RadarURL
Skip to content
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

조기경보 시스템(Early Warning System)의 국내외 구축·운영 사례




지금까지 2회에 걸쳐 조기경보 시스템의 구성과 기술동향에 대해 살펴보았다. 이번 호에서는 국내외 조기경보 시스템의 구축동향을 살펴봄으로써 우리나라의 조기경보 시스템 구축방향을 모색해보고자 한다. 먼저 유럽의 조기경보 시스템 구축경과와 동향을 살펴보고, 9·11 이후 더욱 엄격해진 미국의 사이버테러 대응 및 조기경보 시스템 구축사례를 살펴봄으로써 우리나라의 조기경보 시스템 구축방향을 제시해보고자 한다.




유럽의 조기경보 시스템 구축동향




유럽의 조기경보 시스템 구축은 영국의 정보보증자문위원회(Infomation Assurance Advisory Council)가 ‘정보보증을 위한 조기경보 및 위협평가(Early Warning and Threat Assessment for Information Assurance)’ 연구를 통해 조기경보 시스템의 구축이 가능함을 제시한 후에 본격적으로 추진됐다.




영국의 정보보증자문위원회는 공공 정책의 수립, 기업 지배구조 및 정보 위험관리, 정보 공유 및 인식제고 등의 목적으로 수립된 기관으로, 기존의 ‘정보보증을 위한 조기경보 및 위협평가’ 연구가 공공 및 민간 부문의 사이버 범죄가 늘어감에도 불구하고 대부분의 정보보호 패러다임이 발생한 공격에 대해 탐지 및 대응하는 수동적 모델에 그치고 있는 점에 착안, 최종 사용자 및 조직이 침입으로 인한 피해를 최소화할 수 있도록 예방할 수 있는 경보 시간을 늘리기 위해 진행됐다.




이 연구는 1999년 10월 1일부터 2001년 3월 31일까지 2년 6개월에 걸쳐 진행됐는데, 연구의 목적은 사이버 공격에 대한 조기경보를 제공하는 방법을 개발 및 평가하고, 위협평가에 사용될 수 있는 위협 프로파일을 개발하는 것이었다.




이 연구는 전통적인 국가 안보 및 테러 대응에 사용되는 감지 및 경보 프로세스 설계에 이용되는 인지 사이클을 사용했는데, 이는 정보 요구사항을 정의하고, 체계적인 정보수집 계획을 설계 및 구현하며, 후속분석을 수행하고 결과를 제출하는 반복적인 단계로 이루어져 있다.




분석은 ‘Analytical Cuts’라고 불리는 기간 단위로 이루어졌는데, 각 Cuts는 실제 사건이 발생한 시기와 대응한다. 각 Cuts의 자료는 해당 기간의 통신 데이터들로, 분석을 통해 주기적인 사고자료의 요약, 예방지표의 활용성 평가 및 위협 프로파일 생성이 가능해진다.




연구결과, 사이버 공격에 대응하는 조기경보 방법의 사용이 가능하다는 긍정적인 결과에 도달하게 됐다. 즉, 위협자의 프로파일을 동기, 의도, 능력 및 행태에 따라 추출함으로써 공격을 예측할 수 있는 지표를 생성하는 것이 가능하다는 것을 제시하고, 위협자의 예비활동과 관련된 공개 통신자료를 수집, 분배 및 분석하는 체계적이고 반복적이며, 지능적인 프로세스의 수립을 위한 개념을 제공했다.




조기경보 체계의 수립 가능성이 확인된 후 유럽 연합의 산하기관들은 기술분야, 법률분야, 상용기술화 분야로 세분화해 매년 워크숍을 개최했다. 또한 유럽연합 회원국의 전체 65개 CERT를 기술수준이나 업무 처리능력 등을 기준으로 3등급으로 세분화하는 한편, 협조체계에 있어서도 등급화를 시도해, 국가 CERT 및 대형 CERT와 일반 기업/대학/연구소 CERT를 그룹화해 차별화된 협조체계를 구축했다.




한편 유럽연합은 그림 1에서 보는 바와 같이 ‘유럽 조기경보 시스템(EWIS : European Warning and Information System)’을 구축하기 위해 각 회원국가의 국가 정보보호 조직, 침해사고대응팀(CERT : Computer Emergency Response Team), 정보공유 및 분석센터(ISAC : Information Sharing and Analysis Center), 기업의 정보보호 조직, 통신사업자, 개인 이용자 등을 연결하는 작업을 수행 중이며, 북미나 아시아의 정보보호 조직과 연결할 계획도 가지고 있다.




유럽 연합은 조기경보체계를 구성함에 있어 수많은 정부/기업/민간/공공 등에 개별적으로 침해사고대응센터(CERT)를 만들고, 정보보호 인력을 양성해 배치하는데 한계가 있다는 것을 파악했다. 따라서 그림 2와 같이 분야별로 대표 CERT 또는 ISAC을 구축해 많은 센터를 효율적으로 운영하고, 사이버테러에 대응하기 위해 중요 정보통신 기반구조별로 CERT 및 ISAC을 육성했는데, 이는 미국과 동일한 방식으로 미국은 모두 17개의 ISAC을 운영 중이다.




미국의 조기경보 시스템 구축 현황




미국의 조기경보체계 구축을 위한 논의는 2003년 12월 3일, 사이버 보안 정상회담(Cyber Security Summit)에서 논의되어 먼저 조기경보 태스크 포스팀을 구성하고, 국가 조기경보 연락망(National Early Warning Contact Network) 구축을 위한 방법론, 절차, 신뢰할 수 있는 최고 상위계층의 구조에 대한 논의를 시작했다. 이후 정부·공공·산업계 등 350명이 참석해 자동화된 데이타 수집방법을 조사하고, 국토안보부와 공공 및 민간의 정보 공유방법에 대한 연구를 진행 중에 있다.




미국은 대규모 보안사고 발생시 정부와 민간 전문가들의 정보공유에 사용하기 위해 인터넷과 분리된 독립 사설망으로 사이버경보정보망(CWIN : Cyber Warning Information Network)을 구축 중이다. 사이버경보정보망에는 현재 NIPC (National Infrastructure Protection Center), CIAO (Columbia International Affairs Online), 민간 ISAC, 기타 정부 시스템 보안에 관련된 기관이 참여하고 있다.




또한 ‘사이버 보안정보 공유 프로젝트(CSISP : Cyber Security Information Sharing Project)’를 추진해 정부와 민간부문의 정보공유 모델을 연구 중에 있다. 현재 CERT-CC로 침해사고 정보, 취약점 정보를 신고 받는 방법은 웹사이트를 통해 일정 양식을 작성하거나 전화신고 후 결과를 제공받는 방법으로 긴급한 상황에서는 대응이 지연되는 단점이 있다. 따라서 ‘사이버 보안정보 공유 프로젝트’는 프로젝트 참여자들이 ArcSight의 보안사고 관리 소프트웨어를 설치하고, 정보수집원으로 활용해 공격과 관련한 정보를 수집하도록 하고 있다.




한편 국토안보부는 ‘사이버보안 모니터링 프로젝트’를 계획해 대규모 공격, 바이러스, 웜의 돌발적 발생 및 급증을 실시간으로 분석하는 시스템을 구상하고 있다. 이는 실시간 사이버 상태 인지 시스템(A Real-time Cybersituation Awareness System)으로, 다중 공격 또는 중요 바이러스 및 웜의 돌발적 확산을 암시하는 징후에 대한 데이터를 즉각적으로 분석할 수 있는 국가적 역량을 마련하기 위한 것이다. 이 프로젝트는 국토안보부 소속의 국가 사이버보안부(National Cyber Security Division)와 SRI International, Symantec, Computer Associates가 참여해 유관기관과의 협조체계 구축 및 ‘비영리용 데이터수집 시스템(Nonproprietary Data Collection System)’의 개발을 수행하고 있다.




한편 미국의 CERT 구성은 그림 3과 같이 분야별로 세분화되어 총 17개 분야별 CERT 또는 ISAC이 운영 중에 있다. 미국은 전력 ISAC, 통신 ISAC 등의 주요 분야 이외에 농업 ISAC(Agriculture), 식료 ISAC(Food), 급수 ISAC(Water), 공공보건 ISAC(Public Health, 설립 준비 중), 소방 ISAC(Emergency Services), 우편·해운업 ISAC(Postal and Shipping), 화학 ISAC(Chemical), 대형건물 ISAC(Real Estate)까지를 중요 정보통신 기반구조로 보고, ISAC을 설립해 위기에 대비하고 있다.




모든 공격이 혼합된 공격(Blended Attacks)으로 진행될 것으로 예상되는 가운데, 미국이 사이버 공격 대응의 실제적인 문제로 가장 고민하는 것은 사이버 상에서의 물리적 방어(Physical dependencies on Cyber), 물리적 공간에서의 사이버 방어(Cyber dependencies on Physical), 기타 핵심 기반구조에 대한 통신 기반구조의 방어(Communications infrastructure dependencies on other critical infrastructures)이다. 현재 인터넷 서비스의 제공, 인터넷 뱅킹 등 인터넷과 통신을 제공하는 정보통신 기반구조(Information Infrastructure)가 대규모 공격에 의해 중단될 경우, 발생 초기에 사고의 원인이 물리적 출발인지, 사이버테러로 시작된 중단인지 구별해 낼 수 없다.




이에 따른 대비책의 일환으로 미국의 에너지성은 국방부와 공동으로 시카고 메트로폴리탄 지역의 전력이 동시에 단절되면 유관 부처 및 분야별로 어떠한 일을 해야 하고, 발생 가능한 모든 문제점을 상정한 시나리오를 작성하는 프로젝트를 2000년도부터 3년간 수행한 결과를 발표했다. 즉, 전력이 중단되면 모든 통신, 전력, 금융, 가스, 전철 등 국가의 기간 시스템이 마비되므로, 이러한 상황이 발생했을 때 국가는 사전에 어떠한 준비를 하고, 어떤 사람이 모여서 이러한 재난 상황을 극복해야 하는가를 중심으로 예상되는 위협 시나리오에 따른 대응책을 마련했다.




국내 조기경보 시스템 구축 현황




조기경보 시스템의 구축을 위해서는 현재 국내에서 운영 중인 정보보호 시스템 및 정보공유 네트워크의 구성에 있어 개선 및 변경이 필요하다. 먼저 침입탐지 시스템(IDS : Intrusion Detection System) 등의 분석기법이 그림 3과 같이 조기경보를 위한 대용량의 데이터를 분석할 수 있으려면, 1차원적 분석뿐 아니라 2차원 혹은 3차원적인 분석이 가능하도록 개선돼야 한다.




또한 국내에서 운영 중인 각 CERT 및 ISAC을 체계적으로 연결해 비상시 적절한 역할분담 및 정보공유가 가능하도록 구성돼야 한다. 현재 국내는 국가사이버안전센터(NCSC), 국방정보전센터, 인터넷침해사고대응지원센터, 경찰청 사이버테러대응센터(CTRC) 등의 각 분야별 상황실이 설치되어 운영 중이다. 또한 KT, DACOM, 하나로 등 통신사업자, 금융기관, 공공기관 등이 통합보안관제시스템(Enterprise Security Management) 시스템을 구축해 100여개 사이트가 가동되고 있다. 또한 보안관제 서비스를 제공하는 인포섹, 코코넛, 이글루시큐리티 등의 회사들이 관제센터를 설치하고, 관제 서비스를 제공 중이다. 따라서 현재 각 CERT 및 ISAC들을 상위 상황실, 하위 상황실 및 관제센터로 구분하고, 각 센터의 기능적 역할분담과 정보공유 방법 등을 정의하고, 체계화할 필요가 있다.




또한 국내의 환경이 체계적으로 구축된 후에는 ‘아시아차원의 사이버테러 조기경보 네트워크’를 구축할 필요가 있으며, 이러한 국가적 차원의 사이버테러에 대한 정보공유는 아시아의 주변국가를 경유해서 들어오는 해킹, 바이러스, 사이버테러에 대한 정보를 유통경로에서부터 차단이 가능케 하는 효과를 가져올 수 있다. 그림 4는 최운호에 의해 제시된 아시아 조기경보 시스템 및 국내 보안정보 공유체계 구성안으로 향후 논의 및 발전의 토대로 활용될 수 있을 것으로 사료된다



출처 : http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=164&numm=74&search=title&find=조기경보시스템&kind=03&order=ref
?

List of Articles
번호 제목 글쓴이 날짜 조회 수
23 LACP(Link Aggregation Control Protocol) JaeSoo 2010.01.27 8743
22 윈도우 라우팅 테이블 관리하기 JaeSoo 2010.01.25 6805
21 http://cafe.naver.com/ArticleRead.nhn?clubid=10344409&articleid=79763&menuid=&boardtype=&page=0 JaeSoo 2010.01.22 6640
20 듀얼 WAN 사용 시 대역폭 문제 JaeSoo 2010.01.22 6136
19 네트워크 충돌검색 [nbtstat]명령어 JaeSoo 2009.10.05 4742
18 윈도우즈에서 Squid 프락시 서버 설치 JaeSoo 2009.10.05 3794
17 Openet JaeSoo 2009.09.28 3611
16 인터넷 친구를 만들거나 비지니스 인맥을 만드는 웹어플리케이션, SNS JaeSoo 2008.07.22 3546
15 무료 PC 원격제어 JaeSoo 2008.07.01 4182
14 초고속 정보통신 인증제, 홈네트워크 인증제 JaeSoo 2008.02.25 3572
» 조기경보시스템(3)-조기경보 시스템(Early Warning System)의 국내외 구축·운영 사례 JaeSoo 2008.01.27 3663
12 조기경보시스템(2)-조기경보 시스템의 기술 동향 JaeSoo 2008.01.27 3454
11 조기경보시스템(1)-조기경보 시스템의 개요 JaeSoo 2008.01.27 3600
10 정보통신기반보호법(요약) 및 검토 JaeSoo 2007.12.28 4914
9 자가전기통신설비(자가망)관련 법령 JaeSoo 2007.12.28 4761
8 Ten things Your IT department won't tell you (IT 부서가 당신에게 말해주지 않는 10가지) JaeSoo 2007.12.28 3987
7 `IPv6` 9월 부터 시범서비스 JaeSoo 2007.12.06 3470
6 초고속선도망(KOREN) 사업 보고서 JaeSoo 2007.12.06 4391
5 smtp를 이용하여 mail 보내기 (pear 사용) JaeSoo 2007.06.07 3781
4 메일 발송시 리턴메일 메시지 JaeSoo 2007.06.05 3485
Board Pagination Prev 1 2 3 4 5 Next
/ 5

PageViews   Today : 1,066   Yesterday : 1,813   Total : 19,916,418  /  Counter Status   Today : 359   Yesterday : 570   Total : 1,453,694
Site Info   Member : 237  /  Total documents : 1,223   New documents : 0  /  Total comments : 24

Edited by JAESOO

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소