[2] 논문분석 [ 교육기관을 위한 클라우드 보안 관제 연동 체계 구축 방안 ]

https://scienceon-kisti-re-kr.libproxy.swu.ac.kr/srch/selectPORSrchArticle.do?cn=JAKO202512761205750

https://scienceon-kisti-re-kr.libproxy.swu.ac.kr/srch/selectPORSrchArticle.do?cn=JAKO202512761205750

 

교육기관을위한클라우드보안관제연동체계구축방안.pdf

0.67MB

---

논문 선정 이유

AI 구현과 확산의 핵심 기반인 클라우드 경쟁력이 곧 국가의 경쟁력으로 직결된다며 공공부문의 민간 클라우드 이용률을 높여야한다는 내용의 뉴스를 최근에 보게 되었다. 클라우드 이용률을 높이려면 그만큼 보안 시스템이 보장되어야 하기때문에 어떤 방식으로 구축되었는지 알아보고 싶어서 선정하게 되었다.

---

내용

Ⅰ. 서론

•  클라우드 사용의 증가는 클라우드 보안 위협 및 침해사고의 발생 비율과도 밀접한 관련이 있음
• 클라우드 컴퓨팅 보안관제 가이드라인, 민간 클라우드 보안관제 주요 보안대책 등을 제시 -> 보안관제 체계 구축을 위한 장비와 보안 관제 연동이 필수적이지만 현재로서는 세부적 내용 없음
• 21년에 발표된 보안관제 연동을 위한 방법론 수립 및 한계점 논의 후 교육기관에 특화된 클라우드 환경의 보안관체 연동체계 구축 방안 제시

---

Ⅱ. 관련연구

 

2.1 클라우드 환경과 보안 위협

• 클라우드 컴퓨팅: 클라우드를 통해 가상화된 컴퓨터의 IT자원을 요구하는 즉시 제공하는 것
• 특징: 접속용이성, 유연성, 주문형 셀프서비스, 사용량 기반 과금제 등
• 구분: 배치 모델에 따른 클라우드 유형(Public, Private, Hybrid 등), 서비스 모델에 따른 클라우드 유형(IaaS, SaaS, PaaS 등)
• 보안 위협: 공격이 예상되는 요소, 그 외에 클라우드 컴퓨팅 특성으로 인한 요소
• 침해사고 유형: CSP의 문제, 서비스 사용자의 문제, 서로의 책임이 공유되는 영역의 문제
• 95%이상이 사용자의 문제이고, 원인과 책임파악이 쉽지않음 -> 상황 방지를 위해 자체적 보안 솔루션 등을 통한 보안 관제 체제 필요

2.2 보안관제체계현황

• '보안관제'에 대해 사이버 공격을 실시간으로 즉시 탐지 및 분석, 대응하는 일련의 활동으로 정의
• 클라우드를 활용하고있는 400개 서비스 중 300개 서비스가 민간CSP의 보안관제 유료서비스를 이용 하고 있지만, ‘국가보안관제체계’에 따른 보안관제는 수행 하지 않는 실정

 

• 교육기관의 보안 관제를 담당하는 ECSC(교육부 사이버 안전센터)는 보안 위협을 탐지 규칙으로 개발하여 NCSC의 탐지규칙과 함꼐 교육기관에 구축된 보안 위협 탐지 장비에 배포 -> 해당 탐지규칙에 맞는 보안 위협을 수집하여 분석, 대응업무 수행
• 사이버 공격 탐지 프로그램의 탐지체계: 네트워크 페이로드 기반 보안 위협 탐지, 악성파일 기반의 보안 위협 탐지, 행위 기반 보안위협 탐지(Docker-Container환경으로 구성. 보안위협을 탐지하는 S/W는 컨테이너 모듈화)

 

 

2.3 클라우드 보안관제 체계

 

- 클라우드 보안관제 전제 조건

• '국가 보안관제 체계'에 따른 보안관제를 수행하기 위해서는 클라우드에 적합한 정보보호 시스템을 선정, 운영해야함
• 보안관제 연동은 필수
• 클라우드와 보안관제 센터 간 송수신 되는 탐지규칙 및 보안 위협탐지 결과 등에 대한 기밀성과 무결성 제공을 위해 전용선 또는 VPN등 안전한 통신망 구축 필요
• SSL 가시성 확보
• 탐지 규칙에 대한 안전한 관리 방안 수립
• 클라우드 보안관제를 위한 예산 수립, 제반비용 고려

- 클라우드(IaaS) 보안관제 기준

• IaaS 클라우드 보안관제(국가, 공공기관에서 주로 활용됨) / PaaS 및 SaaS 클라우드 보안관제 로 구분
• 클라우드 이용기관은 보안관제 주체임을 인식 -> 직접 관제를 위한 제반 사항 준비
• 탐지 장비 호환성 검토
• SSL 가시화 기능을 통해 복호화된 트래픽을 탐지 장비에서 활용할 수 있도록 클라우드 관제체계 구성

 

• 클라우드 센터와 보안관제 센터 간 탐지규칙 및 탐지결과의 안전한 송수신을 위해 전용선 도는 VPN 구성
• 탐지규칙 별도 암호화처리
• 탐지결과는 해당기관 또는 보안 관제 센터로 전송 -> 국가 관제망 -> NCSC로 이동
• 규모, 예산등을 고려해 적합한 보안관제 체계를 선택해 구성
• 다른 기관이 운영하는 보안 관제 시스템 활용이 더 효율적일 경우 규정에 따라 위탁 가능
• 각 급 기관은 IaaS 클라우드 활용 전 반드시 관제 대책을 포함한 클라우드 센터 내 관제 대상 보호에 중점을 둔 보안성 검토 완료해야됨

---

 

Ⅲ. 교육기관 클라우드 보안관제 연동체계

 

 

• 1단계(탐지 장비 구축): VPC 내 트래픽을 미러링 받아서 보안 위협 정보를 탐지하기 위해 클라우드 기반의 탐지 장비 설치
• 2단계(탐지규칙 배포 및 적용): CSP에 설치된 탐지장비 이용. NCSC, ECSC의 탐지규칙을 안전하게 송수신
• 3단계(탐지결과 전송): 보안관제 대상 서비스에서 사이버공격 발생 시 스노트 및 PCRE와 YARA 탐지 이벤트를 ECSC 보안관제 종합시스템에 전송(+ NCSC에도 전송됨)

- 문제점

• 탐지 장비 구축 시 트래픽 미러링하는 부분에서 문제. 각 CSP별 시스템 및 네트워크 구성 등의 차이가 원인
• 트래픽을 미러링하는 방식에 차이 존재(-> 클라우드 보안관제 연동 시 가장 먼저 고려할 사항)

- 한계점

• 클라우드 기반의 사이버공격 탐지 장비에 대한 표준연동 규격 마련 안되어있음 -> 연동 어려움
• CSP별로 시스템 구성 등의 차이 존재 -> 연동을 위한 많은 시간과 비용 소요
• 전용장비 구축비용 등의 큰 비용 소요

---

 

Ⅳ. 결론

• 국가․공공기관이 최초로 개발한 탐지장비를 활용하여 기관에서 클라우드 보안관제 체계 구축예산을 절감시키는 방안 제시
• 국내CSP를 대상으로 적용
• 국내에서 가장 많은 대상기관을 보유하고 있는 교육기관의 다양한 환경을 모두 만족하는 검증된 관리체계를 기반으로 함-> 보다 효율적이고 엄격한 관리 가능

 

• 주제 특성상 실질적 효과 제시에 한계

 

---

배운점 및 느낀점

 

탐지 규칙은 유출이 되게 된다면 해커가 해당 규칙을 우회하는 공격 방식을 설계할 수 있으므로 보안을 철저히 해야하기 때문에 탐지장비에서만 복호화되도록 별도 암호화 처리를 하게 된다는 것을 알게 되었다.이는 end - to - end 암호화 방식으로 CSP도 규칙의 내용을 알 수 없다. 또한 통로 자체도 안전하게 만들기 위해 인터넷망을 그대로 쓰는 것이 아니라 전용선을 구축하거나 VPN을 사용한다.

 

온프레미스 기반의 사이버 공격 탐지 장비에 대한 표준 연동 규격은 마련되어 있어 연동하는데에 큰 문제가 없지만 클라우드 기반에 대한 표준 연동 규격은 마련되어 있지 않다는 것을 알게되었다. 클라우드가 점점 많이 사용되고 있는 기술인만큼 다양한 클라우드 네트워크 환경을 분석하여 표준 연동 규격을 마련하는 것이 남아있는 과제라는 생각이 들었다.

 

클라우드 보안관제 연동체계를 구축하는데에 가장 큰 한계점으로 꼽히는 것은 전용장비 구축에 대한 큰 비용 소요 였던것 같다.

이 논문에서 나온 결론처럼 국가,공공기관에서 개발한 탐지장비를 활용한다면 가장 큰 한계점을 어느정도 해결할 수 있기 때문에 

개인의 과실에서 비롯된 보안문제 발생 가능성을 줄일 수 있을 것이라고 생각이 들었다.

 

---

 용어정리

• CSP: cloud service provider
• SSL: secure socket layer; 네트워크 상에서 데이터를 암호화하여 송수신하는 표준 보안 기술
• VPC: virtual private cloud
• OVS-DPDK: oper virtual switch with data plane development kit

+) OVS: 클라우드 등에서 사용하는 소프트웨어 기반 가상 스위치

DPDK: CPU가 네트워크 패킷을 아주 빠르게 처리할 수 있도록 돕는 가속 기술

 

• 스노트(snort): 실시간 트래픽 분석과 패킷 로깅을 수행하는 오픈 소스 네트워크 침입 탐지 시스템
• PCRE: 펄(Perl)언어와 호환되는 정규표현식 라이브러리
• YARA: 주로 악성코드(멀웨어)를 식별하고 분류하기 위해 고안된 패턴 매칭 도구
• On-premise: 클라우드처럼 외부 서버를 빌려쓰는 것이 아님. 기관이 자체적으로 보유한 전산실 서버실에 직접 하드웨어 장비를 설치하여 운영하는 방식