Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

A study on Risk Scoring for Telecommuting Security Vulnerability of defense industry

방산업체 비대면 근무 보안취약점 위험도 스코어링

  • 황규섭 (명지대학교/보안경영공학과) ;
  • 류연승 (명지대학교/보안경영공학과)
  • Received : 2025.02.04
  • Accepted : 2025.02.24
  • Published : 2025.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

The working environment centered on Telecommuting has rapidly spread since the COVID-19 pandemic, the application of the Telecommuting working environment has been very limited for public institutions applying the network separation policy and defense companies handling military secrets. For companies, Telecommuting working is a global change, so it is important to closely identify security weaknesses and respond in a timely manner to adapt to the environment of the times. In this paper, the MITRE ATT&CK Framework, which deals with attack tactics and technology from the attacker's point of view, and ISMS-P, a corporate information protection authentication standard, are used to classify applicable security threats according to Telecommuting working mechanisms. Based on the classified factors, the level of risk(High, Midium, Low) can be checked by applying the OWASP risk rating calculator. In addition, the MITRE ATT&CK Framework and ISMS-P element-specific scoring result correlation are analyzed to check major threats and security requirements.

코로나 팬데믹 이후 비대면 중심의 근무 환경이 급격이 확산되었으나 망분리 정책을 적용하고 있는 공공기관과 군사기밀을 취급하는 방산업체는 비대면 근무 환경 적용이 매우 제한적이었다. 업체 입장에서는 비대면 근무는 전 세계적인 변화로 시대적 환경에 적응하기 위해 보안취약점을 면밀히 파악하여 적시에 대응하는 것이 중요한 과제이다. 본 논문에서는 공격자의 입장에서 공격 전술과 기술을 다룬 MITRE ATT&CK Framework와 방어자의 입장에서 기업의 정보보호 인증 기준인 ISMS-P를 활용하여 비대면 근무 매커니즘에 따라 해당되는 보안 위협들을 분류한다. 분류된 요소들을 바탕으로 OWASP 위험평가 계산기를 적용하여 스코어링 하면 위험도의 수준(High, Midium, Low)을 확인할 수 있다. 또한, MITRE ATT&CK Framework와 ISMS-P 요소별 스코어링 결과 상관관계를 분석하여 주요 위협을 도출하고 보안요구사항도 제시하고자 한다.

Keywords

1. 서론

코로나 팬데믹 이후 전세계에서 비대면 중심의 근무가 확산되었고 이제는 일부 기업에서 비대면 근무가 완전히 자리잡은 모습을 보이고 있다[1]. 방산업체도 이러한 비대면 근무 적용을 위해 VPN(Virtual Private Network), 망연동(연계) 시스템, VDI(Virtual Desktop Infrastructure) 등 여러 가지 기술을 적용하고 있으나 군사기밀을 취급하는 특수한 환경으로 인해 제한사항이 많고 현재까지도 비대면 근무를 완벽히 적용하고 있지 못하는 실정이다[2].

한편, 다수의 일반 기업은 비대면 근무를 적용하고 있기는 하나 인터넷 기반으로 업무를 수행한다는 취약점으로 인해 많은 비용을 지불하며 보안 취약점 진단 및 평가를 수행하고 있다[3]. 사이버 위협을 언급할 때 대표적으로 거론되는 OWASPTOP 10[4], 국정원 사이버위협 전망[5], 한국인터넷진흥원(KISA) 사이버위협 동향[6] 등에서도 비대면 근무를 수행시에 발생할 수 있는 여러가지 취약점에 대해 확인할 수 있다.

이러한 취약점을 탐지하고 대응하기 위한 방법의 일환으로 MITRE ATT&CK Framework를 활용하면 효과적이다[7]. MITRE ATT&CK Framework은 사이버 공격의 전술ㆍ기술ㆍ절차를 설명할 수 있는 표준 모델이며 APT 공격도 탐지하고 대응할 수 있다. 우리나라의 ISMS-P 제도도 정보보호 및 개인정보보호를 위한 인증제도로 정보보호를 위한 인증 요소들을 참고하면 주요 사이버 위협을 대응하기 위한 요소들을 살펴볼 수 있다.

MITRE ATT&CK Framework와 ISMS-P 제도에서 비대면 재택근무시 발생 할 수 있는 주요 공격들에 대해 분석하고 이를 스코어링 기법을 통해 위험도를 도출한다. 이를 통해 주요 위협들에 대한 대응방안도 제시힌다.

2. 관련연구

비대면 재택근무 공격들을 분석하고 스코어링 하기 위해 MITRE ATT&CK Framework와 ISMS-P 인증 요소들을 활용한다. MITRE ATT&CK Framework에서 주요 공격들을 분석ㆍ분류하고 ISMS-P에서 비대면 재택근무에 적용할 수 있는 인증 요소들을 분석하여 OWASP 위험 평가 계산기를 활용한 스코어링을 통해 유의미한 연구 결과를 도출한다.

2.1 MITRE ATT&CK Framework

MITRE ATT&CK Framework은 갈수록 지능화되고 있는 공격들을 연구하기 위해 미국 연방정부의 지원을 받으며 국가안보 관련 업무를 수행하던 비영리 연구개발 단체인 MITRE에서 만들었다. MITRE ATT&CK Framework은 공격자가 수행할 수 있는 공격들에 대해 전술(Tactics), 기술(Techniques)로 구분되어 있다[7]. 여기서 제시된 전술과 기술 분석을 통해 비대면 재택근무시 발생할 수 있는 공격의 유형을 분석할 수 있다[8].

2.2 ISMS-P 인증제도

ISMS-P(정보보호 및 개인정보보호 관리체계)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)에 근거하여 기업을 인증하는 제도이다[9]. 인증을 통해 기업이 수행하고 있는 보안관리가 적당한 수준인지를 판단하고 그 신뢰성을 보장한다[10][11]. 인증에 활용되는 102개의 항목은 불특정 공격자의 침해행위에 대응하기 위한 중요한 요소이며 이를 반대로 해석하면 공격 방법을 도출할 수 있다.

2.3 OWASP 위험 평가 계산기

OWASP 위험 평가 계산기는 RISK(위험)를 Likelihood(가능성)과 Impact(영향)을 고려하여 계산된다. 계산기는 크게 4가지 항목으로 구분되어 있는데 Threat Agent Factors, Vulnerability Factors, Technical Impact Factors, Business Impact Factors이다[12][13].

Threat Agent Factors는 Skill Level(기술 수준/숙련도), Motive(동기/공격자가 취할 수 있는 보상), Opportunity(기회/공격자가 취약점을 찾고 악용하기 위해 필요한 리소스), Size(공격자의 규모)로 구성되어 있으며 Vulnerability Factors는 Ease of Discovery(공격자가 취약점을 발견하기 얼마나 쉬운지), Ease of Exploit(공격자가 취약점을 활용하여 익스플로잇하기 얼마나 쉬운지), Awareness(이 취약점이 얼마나 알려져 있는지), Intrusion Detection(침입 탐지/익스플로잇이 어떻게 탐지되는지)로 구성되어 있고 Technical Impact Factors는 Loss of Confidentiality(얼마나 많은 기밀이 유출될 수 있는지), Loss of Integrity(얼마나 많은 데이터가 손상될 수 있는지), Loss of Availability(얼마나 많은 서비스가 중단될 수 있는지), Loss of Accountability(위협을 추적할 수 있는지)로 구성되어 있고 Business Impact Factors는 Financial Damage(침해시 얼마나 많은 재정적 손해가 발생할 수 있는지), Reputation Damage(침해시 기업 평판에 얼마나 손해가 있는지), Non-Compliance(규정 미준수로 발생할 수 있는 노출), Privacy Violation(개인정보가 얼마나 유출될 수 있는지)로 구성되어 있다.

3. 공격 유형 분석 및 스코어링

3.1 MITRE ATT&CK Framework와 ISMS-P를 활용하여 공격 위협을 분석한 이유

MITRE ATT&CK Framework는 공격자의 초기 정보 수집 및 계획 행위부터 공격의 실행까지 사이버공격 라이프 사이클 각 단계에 따라 사이버 위협의 전술, 기법, 절차 등이 분류되어 있으며, 이는 전 세계 보안전문가들의 사이버 위협에 대한 정보가 공유ㆍ반영되는 중요한 자료이다.

특히, MITRE ATT&CK MATRIX를 살펴보면 엔터프라이즈 매트릭스, 모바일 매트릭스, ICS 매트릭스가 포함되어 있는데 네트워크 인프라, 클라우드 플랫폼, 윈도우, Mac OS, 리눅스 플랫폼과 모바일 기반 공격기법, ICS에는 산업제어 시스템 공장, 유틸리티, 운송 시스템 등 기타 중요 정보가 포함되어 있다.

ISMS-P(정보보호 및 개인정보보호 관리 인증)는 조직 전반의 정보보호 및 개인정보보를 위한 지속적이고 체계적인 위험 관리 시스템이다. 사이버침해 사고 발생 가능성 및 개인정보 유출을 사전에 차단하여 기업의 사회적 책임을 다하도록 하는 인증제도이다. 즉, 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항을 충족하도록 유도하고 있는데 이는 외부 사이버 침해에 대응하기 위한 중요 요소들이 포함되어 있다는 것이다.

이에, 전 세계 전문가들이 작성한 MITRE ATT&CK Framework과 우리나라 정보보호 및 개인정보보호 관리 인증 체계 ISMS-P를 이용하여 공격 스코어링을 시행하면 공격자들이 중요시 하는 요소들이 도출되고 이에 대응하기 위한 보안요구사항이 도출 될 수 있는 유의미한 데이터를 생성할 수 있다.

3.2 MITRE ATT&CK Framework 유형 분류

MITRE ATT&CK Framework는 14개의 전술과 235개의 기술로 구성되어 있다[7]. 이 중에서 방산업체 비대면 근무시 위협으로 작용할 수 있는 주요 공격 기술을 구분하여 48개의 공격 기술을 분류하였다[14].

<표 1> MITRE ATT&CK Critical Attack[14]

SOBTCQ_2025_v25n1_81_3_t0001.png 이미지

3.3 STRIDE 위협 모델링 및 데이터 흐름을 통해 세부 공격유형 분석

황규섭 연구[14]에 따르면 3.1.에서 구분한 48개의 공격 기술을 STRIDE 위협 모델로 분석하고 재택근무와 관련된 공격 라이브러리를 통해 데이터 흐름까지 살펴보면 재택근무 시스템을 기본구성, 네트워킹, 인프라로 구분할 수 있고 아래의 <표 2>와 같이 총 19개의 주요 위협으로 구분할 수 있다[15][16].

<표 2> STRIDE 위협모델링에 기반한 공격 유형 세부 분석[14]

SOBTCQ_2025_v25n1_81_4_t0003.png 이미지

3.4 MITRE ATT&CK 기반 주요 공격 스코어링

위 <표 2>에서 제시한 MITRE ATT&CK Framework 주요 공격을 기반으로 OWASP Risk Rating Calculating을 통해 19개의 유형에 대해 스코어링을 한다. 2.3.에서 제시한 요소별로 평가한 점수를 분석하여 공격 위험 수준(Level)을 제시한다. 결과는 아래의 <표 3>과 같다.

<표 3> MITRE ATT&CK Framework 주요 공격 스코어링

SOBTCQ_2025_v25n1_81_5_t0002.png 이미지

스코어링 결과 최저 2.68.에서 최고 7.91까지 분포를 보였고 19개 항목 중 4개 항목은 Low 등급, 10개 항목은 Midium 등급, 5개 항목은 High 등급으로 스코어링 하였다.

High 등급은 기본구성(계정관리)③ 유지보수ㆍ서비스 계약자 등 에 의한 액서스 권한 탈취, 기본구성(내부정보 관리)② 공격전 호스트에 대한 관리데이터(사용자, 할당된 IP 등)를 수집, 네트워킹① 공격자는 사전에 열린 포트를 스캔하여 트래픽 신호를 이용하여 열린 포트에 악의적인 기능을 숨김, 인프라③ 공격자는 사용자에 대한 리소스 가용성을 저하시키거나 차단하기 위해 네트워크 서비스 거부(Dos) 공격을 수행, 인프라④ 공격자가 시스템 접근을 위해 하드웨어 제품을 몰래 조작(백도어 등)/공급망 공격을 감행, 즉 5개 분야가 매우 위험한 공격으로 분석하였다[17][18].

3.5 ISMS-P 기반 주요 공격 스코어링

ISMS-P(정보보호 및 개인정보보호 관리체계)에서 비대면 재택근무에 해당하는 정보보호 위주의 요소를 공격이 가능한 요소로 분류하였고 OWASP Risk Rating Calculating을 통해 18개 유형에 대해 스코어링 하였다. 결과는 아래의 <표 4>와 같다[18].

<표 4> ISMS-P 주요 공격 요소 스코어링

SOBTCQ_2025_v25n1_81_6_t0001.png 이미지

스코어링 결과는 최저 3.35에서 최고 6.66까지 분포를 보였고 18개 항목 중 14개는 Midium 등급, 4개 항목은 High 등급으로 스코어링 하였다.

High 등급은 외부자 현황관리, 정보시스템 보호, 패치관리, 악성코드 통제였다. 외부자 현황관리는 정보보호ㆍ정보시스템 운영 또는 개발을 외부에 위탁하거나직접 서비스(클라우드, 앱 등)하는 경우에 해당하며 정보시스템 보호는 비인가자 접근 가능성을 감소시킬 수 있도록 시스템 중요도에 따른 관리ㆍ배치, 환경적 위협과 위해요소 제거 등이 수반되어야 한다. 패치관리는 소프트웨어ㆍ운영체제ㆍ보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위해 주기/수시로 패치가 이루어져야 하고 악성코드 통제는 바이러스ㆍ웜ㆍ트로이목마ㆍ랜섬웨어 등 악성코드로부터 정보시스템 및 업무용 단말기 보호를 위해 예방ㆍ탐지ㆍ대응 등의 보호대책을 수립ㆍ이행하는 것을 말한다.

4. MITRE ATT&CK Framework와 ISMS-P 상관관계 분석

2장에서 MITRE ATT&CK Framework와 ISMS-P에 대해 간략히 설명하였다. MITRE ATT&CK Framework는 공격자들이 수행할 수 있는 공격 기법들에 대해 상세히 제시하고 있고 ISMS-P는 정보시스템을 보호하는 입장에서 인증을 위한 필수 요소들을 제시하고 있다. 즉 이 두 개는 상관관계를 가질 수 밖에 없다.

공격과 방어의 입장이 조금 다를 수 있지만 대원칙에서는 공격을 방어하기 위해서는 취급하는 요소가 같을 수 밖에 없기 때문이다. 이에 따라 상관관계를 분석하였다.

4.1 MITRE ATT&CK과 ISMS-P 연관성

4.1.에서는 MITRE ATT&CK Framework과 ISMS-P 중 연관성이 있는 요소들에 대해 설명한다. MITRE ATT&CK은 공격기법을 다룬 것이고 ISMS-P는 정보시스템 보호를 위한 인증요소를 다룬 것인데 연관되는 요소가 있다는 것은 두가지 기법에서 모두 중요하다고 다뤄지고 있는 것으로 중요한 요소라고 분석하였다.

이정협[19]은 적대적 공격 및 방어 기술 성능향상 연구에서 적대적 공격 기술과 방어 기술 연구의 고도화를 통해 새로운 개념의 적대적 데이터로 적대적 공격뿐만 아니라 방어 측면에서도 기존 기술들을 강화할 수 있음을 입증하였다.

이와 같이 공격 기술과 방어 기술 연구 고도화를 통해 방어 측면에서도 기존 기술 강화가 가능한 점을 고려하여 MITRE ATT&CK Framework 공격 전술과 기술을 ISMS-P 인증기준과 결합하여 비대면 재택근무 보안취약점을 심도 깊게 연구하였다. 방법은 MITRE ATT&CK Framework 공격 기술 카테고리에 관련이 있는 ISMS-P 인증 기준을 연관시켰으며, 스코어링 된 점수와 비교를 통해 주요 공격에 대해 보안요구사항을 도출하였다.

MITRE ATT&CK 기본구성(계정관리) ③은 ISMS-P 2.3.1. 외부자 현황 관리와 2.4.3. 정보시스템 보호와 연관된다. 기본구성 ③은 신뢰할 수 있는 제3자(유지보수, 서비스 계약자 등)에 의해 시스템 엑세스 권한을 획득하는 공격이다. 이는 ISMS-P에 2.3.1. 외부자 현황 관리 업무의 일부를 외부에 위탁하거나 외부의 서비스를 이용하는 경우 조직ㆍ서비스로부터 발생되는 위험을 파악하여 적절한 보호 대책을 마련해야 한다. 2.4.3. 정보시스템 보호는 비인가자 접근 가능성을 감소시킬 수 있도록 중요도와 특성, 환경적 위협과 위해요소를 고려하여 보호하여야 한다.

MITRE ATT&CK 기본구성(계정관리) ④는 ISMS-P 2.5.1. 사용자 계정 관리, 2.5.6. 접근권한 검토, 2.6.3. 응용프로그램 접근, 2.6.4. 데이터베이스 접근과 연관된다. 기본구성 ④는 권한이 없는 사용자(계정)에게 특정 권한이 부여되어 내부 시스템을 공격하는 기법이다. 이와 연관되는 ISMS-P 2.5.1. 사용자 계정 관리는 정보시스템 접근권한을 최소화하여 부여하도록 해야하고 사용자 등록ㆍ해지, 접근권한 부여ㆍ변경ㆍ말소 절차를 규정화하고 구성원들에게 인식시켜야 한다. 2.5.6. 접근 권한 검토는 정보시스템에 접근하는 사용자의 등록ㆍ이용ㆍ삭제 및 접근권한 부여ㆍ변경ㆍ삭제시 이력을 남기고 주기적으로 적절성을 검토 해야한다. 2.6.3. 응용프로그램 접근은 사용자별 업무 중요도에 따라 응용프로그램 접근을 제한하여 중요 정보 노출을 최소화한다. 2.6.4. 데이터베이스 접근은 정보의 중요도에 따라 접근통제 정책을 수립ㆍ이행해야 한다.

MITRE ATT&CK 기본구성(계정관리) ⑤는 ISMS-P 2.5.3. 사용자 인증, 2.7.1. 암호정책 적용과 연관된다. 기본구성 ⑤는 공격자는 시스템, 서비스에 액세스 하는데 사용할 수 있는 자격증명을 위해 2FA 이하 인증 매커니즘을 공격한다. ISMS-P 2.5.3. 사용자 인증은 정보시스템의 중요정보에 대한 사용자의 접근은 강화된 안증방식을 적용하여야 한다. 또한, 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 통제방법도 수립해야 한다. 2.7.1. 암호정책 적용은 정보시스템 보호를 위해 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 주요 정보의 저장ㆍ전송ㆍ전달시 암호화를 적용해야 한다.

MITRE ATT&CK 기본구성(내부정보 관리) ②는 ISMS-P 2.6.1. 네트워크 접근과 연관된다. 기본구성 ②는 공격전 호스트에 대한 관리데이터(이름, 할당된 IP, 기능 등)를 수집하여 공격한다. ISMS-P 2.6.1. 네트워크 접근은 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립하고 중요 업무는 네트워크 분리를 통해 접근통제 한다.

MITRE ATT&CK 기본구성(내부정보 관리) ③은 ISMS-P 2.5.4. 비밀번호 관리와 연관된다. 기본구성 ③은 사용자에 대한 자격증명(ID/PW, 이름, 주소, 경력 등)에 관한 정보를 수집하여 공격한다. ISMS-P 2.5.4. 비밀번호 관리는 정보시스템 사용자 및 고객 등 정보 주체가 사용하는 비밀번호 관리절차를 수립ㆍ이행한다.

MITRE ATT&CK 인프라 ①은 ISMS-P 2.10.7. 보조저장매체 관리와 연관된다. 인프라 ①은 공격자는 이동식 드라이브와 같은 물리적 매체를 통해 데이터를 유출할 수 있다. ISMS-P 2.10.7.은 보조저장매체를 통하여 중요정보 유출이 발생하지 않도록 관리 해야하며 중요정보가 포함된 보조 저장매체는 별도의 안전한 장소에 보관한다.

MITRE ATT&CK 인프라 ②는 ISMS-P 2.9.4. 로그 및 접속관리와 2.9.5. 로그 및 접속기록 점검과 연관된다. 인프라 ②는 공격자는 외부 결과를 조작하거나 숨기기 위해 데이터를 삽입, 삭제 또는 조작할 수 있다. ISMS-P 2.9.4. 로그 및 접속관리는 정보시스템 사용자 접속기록, 시스템 로그, 권한부여 내역 등 로그유형, 보존기간, 보존방법 등을 정하고 관리한다. 2.9.5. 로그 및 접속기록 점검은 정보시스템의 정상적인 사용을 보장하기 위해 정보시스템 접근 및 사용에 대한 로그 검토 기준을 수립하여 주기적으로 점검하며 문제 발생 시 사후조치를 적시에 수행한다.

MITRE ATT&CK 인프라 ⑦은 ISMS-P 2.10.6. 업무용 단말기 보안, 2.1.3. 정보자산의 관리, 2.2.1. 주요직무자 지정 및 관리 2.2.2. 직무 분리, 2.10.8. 패치관리, 2.10.9. 악성코드 통제와 연관된다. 인프라 ⑦은 사용자 단말기 침해에 의한 단말기 통제 권한을 상실하여 자격증명 및 자료가 유출된다. ISMS-P 2.10.6. 업무용 단말기 보안은 단말기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등 접근통제 대책을 수립하고 주기적으로 점검한다. 2.1.3. 정보자산의 관리는 정보자산의 용도와 중요도에 따른 취급절차 및 보호대책을 수립하고 자산별 책임소재를 명확히 정의하여 관리한다. 2.2.1. 주요 직무자 지정 및 관리와 2.2.2. 직무 분리는 주요 정보시스템 접근은 주요 직무자를 최소한으로 지정하여 관리하고 권한 오ㆍ남용으로 인한 잠재적 피해를 예방하기 위해 직무 분리 기준을 수립하고 적용한다. 2.10.8. 패치관리는 소프트웨어, 운영체제, 보안시스템 등 취약점으로 인한 침해사고 예빵을 위해 최신 패치를 적용한다. 2.10.9. 악성코드 통제는 바이러스ㆍ웜ㆍ트로이목마ㆍ랜섬웨어 등 악성코드로부터 정보시스템 및 업무용 단말기를 보호하기 위해 악성코드 예방ㆍ탐지ㆍ대응 등 보호대책을 수립하고 이행해야 한다.

4.2 공격 스코어링과 연관성 분석

상기 요소들이 MITRE ATT&CK Framework 요소와 ISMS-P 요소 중 연관되는 것만 구분하여 분석하였고 즉 위 요소를 주요 공격 유형으로 판단하였다.

󰊱 MITRE ATT&CK 기본구성(계정관리) ③과 ISMS-P 2.3.1. 2.4.3.은 연관성이 있는 것으로 분석하였는데 모두 공격 스코어링에서 H(High) 등급으로 평가되었다.

󰊲 MITRE ATT&CK 기본구성(내부정보 관리) ②는 H(High) 등급으로 평가하였는데 이는 ISMS-P 2.6.1. 네트워크 접근과 연관성이 있는 것으로 분석하였던 것으로 주요 공격 유형에 해당한다.

󰊳 ISMS-P 2.10.8. 패치관리, 2.10.9. 악성코드 통제는 모두 H(High) 등급으로 평가하였는데 MITRE ATT&CK 기본구성(인프라) ⑦과 연관성이 있는 것으로 분석하였던 것으로 주요 공격 유형에 해당한다. 이와 같이 공격 스코어링에 따른 분석으로 H(High) 등급 주요 위협으로 조직 입장에서 방어/보호가 필요한 요소로 분석할 수 있다.

상기 주요 공격으로 분석한 사항은 5장에서 보안요구사항을 제시한다.

5. 주요 공격유형에 대한 보안요구사항

4. 2장에서 연관성 분석을 통해 MITRE ATT&CK Frameork와 ISMS-P 스코어링시 High 등급 이상의 위협 중 서로 상관있는 기술들에 대해 보안요구사항을 제시하고자 한다. 이 공격은 재택근무 사용시 필히 관심을 두고 방어 해야한다.

6. 결론

코로나 이후 어떠한 질병으로 팬데믹이 올지 모르는 급변하는 세상에서 재택근무는 지속 관리되어야 할 중요 기술이다. 저자는 방산업체 보안 취약점과 보완 요소에 대해 연구[14]한 바 있는데 본 논문에서는 이러한 취약점을 공격자의 입장에서 기술을 제시하고 있는 MITRE ATT&CK Frameork와 방어자의 입장에서 정보보호인증 요소를 제시하고 있는 ISMS-P의 관점에서 공격 스코어링을 통해 위협의 수준이 높은 요소들을 판단하는 데 의미를 두고 있다.

특히, MITRE ATT&CK Frameork와 ISMS-P의 상관관계를 분석하였고 스코어링을 통해 High 등급의 높은 위협들을 따로 분류하여 고위험군으로 분류하였다. 고위험군의 위협들에 대해 보안 요구사항을 제시하며 업체에서 재택근무를 위해서 필수적으로 고려해야 할 사항을 분석하였다.

<표 5>에서 제시한 보안요구사항을 기반으로 󰊱 인증취약점 및 사회공학적 기법을 이용한 외부인의 침입시도, 󰊲 조직 및 조직원 정보 노출로 인한 내부 정보 유출, 󰊳 악성코트 통제 부실, 보안패치 업데이트 및 단말기 관리 미흡에 따른 중요 정보 유출 등을 방지하는 노력이 필요하다.

<표 5> 주요 공격유형에 대한 보안요구사항

SOBTCQ_2025_v25n1_81_9_t0001.png 이미지

향후 연구에서는 다양한 보안취약점을 연구하여 재택근무시 발생할 수 있는 여러 가지 공격 방법에 대비한 보안취약점을 보다 심도 있게 연구하고 보안요구사항을 제시하고자 한다.

References

  1. 권영환, 박태형, 서영희, 송지환, 이종엽, 전희승, 원격근무 솔루션 기술ㆍ시장 동향 및 시사점, SPRI(소프트웨어정책연구소) 연구보고서, 2020. 4.29. IS-093.
  2. 강동윤, 이상웅, 이재우, 이용준, 최근 사이버위협 동향과 가상사설망을 활용한 재택 근무자 보안 강화 기술 연구, 정보보호학회지 제31권 제3호, 2021. 6.
  3. 이진영, 김동진, 김민재, CWE와 7PK 취약점 분류 비교, 정보과학회 학술발표논문집, 제36권 제2호, 2009.11.
  4. https://owasp.org/www-project-top-ten/, OWASP Top Ten 2021.
  5. https://www.nis.go.kr/ (공지사항) 국가정보원, 2025년 사이버안보 위협 전망
  6. https://www.kisa.or.kr/20205/form?postSeq=1027&lang_type=KO. 한국인터넷진흥원(KISA), 2024 하반기 사이버 위협 동향 보고서
  7. MITRE ATT&CK Framework, https://attack.mitre.org/, accessed on JAN. 2025
  8. 이민호, 박창욱, 김완주, 임재성, CAMM-국가수준 사이버 공격 귀속성 모델, 2019한국정보과학회논문집, 2019. 6.
  9. ISMS-P(KISA), https://isms.kisa.or.kr/main/ispims,, accessed on May. 2024
  10. 고도균, 박용석, 보안관제 업무 연관성 분석을 통한 ISMS-P 기반의 외주용역 관리 방법 제안, 한국정보통신학회논문지, 제26권 제4호, 2022. 4.
  11. 최훈, 김청운, 이유빈, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도의 현황과 전망, 한국콘텐츠학회 2022종합학술대회, 2022. 7.
  12. owasp risk rating calculatorhttps://owasp-risk-rating.com/, accessed on May. 2024
  13. 강동욱, 김경환, 진민식, 정영범, OWASP 벤치마크의 보안약점 탐지 점수를 높이기 위한 정적 분석 기술, 정보과학회지 제34권 제3호, 2016. 3.
  14. 황규섭, 류연승, 방산업체 비대면(재택) 근무를 위한 보안 요구사항 연구, 융합보안논문지 제23권 제5호, 2023.12.
  15. 명성식, 원격 근무에 따른 보안 인프라 변화와 사이버 위협 대응 방안에 관한 연구, 고려대학교 컴퓨터정보통신대학원 석사 논문.
  16. 조성영, 박용우, 이건호, 최창희, 신찬호, MITRE ATT&CK을 이용한 APT 공격 스코어링 방법 연구, 정보보호학회논문지 제32권 제4호. 2022. 8.
  17. 변으뜸, 임종인, 이경호, 웹 취약점 스코어링 기법의 advanced 모델 연구, 정보보호학회논문지 제25권 제5호, 2015.10.
  18. 고도균, 박용석, 보안관제 업무 연관성 분석을 통한 ISMS-P 기반의 외주용역 관리 방법 제안, 한국정보통신학회논문지 제26권 제4호. 2022. 4.
  19. 조성영, 박용우, 이건호, 최창희, 신찬호, MITRE ATT&CK을 이용한 APT 공격 스코어링 방법 연구, 정보보호학회논문지 제32권 제4호. 2022. 8.