To manage information security process, and to maintain high level security, companies deploy protection, detection and reaction systems and methods. For the protection of the network and server infrastructure, companies deploy official patches of vendors. When official patches are not available, they apply work-around for temporary remedy. These methods help companies to eliminate all the known security vulnerabilities. Still, they cannot protect companies from unknown security vulnerability. For the detection, companies usually deploy intrusion detection system (IDS). However, for the present, most IDS can only response to the known attacks. Therefore, companies remain vulnerable to the unknown attacks if they do not have a well-designed anomaly based detection system. Even though they are equipped with a well-crafted anomaly based detection system, their information security officers cannot detect the unknown attacks if there were no anomalous symptom such as traffic burst-in or server crash. Hence, the unknown attacks so called the zero-day attacks remain as the big problems to solve even for the companies that maintain protection and detection systems. Due to such limitation that are listed above, companies and their information security officers may not know whether the zero-day attacks occur or not. Even though security officers find such attacks, it is very hard for them, who are in charge of information security, to take any action before they get enough information regarding this new attack pattern. This is because some work-around method that can be deployed before the completion of the vulnerability analysis often gives rise to negative side effects on the systems. The limitation of the security officers in making reaction to such attacks right on time makes their companies more vulnerable to the zero-day attacks. This is the problem in the current information security process and the deployment of detection and protection systems that are readily applicable nowadays. However, academic studies on computer security fail to solve this problem. Most previous academic studies on computer security focused on classifying and categorizing the detected attack patterns. There were only few attempts to categorize countermeasures, which can further enable security officers to respond quickly to the attacks with information of possible solution methods. In the existence of the zero-day attack problems where the studies to solve this issue lack, our study aims at developing the decision support system, methodologies which can support the zero-day attack response of security officers. With making the security officers quickly respond to the zero-day attacks based on the analysis of the similarity between the new zero-day attack pattern and the known attack patterns, our decision support system let the security officers reduce the risk of their companies’ exposure to the zero-day attacks. Through the estimation of the similarity between those attacks, security officers can find the most similar known attacks to the new ones and the response to such known attacks. They can respond to the new zero-day attacks with applying the work-around of or the remedy applied for the most similar case. The decision support system proposed in this study enable security officers to get such information of the most similar cases with applying methodologies such as similarity functions and case-based reasoning. It is an efficient way for the security officers to make a response to the new zero-day attacks based on the information of the most similar cases. However, such a reaction may not be perfect due to the existence of the probability of false-positives. Hence, the security officers must consider the benefit over the cost that can be incurred from applying the method. This can be measured by SROI (Security Return on Investment) value. For the calculation of SROI, it is needed to build up information asset database which contains the information of OS, running applications, system values, and BIA (Business Impact Analysis) values on those assets. Based on such a database, security officers can estimate the risk on the information assets that can be affected. Through applying visualization technique, our decision support system shows the information asset lists graphically with the vulnerability and possible impact. To instantly help security officers to make decision regarding whether or not to apply the recommended response to the zero-day attacks, our decision support system estimates SROI. In calculating SROI, we apply the concept of the atomic vulnerability and the atomic attack in finding the information asset that can be affected by the unknown attacks. Finally, we show the experimental results of our proposed decision support system.

최근 충분한 보안이 이루어지지 않을 경우 회사의 사업연속성을 유지하는데 큰 영향을 받을 수 있다는 인식이 사회적으로 확산되어가고 있어서 많은 기업들이 보안수준을 높이기 위해 침입차단시스템(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS)과 같은 많은 보안시스템을 구축하는데 투자를 확대하고 있다. 그럼에도 불구하고 이러한 보안시스템들은 알려진 공격에 대응하는 능력은 우수하나, 알려지지 않은 새로운 공격에 대해서는 대응능력이 아직까지는 약하다고 할 수 있다. 행태기반, 통계기반 등 다양한 방법론을 이용하는 이상증후 탐지방식을 통해 대응하는 방법도 많은 연구가 이루어지고 있으나 여전히 오탐(False positive)에 대한 문제점은 남아 있으며, 이렇기 때문에 실제 상용화 서비스를 하고 있는 환경에서 이상증후 탐지방식의 보안시스템을 적용하기에는 무리가 있는 상태이다. 아직까지 알려지지 않은 취약점을 이용한 공격, 특히 공격방법은 공개가 되어있으나 아직 소프트웨어, 운영체제, 하드웨어 제조사로부터의 공식 패치(official patch)나 임시대응방법(work-around)이 나오지 않은 상태의 공격을 zero day attack 이라 한다. 이러한 zero-day attack 의 경우에는 탐지하는 것 역시 매우 어려운 일이지만, 이상증후를 알아냈다고 하더라도 아직까지 공식적인 대응방법이 알려져 있지 않은 상태이므로 보안관리자들이 대응을 하기 어려운 것이 현실이다. 그동안의 침입탐지에 대한 연구들을 살펴보면 오탐을 최소화 하면서 이상증후를 탐지해내는 방법 자체에 대한 연구들은 많이 이루어지고 있으나, 이상증후를 탐지하더라도 어떠한 공격유형이라는 것에 대해 분류해 주는 것으로 많은 연구들이 초점이 맞추어져 있어서, zero-day attack 이 발생하였을 때 영향받을 수 있는 정보자산은 어떤 것들이 있으며, 현 시점에서 대응할 수 있는 최선의 대안을 도출하는 것에 대한 연구는 이루어져 있지 않다. 실제 기업환경에서 이상증후를 탐지하여 어떤 공격유형이라는 것을 예측해내는 것 역시 매우 어려운 일이지만, 예측을 하였다 하더라도 이 공격에 대한 대응방법이 함께 제시되지 못한다면 보안관리자들은 이 공격에 대응을 하기가 매우 어렵다. 요컨대, 공식패치가 제조사로부터 나오기 이전에 대응을 하는 것이 과연 적절한지, 이 공격에 영향받을 수 있는 정보자산들은 어떤 것들이 있는지, 대응책을 섣불리 적용한 것이 도리어 부작용을 야기하여 서비스의 가용성을 저해하지는 않는지에 대해 판단할 수 있는 기준이 주어지지 않아 의사결정을 쉽게 하지 못하여, 신속한 대응을 하지 못하게 되는 문제가 있다. 이러한 문제점을 극복하기 위해 이 논문에서 의사결정지원시스템을 실제로 구현하는 것과, 이 단점을 극복하기 위한 방법론을 제공한다. 우선, 이상증후가 발생하였을 때 어떻게 대처해야 한다는 대응방법은 공격의 유사도 검색(similarity search)에 기반한 사례기반추론(Case-based Reasoning)을 통해 얻기로 하였다. Case-based Reasoning 을 사용하게 된 근거는 다음과 같다. 현재까지 알려진 취약점들은 OSVDB(Open Source Vulnerability Database) 의 2008.10 월을 기준으로 살펴볼 때 1990년부터 2008년까지 9년간 47874 개 이상의 취약점들이 발견되어 왔고 현재에도 유효한 취약점들이 상당부분 존재하여 일일이 모든 취약점들을 탐지해 내면서 대응하기에는 어려운 규모라 할 수 있지만, 공격의 유형은 CAPEC(Common Attack Pattern Enumeration and Classification) 으로 살펴보면 크게 11 개의 공격유형으로 축약될 수 있고, 또 대응방법(counter measure)의 관점으로 살펴보면 47874 개의 취약점들이라 할지라도 OSVDB의 기준으로 살펴볼 때 5가지의 대응방법 유형으로 나누어 볼 수 있음을 알 수 있었다. 또한 47874 개의 취약점이라 하더라도 한 기업내의 특정 환경으로 한정하여 고려해 보면, 한 기업 내에서 현존하는 모든 종류의 application 과 OS, hardware 를 사용하지는 않으므로, 그 기업에 속한 정보자산만으로 한정하여 취약점과 대응방법을 생각해 보면 문제의 복잡도는 상당히 낮춰 질 수 있고, 대응방법을 구하는 것 역시 더 단순화 할 수 있을 것이라는 판단을 할 수 있다. 더불어 어떠한 정보자산에 운영하는 소프트웨어를 아예 없애거나 다른 소프트웨어로 변경하지 않는 한, zero-day 공격 역시 어떠한 정보자산이 완전히 변경 또는 폐기 되기 전까지는 공격의 범위가 일정한 범위 안에 있게 된다. 요컨대 현재까지 알려져 있는 취약점에 대한 정보의 개수는 많지만 실제로 공격이 발생하였을 때 이를 대응하는 방식은 5가지 정도로 축약될 수 있고 매번 새로운 취약점이 발생한다 하더라도, 대응 방식은 과거의 대응방식을 크게 벗어나지 않음을 알 수 있었다. 요컨대 이상증후 발견 시 비록 zero day attack 이라 할 지라도 대응 방식은 5가지의 범위를 크게 벗어나지 못하고 대부분 과거의 대응방법과 유사한 counter measure 를 적용할 수 있으므로 사례기반추론(Case-based Reasoning) 에 의해 해법을 도출할 수 있다. 사례기반추론을 위해 기업환경에서는 정보자산과 취약점, 그리고 과거 침해사고 사례를 담은 Database 를 갖추고 있어야 한다. 이를 통해 이상증후 발생시, 과거의 공격발생 사례와 기업 내에서 보유하고 있는 정보자산들의 취약점 정보, 또 이 취약점을 이용할 수 있는 그간 알려진 공격 유형들을 교차 분석하여 가장 유사한 공격발생사례와 공격 유형을 적시에 찾아낼 수 있게 된다. 또 과거 공격이 발생했던 때에 그 공격 유형에 대해서 어떻게 대응을 했다라는 과거의 사례에 비추어 대응 방법을 도출해 내는 데에도 많은 도움을 얻을 수 있다. 사례기반추론의 정확도를 높이기 위해서 아래와 같은 방법을 제안하였다. 첫째로는 패킷 내 포함된 문자열의 유사도에 근거한 가장 유사한 알려진 취약점을 찾는 방법이다. 그리고 공격자의 IP address, 공격대상의 IP address, port, OS, application 정보를 조합하여 가장 유사한 사례를 찾는 것이다. 이를 위해 정보획득이나 검색엔진에서 단어와 문서의 유사도 검색에 활용되고 있는 유사도 탐색 방법을 보안분야로 도입하여 사용하는 아이디어를 고안하였다. 둘째로는 단위취약점분석 방법을 적용하여 어떠한 취약점이나 공격정보를 알 때 이와 상관관계가 높은 취약점이나 공격정보를 파악해 내는 방법이다. 이 방법을 이용하여 정보자산데이터베이스와 취약점들간의 상관관계분석을 통하여, 특정한 공격에 대해 잠재적으로 영향을 받을 수 있는 정보자산들을 쉽게 도출할 수 있고 영향도의 정도를 정량화 하여 직접 영향을 받는 자산, 잠재적으로 영향을 받는 자산으로 구분할 수 있다. 셋째로는 첫째와 둘째의 방법을 이용하여 알려지지 않은 공격이 발생하였을 경우 영향 받을 수 있는 정보자산들에 대하여 조치를 취한다고 할 때 소요되는 비용대비 효과와 우선순위를 배정하여 보안관련 투자대비효과 (Security Return On Investment)를 제시해주어 의사결정지원을 하는 방법이다. 현재까지 알려진 취약점들과 이를 이용한 공격들의 특징에 대해 분석을 해보면, 이 취약점은 단일한 취약점인 경우도 있지만 여러 개의 단위 취약점들이 조합되어 있는 경우가 대부분이다. 또 이 취약점들간에는 의존도나 선후관계가 존재하기 때문에 단순히 한번의 단일화된 공격으로 exploit 을 시킬 수 있는 것이 아니라, 이 취약점을 이루는 단위 취약점들을 단계적으로 exploit 시켜가면서 최종 exploit 단계로 상태전이(state transition)가 이루어질 때까지 각 단위 취약점들을 공격하는 단위 공격들을 발생시키게 된다. 마찬가지로, zero day attack 으로 인한 이상증후가 발생하였을 때, zero day attack 의 모든 단위 공격 패턴을 발견해 내지 못하더라도, 이 zero day attack 을 구성하고 있는 단위 공격 중 일부를 탐지해낼 가능성은 높으므로, 탐지된 단위 공격 중 일부를 이용해 이 zero day attack 과 가장 유사한 공격을 탐지해 내는 방안을 제안하였다. 더불어 이상증후가 발생한 상황에서 캡쳐한 패킷을 이용하여 캡쳐된 패킷의 payload 내의 문자열과 기존공격패턴 내의 문자열 값 간의 유사도 비교방법을 이용하여 가장 유사한 특성을 가지는 attack 을 찾아내고, 과거 발생한 해킹 사례 중 가장 근접한 공격 사례를 찾아내어, 과거의 대응방법을 찾아낼 수 있도록 하였다. 이러한 단위 공격과 단위 취약점들의 구현을 위해 CWE, CAPEC, CVE 를 채택하여 의사결정지원시스템을 구현하였으며, 새로운 공격에 대해, 기존에 알려진 공격들과의 유사도를 계산하여 주고 가장 유사한 취약점을 찾아주는 시스템을 Jaro, Jaro-Winkler, Levenshtein 등 정보획득 분야에서 대표적으로 이용하는 다양한 함수들을 이용하여 구현하였다. 구현된 함수들이 어떠한 프로토콜에서 가장 좋은 zero-day 공격 예측 결과를 내는 지 실험을 해 본 결과 Jaro 와 Jaro-Winker 알고리즘이 대부분의 프로토콜에서 좋은 결과를 보여줌을 확인할 수 있었다. 즉, 이를 통해 zero-day 공격이 발생하여 이상증후가 발생될 경우, 패킷을 캡쳐하여 기존의 알려진 공격 데이터베이스와 유사도 검색을 하되 실험에서 발견한 특성에 따라, 프로토콜에 따라서 가장 좋은 성능을 보인 함수를 선택하여 유사도를 계산하게 되면 오류를 최소화 하면서 유사한 공격을 찾을 수 있게 된다. 최종적으로, 이 공격에 직접 영향 받는 시스템, 간접적으로 영향 받는 시스템, 가능성은 낮지만 잠재적으로 영향을 받을 수 있는 시스템들을 취약점 점검정보와 단위취약점 및 단위공격 정보를 교차 분석하여 도출해 낼 수 있는 방법을 제시하였다. 이를 응용하여 보안투자대비효율(SROI) 값을 계산해 낼 수 있게 된다. 도출된 이 정보를 zero-day 공격 증후 발견시 보안담당자에게 제공하여, 보안담당자가 공식패치가 나오기 전에 대응을 할 것인지에 대한 의사결정을 지원하게 된다. 이 연구의 성과는 다음과 같다. 첫째, 취약점의 특성을 파악하는 방법으로 단위 취약점, 단위 공격 개념을 도입하여, zero-day 공격이 발생하였을 때 단위 취약점, 단위 공격과 자산이 가지고 있는 취약점들간의 관계를 계산하여 영향 받는 자산을 직접 영향 받는 자산, 간접적으로 영향 받는 자산 간의 검색 방법을 도출한 점이다. 이를 응용하여 보안 대응조치를 했을 때 어떠한 효과가 있는지를 판단하는 정량적인 지표를 쉽게 이끌어 낼 수 있도록 하였 다. 둘째, 유사도 검색 알고리즘을 도입하고 이를 사례기반추론에 반영하여, 새로운 공격이 발생하였을 때 가장 유사한 공격과 과거 해킹사례를 검색 가능하게 하였고, 이를 통해 과거의 대응방법에 비추어 zero-day 공격에 대응할 수 있도록 하였다. 셋째, 이 연구에서 제안된 방법론은 어떠한 취약점 정보나 공격 정보가 주어질 때, 영향 받는 정보자산들에 대한 정보를 영향도 별로 추출할 수 있으므로, 일상적인 위험관리를 할 때, 취약점들의 제거 우선순위를 도출하여 위험관리를 비용대비 효과에 입각하여 이행하는데에 적용이 가능하다. 향후 연구는 다음과 같은 방향으로 진행할 예정이다. 본 논문의 실험을 위해 채택된 문자열 유사도 검색 알고리즘을 개선하여 더 좋은 성능을 보이도록 개선할 예정이다. C class network 에 존재하는 254대의 서버에 공통적으로 존재하는 취약점을 제거할 경우 254대에서 모두 취약점을 제거하지 않고, 네트워크 단에서 접근제어나 침입차단조치를 하는 것으로 취약점의 위협을 제거할 수 있듯이, 단위자산들의 대응책(safeguard) 간에 의존관계와 선후관계가 있다는 점을 고려하여, 어떤 대응책을 어떠한 자산에 적용하는 것이 가장 최적화 된 값인 가를 판단할 수 있는 알고리즘을 개발하도록 할 것이다.