1. 서론
최근 4차산업혁명 시대를 주도하는 핵심기술로서 인공지능, 빅데이터 등 데이터를 활용한 기술들이 부각 되면서 사이버 보안 분야에서도 사이버 보안 데이터의 중요성과 활용에 관한 관심이 나날이 높아지고 있다. 이러한 흐름에 맞춰 보안기업들은 사이버 보안 데이터를 차세대 보안 전략 핵심으로 설정하며 관련 역량을 강화하고 있으며, 지능화·고도화되는 사이버 위협에 효과적으로 대응하기 위한 사이버 보안 데이터의 수집 및 선별, 분석, 실시간 공유의 중요성이 대두되고 있다.[1]
국내에서도 사이버 보안 데이터 관련 역량을 강화하기 위해 노력하고 있으며, 대표적으로 과학기술정보통신부가 국내 주요 보안기업을 모아 추진하여 2020년 완료된 ‘코사인(Korea Open Security Intelligence Global Networks, KOSIGN)’ 프로젝트가 있다[2]. 나아가 과학기술정보통신부에서는 2021년 정보보안 강화 전략인 ‘K-사이버방역’을 발표하면서 연간 18억 건의 사이버 보안 데이터를 수집 및 가공하고 민간에게 개방할 계획이며, 현재 약 200개의 공공기관 및 일부 보안업체와 사이버 보안 데이터를 공유하고 있는 ‘국가 사이버 위협정보 공유시스템’을 확대할 계획이다. 또한, 민간의 주요 기업들과 사이버 보안 얼라이언스를 구성하여 신속한 사이버 위협 대응체계를 구축하기 위한 ‘디지털 안심 국가 기반 구축’에 관한 계획을 발표하였다[3]. 따라서 공공 분야뿐만 아니라 민간 분야에서도 사이버 보안 데이터 공유시스템이 확대 적용될 것으로 예상된다.
하지만, 한국인터넷진흥원(KISA)에서 발표한 ‘2020년 4분기 사이버 위협 동향 보고서’의 「위협정보 및 보안 트렌드 수집처」설문조사[4]에 따르면 국내 대다수 기업은 위협정보 수집을 위한 예산 또는 전문 인력의 부족과 보안 분야 특성상의 이유로 정보공유가 원활하지 않은 상황이며, 사이버 보안 데이터인 위협정보 및 보안 트렌드 수집 정보에 대한 만족도가 저조한 것으로 조사됐다. 위협정보 수집 만족도가 낮은 이유에 대한 주요 응답으로는 위협정보 수집 경로가 다양하지 않으며, 수집된 정보를 내부 환경 및 서비스에 적용하기 어렵고 적절한 위협정보 데이터 취합의 어려움이 있었다.
사이버 보안 데이터 수집을 위한 예산은 응답 기업의 56.16%가 1천만 원 이하를 사용하고 있는 것으로 조사됐다. 사이버 안전은 대기업과 중소기업 간 차별 없이 보편적으로 누릴 수 있도록 사이버 보안 데이터 수집 예산이 적은 중소기업에도 높은 가치의 위협정보 제공이 필요하다. 또한, 사이버 보안 데이터 수집은 국내·외 존재하는 사이버 보안 데이터 서비스를 이용하기보다는 KISA에서 운용하는 ‘사이버위협 분석 및 공유시스템’(Cyber Threat Analysis and Sharing, C-TAS)에 의존하고 있어 다양한 사이버 보안 데이터를 수집하기 어렵다.
해당 보고서는 설문조사를 통해 규모가 작은 기업일수록 사이버 보안 데이터 수집과 활용이 저조한 사실을 확인하고 보다 많은 기업에도 사이버 보안 데이터가 공유되고 활성화될 필요가 있음을 시사하며 좋은 정보라고 할지라도 제대로 분석하고 활용하지 못한다면 가치 있는 정보가 될 수 없음을 강조한다.
본 논문에서는 기존 규모가 작은 기업이 사이버 보안 데이터 공유에 참여 및 공유된 데이터 활용이 어렵다는 문제와 사이버 보안 데이터 특성상 공유가 원활하지 않은 문제를 개선하기 위해 계층적 구조를 갖는 자동화된 사이버 보안 데이터 공유시스템 모델과 보안정책을 제안한다.
본 논문에서는 2장에서 국·내외 사이버 보안 데이터 공유시스템 동향을 조사하며, 3장에서 사이버 보안 데이터 공유시스템에서 발생할 수 있는 보안 위협 및 고려사항을 분석하기 위해 관련 가이드라인과 정책에 대해 분석한다. 4장에서는 본 논문에서 제안하는 사이버 보안 데이터 공유시스템 모델을 설명하고 5장에서 결론을 맺는다.
2. 사이버 보안 데이터 공유시스템 동향
본 장에서는 현존하는 국내·외 다양한 사이버 보안 데이터 공유시스템 및 관련 연구개발 동향을 <표 1>과같이 조사함으로써 사이버 보안 데이터 공유시스템의 구성과 보편적으로 사용되는 데이터 표준 형식 및 통신 프로토콜을 확인하였다.
<표 1> 사이버 보안 데이터 공유시스템 동향
국내에서 운영되는 사이버 보안 데이터 공유시스템인 C-TAS는 데이터형식으로 CTEX(Cyber Threat EXpress)를 사용하여 사이버 보안 데이터를 공유하고 있으며, 여러 국가의 각 중요 기반시설에서 설립된 ISAC(Information Sharing And Analysis Organization)은 데이터표준형식으로 STIX(Structured Threat Information Expression)와 통신 프로토콜 표준으로 TAXII(Trusted Automated Exchange of Indicator Information)를 사용한다. 또한, 미국 정부에서는 PCII(Protected Critical Infrastructure Information)와 NCCIC(National Cyber Security and Communications Integration Center)을 구축하여 사이버 보안 데이터를 민간과 공유하기 위해 노력하고 있으며, 사이버 보안 데이터 공유를 위해 개발된 C3ISP(Collaborative and Confidential Information Sharing and analysis for Cyber Protection)는 규모가 큰 조직과 작은 조직간 사이버 보안 데이터 공유가 어렵다는 문제를 해결하기 위한 프레임워크를 개발하여 데이터 공유계약(Data Sharing Agreement, DSA)에 의해 사이버 보안 데이터가 공유될 수 있도록 하였다.
3. 사이버 보안 데이터 공유 환경에서의 보안 위협 및 정책 동향
본 장에서는 다량의 정보가 공유되는 사이버 보안 데이터 공유 환경에서 발생할 수 있는 보안 위협 및 대응 방안을 기존의 가이드라인을 통해 분석하였으며, 국내에 사이버 보안 데이터 공유와 관련한 법률과 정책이 존재하지 않아 국외의 사례를 통해 사이버 보안 데이터 공유시스템 환경에서 고려해야 할 사항을 분석하였다. 각 가이드라인과 정책의 주요 내용은 <표 2>와 같다.
<표 2> 가이드라인 및 정책 주요 내용
4. 제안하는 사이버 보안 데이터 공유시스템
본 장에서는 사이버 위협에 빠르게 대응하기 위해 민간 기업까지 공유 범위를 확대할 수 있는 계층적 사이버 보안 데이터 분석 및 공유(Hierarchical Cyber Security Data Analysis and Sharing, H-CAS)시스템을 제안한다.
제안하는 H-CAS 시스템은 다음과 같이 크게 5가지 문제를 해결하기 위해 계층적으로 시스템을 설계하였다.
⦁ 정보보호 담당 관리자가 없는 기업이 사이버 보안 데이터 공유시스템 참여가 어려운 문제
⦁ 사이버 보안 데이터를 가공할 수 있는 시스템이 없어 개인정보 유출과 부정확한 정보가 공유될 수 있는 문제
⦁ 민간 기업이 공유받은 사이버 보안 데이터를 쉽게 적용하기 힘들고 유출 위험이 발생할 수 있는 문제
⦁ 중앙 집중화된 공유시스템의 과부하 문제
⦁ 기업에 따라 사이버 보안 데이터의 처리 범위와 공유정책이 다르다는 문제
또한, 등록 및 계약 단계, 수집 및 공유 단계, 부가 기능으로 나눠 공유 절차를 정의하고 단계별 보안정책을 제안하여 민간 기업을 포함한 다양한 기업의 참여를 독려하고, 쉽게 참여할 수 있는 공유시스템을 설계하였다.
H-CAS 시스템 구조는 (그림 1)과 같이 계층적인 구조로 사이버 보안 데이터를 공유한다. Local H-CAS를 통해 중앙 서버의 부담과 데이터 중복을 최소화하여 효율적으로 사이버 보안 데이터를 공유할 수 있도록 하였으며, 공유정책이나 공유받을 데이터의 종류 및 형식을 수립할 수 없는 소규모 기업의 경우 Root H-CAS의 도움을 받아 정책을 설정할 수 있도록 한다.
(그림 1) H-CAS 시스템 구조
4.1 H-CAS 시스템 구성요소
H-CAS 시스템은 중앙 집중화된 공유시스템의 부담을 최소화하고 민간 기업의 참여를 장려하기 위해 Root H-CAS와 Local H-CAS로 구성되며, 참여기업을 Enterprise와 SME(Small and Medium-size Enterprise)로 분류하였으며, 이에 대한 설명은 다음과 같다.
⦁ Local H-CAS : 관련 업종 또는 같은 계열사, 같은 지역끼리 묶음
⦁ Root H-CAS : 각 Local H-CAS 시스템을 묶어 사이버 보안 데이터를 공유하고 관리
⦁ Enterprise : 정보보호를 담당하는 관리자가 존재하고, 사이버 보안 데이터를 관리할 수 있는 시스템이 존재하는 기업
⦁ SME : 사이버 보안 데이터를 생산하지만, 이를 처리할 수 있는 시스템과 관리자가 없는 중소·중견 기업
또한, H-CAS의 참여자와 사용자는 다음과 같이 존재한다.
⦁ Root Administrator(admin) : Root H-CAS에서 전체적인 공유시스템과 분석시스템 관리
⦁ Local Admin : Local H-CAS에서 전체적인 공유시스템과 분석시스템 관리
⦁ ESM(Enterprise Security Manager) : Enterprise의 정보보호를 담당
4.1.1 Root H-CAS 시스템 구성요소
Root H-CAS 시스템은 최상위 공유시스템으로 KISA나 중앙 정부 기관에서 관리하는 단일 시스템을 의미하며 하위 시스템을 관리할 수 있는 관리자가 포함된다. Root H-CAS는 (그림 2)와 같이 분산처리에 장점이 있어 C-TSA에서 사용하고 있는 AMQP(Advanced Message Queuing Protocol)기반의 MQ(Message Queue)를 포함하여 20개의 요소로 구성된다.
(그림 2) Root H-CAS 시스템 구성요소
구성요소 중 보안 시스템(security system)의 역할은 다음과 같다.
⦁ 시스템에 접근하는 사용자 식별
⦁ 공유에 참여하는 시스템과 기업 식별
⦁ 인증 기관을 통한 인증서 제공
⦁ 접근하는 기록 저장 및 관리
⦁ 암호화 키 저장 및 관리
⦁ 암·복호화 지원
데이터 저장소(data storage) 시스템은 사이버 보안 데이터의 연관 관계를 분석하기 위한 저장소, 보고서 및 알림을 위한 저장소 등과 같이 데이터의 종류에 따라 구분하였다.
그 외로 공유정책을 저장·관리하는 공유정책 관리 및 저장소(data sharing policy manager and storage)와 보안 알림을 생성 및 전송할 수 있는 시스템(notification system), 관리자에 의해 추가 분석이 필요한 경우나 연관 관계를 분석하기 위한 분석 시스템(analysis system)이 있다. 따라서 위와 같은 구성요소를 활용한 Root H-CAS의 역할은 다음과 같다.
⦁ 참여 중인 시스템의 데이터 수집 및 공유
⦁ 추가 분석 및 연관 관계 분석
⦁ 기본 공유정책을 관리하고 분석 도구를 지원
⦁ Local H-CAS와 참여기업 관리
⦁ 원활한 공유시스템 환경 제공
4.1.2 Local H-CAS 시스템 구성요소
Local H-CAS 시스템의 경우 규모가 큰 Enterprise 환경에서는 자체적으로 구성될 수 있으며 SME의 경우 보안 서비스 제공업체나 국가기관에서 제공할 수 있다. 또한, Local H-CAS 시스템 구성의 경우 서버나 클라우드로 구현될 수 있다.
구성요소는 (그림 3)과 같이 Local H-CAS 시스템을 관리하는 관리자와 Root H-CAS 시스템과 연결되는 Agent, 기업과 연결되는 서버로 구성된다.
(그림 3) Local H-CAS 시스템 구성.
구성요소 중 데이터 공유시스템(data sharing system)은 공유하기 전 사이버 보안 데이터를 가공하는 시스템으로 Local H-CAS의 관리자가 설정한 공유정책에 따라 데이터를 비식별화하고 공유 범위에 따라 데이터를 공유하는 역할을 한다. 데이터 공유시스템의 구성요소별 역할은 다음과 같다.
⦁ Root Agent : Root H-CAS와 데이터 공유
⦁ Participants Manager : 참여 기업 정보 저장
⦁ Analysis System : SME 데이터의 공유 여부 분석
⦁ Data Sharing Policy Storage : 참여 기업 공유정책 관리
⦁ Pre-processing Systems : 스케줄링 및 데이터 비식별화
그 외로 각 기업의 데이터를 중앙으로 수집하는 서버(local collection server)가 있으며 데이터를 임시 저장하는 데이터 저장소(data storage), 긴급 보안 알림을 처리하는 알림 시스템(notification system)으로 구성된다
4.1.3 Enterprise 구성요소
Enterprise의 경우 정보보호를 담당하는 관리자(ESM)가 있어 공유시스템과의 정책이나 공유데이터의 종류 및 형식을 정의할 수 있다. 따라서, <그림 4>와 같이 Enterprise의 자체적인 분석시스템이 존재하고 외부에 Local Agent가 존재하도록 구성된다.
(그림 4) Enterprise 구성요소
4.1.4 SME 구성요소
SME의 경우 기업 내부에 정보보호를 담당하는 관리자가 존재하지 않기 때문에 (그림 5)와 Local Agent가 방화벽, IPS 등과 같은 보안 장비에 직접 적용될 수 있도록 구성된다.
(그림 5) SME 구성요소
4.2 공유 절차
기업에서 생성되는 사이버 보안 데이터는 (그림 6)과 같이 Local H-CAS 시스템을 거쳐 Root H-CAS 시스템으로 수집되며 과정은 다음과 같다.
(그림 6) H-CAS 데이터 수집 과정
(1) 기업에서 생성된 사이버 보안 데이터는 TLS(Transport Later Security)로 보호된 통신을 통해 Local H-CAS 시스템으로 전송한다.
(2) Local H-CAS는 수집한 사이버 보안 데이터를 분석하고 공유정책 확인 및 비식별화 처리를 하며, 무결성을 제공하기 위해 Root H-CAS의 CA가 발급한 X.509 공개키 인증서와 ECDSA 전자서명을 활용하여 데이터를 서명한다. 또한, 클라우드를 사용하지 않는 경우 기밀성을 제공할 필요가 없어 수집한 데이터를 암·복호화하지 않는다.
(3) Local H-CAS에서 처리된 사이버 보안 데이터는 TLS를 사용하는 AMQP로 구성된 통신을 통해 Root H-CAS로 전송한다. Root H-CAS는 서명을 검증하고 사이버 보안 데이터를 저장한다.
이를 바탕으로 H-CAS 시스템의 공유 단계는 <표 4>와 같이 등록 및 계약 단계, 수집 및 공유 단계, 부가 기능으로 구분된다.
<표 3> H-CAS 시스템 공유 단계
<표 4> H-CAS 주체에 따른 보안정책 분류
4.2.1 등록 및 계약 단계
기업이 H-CAS 시스템에 참여하기 위해 등록하는 경우 기업의 정보보호 관리자 존재 여부에 따라 등록 절차가 달라진다. 기업에 사이버 보안 데이터 관리를 위한 관리자가 존재하는 Enterprise의 경우 H-CAS와 공유 계약을 체결함으로써 기업의 이익을 위해 데이터의 형식과 종류, 비식별화 정도를 설정할 수 있다. 하지만, 사이버 보안 데이터를 활용할 수 있는 관리자가 없어 H-CAS 참여에 어려움이 존재하는 SME의 경우 H-CAS 시스템의 지원을 받아야 한다. 따라서, 등록 및 계약 단계에서 Enterprise가 H-CAS 시스템에 참여하고 공유 계약을 체결하는 과정과 SME가 H-CAS 시스템에 참여하는 과정으로 분류한다.
4.2.1.1 Enterprise의 H-CAS 참여
자체적으로 데이터를 처리할 수 있는 Enterprise는 기존의 Local H-CAS에 참여하거나 자체적으로 Local H-CAS를 구성할 수 있으며, 기존의 Local H-CAS에 참여할 경우 ESM이 Local H-CAS의 관리자에게 참여를 요청하고, 자체적으로 Local H-CAS를 구성하는 경우 (그림 7)과 같이 환경을 구축한다.
(그림 7) Enterprise의 자체적인 Local H-CAS 구성 과정
(1) Local 관리자는 Root H-CAS의 Prosumer FE(Front End)를 통해 공유 참여를 요청한다.
(2) Root 관리자는 참여 요청을 확인 후 Local H-CAS를 구성할 수 있는 Agent와 기업에서 사용할 수 있는 Agent를 전달한다.
(3) Local 관리자는 Local H-CAS를 구성하고 참여기업에 Local Agent를 전달한다.
(4) ESM은 자신의 자산을 식별 후 Local H-CAS와 연동할 수 있는 환경을 구축하여 Local 관리자에게 참여를 요청한다.
(5) Local 관리자는 참여 요청을 확인 후 Local H-CAS와 연결한다.
(6) ESM은 Local H-CAS의 FE를 통해 자격증명을 전달한다.
(7) Local 관리자는 연결된 기업 정보를 통합하여 Root H-CAS에 전달한다.
(8) Root H-CAS는 Local에서 사용할 수 있는 인증서를 생성 후 전달한다.
4.2.1.2 Enterprise의 공유 계약 체결
공유 계약에는 공유정책이 포함되어 있어 효과적인 공유 계약을 체결하기 위해 ESM은 자신의 자산을 식별한다. 이후 기업에서 사용할 비식별화 방법이나 공유 및 수집할 데이터를 협상할 수 있다. 또한, Local H-CAS의 공유 계약이 모두 수립되면 Root H-CAS와 Local H-CAS 사이의 공유 계약을 체결한다.
따라서 해당 단계에서는 기업과 Root H-CAS, Local H-CAS의 관리자들이 공유 계약을 협상하는 단계가 포함되며 과정은 (그림 8)과 같다.
(그림 8) Enterprise의 공유 계약 체결 과
(1) ESM은 자산을 식별하고 H-CAS에서 사용할 공유 계약을 Local 관리자에게 전달한다.
(2) Local 관리자는 이를 확인하고 ESM과 공유 계약을 협상하며 협상이 끝난 공유 계약을 Data Sharing Policy Storage에 등록한다.
(3) Local 관리자는 Local H-CAS에서 사용할 공유 계약을 Root H-CAS에 전달한다.
(4) Root 관리자는 이를 확인하고 Local 관리자와 공유 계약을 협상하며 협상이 끝난 공유 계약을 Data Sharing Policy Storage에 등록한다.
4.2.1.3 SME의 H-CAS 참여
SME는 (그림 9)와 같이 공유시스템을 구성할 관리자가 없어 Local H-CAS 관리자의 도움을 받아 공유시스템 환경을 구성하며, Root H-CAS에서 사용하는 기본 공유정책을 사용한다.
(그림 9) SME의 H-CAS 참여 과정
또한, SME의 경우 별도의 시스템을 구성하지 않고 공유시스템에 참여하기 위해 보안 시스템 내부에 Agent가 설치된다.
(1) SME는 H-CAS에 참여를 요청한다.
(2) Local 관리자는 SME가 사용할 Agent를 구성(기본 공유정책 적용)하고 SME의 설치를 유도한다.
(3) SME는 보안 장비에 Agent를 설치한다.
(4) Agent는 보안 장비를 식별하여 생산하는 사이버 보안 데이터의 종류와 형식을 식별한다.
(5) 이후 Agent는 Local H-CAS의 서버와 연결하고 수집한 정보를 전송한다.
4.2.2 수집 및 공유 단계
수집 및 공유 단계는 각 기업 및 H-CAS 시스템 사이에서 사이버 보안 데이터의 수집 및 공유되는 과정과 각 H-CAS 시스템에서 수집된 데이터를 분석 및 처리하는 과정으로 분류된다.
4.2.2.1 Local H-CAS와 기업 간 사이버 보안 데이터 수집
Enterprise의 경우 (그림 10)과 같이 기업에서 생산된 데이터를 처리하여 Local H-CAS에 전송하지만, SME는 Raw 데이터를 전송한다. 이를 통해 SME의 부담과 중앙 집중화된 Root H-CAS 부담을 최소화할 수 있다는 장점이 있다.
(그림 10) Local H-CAS의 데이터 수집 과정
(1) Enterprise에서 생산된 데이터는 기업 내부에서 처리하여 Local H-CAS로 전송한다.
(2) SME에서 생산된 데이터는 별도의 처리 없이 Local H-CAS로 전송한다.
4.2.2.2 Local H-CAS의 사이버 보안 데이터 처리
Local H-CAS가 수집한 사이버 보안 데이터 중 SME에서 생산된 데이터는 분석, 비식별화 등의 데이터 처리 과정을 거치지 않아 (그림 11)과 같이 Local H-CAS에서 데이터 처리 과정을 진행한다. 또한, 효율적인 사이버 보안 데이터 공유를 위해 Local H-CAS는 수집된 데이터의 공유 가능 여부를 판단한다.
(그림 11) Local H-CAS의 데이터 처리 과정
(1) SME에서 생산된 사이버 보안 데이터는 Local H-CAS에서 제공하는 분석 도구를 사용하여 공유 여부를 판단한다.
(2) 공유가 필요한 데이터의 경우 Local H-CAS에서 사용하는 데이터형식으로 변경한다.
(3) 공유되기 전 Data Storage에 저장한다.
4.2.2.3 Root H-CAS와 Local H-CAS 간 사이버 보안 데이터 수집
Local H-CAS가 수집한 사이버 보안 데이터를 Root H-CAS에 공유하기 전 기업의 민감한 개인 정보가 포함될 가능성이 존재하기 때문에 (그림 12)와 같이 비식별처리와 재식별 가능 여부를 판단하고 비식별 수준을 평가한다. 이후 전송하는 데이터에 서명을 생성하여 함께 전송함으로써 무결성을 보장할 수 있도록 한다.
(그림 12) Root H-CAS의 데이터 수집 과정
(1) 공유가 가능한 사이버 보안 데이터는 기업의 정보를 삭제하기 위해 공유 계약을 확인 후 비식별처리를 한다.
(2) 스케줄링을 위해 Sharing Manager에 공유데이터를 적재한다.
(3) Root Agent는 적재된 데이터의 공유 가능 여부를 판단한 뒤 데이터에 서명을 생성한다.
(4) Root Agent는 Root H-CAS의 MQ에 공유데이터를 전송한다.
(5) MQ는 참여 Local H-CAS의 정보를 확인하고 서명을 검증한다.
(6) 이후 공유받은 데이터에 대한 공유 계약을 확인하고 Data Storage에 저장한다.
4.2.2.4 Root H-CAS의 사이버 보안 데이터 처리
Root H-CAS는 수집한 사이버 보안 데이터를 추가적인 분석 또는 데이터 간 연관 관계 분석을 통해 새로운 데이터를 생산하고 처리할 수 있다. 따라서, (그림 13)과 같이 데이터 생산부터 분석, 비식별화, 저장 단계로 구성된다.
(그림 13) Root H-CAS의 데이터 처리 과정
(1) Local 관리자는 추가 분석이 필요한 사이버 보안 데이터를 Root H-CAS에 알려준다.
(2) Root 관리자는 이를 확인하여 수집한 데이터를 저장하고 분석한다.
(3) 추가로 생산된 사이버 보안 데이터는 비식별 처리 후 저장한다.
(4) Local 관리자는 Root H-CAS의 Prosumer FE를 통해 결과를 확인할 수 있다.
(5) 추가로 수집된 사이버 보안 데이터의 연관 관계를 분석한다.
(6) 분석된 데이터는 비식별처리 후 저장한다.
4.2.2.5 Root H-CAS 와 Local H-CAS 간 사이버 보안 데이터 공유
Root H-CAS가 수집한 사이버 보안 데이터는 일정 주기 또는 데이터 요청 시 Local H-CAS로 공유한다. 이때 (그림 14)와 같이 참여 Local H-CAS를 식별하고 데이터를 서명하여 전송한다.
(그림 14) Root H-CAS와 Local H-CAS 간 데이터 공유과정
(1) 수집한 사이버 보안 데이터와 Root H-CAS에서 생산한 사이버 보안 데이터를 공유하기 위해 참여 Local H-CAS를 식별한다.
(2) 공유하기 전 Root H-CAS의 인증서를 통해 서명을 생성한다.
(3) 공유하기 전 Local H-CAS의 공유정책을 확인하고 정책에 따라 MQ를 통해 공유한다.
4.2.2.6 Local H-CAS와 기업 간 사이버 보안 데이터를 공유
Root H-CAS에서 공유받은 사이버 보안 데이터는 주기적으로 또는 요청에 따라 (그림 15)와 같이 Enterprise와 SME로 공유한다. 이때 Enterprise는 ESM이 존재하므로 해당 데이터의 중요도를 파악하여 실제 내부 시스템에 적용할 수 있지만, SME는 보안 관리자가 존재하지 않아 공유받은 데이터는 자동으로 보안 시스템에 적용된다.
(그림 15) Local H-CAS와 기업 간 데이터 공유과정
(1) 공유받은 데이터의 서명값을 검증하고 유효성을 확인한 뒤 Data Storage에 저장한다.
(2) Enterprise와 SME에게 공유하기 전 Local H-CAS의 인증서로 서명한다.
(3) Enterprise와 SME에게 공유한다.
(4) Enterprise는 공유받은 데이터를 자체적으로 분석하고 ESM을 통해 관리한다.
(5) SME는 공유받은 데이터를 Agent와 연결된 보안 시스템에 바로 적용한다.
4.2.3 부가 기능
H-CAS 공유시스템에서는 사이버 보안 데이터를 수집 및 공유뿐만 아니라 참여기업과 관리자에게 긴급 보안 알림을 전송할 수 있는 기능과 동향 및 정책 보고서를 공유하는 기능을 포함한다. 또한, 기업이나 Local H-CAS에서 공유정책을 변경하고 협상할 수 있는 기능과 불법행위를 하는 참여기업의 자격을 해지할 수 있으며, 참여자의 요청으로 공유 자격을 정지 및 해지할 수 있는 기능을 포함한다.
4.2.3.1 데이터 공유정책 및 공유 계약 변경
관리자가 있는 Enterprise와 Local H-CAS는 (그림 16)과 같이 공유정책 및 공유 계약을 변경할 수 있으며, Root H-CAS의 기본 공유정책이 변경되는 경우 SME의 공유정책이 변경될 수 있다.
(그림 16) 데이터 공유 계약 변경 과정
(1) ESM과 Local 관리자는 공유정책을 변경하기 위해 자신의 자산을 재식별한다.
(2) 이후 변경할 공유정책을 작성하고 상위 공유 시스템에 전달한다.
(3) 상위 공유시스템은 이를 확인하고 변경을 요청한 관리자와 협상한다.
(4) 최종 협상한 공유정책은 Data Sharing Policy Storage에 저장되고 이후 데이터를 전송할 때부터 적용한다.
4.2.3.2 Root H-CAS의 긴급 알림 공유
관리자가 있는 Enterprise와 Local H-CAS는 (그림 17)과 같이 긴급 알림을 소비할 수 있다. 따라서 Root H-CAS에서 중요한 알림을 생성하고 Notification System과 FE를 사용하여 알림을 전송한다.
(그림 17) 긴급 알림을 공유과정
(1) 보안 알림은 ESM, Local 관리자, Root 관리자가 생성할 수 있으며 ESM과 Local 관리자가 생성한 보안 알림은 Root H-CAS로 공유한다.
(2) Root H-CAS의 Notification System을 통해 Root H-CAS에 참여하는 Local H-CAS에게 알림을 전송한다.
(3) Local 관리자와 ESM은 FE를 통해 알림을 확인하고 알림에 맞는 행동을 취할 수 있다.
4.2.3.3 정책 보고서의 공유
관리자가 있는 Enterprise와 Local H-CAS는 (그림 18)과 같이 Root H-CAS에서 제공하는 동향보고서나, 분석 보고서 등을 확인할 수 있다.
(그림 18) 보고서 공유과정
분석 보고서는 Root H-CAS뿐만 아니라 Local H-CAS와 Enterprise에서 생성할 수 있으며, 공격의 표적이 기업일 경우 기업의 개인정보가 포함된 보고서가 생성될 수 있다. 따라서, Enterprise에서 생성된 보고서는 비식별 처리 후 Local H-CAS에 저장되어야 하며, Local H-CAS에서 생성된 보고서 또한 비식별 처리 후 공유되어야 한다.
(1) ESM, Local 관리자, Root 관리자는 보고서를 생산한다.
(2) 생성한 보고서는 비식별처리 후 공유된다.
(3) ESM과 Local 관리자는 각자의 FE를 통해 공유받은 보고서를 확인할 수 있다.
4.2.3.4 자격증명 해지
악의적인 목적을 가진 Enterprise나 SME, Local H-CAS를 공유시스템에서 차단하기 위해 (그림 19)와 같이 Root 관리자가 판단하여 자격을 해지할 수 있다. 또한, ESM과 Local 관리자가 공유시스템에 계약을 해지하거나 일시 정지할 때에도 자격을 해지하고 관리해야 한다.
(그림 19) 자격증명이 해지되는 경우
(1) Root 관리자는 모니터링을 통해 악의적인 기업이나 Local H-CAS를 확인한다.
(2) 악의적인 행동이 확인된 기업이나 Local H-CAS는 Root H-CAS의 Participants Manager에서 자격증명이 해제된다.
(3) Local H-CAS의 경우 CA가 발급한 인증서를 취소한다.
(4) 기업과 Local H-CAS에 설치된 Agent를 통해 저장된 사이버 보안 데이터를 파기한다.
(5) Root 관리자는 해지 사유를 통지한다.
4.3 공유 절차에 따른 보안정책
국가, 정부, 대기업으로 구성된 기존 사이버 보안 정보 공유시스템을 민간 기업까지 확대하는 경우 많은 기업의 참여를 장려하고, 쉽게 적용할 수 있는 보안 가이드라인이 필요하다. 따라서, <표 5>와 같이 사이버 보안 데이터를 공유할 때의 고려할 수 있는 보안 가이드라인을 제안하였고 주체에 따라 분류하였다.
<표 5> H-CAS 주체에 따른 보안정책 분류(계속)
5. 결론
기존의 사이버 보안 데이터 공유시스템은 중앙 집중화된 공유시스템의 과부하 문제가 발생할 수 있었다. 또한, 기업별로 사이버 보안 데이터의 처리 범위와 공유정책이 상이하거나 정보보호를 담당하는 관리자가 없는 기업의 경우 공유시스템에 참여가 어렵고, 기업이 수집한 사이버 보안 데이터를 공유하기 전에 가공할 수 있는 시스템을 보유하고 있지 않은 경우에 개인정보 및 기업과 관련된 민감한 정보의 유출 및 부정확한 정보가 공유될 수 있다는 등의 문제점이 있었다.
이를 해결하기 위해 본 연구에서 제안하는 H-CAS 시스템은 기업을 보안을 담당하는 관리자가 있는 Enterprise와 관리자가 없는 SME로 구분하고, 같은 지역이나 계열사끼리 그룹화된 Local H-CAS와 최상위 공유시스템인 Root H-CAS로 나눈 계층적인 구조로 설계하였다. 이러한 계층적인 구조는 중앙 집중화된 공유시스템의 한계를 극복할 수 있고, Local H-CAS에서 참여하는 기업들의 공유정책을 관리할 수 있어 기업별로 처리 범위나 데이터 형식을 지정해줄 수 있으며, SME의 경우 Root H-CAS의 관리자가 기본 공유정책을 설정해줄 수 있어 H-CAS 공유시스템의 참여를 장려할 수 있었다.
제안하는 공유시스템(H-CAS)이 구축되는 경우 더욱 많은 사이버 보안 데이터를 정확하고 빠르게 공유할 수 있을 것으로 기대되며, 공유시스템마다 보안 정책을 저장하고 이를 관리할 수 있는 시스템이 있어 국내뿐만 아니라 국외 사이버 보안 데이터 공유시스템이나 국외 기업까지 확대할 수도 있다.
이를 기반으로 안전한 사이버 보안 데이터 공유시스템이 민간분야까지 확대 적용되는 경우, 국내 공공기관 및 민간 기업들의 안전하고 능동적인 사이버 보안 위협 탐지 체계 구축을 통해 체계적인 글로벌 정보 보호 역량을 강화하고, 보안 침해사고 발생 시 신속한 대응을 통해 피해를 최소화하며 향후 보안 침해사고 발생을 억제하는 등 국가 사이버 안보에 기여할 수 있을 것으로 기대한다.
참고문헌
- 권정수, "[시장동향] '사이버 위협 인텔리전스', 차세대 보안 전략의 핵심으로 주목", 컴퓨터월드, 2020.
- 유진상, ""고도화된 사이버 위협에 공동 대응"...韓 보안기업이 뭉쳤다", IT조선, 2020.
- 과학기술정보통신부, "K-사이버방역 추진전략", 2021.
- 한국인터넷진흥원, "2020년 4분기 사이버 위협 동향 보고서", pp. 38-44, 2020.
- 한국인터넷진흥원, "사이버 위협정보 분석공유(C-TAS) 시스템",https://www.krcert.or.kr/webprotect/ctas.do
- the White House, "Presidential Decision Directive(PDD)-63: Critical Infrastructure Protection", 1998.
- "Critical Infrastructure Information Act", 6 U.S.C, 2002.
- 김동희, 박상돈, 김소정, 윤오준.(2017).사이버 위협정보 공유체계 구축방안에 관한 연구 - 미국 사례를 중심으로 -.융합보안논문지 ,17(2),53-68.
- Mirko Manea, "D7.4 C3ISP Final Reference Architecture", 2019.
- Francesco Di Cerbo, "D4.3 C3ISP First implementation, test and validations of the Enterprise Pilot", 2018.
- Ali Sajjad, "D5.3 First implementation, test and validations of the SME Pilot", 2018.
- 한국인터넷진흥원, "빅데이터 개인정보보호 가이드라인 해설서", 2015.
- ENISA, "Big Data Threat Landscape and Good Practice Guide", 2016.
- European Commission, "Proposal for a Regulation of the european parliament and of the council on European data governance", 2020.
- 박상돈, "미국 사이버안보 정보공유법(CISA)의 규범적 의의", 융합보안논문지, 제17권, 제1호, pp..45-52, 2017.
- DHS, "Guidance to Assist Non-Federal Entities to Share Cyber Threat Indicators and Defensive Measures with Federal Entities under th Cybersecurity Information Sharing Act of 2015", 2020.