Ⅰ. 서론
최근 산업안보위협이 고도화됨에 따라 개인 또는 전·현직의 이익을 위해 산업기술들을 유출하는 반면 현재는 범국가적으로 타국가의 신기술을 탈취하려는 목적의 사이버공격자 그룹을 지원하여 사이버공격을 감행하고 있어 정보유출에 대응할 수 있는 방안에 대한 중요성이 대두되고 있다[1].
국가정보원 산업기밀보호센터의 국정감사 자료에 의하면, 年 평균 산업기술유출을 피해를 받은 산업체의 예상 피해 금액은 한화 약 50조 원으로 이러한 결과는 중소기업 4,700여개의 연매출과 맞먹는 금액으로 분석되고 있다[2].
하지만, 산업기술유출 방법은 더욱 지능화되어 주요 국가 및 해외 기업들과의 치열한 경쟁관계인 국내기업 의 국가핵심기술들을 대상으로 사이버공격자 그룹을 활용하여 수단과 방법을 가리지 않고 탈취하려는 목적으로 지속 시도하고 있으며 산업기술위협을 효율적으로 대응할 수 있는 방안이 부족한 실정이다. 이러한 현실로 인하여 국가의 안전보장과 국민경제 발전에 중대한 악영향을 미치고 있다[2].
따라서 본 논문은 국가핵심기술 유출 사례를 바탕으로 정보탈취를 목적으로 하는 국가 배후 해킹조직의 침투 경로 및 공격 단계와 연계시켜 MITRE ATT&CK 프레임워크 기반의 산업기술위협을 대응할 수 있는 방안을 제안한다.
Ⅱ. 관련 연구
2.1. MITRE社 ATT&CK 프레임워크 분석
ATT&CK(Adversary Tactics and Techniques, Common Knowledge)는 MITRE社에서 제공하는 표준 프레임워크로 네트워크 내에 활동하는 공격자의 실제 행위를 기반으로 전술, 기술, 절차, 사용한 공격소프트웨어 등 사이버 킬체인 7단계를 14단계로 폭 넓은 공격 프로세스로 포맷한 프레임워크이다[6]. ATT&CK 기반의 공격자 전술단계 및 전략 패턴은 [표 1]과 같다.
[표 1] ATT&CK 기반 공격자 전술, 전략 패턴
2.2. 국가핵심기술 현황 분석
산업기술의 유출방지 및 보호에 관한 법률 제9조(국 가핵심기술의 지정 · 변경 및 해제 등)에 따라 지정된 국가핵심산업기술 현황은 [표 2] [표 3]과 같다[8].
[표 2] 국가핵심기술 총계 현황
[표 3] 국가핵심기술 현황 분석
2.3. 산업기술탈취형 사이버공격자 그룹 프로파일링
산업기술 탈취형 사이버공격자 그룹의 현황 분석은 [표 4]과 같다[4][5].
[표 4] 산업기술탈취형 주요 해커조직 프로파일링 결과표
2.4. 연도별 주요 산업기술 유출 현황 분석
국가정보원 산업기밀보호센터에서 조사한 연도별 주요 국가핵심 산업기술 유출 현황 분석은 [표 5]과 같다.
[표 5] 국가핵심 산업기술 유출 사례 분석
2.5. 산업기술 유출 환경 분석 및 주요 방법
본 장은 경찰대학 치안정책연구소에서 발표한 산업 기술 유출경로 연구 자료로 산업기술 유출 경로 분석 하여 정리한 것이다. 산업기술 유출 환경 분석 및 주요 방법 내용은 크게 1) 내부유출, 2) 외부유출, 3) 내부 유출 방법, 4) 외부 유출 방법 5) 산업기술 유출대상자, 6) 유출 방법을 [표 6]에서 분류하였다[9].
[표 6] 산업기술 유출 경로 분석
Ⅲ. MITRE ATT&CK 기반 기술
3.1. 주요 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어 분석
본 장에서는 2.3. 산업기술탈취형 사이버 공격자 그룹 프로파일링과 연계하여 ATT&CK 기반으로 적용한 주요 해커조직이 사용한 전술과 기법, 소프트웨어 등 공격 활동 분석 결과이다.
3.1.1. Chimera 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
Chimera 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 7]과 같다[10].
[표 7] ATT&CK 데이터 기반의 Chimera 해커조직의 국가핵심기술 탈취 목적의 공격전술 및 공격기법 분석 (일부)
3.1.2. Ajax 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
Ajax 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 8]과 같다[11].
[표 8] ATT&CK 데이터 기반의 Ajax 해커조직의 국가 핵심기술 탈취 목적의 공격전술 및 공격기법 분석(일부)
3.1.3. admin@338 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
admin@338 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 9]과 같다[12].
[표 9] ATT&CK 데이터 기반의 admin@338 해커조직의 국가핵심기술 탈취 목적의 공격전술 및 공격기법 분석(일부)
3.1.4. APT17 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
APT17 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 10]과 같다[13].
[표 10] ATT&CK 데이터 기반의 APT17 해커조직의 국가핵심기술 탈취 목적의 공격전술 및 공격기법 분석 (일부)
3.1.5. APT19 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
APT19 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 11]과 같다[13].
[표 11] ATT&CK 데이터 기반의 APT19 해커조직의 국가핵심기술 탈취 목적의 공격전술 및 공격기법 분석 (일부)
3.1.6. Bronze Butler 해커조직이 활용한 ATT&CK 기반의 공격 전술 및 소프트웨어
Bronze Butler 해커조직이 활용한 ATT&CK 기반의 공격 전술, 기법 및 소프트웨어 데이터를 구분 및 분석한 결과는 [표 12]과 같다[14][15].
[표 12] ATT&CK 데이터 기반의 Bronze Butler 해커 조직의 국가핵심기술 탈취 목적의 공격전술 및 공격기법 분석(일부)
3.2. ATT&CK 기반의 산업기술 유출방지 프레임워크 기술
현재 ATT&CK 기반의 사이버위협 대응 프레임워크는 주로 주요 해외 산업체에서 공동으로 발간하여 많이 활용하고 있다. 하지만, 국내에서의 활용빈도가 극히 낮으며 ATT&CK 데이터는 공격자에 대한 공격 전술, 기법, 대응 및 완화 정보 등 산업기술위협 대응과 유출 완화에 도움이 되는 중요 정보들이 데이터베이스화 되어 있다. 우리는 ATT&CK 데이터를 활용하여 산업기술위협을 대응할 수 있는 프레임워크를 체계화하여 국가핵심기술 유출을 최소화하고 완화할 수 있는 대응방안을 [그림 1]과 같이 제안하였다.
[그림 1] ATT&CK Data 기반의 산업기술 유출방지용 프레임워크 체계화 설계
주요 연구 목표는 산업기술유출의 원인과 사례, 공격 출처, 침투 경로 등을 상관관계로 분석하여 실시간으로 동기화하여 공격전술에서 발생되는 유출사고 사례에 대해 ATT&CK 데이터 기반으로 공격 출처를 자동으로 매칭되고, 공격원점에 대한 역추적하여 완화하는 등 산업기술 유출을 감소시키는 것을 목표로 제안되었다.
산업기술유출 방지용 프레임워크는 다음과 같다. 산업기술 유출 사례와 공격 출처, 공격원점을 추적할 수 있는 데이터들을 수집하여 데이터베이스를 구축 및 활용한다.
수집된 데이터는 국가핵심기술 유출 경로 및 주요 위협 동향과 비교 분석하여 내/외부에서의 유출 경로, 주요 보안 취약점 분류 및 유출 환경 분석 데이터를 ATT&CK 전술단계와 산업기술 위협 대응 인텔리전스에 실시간적으로 동기화하여 산업기술 유출을 지속 관제를 수행한다.
관제를 통해 ATT&CK 전술과 연계된 산업기술 위협 취약점들을 식별 및 분류할 수 있고, 이를 통해 공격 출처 정보와 매칭되어 공격을 행한 공격자 정보, 공격자 의도 파악 등 데이터를 추출할 수 있다.
추출된 데이터를 활용하여 실시간적으로 동기화할 수 있도록 연동된 데이터베이스에 ATT&CK 데이터 기반의 공격 기술 정보와 국가핵심기술 유출 완화 정보를 수집 및 보관할 수 있다. 수집 및 보관된 정보들을 조사 및 분석을 수행하여 결과가 나오면 산업기술 유출 시도 시 활용된 공격전술과 공격기법, 절차, 결과를 로그형식으로 추출할 수 있다.
Ⅳ. 결론
본 논문은 산업기술 유출 및 위협을 방지하고자 국가핵심기술 현황과 연도별 산업기술 유출 사례에 대해 분석하였다, 특히, MITRE社 ATT&CK 프레임워크, 산업기술탈취형 사이버공격자 그룹 프로파일링, 산업 기술 유출 환경 분석 및 주요 방법, 주요 해커조직이 활용한 ATT&CK 기반의 공격전술, 기법, 절차 등 공격자 행위에 대해 분석하였고, 최근 사이버안보 뿐만 아니라 산업안보의 중요성이 대두되어 산업기술 유출 방지 및 위협 대응에 대해 연구하여 ATT&CK 프레임 워크 기반의 산업기술위협 대응방안을 제안할 수 있었다. 본 논문을 통해 산업기술 유출사고에 대한 예방보안이 가능할 것으로 예상되며, 더 나아가 국가경쟁력 강화에 도움을 줄 것이라 기대된다.
참고문헌
- 한국인터넷진흥원, "2021 국가정보보호백서", 한국인터넷진흥원(KISA), pp. 1-284, May 2021.
- 장항배, "산업기밀 유출사고 사례분석을 통한 유형별 대응방안 연구", 융합보안논문지, 15(7), pp. 39-45, December 2015.
- 국가정보원 홈페이지, https://www.nis.go.kr
- KISA, "CyberSecurity Issue Report: TTPs#1 Analysis of Internal Network Penetration Cases through the website", Korea Internet & Security Agency (KISA), pp. 1-32, April. 2020.
- KISA, "CyberSecurity Issue Report: TTPs#2 How supply chain attacks are configured to gater information with spear phishing", Korea Internet & Security Agency (KISA), pp. 1-79, June. 2020.
- 안광현, 이한희, 박원형, 강지원, "국방 네트워크 환경에서 ATT&CK 기반 취약점 완화 체계 구축 방안", 융합보안논문지, 20(4), pp. 135-141, October 2020. https://doi.org/10.33778/kcsa.2020.20.4.135
- MITRE社 ATT&CK 홈페이지, https://attack.mitre.org/
- 국가법령정보센터, "산업기술의 유출방지 및 보호 에 관한 법률 제9조(국가핵심기술의 지정, 변경 및 해제)", https://www.law.go.kr/
- 최응렬, "산업기술 유출경로 연구", 치안정책연구, 26(1), pp. 225-259, March 2012. https://doi.org/10.35147/knpsi.2012.26.1.225
- KISTI, "KISTI 침해사고 대응 분석 보고서", 한국과학기술정보연구원, pp. 1-8, November 2015.
- FireEye, "M-TRENDS 2020", FireEye Mandiant Trends Report, pp. 1-60, 2020.
- FireEye, "China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Meida Outlets", FireEye Threat Research, January, 2015.
- FireEye, "APT37(REAPER) The Overlooked North Korean Actor", 파이어아이 위협 인텔리전스 보고서, pp. 1-16, Feb 2018.
- ZDNet, "Mitsubishi Electric discloses security breach, China is main suspect"
- ESTsecurity, "유럽 은행 당국, 익스체인지 서버 해킹 알려", 이스트시큐리티 국내외 보안동향, March 2021.