Sysmon과 ELK를 이용한 산업제어시스템 사이버 위협 탐지

Abstract

국내·외에서 산업제어시스템을 대상으로한 사이버 위협이 증가하고 있다. 이에 따라 관련 연구와 협력이 활발히 진행되고 있다. 하지만 물리적인 망 분리와 경계선에 대한 보안을 강화에 치중하고 있어 내부에서 발생하는 위협에 대해서는 여전히 취약한 편이다. 왜냐하면, 가장 손쉽고 강력한 대응방법이 경계선 보안을 강화하는 것이며 내부의 보안을 강화하기 위한 솔루션들은 가용성의 문제로 인하여 쉽지 않기 때문이다. 특히, 산업제어시스템 전반에 걸쳐 Legacy 시스템이 상당수 잔존하고 있어 취약점이 많이 존재하고 있다. 보안 프레임워크에 따라 새롭게 구축되지 않는 한 이러한 취약한 시스템들에 대한 대응방안이 필요함에 따라 가용성을 고려한 경량의 보안 솔루션을 검증하고 활용방안을 제시하였다. 이와 같은 경량의 호스트 기반 위협 탐지체계를 구축한다면 APT 공격을 탐지 할 수 있을 것이다.