- 엄정호, "사이버공간에서 효율적인 정보활용을 위한 사이버 정보순환 및 융합체계 제안", 보안 공학연구논문지 제 11권 제 4호, pp.320, 2014.
- 이수진, "미래 지상군의 사이버작전 개념발전방안", 한국전략문제연구소 전투발전, 2014.
- Ki Hoon Kim, Jung ho Eom, "Modeling of Cyber Target Selection for Effective Acquisition of Cyber Weapon Systems", International Journal of Security and Its Applications, vol.10, no.11, pp.293-302, 2016. https://doi.org/10.14257/ijsia.2016.10.11.24
- Joint Chiefs of Staff, "CJCSI 3370.01B, Target Development Standards", May, 2016.
- G. Franz, "Effective Synchronization and Integration of Effects Through Cyberspace for the Joint Warfighter", United States Cyber Command, pp. 14-16, 14 AUG 2012.
- Joint Chiefs of Staff, "Joint Publication 3-60 Joint Targeting", June, 2020.
- S. Brin and L. Page, "The Anatomy of a Large-Scale Hypertextual Web Search Engine", Proc. Seventh World Wide Web Conf., pp. 107-117, 1998.
- L. Page, S. Brin, R. Motwani and T. Winograd, "The pagerank citation ranking: Bringing order to the web", Tech. Rep., 1998.
- R. E. Sawilla and X. Ou, "Identifying critical attack assets in dependency attack graphs", 13th European Symposium on Research in Computer Security (ESORICS), vol. 5283, pp. 18-34, 2008.
- K. Scarfone and P. Mell, "An analysis of CVSS version 2 vulnerability scoring", Proc. 3rd Int. Symp. Empirical Softw. Eng. Meas., 2009.
- A. Kim, M. H. Kang, J. Z. Luo and A. Velasquez, "A Framework for Event Prioritization in Cyber Network Defense", Tech. Rep., Jul. 2014.
- K. Yoon and C. Hwang, Multiple Attribute Decision Making: An Introduction, CA, Newbury Park:Sage, 1995.
- N. Falliere, L. O. Murchu and E. Chien, "W32. stuxnet dossier", White Paper Symantec Corp. Secur. Response, vol. 5, no. 6, pp. 29, 2011.
- IBM Security, "스턱스넷(Stuxnet) 상세 분석 보고서", 6 Dec, 2010.
- Nguyen, Hoang Hai, Kartik Palani, and David M. Nicol, "An approach to incorporating uncertainty in network security analysis", Proceedings of the Hot Topics in Science of Security: Symposium and Bootcamp, 2017.