公共기관 사이버侵害 類型에 따른 危險度 分析과 對應方法에 關한 硏究 : 公共기관 바이러스 惡性코드 感染 事例를 中心으로

주차원 高麗大學校 情報保護大學院 2013 국내석사

정보 사회의 급격한 패러다임 변화로 정보화의 격차가 심화되어 정보화 도구의 신뢰성이 중요한 이슈로 부각되고 사이버 공간의 의존도가 높아진 반면에 사이버 공격에 대한 위협 요소는 지속적으로 증가되고 있다. 최근 국내 금융사와 주요 언론사 등 DDoS와 악성코드 등에 대한 공격으로 은행의 경우 전산망이 동시에 마비되는 증상이 발생되었고 일부 언론사에서는 개인 PC의 재부팅으로 오작동이 되어 전산망 전체가 마비되는 현상이 발생되는 등 해킹 공격에 의한 피해가 날로 증가되고 있다. 사이버공격 현황을 살펴보면 2009년도에 2만건 이상의 침해사고가 발생하였고, 그 후 2010년(16,000건 정도), 2011년(11,000건 정도)에는 줄어드는 추세이지만, 다시 2012년에는 2만여 건으로 침해사고가 약 1만건 정도가 기하급수적으로 증가되고 있는 추세이다. 이는 사이버 스파이 증가로 인한 기술정보의 유출과 개인정보 유출 증가로 인하여 사이버 사건들이 날로 증가하고 있다고 볼 수 있다. 국내 사이버 침해 추이 변화를 살펴보면 공격의 대상이 금융부문에 집중되었던 것이 최근에는 언론사까지 공격을 하는 것으로 파악되고 있으며, 공격 대상의 영역이 전방위로 확대되어 가고 있음을 알 수 있다. 따라서, 향후 전기, 철도, 항만, 항공, 가스, 석유화학 등 에너지 분야 등의 국가기반시설로 그 대상이 확대될 것으로 예측되고 있다. 현재까지 공공부문에 대한 사이버공격에 대한 구체적인 보고는 없었지만 공격을 받았을 경우에 발생하게 될 파괴력은 핵공격에 버금가는 것으로 국가 존립을 위협하는 피해를 줄 것으로 예상되고 있다. 본 논문에서는 국내 사이버 공격현황 및 대응기술을 고찰하고 산업통상자원부 사이버안전센터에서 관제를 받고 있는 국내 원자력 관련 공공기관을 대상으로 매월 탐지되고 있는 사이버 침해에 대한 유형을 경유지 악용, 자료훼손 및 유출, 단순침입시도, 웜·악성코드, 서비스 거부공격 등으로 분류하고 해당 공격을 분석하여 취약한 부분을 지속적으로 개선해 나갈 예정이다. 또한 사이버공격에 대한 기술적‧정책적 대응 체계를 수립하여 비용 및 대응 개선 효과를 얻는데 그 의의가 있다. 이와 같이 분석 자료를 바탕으로 사이버공격에 대한 연구를 병행하여 지금의 낙후된 공공기관의 사이버 보안에 대한 인식 변화 및 기술적‧정책적 대응을 지속적으로 보완함으로써 사이버 보안 종사자들이 보안성이 확보된 장비 도입과 기존 시스템의 점검을 통한 보안수준 향상, 보안성이 고려된 유지보수 계획수립 등 증가하는 사이버보안 위협에 능동적으로 대응할 수 있는 보안활동을 수행하는데 활용하고자 한다.

공공분야 보안관제 업무에 대한 평가지표 개발 연구

이현도 고려대학교 정보보호대학원 2012 국내석사

사이버공격이 점차 일반 정보시스템(IT)에서 전력, 원자력, 금융 등 사회기반시설 제어시스템을 대상으로 그 범위가 넓어지고 공격수법 또한 지능화되어 상당한 수준으로 발전되고 있다. 정보시스템의 도움 없이는 국가체제의 원활한 운영, 관리, 통제가 어려운 현실에서 효과적으로 사이버공격에 대응할 수 있도록 국가차원의 보안체계가 필요한 때이다. 과거의 물리적 전쟁에서 이제는 국경이 없는 사이버공격을 통한 소리 없는 전쟁으로 발전되고 있다. 이에 따라 정부는 종합적이고 효과적인 사이버공격 방어체제를 구현하기 위해 각 공공분야(에너지, 국방, 교육 등) 대상으로 사이버 보안관제센터를 설치,운영,위탁토록 ‘국가사이버안전관리규정’에서 규정하고 있다. 따라서 중앙행정기관, 지방자치단체 및 공공기관 대상 보안관제 업무는 별도의 평가기준을 만족하는 보안관제 전문업체를 선발하여 보안관제 업무를 수행토록 하는 등 민간기업 대상 보안관제업무와 점차 구분되어지고 있으며, 대다수 중앙부처가 사이버안전센터를 구축하여 운영하고 있으나 기준이 되는 보안관제 업무평가 지표 및 제도가 부재하여 업무 관리실태를 파악할 수 없는 실정이다. 따라서 공공분야 보안관제센터(부문보안 관제센터)의 지속적인 발전을 위해서는 업무 관리실태 평가를 위한 기준 및 제도가 필요하다. 또한 정부는 공공분야 기관의 정보보안 관리실태를 평가하면서 각 기관의 사이버안전센터에 대한 업무평가는 수행하지 않는다. 많은 사이버안전센터가 구축, 운영되고 있는 상황에서 해당 기관 사이버안전센터의 업무평가가 반영된다면 좀 더 의미있는 평가가 이루어질 것이다.

에너지분야 사이버안전지표 구현에 대한 실증연구

양선웅 高麗大學校 情報保護大學院 2013 국내석사

최근 빅데이터, 클라우드, 스마트폰 등 인터넷과 컴퓨팅 기술의 발전에 따라 언제·어디서나 컴퓨터와 인터넷을 이용할 수 있는 유비쿼터스 환경이 가속화되고 있다. 또한, 트위터, 페이스북 등으로 대변되어지는 소셜네트워크 서비스도 폭발적으로 확대되고 있다. 이렇듯 각 개인과 국가 그리고 전 세계는 첨단 IT기술로 하나로 연결되고 있고, 현실세상과 사이버세상은 경계가 없어지고 늘 공존하고 있다. 그러나, 이러한 정보화시대의 역기능 또한 점차 커져가고 있다. 각종 사회기반시설을 중심으로 빠르게 발전하고 있는 정보화와 더불어 새로운 보안취약점 및 사이버위협이 커질 것으로 예상되고 있다. 가까이는 3.20사이버테러와 2009년에 발생한 바 있는 7.7DDoS, 3.4DDoS공격으로 사회적으로 큰 혼란을 겪었고, 간간히 발생하는 산업기술 유출사고는 국가경제에 큰 손실을 입히고 있으며, 언제 있을지도 모르는 개인정보 유출사고는 일반 국민들까지 불안에 떨게 하고 있다. 이렇듯 사이버안전이 보장되지 않은 IT발전은 오히려 국가 및 사회에 더 큰 혼란을 야기 할 수 있다. 만약 전력 등 에너지·산업분야 국가기반시설이 사이버테러에 의해 시스템이 마비될 경우에 그 피해는 국민생활이 잠시 불편함을 넘어서 교통·통신·의료 등 사회기반이 송두리째 마비되는 국가적 재앙으로 연결될 수 있다. 그러한 예로 2010년에는 에너지분야 제어시스템을 공격목표로 하는 세계 최초의 사이버무기라 불리우는 “스턱스넷 웜”이 출현한 바 있으며 이외에도 APT공격 등 지능화·첨단화 되고 있는 사이버위협이 지속적으로 증가하고 있는 추세이다. 미국은 ‘육’·‘해’·‘공’·‘우주’에 이어 "사이버공간"을 “제5의 전장”으로 규정한 것은 사이버위협 패러다임이 사이버전 수준으로 변화하고 있음을 보여주고 있으며, 지금 이 순간에도 세계 각국은 눈에 보이지 않는 치열한 사이버전쟁을 치르고 있다. 우리나라도 이러한 흐름을 반영하여 사이버사령부가 창설되기도 하였듯이 이제 안보환경도 육·해·공 물리적 방어개념에서, 사이버분야가 더욱 중요시 될 것으로 예상되어 진다. 그 동안 우리나라는 정부·공공기관·민간 등 각 분야에서 사이버위협에 대응하기 위한 법·제도를 제정하거나 정비하고, 많은 예산과 인력을 투자하는 등 꾸준한 노력을 하여왔지만, 아직까지도 보안은 일부 보안담당자만이 책임지는 것으로 인식되어 지고 있고, 전사적인 보안활동 및 역량이 집중되지 않고 있다. 무엇보다 각 기관별 업무영역이나 특성, 자산중요도 등 다양한 요인들을 반영한 보안수준을 비교 분석할 수 있는 체계가 미흡하여 현재의 사이버방어수준을 종합적이고 객관적으로 파악하기에 어려움이 있으며 이로 인해 각종 사이버위협에 정확하고 시의적절한 대응보다는 침해사고 후 대응책 마련이라는 악순환이 반복되고 있다. 따라서 나날히 진화하는 새로운 사이버공격을 선제적으로 방어하기 위해서는 대책마련이 시급한 실정이다. 피터드러커는 “측정할 수 없는 것은 관리할 수 없으며, 관리할 수 없는 것은 개선할 수 없다”라고 언급한 적이 있다. 지금 이순간에도 수많은 사이버위협이 우리나라의 핵심 정보자산을 노리고 있다. 사이버 안보환경은 실시간으로 변화하고 있기 때문에 이에 대한 사이버방어역량도 실시간으로 관리하고 향상시켜야 하는 것이다. 따라서 사이버방어 수준을 제고하고 다양한 사이버위협에 효과적으로 대응하기 위해서는 기관별 특성(자산·위험도)을 고려한 보안수준을 파악할 필요가 있다. 본 논문에서는 에너지·산업분야의 기관별 보안수준을 측정하고, 주기적 모니터링, 추이분석을 통해 효과적 보안관리가 가능하도록 실제 구현가능하고 실행력이 있는 지표를 도출하고, 이를 통해 각 기관의 보안수준을 임직원 그리고 정부가 함께 공유함으로써 보안수준의 지속적인 제고를 위한 의사결정 및 보안활동을 이끌어 내기 위한 방안을 모색하고자 한다.

원전 제어시스템 사이버보안 규제법률 강화에 따른 영향 분석 및 규제 개선방안 연구

권기동 고려대학교 정보보호대학원 2019 국내석사

원자력발전소, 전력시설 등 국가 주요기반시설을 목표로 하는 사이버위협이 지속적으로 증가하고 있다. 2010년 스턱스넷 악성코드로 인한 이란 원전시설 파괴, 2014년 일본 몬주원전 해킹시도, 2014년 한수원 자료해킹, 2015년 우크라이나 발전소 공격에 따른 대규모 정전 등이 대표적인 주요시설 사이버공격 사례로 볼 수 있다. 이러한 공격사례가 지속 발생함에 따라 세계 각국은 주요기반시설 보호를 위한 제도적인 대책을 마련하고 있다. 국내의 경우 2001년에 제정한「정보통신기반 보호법」을 근간으로 주요정보통신기반시설을 지정하고 지정된 시설에 대한 사이버보안 규제를 시행하고 있으며, 규제대상 시설을 점차 확대하여 왔다. 원자력발전소는 2011년도에 주요정보통신기반시설로 지정되었으며 원자력발전소 내부에서 운영되는 제어시스템이 그 대상이 되었다. 또한 정부는 원전에 대한 사이버보안을 보다 더 강화하기 위하여 2015년에 「원자력시설 등의 방호 및 방사능방재 대책법」을 개정하여 원전안전과 관련되는 제어시스템, 보안시스템, 비상대응시스템에 대한 사이버보안 규제를 추가하였다. 따라서 원전 제어시스템의 사이버보안은 「정보통신기반 보호법」과 「원자력시설 등의 방호 및 방사능방재 대책법」에 의해 이중으로 규제를 받게 되었다. 동일한 제어시스템을 대상으로 사이버보안 규제가 중복되면서 사이버보안이 강화되는 긍정적인 측면도 있지만 부정적인 면도 나타나게 되었다. 본 논문에서는 「정보통신기반 보호법」과 「원자력시설 등의 방호 및 방사능방재 대책법」이 중복으로 원전 제어시스템에 대한 규제를 시행함으로써 나타나는 장·단점을 비교 분석한 결과를 토대로 향후 원전 제어시스템 사이버보안 규제정책에 대한 개선방향을 제시하고자 한다. Cyber ​​threats targeting major national infrastructure such as nuclear power plants and electric power facilities are continuously increasing. The destruction of Iranian nuclear facility due to the 2010 Stuxnet malicious code, the hacking of Monju nuclear power plant in Japan in 2014, the hacking of KHNP in 2014, and the massive power outage following the attack on Ukraine's power plant in 2015 are representative examples of cyber attacks. As these attacks continue to occur, countries around the world are preparing institutional measures to protect major infrastructures. In Korea, based on 「The Act on the Protection of Information and Communication Infrastructure」enacted in 2001, Critical information and communication infrastructures have been designated and cyber security regulations have been imposed on designated facilities, and regulated facilities have been gradually expanded. Nuclear power plants were designated as Critical information and communication infrastructures in 2011, and control systems operated inside nuclear power plants were the subject of that. In order to further strengthen the cyber security of nuclear power plants, the government revised 「The Act on Physical Protection and Radiological Emergency」 in 2015 to establish the cyber security regulations for nuclear safety control systems, security systems and emergency preparedness systems. Therefore, the cyber security of the nuclear control system is regulated by 「The Act on the Protection of Information and Communication Infrastructure」 and 「The Act on Physical Protection and Radiological Emergency」. Cyber ​​security is strengthened by the duplication of cyber security regulations for the same control system, but there is a negative aspect as well. In this paper, based on the results of comparing the shortcomings and disadvantages of the regulation of nuclear power control system due to the overlapping of 「The Act on the Protection of Information and Communication Infrastructure」 and 「The Act on Physical Protection and Radiological Emergency」, I would like to suggest ways to improve the regulatory policy.

에너지 분야 주요기반시설 사이버보안 강화방안에 관한 연구

정나영 상명대학교 경영대학원 2018 국내석사

With the recent convergence of IT technologies, the environment surrounding the Critical infrastructure is changing from the existing independent and closed environment to the open environment. Also, As cyber attacks increase, the stable and continuous operation of the main infrastructure It is in danger. In particular, in the energy sector, cyber threats may not only result in an end to systems and critical services, but may lead to economic and financial turmoil, Therefore, there is a need for a cybersecurity capability enhancement plan that can cope with this. This paper, first, analyzes the security threats according to the characteristics of the Critical infrastructure of the energy sector and environment, and analyzes the necessity and importance of protection. Then, compared the strategies and policies established in Korea and abroad, the system for responding to cyber risk, and the organization for continuous communication and information sharing. Lastly, This paper emphasize the necessity of management evaluation system, in order to continuously respond to cyber threats at the national level. The basic direction for the construction of the energy management evaluation system was set to reflect the characteristics of the energy sector and the elements for responding to security threats, based on the items of the management evaluation system currently being implemented in Korea . The international standard used in this process is ISO / IEC27019, NERC CIP002-009, which is an international standard that is mainly used for building cybersecurity regulation and management evaluation of Critical infrastructure of energy sector. Finally, the elements are 13 items in five areas(information security organization, human security, physical and environmental security, communication and operation management, and business continuity). In addition in order to strengthening cybersecurity, It is also necessary to establish an integrated policy as a support plan to implementing effective measures and continuously monitoring and managing cybersecurity. Also, It is necessary to provide a plan to cultivate professional manpower by establishing a human resources framework so that appropriate manpower can be provided for the protection of major infrastructure. keyword: Critical Infrastructure Protection, Cybersecurity, Energy Sector, Policy Direction 최근 주요기반시설에 IT 기술이 융합됨에 따라 주요기반시설을 둘러싼 환경이 기존의 독립적·폐쇄적 환경에서 개방적인 환경으로 변화하고 있으며, 목적성 있는 사이버 공격이 증가함에 따라 주요기반시설의 안정적이고 지속적인 운영이 위험을 받고 있다. 특히 에너지 분야의 경우 사이버 위협이 발생할 시 단순히 주요기반시설의 시스템 및 주요 서비스가 중단되는 것으로 끝나는 것이 아니라 경제적 및 재정적인 혼란을 초래할 수 있으며, 심지어 원자력의 붕괴는 인명 피해 및 막대한 환경 피해가 발생할 수 있기 때문에 이에 대응 할 수 있는 사이버보안 역량 강화방안이 요구된다. 본 논문은 먼저 에너지 분야 주요기반시설의 특성 및 환경의 변화에 따른 보안 위협을 분석하고, 보호의 필요성 및 중요성을 분석하였다. 이어서 에너지 분야 주요기반시설의 사이버보안 강화를 위해 국내·외에서 수립하고 있는 전략 및 정책을 비롯하여 사이버 위험에 대응하기 위한 체계, 지속적인 커뮤니케이션과 정보 공유를 위한 조직 등을 비교·분석 하였다. 그 결과 국내는 미국, EU, 영국에 비해 에너지 분야 주요기반시설을 둘러싼 다양한 보안 위협 상황에 대응 할 수 있는 정책 체계를 갖추지 못하고 있으며, 보호 대책의 효과성 및 지속적인 운영 현황을 점검 할 수 있는 관리평가 체계가 에너지 분야의 특수성을 반영하지 못하다는 한계점이 도출되었다. 따라서 본 논문에서는 에너지 분야 주요기반시설의 보호 필요성을 강조하고 지속적으로 사이버 위협에 대응하기 위해서는 국가 차원에서 위험관리 차원의 관리평가체계를 구축하고, 지속적으로 관리하는 것이 중요하다고 판단하였으며 국제표준을 활용하여 관리평가체계 구축 시 필요한 항목을 도출하였다. 본격적인 분석 이전에 에너지 분야 관리평가체계의 구축을 위한 기본 방향은 현재 국내에서 수행하고 있는 관리평가 체계의 항목을 기본으로, 에너지 분야의 특성 및 보안 위협 요소에 대응하기 위한 요소를 반영하는 것으로 설정하였다. 이와 같은 과정에서 사용된 국제 표준은 에너지 분야 주요기반시설의 사이버보안 규정 및 관리평가 구축에 주로 활용되는 국제 표준인 ISO/IEC27019, NERC CIP002-009 으로 두 표준의 비교를 통해 에너지 분야 사이버보안 강화에 필요한 요소로 11개 분야, 29항목, 62개 항목을 도출하였다. 이후 국내 주요기반시설의 관리평가체계로 활용되는 ISMS 항목과의 비교를 통해 에너지 분야의 특수성 및 주요기반시설 환경의 변화를 모두 반영하지 못하는 한계점이 있음을 도출하였으며, 마지막으로 기존의 국내 관리평가체계 항목에는 포함되어 있지 않은 항목을 중심으로 에너지 분야 관리평가체계 구축 시 새롭게 추가되어야 할 항목을 도출하였다. 최종적으로 도출된 요소는 5개 분야(정보보안 조직, 인적보안, 물리 및 환경보안, 통신 및 운영관리, 비즈니스 연속성)의 13항목이며, 이러한 항목을 반영한 관리평가 체계를 구축하여 에너지 분야 주요기반시설의 사이버보안의 강화를 위해서 요구되는 대책을 수립 및 구현뿐만 아니라 지속적으로 점검·관리하기 위한 평가 항목의 부족 문제 해소에 기여하고자 한다. 또한 관리평가체계 구축 외 사이버보안 강화를 위한 지원 방안으로 통합적인 정책을 수립하여 효과적인 대책 구현과 함께 이를 지속적으로 점검 및 관리하기 위한 관리평가체계의 수립 기반을 마련하여야 하며, 국가 차원에서의 사이버보안 인력 프레임워크 수립 등을 통한 전문 인력 양성 방안을 제시하여 주요기반시설 보호에 알맞은 인력이 수급될 수 있도록 해야 한다. 주요어: 주요기반시설, 에너지 영역, 사이버보안, 정책 방안

원자력시설 사이버보안 규제체계 개선 방안에 대한 연구

표흥섭 고려대학교 정보보호대학원 2018 국내석사

최근 사이버보안 위협은 기존 개인 중심의 단순 공격에서 국가중심의 정교한 사이버전 양상으로 진화하고 있으며, 국가 기반 시설에 대한 사이버공격 또한 급증하고 있다. 2010년 Stuxnet이 이란의 원자력 시설을 공격하여 이란 핵 프로그램을 지연시킨 사건 이후에도, Duqu, Flame 같은 기반시설과 제어시스템을 공격대상으로 하는 사이버보안 위협은 계속되고 있다. 국제사회는 원자력시설에 대한 사이버보안 위협에 대응하기 위해 규제요건을 강화하고, 사이버보안 기술개발과 대응활동에 노력을 기울이고 있다. 미국NRC(Nuclear Regulatory Commission)에서는 Regulatory Guide 5.71을 제정하여 원자력 시설의 사이버보안 강화를 규제하고 있고, 국내에서는 원자력안전위원회(원자력통제기술원)에서「원자력시설 등의 방호 및 방사능 방재 대책법」에 의한 사이버보안 규제를 2015년부터 본격적으로 시행하고 있다.[1] 아쉽게도 규제활동이나 기준들이 高위험 시설인 원자력발전소를 기준으로 개발되다 보니, 상대적으로 低위험 시설인 방사성폐기물 처분시설 등 기타 원자력시설에 적용되었을 때 범위나 통제항목들이 상이한 부분을 발견할 수 있었다. 본 논문에서는 원자력시설 준위별 현황파악 및 국내·외 원자력시설 사이버보안 규제 현황을 분석하여 기타 원자력시설에 규제를 적용하였을 때 발생하는 문제점을 살펴보고 개선방안을 도출하며, 현재 정성적으로 평가하고 있는 원자력시설 규제체계에 대해 정량적인 평가지표를 개발하여 규제기관과 사업자간의 논란을 불식시키고자 정량적인 평가지표를 예를 들어 제시하고 제시된 지표를 중저준위방사성폐기물 처분시설에 적용한 결과를 도출하였다.

사이버보안 프레임워크 기반의 보안 오케스트레이션 서비스 모델 제안

이세호 배재대학교 일반대학원 2021 국내박사

본 논문의 목적은 사이버 보안 프레임워크 기반으로 이미 도입되어 개별 운영 중인 각종 보안 솔루션들을 잘 조합하여 새로운 보안 오케스트레이션 서비스 모델을 제안하는 것이다. 이 모델의 핵심은 AI 기술을 통한 자동 정·오탐 판단과 RPA 기술을 통한 자동 티켓팅 기능이라고 할 수 있다. 현재 고도화 지능화된 사이버 공격에 대응하고자 각종 단일 보안장비와 이를 통합 관리하는 SIEM과 AI솔루션까지 구축되었다. 그리고, 체계적인 대응과 예방을 위한 보안 관제센터 개소와 사이버 보안 프레임워크들이 발표되고 있다. 그러나 현실은 문서중심의 사이버보안 프레임워크와 한정된 보안인력으로 인해 IPS/TMS의 주요 탐지 이벤트의 단편적인 침해대응의 관제형태를 벗어나기 힘든 상항이다. 이러한 문제점 개선을 위해 본 논문의 모델 기반으로 업무 특성과 취약한 자산 식별을 통해 보호해야 할 관제대상을 선정한 후, SIEM으로 빅데이터를 수집을 한다. 자산 정보를 기반으로 위협정보를 통해 사전 예방 방법과 세가지 탐지 전략과 2가지 대응 방안을 수립하였다. AI와 SIEM을 통해 공격 여부를 빠르게 판단하고, 방화벽과 IPS에 자동 차단이 되도록 연계하였다. 또한, AI 지도학습으로 TMS/IPS의 탐지 이벤트를 자동 판별하고 자동 침해사고 처리함으로 관제업무의 효율성 향상을 증명하였다. 단순 반복 업무는 기계들이 처리하고, 사람은 심층 분석을 할 수 있는 업무 환경을 마련하였다. The purpose of this paper is to propose a new security orchestration service model by combining various security solutions already introduced and operated individually based on the cyber security framework. The core of this model can be said to be automatic false positive judgment through AI technology and automatic ticketing function through RPA technology. In order to cope with the current advanced and intelligent cyber attacks, various single security devices and SIEM and AI solutions for integrated management have been established. In addition, the opening of a security control center and cyber security frameworks for systematic response and prevention are being announced. However, the reality is that it is difficult to escape the control form of fragmentary intrusion response of major detection events of IPS/TMS due to the document-centered cyber security framework and limited security personnel. In order to improve these problems, based on the model of this paper, after selecting a control target to be protected through identification of business characteristics and vulnerable assets, big data is collected through SIEM. Based on the asset information, a proactive prevention method, three detection strategies, and two countermeasures were established through threat information. Through AI and SIEM, the attack was quickly determined, and the firewall and IPS were automatically blocked. In addition, AI supervised learning automatically identifies TMS/IPS detection events and automatically handles intrusion incidents, thus demonstrating the improvement of the efficiency of the control work. Simple repetitive tasks are handled by machines, and humans have a working environment for in-depth analysis.

인공지능 기술의 통합보안관제 적용 및 사이버침해대응 절차 개선

고광수 배재대학교 대학원 사이버보안학과 2021 국내석사

In this paper, an improved integrated security control procedure is newly proposed by applying artificial intelligence technology to integrated security control and unifying the existing security control and AI security control response procedures. Current cyber security control is highly dependent on the level of human ability. In other words, it is practically unreasonable to analyze various logs generated by people from different types of equipment and analyze and process all of the security events that are rapidly increasing. And, the signature-based security equipment that detects by matching a string and a pattern has insufficient functions to accurately detect advanced and advanced cyberattacks such as APT (Advanced Persistent Threat). As one way to solve these pending problems, the artificial intelligence technology of supervised and unsupervised learning is applied to the detection and analysis of cyber attacks, and through this, the analysis of logs and events that occur innumerable times is automated and intelligent through this. The level of response has been raised in the overall aspect by making it possible to predict and block the continuous occurrence of cyberattacks. And after applying AI security control technology, an improved integrated security control service model was newly proposed by integrating and solving the problem of overlapping detection of AI and SIEM into a unified breach response process(procedure). 본 논문에서는 통합보안관제에 인공지능 기술을 적용하고, 기존의 보안관제와 인공지능 보안관제 대응 절차를 일원화한 개선된 통합보안관제 절차 새롭게 제안하였다. 현재의 사이버보안관제는 사람의 능력 수준에 의존도가 매우 높다. 즉, 사람에 의해 여러 이기종 장비에서 발생하는 다양한 로그를 분석하고, 급증 하는 보안이벤트를 모두 분석하여 처리한다는 것은 사실상 무리가 있다. 그리고 문자열과 패턴의 일치로 탐지하는 시그니처 기반의 보안장비는 APT(Advanced Persistent Threat)와 같은 고도화, 지능화된 사이버공격을 정확히 탐지하기에 기능상 부족한 면이 있다. 이러한 현안 문제들을 해결하기 위한 하나의 방안으로 인공지능 기술인 지도․비지도학습의 기술을 사이버공격 탐지 및 분석에 적용하고, 이를 통해 수 없이 많이 발생하는 로그와 이벤트의 분석을 자동화 하고, 이를 통해 지능화된 사이버 공격이 지속적으로 발생하는 것을 예측․차단할 수 있도록 하여 전반적인 측면에서 대응수준을 높였다. 그리고 인공지능 보안관제기술을 적용한 후 AI와 SIEM의 중복 탐지 문제점을 일원화 된 침해대응 프로세스(절차)로 통합하여 해결함으로써 개선된 통합보안관제 서비스 모델을 새롭게 제안하였다.

원전 디지털 제어시스템 공급망 보안에 관한 연구

김현호 고려대학교 정보보호대학원 2018 국내석사

원자력발전소를 비롯한 에너지 국가기반시설에 설치된 디지털 제어시스템(Industrial Control System)은 대부분 외부와 연결되어 있지 않은 독립적인 네트워크를 구성하고 있다. 독립망으로 구성되어 있는 디지털 제어시스템은 외부와 연결이 되어있지 않으므로 외부 네트워크을 통한 사이버 공격이 원천적으로 차단되어 일반적으로 사이버 공격에 안전하다고 인식되어 왔다. 그러나, 2011년 이란의 원자력 시설에 대한 스턱스넷 공격으로 외부와 네트워크로 연결되어 있지 않은 디지털 제어시스템도 사이버 공격이 가능하다는 것이 확인되었다. 디지털 제어시스템 유지보수, 정보취득을 위한 이동형 저장장치(USB) 등의 사용은 스턱스넷의 공격 사례와 같이 독립망으로 구성된 디지털 제어시스템으로 공격 경로를 제공할 수가 있다. 같은 맥락에서 디지털 제어시스템 공급망(Supply Chain)은 사이버 공격 경로 중 하나가 될 수도 있다. 디지털 제어시스템 공급망은 원자력발전소 운영의 전 생명주기에 걸쳐 핵심 요소로 자리 잡고 있다. USB를 통한 공격경로는 USB 포트의 제거, 봉인 등 단순한 물리적인 보안조치를 통해 비교적 쉽게 공격을 완화 및 차단할 수 있지만, 공급망을 통한 사이버공격 경로는 복합적으로 구성되어 단순한 물리적 보안조치만을 통해 공격경로를 완화하거나 차단이 불가능하다. 본 논문에서는 원자력발전소의 디지털 제어시스템 공급망을 통한 사이버공격의 완화 및 차단을 위해 원자력발전소 디지털 제어시스템 사이버보안 기술기준을 기반으로 공급망 사이버보안 요구사항을 분석하고, 공급자와 원자력발전소 운영자가 사이버보안 요구사항에 따라 공급망 보안 확보를 위한 절차 수립 방안을 제시하고자 한다.

어플리케이션 서버의 보안 취약점 개선 특성 및 대응 방안에 관한 연구

최승인 고려대학교 정보보호대학원 2014 국내석사

농협, 현대캐피털 등 금융권에 대한 공격과 최근의 3.20 사이버테러 등에서 보듯이 근래의 사이버 공격은 피해 기업의 대규모 경제적 손실 뿐만아니라 사회적 혼란을 동반하는 경우도 많아지고 있다. 최근 들어서는 중국, 북한 등의 사이버 공격 능력이 재평가되고 있고, 원전·전력망 등 국가의 주요 에너지 기반시설을 목표로 하는 사이버공격 시도도 갈수록 증가하고 있는 것으로 보고되고 있어, 한층 더 주요기반시설에 대한 사이버 방어태세 강화가 요구되고 있다. 에너지 기반시설에 대한 사이버 공격을 위해서는 공격에 필요한 정보를 사전에 확보하는 것이 공격자들에게는 필수적이라 할 수 있는데, 이러한 정보의 확보는 사이버테러, 해킹 등 외부로 부터의 사이버공격에 의할 수도 있고, 내부자에 의한 기술 유출에 의할 수도 있다. 이와 같은 점에서 기술의 유출은 단순히 기업의 막대한 경제적 손실을 유발할뿐만아니라 국가 기반시설에 대한 사이버공격을 통한 사회혼란으로 이어질 수 있는 심각한 문제로 받아들여져야 한다. 각 기업들은 이러한 내/외부의 기술유출에 대비하기 위한 다양한 보안 대책을 수립하여 적용하고 있긴 하지만, 여전히 다양한 형태의 보안 취약점과 이를 이용한 기술 유출 위협이 상존하는 것이 현실이다. 본 논문에서는 발전소 등 주요 에너지 시설 설계를 주 업무로 하고 있어 이와 관련한 주요 설계정보들을 대량으로 생산하고 관리하고 있는 A사를 대상으로, 취약점 점검리스트와 상용 점검 도구를 이용하여 보안 취약점을 점검하고, 그 결과에 대한 FGI(Focus Group Interview)를 통해 심층적인 분석과 실질적인 취약점 해소 방안을 연구하고자 한다. 본 연구는 기술유출로 인한 경제적 피해 예방 뿐만아니라, 에너지 기반 시설의 사이버공격에 이용될 수 있는 중요 설계자료 유출을 방지하기 위한 보안체계를 강화함으로써, 우리나라의 에너지 기반 시설들에 대한 사이버 공격을 사전 예방하는데 그 의의가 있다.