내부자 이상행위 감지를 위한 이중 모니터 시스템 개발
Dual Monitor System for insider Anomaly Detection
초록/요약
금융보안연구원에서 2011년에 발표된 금융IT 내부통제 강화 전략 이슈 리포트[1]에 따르면, 조직 내에 발생된 보안사고의 60% 이상이 내부자의 소행이었고, 규모가 큰 조직일 수록 내부자 위협에 더욱 취약하다는 사실이 밝혀졌다. 그러나 조직의 내부자에 대한 통제 시스템은 아직 미흡한 상태이다. 본 논문에서는 이러한 상황을 개선하기 위하여, 효율적인 내부자 통제를 위한 방법으로 이중 모니터 시스템을 제안하였다. 제안한 이중모니터 시스템은 비즈니스 시스템 내부에 AOP[2] 를 이용하여 구현한 내부 모니터와 비즈니스 시스템과는 별도로 구성된 데몬서버 형태의 외부 모니터로 이루어진다. 본 연구는 이 두 개의 모니터를 이용하여 내부자의 비정상 행위 감지를 위해, 두개의 시나리오를 제시하고 이를 검증하였다. 첫번째 검증은 내부자에 속하는 개발자에 의한 위협인 프로그램 내 비정상 소스를 삽입과 이를 통한 비정상 행위에 대한 감지를 검증을 통해 확인하였다. 두번째는 내부 모니터와 외부 모니터가 각자의 모니터를 통해 수집한 DB Server에 대한 접근 행위 정보를 공유하고, 공유된 정보를 비교하여, 일치 여부를 확인하는 방법으로 정상 행위를 판단하는 새로운 방식의 감지방법을 시나리오를 통해 검증하였다.
more목차
1장 서론 1
1절 연구배경 1
2절 연구방향 3
3절 연구내용 5
2장 관련 연구 7
1절 침입 탐지 시스템 7
2절 행위기반 탐지 기법 8
3장 내부자 위협사례 시나리오 9
1절 비정상 Route를 통한 DB Server 접근 시나리오 9
2절 Application내 비정상 코드 삽입을 통한 DB Server 접근 시나리오 10
4장 이중 모니터 시스템 12
1절 이중 모니터 시스템 구조 12
1항 Application Behavior Self Monitor 13
2항 Behavior patter 15
3항 External Application Behavior Monitor(EABM) 16
4항 연동 방법 18
2절 이중 모니터 작동 메카니즘 19
1항 시스템 초기화 19
2항 시스템 모니터링 메카니즘 20
3절 이중 모니터 시스템 구현 23
1항 개발환경 23
2항 ABSM 구현 24
3항 Behavior Pattern 구현 26
4항 EABM 구현 28
5장 이중 모니터 작동 검증 29
1절 내부자의 비정상 루트를 통한 DB access 행위 검증(시나리오1) 29
2절 비정상 소스 삽입 DB 행위 검증(시나리오2) 30
6장 결론 32
참고문헌 34
ABSTRACT 36
