데이터 시각화 기반 네트워크 포렌식

Abstract

국가 중요 인프라 네트워크에 속하는 은행이나 산업 제어 시스템(Industrial Control Systems : ICS)은 보안 사건 발생 시 심각한 피해를 입을 수 있다. 따라서 국가 중요 인프라에서는 공격 경로를 차단하기 위해 기존에는 폐쇄형네트워크를 구축하여 운영하였으나, Cloud, 사물 인터넷(Internet of Things), 인공지능(Artificial Intelligence), 원격 제어 등의 기술 등장으로 인해 네트워크연결이 급속하게 증가하면서 많은 주요 인프라 네트워크는 더 이상 폐쇄망으로운영되고 있지 않다. 특히, 이전에는 엄격한 폐쇄망으로 운영되었던 산업 제어시스템은 이제 산업용 사물 인터넷(Industrial IoT)로 불리며 스마트 공장및원격 제어와 같은 많은 변화를 보이고 있다. 또한, 금융 시스템에서는 IoT와AI 지원 서비스를 통해 다수의 사용자들에게 다양한 결제 서비스를 제공하고있다. 다양하고 대규모의 네트워크 환경에서 기존의 폐쇄망 보안 시스템으로는서비스 제공에 어려움이 발생할 수 있다. 따라서 고도화된 공격 가능성을 지속적으로 모니터링 할 수 있는 기술이 필요하다. <br>본 논문에서는 네트워크 포렌식 관점에서 정상 동작 기반 규칙을 정의하고DNP3(Distributed Network Protocol) 제어 프로토콜과 FIX(Finance Information Exchange) 금융 프로토콜에 대한 모든 가능한 공격을 검출하기위한 시각화 연구를 수행한다. 이로써 ICS 네트워크 및 금융 네트워크에서 수상한 네트워크 패킷을 감지 하고 중대한 공격의 근본이 될 수 있는 비정상적인 동작을 확인할 수 있었다.