- 1 -

평가기준연구-01-01

침입탐지시스템 평가기준 해설서

2001. 10

- 2 -

목 차

축약 감사데이터 생성1.

개요1.1.

보안 기능 요구사항 해설1.2.

보안 기능 요구사항 항목1.2.1.

관련 평가 등급1.2.2.

보안 기능 항목별 상세 해설1.2.3.

참고문헌1.3.

보안위반 분석2.

개요2.1.

보안 기능 요구사항 해설2.2.

보안 기능 요구사항 항목2.2.1.

관련 평가 등급2.2.2.

보안 기능 항목별 상세 해설2.2.3.

참고문헌2.3.

보안감사 대응3.

개요3.1.

보안 기능 요구사항 해설3.2.

보안 기능 요구사항 항목3.2.1.

관련 평가 등급3.2.2.

보안 기능 항목별 상세 해설3.2.3.

참고문헌3.3.

신분 확인4.

개 요4.1.

보안 기능 요구사항 해설4.2.

보안 기능 요구사항 항목4.2.1.

관련 평가 등급4.2.2.

보안 기능 항목별 상세 해설4.2.3.

- 3 -

참고 문헌4.3.

데이터 보호5.

개요5.1.

보안 기능 요구사항 해설5.2.

보안 기능 요구사항 항목5.2.1.

관련 평가 등급5.2.2.

보안 기능 항목별 상세 해설5.2.3.

참고 문서5.3.

보안 감사6.

개요6.1.

보안 기능 요구사항 해설6.2.

보안 기능 요구사항 항목6.2.1.

관련 평가 등급6.2.2.

보안 기능 항목별 상세 해설6.2.3.

참고문헌6.3.

보안관리7.

개요7.1.

보안 기능 요구사항 해설7.2.

보안 기능 요구사항 항목7.2.1.

관련 평가 등급7.2.2.

보안 기능 항목별 상세 해설7.2.3.

참고문헌7.3.

보안 기능의 보호8.

개 요8.1.

보안 기능 요구사항 해설8.2.

보안 기능 요구사항 항목8.2.1.

관련 평가 등급8.2.2.

보안 기능 항목별 상세 해설8.2.3.

참고 문헌8.3.

- 4 -

그 림 목 차

그림 단일 에서 침입탐지시스템이 감사 축약을 수행하는 경우[ 1-1] HIDS

그림 단일 가 시스템 감사 서비스를 이용하는 경[ 1-2] HIDS

그림 중앙 집중형 다중 에서의 축약 기능의 적용 예[ 1-3] HIDS (1)

그림 중앙 집중형 다중 에서의 축약 기능의 적용 예[ 1-4] HIDS (2)

그림 분산형 다중 호스트 기반 침입탐지시스템에서의 축약 기능의 적용 예[ 1-5]

그림[ 1-6] 단일 네트워크 기반 침입탐지시스템의 축약 기능의 적용 예

그림 분산형 시스템의 축약 감사 기능의 적용 예[ 1-7] NIDS

그림 의 감사 축약 및 시스템 기능 구조[ 1-8] CMDS

그림 의 감사 축약 메커니즘[ 1-9] CMDS

그림 오용 행위 분석 기법[ 2-1]

그림 비정상적인 행위 분석 기법[ 2-2]

그림 전문가시스템[ 2-3]

그림 상태 전이 분석[ 2-4]

그림 키 스트로크 관찰 방법[ 2-5] -

그림 모델에 근거한 방법[ 2-6]

그림 통계적인 자료에 근거한 방법[ 2-7]

그림 예측 가능한 패턴 생성 기법[ 2-8]

그림 신경망 기법[ 2-9]

그림 구현 방식별 의 설치 예[ 3-1] honey pot

그림 를 이용한 관리자 식별[ 4-1] ID

그림 패스워드를 사용한 인증방식[ 4-2]

그림 커버로스를 사용한 인증방식[ 4-3]

그림 스마트 카드를 이용한 도전 응답 인증방식[ 4-4]

그림 일회용 패스워드[ 4-5]

그림 도전 응답 프로토콜[ 4-6]

그림 를 사용한 인증 시도 실패 감지[ 4-7] Counter

그림 접근시도를 관리자에게 통보하는 기능[ 4-8]

그림 압축 함수의 반복구조[ 5-1]

- 5 -

그림 일방향 함수의 사용으로 인한 데이터 무결성[ 5-2]

그림 를 이용한 메시지 압축[ 5-3] MD5

그림[ 5-4] 침입탐지시스템에서의 저장 파일에 대한 무결성 확인 및 오류 시 대응

그림 모드[ 5-5] CBC

그림[ 5-6] DES(Data Encryption Standard)

그림 의 전형적인 라운드[ 5-7] DES

그림[ 5-8] Triple DES

그림 의 과일에 대한 접근 권한 할당의 예[ 6-1] MAC

그림 시점 확인 서비스의 절차[ 8-1]

- 6 -

표 목 차

표 축약 감사데이터 생성 기능과 평가 등급과의 상관관계[ 1-1]

표 보안위반 분석 기능과 평가 등급과의 상관관계[ 2-1]

포 주체의 식별자 및 보안 속성 등을 나다내는 항목들[ 2-2]

표 객체의 식별자 및 보안 속성 등을 나타내는 항목들[ 2-3]

표 주체 및 객체의 행위 유형 등을 포함한 항목들[ 2-4]

표 부가적인 정보 항목들[ 2-5]

표 보안위반 사건에 대한 정보 항목들[ 2-6]

표 부가적인 정보 항목들[ 2-7]

표 시스템 프로파일의 부가적인 생성 정보 항목들[ 2-8]

표 보안감사 대응 기능과 평가 등급과의 상관 관계[ 3-1]

표 신분 확인 기능과 평가 등급과의 상관관계[ 4-1]

표 커버로스 각 과정에서의 교환 메시지[ 4-2]

표 데이터보호 기능과 평가 등급과의 상관관계[ 5-1]

표 축약감사데이터 생성 기능과 평가 등급과의 상관관계[ 6-1]

표 보안관리 기능과 평가 등급과의 상관관계[ 7-1]

표 보안기능의 보호 기능과 평가 등급과의 상관관계[ 8-1]

표[ 8-2] Access Control Matrix

- 7 -

축약 감사데이터 생성1.

개요1.1.

축약 감사 데이터 생성은 감시대상 시스템으로부터 생성되는 감사데이터를 수집하여 축약

변환하는 기능을 의미한다 일반적으로 감사데이터는 시스템 내에서 발생하는 모든 보안과.

관련된 사건들에 대한 기록을 의미하며 기록된 감사 데이터는 이후에 감사 추적, (audit

을 위한 기반 자료로 사용된다 따라서 축약 데이터 생성 기능은 침입탐지시스템이 감trail) . ,

시대상으로 설정한 시스템상에서 발생하는 보안관련 사건들의 감사 데이터를 수집하고 수,

집된 감사 데이터를 축약 변환하는 기능이다, .

일반적인 감사 데이터 생성 기능은 모든 보안과 관련된 사건들에 대하여 감사 기록을 생성

하기 때문에 생성된 감사 데이터에 대한 분석 기능은 상대적으로 분석 대상 감사 데이터량

의 증가로 인하여 분석 효율의 저하를 초래할 수 있다 예를 들어 보안과 잠재적으로 관련.

있는 파일에 대한 접근에 대한 감사 데이터를 생성하는 경우 무수히 많은 합법적인 파일,

접근으로부터 침입으로 판정될 수 있는 하나의 사건을 찾아내는 것은 굉장히 어렵고 소모적

인 작업이다.

축약 감사데이터 생성 기능은 감시대상 시스템들로부터 수집된 감사데이터의 양을 줄여줌으

로써 보안 관리자의 감사 데이터의 분석을 위한 부담을 줄여주며 감사 분석의 효율을 증가,

시키는 효과를 갖을 수 있다 이와 같은 감사 데이터 축약 과정에서는 감사 사건에 대한 감.

사데이터는 우선적으로 감사 기록하며 감사 분석을 위한 감사 데이터에 대한 축약 여부를,

결정하여 축약 감사데이터를 생성한다[1].

축약 감사데이터의 생성 기능은 침입탐지시스템의 분류에 의해 기능의 차이를 갖게 되는데,

이는 축약 감사데이터 생성 기능의 기반 자료로 사용되는 감사 데이터 생성 기반 자료가 침

입탐지시스템의 분류에 따라 차이를 갖기 때문이다.

- 8 -

현재 감사 데이터 생성 기반 자료에 따른 침입탐지시스템의 분류는 크게 네트워크 패킷 정

보 분석과 와 같은 네트워크 관리정보 분석에 기반한 네트워크 기반 침입탐지시스템SNMP

과 시스템이 기본 제공하는 소스 정보(NIDS: network-based intrusion detection system)

환경에서의 과 같은 명령어 수행 정보 분석 사용자의 시스템 자(UNIX ps, pstat, vmstat ) ,

원 사용 정보 분석 그리고 와 같은 감사 기록 분석에 기반한 호스트 기(accounting) , syslog

반침입탐지시스템 으로 분류할 수 있다(HIDS: host-based intrusion detection system) [2].

축약 감사데이터는 감사 사건 기록시에 생성되는 감사 데이터에 기반하기 때문에 감사 사건

기록 항목들을 포함하여야 하며 추가적으로 감사 분석을 위하여 요구되는 정보를 정의할,

수 있다 일반적으로 축약감사데이터에는 감사 주체 및 객체 정보 행위 정보 감사 사건 발. , ,

생조건 감사 사건 관련 정보 행위의 날짜 및 시간 정보 등이 포함되어야한다, , .

다음절에서 축약 감사데이터 생성 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목

의 예를 제공한다.

보안 기능 요구사항 해설1.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목1.2.1.

본 단원에서는 축약 감사데이터 생성 기능 제공을 위하여 정의된 보안기능 요구사항 항목들

을 기술한다 기술된 보안 기능 요구사항 항목들은 기준에서 까지 기술된 모든. KI K7˜

항목들을 포함하며 축약감사데이터 생성 기능의 제공을 위하여 정의된 보안 요구사항 항목,

들은 다음과 같다.

- 9 -

1 축약 감사데이터 생성 기능에는 감시 대상 시스템으로부터 생성된 감사데이터를

수집하는수단이제공되어야한다.2 축약 감사데이터 생성 기능에는 수집된 감사데이터로부터 보안 관련 정보를 선택

하여축약및변환하는수단이제공되어야한다.3 축약감사데이터생성기능에서는보안위반분석을위해다음각호에대한정보를

축약된감사데이터내에포함되어야한다.3-1 주체의식별자및보안속성1.3-2 객체의식별자및보안속성2.3-3 행위의유형및관련정보3.3-4 행위의날짜및시간4.

관련 평가 등급1.2.2.

본 단원에서는 축약 감사데이터 생성 기능 제공을 위하여 정의된 보안기능 요구사항과 평가

등급별 요구 사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 6-1] .

표 축약 감사데이터 생성 기능과 평가 등급과의 상관 관계[ 1-1]

평가

등급

기능 항목

K1 K2 K3 K4 K5 K6 K7

1 ○ ○ ○ ○ ○ ○ ○

2 ○ ○ ○ ○ ○ ○ ○

3 ○ ○ ○ ○ ○ ○ ○

보안 기능 항목별 상세 해설1.2.3.

본 단원에서는 축약 감사데이터 생성 기능 제공을 위하여 정의된 기능항목들의 정의 목적과

항목 해설 그리고 적용 예에 대하여 상세 기술한다, .

- 10 -

항목1.2.3.1. 1

1 축약 감사데이터 생성 기능에는 감시 대상 시스템으로부터 생성된 감사데이터를 수

집하는수단이제공되어야한다.

정의 목적1)

은 축약 감사데이터 생성 기능의 감사데이터 수집 기능에 대하여 정의하고 있다 침입탐1 .

지시스템은 감시대상 시스템에서 발생하는 감사사건에 대한 기록을 수집 기능을 통해 감사

데이터를 축약 변환하는 과정을 수행할 수 있다 축약 감사데이터 생성 기능은 감사 데이터, .

에 기반하기 때문에 감시대상 시스템들이 적용하고 있는 감사 기록메커니즘의 차이 또는,

침입차단시스템 구현의 차이로 인하여 감사데이터수집 기능이 차이를 보일 수 있다 은. 1

이러한 감사 기록 메커니즘 또는 침입탐지시스템의 구조상의 차이로 인한 기능상의 차이점

을 배제한 기능적 관점의 감사 데이터 수집 기능을 침입탐지시스템이 지원해야함을 의미한

다.

항목 해설2)

감사 데이터는 감시대상 시스템들이 감사 기록을 생성하는 메커니즘에 따라 차이를 보일 수

있으며 침입탐지시스템의 구현 방식에 따라 차이를 보일 수도 있지만 일반적으로 모든 시, ,

스템들은 시스템 운용과정에서 발생하는 보안과 관련된 모든 사건들을 기록하여 차후에 보,

안 분석을 위한 기반 자료로 제공된다 따라서 침입탐지시스템은 감시대상시스템에서 생성. ,

된 감사 데이터에 대한 보안 분석을 통해 보안위반사건을 탐지할 수 있어야 하며 이 과정,

에서 침입탐지시스템은 보안 분석에 대한 부하를 줄임으로써 분석 작업의 효율을 향상하기

위하여 축약 감사데이터 생성 기능을 필요로 한다.

- 11 -

축약 감사데이터의 생성을 위해서는 일차적으로 항목 에 명시된 감시대상 시스템 또는 네1

트워크로부터 발생하는 감사 기록에 대한 수집이 필요하며 감사 기록에 대한 수집 방식은,

침입탐지시스템의 구조에 따라 차이를 보일 수도 있다 일반적으로 축약 감사데이터의 수집.

기능은 감사데이터의 축약 기능을 수행하는 주체가 누구인지에 따라 방식에서 차이를 보이

게 된다 예를 들어 단일 시스템 상에서 동작하는 침입탐지시스템인 경우에는 축약 감사데.

이터의 생성 주체는 침입탐지시스템의 축약 프로세스가 되기 때문에 축약 데이터의 수집 주

체 역시 축약 프로세스가 된다 그러나 다수의 침입탐지시스템이 연동하는 방식의 침입탐지. ,

시스템의 경우와 같이 감사 데이터의 교환이 요구되는 시스템인 경우에는 축약 감사데이터

의 주체 역시 침입탐지시스템의 구조에 따라 다를 수 있다.

침입탐지시스템은 감시대상 호스트 또는 감시대상 네트워크로부터 발생하는 보안위반 사건

의 탐지를 위하여 생성된 축약 감사데이터만을 분석하기 때문에 축약 감사데이터 수집 기능

은 감사데이터의 수집과정에서 데이터의 누락이 발생하지 않도록 구성되어야 한다.

항목 적용 예3)

축약 감사데이터 생성 기능을 위한 감사데이터 수집 기능은 구현된 침입탐지 시스템의 구조

에 따라 차이를 보일 수 있다 앞서 기술한 것과 같이 감사데이터 생성을 위한 근원이 되는. ,

정보의 구분에 따라 침입탐지시스템을 분류하면 호스트 기반 침입탐지시스템과 네트워크 기

반 침입탐지시스템으로 구분할 수 있다.

가 호스트 기반 침입탐지시스템) (HIDS: host-based intrusion detection system)

호스트 기반 침입탐지시스템은 감사데이터 생성을 위한 기반 정보로서 시스템이 기본 제공

하는 소스 정보 환경에서의 과 같은 명령어 수행 정보 사용자의(UNIX ps, pstat, vmstat ),

시스템 자원 사용정보 그리고 와 같은 감사 기록 정보의 분석을 통하여(accounting), syslog

보안위반 사건을 탐지한다.

- 12 -

축약 감사데이터의 생성은 생성된 감사 데이터를 기반 정보로 사용하기 때문에 감사데이터

의 수집 기능은 감사 대상 정보와 밀접한 관련성을 갖는다.

우선 호스트 기반 침입탐지시스템은 단일 호스트 기반 침입탐지시스템과 다중 호스트 기반

침입탐지 시스템으로 구분할 수 있다 단일 호스트기반의 침입탐지시스템의 경우에는 일반.

적으로 감시대상 시스템상에 침입탐지시스템이 설치되어 동작하는 방식을 의미하며 다중,

호스트기반의 시스템들은 분산 구조의 침입탐지시스템으로서 다수의 침입탐지시스템이 연,

동하는 방식을 의미한다.

그림 단일 에서 침입탐지시스템이 감사 축약을 수행하는 경우[ 1-1] HIDS

- 13 -

그림 은 단일 호스트 기반 침입탐지시스템의 감사데이터 축약기능의 일반적인 구조를[ 1-1]

도시한 것이다 최근 들어 대용량의 감사데이터분석 효율을 향상시키기 위하여 다양한 방식.

의 감사 축약 방식들이 제안되고 있는 추세이며 감사 축약 도구의 도입이 가장 대표적인,

예로 들 수 있다 이와 같은 구조에서는 침입탐지시스템이 감사축약 도구를 함께 제공하거.

나 시스템들이 신뢰도를 향상시키기 위하여 감사 축약도구를 도입하는 방식이 이러한 경우

에 해당한다.

침입탐지시스템의 감사 축약 기능 수행을 위한 감사데이터 수집 기능은 감시대상 시스템이

생성하는 감사데이터에 대한 수집기능으로 정의되어있다 일반적으로 시스템들은 시스템 보.

안 분석을 위해 시스템 로그 기록을 생성하는 기능을 제공하며 현재 계열 시스템뿐, UNIX

만 아니라 다른 시스템들에서 제공하고 있는 와 같은 감시대상 시스템이 기본 제공하syslog

는 감사 서비스에 의해 생성된 감사 기록에 대한 분석을 통하여 보안 관리를 수행할 수 있

다 따라서 침입탐지 시스템은 감시대상 시스템이 생성한 시스템 감사 데이터를 수집하는. ,

기능을 통해 감사 축약 기능을 수행할 수 있다.

- 14 -

그림 단일 가 시스템 감사 서비스를 이용하는 경우[ 1-2] HIDS

특정 호스트 기반 침입탐지시스템은 자신이 생성하는 감사데이터를 감시대상 시스템이 제공

하는 시스템 감사 서비스를 이용하여 생성하는 경우도 있으며 그림 는 이러한 경우의, [ 1-2]

예를 도시한 것이다.

침입탐지시스템이 시스템 감사 서비스를 이용하는 경우에는 시스템이 내부적으로 기록하는

감사 기록뿐만 아니라 침입탐지시스템이 정의한 감사데이터도 시스템 감사 기록으로 생성,

된다 따라서 침입탐지시스템의 감사 축약 기능은 감시대상 시스템에 생성된 감사데이터에. ,

대한 축약 기능을 통하여 축약 감사데이터를 생성할 수 있기 때문에 감사 축약을 위한 감,

사 데이터 수집 대상이 시스템 감사 로그기록으로 설정된다.

다중 호스트 기반 침입탐지시스템 구조에서는 다수의 침입탐지시스템들이 네트워크에 분산

설치되어 다수의 호스트들로부터 발생하는 감사 사건을 분석하여 보안위반 사건을 탐지하게

된다.

- 15 -

일반적으로 다중 호스트 기반 침입탐지시스템 구조는 다수의 호스트에 설치되는 침입탐지시

스템들의 역할에 따라 차이를 보일 수 있으며 이러한 구조적 차이는 감사 축약 기능의 수,

행상의 차이점으로 나타나게 된다.

다중 호스트 기반 침입탐지시스템의 예로는 보안 분석의 주체에 따라 중앙 집중 방식과 분

산 방식의 침입탐지시스템으로 구분할 수 있다 중앙 집중형 침입탐지시스템의 경우에는 감.

사 축약 및 보안위반 분석기능이 중앙의 보안 관리 시스템에서 수행되며 분산되어 있는 호,

스트상에서 동작하는 에이전트들은 감사 분석을 위한 위해 사용되는 감사데이터에 대한 수

집 기능만을 제공하는 방식이다 중앙 집중 방식에서 분산되어 있는 침입탐지시스템의 에이.

전트들은 감시대상 시스템으로부터 수집된 감사 데이터를 관리 시스템으로 전달할 수도 있

으며 각 에이전트 시스템상에서 감사 축약 과정을 거친 후 축약된 감사데이터를 보안 관리, ,

시스템으로 전달할 수도 있다.

그림 은 전자의 경우를 그림 는 후자의 경우를 도시화한 것이다[ 1-3] [ 1-4] .

- 16 -

그림 중앙 집중형 다중 에서의 축약 기능의 적용 예[ 1-3] HIDS (1)

그림 중앙 집중형 다중 에서의 축약 기능의 적용 예[ 1-4] HIDS

- 17 -

그림 과 같은 방식은 다수의 분산된 침입탐지 에이전트시스템들의 기능이 감사 데이터[ 1-3]

수집 기능으로 한정되기 때문에 에이전트의 구현이 쉬운 반면 중앙의 관리 시스템이 다수,

의 침입탐지에이전트 시스템으로부터 수신된 감사 데이터에 대한 감사 분석(audit analysis)

기능 뿐만 아니라 감사 축약 기능 또한 수행해야 하기 때문에 관리 시스, (audit reduction) ,

템의 부하가 증가하여 보안위반 분석효율을 저하하는 결과를 초래할 수 있다 그림 의. [ 1-4]

구조는 관리시스템이 침입탐지 에이전트에 의해 축약된 감사 데이터에 대한 수집을 통하여

감사 분석을 수행하기 때문에 전자의 경우보다 감사 분석의 비용이 절감되며 탐지 효율을, ,

향상시킬 수 있는 장점을 갖는다.

그림 분산형 다중 호스트 기반 침입탐지시스템에서의 축약 기능의 적용 예[ 1-5]

- 18 -

중앙 집중형 다중 호스트 기반 침입탐지시스템의 구조와는 달리 분산형 다중 호스트 기반,

침입탐지시스템의 구조는 감사 축약 및 감사 분석기능의 분산을 통하여 보안위반 분석과정

수행으로 인해 발생하는 부하를 분산시킬 수 있는 장점을 갖는다 분산형 구조에서는 분산.

되어있는 침입탐지 에이전트 시스템들이 가사 축약 기능 뿐만 아니라 감사분석 기능도 수행

하게 되며 분석 결과 침입으로 판정된 보안위반사건만을 중앙의 관리 시스템으로 전달하게,

된다 이러한 구조에서는 감사 축약을 위한 감사 데이터 수집 기능은 분산된 침입탐지 에이.

전트시스템의 기능으로 정의되며 그림 는 분산형 다중 호스트 기반침입탐지 시스템의, [ 1-5]

구조를 도시한 것이다.

나 네트워크 기반 침입탐지시스템) (NIDS: network-based intrusion detection

system)

일반적으로 네트워크 기반 침입탐지시스템들은 호스트 기반 침입탐지시스템들이 보안위반

사건 탐지를 위하여 사용하는 감사 정보를 통하여 탐지할 수 없는 네트워크로부터 기인되는

보안위반을 탐지하는 것을 목적으로 한다 이와 같이 네트워크 상에서 발생하는 보안위반사.

건의 탐지를 위해서는 네트워크로 유입되는 패킷 정보와 트래픽 정보에 대한 분석이 요구되

기 때문에 네트워크 기반침입탐지시스템 은 감사 데이터 생성을 위하여 네트워크 패(NIDS)

킷정보 네트워크 관리 정보 정보 를 기반 정보로서 사용한다, (MIB ) .

네트워크 기반 침입탐지시스템들은 패킷이나 트래픽 정보로부터 감사데이터를 생성하고 이,

에 대한 분석을 통하여 침입을 탐지하기 때문에 실제 침입이 탐지되었을 경우 패킷 정보로, ,

부터 실제 감시대상 호스트에 대해 실행한 명령어를 요구한 주체와의 관련성을 찾는 과정이

난점으로 인식되고 있다 이러한 문제를 해결하기 위해서 특정침입탐지시스템들은 패킷의.

데이터가 저장되는 패이로드 부분에 대한 검사를 통하여 감사 정보를 추출하는 방(payload)

식을 도입하고 있다.

- 19 -

그러나 이러한 방식은 네트워크 상에서 고속으로 전송되는 패킷으로부터 침입을 탐지하기,

위하여 많은 시간이 소요됨에 따라 탐지효율의 저하 및 패킷의 누락이 발생할 수 있다는,

문제점을 안고 있다 또한 네트워크 기반 침입탐지시스템이 특정 사용자의 행위를 판단하기.

위하여 세션에 검사를 수행해야 하는 경우 네트워크 상에 존재할 수 있는 무수히 많은 세,

션의 수를 고려해 볼 때 상당한 부하로 작용할 것이다 그러나 네트워크 기반 침입탐지시스. ,

템은 일반적으로 호스트기반 시스템에서 사용하는 감사 분석 과정을 통하여 탐지할 수 없는

네트워크에 기반한 침입을 탐지할 수 있다는 장점을 가질 수 있다 예를 들어 서비스 거부.

공격과 같은 침입은 네트워크 패킷이나 트래픽에 대한 분석을 통해서만 탐지가 가능한 침입

형태로 정의될 수 있다.

네트워크 기반 침입탐지시스템과 호스트 기반 침입탐지시스템의 구조적인 차이는 감사 데이

터에 대한 축약 기능에서도 차이를 보이게 된다 네트워크 기반 침입탐지시스템은 패킷이.

특정 호스트로 유입되기 이전에 패킷으로부터 침입을 탐지하는 것을 목적으로 하기 때문에

네트워크 패킷으로부터 감사 데이터를 생성하여야 한다 이러한 탐지방식은 호스트기반 침.

입탐지시스템이 감시대상 호스트로부터 생성된 감사데이터를 이용하여 보안위반을 분석할

수 없다는 문제점이 발생하기 때문에 네트워크 기반 침입탐지 시스템은 감시대상 호스트가

아닌 감시대상 네트워크로부터 감사 데이터를 수집하고 수집된 감사데이터를 축약해야 한,

다는 점에서 호스트 기반 침입탐지시스템과 차이를 보인다.

감시대상 네트워크로부터 수집된 패킷 정보 또는 트래픽 정보에 대한 분석을 통하여 보안위

반을 탐지하는 네트워크 기반 침입탐지시스템은 수집된 정보로부터 잠재적으로 보안 관련성

이 있는 정보들에 대해서만 감사 기록을 생성하게 되며 감사 축약 기능을 통하여 데이터에,

대한축약을 수행하기 때문에 감시대상 호스트로부터 생성된 감사데이터를 수집하는 기능은,

감시대상 네트워크로부터 감사데이터를 수집하는 기능으로 정의될 수 있다.

- 20 -

그림 은 만일 시스템으로 구성된 네트워크 기반 침입탐지시스템의 감사 축약 기능을[ 1-6]

도시한 것이다.

그림 단일 네트워크 기반 침입탐지시스템의 축약 기능의 적용 예[ 1-6]

네트워크 기반 침입탐지시스템에서의 감사 축약을 위한 감사 데이터 수집 기능은 다중 시스

템으로 구성된 분산형 구조에서는 적용될 수 있는 기능이다 즉 감시대상 네트워크내에 분. ,

산 설치되어 있는 네트워크기반 침입탐지 에이전트들에 의하여 수집된 감사데이터를 중앙의

관리시스템이 수집하여 감사 분석을 수행하는 구조가 이에 해당한다 그러나 이러한 방식. ,

역시 에이전트 시스템이 감사 데이터를 수집하는 대상은 감시대상 호스트가 아닌 네트워크

로 설정된다.

네트워크 기반 침입탐지시스템이 분산 구조로 구성되는 경우에는 호스트기반 침입탐지시스

템의 경우와 마찬가지로 관리 구조를 필요로 하게 된다.

- 21 -

즉 다수의 네트워크 기반 침입탐지시스템들이 설치되는 네트워크 상에서 각각의 네트워크,

기반 침입탐지시스템들은 독자적으로 감사데이터를 생성하며 생성된 감사 데이터를 보안,

분석을 위해 축약하게 된다 이러한 방식은 앞서 기술한 호스트 기반 침입탐지시스템의 감.

사데이터 축약 방식과 동일한 구조인데 관리 시스템의 기능 정의에 따라 다음과 같은 형태,

로 구분할 수 있다.

첫번째로 다수의 네트워크 기반 침입탐지시스템들이 가장 단순한 감사데이터 생성 기능만,

을 제공하는 방식이다 각 네트워크 기반침입탐지시스템에서 생성된 감사데이터는 관리 시.

스템 으로 전송되어 관리 시스템에 의하여 감사 데이터가 축약되기 때(management system)

문에 감사 축약을 위한 감사데이터 수집의 책임이 관리 시스템에게 부가되어 관리 시스템의

부하를 증가시킴으로 효율적인 방식이라 할 수 없다.

두 번째로 각각의 네트워크 기반 침입탐지시스템들이 감사 데이터를 생성하며 감사 데이터, ,

에 대한 축약 기능을 함께 제공하는 방식이다 최종적으로 관리 시스템으로 전달되는 데이.

터는 각 네트워크 기반 침입탐지시스템으로부터 축약된 감사 데이터이다 이 구조에서는 축.

약기능이 각 네트워크 기반 침입탐지시스템에서 수행되기 때문에 감사데이터의 수집 기능

역시 분산되어 있는 네트워크 기반 침입탐지시스템들의 책임이 된다 마지막으로 고려할 수.

있는 방식은 분산된 네트워크 기반 침입탐지시스템들이 감사 데이터 생성 감사데이터 축약, ,

보안위반 분석 기능을 모두 제공하고 보안위반 사건의 분석 결과만을 관리 시스템에게 전,

달하는 방식이다 이 방식은 두번째의 경우와 마찬가지로 감사데이터 수집 기능은 각각의.

네트워크기반 침입탐지시스템들에게 주어지며 관리 시스템은 최종적인 분석결과만을 수신,

하여 처리할 수 있기 때문에 관리 시스템의 부하를 줄일 수 있는 장점이 있다 그림. [ 1-7]

은 분산형 네트워크 기반침입탐지시스템의 축약 감사 기능의 적용 예를 도시한 것이다.

- 22 -

그림 분산형 시스템의 축약 감사 기능의 적용 예[ 1-7] NIDS

지금까지 호스트 기반과 네트워크 기반 침입탐지시스템의 예에서 알 수 있듯이 축약 감사,

데이터의 생성을 위한 감사 데이터 수집 기능은 구현된 침입탐지시스템의 구조와 감사 데이

터 생성을 위한 기반 정보의 차이에 따라 차이를 보일 수 있다 그러나 어떤 형태로 침입탐. ,

지시스템이 정의되더라도 축약 감사데이터 생성은 보안위반분석을 위해서 제공되어야 하는

기능이기 때문에 축약 감사 데이터생성을 위한 감사 데이터 수집 기능은 반드시 요구되는,

기능 항목이다 따라서 기능 항목은 침입탐지시스템의 형태나 구조의 문제를 배제하고. , 1 ,

구현된 침입탐지시스템이 반드시 축약 감사데이터 생성을 위해 감시대상 호스트 또는 감시

대상 네트워크로부터 감사 데이터 수집을 수행할 수 있는 수만을 제공할 것을 요구한다.

- 23 -

항목1.2.3.2. 2

2 축약 감사데이터 생성 기능에는 수집된 감사데이터로부터 보안 관련 정보를 선택하여

축약및변환하는수단이제공되어야한다.

정의 목적1)

침입탐지시스템은 보안위반 사건 탐지를 위하여 감사데이터에 대한 분석을 수행하기 때문

에 감사데이터의 크기는 침입탐지시스템의 탐지효율과 직접적으로 연관성을 갖는다 항목, . 1

에 의하여 수집된 감사데이터는 항목 에 의하여 축약 감사데이터로의 축약 및 변환과정을2

거침으로서 감사 데이터의 보안위반 사건과의 관련성을 검사 받는다 결과적으로 침입탐지.

시스템은 축약된 감사데이터에 대한분석만을 통하여 보안위반 분석이 가능해지기 때문에,

탐지 효율을 증가시킬 수 있다는 장점을 갖을 수 있다 본 단원에서 정의하고 있는 항목. 2

는 침입탐지시스템이 대용량의 감사데이터에 대한 보안위반 분석효율을 증가를 위하여 생성

된 감사데이터에 대한 축약 과정을 수행할 수 있는 기능을 제공할 것을 명시하고 있다.

항목 해설2)

일반적으로 신뢰도가 높은 시스템일수록 개별 사용자의 행위 기록을 유지하기 위하여 사용

자에 의해 발생된 시스템의 행위에 대한 감사기록을 생성하는 경우가 많다 또한 어떤 경우.

에는 악의 없는 합법적인 사용자의 실수 또는 시스템의 오 동작으로 인해 발생하는 문제들

에 대해서도 감사 데이터에 대한 분석을 통하여 해결할 수 있는 경우도 있다 이와 같은 감.

사데이터의 중요성으로 인해 시스템상에서 발생하는 모든 사건들에 대한 감사데이터를 생성

하게 된다면 감사데이터의 크기는 상당히 증가하는 반면 실제 보안 관점에서 중요한 감사,

데이터를 검색해내는 작업은 상당한 시간을 요구하게 될 것이다.

- 24 -

대용량의 감사데이터를 유지함으로 인해 발생할 수 있는 문제점은 다음과 같이 요약할 수

있다.

◆ 감사 기록 저장을 위한 비용이 증가함에 따라 저장 공간을 효율적으로 사용할 수,

있는 기술이 필요하다

◆ 감사기록은 보안위반 분석을 위하여 대용량의 감사데이터의 형태가 아닌 보안과

관련 있는 데이터로 제공될 수 있도록 가공되어야 한다.

또한 감사기록의 생성이 실시간 적으로 빠른 속도로 생성된다는 점을 고려해볼 때 시간에,

대하여 효율적으로 동작해야 한다는 점까지 고려되어야 할 것이다.

이러한 이유에서 현재 특정 시스템들은 감사 기능과 함께 감사 데이터축약 기능을 위한 도

구를 함께 제공하고 있다 이러한 방식에서는 감사데이터의 축약 과정은 감사데이터에[4][5].

대한 간략화 과정으로 표현할 수 있으며 감사 기록에 대한 어떠한 정보를 기록으로 남길,

것인가에 대한 내용은 시스템 설계자에 의해 결정될 수 있다 따라서 침입탐지시스템의 감. ,

사데이터 축약 기능의 설계는 감사데이터의 분석을 통한 보안위반 분석 효율을 증가시킬 수

있는 방식으로 고려되어야 한다.

감사데이터에 축약 과정이 침입탐지시스템의 보안위반 분석 효율을 증가시키는 반면에 감,

사데이터의 누락으로 인한 보안위반 분석과정에서 오류를 초래할 수 있는 위험성도 내재하

고 있다 다시 말해서 잠재적인 보안위반 위험성이 있는 감사 사건이 발생했을 때 감사기. , ,

록에 대한 간략화로 인하여 감사 기록 추적을 위해 필요한 감사데이터가 누락됨으로써 더

이상의 분석이 불가능해지는 경우가 발생할 수 있기 때문에 정확한 감사 축약 기능의 수행

이 요구됨을 의미한다 항목 는 침입탐지시스템이 감사 데이터에 대한 간략화를 통해 보. 2

안위반 분석 효율을 높일 수 있도록 감사 데이터 축약 기능을 위한 수단을 제공해야 함을

정의하고 있다.

- 25 -

항목 적용 예3)

침입탐지시스템의 축약 감사데이터 생성 기능은 보안위반 분석의 기반자료에 해당하는 감사

기록 항목들 가운데 보안 관련성이 높은 감사기록 항목들만을 추출해내는 과정으로 감사 데

이터의 용량을 감소시킴으로서 보안위반 분석 작업의 효율을 향상하기 위한 목적으로 제공

되는 기능이다 감사데이터의 용량은 시스템의 보안 분석 효율과 직접적으로 관련되기 때문.

에 현재 특정 시스템들은 침입탐지시스템과는 별도로 감사데이터에 대한 축약 기능의 수행

하기 위하여 축약 도구를 사용하는 경우도 있다.

호스트 기반 침입탐지시스템의 경우에는 감시대상 시스템이 생성한 감사데이터를 수집하여

감사데이터 축약을 위한 정책을 기반으로 보안위반 분석 자료로 사용될 축약 감사데이터를

생성하는 과정을 수행하며 네트워크 기반 침입탐지시스템의 경우에는 감시대상 네트워크로,

부터 수집된 패킷 및 트래픽 정보에 대한 감사 데이터를 축약하는 과정을 수행하게 된다.

가 호스트 기반 침입탐지시스템)

호스트 기반 침입탐지시스템 상에서의 감사 축약 기능은 크게 단일 호스트 기반 침입탐지시

스템인 경우와 다중 호스트 기반 침입탐지시스템인 경우에 따라 차이를 보이게 된다 항목.

에 대한 적용 예에서 단일 호스트 기반 및 다중 호스트 기반 침입탐지시스템의 감사 축약1

기능의 적용 예를 통하여 침입탐지시스템 상에서 감사 축약기능이 어떠한 방식으로 적용될

수 있는지에 대하여 기술하였다.

앞 단원의 적용 예를 통하여 기술한 것과 같이 호스트 기반침입탐지시스템의 구성방식은,

적용 형태에 따라 차이를 보일 수 있지만 각 적용 예에서 감사 축약기능은 감사대상 호스,

트가 생성한 감사데이터와 침입탐지시스템이 직접 생성한 감사데이터에 대한 축약기능을 수

행해야 한다는 점에서 공통점을 갖는다.

- 26 -

단일 호스트 기반 침입탐지시스템에서의 감사 축약은 우선 생성된 감사데이터에 대한 수집

기능으로부터 시작되며 감사 데이터수집과정은 시스템의 구성상 차이를 보일 수 있다 우선, .

침입탐지시스템이 감시대상 호스트가 생성한 감사 데이터를 수집하여 축약함과 동시에 자신

이 생성한 감사 데이터에 대한 축약 과정을 함께 수행하는 경우를 고려할 수 있다 그림([

참조 다른 방식으로는 침입탐지시스템이 감시대상호스트가 제공하는 와 같은1-1] ). syslog

감사 서비스를 이용하여 감시데이터를 생성하는 경우가 있다 그림 참조 이와 같은([ 1-2] ).

예에서도 감사 데이터의 생성 방식에 차이가 있을 뿐이며 감시대상 호스트가 제공하는 감,

사 서비스를 통하여 생성된 감사데이터에 대한 감사 축약과정은 앞의 예와 동일한 방식으로

적용될 수 있다.

다중 호스트 기반 침입탐지시스템의 경우에도 시스템 구성상의 차이로 감사 축약 기능의 수

행 주체가 차이를 보일 수 있다.

그림 에서 설명한 것과 같이 침입탐지 에이전트 시스템의 기능이 가장 단순화된 구조[ 1-3]

에서는 에이전트 시스템은 감시대상 호스트상에서 생성되는 감사데이터에 대한 수집을 수행

한 후 수집된 감사 데이터를 중앙의 감사 축약 및 감사 분석을 수행하는 관리 시스템으로,

전송하는 구조를 보이기 때문에 감사 축약의 주체는 침입탐지 관리 시스템으로 설정된다, .

그림 와 같이 침입탐지 에이전트 시스템 기능이 보다 감사축약기능까지 확장된 방식에[ 1-4]

서는 감사 축약의 주체는 에이전트시스템으로 전이되며 관리 시스템은 축약된 감사데이터,

만을 수집하여 감사 분석을 수행할 수 있다 마지막으로 그림 에서 기술한 분산형 구. [ 1-5]

조에서는 침입탐지 에이전트 시스템이 단일 호스트 기반의 침입탐지시스템과 마찬가지로 감

사 분석 기능을 수행할 수 있으며 감사분석 결과만을 중앙의 관리 시스템으로 전달하는 방,

식으로 연동한다.

- 27 -

따라서 감사 축약의 주체는 침입탐지 에이전트 시스템이 되며 중앙의 관리 시스템은 계층, ,

적 구조의 침입탐지시스템에서 찾아 볼 수 있는 상위 수준의 보안위반 분석을 수행할 수 있

다.

현재 많은 시스템들이 축약 감사 기능을 침입탐지시스템의 주요 기능으로 제공하고 있는 것

을 확인할 수 있다 이는 단일 호스트 기반 침입탐지시스템과 같이 상대적으로 간단한[4][5].

구조에서는 감사 축약 과정이 감사 분석 효율을 크게 향상시킬 수 있다고 판단하기는 어렵

지만 다중 호스트 기반의 침입탐지시스템들과 같이 네트워크상에 분산되어 있는 호스트들,

에 대한 침입 탐지 기능을 적용하는 경우에는 감사데이터의 분량은 감사 분석 효율에 직접

적으로 영향을 미칠 수 있기 때문이다.

감사 축약 기능을 적용하고 있는 침입탐지시스템의 예로는 SAIC(science application

에서 개발한 에서 확인international corporation) CMDS(computer misuse detection system)

할 수 있으며 그림 은 의 시스템 구조를 도시한 것이다, [ 1-8] CMDS .

그림 의 감사 축약 및 시스템 기능 구조[ 1-8] CMDS

- 28 -

는 크게 상에 존재하는 감사 기록들을 수집하고 이를 에서CMDS target system CMDS

사용하는 감사 형식으로 변환하여 중앙의 로 전송하는 기능을 수행하CMDS central server

는 과 으로부터 수신된 형식의 감사 데이터들에 대한target daemon , target daemon CMDS

감사축약 및 감사 분석을 통한 탐지 기능을 수행하는 로 구성되며CMDS central server ,

에 의해 탐지된 기록은 파일에 기록된다 이러한 구조는 다중 호central server CMDS alert .

스트 기반 침입탐지시스템의 구조이며 해당 중앙의 시스템이 감사 축약 기능을 수행하는,

구조로 구성된 예에 해당한다.

가 사용하는 감사 축약 메커니즘은 그림 와같이 표현될 수 있는CMDS central server [ 1-9]

데 크게 으로 구성된, available audit data, detection requirements, detection mechanism 3

개의 논리 요소를 포함하고 있다 는 에 의해 생성된 감. Available audit data target system

사 데이터를 의미하며 는 사용자의 오용을 탐지하기 위한 패턴으로, detection requirements

정의된다 마지막으로 은 감사 축약 시스템을 위한 분석 메커니즘으로. detection mechanism

정의될 수 있다.

그림 의 감사 축약 메커니즘[ 1-9] CMDS

- 29 -

이러한 개의 논리 들은 상호 연관성을 갖으면서 가 정의하고 있는3 element , CMDS

을 구성하게 되는데 전체 분석 절차에 입력으로 개의automated audit reduction system , 3

논리 요소들이 입력되고 분석과정에서 구성요소 간의 상관 관계를 검사하여 수용할 수 있,

는 분석결과가 생산될 때까지 감사 축약 과정은 반복적으로 수행되는 방식으로 동작하게 된

다 여기서 수락할 수 있는 결과는 에 정의되어 있는 탐지 목적. detection requirements

에 대한 일치성으로 판단하게 된다(detection objectives) .

나 네트워크 기반 침입탐지시스템) (NIDS)

네트워크 기반 침입탐지시스템은 감시대상 네트워크로부터 패킷과 트래픽 정보를 사용하여

감사 데이터를 수집하기 때문에 감사 데이터 수집 기능에서 호스트 기반 침입탐지시스템과

차이를 보이며 이러한 차이로 인하여 침입 탐지 기능상의 차이를 갖게 된다는 것을 항목, 1

의 해설을 통하여 기술하였다 그러나 감사 축약 기능만을 독립적으로 분리시켜 고려해 본. ,

다면 감사 데이터 수집 기능을 통하여 수집된 데이터에 대한 축약 기능을 수행하는 구조는,

두 가지의 침입탐지시스템 상에서 동일하게 적용될 수 있는 기능이라 할 수 있다.

감사 축약 기능은 일반적으로 축약을 위한 정책을 필요로 하게 된다 예를 들어 호스트 기.

반 침입탐지시스템의 경우에는 파일에 대한 모든 접근에 대한 감사 기록을 생성하는 대신,

파일에 대한 최초 접근 과 최후 접근 만을 축약 감사하도록 정책 설정을 할 수(open) (close)

있음을 의미한다 네트워크 기반 침입탐지시스템의 경우에서도 이와 마찬가지로 모드 패킷.

정보에 대한 감사 기록을 생성하기 보다는 특정 네트워크 서비스에 대한 감사 기록에 대해

서 아니면 특정 호스트로 유입되는 패킷에 대한 감사 기록을 축약해서 분석하는 등의 기본

적인 정책을 통하여 분석 효율을 증가시킬 수 있다.

- 30 -

네트워크 기반 침입탐지시스템의 구성에서 만일 시스템으로 구성된 시스템과 분산 구조로

구성된 시스템에서 감사 주체의 차이는 침입탐지에이전트의 역할에 따라 차이를 보일 수 있

음을 항목 에서 기술하였다 그러나 감사 축약의 주체가 감사 분석을 수행하는 중앙 관리1 . ,

시스템으로 구성되거나 침입탐지 에이전트로 설정되는 것과는 상관없이 감사 축약 기능의

수행 방식은 동일한 메커니즘을 따른다.

항목1.2.3.3. 3

3 축약 감사데이터 생성 기능에서는 보안위반 분석을 위해 다음 각 호에 대한 정보를

축약된감사데이터내에포함하여야한다.3-1 주체의 식별자 및 보안 속성1.

3-2 객체의 식별자 및 보안 속성2.

3-3 행위의 유형 및 관련 정보3.

3-4 행위의 날짜 및 시간4.

정의 목적1)

본 항목은 침입탐지시스템에 의하여 축약 감사데이터 생성 기능에 의해 축약된 감사데이터

들이 보안위반 분석을 위한 기반 자료로 사용되기 위하여 포함하여야 하는 최소 정보를 정

의하고 있다 축약 감사데이터 생성 기능은 감시 대상시스템이 생성한 감사데이터 또는 침.

입탐지시스템이 생성한 감사데이터를 축약 대상으로 설정하고 있기 때문에 생성된 축약 감,

사데이터는 축약 대상 감사 기록이 포함하고 있는 정보에 대한 손실을 초래해서는 안 된다.

따라서 본 항목에 정의되어 있는 축약 감사기록이 포함하여야 할 정보 항목은 축약 대상,

감사 기록의 감사 항목들을 기반으로 구성된 최소 요구 항목으로 정의할 수 있다.

항목 해설2)

- 31 -

침입탐지시스템의 축약 감사데이터 생성 기능은 감사 분석 수행의 효율향상을 위해 지원되

는 기능이며 생성된 감사데이터로부터 보안 관련성이 적은 감사 기록들을 여과하여 버리는,

과정에 해당한다 감사데이터의 축약을 위한 명확한 정책은 본 해설서를 통하여 제공되지는.

않으며 그 이유는 감사데이터 축약 정책은 감시대상시스템이 생성하는 감사 사건에 따라,

적용에 차이를 보일 수 있으며 침입탐지시스템의 유형에 따라서도 축약 대상이 되는 감사,

정보에 차이를 보이기 때문이다 그러나 축약된 감사데이터는 축약 과정을 통하여 축약 대. ,

상 감사기록이 포함하고 있는 감사 정보에 대한 손실이 발생하는 경우 감사분석 과정에서,

보안위반 분석 과정에서 문제점을 초래할 수 있기 때문에 축약 대상 감사 기록이 포함하고,

있는 감사 항목 정보를 반드시 유지하여야 한다 과 은 그들이 제시한 감. Lichman Kimmins

사 축약패러다임을 통하여 감사데이터에 대한 축약 과정이 이후 감사 분석과정의 품질을 저

하시켜서는 안되며 이러한 감사 축약 기능은 감사프로세스의 부하를 줄여줄 수 있기 때문,

에 실제 비정상행위분석 의 품질을 향상 시킬 수 있다는 점을 지적하였다(anomaly analysis)

[7].

감사 축약 기능은 축약 과정에서 감사 기록 항목 정보를 유지해야 하기 때문에 감사 기록,

항목 정보는 감사 축약 결과로 생성된 축약 감사데이터의 최소 요구 항목으로 정의할 수 있

다 미국방부에서 제정한. "Department of Defence Trusted Computer System Evaluation

에 정의되어 있는 감사 항목은 모든 감사 사건들에 대하여 수Criteria(DoD 5200.28-STD)"

집되어야 할 감사 정보의 최소 요구 사항을 정의하고 있으며 정의된 감사 항목들TCSEC ,

은 모든 평가 항목에 적용되도록 구성되어 있다 표준안에 정의되어 있는 감사[7][8]. DoD

기록 항목 정보들은 다음과 같다.

◆ 감사 사건이 발생한 날짜와 시간

- 32 -

◆ 감사 사건을 발생시킨 주체 또는 대행 대상의 유일한 식별자

◆ 감사 사건의 유형

◆ 감사 사건의 성공 실패 여부/

◆ 식별 및 인증 사건에 대해서는 해당 요구의 근원을 포함

◆ 감사 사건 대상 객체의 이름 사용자의 주소 영역에서 사용되거나 삭제 되는 대상 객체가(

존재하는 경우)

◆ 객체의 보안 속성

◆ 감사 상세 정보: 10 records

감사 기록 항목에 대한 최소 정의의 내용을 정리해 보면 감사 사건의 발생에 대하여 감사,

사건의 주체 감사 사건의 객체의 식별자 및 보안속성 감사 사건의 유형 및 사건 관련 정, ,

보 감사 사건의 발생 일시의 내용으로 정리할 수 있다 이와 같은 항목으로 생성된 감사 기, .

록 항목정보는 감사 축약 기능에 의하여 감사 기록들에 대한 필터링을 통하여 보안 관련성

이 적은 감사 기록들을 제거한 후에도 축약된 감사기록들은 모두 동일한 항목 정보를 유지,

해야 한다 뿐만 아니라 감사 분석의 효율을 향상 시킬 목적으로 감사 기록에 대한 축약 과. ,

정에서 추가적으로 정보 항목을 정의할 수도 있다 이러한 경우에는 다수의 호스트로부터.

수집된 감사 정보에 대한 축약을 수행하는 경우 감사기록 간의 관련성을 유지하기 위한 목,

적으로 적용될 수 있다 본 항목에서 정의된 각 호에 대한 설명은 다음과 같다. .

주체의 식별자 및 보안 속성3-1 1.◈

감사 사건의 주체는 시스템에 대한 행위를 요구한 사용자 또는 사용자를 대행하는 프로세스

로 정의할 수 있다 따라서 주체의 식별자는 시스템에 대한 사용자 식별 정보 또는 프로세.

스를 소유하고 있는 사용자 식별정보가 사용될 수 있으며 경우에 따라서는 프로세스 자체,

가 감사행위의 주체로서 정의될 수 있다 감사 사건의 주체 정보는 축약 과정에서도 축약.

정책의 적용 대상 정보가 묄 수 있으며 감사 분석을 위하여 중요한 항목이기 때문에 반드, ,

시 요구되는 항목이다.

- 33 -

객체의 식별자 및 보안 속성3-2 2.◈

감사 사건이 침입탐지시스템이 보안 관련 대상으로 정의하고 있는 객체가 사용자 주소 영역

에서 사용되거나 변경되는 경우에 해당 객체의 식별자 이름 를 기록할 것을 요구하게 되는( )

데 이와 같은 목적으로 생성된 감사 사건의 객체 정보는 추가적으로 객체의 보안 속성 또,

는 보안 관련 수준을 정의하고 감사 기록 생성시에 해당 객체에 할당된 보안 속성 정보를,

함께 기록하게 된다 기록된 객체의 보안 속성 정보는 감사 축약 과정에서 축약 정책에 의.

해 할당된 보안 수준이 낮은 정보에 대한 필터링을 적용할 수 있는 대상 정보로 이용될 수

있다.

행위의 유형 및 관련 정보3-3 3.◈

본 호에서 명시하고 있는 행위의 유형은 감사 사건의 유형을 의미하며 축약 과정에서 감사,

데이터가 포함하고 있는 특정 감사 사건 유형에 대한 필터링을 위하여 축약 정책이 적용될

수 있다 일반적으로 감사기록은 감사 분석의 효율 향상을 위하여 감사 사건의 유형 정보.

이외에 추가적으로 관련 정보를 제공할 수 있는데 예를 들어 행위의 성공 유무 자원의 사, ,

용 정보 등이 포함될 수 있다 또한 식별 및 인증 기능 수행과 관련된 감사 사건은 식별 및.

인증 기능을 요구한 근원 정보를 추가적으로 포함할 수 있는데 고려 가능한 대상 정보로는,

호스트의 주소 포트 번호 등이 있다terminal ID, IP , .

행위의 날짜 및 시간3-4 4.◈

감사 사건이 발생하여 감사 기록이 생성된 날짜 및 시간 정보를 의미하며 감사 축약 과정,

에서 특정 기간동안 생성된 감사 데이터에 대한 감사 분석이 요구되는 경우에 축약 정책이

적용될 수 있는 감사 항목 정보로써 축약 과정 이후에도 감사 분석을 위하여 제공되어야,

하는 항목이다.

- 34 -

항목 적용 예3)

침입탐지시스템의 축약 감사데이터 생성 기능은 축약 대상이 되는 감사데이터를 구성하고

있는 항목 정보를 유지하며 시스템이 정의하고 있는 축약 정책을 감사데이터에 적용함으로,

써 필터링된 감사데이터만을 감사 분석 자료로 제공하는 기능을 수행한다 따라서 생성된. ,

축약감사데이터는 감사데이터를 구성하고 있는 항목 정보와 추가적으로 반영된 축약 정책

정보가 사건 관련 정보로서 제공될 수 있다 일반적으로 축약 정책의 적용은 침입탐지시스.

템의 고유 기능으로 정의할 수 있으며 따라서 본 해설서는 감사 축약 기능의 수행 시 반드, ,

시 유지되어야 하는 감사 정보 항목에 대한 기술만을 포함한다.

감사 축약 기능은 침입탐지시스템의 유형에 따른 차이는 생성된 축약감사데이터 항목에서도

차이를 보일 수 있다.

가 호스트 기반 침입탐지시스템)

호스트 기반 침입탐지시스템의 감사 축약 기능은 침입탐지시스템에 의하여 생성된 감사 데

이터와 감시대상 호스트에 의해 생성된 감사데이터에 대해 보안 관리자 또는 보안 시스템이

정의하고 있는 축약정책을 적용함으로써 보안 관련성이 적은 감사 기록들에 대한 필터링을

수행하는 과정으로 정의할 수 있다 감사 축약 과정을 통하여 생성된 축약 감사데이터는 본.

항목의 앞서 기술한 것과 같이 감사데이터를 구성하고 있는 항목을 반드시 유지하여야 하,

며 부가적으로 축약과정에서 발생한 정보가 제공될 수 있다, .

호스트 기반 침입탐지시스템은 만일 호스트 기반 시스템인 경우와 다중호스트 기반 시스템

인 경우에 따라 부가적으로 제공되어야 하는 정보에 차이를 보일 수 있다 예를 들어 다중, . ,

호스트 기반 시스템인 경우에는 다수의 침입탐지시스템 또는 침입탐지 에이전트에 의해 감

사데이터를 수집과 축약 과정이 수행될 수 있다.

- 35 -

이와 같이 호스트 기반 침입탐지시스템 구조에서 만일 중앙 집중 방식의 감사 분석을 수행

하는 경우에는 다수의 침입탐지시스템 또는 침입탐지 에이전트에 의해 수집된 또는 축약된

감사데이터가 네트워크를 통하여 감사 분석을 수행하는 시스템으로 전송되어야 하며 전송,

되는 데이터는 전송자의 식별을 위하여 유일한 식별자의 사용이 부가적으로 요구된다 이와.

같은 환경에서 부가적으로 사용될 수 있는 정보로는 연결 식별자 호스트 주소 포트 번호( IP , )

를 고려할 수 있다.

그러나 다중 호스트 기반 침입탐지시스템은 감사 데이터 생성 및 축약과정에서 여러 가지,

문제점을 나타낸다 우선 일반적으로 여러 호스트들에 대한 계정을 소유하고 있는 단일 사.

용자가 존재할 경우 해당 사용자의 계정 사이의 관계성을 호스트간에 유지하는 것이 어렵,

다는 점이다 이러한 문제점은 단일 사용자로부터 네트워크 환경에서 다수의 호스트에 대하.

여 수행되는 보안 감사 사건들에 대하여 감사 데이터 생성 과정뿐만 아니라 축약 과정에서,

도 상이한 감사 주체정보로 기록될 가능성이 매우 높기 때문에 감사 분석의 효율을 저하시,

킬 수 있다 또 다른 문제점으로는 다수의 호스트들이 이기종의 시스템으로 구성되는 경우. ,

각 호스트 상에서 동작하는 침입탐지시스템 또는 침입탐지 에이전트가 정형화된 감사 데이

터 또는 축약 감사데이터형식을 구성하지 못함으로써 기록 항목의 차이로 인하여 감사 축약

또는 감사 분석이 불가능하게 되는 현상이 발생할 수 있다는 점이다.

나 네트워크 기반 침입탐지시스템)

네트워크 기반 침입탐지시스템은 감시대상 네트워크로부터 패킷 정보 또는 네트워크 관리정

보를 이용하여 감사 데이터 생성하며 생성된 감사데이터에 대한 축약 과정을 수행한다 네, .

트워크 기반 침입탐지시스템도 단일 또는 다중 호스트 기반으로 구성할 수 있으며 다중 호,

스트 기반으로 구성되는 경우에는 앞서 호스트 기반 침입탐지시스템에서 명시한 것과 같이

감사데이터 또는 축약감사데이터의 전송이 필요한 경우에 부가적인 기록 항목들이 제공될

수 있다.

- 36 -

일반적으로 호스트 기반 침입탐지시스템의 경우 감사데이터 항목 중 감사 사건의 주체 정,

보는 사용자 식별자 사용자를 대행하는 프로세스소유자의 식별자 프로세스 식별자 정보가, ,

된다 감사 사전의 주체의 행위 감시를 통한 프로파일 구성을 통하여 수행된다 그러나 네. . ,

트워크 기반 침입탐지시스템의 경우에는 이러한 주체 정보를 네트워크로부터 얻어내는 것이

어렵다는 점이다 예를 들어 네트워크 패킷 정보를 통하여 특정 호스트로 로그인 을. , (login)

수행하는 사용자의 식별자 정보를 알아내기 위해서는 패킷의 데이터 영역에 대한 검사가 수

반되어야 가능하게 된다 이러한 문제는 네트워크에서 수집된 트래픽 정보에 대하여 감사데.

이터를 생성하는 경우에도 동일한 문제점을 갖는다 현재 침입탐지 도구들이 패킷의 데이터.

영역에 대한 검색 기능을 제공하거나 하이브리드 형 침입탐지시스템을 구성하는 방, (hybrid)

식을 통하여 네트워크 기반 침입탐지시스템의 문제점을 해결하고 있지만 근본적으로 네트,

워크 기반 시스템의 기능 영역을 넘어서는 부분이기 때문에 본 해설서에서는 이 부분에 대

한 기술은 포함하지 않는다.

참고문헌1.3.

[1] Charles P. Pfleeger, Secyrity in Computing. Second Edition, New Jersey:

Prentice-Hall PTR, 1997.

[2] Herve Debar, Marc Dacier and Andreas Wespi, Towards a Taxonomy of

Intrusion-Detection Systems, IBM Research Report RZ 3030 (#93076), June 1998.

[3] Vijay Ahuja, Network and Internet Security, USA: Academic Press, pp.103-106,1996.

- 37 -

[4] Paul Proctor. Audit reduction and misuse detect1on in heterogeneous environments:

Framework and applications. In Proceedings of the 10th Annual Computer Security

Applications Conference, pages 117-125, December 1994.

[5] Cheri Dowell and Paul Ramstedt. The Computer Watch data reduction tool. In

Proceedings of the 13th National Computer Security Conference, pages

99-108,October 1990.

[6] Lichtman, Z., Kimmins, J., "An Audit Trail Reduction Paradigm based on Trusted

Processes," Proceedings of the 13th National Computer /Security Conference, Oct. 1

990.

[7] Department of Defence, Department of Defence Trusted Computer System Evaluation

Criteria, DoD 5200.28-STD, Dec. 1985.

[8] National Computer Security Center, A Guide to Understanding Audit in Trusted

Systems, NCSC-TG-001, Version-2, July 1987.

- 38 -

보안위반 분석2.

개요2.1.

보안위반 분석은 축약감사데이터와 침입사건 목록 및 프로파일을 분석하여 보안위반 사건을

탐지하는 기능을 의미한다 일반적으로 보안이란 자신의 본래 가치가 손상되지 못하도록 자.

산을 적절한 방법으로 보호하는 것을 의미한다 여기서 컴퓨터 보안이라 함은 정보와 이[1]. ,

를 등록 저장 처리 및 통신하는데 사용되는 자원의 무결성 가용성 그리고 기밀성을 보호, , , ,

하는 것이다 따라서 보안위반이란 컴퓨터보안을 침해하는 정보 접근 정보 조작 시스템 무. , ,

력화 등 대상시스템에 대한 고의적이면서도 불법적인 행위로 정의할 수 있으며 침입탐지,

시스템은 이러한 보안위반을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용하

는 것을 분석 감지하고 문제점을 처리하는 시스템이라 정의할 수 있다, [5][6].

일반적인 보안위반 분석 기능은 축약 감사데이터 생성 기능에 의해서 생성된 축약 감사데이

터로부터 사용자 활동에 관한 정보를 분석하는 기능을 의미한다 과거 수년 동안 이를 위한.

연구가 다각도로 진행되었으며 크게 보안위반 분석을 위한 두 개의 보완적인 경향으로 발,

전하였다 하나는 과거의 보안위반 행위로부터 얻어진 지식으로부터 이와 유사하거나 동일.

한 행위를 분석하는 기법이며 다른 하나는 감시되는 정보 시스템의 일반적인 행위들에 대,

한 프로파일을 생성하고 이로부터 벗어나는 행위를 분석하는 기법이다 전자의 경우는 오용, .

행위 분석 기법 이라 불리며 후자의 경우는 비정상적인 행위 분(misuse detection approach) ,

석 기법 으로 불린다(anomaly detection approach) [2].

- 39 -

그림 오용 행위 분석 기법[ 2-1]

그림 비정상적인 행위 분석 기법[ 2-2]

그림 과 그림 는 이들 각각에 대한 도식을 보이며 보안위반분석에 대한 정확성을[ 2-1] [ 2-2] ,

제공하기 위해서 양 기법의 단점을 보완한 혼합기법 등이 사용될 수도 있다, [5].

다음절에서 보안위반 분석 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목의 예를

제공한다.

보안 기능 요구사항 해설2.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

- 40 -

보안 기능 요구사항 항목2.2.1.

본 단원에서는 보안위반 분석 기능 제공을 위하여 정의된 보안 기능요구사항 항목들을 기술

한다 기술된 보안 기능 요구사항 항목들은 기준에서 기술된 부터 까지의 모든 항목들. K1 K7

을 포함하며 보안위반 분석 기능의 제공을 위하여 정의된 보안 요구사항 항목들은 다음과,

같다.

4 보안위반 분석 기능에는 알려진 시스템 보안위반 사건에 대한 목록이 유지되어야

한다.5 보안위반 분석 기능에는 시스템 보안위반 사건 목록을 감사 사건 및 시스템 상태

데이터와비교할수있는기능이있어야한다.6 보안위반분석기능에서는시스템보안위반사건목록에근거하여감사사건이잠

재적인보안위반임을판단할수있어야한다.7 보안위반 분석 기능에는 시스템 사용에 대한 프로파일을 생성하는 기능이 있어야

한다.8 보안위반분석기능에는프로파일과감사사건및시스템상태데이터와비교할수

있는기능이있어야한다.9 보안위반 분석 기능에서는 프로파일에 근거하여 감사 사건이 잠재적인 보안위반

임을판단할수있어야한다.

관련 평가 등급2.2.2.

본 단원에서는 보안위반 분석 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급별

요구 사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 2-1] .

표 보안위반 분석 기능과 평가 등급과의 상관 관계[ 2-1]

평가

등급

기능항목

K1 K2 K3 K4 K5 K6 K7

4 ○ ○ ○ ○ ○ ○ ○

5 ○ ○ ○ ○ ○ ○ ○

6 ○ ○ ○ ○ ○ ○ ○

7 ○ ○ ○

8 ○ ○ ○

9 ○ ○ ○

- 41 -

보안 기능 항목별 상세 해설2.2.3.

본 단원에서는 보안위반 분석 기능 제공을 위하여 정의된 기능 항목들의 정의 목적과 항목

해설 그리고 적용 예에 대하여 상세 기술한다, .

항목2.2.3.1. 4

4보안위반 분석 기능에는 알려진 시스템 보안위반 사건에 대한목록이 유지되

어야 한다.

정의 목적1)

은 보안위반 분석 기능의 알려진 시스템 보안위반 사건에 대한 목록유지 기능에 대해서4

정의하고 있다 즉 침입탐지시스템은 보안위반 분석을 수행하기 위해서 특정 보안위반 사. , ,

건과 시스템 취약점들에 대한 알려진 보안위반 사건 목록을 적용한다 따라서 은 축약 감. 4

사데이터생성 기능으로부터 수집된 축약 감사데이터로부터 보안위반 분석을 수행하기 위해

서 기존의 알려진 보안위반 사건에 대한 목록 유지기능을 침입탐지시스템이 지원해야 함을,

의미한다.

항목 해설2)

알려진 시스템 보안위반 사건에 대한 목록은 침입탐지시스템의 보안위반분석 기법 중 오용

행위 분석 기법 적용을 위해서 요구되는 기능이다 따라서 알려진 시스템 보안위반 사건에.

대한 목록은 구현된 침입탐지시스템의 구조 및 탐지하고자 하는 보안위반 사건 항목에 따라

다를 수 있다.

- 42 -

침입탐지시스템은 감시대상 호스트 또는 감시대상 네트워크로부터 발생하는 보안위반 사건

의 탐지를 위하여 생성된 축약감사데이터 만을 분석하기 때문에 축약 감사데이터 수집 기,

능에 의해서 수집 가능한 감사데이터 항목을 기반으로 한 시스템 보안위반 사건에 대한 목

록이 유지되어야 한다 따라서 이들 목록은 감사 사건을 유발하는 주체의 식별자 및 보안.

속성 객체의 식별자 및 보안 속성 행위의 유형 및 관련 정보와 행위의 날짜 및 시간 정보, ,

를 포함하여야한다 이와 같은 알려진 시스템 보안위반 사건에 대한 목록을 보안위반 분석.

기능을 수행하기 위한 침입탐지시스템의 탐지 범위에 따라서 분류하면 호스트 기반의 보안,

위반 사건에 대한 목록과 네트워크 기반의 보안위반 사건에 대한 목록으로 나눌 수 있다.

우선 호스트 기반의 보안위반 사건에 대한 목록은 시스템이 기본 제공하는 소스 정보

환경에서의 과 같은 명령어수행 정보 사용자의 시스템 자원 사용(UNIX ps, pstat, vmstat ),

정보 그리고 와 같은 감사 기록 정보를 통하여 보안위반 사건을 분석하(accounting) , syslog

기 때문에 이들을 기반으로 한 항목들이 유지되어야 한다 따라서 호스트기반의 침입탐지, .

시스템들은 이와 같은 정보들로 특징 지어진 보안위반사건에 대한 목록들을 근거로 해당 감

사 사건 및 시스템 상태 데이터가 보안위반인지의 여부를 판단하게 된다[2].

네트워크 기반의 보안위반 사건에 대한 목록은 호스트 기반 침입탐지시스템과는 달리 감사

데이터 생성을 위하여 네트워크 패킷정보나 네트워크관리 정보 정보 를 기반 정보로(MIB )

사용하기 때문에 해당 감사 사건에 대한 보안위반 분석을 수행하기 위해서는 네트워크패킷,

정보를 기반으로 한 항목들이 유지되어야 한다 따라서 네트워크기반의 침입탐지시스템들은.

이와 같은 정보들로 특징 지어진 보안위반사건에 대한 목록들을 근거로 해당 감사 사건이

보안위반인지의 여부를 판단하게 된다[2].

침입탐지시스템은 감시대상 호스트 또는 감시대상 네트워크로부터 발생하는 보안위반 사건

의 분석을 위하여 생성된 축약 감사데이터만을 분석하기 때문에 축약 감사데이터 수집 기,

능으로 수집 가능한 항목들로 이루어진 보안위반 사건에 대한 목록을 유지해야 한다.

- 43 -

이와 같은 항목들을 기반으로 침입탐지시스템은 보안위반 분석을 수행하기 위해서 특정 보,

안위반 사건과 시스템 취약점들에 대한 알려진 보안위반 사건목록을 유지하는 기능을 제공

해야 한다.

항목 적용 예3)

앞서 기술한 것과 같이 보안위반 분석을 수행하기 위한 알려진 시스템 보안위반 사건에 대,

한 목록은 침입탐지 시스템의 보안위반 분석 기법 중 오용 행위 분석 기법 적용을 위해서

요구되는 기능이다 따라서 알려진 시스템 보안위반 사건에 대한 목록은 침입탐지시스템의.

축약 감사데이터 생성 기능에 따라 다를 수 있다 즉 알려진 시스템 보안위반 사건에 대한. ,

목록은 축약 감사데이터 생성 기능과 밀접한 관련이 있으며 이에 따라 호스트 기반의 침입,

탐지시스템과 네트워크 기반의 침입탐지시스템에서 유지되는 보안위반 사건에 대한 목록으

로 구분할 수 있다.

가 호스트 기반 침입탐지시스템) (HIDS)

표 주체의 식별자 및 보안 속성 등을 나타내는 항목들[ 2-2]

항목 주체의식별자및보안속성등에대한설명

Audit UID 해당 호스트에 로그인 시 획득된 사용자 로써 현재 세션 동안ID ,변하지않는사용자 ID

Current UID 해당호스트에서활동중인실제사용자 ID (e.g.,real UID)Acting UID 현재권한을가리키는사용자 ID (e.g., effective UIDUID 사용자를식별하기위한유일한 IDGIDs 사용자 가속한그룹ID IDLabels 사용자 에의하여수행되는보안라벨들IDSecurity Levels 사용자 에의해서접근가능한보안수준IDPrivilege 사용자 에대한수행되어지는접근권한IDSession ID 해당호스트위의사용자세션식별 IDClassification Level 사용자세션의분류수준

Local Host ID 해당감사사건이발생한호스트식별 ID

- 44 -

Remote Host ID 원격지호스트식별 IDProgram Name 프로세스에의해서실행된프로그램파일명

Program Locator 프로그램의물리적인위치 번호(e.g., I-node )Program Permission 프로그램의접근권한

Process ID 프로세스를식별하기위한 IDParent Process ID 부모프로세스를식별하기위한 IDCharge Code 프로세스를위한자원사용량을부가하기위한코드

Real Time 프로세스실행시간

User CPU Time 프로세스에의해서사용된 시간Non-kernel CPUSystem CPU Time 프로세스에의해서사용된 시간kernel CPUMemory Usage 프로세스의평균메모리사용량

I/O Activity 프로세스의 수행수단I/OTTY Number 프로세스와연관된 번호UNIX TTYProgram Type 실행된프로그램의유형

호스트 기반의 침입탐지시스템에서 유지되는 보안위반 사건에 대한목록은 호스트에서 생성

된 감사데이터를 기반으로 보안위반 사건을 분석하기 때문에 이들을 기반으로 한 항목들이,

유지되어야 하며 유지되는 항목들은 단일 호스트 기반의 시스템과 다중 호스트 기반의 시,

스템에 동일하다 따라서 호스트 기반의 침입탐지시스템들은 다음의 항목들로 특징 지어진.

보안위반 사건에 대한 목록들을 근거로 해당 감사사건 및 시스템 상태 데이터가 보안위반인

지 유무를 판단하게 된다.

호스트 기반의 감사 사건은 행위의 주체와 객체에 의해서 특징지어질 수 있으며 이는 시스,

템 객체에 속하는 주체에 의한 행위로써 나타내어진다 따라서 해당 감사 사건의 행위는 일.

반적으로 시스템 서비스나 상위수준의 어플리케이션 동작을 위한 요구이며 주체는 사용자,

행위에 따른 프로세스 동작을 의미한다 그리고 이러한 감사 사건에서의 객체는 보호되는. ,

시스템 자원들을 의미한다 이에 따라 표 는 주체의 식별자 및 보안 속성 등을 나타[3]. [ 2-2]

내는 항목들과 이에 대한 설명을 보이고 있다.

표 은 객체의 식별자 및 보안 속성에 대한 항목들과 이에 대한설명을 나타낸다 표[ 2-3] . [

는 이들 주체 및 객체의 행위 유형 및 관련 정보 날짜 및 시간 등을 포함한 항목들과2-4] ,

이에 대한 설명을 나타낸다.

- 45 -

또한 표 는 부가적으로 요구되는 항목들과 이에 대한 설명을 보인다, [ 2-5] .

표 객체의 식별자 및 보안 속성 등을 나타내는 항목들[ 2-3]

항목 객체의식별자및보안속성등에대한설명

Name 감사사건내의객체를식별하기위한 NameLocator 객체를위한물리적인위치자 번호(e.g., I-node or device )Type 객체의유형

Access Permissions 객체에대한허가된접근유형

Security Label 객체의보안라벨

Security Partition 객체가위치한보안영역

Owner 객체소유자의 IDGroup Owner 그룹소유자의 IDSize 객체의크기 바이트단위의파일크기(e.g., )File System ID 객체가파일일때 해당파일일위치한파일시스템의, ID

표 주체 및 객체의 행위 유형 등을 포함한 항목들[ 2-4]

항목 주체및객체의행위유형등에대한설명

Action 감사사건의행위유형

Time 감사사건이발생한시간

Status/Return Value 감사사건의결과를가리키는상태또는반환값

Error 감사사건으로부터생성된에러들

Cmd/System Call 감사사건레코드를생성한명령어나시스템콜

Arguments 함수호출을위한인자들이나명령어에따른인자들

표 부가적인 정보 항목들[ 2-5]

항목 부가적인정보항목들에대한설명

Timestamp 감사기록레코드가생성된시간

Audit Source Type 기본제공감사시스템의유형 또는(e.g., Sun BSM HP/UX)Sequence Number 감사기록레코드의순서번호

나 네트워크 기반 침입탐지시스템) (NIDS)

- 46 -

네트워크 기반의 침입탐지시스템에서 유지되는 보안위반 사건에 대한목록은 호스트 기반 침

입탐지시스템에서 유지되는 보안위반 사건에 대한목록과는 달리 네트워크 패킷 정보를 기반

으로 한 항목들이 유지되어야 한다 따라서 네트워크 기반의 침입탐지 시스템들은 다음의.

항목들로 이루어진 보안위반 사건에 대한 목록들을 근거로 해서 해당 감사 사건이 보안위반

인지의 여부를 판단하게 된다.

네트워크 기반의 보안위반 사건에 대한 목록은 네트워크 패킷으로부터 추출 가능한 정보들

만을 기반으로 하기 때문에 호스트 기반침입탐지시스템에 의해 유지되는 보안위반 사건에,

대한 목록에 비해 비교적 간단하다 표 은 보안위반 사건에 대한 목록이 유지하는 정. [ 2-6]

보 항목들과 이에 대한 설명을 보이며 표 은 부가적으로 요구되는 항목들과 이에 대, [ 2-7]

한 설명을 보인다 보안위반 사건에 대한 정보 항목들은 네트워크 패킷 정보를 기반으로 구.

성될 수 있는 항목들을 나타내며 부가적인 정보 항목들은 감사기록 레코드에 대한 부가적,

인 정보 항목들을 나타낸다.

표 보안위반 사건에 대한 정보 항목들[ 2-6]

항목 보안위반사건목록내의정보항목들에대한설명

Action 감사사건의행위유형

Session ID 해당네트워크위의세션식별 IDSecurity Levels 감사사건에대한보안수준

Time 감사사건이발생한시간

Count 감사사건의연속발생횟수

IP Header 헤더정보IDTCP Header 헤더정보TCPUDP Header 헤더정보UDPICMP Header 헤더정보ICMPContent 감사기록레코드를생성한패킷데이터문자열

Arguments 패킷데이터문자열에속한인자들

표 부가적인 정보 항목들[ 2-7]

항목 부가적인정보항목들에대한설명

Timestamp 감사기록레코드가생성된시간

Sequence Number 감사기록레코드의순서번호

- 47 -

지금까지 호스트 기반의 침입탐지시스템과 네트워크 기반의 침입탐지시스템에서 유지되는

보안위반 사건 목록의 예에서 알 수 있듯이 보안위반 분석 기능을 수행하기 위해 유지되어,

져야 하는 알려진 보안위반 사건 목록은 구현된 침입탐지시스템의 구조와 보안위반 분석을

위해서 요구되는 감사데이터 정보의 종류에 따라 차이를 보일 수 있다 다시 말해서 침입탐. ,

지시스템은 감시대상 호스트 또는 감시대상 네트워크로부터 발생하는 보안위반 사건의 분석

을 위하여 생성 가능한 축약 감사데이터만을 분석하기 때문에 해당 축약 감사데이터를 기,

반으로 하는 보안위반 사건에 대한 목록을 유지해야 한다 이러한 이유에서 기능 항목은. 4

구현된 침입탐지시스템의 축약 감사데이터 생성기능과 밀접한 관계를 유지하면서 이를 기,

반으로 한 특정 보안위반사건과 시스템 취약점들에 대한 알려진 보안위반 사건 목록을 유지

할 것을 요구한다.

항목 항목2.2.3.2. 5, 6

5 보안위반 분석 기능에는 시스템 보안위반 사건 목록을 감사사건 및 시스템 상태

데이터와비교할수있는기능이있어야한다.6 보안위반분석기능에서는시스템보안위반사건목록에근거하여감사사건이잠

재적인보안위반임을판단할수있어야한다.

정의 목적1)

은 보안위반 분석 기능을 수행하기 위해서 시스템 보안위반 사건목록을 감사 사건 및5, 6

시스템 상태 데이터와 비교함으로써 해당 감사 사건이 잠재적인 보안위반임을 판단할 수,

있는 기능에 대해서 정의하고 있다.

- 48 -

즉 침입탐지 시스템은 보안위반 분석을 수행하기 위해서 특정보안위반 사건과 시스템 취약, ,

점들에 대한 알려진 보안위반 사건 목록을 감사 사건 및 시스템 상태 데이터와 비교하고,

이를 통해서 해당 감사사건이 잠재적인 보안위반임을 판단할 수 있어야 한다 따라서. 5, 6

은 시스템 보안위반 사건 목록과 축약 감사데이터 생성 기능으로부터 수집된 축약 감사데이

터를 비교하여 해당 축약 감사데이터가 보안 위반인지 아닌지의 여부를 비교 판정할 수 있, ,

는 기능을 침입탐지시스템이 지원해야 함을 의미한다.

항목 해설2)

일반적으로 알려진 시스템의 보안위반 사건에 대한 목록은 오용보안위반 분석 기법에 요구

되는 지식 기반의 침입탐지 방법이다 따라서 해당(knowledge-based intrusion detection) .

감사 사건 및 시스템상태 데이터를 시스템 보안위반 사건 목록과 비교 판단하는 기법은 오,

용 보안위반 분석 기법 중 어떤 메커니즘을 사용하는지에 따라서 차이를 보일 수 있다 오.

용 보안위반 분석 기법은 전문가 시스템 상태 전이 분석(export systems), (state-transition

키 스트로크 관찰방법 모델에 근거한 방법analysis), - (key stroke monitoring), (model based

등으로 분류할 수 있다intrusion detection) [4].

오용 보안위반 분석 기법은 특정 침입 행위와 시스템 취약점들에 대한사전 지식을 적용하는

기법이며 침입탐지시스템은 이러한 취약점들을 악용하는 시도나 이에 대한 정보를 포함하,

게 된다 따라서 이러한 지식기반의 침입탐지 기법을 통한 보안위반 분석의 정확성.

은 매우 좋게 평가되나 보안위반 분석에 대한 완성도 는 알려진 시(accuracy) , (completeness)

스템의 보안위반 사건에 대한 목록의 적절한 갱신에 의존한다.

이처럼 시스템의 보안위반 사건에 대한 목록을 기반으로 한 보안위반 분석 기법이 지닌 장,

점은 매우 낮은 오판율을 가진다는 점이며 해당감사 사건에 대한 정책 설정이 쉽다는 점을,

들 수 있다.

- 49 -

반면 알려진 침입 행위에 대해서 요구되는 지식을 얻기가 어려우며 새로운 취약점이나 환,

경에 따라 해당 보안위반 사건에 대한 목록을 갱신해야만 한다는 단점을 갖는다 또한 시스.

템 운영체제 버전정보 플랫폼 및 어플리케이션 등의 주어진 환경에 종속되어 있기 때문에, , ,

이에 따른 일반화 논의에 직면하고 있다[2].

항목 적용 예3)

보안위반 분석 기능을 위한 오용 보안위반 분석 기법은 구현된 침입탐지시스템의 구조에 따

라 적절한 기법이 적용될 수 있다 이들 기법은 축약감사데이터 생성을 위한 감사데이터 수.

집 방식에 따라 적용된다기 보다는 해당 보안 사건에 대한 효율적인 비교 판단과 정확도에, ,

의존하기 때문에 호스트 기반의 침입탐지시스템과 네트워크 기반의 침입탐지시스템 모두에

동일하게 적용된다.

그림 전문가 시스템[ 2-3]

전문가 시스템은 의 함축 규칙을 사용하며 그림 은 이를 이용한 보안위반 분if-then , [ 2-3]

석을 보인다 전문가 시스템에서 유지되는 알려진 시스템의 보안위반 사건 목록은 그림의. if

부분에서 해당 보안위반에서 요구되는 상태를 기술하며 감사 사건 및 시스템 상태 데이터,

가 해당상태를 만족할 시 다음 상태에서의 문이 수행되는 구조를 지닌다, if [4].

- 50 -

상태 전이 분석은 보안위반 패턴을 감시되는 시스템의 상태 전이 순서로(state transition)

표현하며 초기 상태에서 최종 상태로의 전이 과정을 지식 기반으로 탐지하는 방법이다, .

그림 는 이를 이용한 보안위반 분석을 보이며 보안위반패턴에서의 상태 는 해당[ 2-4] , (state)

감사 사건 및 시스템 상태 데이터가 다음 상태로의 전이를 만족하는 불린 값을 지(boolean)

닐 때 수행된다[4].

그림 상태 전이 분석[ 2-4]

그림 키 스트로크 관찰 방법[ 2-5] -

키 스트로크 관찰 방법은 사용자의 키 스트로크를 감시하여 보안위반 패턴을- (key-stroke) -

나타내는 특정 키 스트로크 순서를 규칙화하여 보안위반을 분석하는 방법이다 그림- . [ 2-5]

는 이를 이용한 보안위반 분석 기법을 보이며 특정 키 스트로크 순서에 대한 보안위반 사, -

건 목록을 유지하고 이를 사용자의 키 스트로크와 비교 분석하는 기법을 사용한다, - , [4].

- 51 -

그림 모델에 근거한 방법[ 2-6]

모델에 근거한 방법은 보안위반 사건 패턴들을 데이터베이스로 구축하고 특정 보안위반 사

건에 대하여 데이터베이스를 참조하여 보안위반 여부를 탐지하는 방법이다 그림 은. [ 2-6]

이를 이용한 보안위반 분석 기법을 보이며 일반적으로 예측기 와 입안기, (anticipator)

보안위반 시나리오를 가진 데이터 베이스로 구성된다 예측기는 감사 추적(planner), . (audit

에서 조회된 다음 행위를 생성하고 이를 입안기로 전달하며 입안기는 가정된 다음 행trail) , ,

위가 감사 추적에서 쉽게 비교 판단될 수 있는 감사 데이터의 형태로 전환한다, [4].

지금까지의 예에서 알 수 있듯이 시스템 보안위반 사건 목록과 축약감사데이터 생성 기능,

으로부터 수집된 축약 감사데이터를 비교하여 해당 축약 감사데이터가 보안위반인지 아닌,

지의 여부에 대한 비교 판단기능은 여러 가지 기법에 의해서 제공될 수 있으며 침입탐지, ,

시스템은 수집되는 축약 감사데이터의 특성에 따라 보안위반 분석을 위한 보다 효율적인 방

식을 채택하여 수행하여야 할 것이다 즉 기능항목은 침입탐지시스템의 수집된 감. , 397, 398

사데이터 정보에 대한 정확하고 효율적인 분석을 제공하기 위해서 구현된 침입탐지시스템,

이 해당시스템에 적합한 보다 효율적인 분석 기법을 제공해야 함을 요구한다.

- 52 -

항목2.2.3.3. 7

7 보안위반 분석 기능에는 시스템 사용에 대한 프로파일을 생성하는 기능이

있어야 한다.

정의 목적1)

는 보안위반 분석 기능을 수행하기 위한 시스템 프로파일 생성 기능에 대해서 정의하고7

있다 즉 침입탐지 시스템은 보안위반 분석을 수행하기 위한 근거 자료로써 시스템 사용에. , ,

대한 프로파일을 생성한다 시스템 사용에 대한 프로파일은 시스템의 일반적인 행위들에 대.

한 기준을 설정하기 위해서 생성되고 제공되며 축약 감사데이터 생성기능으로부터 수집된,

축약 감사데이터의 보안위반 분석의 근거로써 제공된다 따라서 는 축약 감사데이터 생성. 7

기능으로부터 수집된 축약감사데이터로부터 보안위반 분석을 수행하기 위해서 시스템 프로,

파일생성 기능을 침입탐지 시스템이 지원해야 함을 의미한다.

항목 해설2)

시스템 프로파일 목록은 침입탐지 시스템의 보안위반 분석 기법 중 비정상적 행위 분석 기

법 적용을 위해서 요구되는 기능이다 따라서 시스템 프로파일 목록은 구현된 침입탐지 시.

스템의 구조 및 탐지하고자 하는 보안위반 사건 항목에 따라 다를 수 있다 침입탐지시스템.

은 감시대상 호스트 또는 감시대상 네트워크로부터 발생하는 보안위반사건의 탐지를 위하여

생성된 축약 감사데이터 만을 분석하기 때문에 축약 감사데이터 수집 기능에 의해서 수집,

가능한 감사 데이터 항목을 기반으로 한 시스템 프로파일 목록이 생성 유지되어야 한다 따, .

라서 이들 목록은 감사 사건을 유발하는 주체의 식별자 및 보안 속성 객체의 식별자 및 보,

안 속성 행위의 유형 및 관련 정보와 행위의 날짜 및 시간 정보를 포함하여야 하며 이를, ,

기반으로 정상적인 행위에 대한 프로파일생성 및 갱신이 이루어져야 한다.

- 53 -

이와 같은 시스템 프로파일 목록은 보안위반 분석을 위한 판만 근거로 사용되기 때문에 부,

수적으로 해당 프로파일 목록에 대한 통계 정보 등이 유지되어져야 한다 항목과 마찬가. 4

지로 시스템 프로파일 목록은 침입 탐지 시스템의 탐지 범위에 따라서 분류되며 호스트 기,

반의 시스템 프로파일 목록과 네트워크 기반의 시스템 프로파일 목록으로 나눌 수 있다.

앞서 항목에서와 마찬가지로 호스트 기반의 시스템 프로파일 목록은 시스템에서 제공될4

수 있는 감사 기록 정보 등의 분석을 통하여 생성되기 때문에 이들을 기반으로 한 프로파,

일 항목들이 유지되어야한다 따라서 호스트 기반의 침입탐지 시스템들은 이와 같은 정보들.

로 특징지어진 시스템 프로파일 목록들을 근거로 해서 해당 감사 사건이 보안위반인지의 여

부를 판단하게 된다 이와 마찬가지로 네트워크기반의 시스템 프로파일 목록은 앞서 항목. 4

에서의 네트워크 기반의 보안위반 사건에 대한 목록 기술처럼 감사 데이터 생성을 위하여,

네트워크 패킷 정보를 기반으로 한 항목들이 유지되어야 한다 따라서 네트워크 기반의 침.

입탐지 시스템들은 이와 같은 정보들로 특징 지어진 시스템 프로파일 목록들을 근거로 해서

해당 감사 사건이 보안위반인지의 여부를 판단하게 된다.

항목의 시스템 프로파일 목록의 생성 및 갱신은 항목의 보안위반사건에 대한 목록과 같7 4

은 정보들을 기반으로 유지된다는 점은 동일하나 가장 커다란 차이점은 정상적인 행위를,

기반으로 지속적으로 생성 갱신된다는 점이다 따라서 이를 기반으로 보안위반 분석을 수행, .

하기 위해서는 기존의 감사데이터를 바탕으로 이를 위배하는 감사 사건을 분석함으로써 이

루어질 수 있다 이처럼 침입탐지 시스템이 시스템프로파일 목록을 기반으로 보안위반 분석.

을 수행하기 위해서는 시스템프로파일 목록에 대한 지속적인 생성 및 갱신 유지 기능을 제,

공해야 한다.

- 54 -

항목 적용 예3)

앞서 기술한 것과 같이 보안위반 분석을 수행하기 위한 알려진 시스템사용에 대한 프로파,

일 목록은 침입탐지시스템의 보안위반 분석 기법 중 비정상적 행위 분석 기법 적용을 위해

서 요구되는 기능이다 따라서 시스템 사용에 대한 프로파일 목록은 항목에서의 기술과. , 4

마찬가지로 침입탐지시스템의 축약 감사데이터 생성 기능에 따라 다를 수 있다 즉 시스템. ,

사용에 대한 프로파일 목록은 축약 감사데이터 생성 기능과 밀접한 관련이 있으며 이에 따,

라 호스트 기반의 침입탐지시스템과 네트워크 기반의 침입탐지시스템에서 유지되는 프로파

일 목록으로 구분할 수 있다.

가 호스트 기반 침입탐지시스템) (HIDS)

호스트 기반의 침입탐지시스템에서 유지되는 시스템 사용에 대한프로파일 목록은 호스트에

서 생성된 감사데이터를 기반으로 생성 및 갱신 유지되어야 하며 유지되는 항목들은 단일, ,

호스트 기반의 시스템과 다중 호스트 기반의 시스템에 동일하다 따라서 호스트 기반의 침.

입탐지시스템들은 다음의 항목들로 특징 지어진 시스템 사용에 대한프로파일 목록들을 근거

로 해당 감사 사건 및 시스템 상태 데이터가 보안위반인지 여부를 판단하게 된다.

항목에서 기술되어진 것처럼 호스트 기반의 감사 사건은 행위의 주체와 객체에 의해서4 ,

특징지어질 수 있으며 이는 시스템 객체에 속하는 주체에 의한 행위로써 나타내어진다 따, .

라서 시스템 사용에 대한프로파일 목록은 항목에서 보여진 표 표 표4 [ 2-2], [ 2-3], [ 2-4],

그리고 표 와 동일하다 단 항목에서의 보안위반 사건에 대한 목록과 달리 시스템[ 2-5] . , 4 ,

사용에 대한프로파일 목록을 기반으로 이를 위배하는 감사 사건을 분석하기 때문에 이에,

대한 기준 제시를 위해서 부수적으로 요구되는 항목들이 존재한다 표 은 시스템 사용. [ 2-8]

에 대한 프로파일 목록을 기반으로 보안위반 분석을 수행하기 위해서 부수적으로 요구되는

항목들과 이에 대한설명을 나타낸다.

- 55 -

표 시스템 프로파일의 부가적인 생성 정보 항목들[ 2-8]

항목 부가적인생성정보항목들에대한설명

Number 해당감사사건의발생횟수

Frequency 해당감사사건의발생빈도

Probability 해당감사사건의발생확률

나 네트워크 기반 침입탐지시스템) (NIDS)

네트워크 기반의 침입탐지시스템에서 유지되는 프로파일 목록은 네트워크 패킷 정보를 기반

으로 한 항목들이 유지되어야 한다 따라서 네트워크 기반의 침입탐지시스템들은 다음의 항.

목들로 이루어진 네트워크 사용에 대한 프로파일 목록들을 근거로 해서 해당 감사 사건이

보안위반인지의 여부를 판단하게 된다.

위의 호스트 기반 침입탐지시스템과 마찬가지로 네트워크 기반의 프로파일 목록은 항목에4

서 기술되어진 것처럼 네트워크 패킷으로부터 추출 가능한 정보들만을 기반으로 하기 때문,

에 비교적 간단하다 그러나 호스트 기반의 침입탐지시스템과 달리 방대한 패킷 정보에 대. ,

한 프로파일을 생성하기 때문에 경우에 따라서 프로파일 생성을 위한 방대한 저장고가 요,

구된다.

항목에서 기술되어진 것처럼 네트워크 사용에 대한 프로파일 목록은 네트워크 패킷 정보4 ,

를 기반으로 구성될 수 있는 항목들과 이에 부가적으로 요구되는 정보 항목들로써 구성된

다 따라서 네트워크사용에 대한 프로파일 목록은 항목에서 보여진 표 및 표 과. 4 [ 2-6] [ 2-7]

동일하다 단 항목에서의 보안위반 사건에 대한 목록과 달리 네트워크 사용에 대한 프로. , 4 ,

파일 목록을 기반으로 이를 위배하는 감사사건을 분석하기 때문에 이에 대한 기준 제시를,

위해서 부수적으로 요구되는 항목들이 존재한다 네트워크 사용에 대한 프로파일 목록을 기.

반으로 보안위반 분석을 수행하기 위해서 부수적으로 요구되는 항목들은 위의 표 에서[ 2-8]

기술된 호스트 기반의 시스템 사용에 대한 프로파일 목록에 부수적으로 요구되는 항목과 동

일하다.

- 56 -

지금까지 호스트 기반의 침입탐지 시스템과 네트워크 기반의 침입탐지시스템에서 유지되는

프로파일 목록의 예에서 알 수 있듯이 보안위반 분석 기능을 수행하기 위해 유지되어져야,

하는 프로파일목록은 구현된 침입탐지시스템의 구조와 보안위반 분석을 위해서 요구되는 감

사데이터 정보의 종류에 따라 차이를 보일 수 있다 즉 항목에서와 마찬가지로 침입탐. , 396

지시스템은 생성 가능한 축약감사데이터를 기반으로 하는 프로파일 목록을 유지해야 하며,

이러한 이유에서 기능 항목은 구현된 침입탐지시스템의 축약 감사데이터 생성기능과 밀접7

한 관계를 유지하면서 이를 기반으로 한 프로파일 목록을 유지할 것을 요구한다, .

항목 항목2.2.3.4. 8, 9

8 보안위반 분석 기능에는 프로파일과 감시 사건 및 시스템 상태 데이터와 비교할

수있는기능이있어야한다.9 보안위반분석기능에서는프로파일에근거하여감사사건이잠재적인보안위반“

임을판단할수있어야한다.

정의 목적1)

은 보안위반 분석 기능을 수행하기 위한 근거 자료인 시스템 프로파일과 감사 사건 및8, 9

시스템 상태 데이터를 비교함으로써 해당 감사 사건이 잠재적인 보안위반임을 판단할 수,

있는 기능에 대해서 정의하고 있다 즉 침입탐지 시스템은 보안위반 분석을 수행하기 위해. ,

서 모니터 된 시스템 프로파일을 감사 사건 및 시스템 상태 데이터와 비교할 수 있어야 하,

며 이를 통해서 해당 감사 사건이 잠재적인 보안위반임을 판단할 수 있어야 한다, .

- 57 -

따라서 은 시스템 프로파일과 축약 감사데이터 생성 기능으로부터 수집된 축약감사데8, 9

이터를 비교하여 해당 축약 감사데이터가 보안위반인지 아닌지의 여부를 비교 판정할 수, ,

있는 기능을 침입탐지 시스템이 지원해야 함을 의미한다.

항목 해설2)

일반적으로 시스템 프로파일은 비정상적 행위 분석 기법에 요구되는 행위 기반의 침입탐지

방법이다 따라서 해당 감사 사건 및 시스템 상태 데(behavior-based intrusion detection) .

이터를 시스템 프로파일과 비교하는 기법은 비정상적 행위 분석 기법 중 어떤 메커니즘을

사용하는지에 따라서 차이를 보일 수 있다 비정상적 행위 분석 기법은 크게 통계적인 자료.

에 근거한 기법과 예측 가능한 패턴 생성 기법 신경망 기법으로 분류할 수 있다, [4].

비정상적 행위 분석 기법은 시스템이나 사용자들이 정상적인 행위로부터 벗어나는 것을 관

찰함으로써 보안위반 분석을 수행하는 기법이며 이를 위해서 다양한 방식에 의한 참조 정,

보를 수집하게 된다 이러한 정보들은 현재의 감사 사건과 비교되며 이를 통해서 해당 감사. ,

사건이 보안위반인지의 여부를 판단하게 된다 즉 이전에 학습되어진 행위와 다른 감사 사. ,

건을 보안위반 사건으로 판정하게 됨으로써 보안위반분석에 대한 완성도는 적절하나 정확,

성은 많은 논란의 소지를 갖는다 이처럼 정상적인 행위에 대한 프로파일을 기반으로 한 비.

정상적 행위분석 기법이 지닌 장점은 알려지지 않은 취약점을 침해하는 행위를 탐지할 수

있다는 점이며 특정 운영체제에 덜 의존적이라는 것이다 또한 이는 특정 보안 위협에 속하, .

지 않는 권한 남용 등의 감사 사건에 대한 분석을 쉽게 한다는 장점을 지닌다 반면 정보.

시스템에 대한 학습기간에 따라서 높은 오판율을 지닐 수 있다는 단점이 있으며 시스템 프,

로파일의 잘못된 갱신으로 인하여 보안위반 목록을 포함하게 될 때 해당 보안위반 사건에

대한 분석을 간과하게 될 소지가 있다[2].

- 58 -

항목 적용 예3)

보안위반 분석 기능을 수행하기 위한 비정상적 행위 분석 기법은 구현된 침입탐지 시스템의

구조에 따라 적절한 기법이 적용될 수 있다 이들 기법은 항목과 마찬가지로 축약 감사. 5, 6

데이터 생성을 위한 감사데이터 수집 방식에 따라 적용된다기 보다는 해당 보안 사건에 대,

한 효율적인 비교 판단과 정확도에 의존하기 때문에 호스트 기반의 침입탐지시스템과 네트,

워크 기반의 침입탐지시스템 모두에 동일하게 적용된다.

통계적인 자료에 근거한 기법은 통계적으로 처리된 과거의 경험 자료를 기준으로 특별한 행

위 또는 유사 사건으로부터의 이탈을 탐지하는 방법으로써 그림 은 이를 이용한 보안, [ 2-7]

위반 분석을 보인다 그림에서와 같이 통계적인 자료에 근거한 기법은 통계적으로 처리된.

자료를 근거로 특정 감사 사건으로부터의 이탈을 방지하며 이를 위해서 사용한 시간, CPU ,

로그인 시간 파일 접근 횟수 등에 대한 프로파일을 생성하고 갱신한다 즉 사용자의 행위, . ,

를 학습하여 이를 적용하며 생성된 프로파일에 대한 주기적인 관찰로 해당 감사 사건의 비,

정상유무를 판단하는 기법이다[4].

그림 통계적인 자료에 근거한 기법[ 2-7]

- 59 -

예측 가능한 패턴 생성 기법은 감사 사건 간의 상호 관계와 순서를 설명하고 각각의 감사,

사건에 시간을 부여하여 기존에 설정된 보안위반 시나리오와 비교하여 보안위반을 분석하는

방법이다 그림 은 이를 이용한 보안위반 분석을 보인다 그림에서 부터 는 각각. [ 2-8] . E1 E5

의 감사사건을 의미하며 이미 일어난 감사 사건을 기반으로 예측 가능한 확률을 규칙으로,

표현한다 이때 낮은 확률은 제거되고 높은 확률 규칙만 남기 때문에 변화에 민감하며 이. , ,

를 통한 감사 사건의 비정상유무를 판단하게 된다[4].

사용자의 행위는 매우 복합적일 수 있기 때문에 사용자의 과거 행위와 감시된 행위가 일치,

하는가를 판단하기란 매우 어렵다 거짓 알람 은 통계적 알고리즘이 만드는. - (false-positive)

감사 자료의 분포에 대한 가정이 사용되지 않기 때문에 발생되며 잘못된 발견은 순수 통계,

적 근거를 이용한 기법에서는 정상적 행동과 보안 위반을 판별하는 능력이 부족하기 때문에

발생한다 때문에 보안위반 분석에 대해 신경망을 사용한 기법이 소개되었으며 그림. , [ 2-9]

는 이를 이용한 보안위반 분석기법을 보인다[4].

그림 예측 가능한 패턴 생성 기법[ 2-8]

- 60 -

그림 신경망 기법[ 2-9]

비록 신경망의 사용이 보안위반 분석 기능을 촉진시킬 것으로 보이지만 초기 실험 결과는,

단순히 통계적 분석을 개선하는 쪽만이 지적되었다 왜냐하면 통계적 분석은 예외성과 관련.

된 감사 사건에 제시되는 측정요소에 대해 정보를 제공할 수 있기 때문이다 신경망의 해석.

정보를 얻기 위한 방법 발견은 현 인공지능 사회의 연구 이슈이다.

지금까지의 예에서 알 수 있듯이 시스템 프로파일과 축약 감사데이터생성 기능으로부터 수,

집된 축약 감사데이터를 비교하여 해당 축약감사데이터가 보안위반인지 아닌지의 여부를,

판정할 수 있는 비교 판단기능은 여러 가지 기법에 의해서 제공될 수 있으며 침입탐지시스, ,

템은 수집되는 축약 감사데이터의 특성에 따라 보안위반 분석을 위한 보다 효율적인 방식을

채택하여 수행하여야 할 것이다 즉 항목은 항목과 마찬가지로 침입탐지시스템에서. , 8, 9 5, 6

모니터링되는 감사 사건에 대한 정확하고 효율적인 분석을 제공하기 위해서 구현된 침입탐,

지시스템이 해당 시스템에 적합한 분석 기법을 제공해야 함을 요구한다.

참고문헌2.3.

한국정보보호센터 대규모 전산망에서의 침입탐지를 위한 기본시스템 개발에 대한 연구[1] , ,

Dec., 1997.

- 61 -

[2] Herve Debar, Marc Dacier and Andreas Wespi, Towards a Taxonomy of

Intrusion-Detection Systems, IBM Research Report RZ 3030 (#93076), June 1998.

[3] Katherine E. Price, Host-based Misuse Detection and Conventional Operating

Systems Audit Data Collection, Purdue University, December 1 997.

[4] Sandeep Kumar, Classification and Deteciton of Computer Intrusions, Purdue

University, August, 1995.

[5] Aurobindo Sundaram, An Introduction to Intrusion Detection, 1995.

[6] D. E. Denning, "An Intrusion Detection Model", In Proceedings of the IEEE

Symposium on Security and Privacy, 1986.

- 62 -

보안감사 대응3.

개요3.1.

보안감사 대응은 탐지된 침입으로 판단되는 보안위반 사건에 대해 침입탐지시스템이 지정된

규칙에 따라 대응 조치를 취하는 것을 의미한다 침입탐지시스템의 일차적인 목적에 따라.

침입이 탐지되면 이에 대한 정보를 즉시 관리자에게 통보하거나 설정된 규칙에 의해서 보안

위반 사건 정보를 저장하고 침입의 대상이 되는 시스템을 보호하기 위한 조치를 취할 수 있

어야 한다.

보안위반 사건을 관리자에게 알리는 기능으로는 관리 인터페이스를 통한 실시간 경보 호출,

기나 여타 무선 통신장비를 이용한 관리자 호출 또는 전자메일을 이용한 보안 감사 정보 전

달 등이 있을 수 있다 특정보안위반 사건에 대한 관리자 통보 방법의 결정은 해당 보안 사.

건이 갖는 민감도에 따라 다르게 결정될 수도 있다.

보안위반 사건 정보의 저장은 침입탐지시스템이 생성하는 상태정보 축약 감사 정보와 같은,

기록 정보와는 달리 별도로 관리될 필요가 있으며 보안위반 사건 정보는 명백한 침입으로,

판단되는 정보들에 대한기록이다 보안위반 사건 정보의 항목으로는 기본적으로 보안위반.

사건발생 시각 보안위반 사건행위 주체 흑은 사건행위의 근원지 보안위반사건의 대상 보, , ,

안위반 사건의 형태가 기록되어야 한다.

침입탐지시스템은 수동적인 탐지 기능뿐만 아니라 수준 높은 보안기능의 실현을 위해서 보

안위반 사건의 대상이 되는 시스템 흑은 서비스 및 사용자에 대한 보호 조치를 취할 수도

있다 이와 같은 기능의 예를 들면 침입탐지시스템은 진행중인 침입 세션의 강제적인 종료. ,

가 있다 또한 호스트기반 침입탐지시스템의 경우에는 프로세스의 강제적 종료 서비스 접. , ,

근 제어 등의 기능이 있다.

단 보안감사 대응 기능은 침입탐지시스템이 결과를 산출할 가능성에 대해서, false positive

대비하여야 한다 이 경우 명확한 탐지가 아닐 경우에 대비한 관리자의 개입이 필요하다. , .

- 63 -

다음절에서 보안감사 대응 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목의 예를

제공한다.

보안 기능 요구사항 해설3.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목3.2.1.

본 단원에서는 보안감사 대응 기능 제공을 위하여 정의된 보안 기능요구사항 항목들을 기술

한다 기술된 보안 기능 요구사항 항목들은 절의 등급별 보안 기능 요구사항에 기술된 모. 2

든 항목들을 포함하며 보안감사 대응 기능의 제공을 위하여 정의된 보안 요구사항 항목들,

은 다음과 같다.

10 보안감사대응기능에서는보안위반의가능성및사실을탐지하였을경우 다음의,각항을자동으로실행할수있어야한다.

10-1 관리자에게 통보1.

10-2 보안위반 사건 정보의 저장2.

10-3 시스템 보호를 위한 대응행동의 수행3.

10-4 보안위반 사건 관련 상세 정보의 저장4.

관련 평가 등급3.2.2.

본 단원에서는 보안감사 대응 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급별

요구 사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 3-1] .

- 64 -

표 보안감사 대응 기능과 평가 등급과의 상관 관계[ 3-1]

평가

등급

기능항목

K1 K2 K3 K4 K5 K6 K7

10

10-1 ○ ○ ○ ○ ○ ○ ○

10-2 ○ ○ ○ ○ ○ ○ ○

10-3 ○ ○ ○ ○ ○ ○

10-4 ○ ○ ○ ○

보안 기능 항목별 상세 해설3.2.3.

본 단원에서는 보안감사 대응 기능 제공을 위하여 정의된 기능 항목들의 정의 목적과 항목

해설 그리고 적용 예에 대하여 상세 기술한다, .

항목3.2.3.1. 10

10 보안감사 대응 기능에서는 보안위반의 가능성 및 사실을 탐지하였을 경우 다음의,각항을자동으로실행할수있어야한다.

10-1 관리자에게 통보1.

10-2 보안위반 사건 정보의 저장2.

10-3 시스템 보호를 위한 대응행동의 수행3.

10-4 보안위반 사건 관련 상세 정보의 저장4.

정의 목적1)

보안감사 대응 기능은 감사 기록에 대한 분석을 통하여 보안위반 사건을 탐지하였거나 잠재

적인 보안위반의 가능성을 감지하였을 경우 이에 대한 대응행동 방식에 대하여 정의하고,

있다 보안감사 대응 기능은 침입탐지시스템이 보안위반 사건의 탐지 시에 수행할 수 있는.

능동적인 행동 방식을 의미하며 사건에 대하여 관리자 통보 사건과 관련된 기록된 증거의, ,

수집 시스템 보호를 위한 대응 행동의 수행 등의 대응행동 방식을 통하여 시스템의 신뢰도,

를 향상하는데 목적이 있다.

- 65 -

항목 해설2)

본 단원에서는 보안감사 대응 기능으로 본 항목에 정의되어 있는 각 호에 대하여 기술한다.

관리자에게 통보10-1 1.◈

침입탐지시스템이 탐지된 보안위반 사건을 관리자에게 통보함으로써 관리자는 이에 대해 명

확한 침입여부를 판단하여 조치를 내리거나 침입이 아닌 것으로 판정될 만한 근거를 발견한

다면 이 사건을 무시할 수 있다 즉 의심스러운 보안위반 사건들은 기본적으로 관리자에게. ,

어떤 수단을 통해서든 알려져야 하며 침입탐지시스템이 자체적으로 판단할 수 없는 사건들,

에 대해서는 관리자의 조치를 받아야 한다 은 침입탐지시스템이 이러한 기능을 기본. 10-1

적으로 갖추어야 함을 요구하는 항목이다.

보안위반사건 정보의 저장10-2 2.◈

본 항목은 보안감사 대응 기능에서 탐지된 보안위반 사건의 정보를 기록 및 저장하는 기능

에 대해서 정의하고 있다 보안위반 사건의 기록은 명확한 증거 자료를 남김으로써 관리자.

에 의한 분석 및 대응 조치를 가능하게 한다 또한 이는 통계 자료로 활용되어 보안 정책의. ,

수정에 적용될 수 있다.

시스템 보호를 위한 대응행동의 수행10-3 3.◈

본 항목은 보안위반 대응 기능에서 보안위반 사건의 대상이 되는 시스템을 보호하기 위해

침입탐지시스템이 자체적으로 수행하는 대응행동에 대해서 정의하고 있다 침입탐지시스템.

의 보안위반 사건에 대한 자체적인 대응 행동을 통해 보안위반 사건의 피해를 줄이고 그 조

기에 피해 범위가 더 이상 확산되는 것을 방지하여 큰 재난으로부터 시스템을 보호하기 위

한 기능이다.

- 66 -

보안위반 사건 관련 상세 정보의 저장10-4 4.◈

본 항목은 보안감사 대응 기능에서 탐지된 보안위반 사건의 정보를 침입탐지시스템의 자체

적인 기록활동 이외의 분리된 메커니즘을 이용하여 산출되는 정보들의 기록 및 저장 기능을

정의하는 항목이다 침입탐지시스템에서 얻어진 보안위반 사건 정보 이외의 보안위반 사건.

의 기록은 명확한 증거 자료나 추적정보 활동 정보 활동 양식 등을 남김으로써 더욱 심화, ,

된 침입 분석 및 대응 조치를 가능하게 한다.

항목 적용 예3)

본 단원에서는 보안감사 대응 방식으로 정의된 항목의 각 호의 적용 예에 대하여 기술한다.

관리자에게 통보10-1 1.◈

보안감사 대응 기능에서 보안위반 사건을 관리자에게 통보하는 방식은 그 통보 형태에 따라

크게 실시간 통보와 비 실시간 통보로 나눌 수 있으며 이들 내부에서 다시 몇 가지 방식으,

로 나뉠 수 있다.

가 관리 및 감시 메커니즘을 통한 실시간 통보)

침입탐지시스템 관리자나 보안 관리자가 침입탐지시스템의 감시 및 관리를 위한 사용자 인

터페이스를 통해 침입탐지시스템을 지속적으로 감시할 수 있거나 침입탐지시스템과 가까운

거리에서 감시 업무를 수행할 수 있는 상황에서 적절한 통보 방식이다 침입탐지시스템이.

관리자에게 보안위반 사건을 통지할 수 있는 방법으로는 관리자의시각을 통한 통지와 청각

을 통한 통지가 있을 수 있다.

- 67 -

침입탐지시스템에서 침입탐지시스템 관리자 흑은 보안관리자의 시각과 청각을 통해 직접적

으로 정보를 전달하는 이 방식은 침입탐지시스템의 관리자에게 가장 빠르게 보안위반 사건

을 통지할 수 있는 방식이다.

◆ 침입탐지시스템의 사용자 인터페이스를 통한 경고 메시지 전달 를 통한 사용자 인터: GUI

페이스의 경우에 해당되는 방식이며 보안위반 사건을 알리는 경고창의 생성이나 침입탐지,

시스템의 사용자 인터페이스 상의 그래픽의 변화를 통해서 관리자에게 보안위반 사건을 알

리는 방식이다 관리자에게 사용자인터페이스 상의 변화와 동시에 보안위반 사건과 관련된.

요약정보를 함께 보여줄 수도 있다.

◆ 경고음을 통한 보안위반 사건 발생 통지 원격 관리 및 감시를 위한 사용자 인터페이스:

가 제공되는 경우나 침입탐지시스템이 설치된 호스트 상에서 감시 및 관리를 위한 인터페이

스를 제공하는 경우에 각 감시 및 관리 인터페이스가 설치된 시스템의 소리 재생 기능을 갖

는 자원을 이용하여 보안위반 사건을 관리자에게 통보하는 방식이다 이 방식에서는 미리.

녹음된 음성메시지를 이용하여 탐지된 보안위반 사건에 대한 간략한 내용을 관리자에게 전

달할 수도 있다.

나 관리자와 통신할 수 있는 통신 매체를 이용한 실시간 통보)

관리자와 통신할 수 있는 통신 매체를 이용한 실시간 통보는 관리자가 지속적으로 침입탐지

시스템을 감시하기 어려운 경우나 관리자가 침입탐지시스템에서 근거리에 위치하지 않은 경

우에 사용되는 통보방식이다 이 방식에서는 관리자가 소지한 통신 장치나 관리자가 구내에.

있는 경우에 구내 방송망을 이용할 수 있다.

- 68 -

실제 업무에서 침입탐지시스템을 관리자가 지속적으로 감시하기는 어려우므로 침입탐지시스

템은 이 방식을 이용한 보안위반 사건을 알릴 수 있어야 한다 관리자와 통신할 수 있는 통.

신 매체를 이용한 실시간 통보의 예는 다음과 같은 방식이 있다 다음의 기능 중 전화망을.

이용하는 통신의 경우 전화서비스 제공자의 부가 서비스를 이용할 수도 있다 단 침입탐지. ,

시스템이 전화망을 이용하여 보안위반 사건을 통지하는 경우 침입탐지시스템이 운용되는,

호스트에는 전화망에 접속할 수 있는 설비가 갖추어져야 하거나 전화망에 접속할 수 있는,

설비가 없는 경우에는 인터넷을 통해 제공되는 전화망 사업자의 부가 서비스를 이용할 수도

있다.

◆ 무선호출기

무선 호출기를 통해 관리자에게 보안위반 사건을 통보하는 기능이다 무선 호출 서비스 사.

업자가 제공하는 문자 메시지서비스를 이용하여 탐지된 보안위반 사건에 대한 간략한 정보

를 전달할 수 있다.

◆ 휴대 전화기

휴대전화기를 통해 관리자에게 보안위반 사건을 통보하는 기능이다 무선호출기의 경우와.

마찬가지로 휴대전화 서비스사업자가 제공하는 문자 메시지 전달 서비스를 이용하여 탐지된

보안위반 사건에 대한 간략한 정보를 전달할 수 있다.

◆ 유선전화기

관리자와 직접 통화가 가능한 유선 전화를 이용해 보안위반사건을 통보하는 기능이다 사전.

에 침입탐지시스템에 녹음된 음성메시지를 이용하여 탐지된 보안위반 사건에 대한 간략한

정보를 전달할 수 있다.

- 69 -

◆ 구내 방송

관리자가 구내에 위치하였을 때 구내 방송 매체를 이용하여 관리자에게 보안위반 사건을,

통보하는 기능이다 침입탐지시스템에 미리 녹음된 음성 메시지를 이용하여 관리자에게 보.

안위반 사건에 대한 간략한 내용을 전달할 수도 있다 이 기능을 위해서 침입탐지시스템은.

구내 방송망을 이용할 수 있는 별도의 장치가 필요하다.

다 전자우편을 이용한 비 실시간 통보)

관리자가 실시간 경고를 통지 받을 수 없는 경우에 전자우편을 이용하여 관리자에게 탐지된

보안위반 사건에 대한 정보를 전달하는 기능이다 중요도가 낮은 보안위반 사건을 알리거나.

보안위반 사건에 대하여 실시간 통보보다 세부적인 정보를 전달하여 관리자가 전자우편 확

인을 통해 보안위반 사건을 세부적으로 분석하거나 따로 저장해 하도록 하기 위한 부가적

통보 기능으로 사용되기도 한다 이 기능을 통해 보안위반사건 정보에 대한 사본을 남김으.

로써 보안위반 정보에 대한 백업 기능을 겸비할 수 있다[5].

보안위반 사건 정보의 저장10-2 2.◈

보안위반 사건 정보 항목에는 보안위반 사건의 정보의 파악과 분석을 위해 최소한 다음과

같은 항목이 포함될 것을 권장한다 또한 이는 통계 자료로 활용되어 보안 정책의 수정에. ,

적용될 수 있다[1].

◆ 보안위반 사건의 형태

탐지된 보안위반 사건이 어떠한 종류의 보안위반 사건인지를 나타내는 항목이다.

- 70 -

◆ 보안위반 사건의 발생시간

탐지된 보안위반 사건이 발생한 시간을 나타내는 항목이다 일반적으로 보안위반 사건 발생.

시각은 침입탐지시스템이 설치된 호스트의 시스템 시간을 기준으로 한다 다수의 호스트를.

이용한 분산 방식의 침입탐지시스템의 경우나 단일 호스트를 이용한 침입탐지시스템에서도,

정확한 정보의 저장과 사건 분석을 위해 사전에 감시 대상 네트워크 내에 설치된 각 호스트

들의 시간을 동기화 시키는 작업이 필요하다.

◆ 보안위반 사건 주체

탐지된 보안위반 사건의 행위 주체를 나타내는 항목이다 일반적으로 보안위반 사건의 대상.

호스트에 접근하거나 대상호스트의 서비스를 이용하는 호스트의 주소 흑은 사용자 정보가,

된다.

◆ 보안위반 사건의 대상 시스템

일반적으로 네트워크 기반의 침입탐지시스템에서 탐지된 유효한 항목이며 보안위반 사건의,

대상이 되는 시스템 호스트를 나타내는 항목이다/ .

◆ 보안위반 사건의 대상 서비스 포트번호를 포함하기도 한다( .)

침입탐지시스템에서 탐지된 보안위반 사건과 관련된 서비스에 대한 정보 항목을 나타낸다.

이 정보를 바탕으로 해당 서비스의 강제 종료 서비스 포트의 차단 서비스에 대한 접근정책, ,

수정 등 침입탐지시스템에서 대상 시스템 보호를 위한 후속조치를 취하는데 사용될 수 있

다.

- 71 -

◆ 보안위반 사건의 프로세스명 프로세스 번호를 포함하기도 한다 일반적으로 호스트 기반의( .)

침입탐지시스템에 유효한 항목이며 탐지된 보안위반 사건과 관련된 프로세스의 정보에 대,

한 항목을 나타낸다 또한 프로세스 번호나 자원 점유율 관련 있는 시스템자원 등 프로세. , ,

스에 대한 정보들을 포함하기도 한다 이 정보를 바탕으로 침입탐지시스템에서 대상 시스템.

보호를 위한 후속조치를 취하는 데 사용될 수 있다 해당 프로세스의 강제 종료 등( ).

◆ 보안위반 사건의 등급

보안위반 사건의 종류에 따라 그 심각성이나 위험성을 나타내는 항목이나 이 등급 값은 침.

입탐지시스템 설계자나 개발자가 그들의 연구나 조사를 바탕으로 설정되는 수도 있으며 침,

입탐지시스템의 관리자가 침입탐지시스템이 운용되는 환경의 특성에 맞게 설정할 수도 있

다 일반적으로 등급이 높은 보안위반 사건은 타 보안위반사건들과 구분하여 다루어진다. , .

또한 이러한 등급에 따라 침입탐지시스템에서 수행하는 후속조치 관리자 통보 사용자 계정, ( ,

차단 세션 단절 등 더 이상의 위험이 진전되는 것을 방지하기 위한 활동 가 서로 다르게, )

책정될 수 있다.

시스템 보호를 위한 대응행동의 수행10-3 3.◈

보안위반 사건에 대해 시스템을 보호하기 위한 대응 행동을 위해 침입탐지시스템은 대응 행

동을 정의하기 위한 규칙을 설정할 수 있어야하며 보안위반 사건 발생 시 정의된 대응 행,

동 규칙에 의해서 침입탐지시스템은 시스템 보호를 위한 기능을 수행하여야 한다 단 보안. ,

위반 사건이 명확한 침입행위가 아닌 경우 시스템 보호를 위한 대응 행동이 정당한 사용자,

나 시스템에 대해 불이익을 줄 수 있는 가능성이 존재하므로 명확하지 않은 보안위반 사건

에 대해서는 관리자의개입을 필요로 한다던가 하는 조치가 있어야 한다.

- 72 -

보안위반 사건에 대해 침입탐지시스템에서 보안위반 사건의 대상이 되는 시스템 보호를 위

해 자동적으로 대응할 수 있는 행동은 다음과 같은 것을 예로 들 수 있다.

가 통신 세션의 강제 종료)

침입자가 단순한 의도를 갖거나 특별한 목적이 없는 것이 아니라 침입목표를 명확히 세워두

고 지속적으로 침입을 시도하는 경우 세션의 강제종료 방식에서는 후속 조치가 없는 이상,

단지 공격자의 공격을 얼마간 지연시키는 역할만 할 뿐이다 따라서 통신 세션의 강제 종료. ,

이후에 관리자에 의한 서비스 접근 정책의 변경이나 외부 침입차단시스템 스크리닝 기능이,

있는 라우터나 게이트웨이의 정책 변경 등의 후속조치가 취해질 필요가 있다.

의 조작된 이용하여 진행중인 통신 세션을 강제로 종료시킬 수 있다TCP RST packet . RST

은 통신 연결을 요청한 측에 보낼 수도 있으며 즉 침입을 시도하는 측의 호스트 통packet ( ),

신 연결 요청의 대상이 되는 시스템 즉 침입의 대상이 되는 호스트 에 보낼 수도 있다 두( ) .

가지 방식 모두 현재 진행중인 통신 세션을 강제로 종료시키는 효과를 갖는다 그러나 통신. ,

연결을 요청한 측에 보내는 방식의 경우 공격자는 자신이 사용하는 시스템의 스택TCP/IP

에서 을 무시하도록 임의로 변경하여 세션의 강제 종료를 회피할 가능성이 있RST packet

다[1].

통신 세션의 강제 종료 이후 시스템 보호를 확실히 하기 위해서 몇 가지부가 기능을 수행할

수도 있다 예를 들면 보안위반 사건의 주체나 주체가 속한 일정 도메인과 관련된 있는 모. ,

든 세션을 강제 종료 할 수도 있다.

나 프로세스의 강제 종료)

- 73 -

프로세스의 강제 종료는 주로 호스트 기반의 침입탐지시스템에 해당되는 사항이며 보안위,

반 사건과 직접적으로 관련된 프로세스가 침입행위로 판정되는 경우 이를 강제로 종료 시켜

더 이상의 침입행위가 진행되는 것을 막는 것이다.

보안위반 사건의 대상 시스템을 확실히 보호하기 위해서 흑은 다중세션을 이용한 침입행위,

의 진행을 막기 위해서 보안위반 사건의 주체와 관련된 모든 프로세스를 강제로 종료 시킬

수도 있다[1].

다 서비스 접근 제어)

보안위반 사건의 대상이 되는 시스템에서 수행되는 서비스에서 접근제어 기능을 지원하는

경우 해당 시스템에서 서비스 접근 제어 기능을 갖고 있는 경우에 침입탐지시스템은 이 기,

능을 이용하여 보안위반사건의 주체에 대해서 특정 서비스 이용을 막거나 제한하여 더 이상

의 침입행위가 진행되는 것을 막을 수 있다.

보안위반 사건의 대상이 되는 시스템을 확실히 보호하기 위해서 혹은 다중 침입행위의 진행

을 막기 위해서 해당 주체와 관련 있는 모든 서비스의 종료 및 접근 제어 정책 갱신할 수도

있다.

라 탐지 정책의 갱신)

보안위반 사건의 근원지 정보에 따라 연좌제 방식의 정책 적용 이에 대한 룰이 따로 필요,

하다 침입탐지시스템에서 보안위반 사건을 발생시킨 주체나 주체가 속한 특정 도메인에 대.

해서 탐지 정책을 갱신하여 더욱 서비스 이용에 제한을 둔다거나 더욱 강도 있게 감시동작

을 수행하도록 할 수도 있다.

마 보안위반 사건의 대상 시스템 고립화) (islanding)

외부 주체에 의한 보안위반 사건이 발생한 경우 보안위반 사건의 대상이 되는 시스템이나

대상 시스템이 속한 네트워크와 연결된 게이트웨이 라우터 등의 네트워크 장비의 동작을,

차단시켜 외부와의 연결을 완전히 단절시킨다.

- 74 -

단 선택적으로 내부 서비스만을 지속할 수도 있다 이러한 대응 행위의 결과로 외부 서비스, .

가 중단되어 서비스 거부 문제가 발생할 수 있다 따라서 이러한 대응(denial-of-service) . ,

동작은 외부서비스의 필요성이 적고 고 수준의 보안이 요구되는 시스템의 경우에 적합하다

[1][5].

바 시스템 자체의 서비스 흑은 시스템 운용 중단)

보안위반 사건의 대상이 되는 시스템의 일부 흑은 전체 원격 서비스를 중단 시키는 방식의

대응 행동이다 극단적으로 보안위반 사건의 대상이 되는 시스템의 전원을 완전히 차단시켜.

시스템 운용을 중단시킬 수도 있다 이러한 대응 방식은 외부에 제공되는 서비스뿐만 아니.

라 내부에 제공되는 서비스들에 대해서도 서비스 거부 문제를 발생시킬(denial-of-service)

수 있다 따라서 이러한 대응 방식은 서비스 가용성에 대한요구가 높지 않으며 고 수준의. ,

보안이 요구되는 시스템의 경우에 적합한 방식이다 그리고 공식적인 업무 시간 외의 보[1]. ,

안위반 사건에 대한 대응책으로 적용할 수도 있다.

사 위장 정보의 전송)

주로 침입자들에 의해서 침입을 위한 사전 정보수집 행위로 시행되는 스캐닝에 대하여 침입

탐지시스템에서 위장된 응답을 전송하여 침입자가 잘못된 정보를 수집하도록 한다 이러한.

대응 방식에서는 일만 특정서비스 포트들이 침입차단시스템이나 스크리닝 기능이 있는 라,

우터 게이트웨이의 정책에 의해서 닫혀 있는 상태이며 침입탐지시스템이 외부 네트워크와, ,

침입차단시스템에 의해서 보호되는 내부 네트워크의 사이에 위치하여 있는 상태를 전제로

한다 어떤 침입자에 의해서 스캐닝이 시도되고 있고 침입탐지시스템에서 이를 탐지하는[1]. ,

경우 닫힌 서비스 포트로 전달된 에 대해서 침입탐지시스템이 목적지호스트를, SYN packet

대신하여 으로 응답하여 침입자는 스캐닝대상 포트에서 서비스가 제공되SYN/ACK packet

고 있는 것으로 오판하게 된다.

- 75 -

이후 공격자는 해당 서비스 포트로 다른 공격을 실시하지만 실제로는 침입차단시스템에 의,

해서 서비스 제공이 차단되고 있으므로 침입자는 자신이 목표한 바를 실현할 수 없다.

아 침입차단시스템이나 스크리닝 기능이 있는 라우터 및 게이트웨이와 연동)

보안위반 사건이 발생한 경우 침입탐지시스템은 이의 주체에 대한정보와 보안위반의 대상이

되는 호스트 정보 서비스 정보를 상호연동이 가능하도록 설정된 침입차단시스템이나 스크,

리닝 기능이 있는 라우터 흑은 게이트웨이에 전달하여 이들의 접근 정책 수정을 통해 보안

위반 사건의 주체나 주체자 속한 도메인에 대해서 대상 호스트 및 호스트의 서비스로 더 이

상의 접근을 차단하도록 한다.

자 보안위반 사건 주체 호스트로의 패킷 전달 금지)

일반적인 침입에서 침입자는 대상 호스트로 다수의 세션을 연결하여 침입을 진행하므로 통

신 세션의 강제 종료 방식의 대응 기능은 별도의 후속 조치 없이는 지속적인 침입 시도에

대해서 효과적인 대책이 되기 어렵다 또한 방식처럼 침입자의 호스트가 클라이언트. , telnet ㆍ

측이 되고 침입 대상 호스트가 서버 역할을 수행하는 방식과는 달리 세션은 이미X-window

침입이 진행중인 대상 호스트에서 침입자의 호스트로 세션을 연결하는 방식이므로 침입 대

상 호스트가 클라이언트 측이 되며 침입자의 호스트가 서버 측이 된다 이러한 경우에는 내.

부의 침입 대상호스트에서 외부를 향해 맺어지는 세션을 금지시키는 것이 효과적인 대안으

로 사용될 수 있다 내부 호스트에서는 침입자의 호스트로 어떠한 패킷도 전달하지 않으[1].

므로 침입자가 다른 호스트로 이동하거나 스푸핑을 사용하지 않는 이상 더 이상 침입 행위

를 진행시킬 수 없다 그리고 사전에 명시적으로 신뢰되는 대상을 제외한 외부 호스트로의. ,

연결 이외의 모든 패킷 전달을 막도록 설정하는 경우 이러한 방식은 더욱 효과적인 대응책,

이 된다.

- 76 -

보안위반 사건 관련 상세 정보의 저장10-4 4.◈

보안위반 사건의 분석에 전형적인 침입탐지시스템의 자체적인 보안위반 분석 기능에는 심화

된 세부 정보 수집 및 분석에 한계가 있다 이러한 한계에 의해 특정 공격자들 흑은 도메인.

영역에서의 공격 형태들에 대한 장기적인 공격 형태나 공격 방법들을 분석하여 공격 주체가

이루고자하는 최종 공격 목적을 분석하거나 새로운 공격 패턴의 분석 흑은 공격위치나 공, ,

격자에 대한 정보 수집하는 것은 기본정보의 분석으로는 어려운 일이다 이러한 이유로 적.

극적인 대응의 일환으로 보안위반이 발생되었다고 판단될 때 별도의 정보수집을 수행할 필

요가 있다.

일반적으로 이러한 세부 정보 수집에는 침입탐지시스템의 고유 기능과는 별도로 분리된 시

스템을 이용하여 정보를 수집하는 경우가 있으며 대표적인 예로 이, 'trap and trace system'

있는데 이는 일반적으로 이라고 불린다'honey pot' .

가) Honey Pot

을 간략하게 정의하면 미끼로 사용되는 단일 시스템이나 시스템들로 구성된 네Honey pot

트워크이다 미끼라 정의되는 이유는 이러한 시스템을 이용하여 공격자들이 관심을 가질만.

한 위조된 정보들과 취약점을 고의로 노출시켜 놓거나 마치 중요한 서버나 네트워크로 가장

하여 공격자들이 우선적인 침입 목표로 삼도록 하기 때문이다 은 적용 환경 및. Honey pot

용도 의 구성 특성에 따라 그림 과 같이 조직 네트워크의 외부 혹은, honey pot [ 3-1] , DMZ

영역 주요 네트워크의 내부에 설치할 수 있다, [1][4][6].

- 77 -

그림 구현 방식별 의 설치 예[ 3-1] honey pot

침입자들은 일반적으로 에 침입하기 위해 흑은 침입 성공이후에 다양한 활동을honey pot ,

하게 되며 이러한 활동 동안 은 침입자들에 대한 정보를 수집하고 수집된 정보를, honey pot

바탕으로 침입자시스템의 위치 정보나 침입자가 사용하는 시스템이 속한 네트워크 등을 알

아내는 것을 목표로 한다 또한 단순히 침입자를 속여서 침입자가 실제 중요한 네트워크의. ,

존재를 파악하지 못하도록 하거나 중요네트워크에 어떠한 피해를 입히지 못하도록 하는 목

적도 갖는다 한편으로 을 통해 수집된 침입자의 정보들은 침입탐지시스템이나 여. honey pot

타 다른 보안시스템의 정책을 갱신하는데 유용하게 사용될 수 있다 요약하면 일반적으로. ,

을 사용하는 가장 큰 이유는 다음과 같다honey pot .

◆ 침입자가 목표 시스템에 침입하거나 무력화 시키기 위한 시도나 사전 정보 수집 등의 활

동을 어떻게 수행하는가를 관찰하고 분석하기 위해서 사용된다 이 정보들은 침입자들의 유.

형과 행동 양식들을 연구하는 데 중요한 기초 자료로 활용될 수 있으며 새로운 공격 형태,

의 발견과 침입자들의 행위에 대한 대응책을 수립하는 정보로 활용된다.

- 78 -

◆ 침입자에 대한 정보와 침입자에 대한 증거 자료를 수집하여 신분이 밝혀진 침입자에 대한

사법 처리에 필요한 증빙 자료로 활용하기 위해서 사용된다 침입자들에 대한 법적인 대처.

는 수동적인 방어 위주의 보안에서 침입자에 대한 능동적으로 실제적인 사법처리를 통해서

잠재적인 침입자들에 대해 일종의 경고로써의 효과를 가질 수 있다 그러나 집단적으로 활. ,

동하는 침입자들이나 일종의 공동체를 형성하고 있는 침입자 집단들은 테러리스트적인 성,

향이 강하므로 이들의 보복행위에 대해 완벽하게 대처할 수 있어야 한다는 전제가 필요하

다.

앞서 언급한 바와 같이 으로는 네트워크의 일부를 사용할 수도 있으며 단일 호스honey pot ,

트를 이용할 수도 있다 단 다음과 같은 사항을 만족하여야 효과적인 을 구성할. , honey pot

수 있다[1].

◆ 으로 사용되는 시스템이나 네트워크는 가능한 한 침입자들의 의심을 사지 않Honey pot

도록 일반적인 시스템이나 호스트처럼 보여져야 한다 예를 들면 만일 시스템으로. , honey

을 구성할 경우 보통의 시스템이 가지고 있는 파일 계층 구조와 파일명 프로세스 동작pot , ,

형태 장치명에 의한 장치 식별자 등과 또한 각 에 특성적인 요소들도 고려하여 구성하, , 0S

여야 한다 단 특별한 경우에 효과적으로 침입자들의 관심을 끌기 위하여 중요한 응용서비. ,

스들 등 을 운용하거나 저가의 시스템을 고가의 특별한 시스템 고가의 병렬처리 시(DBMS ) (

스템 등 으로 위장할 수도 있다 그러나 침입자의 의심을 살만한 어설픈 위장은 오히려 역) . ,

효과를 가져온다.

- 79 -

네트워크를 구성할 경우에도 역시 마찬가지로 각 네트워크 장비들이나 네트워크Honey pot

에 연결된 호스트들에 설정된 네트워크 구성 정보의 일관성 등에 유의하여야 하며 특수한,

탐지장치나 탐지시스템이 운용되고 있다는 사실이 드러나서는 안 된다 즉 네트워크 인터페. ,

이스가 로 동작하는 경우 이를 다른 시스템에서 탐지가 가능하다 따라promiscuous mode .

서 이러한 시스템을 사용하고 있다는 사실이 드러나지 않도록 주의가 필요하다, .

◆ 내부에서 침입자들로 전달되는 통신 흐름 중 어떠한 내용을 허가할 것인가를 결정하는 데

에도 주의가 필요하다 만약 침입차단시스템이 설치된 네트워크 내부에 이 설치. , honey pot

된 경우에 이러한 제어를 효과적으로 할 수 있으나 반면에 침입자는 이미 침입차단시스템,

을 경유하여 내부 네트워크와 연결된 에 접속하여 있는 상태이므로 자honey pot honey pot

체가 다른 시스템들을 공격하기 위한 시작점 역할을 하지 않도록 주의하여야 한다 단일 시.

스템을 이용하여 을 구성하는 경우에는 해당 시스템의 운영체제에서 제공하는 네honey pot ,

트워크 제어 서비스를 이용하여 외부로 유출되는 통신 흐름을 제한할 수도 있다.

◆ 이 실제 중요 네트워크와 별개로 설치된 경우 에 침입자들을 유인하Honey pot , honey pot

기 위해서 가짜 정보들을 두거나 이 마치 중요 네트워크의 내부에 있는 것처럼honey pot

위장하여야한다 침입자들이 관심을 가질만한 자원들을 효과적으로 배치하여 침입자들이 가.

능한 많은 시간을 에서 소비하도록 만들어야 한다 침입자들의 활동 시간이 길수honey pot .

록 수집될 수 있는 정보들은 더욱 늘어나며 때에 따라서는 침입자들을 추적할 수 있는 시,

간을 벌 수 있다.

- 80 -

를 사용하는 인터넷 상에서 과 프로그램은 패킷의 근원지를 추적하기TCP/IP ping traceroute

위해 유용한 도구이다 즉 의 결과가 성공적이라면 에 의해 패킷의 경로를. , ping , traceroute

거슬러 올라가는 식 프로토콜의 특성상 이 경로는 반드시 일치하지는 않는다 으로 근원(IP .)

지를 추적할 수 있다 또한 를 이용하여 공격 근원지네트워크의 관리자나. , whois service ISP

에 대한 정보를 얻을 수도 있다 그러나 지능적인 침입자들은 이러한 정보를 위조하거나 자. ,

신이 추적당하고 있다는 사실을 알 수도 있다는 점에 유의하여야 한다 경우에 따라서는 대.

충의 근원지가 되는 네트워크 관리자의 협조를 얻는 식의 추적 방식을 이용하는 것off-line

이 침입자가 눈치채지 못한 상태에서 침입자의 위치를 파악할 수 있다 그러나 추. , off-line

적 방식은 침입자 개인에 대한 정보를 요구하는 사항이므로 법적으로 문제를 일으킬 소지가

있다는 사실에 유의하여 적법한 절차를 통해 허가를 받은 상태에서 진행되어야 한다.

한편으로 을 사용할지 여부를 결정하는 데에도 주의하여야할 사실이 있다 일단, honey pot . ,

어떤 한 침입자가 에 대한 침입 시도결과로 침입이 성공하였다거나 중요한 정보honey pot ,

를 훼손 흑은 얻어내는데 성공하였다고 착각하게 되면 일반적으로 이 사실을 침입자들의,

공동체집단들 흑은 침입자들이 서로의 정보 교류가 가능한 채널을 통해서 유포시키게 되며,

결과적으로 더욱 많은 수의 침입자들이 침입을 시도하게 되고 이들 중의 노련한 침입자에

의해서 의 실체가 드러나는 등 실제 네트워크가 침입자들에 의해 피해를 받을 수honey pot ,

있는 가능성이 증가할 수도 있다는 사실에 유의하여야 한다.

침입자의 상제 정보를 기록하고 경우에 따라서는 추적 기능을 수행하는 의 실제Honey pot

구성 방식과 예는 다음과 같다.

- 81 -

방식* Proxy

방식의 은 네트워크의 입구가 되는 지점 즉 게이트웨이나 침입차단시스템Proxy honey pot ,

과 함께 위치하거나 이들에 통합되기도 한다 외부와 내부 간의 통신 흐름은 방식. Proxy

을 반드시 거치게 되며 의 규칙 설정에 따라 통신 흐름에서 추출될 수honey pot , honey pot

있는 모든 행위 정보들이 기록되거나 침입자를 속이기 위해서 어떤 요구에 대한 결과 응답,

이 실제응답과는 다르게 위조되어 전달된다.

방식Dummy System(Empty system)＊

허수아비 시스템 을 이용한 은 특별한 기능을 수행하지 않은 저(dummy system) honey pot

사양의 시스템을 이용하여 일반적인 시스템으로 구성한다 침입자를 안심시키기 위해서 허.

수아비시스템은 최대한 일반적인 시스템의 형식으로 구성되어야 하며 시스템의 훼손을 막,

기 위해 일부 파일 시스템은 읽기 전용으로 설정되거나 과 같이 쓰기 동작이 불, CD-ROM

가능한 저장매체를 이용하기도 한다 단 허수아비 시스템은 시스템 내에서 발생하는 모든. ,

사건이나 네트워크 서비스 요청 등에 대해서 상세한 기록기능을 갖도록 하여 침입자의 행위

들을 기록으로 남긴다.

방식Service Emulation＊

방식의 에서는 각 서비스의 응답을 흉내내는 응용 프로그램을Service emulation honey pot

구성하여 침입자는 실제로 이 서비스를 통해 시스템에 접속하고 해당 응용프로그램의 영역,

내에서만 활동이 이루어지도록 한다 침입자의 어떤 요청에 대해 전달되는 응답 정보들은.

가짜 서버들에 의한 것이다.

- 82 -

예를 들면 모조의 쉘을 제공하여 침입자의 행동이 마치 시스템에 그대로 영향이 미치는 것,

처럼 보이도록 한다 따라서 침입자는 자신의 목적달성을 위해 지속적인 침입 행위를 진행. ,

할 것이며 이 내용들은 에 의해 지속적으로 기록된다, emulator .

참고문헌3.3.

[1] Stephen Northcutt, Network Intrusion Detection - An Analyst's Handbook, New

Riders Publishing, 1999.

[2] CyberCop String, CyberCop, Inc.,

URL ; http://www.cybercop.uk/cybercop/sting/default.htm

[3] Tripwire Inc., Tripwire,

URL ; http://www.tripwire.org

[4] Fred Cohen and Associates, DTK,

URL ; http://www.all.net/dtk

[5] National Info-Sec Technical baseline - Intrusion Detection and Response, Lawrence

Livermore National Laboratory, December 1996.

URL ; http://all.net/joruna1/ntb/ids.html

[6] Recouse Technologies, Inc., ManTrap,

URL ; http://www.recouse.com

[7] IWG Public Interpretation Queue, #0046 Detailed Audit Log Structure

URL ; http://radlum.ncsc.mil/tpep/1ibrary/interps/0046.html

[8] William R. Cheswick, Steven M. Bellovin, Firewalls and Internet Security - Repelling

the Wily Hacker, Addison-Wesley Publishing Company,1994.

- 83 -

신분 확인4.

개 요4.1.

침입탐지시스템에 대한 접근은 침입탐지시스템의 정책의 수정 삭제 추가와 로그 파일의 열, ,

람 등 침입탐지시스템이 적절히 동작하기 위한 중요한 사항들에 대한 접근을 의미하므로,

이에 대한 적법한 관리자들의 접근만이 허용되어야 한다 이와 같은 침입탐지시스템에 대한.

접근제어를 완벽하게 수행하기 위해서 무엇보다 필요한 것이 신분 확인(identification and

이 다 신분 확인이란 침입탐지시스템의 관리 인터페이스를 통하여 침입탐지authentication) .

시스템에 접근을 시도하였을 시에 적법한 관리자인지를 식별 하고 인증(identification) ,

하는 것으로 식별 과정은 관리자 자신이 적법한 관리자임을 시스템에 알리(authentication) ,

는 과정이고 인증은 침입탐지시스템이 관리자로부터 입력된 관리자 정보를 바탕으로 적법,

한 관리자인지를 확인하는 과정이다.

신분확인 기능은 침입탐지시스템의 기본 기능인 침입 탐지 감사 기록 등에 대한 접근을 통,

제하는 기능으로 허가되지 않은 사용자들이 시스템에 접근하지 못하도록 하는 접근 통제 기

능을 수행한다.

인증 메커니즘은 신분 확인 기능에서 가장 기본적인 요소로 일반적인 패스워드 방식 이외에

일회용 패스워드 암호 기법을 이용한 인증 방식 생체 특징을 이용한 인증 방식 등이 다양, ,

하게 사용되고 있다 또한 인증 메커니즘에 필요한 인증 데이터를 관리자 및 침입탐지시스. ,

템이 안전하게 보관하는 방법과 통신망상에서 전송되는 인증 데이터를 불법적으로 복사하여

재사용하는 것을 차단하는 기술에 대한 활용이 요구되고 있다 침입탐지시스템이 주로 인터.

넷 환경에서 사용됨에 따라 스푸핑 을 통한 과 같은IP (spoofing) man-in-the-middle-attack

공격에 의해 관리자가 의도한 시스템이 아닌 다른 시스템에 접속하는 경우가 발생할 수 있

다 따라서 침입탐지시스템이 관리자에 대한 신분을 확인하는 기능 이외에 관리자 입장에서. ,

접속한 침입탐지시스템을 확인 할 수 있는 기능이 필요하다 이와 같이 관리자와 침입탐지.

시스템간의 양방향 인증을 상호 인증이라 한다.

- 84 -

다음절에서 신분확인 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목의 예를 제공

한다.

보안 기능 요구사항 해설4.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목4.2.1.

본 단원에서는 신분 확인기능을 위하여 정의된 보안 기능 요구사항항목들을 기술한다 기술.

된 보안 기능 요구사항 항목들은 절의 등급별 보안 기능 요구사항에 기술된 모든 항목들2

을 포함하며 신분 확인기능을 제공을 위하여 정의된 보안 요구사항 항목들은 다음과 같다, .

11 식별 기능에서는 관리자를 위한 모든 행동 이전에 다음 각 항을 식별할 수 있어야

한다.

11-1 관리자1. ID

11-2 호스트 주소2.

12 인증 기능에서는 식별을 제외한 모든 행동 이전에 관리자를 인증 할 수 있어야 한

다.

13 인증 기능에는 관리자가 인증을 받기 위하여 입력한 비밀 인증 데이터가 입력 시

에 유출되는 것을 방지하는 수단이 제공되어야 한다.

14 인증 기능에는 인증 데이터를 재 사용하는 공격에 대처할 수 있는 수단이 제공되

어야 한다.

15 인증 기능에는 침입탐지시스템에 접근하는 관리자를 상호 인증하는 기능이 있어야

한다.

16 인증 실패 관리 기능에서는 설정된 횟수 이상 연속적으로 실패한 관리자의 인증

시도의 발생을 감지 할 수 있어야 한다.

17 인증 실패 관리 기능에서는 설정된 횟수 이상 연속적으로 실패한 관리자의 인증

시도가 감지되면 접근 시도를 관리자에게 통보할 수 있어야 한다.

- 85 -

관련 평가 등급4.2.2.

본 단원에서는 신분 확인 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급별 요

구 사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 4-1] .

표 신분 확인 기능과 평가 등급과의 상관 관계[ 4-1]

평가

등급

기능항목

K1 K2 K3 K4 K5 K6 K7

11 11-1 ○ ○ ○ ○ ○ ○ ○

11-2 ○ ○ ○ ○ ○ ○ ○

12 ○ ○ ○ ○ ○ ○ ○

13 ○ ○ ○ ○

14 ○ ○ ○ ○

15 ○ ○ ○

16 ○ ○ ○ ○ ○ ○

17 ○ ○ ○ ○ ○ ○

보안 기능 항목별 상세 해설4.2.3.

본 단원에서는 신분 확인 기능 제공을 위하여 정의된 기능 항목들의 정의 목적과 항목 해

설 그리고 적용 예에 대하여 상세 기술한다, .

항목4.2.3.1. 11

11 식별 기능에서는 관리자를 위한 모든 행동 이전에 다음 각 항을 식별할 수 있

어야 한다.

11-1 관리자1. ID

11-2 호스트 주소2.

- 86 -

정의 목적1)

은 신분 확인 기능의 식별 기능에 대하여 정의하고 있다 침입탐지시스템은 시스템으로11 .

의 접근을 요구하는 관리자에 대하여 관리자의 와 관리자가 접근하고 있는 호스트를 통ID

하여 관리자를 식별할 수 있음을 의미한다.

항목 해설2)

침입탐지시스템에서의 식별 기능은 침입탐지시스템에 접근을 시도하는 관리자에 대한 적법

성을 수립하는 방법이다 관리자들은 흔히 관리자 라고 불리는 관리자 식별자를 통하여. ID

침입탐지시스템에 식별된다 관리자 는 침입탐지시스템 내의 데이터베이스에 보관되어 있. ID

고 관리자가 입력한 관리자 와 데이터베이스에 저장되어 있는 관리자 를 비교함으로써ID lD

식별한다 또한 호스트 접근 제어 정책에 따라 관리자가 침입탐지시스템으로의 접근을 시도.

한 호스트의 주소와 포트를 통하여서도 관리자의 적법성 유무를 판단한다 만약 관리자가.

허가되지 않은 호스트나 포트를 통하여 침입탐지시스템으로 접근을 시도한다면 이는 호스트

접근 제어 정책에 위배되므로 접근을 거절한다.

항목 적용 예3)

침입탐지시스템에서의 콘솔을 통한 로그인 시도 시 식별은 그림 과 같이 구성되어진다[ 4-1] .

- 87 -

그림 를 이용한 관리자 식별[ 4-1] ID

먼저 관리자는 관리자 를 관리 인터페이스를 통하여 침입탐지시스템으로 전송한다 침입ID .

탐지시스템에서는 자신이 저장하고 있던 관리자 의 정보와 관리자로부터 입력 받은 관리ID

자 정보를 비교하여 존재하는 관리자 이면 관리자를 식별하고 다음 단계인 인증 단계ID ID

로 넘어간다 그렇지 않다면 침입탐지시스템 접근 실패 메시지를 관리 인터페이스로 전송한.

다.

관리자가 다른 호스트에서 침입탐지시스템으로의 접근을 시도한 경우 식별은 다음과 같다.

먼저 관리자가 접근을 시도한 호스트가 인가된 호스트인지 아닌지를 비교하여 인가된 호스

트인 경우에는 위 그림 과 같은 과정을 수행한다 그렇지 않으면 침입탐지시스템 접근[ 4-1] .

실패 메시지를 관리 인터페이스로 전송한다.

항목4.2.3.2. 12

12 인증 기능에서는 식별을 제외한 모든 행동 이전에 관리자를 인증 할 수 있어야

한다.

- 88 -

정의 목적1)

는 신분 확인 기능의 인증 기능에 대하여 정의하고 있다 침입탐지시스템은 정책에 접근12 .

을 요구하는 관리자에 대하여 인증 절차를 거쳐 인증할 수 있음을 의미한다.

항목 해설2)

인증 기능은 침입탐지시스템에 접근을 시도하는 관리자에 대한 유효성을 수립하는 방법이

다 침입탐지시스템의 관리 인터페이스는 제공받은 인증 데이터에 근거하여 관리자를 인증.

한다 인증 기능은 어떠한 인증 방식을 사용하여 구현되느냐에 따라 그 운용 방법에 있어서.

는 차이를 보일 수 있다 침입탐지시스템의 관리자에 대한 인증은 대표적으로 패스워드를.

사용하는 경우 스마트 카드를 사용하는 경우 암호화 방식을 사용하는 경우 개체의 특성을, , ,

사용하는 경우 등이 있다 패스워드를 사용하는 인증 방식은 사용자 와 패스워드 또는 문. ID

장 사용자 식별 번호 등의 정보의 입력을 요구하여 미리 시스템에 저장되어 있던 정보와,

비교하는 방식으로 인증을 수행한다 스마트 카드를 사용하는 인증 방식은 패스워드를 사[1].

용한 인증 방식이나 암호화를 사용한 인증 사용과 병행하여 사용되는 방식으로 사용자가 스

마트 카드를 삽입하면 그 내부에 저장되어 있던 사용자 식별 번호 을 시스템에 전송하(PIN)

여 시스템에 저장되어 있는 것과의 일치 여부로 사용자를 인증한다 암호화를 사용한[2][3].

인증 방식은 디지털 서명 방식을 이용하여 인증하는 방식과 커버로스 시스템 등(kerberos)

이 있다 그리고 개체의 특성을 사용하는 인증 방식은 개체의 특징적인 것 즉 손등의[4][5]. , ,

실핏줄 모양 홍채 패턴 등을 이용하여 인증을 수행하는 방식이 있다, [6].

항목 적용 예3)

그림 는 패스워드를 사용하는 인증 방식의 구조를 나타내고 있다 침입탐지시스템에[ 4-2] [1].

서 사용하는 패스워드 방식은 일반적으로 에서 사용하는 패스워드 방식과 유사하다UNIX .

- 89 -

에서 사용하는 패스워드 방식은 알고리즘을 사용하여 암호화된다UNIX DES . DES(data

는 년부터 미국 블록 암호 표준으로 사용되어 왔다 는 키를encryption standard) 1979 . DES

사용하여 데이터를 암호화하고 복호화 한다 패스워드는 알고리즘을 번 연속. Unix DES 25

으로 사용하는 방식으로 암호화된다 처음의 라운드는 의 를 입력 값으로 사용. DES 64bit 0

하고 그것을 사용자가 입력한 패스워드를 암호화 키로 이용하여 치환 이 진행, (permutation)

되는 과정 동안에 암호화한다 치환은 가지가 가능하고 치환에 대한 선택은 각 사용자. 4096

에게서 무작위로 선택되어진다 선택되어진 치환은 패스워드 파일 에 저장되어있는 라. 'salt'

불리는 바이트의 코드가 더해져서 코딩 된다 연산의 결과는 같은 치환과 를 사2 . DES key

용하는 다음 라운드 의 입력 값이 된다DES (round) .

이런 과정은 가 번 수행되어 최종 결과 값이 나올 때까지 계속된다 이 결과는DES 25 . 11

바이트의 코드로서 패스워드 파일에 저장된다 그러므로 패스워드 파일에 있는 코드화 된. ,

패스워드 데이터는 처음은 그 다음으로 암호화된 패스워드가 저장되어 총 바이트로salt, 13

구성된다.

이러한 암호화 방법은 암호문만을 가지고 원문을 찾아내는 방식의 공격이 거의 불가능하다.

즉 암호화된 문자열로 만들기는 쉬우나 시스템에서의 모든 와 가능한 키들의 조합을, , Salt

대입해 보는 방법을 제외하고는 암호문에서 원문을 찾아내기란 거의 불가능하다 암호화된.

패스워드를 복호화 하는 것이 불가능한 상태에서의 사용자 로그인 방법은 다음과 같(login)

다 사용자는 앞서 설명되었던 방법을 사용한 의 를 암호화에 사용하게 될 키인 사용. 64bit 0

자의 패스워드를 입력 받아 사용자의 패스워드 파일에서 사용자에 해당하는 를 읽어 들, salt

여 암호화에 사용한다 만약 결과가 패스워드 파일 내에 있는 암호화된 패스워드와 일치하.

면 그 패스워드는 유효한 것으로 여겨지고 사용자는 시스템에 접근을 허가 받는다.

- 90 -

그림 패스워드를 사용한 인증 방식[ 4-2]

또 다른 인증 방식으로 커버로스를 이용한 인증 방식이 있다.

침입탐지시스템에서의 신분 확인에는 시스템과 관리자 사이에 인증 데이터를 교환하는 양자

간 인증 외에 믿을 만한 제 삼자를 통해 시스템에 대한 인증을 수행하는 방법이 있다 이와.

같이 제삼자를 통해 인증하는 방식의 대표적인 예는 를 통한 인증서 기반의 인증 방식CA

커버로스 인증 방식이 있다[7], [5].

커버로스를 통한 인증 방식은 라는 이름으로 에서 인증 서비스를 위하'Athena Project' MIT

여 개발되었다 커버로스의 전체 구조는 과 가 제안한 프로토콜을 신뢰. Needham Schroeder

할 수 있는 제 의 인증 서비스 형태로 구현한 것으로 그 요구사항으로는 제 자가 공격3 3

에 필요한 정보를 결코 얻을 수 없어야 하고 신뢰성이 높고 분산 서버구조를 채택하며 사, ,

용자에게 암호 요구하는 것 의에 복잡한 인증 과정은 없는 것처럼 보여야 하며 대규모의,

클라이언트와 서버를 지원하는 분산 구조를 가져야 하는 것이다[5].

그림 은 이러한 커버로스의 인증 절차를 나타낸다[ 4-3] .

- 91 -

그림 커버로스를 사용한 인증 방식[ 4-3]

커버로스 인증 서버는 모든 관리자의 패스워드나 관련 비밀키 등을 를 통하여 모두 관리DB

하고 있으며 에 접속할 수 있는 티켓을 발행하여 매 접속 요구 시 마ticket granting server

다 인증이 이루어 질 수 있도록 한다 는 관리자가 인증 서버로부터. ticket granting server

얻은 티켓을 이용하여 접속하고자 하는 시스템에 대한 티켓을 발행 받는다 그림 에서.[ 4-3]

명시된 번호들의 메시지는 표 와 같다[ 4-2] [5].

표 커버로스 각 과정에서의 교환메시지[ 4-2]

- 92 -

번 메시지는 관리자가 침입탐지시스템에 접근하기 위하여 커버로스 인증 시스템에서,① ②

티켓을 얻는 과정을 나타내고 있고 과정은 로부터 발급 받은, , authentication server③ ④

을 이용하여 로부터 시스템에 접근하기 위한 을 발급 받ticket ticket granting server ticket

는 절차를 나타낸다 마지막으로 과정은 로부터 발급 받은. , ticket granting server⑤ ⑥

을 이용하여 해당 침입탐지시스템에 접근하는 과정을 보여준다 이 과정에서ticket . Ticket

은 매번 변하는 비밀 키인 세션키 외에 타임 스탬프 및 제한 시간(session key) (timestamp)

등을 추가하여 안전한 메커니즘을 이루도록 하고 있다.

그 이외의 방법으로 개체의 특징을 이용한 인증 방식이 있다 개체의 특징을 이용한 인증[6].

방식은 사용자의 음성 지문 손 모양 서명 동작 입술 모양 등 다른 사용자들과 구, , , , , , DNA

별되어 질 수 있는 생체적 특징에 대한 정보를 이용하여 신분 확인을 하는 방법이다 이 방.

식은 지식이나 소유에 의한 인증 방식에서 단점으로 지적된 인증 데이터의 복제 및 분실,

도난의 위험성이 없다는 것이 가장 큰 장점이다 하지만신체적 특징을 추출하거나 분석하는.

부가적인 장비의 필요성으로 인한 비용적 분담이 매우 높을 수 있다 사용자들의 특징을 자.

동적으로 측정하는 것을 생체 측정 이라고 하며 사용자의 신체적 특징이나 행위(biometrics) ,

적 특징을 대상으로 한다.

- 93 -

사용자의 신체적 특징으로는 지문 망막 얼굴형태 손 모양 등이 있으며 행위적 특징은 음, , , ,

성 서명동작 등이 있다 시스템에서는 각 사용자들의 특징들에 대해 생체측정 자료를 보관, .

하고 접근 요청을 하는 사용자에 대해 생체 특정을 통해 생성된 데이터와 보관된 생체 특,

정 자료를 비교함으로써 인증을 수행한다 생체 측정을 위해서는 한 개체의 특징이 다른 개.

체들의 특징과 쉽게 구분이 되어야 하며 접근 요청 시 생체 측정을 통해 매번 생성되는 자

료가 별로 다르지 않아야 한다.

특징을 이용한 인증 방식은 특성상 인가된 사용자를 거부하는 오류와 인가되지 않은 사용자

를 인가된 사용자로 받아들이는 오류가 발생할 수 있다 이러한 문제를 해결하기 위해서는.

생체 측정 장치의 수준향상이 요구되거나 다른 형태의 인증 메커니즘을 병행 사용하여 오,

류를 줄일 수 있도록 한다 예를 들어 지문 탐지기와 패스워드를 병행하여 사용하는 경우. ,

두 메커니즘에서 어느 하나라도 오류가 생긴 경우에는 접근을 허용하지 않도록 하여 인가되

지 않은 사용자를 인가된 사용자로 받아들이는 오류에 대한 보완을 할 수 있다.

개체의 특징에 의한 인증 방식은 앞서 얘기한 인증 방식들에 비해 매우 복잡한 인증 데이터

를 추출하게 된다 그러나 이러한 방식이 침입탐지시스템에 적용될 때 개체의 특징으로부터. ,

추출된 인증 데이터가 네트워크를 통해 전달되므로 침입자가 침입탐지시스템과 관리자사이

에서 인증 데이터를 가로채어 실제 인가된 관리자처럼 침입탐지시스템에 접근할 수 있다.

이러한 형태의 공격에 대해서는 고비용의 생체 측정을 이용한 인증 데이터를 이용한 측정

방식이 무의미해 질 수 있다 그러므로 이와 같이 네트워크 상의 데이터를 가로채는 공격. ,

형태에 대해서 원 타임 인증 데이터를 생성하는 기법을 응용하거나 암호화 기법을 함께 사-

용하여 침입자에 의한 인증 데이터가 다시 사용되지 않도록 하는 방법이 필요하다.

항목4.2.3.3. 13

- 94 -

13 인증 기능에는 관리자가 인증을 받기 위하여 입력한 비밀 인증 데이터가 입력 시에

유출되는 것을 방지하는 수단이 제공되어야한다.

정의 목적1)

는 신분 확인 기능에 사용되는 인증 정보의 보호에 대하여 정의하고 있다 침입탐지시스13 .

템은 정책에 접근을 요구하는 관리자의 인증 정보입력 시에 입력하는 인증 관련 데이터가

유출되는 것을 방지할 수 있어야 함을 나타낸다.

항목 해설2)

침입탐지시스템에 관리자가 접근을 시도하기 위하여 관리자 와 패스워드에 관한 정보를ID

입력할 때 이것을 도청하고 있던 도청자에게 그 내용이 공개되어서는 안 된다 도청의 방법.

에는 관리자가 콘솔에서 로그인 시도 시 관리자의 키 스트로크 를 감시하는 방(key stroke)

법 관리자가 원격지에서 로그인 시도 시 관리자가 생성하는 네트웍 패킷 내용을 도청하는,

방법 등이 있을 수 있다 이 중 네트웍 패킷의 내용을 도청하는 방법은 패킷을. DES, RSA

등과 같은 암호화 알고리즘을 사용하여 패킷의 암호화를 수행하여 전송하는 등의 방법으로

막을 수 있고 키 스트로크를 감시하는 도청 방법은 스마트 카드를 사용하는 방식 등으로,

막을 수 있다 일반적으로 스마트 카드를 사용하는 방법은 스마트 카드 내에 암호화 모듈을.

장착하거나 스마트 카드 안의 개인 식별 번호 를 이용(PIN, persona1 identification number)

하여 시스템에서 암호화를 수행하는 방식을 사용함으로써 암호화와 스마트 카드 두 가지를

혼용하여 사용하는 경우가 많다.

항목 적용 예3)

- 95 -

스마트 카드를 이용한 인증 방식으로는 스마트 카드를 이용한 도전 응답 인증 식이 있다.

그림 는 스마트 카드를 이용한 도전 응답 인증 방식을 보여주고 있다[ 4-4] [2][3].

그림 스마트 카드를 이용한 도전 응답 인증 방식[ 4-4]

관리자는 접속을 요구하는 침입탐지시스템에 자신의 관리자 를 보내고 에 카ID card holder

드를 삽입함으로써 스마트 카드를 동작시킨다 카드를 받은 는 카드 사용자에 대. card holder

한 인증을 위하여 개인 식별 번호 또는 패스워드를 입력 받아 카드에 기록되어 있는(PIN)

값과 동일한지 검사한다 침입탐지시스템에서는 관리자 를 전송 받아 관리자 식별자에 대. ID

해 도전 발생기를 통해 임의의 난수를 발생하여 스마트 카드로 전송함과 동시에 스마트 카

드로부터 전송이 예상되는 응답 값을 계산하기 위한 응답 발생기의 입력으로 넘겨준다 도.

전 발생 값을 전송 받은 스마트 카드는 응답 발생기를 통해 도전 발생 값과 관리자의 개인

식별 번호 등을 적절히 조합하여 응답 값을 발생하고 이를 침입탐지시스템으로 전송한(PIN)

다 응답 값을 전송 받은 침입탐지시스템은 이미 자신의 응답 발생기를 통해 생성된 응답.

예상 값과 스마트카드로부터 전송되어온 응답 값을 비교하여 인증을 수행하게 된다.

- 96 -

항목4.2.3.4. 14

14 인증 기능에는 인증 데이터를 재 사용하는 공격에 대처 할 수 있는 수단이 제공

되어야 한다.

정의 목적1)

은 신분 확인 기능에 사용되는 인증 정보의 재사용 방지에 대하여 정의하고 있다 침입14 .

탐지시스템은 정책에 접근을 요구하는 관리자의 인증 정보가 네트웍 상에서 감청 당하여 그

정보가 재사용 되었다하더라도 이에 대처할 수 있는 방법이 있어야 한다는 의미이다.

항목 해설2)

침입탐지시스템에서의 신분 확인 시 관리자의 인증 데이터는 네트워크를 통해 전송 되는데,

이때 인가되지 않은 사용지가 전송되는 패킷을 복사하여 침입탐지시스템에 재 사용하여 마

치 인가된 관리자처럼 접근할 수 있다 신분 확인에서는 이러한 재 사용 공격을 방지 할 수.

있도록 일회용 인증 방식 및 암호화 기법을 통하여 이를 해결해야 한다.

일회용 패스워드 시스템이란 시스템에 접근할 때 마다 새로운 패스워드를 요구하는 시스템

을 말한다 시스템과 사용자는 동일한 패스워드 생성 함수를 가지고 타임스탬프 값 등으로. ,

동기화 하여 매번 접속 시 마다 새로운 패스워드를 생성하고 그것을 이용하여 인증을 수행

하게 된다[8].

일회용 패스워드는 재사용 공격에 강한 장점을 가지게 되는데 제삼자가 패킷을 도청하여,

재 사용하는 경우 재 사용되는 패킷을 이용하여 침입탐지시스템에 인증을 요청해도 이미 시

스템에서는 다음 번 패스워드를 사용하기 때문에 인증을 받을 수 없다 이 외에도 재 사용.

을 방지하는 기능을 가진 인증 방식으로는 도전 응답 프로토콜이 있다 이는 다음 항목에서.

자세히 설명한다.

- 97 -

항목 적용 예3)

침입탐지시스템에서 일회용 패스워드를 사용한 인증의 예는 그림 와 같다[ 4-5] [8].

그림 일회용 패스워드[ 4-5]

패스워드 발생기는 스마트 카드 또는 소프트웨어적으로 구현이 가능하다 관리자의 는. SEED

시스템으로부터 할당된 값이고 는 개인 식별 번호 흑은 관리자의 패스워, Pass-phrase (PIN)

드를 나타낸다 관리자가 관리자 를 시스템으로 입력하면 시스템은 관리자를 식별하고 관. ID

리자에 해당하는 와 를 찾는다 관리자가 자신의 를 입력하pass-phrase SEED . pass-phrase

면 패스워드 생성기에서는 미리 시스템으로부터 할당받은 와 조합하여 패스워드를 생SEED

성하고 이를 침입탐지시스템으로 전송한다 이를 전송 받은 침입탐지시스템은 관리자의.

와 를 패스워드 생성기에 입력하여 패스워드를 생성한 후 전송 받은 패pass-phrase SEED

스워드와 비교하여 인증을 수행한다.

- 98 -

만약 제 자가 패스워드를 가로채어 재 사용 공격을 수행한다고 해도 침입탐지시스템에서, 3

발생된 패스워드는 패스워드 생성기 내부의 의 변화에 의해 이미 다른 패sequence number

스워드로 변경이 되어 있으므로 인증에 실패하게 된다 이러한 일회용 패스워드 기법은 재.

사용 공격에 강하고 패스워드발생기를 스마트 카드를 사용하게 되는 경우 관리자의 인증,

데이터보안에서도 유리한 점을 가지게 된다.

항목4.2.3.5. 15

15 인증 기능에는 침입탐지시스템에 접근하는 관리자를 상호 인증 기능에는 침입탐

지시스템에 인증하는 기능이 있어야 한다.

정의 목적1)

은 신분 확인 기능에서 시스템에 접근하려는 관리자와 시스템과의 상호 인증 과정을 나15

타낸다 침입탐지시스템에서는 시스템에서의 관리자 인증 뿐만 아니라 관리자도 시스템을.

인증 할 수 있는 메커니즘이 있어야 한다는 의미이다.

항목 해설2)

도전 응답 프로토콜 은 일회용패스워드와 유사한 인증 방(challenge and response protocol)

식으로써 인증 시 매번 인증 데이터를 다르게 발생한다 도전 응답 프로토콜 인증 방식, [9].

에서는 침입 차단시스템과 관리자가 서로 양방향으로 인증 데이터를 교환하는 것이 일회용

패스워드 프로토콜과는 다른 점이다.

항목 적용 예3)

침입탐지시스템에서 도전 응답 프로토콜을 사용한 인증 방법은 그림 과 같다[ 4-6] [9].

- 99 -

그림 도전 응답 프로토콜[ 4-6]

도전 응답 인증 방식은 관리자는 자신이 접속하고자 하는 침입탐지시스템에 자신의 식별자

를 보내면 해당 시스템에서는 관리자 식별자에 대해 도전 발생기를 통해 임의의 난수를 발

생하여 관리자에게 전송함과 동시에 관리자로부터 전송이 예상되는 응답 값을 계산하는 응

답 발생기의 입력으로 넘겨준다 관리자는 전송 받은 도전 값을 이용하여 응답 발생기를 통.

해 응답 값을 발생하여 해당 시스템으로 전송한다 해당 시스템에서는 이미 자신의 응답 발.

생기를 통해 생성된 응답 예상 값과 관리자로부터 전송되어온 응답 값을 비교하여 인증을

수행하게 된다 이때 관리자가 응답 발생기를 이용하기 위해 개인 식별번호 를 이용하. (PIN)

여 응답 발생기에 대한 인증이 먼저 수행되어 있어야한다.

도전 응답 프로토콜은 인증 시 매번 도전 및 응답 값을 달리하여 일회용패스워드와 같은 효

과를 가지게 되고 양방향으로 인증 데이터를 주고받음으로써 일회용 패스워드에서의 시간,

동기화 같은 문제를 해결 할 수 있다.

항목4.2.3.6. 16

- 100 -

16 인증 실패 관리 기능에서는 설정된 횟수 이상 연속적으로 실패한 관리자의 인증

시도의 발생을 감지할 수 있어야 한다.

정의 목적1)

은 신분 확인 기능에서의 인증 실패에 대한 감지를 나타내고 있다 침입탐지시스템은 공16 .

격자가 정책에 접근하기 위하여 여러 번의 로그인 시도를 행하였을 경우 이를 감지할 수 있

음을 의미한다.

항목 해설2)

침입탐지시스템은 정책은 침입탐지시스템이 작동하는데 중요한 영향을 미친다 이러한 정책.

은 관리자에 의하여 수정 삭제 첨가 될 수 있는데 관리자가 이러한 기능을 수행하려면 침, ,

입탐지시스템의 관리 인터페이스를 통하여 이런 일들을 할 수 있다 그러므로 침입탐지시스.

템은 일정 횟수 이상 연속적으로 실패한 관리자의 인증 시도를 감지하여 공격brute force

을 방지할 수 있어야 한다 공격은 사전에 나와있는 단어를 기반으로 가능한 패. Brute force

스워드의 조합을 대입해 봄으로써 패스워드를 획득하는 방식으로 요즘과 같이 컴퓨터의 컴

퓨팅 파워가 높아지는 시점에서는 무시할 수 없는 공격 중 하나다 이러한 공격. brute force

은 침입탐지시스템이 연속적으로 실패한 관리자의 인증 시도의 발생을 감지함으로써 대응

할 수 있다 즉 관리자의 인증 시도 횟수를 카운트하여 설정된 임계치 이상이면. , (threshold)

감지할 수 있는 기능을 말한다.

항목 적용 예3)

그림 은 연속한 인증 시도 실패에 대한 감지 기능의 예를 보여준다[ 4-7] .

- 101 -

그림 를 사용한 인증 시도 실패 감지[ 4-7] counter

관리자는 자신의 와 패스워드를 침입탐지시스템으로 전송한다 이를 전송 받은 침입탐지ID .

시스템은 저장된 관리자 와 패스워드를 비교한 후 관리자의 식별 과정과 인증 과정에서ID

정당한 관리자로 판명되면 탐지시스템으로의 접근을 허용하고 그렇지 못하면 를 호, counter

출하여 인증 시도 실패 횟수를 하고 값을 설정된 값과 비교하여 인증 시도에count , count

대한 실패를 감지한다.

항목4.2.3.7. 17

17 인증 실패 관리 기능에서는 설정된 횟수 이상 연속적으로 실패한 관리자의 인증

시도가 감지되면 접근 시도를 관리자에게 통보할 수 있어야 한다.

- 102 -

정의 목적1)

는 신분 확인 기능에서의 인증 실패 감지 대응 기능을 나타내고 있다 침입탐지시스템은17 .

공격자가 정책에 접근하기 위하여 여러 번의 로그인 시도를 행하였을 경우 이를 감지하여

그 대응으로 관리자에게 통보할 수 있음을 의미한다.

항목 해설2)

이전 항목에서 설명한 바와 같이 공격에 대한 대응 기능으로 침입탐지시스템은brute force

인증 시도 횟수를 카운트하여 설정된 임계치 이상이면 이것을 감지하여 관리자에(threshold)

게 통보하는 기능을 가져야한다 관리자에게 통보하는 방법은 메일 발송 시스템 경보 등 여. ,

러 가지가 있을 수 있다.

항목 적용 예3)

그림 은 연속적으로 실패한 관리자의 인증 시도 감지 시 접근 시도를 관리자에게 통보[ 4-8]

하는 기능에 대한 예를 보여준다.

관리자는 자신의 와 패스워드를 침입탐지시스템으로 전송한다 이를 전송 받은 침입탐지ID .

시스템은 저장된 관리자 와 패스워드를 비교한 후 관리자의 식별 과정과 인증 과정에서ID

정당한 관리자로 판명되면 탐지시스템으로의 접근을 허용하고 그렇지 못하면 를 호, counter

출하여 인증 시도 실패 횟수를 하고 값을 설정된 값과 비교하여 값이 설count , count count

정된 임계치보다 크거나 같으면 관리자에게 이러한 접근 시도를 통보한다 이를 통보하는.

방법으로는 메일 호출 경보 설정 등 여러 가지 방법이 사용될 수 있다, , .

- 103 -

그림 접근 시도를 관리자에게 통보하는 기능[ 4-8]

참고 문헌4.3.

[1] David A. Curry, "Improving the security of your UNIX system",

ITSTD-721-FR-90-21, 1990.4.

[2] "Interoperability Specification for ICCs and Personal Computer Systems part8.

Recommendations for ICC Security and Privacy Devices", a bull Company, Gemplus SA,

Hewlett-Packard Company, IBM Corporation, Microsoft Corporation, Schlmberger SA,

Siemens Nixdorf Informations Systeme AG, Sun Microsystems Inc. Toshiba Corporation,

VeriFone Inc., 1997.12.

- 104 -

[3] David Naccachae, David M'Raihi, "Cryptographics Smart Cards", IEEE, 1996.

[4] Douglas R. Stinson, "Cryptography theory and practice", CRC, 1995.

[5] Jennifer G. Steiner, Clifford Neuman, Jeffrey I. Schiller, "Kerberos : An

Authentication Service for Open Network Systems", 1998.3.

URL ; http://www.certcc.or.kr/paper/authent/kerberos.ps

한국전산원 국가 기간 전산망에서의 액세스 제어 및 암호화 기술 활용에 관한 연구[6] , “ ”,

1991. 12.

[7] Calisle Adams, Steve Lloyd, "Understanding Public-Key Infrastructure", Macmillan

Technical Publishing, U.S.A, 1999.8.

[8] N. Haller, C. Metz, P. Nesser, M. Straw, "A One-Time Password System", RFC

2289, 1998.2.

- 105 -

데이터 보호5.

개요5.1.

데이터 보호는 침입탐지시스템의 중요한 데이터나 침입탐지시스템 내부에서 전송되는 데이

터에 비 인가된 변조가 발생하는 경우 이를 탐지하는 기능이다 데이터 보호는 침입탐지시.

스템에서 각 요소들의 정보공유 및 메시지 교환 과정에서의 안전성을 보장하기 위해서 제공

되어야 하는 기능이다.

데이터 보호는 크게 데이터 무결성과 데이터 기밀성으로 나누어 볼 수 있다 데이터 무결성.

기능은 시스템 내부의 데이터에 대한 변경 및 시스템을 통하여 전송되는 데이터들에 대하여

인가되지 않은 변경이 발생하는 경우 이를 탐지하여 적절한 조치를 취할 수 있어야 한다.

무결성 기능은 침입탐지시스템 내부의 보안 데이터에 대한 인가되지 않은 변경을 탐지함과

동시에 침입탐지시스템을 통해 전송되는 데이터에 대해 네트워크 중간에서 침입자의 고의적

인 변경이나 하드웨어 문제로 인해 발생될 수 있는 변경에 대해 탐지할 수 있어야 한다.

데이터 기밀성은 비 인가된 접근으로부터 데이터를 보호하기 위한 제반수단 절차 방법을, ,

의미하는데 경제적으로 구현 가능한 암호화 기법이 주로 사용된다, .

데이터 보호 기능에 대한 요구사항은 저장된 데이터 무결성 내부전송 데이터 무결성 내부, ,

전송데이터 보호에 대한 요구사항으로 이루어진다.

저장된 데이터 무결성＊

저장된 데이터 무결성은 침입탐지시스템의 중요한 데이터에 대하여 인가되지 않은 변경이

발생하는 경우 이를 확인하는 기능이다.

내부전송 데이터 무결성＊

- 106 -

내부전송 데이터 무결성은 침입탐지시스템의 내부에서 전송되는 데이터에 변경이 발생하는

경우 이를 확인하는 기능이다.

내부전송 데이터 보호3)＊

내부전송 데이터보호는 침입탐지시스템 내부에서 보안기능에 침해를 가져올 수 있는 데이터

를 전송할 경우 이를 보호하는 기능이다.

다음절에서 데이터보호 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목의 예를 제

공한다.

보안 기능 요구사항 해설5.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목5.2.1.

본 단원에서는 데이터보호 기능 제공을 위하여 정의된 보안 기능 요구사항 항목들을 기술한

다 기술된 보안 기능 요구사항 항목들은 절의 등급별 보안 기능 요구사항에 기술된 모든. 2

항목들을 포함하며 데이터 보호 기능의 제공을 위하여 정의 된 보안 요구사항 항목들은 다,

음과 같다.

18 저장된 데이터 무결성 기능에는 다음 각 항에 대 한 무결성을 확인할 수 있는

수단이 제공되어야 한다.

18-1 식별 및 인증 데이1.

18-2 침입탐지시스템 실행파일 및 환경 설정 파일2.

18-3 보안 위반 사건 목록3.

18-4 시스템 사용에 대한 프로파일4.

- 107 -

19 저장된 데이터 무결성 기능에서는 무결성 오류가 발견될 경우 이에 대한 대응,

행동을 수행할 수 있어야 한다.

20 내부전송 데이터 무결성 기능에는 물리적으로 분리되어 있는 보안 기능간에 데

이터가 전송되는 경우 무결성을 확인하는 수단이 제공되어야 한다, .

21 내부전송 데이터 무결성 기능에서는 무결성 오류가 발견될 경우 이에 대한 대,

응행동을 수행할 수 있어야 한다.

22 내부전송 데이터 보호 기능에는 물리적으로 분리되어 있는 보안 기능간에 보안

기능에 침해를 가져올 수 있는 데이터가 전송되는 경우 그 내용이 알려지는,

것을 방지하기 위한 수단이 제공되어야 한다.

관련 평가 등급5.2.2.

본 단원에서는 데이터 보호 기능 제공을 위하여 정의된 보안 기능 요구사항과 평가 등급별

요구사항과의 상관관계를 기술하며 표 은 상관관계를 정리한 도표이다, [ 5-1] .

표 데이터보호 기능과 평가 등급과의 상관 관계[ 5-1]

평가

등급

기능항목

K1 K2 K3 K4 K5 K6 K7

18

18-1 ○ ○ ○ ○ ○

18-2 ○ ○ ○ ○ ○

18-3 ○ ○ ○ ○ ○

18-4 ○ ○ ○

19 ○ ○ ○ ○ ○

20 ○ ○ ○ ○ ○

21 ○ ○ ○ ○ ○

22 ○ ○ ○ ○

보안 기능 항목별 상세 해설5.2.3.

- 108 -

본 단원에서는 데이터 보호 기능 제공을 위하여 정의된 기능 항목들의 정의 목적과 항목 해

설 그리고 적용 예에 대하여 상세 기술한다, .

항목5.2.3.1. 18

18 저장된 데이터 무결성 기능에는 다음 각 하에 대한 무결성을 확인할 수 있는

수단이 제공되어야 한다.

18-1 식별 및 인증 데이터1.

18-2 침입탐지시스템 실행파일 및 환경 설정 파일2.

18-3 보안 위반 사건 목록3.

정의 목적1)

은 저장된 데이터의 무결성을 확인할 수 있는 기능에 대하여 정의하고 있다 침입탐지시18 .

스템이 저장하고 있는 데이터는 보안에 민감한 데이터들이므로 그것의 무결성 여부는 중요

하다 에서 제시하고 있는 식별 및 인증 데이터 침입탐지시스템 실행파일 및 환경 설정. 18 ,

파일 보안 위반 사건 목록 그리고 시스템 사용에 대한 프로파일 정보들은 침입탐지시스템, ,

에서의 감시 대상 정보들로서 침입탐지 판단 또는 보안 대응행동에 기반 정보로 사용된다, .

따라서 이러한 정보들의 무결성 보장은 침입탐지시스템에서 지원해야 할 기능으로 정의되어

야 한다.

항목 해설2)

저장된 데이터는 정해진 절차에 따라 그리고 인가된 접근을 통해서만 변경 가능하여야 한,

다 저장된 데이터는 항상 일관성을 유지하여야 하며 인가된 방법과 인가된 사용자에 의해. ,

서만 변경되어야 한다 따라서 이러한 정보들에 대해 인가 받지 못한 변경을 탐지할 수 있.

도록 무결성이 보장되어야 한다.

- 109 -

저장된 데이터 중에서 상기에서 정의한 식별 및 인증 데이터 침입탐지시스템 실행파일 및,

환경 설정 파일 그르고 보안 위반 사건 목록들은 그에 대한 변조가 발생할 경우 침입탐지시

스템의 동작에 많은 영향을 끼치는 요소들로서 갱신이 발생할 때마다 무결성 검사가 수행,

되어야 한다 각 파일들에 대해서 수행된 무결성 검사값은 이후 해당 파일들에 대한 무결성.

확인을 위해서 보존되어야 한다.

무결성 검사값을 생성하기 위해서 정확성과 비교시에 시간 및 기억 공간의 오버헤드가 적은

방법이 요구된다 무결성 검사 및 확인을 위해서 일방향 해쉬 함수의 메시지 압축 알고리즘.

을 사용한다.

일반적으로 메시지 압축 알고리즘으로는 등이 사용되며 인증 요구시MD5, SHA-1 ,

알고리즘의 사용 또한 권장된다MAC(Message Authentication Code) .

항목 적용 예3)

일방향 해쉬 함수는 수신자가 받은 메시지에 대해서 비인가된 수단으로 변조가 일어났는지

를 탐지할 수 있게 한다 해쉬 함수 는 가변크기의 입력 을 받아 해쉬값 라 불리는. H m h

고정된 크기의 스트링을 돌려준다.

h = H(m)

해쉬 함수 는 다대일 대응 함수로 동일한 출력을 갖는 입력이 두 개 이상 존재하므로 본H

질적으로 충돌을 피할 수 없다.

그림 압축 함수의 반복 구조[ 5-1]

- 110 -

해쉬 함수에 대한 일반적인 모델은 그림 같이 반복 구조로 표현할 수 있다 해쉬 함[ 5-1] .

수는 전체 메시지가 처리될 때까지 압축 함수의 반복 적용으로 정의될 수 있다 이 과정에.

서 임의의 길이를 가진 메시지는 압축 함수에 따라 적당한 길이의 블록으로 구분된다 메시.

지 블록들은 순차적으로 압축 함수의 입력이 되고 마지막 압축 함수의 출력이 전체 메시지,

의 해쉬값이 된다.

데이터 무결성을 보장하는 해쉬 함수의 사용은 그림 와 같다[ 5-2] [1].

그림 일방향 함수의 사용으로 인한 데이터 무결성[ 5-2]

- 111 -

Message Digest Algorithm : MD5◈

는 입력 데이터로서 임의의 길이의 데이터 블록을 취하고 출력 데이터로서 비트의MD5 128

메시지 압축을 생성한다 입력 데이터는 비트 블록 단위로 처리된다[1]. 512 [2].

그림 를 이용한 메시지 압축[ 5-3] MD5

그림 은 메시지 압축을 생성하는 전체적인 처리과정을 보인다 이러한 처리과정은[ 5-3] [3].

다음의 단계로 구성된다.

◆ 단계 을 덧붙인다1 : Padding .

◆ 단계 를 덧붙인다2 : Message Length .

◆ 단계 버퍼를 초기화한다3 : MD .

◆ 단계 비트 블록으로 메시지를 처리한다4 : 512 .

◆ 단계 결과를 출력한다5 : .

- 112 -

Secure Hash Algorithm (SHA)◈

는 일방향 해쉬 함수의 하나로서 비트의 메시지 압축을 제공하며 와 비슷한SHA , 160 , MD4

개념을 사용한다 그러나 더 큰 길이의 메시지 압축을 제공함으로써 더 높은 안전성을 제공.

한다 [1].

항목5.2.3.2. 19

19 저장된 데이터 무결성 기능에서는 무결성 오류가 발견될 경우 이에 대한 대응,

행동을 수행할 수 있어야 한다.

정의 목적1)

은 저장된 데이터에 무결성 오류가 발견될 경우 그에 대한 대응 기능에 대해 정의하고19

있다 침입탐지시스템에서는 수집해서 저장된 데이터들이 판단의 근거가 되므로 무결성 오.

류가 발생한 데이터들에 대하여 필요한 대응 행동들을 수행하여야 한다 은 이러한 의미. 19

에서 침입탐지시스템에 갖추어야 할 기능으로 구분된다.

항목 해설2)

저장된 데이터가 비인가된 접근으로 변경되었거나 변경 위험이 있을 때에는 이러한 변경을

탐지하여 대응할 수 있는 메커니즘이 필요하다 비인가된 접근으로 인한 데이터 변경을 탐.

지하였을 경우 취할 수 있는 방법으로는 그 데이터를 폐기하는 방법이나 이전 백업데이터를

복구 시키는 방법이 있다 그러나 데이터 무결성을 확인하는 저장 데이터들은 비인가된 접.

근으로 인한 데이터 변경이 탐지 되었을 때 데이터를 폐기시키는 방식보다는 이전 백업데이

터를 복구시키는 방식이 권장된다.

- 113 -

저장 데이터들에 대해서 무결성 검사 주기를 나눌 수 있다 침입탐지스템에서는 비인가된.

접근으로 인한 데이터 변경에 대응하기 위하여 해당 데이터에 대해서 수행되어야 하는 무결

성 검사는 이벤트가 발생할 때 일어난다거나 또는 주기적으로 수행될 수 있다.

우선 저장 데이터들에 대해서 해당 데이터에 대한 접근이 시도될 때마다 무결성 검사를 수

행하게 되는 경우가 있다 이 때 구해진 무결성 값과 기존에 저장되어 있는 무결성 값과 비.

교하여 만약 두 값이 다르다면 해당 데이터를 이전의 백업 데이터로 대치시키고 필요한 처

리를 한다.

또 하나의 방식으로는 저장 데이터들에 대해서 주기적으로 무결성 검사를 수행하는 것이다.

주기적인 무결성 검사의 수행은 데이터에 대한 비인가된 접근으로 인한 변경 시도를 빠른

시간 안에 탐지할 수 있다 그러나 상당한 오버헤드로 작용할 수도 있다. .

위에서 언급된 두 가지 경우를 고려할 때 저장데이터의 중요도에 따라 적절하게 무결성 검,

사 수행주기를 채택하여 사용하여야 한다.

항목 적용 예3)

침입탐지시스템은 에서 언급한 저장 데이터들에 대해서 무결성 검사를 하고 결과값과 데18

이터명 그 외에 필요한 인자들을 설정하여 무결성 검사값 데이터베이스에 저장한다 예를, .

들면 그 외에 필요한 인자서 무결성 검사 시간 데이터 크기 등을 들 수 있다 그림 에, , . [ 5-4]

서 보는 바와 같이 무결성 검사값과 그 외의 인다들을 데이터베이스에 저장한 후 무결성이

확인된 데이터를 백업한다.

이 후 저장 데이터에 대한 접근이 발생하거나 일정 백업 주기로 인해 무결성 검사를 하게

되는 경우 새로 처리된 무결성 검사값이 무결성 검사값 데이터베이스에 저장된 해당 데이,

터에 대한 무결성 검사값과 비교하여 값이 같으면 데이터 접근을 허용한다 해당 조작 후.

다시 무결성 감사하고 무결성 검사값 데이터베이스에 필요 부분 저장 후 백업 데이터를 생,

성한다.

- 114 -

그림 침입탐지시스템에서의 저장 파일에 대한 무결성 확인 및 오류시 대응[ 5-4]

만약 기존의 무결성 감사값과 새로 처리된 무결성 검사값이 상이하다면 기존의 백업 데이,

터로 현재 저장 데이터를 대체한다 무결성 오류 검출시 감사 시록을 남기거나 관리자에게. ,

경보를 울리는 방법을 고려한다.

항목5.2.3.3. 20

20 내부전송 데이터 무결성 기능에는 물리적으로 분리되어 있는 보안 기능간에 데이

터가 전송되는 경우 무결성을 확인하는 수단이 제공되어야 한다, .

- 115 -

정의 목적1)

는 물리적으로 분리되어 있는 보안 기능 간의 데이터 교환에서 무결성을 보장하는 기능20

에 대해서 정의하고 있다 침입탐지시스템에서 물리적으로 분리되어 있는 보안 기능 간에서.

교환되는 데이터들은 보안에 민감한 데이터들이기 때문에 그 데이터들의 무결성 보장은 이

루어져야 한다.

항목 해설2)

전송 데이터 무결성이란 침입탐지시스템을 통해 전송되는 데이터의 변경 여부를 확인하는

기능이다 전송 데이터 무결성을 확인하기 위한 형태로는 해쉬 함수를 이용하는 일반적인.

형태 해쉬 코드 발생시 키를 이용하는 을 이용하는 형태 암호화를 이용한 형태 등이, MAC ,

있을 수 있다 저장된 데이터와는 다르게 전송 데이터에 대해 무결성을 확인하는 방식은 전.

송 데이터와 자체에 무결성 검사값이 포함되어 있어야 한다 송신자는 데이터 자체에 대한.

무결성 검사를 통하여 데이터에 대한 인증메시지로서 무결성 감사값을 붙인다 수신자는 수.

신한 데이터와 관계가 있는 무결성 정보를 발생시켜 수신한 무결성 정보와 비교하여 전송받

은 데이터의 무결성을 확인한다.

항목 적용 예3)

전송데이터에서 데이터 무결성을 확인하기 위한 방식으로 해쉬를 사용하는 방식과 암호화를

이용하는 형태로 나눌 수 있다.

해쉬 함수의 사용◈

해쉬 함수를 사용하는 방식은 앞서 언급한 바와 같이 가변크기의 입력 을 받아 해쉬값m h

라 불리는 고정된 크기의 스트링을 돌려준다.

h = H(m)

- 116 -

해쉬 함수 는 다대일 대응 함수로 동일한 출력을 갖는 입력이 두 개 이상 존재하므로 본H

질적으로 충돌을 피할 수 없다.

데이터 무결성을 보장하는 해쉬 함수의 사용은 그림 와 같다 전송하고자 하는 메시지[ 5-2] .

에 해쉬 함수를 적용하여 구한 메시지 압축을 안전한 방법으로 수신자에게 보낸다 수신자.

는 수신한 메시지에 송신자와 동일한 해쉬 함수를 적용하여 나온 결과와 송신자측에서 계산

된 해쉬 값과 비교하여 메시지가 전송 중에 변경 여부를 확인한다.

암호화 함수의 사용◈

그림 모드[ 5-5] CBC

알고리즘에서 모드를 사용하여 메시지 인증을 할Block cipher CBC(cipher block chaning)

수 있다.

- 117 -

모드는 그림 에서 보는 바와 같이 암호화 함수에 대한 입력으로 각각의 평문 블록CBC [ 5-5]

과 이전에 계산된 암호화 블록 을 사용하므로 어떤 데이터에 대한 암호화 수행에 따(x1) (Y1)

라 데이터 인증이 수반되는 형태이다[2[3].

암호화 방식을 사용하는 경우 평문을 전송데이터에 대한 암호화값으로 대체함으로써 데이,

터 인증을 가능하게 한다.

항목5.2.3.4. 21

21 내부전송 데이터 무결성 기능에서는 무결성 오류가 발견될 경우 이에 대한 대응,

행동을 수행할 수 있어야 한다.

정의 목적1)

은 전송되는 데이터에서 무결성 오류 발생시 대응 기능에 대해서 정의하고 있다 수신측21 .

에 받은 메시지가 무결성 오류가 탐지되는 경우 침입탐지시스템은 그에 따른 적절한 대응,

행동을 수행함으로써 침입탐지시스템 자체에 대한 무결성을 유지할 수 있도록 한다.

항목 해설2)

침입탐지시스템에서는 전송되는 데이터에 대해서 무결성 확인을 수행한다 그 무결성 오류.

에 대한 반응으로서 침입탐지시스템은 다음과 같이 행동할 수 있다.

◆ 전송 받은 데이터를 무시한다.◆ 송신 요소로부터 재전송요구를 한다.◆ 전송데이터에 대한 로그를 기록한다.

침입탐지시스템의 각 요소들은 그 기능을 충족시키기 위해서 서로 간의 데이터 교환이 필요

하여 수신자 측에서 준비되지 않은 상황에서 어떤 데이터를 전송 받았을 경우 그 데이터에,

서 데이터 무결성 오류가 발견된다면 전송 받은 데이터는 무시한다, .

- 118 -

침입탐지시스템의 한 요소가 다른 요소로 메시지 송신에 대한 요구를 할 경우 전송 받은,

데이터에서 데이터 무결성 오류가 발견된다면 그 데이터에 대해서 재 전송요구를 하게 된

다 이와 같은 두 가지 경우에 대해서는 모두 전송데이터에 대한 로그로서 기록한다. .

항목5.2.3.5. 22

22 내부전송 데이터 보호 기능에는 물리적으로 분리되어 있는 보안 기능간에 보안기

능에 침해를 가져올 수 있는 데이터가 전송되는 경우 그 내용이 알려지는 것을,

방지하기 위한 수단이 제공되어야 한다.

정의 목적1)

는 물리적으로 분리되어 있는 보안 기능간의 데이터 교환에서 그 보안 기능에 민감한 데22

이터 전송 시 데이터 기밀성을 보장하는 기능에 대해서 정의하고 있다 기밀성은 정보의 소.

유자가 원하는 대로 정보의 비밀이 유지되어야 한다는 원칙이다 즉 정보는 소유자의 인가. ,

를 받은 사람만이 접근 가능해야 한다는 것이다 따라서 침입탐지시스템에서 물리적으로 분.

리되어 있는 보안 기능간의 교환되는 데이터가 외부에 노출되었을 때에도 그 내용이 알려지

지 않도록 하는 기능이 지원되어야한다.

항목 해설2)

전송 중인 정보의 비밀을 지키기 위한 수단으로 일반적으로 암호화기법 을 많(cryptography)

이 사용한다 암호화 기법은 인가된 사람만이 갖고 있는 특별한 정보 키 를 이용하여 보호하. ( )

고자 하는 평문을 암호문으로 변형시켜 인가되지 않은 자 즉 침입자가 암호문에 접근하여,

도 아무런 정보를 얻을 수 없도록 하는 방법이다.

- 119 -

현대 암호에서는 의 이론에 근거하여 설계된 대칭키 암호와 대칭키 암호의 만점인Shannon

키 관리 문제를 해결한 비대칭키 암호가 병존하고 있는 데 실질적인 데이터의 암호화를 위,

해서 계산 효율면에서 우수한 대칭키 암호가 사용되고 대칭키 암호의 문제인 키 공유를 위

해 비대칭키 암호가 사용되는 복합 구조를 갖는 것이 일반적인 경향이다.

대칭키 암호는 다시 스트림 암호와 블록 암호로 구별된다 보호하고자하는 데이터의 길이와.

같은 길이의 키로 비트별 하는 방식이 스트림 암호인데 이는 정보이론 관점에서 안전XOR ,

하다는 를 실용적인 관점으로 구현한 것이다 블록 암호는 대치와 치환을 번One Time Pad .

갈아 사용하면 안전한 암호를 설계할 수 있다는 의 이론에 근거하여 설계된 것으로Shannon

암호학적으로 약한 라운드 함수를 반복적으로 사용함으로써 강한 암호를 설계한다.

비대칭키 암호는 암호화할 때 사용하는 키 공개키 와 복호화할 때 사용하는 키 비밀키 가( ) ( )

달라 공개키 는 공개하고 비밀키만을 간직함으로써 동일한 키로 암호화와 복호화를 수행하

는 대칭키 암호에서 발생하는 키 관리 문제를 효과적으로 해결하였다 암호화 기법은 데이.

터를 읽을 수 없는 형태로 변환시키는 것으로서 비 인가된 제 3자로부터 정보를 숨김으로써

정보의 기밀성을 보장한다.

항목 적용 예3)

항목 적용 예로서는 메시지를 암호화하기 위한 방식으로서 블록 암호방식인 에 대해서DES

기술한다.

- 120 -

DES◈

는 그림 에서 보는 바와 같이 동시에 비트를 운영하는 블록 암호 방식이다DES [ 5-6] , 64 .

그림[ 5-6] DES(Date Encryption Standard)

키는 비트로 된 그룹으로 구성되는 데 각 그룹에서 한 비트는 패러티 체크 비8 8 , (parity)

트이다 따라서 키 길이는 비트로 보여지지만 비트의 키를 갖게 된다. 64 56 .

는 라운드로 구성되는 데 비트의 입력은 둘로 나누어서 처리된다 비DES 16 , 64 . leftmost 32

트와 비트로서 처음은rightmost 32 L0와 R0의 형태를 갖는다.

각 라운드에서 새로운 과 은 다음과 같이 정의된다L R .

여기서 는 키 의 연속체를 의미한다 그림 에서 보는 바와 같이. [ 5-7] , 는 전 상태의

우측 데이터와 부분키인 에 대한 함수이다. 이전의 좌측 데이터 값을 사용한다. 는 이

전의 좌측 데이터 값과 함수 의 결과 값과의 연산을 통해 구해낸다 의 최종 결과는. DES

과 의 형태가 된다.

- 121 -

그림 의 전형적인 라운드[ 5-7] DES

Triple DES◈

의 키 사이즈가 너무 작기 때문에 민감한 데이터를 보호하는 데에는 더 이상 를DES DES

사용하지 않는다 이럴 때에는 라는 새로운 의 형태가 사용된다 그림. Triple DES DES . [ 5-8]

에서 보는 바와 같이 는 개의 구현으로 구성되어 있다, Triple DES 3 DES .

그림[ 5-8] Triple DES

이 방식에서는 첫 번째 키와 세 번째 키를 같게 사용함으로써 실질적으로 사용되는 키는,

의 크기를 갖는다2×56=112 .

- 122 -

이것은 오랜 시간동안 안전하게 사용될 수 있다고 간주되어왔다 그리고 두 번째 구현. DES

을 대신DES 를 사용함으로써 는 단일 시스템에 대한 보완으로서 구triple DES DES

현된다.

참고 문서5.3.

[1] Vijay Ahuja, Ph.D., Network and Internet Security, AP PROFESSIONAL

[2] Wililiam Stallings, CRYPTOGRAPHY AND NETWORK SECURITY : Principles and

Practice, Vol 2, Prentice-Hal1, 1999

[3] Douglas R. Stinson, CRYPTOGRAPHY ; Theory and Practice, CRC, 1995

[4] Henk C.A. van Tilborg, Fundamentals of Cryptology, Kluwer Academic Pub1ishers,

2000

- 123 -

보안 감사6.

개요6.1.

감사 의 광범위한 정의는 시스템이 안정적이며 효율적으로 동작하고 있는지를 확인하(audit)

기 위하여 시스템 사용에 대한 기록된 히스토리 를 수집하고 분석하는 일련의 과정(history)

으로 정의된다 감사를 통하여 생성된 감사 기록 은 컴퓨터 시스템에 대한침입[1]. (audit trail)

을 탐지 또는 차단하고 시스템에 대한 오용을 탐지하기 위하여 사용된다 따라서 감사 기, []. ,

능은 시스템 사용의 기록된 증거에 대한 지속적인 수집 및 기록할 수 있는 기능이 요구되

며 수집된 기록들에 대한 주기적인 분석 기능을 필요로 하게 된다 감사 수집 메커니즘이, .

감사를 위해 중요하다고 판단되는 행위들에 대한 기록을 생성하게 되는데 이러한 행위들을,

감사 사건 이라 한다(audit events) .

컴퓨터 시스템의 감사 기능은 감사 기능을 수행하는 구성 요소와는 상관없이 모든 시스템에

적용될 수 있는 목적을 가지고 있으며 에 정의되어 있는 감사 기능의 가지 목적은 다, [2] 5

음과 같다.

◆ 개별 객체들에 대한 접근 특정 프로세스들과 객체들에 대한접근 히스토리 그리고, ,

시스템에 의해 제공되는 다양한 보호메커니즘에 대한 사용 패턴들에 대한 검사

◆ 보호 메커니즘의 부적절한 방법으로 통과하기 위한 사용자들 또는 외부인들의 반

복적인 시도들을 탐지

◆ 사용자가 보유하고 있는 권한 이상의 사용 권한을 요구하는 자원사용에 대한 탐지

- 124 -

◆ 시스템 보호 메커니즘을 부적절한 방법으로 통과하려고 하는 침입자들의 반복적인

시도에 대한 보호 기능

◆ 보호 메커니즘에 대한 모든 시도들은 기록되고 탐지된다는 사실에 대한 사용자 인

식의 확산

침입탐지시스템이 보안위반 분석을 위하여 기반자료로 사용하는 감사데이터는 감시 대상시

스템이 생성하는 감사데이터와 침입탐지시스템이 생성하는 감사데이터로 구분할 수 있다.

일반적으로 컴퓨터 시스템들을 자체적으로 감사 서비스를 제공하며 와 같은 감사 서, syslog

비스를 통하여 생성된 감사데이터는 시스템에서 발생하는 시스템행위에 대한 감사 기록을

생성하는 기능을 제공한다.

침입탐지시스템은 자신이 생성한 감사데이터와 감시대상 시스템이 제공하는 감사 서비스를

통하여 생성된 감사데이터에 대한 수집 및 축약과정을 통하여 보안 관련성이 적은 시스템

감사 기록에 대한 필터링을 수행한 후 보안위반 분석을 위한 감사 분석 자료로 사용할 수,

있어야 한다.

보안 감사 기능은 감사데이터의 생성 수집 관리 그리고 생성된 감사데이터의 보호와 같은, , ,

감사 기능 전반에 걸친 상위 수준의 규칙 또는 목표들을 설정하는 감사 정책을 기반으로 수

행된다.

설립된 감사 정책을 기반으로 감사 기능은 감사데이터 생성 기능 감사데이터 보호 기능 감, ,

사 분석 기능으로 구분할 수 있다 우선 감사데이터 생성 기능은 감시대상 시스템 또는 감.

시대상 네트워크 상에서 발생하는 많은 사건들 중에서 어떠한 사건들에 대하여 감사기록을

생성할 것이며 감사데이터 생성 시에 어떠한 데이터를 포함할 것인지에 대한 부분으로 정,

의할 수 있다.

- 125 -

감사데이터 보호 기능은 생성된 감사데이터에 대한 비 인가된 접근으로부터 감사데이터를

보호함으로써 감사데이터에 대한 신뢰도를 높이고 감사데이터가 기록되는 물리적 매체의,

장애로 인하여 발생할 수 있는 감사데이터의 유실 위험으로부터 감사데이터를 보호하기 위

한 기능으로 정의할 수 있다 마지막으로 감사 분석 기능에는 감사 기록에 대한 정형화 감. ,

사축약 감사 조회와 같은 기능을 통하여 보안 관리자 또는 침입탐지시스템이 침입 판정 기,

능 블록이 감사 분석 기능을 수행할 수 있는 자료를 제공하는 기능으로 정의할 수 있다.

해설서에서는 보안 감사 기능에 대한 요구사항을 감사데이터 생성 감사데이터 보호 보안, ,

감사 검토 기능으로 구분하여 기술하며 다음절에서 각 기능에서 요구되는 평가 등급별 세,

부 요구 항목들의 의미를 해설하고 각 요구 항목들의 적용 예에 대하여 기술한다, .

보안 기능 요구사항 해설6.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목6.2.1.

감사데이터 생성6.2.1.1.

23 감사데이터 생성 기능에서는 다음 각 항에 대한 감사 기록 레코드를 생성하여

야 한다.

23-1 침입탐지시스템의 시동과 종료1.

23-2 보안감사 기능의 시동과 종료2.

23-3 보안감사 대응 행동의 설정 및 변경3.

23-4 감시 대상의 설정 및 변경4.

23-5 보안위반 사건 탐지 사실5.

23-6 보안감사 대응 행동의 수행 내용 및 결과6.

23-7 보안위반 사건 목록의 설정 및 변경7.

23-8 시스템 사용에 대한 프로파일 변경8.

- 126 -

23-9 프로파일 저장 대상의 설정 및 변경9.

23-10 보안위반 분석을 위한 환경설정 파일의 설정 및 변경10.

23-11 감사데이터 저장매체의 허용저장 용량의 임계치 설정 및 변경11.

23-12 감사데이터 손실방지를 위한 대응행동의 설정 및 변경12.

23-13 무결성 증거 생성 및 검증13.

23-14 식별 및 인증데이터의 설정 및 변경14.

23-15 인증데이터 생성 및 검증15.

23-16 연속적인 인증실패 한계횟수 설정 및 변경16.

23-17 연속적인 인증실패 한계횟수 초과 시도 감지17.

23-18 식별 및 인증 기능의 수행 성공 및 실패18.

23-19 인증데이터 재사용 시도19.

23-20 시점확인 기능 설정 및 변경20.

23-21 안전한 경로의 설정 및 변경21.

24 감사데이터 생성 기능에는 다음 각 항의 정보를 감사 기록할 수 있어야 한다.

24-1 주체 및 객체에 대한 식별자1.

24-2 사건 유형 및 결과2.

24-3 사건의 날짜 및 시간3.

감사데이터 보호6.2.1.2.

25 감사데이터 보호 기능에서는 감사 저장 매체의 용량이 일정한도에 이를 경우,

예측되는 감사데이터의 손실에 대비하여 이를 사전에 관리자에게 알릴 수 있

어야 한다.

26 감사데이터 보호 기능에서는 감사 기록의 저장 공간이 모두 소진될 경우 이에,

대한 대응 행동이 취해져야 한다.

27 감사데이터 보호 기능에서는 감사 저장 매체에 고장이 발생하였을 경우 이에,

대한 대응행동을 수행할 수 있어야 한다.

- 127 -

보안감사 검토6.2.1.3.

28 보안감사 검토 기능에서는 인가된 관리자에게만 감사 기록을 조회할 수 있는

수단이 제공되어야 한다.

29 보안감사 검토 기능에는 관리자가 이해할 수 있는 형태로 감사 기록이 제공되

어야 한다.

30 보안감사 검토 기능에는 관리자의 요청에 따라 감사 기록을 검색 . 정렬할 수

있는 기능이 제공되어야 한다.

관련 평가 등급6.2.2.

본 단원에서는 데이터 보호 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급별

요구사항과의 상관관계를 기술하며 표 은 상관관계를 정리한 도표이다, [ 6-1] .

표 축약 감사데이터 생성 기능과 평가 등급과의 상관 관계[ 6-1]

평가

등급

기능항목

K1 K2 K3 K4 K5 K6 K7

23 23-1 ○ ○ ○ ○ ○ ○ ○

23-2 ○ ○ ○ ○ ○ ○ ○

23-3 ○ ○ ○ ○ ○ ○

23-4 ○ ○ ○ ○ ○ ○ ○

23-5 ○ ○ ○ ○ ○ ○ ○

23-6 ○ ○ ○ ○ ○ ○ ○

23-7 ○ ○ ○ ○ ○ ○ ○

23-8 ○ ○ ○

- 128 -

23-9 ○ ○ ○

23-10 ○ ○ ○ ○ ○ ○ ○

23-11 ○ ○ ○ ○ ○ ○

23-12 ○ ○ ○ ○ ○ ○

23-13 ○ ○ ○ ○ ○

23-14 ○ ○ ○ ○ ○ ○ ○

23-15 ○ ○ ○

23-16 ○ ○ ○ ○ ○ ○

23-17 ○ ○ ○ ○ ○ ○

23-18 ○ ○ ○ ○ ○ ○ ○

23-19 ○ ○ ○ ○

23-20 ○ ○ ○

23-21 ○ ○ ○ ○ ○

24

24-1 ○ ○ ○ ○ ○ ○ ○

24-2 ○ ○ ○ ○ ○ ○ ○

24-3 ○ ○ ○ ○ ○ ○ ○

25 ○ ○ ○ ○ ○ ○ ○

26 ○ ○ ○ ○ ○ ○

27 ○ ○ ○

28 ○ ○ ○ ○ ○ ○ ○

29 ○ ○ ○ ○ ○ ○ ○

30 ○ ○ ○ ○ ○ ○

보안 기능 항목별 상세 해설6.2.3.

항목6.2.3.1. 23

23 감사데이터 생성 기능에서는 다음 각 항에 대한 감사 기록 레코드를 생성하

여야 한다.

23-1 침입탐지시스템의 시동과 종료1.

23-2 보안 감사 기능의 시동과 종료2.

23-3 보안 감사 대응 행동의 설정 및 변경3.

23-4 감시 대상의 설정 및 변경4.

23-5 보안위반 사건 탐지 사실5.

23-6 보안감사 대응 행동의 수행 내용 및 결과6.

- 129 -

23-7 보안위반 사건 목록의 설정 및 변경7.

23-8 시스템 사용에 대한 프로파일 변경8.

23-9 프로파일저장대상의설정및변경9.23-10 보안위반 분석을 위한 환경설정 파일의 설정 및 변경10.

23-11 감사데이터 저장매체의 허용저장 용량의 임계치 설정 및 변경11.

23-12 감사데이터 손실방지를 위한 대응행동의 설정 및 변경12.

23-13 무결성 증거 생성 및 검증13.

23-14 식별 및 인증데이터의 설정 및 변경14.

23-15 인증데이터 생성 및 검증15.

23-16 연속적인 인증실패 한계횟수 설정 및 변경16.

23-17 연속적인 인증실패 한계횟수 초과 시도 감지17.

23-18 식별 및 인증 기능의 수행 성공 및 실패18.

23-19 인증데이터 재사용 시도19.

23-20 시점확인 기능 설정 및 변경20.

23-21 안전한 경로의 설정 및 변경21.

정의 목적1)

본 항목 은 보안 감사 기능의 감사데이터 생성 기능 가운데 침입탐지시스템이 감시대상(23)

시스템 또는 감시대상 네트워크로부터 발생하는 사건들 중에서 감사 기록으로 생성해야 하

는 감사 사건항목들에 대한 정의이다 일반적으로 신뢰도가 높은 시스템을 구성하기 위해서.

는 보다 많은 감사 사건 항목에 대하여 감사 기록 생성이 가능하여야 하며 잠재적으로 보,

안 정책을 위반할 가능성이 있는 사건들에 대한 감사 기록 생성 기능의 지원도 고려되어야

한다 본 항목의 세부 감사 항목들에 대한 정의는 각 평가등급에 상응하는 침입탐지시스템.

의 신뢰도를 지원하기 위해서 반드시 제공되어야하는 감사 사건들을 정의하는 것을 목적으

로 한다 따라서 정의된 감사 사건항목들은 침입탐지시스템의 감사 기능을 수행하는 서브시. ,

스템에서 반드시 감사 기록 생성 기능을 제공하여야 한다.

항목 해설2)

- 130 -

본 항목은 침입탐지시스템의 보안 감사데이터 생성 기능 중 감사 사건항목의 범위를 정의하

고 있는 항목이다 보안 감사 사건 항목의 범위에 대한 정의는 침입탐지시스템의 신뢰도와.

직결된다는 점에서 신중하게 결정되어야 하며 평가 등급을 위하여 고려된 신뢰 수준을 만,

족할 수 있도록 감사 항목이 구성되어야 한다.

감사 기능에 대한 의 감사 대상 사건들에 대한 요구사항에서는 다음과 같은 사건들TCSEC

에 대하여 감사 기록을 생성할 것을 요구하고 있다[2].

◆ 식별 및 인증 메커니즘의 사용

◆ 사용자 주소 영역에서의 객체의 출현 및 삭제

◆ 시스템 보안 관리자와 운영자에 의해 수행된 행위( )

◆ 모든 보안 관련 사건들

◆ 통신 채널 또는 입출력 장치에 대한 보안 수준 및 민감도를 변경하는 행위

◆ 시스템 보안 정책의 위반 상황에 임박함을 암시하는 사건

에서 명시하고 있는 감사 대상 사건들에 대한 요구 사항들은 보안 제품의 감사 기능TCSEC

구성을 위한 기반 자료로 적용 가능하며 침입탐지시스템의 구성 방식의 차이에 따라 감사,

기록 생성이 요구되는 대상 사건들이 차이를 보일 수 있다.

일반적으로 보안 감사 기능은 모든 보안 관련 사건들에 대한 감사 기록생성 기능을 기본적

으로 제공할 것을 요구하며 감사 사건 항목들에 대하여 시스템 관리자 또는 보안 관리자에,

의해 선택적 감사 기록생성이 가능하도록 구성할 것이 권고된다 선택적 감사 기록 생성이.

권고되는 이유는 모든 보안 관련 사건들에 대한 감사 기록 생성으로 인한 감사 분석 효율

저하를 최소화하고 보안 감사데이터 기록 및 저장을 위한 시스템 성능의 저하를 최소화하,

고자 하는 것이다.

- 131 -

현재 고려할 수 있는 선택적 감사 기록 생성 방법은 감사 사건 발생 이전에 감사 기록을 생

성할 감사 사건 항목들을 미리 설정하는 방식과 모든 사건들에 대한 감사 기록pre-selection

을 생성한 후 생성된 감사기록으로부터 검토를 원하는 감사데이터만을 추출하여 별도의 감,

사기록을 생성하는 방식이 있다post-selection .

방식은 설정 단계에서 보안 관련 사건으로 고려되지 않았던 사건이 이 후 심Pre-selection

각한 보안 문제를 초래함으로써 해당 사건에 대한 감사 기록 생성이 이루어지지 않을 수 있

다는 문제점을 안고 있는 반면 시스템 상에서 발생하는 모든 사건에 대한 감사 기록을 생,

성하지 않고 감사 기록을 생성함으로써 시스템 성능 향상 효과를 얻을 수 있다 반대로.

방식은 모든 사건들에 대한 감사 기록이 생성되기 때문에 차후에 보안 관련post-selection

사건으로 판별될 수 있는 사건에 대한 기록 유실을 방지할 수 있는 반면 감사 기록과 저장,

기능 수행을 위해 시스템 성능 저하를 초래할 수 있으며 대용량의 저장 공간이 요구된다는,

문제점을 갖고 있다.

보안 감사 기록 생성을 위하여 고려할 사항으로 식별 및 인증 기능사용에 대한 부분이다.

식별 및 인증 기능은 감사 기능과 함께 사용자의시스템 사용에 대한 책임을 분명히 할 수

있는 기록된 증거로 사용될 수 있다는 점에서 감사 기록 생성이 반드시 요구되며 감사 사,

건의 수행결과 여부 성공 실패 도 감사데이터에 포함하여야 한다( / ) .

본 항목에서 명시하고 있는 세부 감사 사건 항목들은 침입탐지시스템이 생성하는 감사데이

터가 각 평가 등급의 요구사항을 만족하기 위하여 포함하여야 하는 최소 감사 항목을 명시

하고 있으며 항목이 명시하고 있는 세부 감사 사건들에 대하여 해설한다, .

침입탐지시스템의 시동과 종료23-1 1.◈

본 감사 사건 항목은 침입탐지시스템의 관리 책임을 갖는 시스템 관리자 또는 보안 관리자

에 의해 침입탐지시스템이 시동되거나 종료되는 사건에 대한 감사 기록 생성을 요구하는 항

목이다.

- 132 -

일반적으로 감시대상 호스트 또는 감시 대상 네트워크 상에서 시스템 관리자와 보안 관리자

로부터 수행 요구되는 행위를 감사 기록하는 하는 것은 시스템 운용 및 보안의 책임을 갖는

관리자의 관리 미숙 또는 의도된 보안 위협 행위 등을 탐지하기 위해 요구되는 사항이다.

시스템 또는 보안 관리자에 의해 또는 부적합한 방법으로 동일한 관리 권한을 획득한 관리

자에 의해 발생할 수 있는 보안 위협은 이들이 갖는 관리 권한의 범위를 고려할 때 시스템

운용에 막대한 영향을 미칠 수 있기 때문이다.

예를 들어 시스템 보안 관리자 또는 부적합한 방법으로 동일 권한을 획득한 관리자가 의도, ( )

적으로 침입탐지시스템을 정지시키고 계획된 침입행위를 수행할 수 있는 상황이 발생한다

면 감시대상 호스트 또는 네트워크 상에 발생할 수 있는 보안 위협 상황과 침입으로 인한,

피해는 예측하기 어려울 것이다 이와 같은 이유에서 시스템 보안 관리자에 의해 수행되는. ( )

모든 행위 또한 감사 사건으로 정의하여 감사 기록을 생성함으로써 시스템 보안 관리자 역, ( )

시 자신들에게 부여된 의무이외의 행위에 대하여 책임을 명확히 할 수 있도록 하여야 한다.

본 감사 사건 항목은 이러한 관점에서 시스템 보안 관리자 또는 동일관리 권한을 갖는 운( )

용자에 의해 감시대상 호스트 또는 네트워크 상에서 운용되는 침입탐지시스템의 시작 및 종

료 사건에 대하여 감사 기록을 생성함으로써 침입탐지시스템에 대한 관리 책임을 명확히 하

고자 하는데 목적이 있다.

보안 감사 기능의 시동과 종료23-2 2.◈

본 감사 사건 항목은 세부 감사 사건 항목과 동일한 목적으로 정의된 감사 항목으로23-1

분류할 수 있다 일반적으로 침입탐지시스템의 운용 및 관리 책임을 갖는 시스템 보안 관리. ( )

자 또는 운용자가 보안감사 기능에 대한 권한을 갖는 경우가 대부분이지만 내부의 침입자,

로부터 발생할 수 있는 침입탐지시스템의 보안 위협을 최소화하기 위하여 감사 기능을 수행

하는 서브 시스템을 구성하고 보안 감사의 책임을 시스템 보안 관리자 또는 운용자가 아닌, ( )

다른 사람에게 부여함으로써 시스템 운용과 보안 감사의 책임을 분리시키는 경우도 있다.

- 133 -

본 항목은 감사 기능의 책임을 갖는 관리자로부터 요구되는 감사 기능의 시동 및 종료 기능

수행 요구에 대한 감사 기록을 생성하여 기능 수행요구에 대한 책임 소재를 명확히 함과 동

시에 감시대상 호스트와 감시대상 네트워크에 대한 보안 상황의 변화를 감사 기록하고자 하

는데 정의 목적이 있다.

보안감사 대응 행동의 설정 및 변경23-3 3.◈

본 항목은 발생된 보안 감사 사건 대하여 침입탐지시스템의 대응행동수행 방식의 설정 및

변경이 발생했을 경우에 감사 기록을 생성할 것을 요구하는 항목이다 보안 감사 사건 발생.

에 대한 침입탐지시스템의 대응행동 수행 방식은 신뢰도가 높은 시스템일수록 다양하고 보

다 능동적인 방식으로 수행되어야 한다 예를 들어 침입탐지시스템은 보안감사 사건이 발생.

하는 경우에 감사 사건의 심각도에 따라 사용자의터미널 또는 세션의 의심 가는 프로세스,

의 실행 중단 또는 관리자 통보 등의 대응행동이 가능하다, .

이러한 보안감사 대응 행동의 설정 및 변경은 침입탐지시스템의 운용 및 관리의 책임이 있

는 시스템 보안 운용자 또는 관리자에 의해 수행되며 설정 및 변경 권한을 갖는 관리자의( ) ,

책임 소재를 확실히 하고 감시대상호스트 또는 네트워크 상의 보안감사 대응 행동 설정 변,

경으로 인한 보안 상태의 변경을 감사 기록하는 것을 목적으로 정의된 항목이다.

감시 대상의 설정 및 변경23-4 4.◈

본 항목은 침입탐지시스템이 감시대상 시스템 또는 네트워크에 대한설정 및 변경 사건을 감

사 기록할 것을 요구하는 항목이다 일반적으로 침입탐지시스템은 감시대상 시스템 또는 네.

트워크를 설정하고 설정된 시스템 또는 네트워크로부터 감사 사건에 대한 감사 기록을 수,

집하게 된다.

- 134 -

감시 대상 설정 및 변경은 침입탐지시스템의 침입탐지 기능수행과 직접적으로 관련되어 있

는 기능이며 침입탐지시스템의 운용 및 관리 책임을 갖는 시스템 보안 관리자가 보안 관리, ( )

기능을 통하여 수행된다 따라서 감시 대상 설정 및 변경 사건은 감사 기록으로 생성되어. ,

침입탐지시스템의 보안 환경 변경과 관련된 기록을 유지하여야한다.

보안위반 사건 탐지 사실23-5 5.◈

침입탐지시스템은 감시 대상으로부터 보안위반 사건을 탐지하기 위하여 기본적으로 두 단계

의 수행 절차로 구성된다 첫 번째 단계는 감시대상으로부터 감사 정보를 수집하는 단계로.

서 침입탐지시스템이 정의하고 있는 감사 사건 항목과 일치하는 시스템 사건에 대한 감사기

록을 생성하는 단계이다 두 번째 단계는 수집된 감사 기록에 대한 분석을 통하여 보안위반.

사건을 판정하는 단계이다.

침입탐지시스템에 의하여 보안위반 사건이 탐지되면 보안위반 사건보고를 포함한 보안위반,

사건 탐지 대응행동을 수행하게 되며 탐지된 보안위반 사건에 대한 감사 기록을 생성하여,

보안위반 행위에 대한 기록된 증거를 유지하여야 한다.

보안감사 대응 행동의 수행 내용 및 결과23-6 6.◈

본 항목은 보안 감사 사건이 발생했을 경우 보안 관리 기능을 통하여 시스템 보안 관리자, ( )

가 설정한 보안감사 대응행동의 수행 결과를 감사 기록할 것을 요구하는 항목이다 보안 감.

사 대응행동은 앞서 에서 명시한 것과 같이 시스템의 신뢰성이 높을수록 능동적이고23-3 , ,

다양한 대응 행동 방식을 제공할 수 있어야 한다 보안 감사 대응 행동의 구현 방식은 응용.

에 의존적인 부분이기 때문에 구체적인 구현방법에 대한 기술은 본 해설서의(application) ,

범위를 벗어나는 논제이다.

- 135 -

그러나 보안 감사 대응행동의 수행 결과는 보안 감사 사건이 감시대상시스템 또는 네트워,

크에 미치는 보안 영향을 고려하여 수행되는 것이 요구되기 때문에 수행 결과에 따른 감시,

대상 시스템 또는 네트워크의 보안 상태의 변화는 감사 기록으로 생성되어 차후 감사 정책

의 설정 및 변경을 위한 기반 자료로 사용될 수 있다.

보안위반 사건 목록의 설정 및 변경23-7 7.◈

일반적으로 오용 탐지 는 침입 또는 시스템 취약점에 대한 축적된 지식을(misuse detection)

기반으로 알려진 침입 또는 시스템 취약성을 이용하고자 하는 침입 시도를 탐지해 내는 방

식의 침입 탐지 기법이다 이러한 오용 탐지 기법에서 사용하는 지식은 보안위반 사건 목록[].

과 같은 규칙 목록으로 유지되기 때문에 보안위반 사건 목록의 설정 및 변경은 오용 탐지

방식의 침입탐지시스템 기능 수행과 직접적으로 연관되는 부분이다.

지식 기반의 침입탐지시스템은 만일 알려지지 않은 침입 또는 취약성을 이용한 보안위반 사

건이 발생하는 경우에는 이를 탐지할 수 있는 방법이 없다 따라서 지식 기반의 침입탐지시. ,

스템의 경우에는 보안위반 사건목록에 대한 지속적인 갱신을 통하여 가장 최근에 알려진 침

입 또는 시스템 네트워크 취약성들이 보안위반 사건 목록에 반영될 수 있어야한다( ) .

보안위반 사건 목록의 설정 및 변경은 침입탐지시스템의 관리 책임을 갖는 시스템 보안 관( )

리자의 권한을 필요로 하는 기능으로 정의되어야하며 기능의 변경은 감시 대상 시스템 또,

는 네트워크의 보안 환경의 변화를 의미하기 때문에 반드시 감사 기록으로 생성되어야 한

다.

- 136 -

시스템 사용에 대한 프로파일 변경23-8 8.◈

행위 기반 방식의 침입탐지시스템은 시스템 또는 사용자의 일반적인 행위나 또는 예상되는

행위의 범위를 벗어나는 행위를 관찰함으로써 시스템 또는 사용자에 의해 발생되는 비정상

적인 행위를 탐지하며 이러한 방식의 침입탐지 기법을 행위 기반 침입탐지 기법이라 한다, .

행위 기반 침입탐지시스템은 다양한 방식으로 수집된 프로파일 정보를 이용하여 시스템 또

는 사용자의 비정상 행위를 탐지하며 프로파일정보의 수집 방법으로는 크게 사용자 로그인,

및 세션 행위 명령어 또는 프로그램 실행 행위 파일 접근 행위 정보를 프로파일 정보로 이, ,

용하게 된다[4].

행위 기반 침입탐지 기법은 알려지지 않은 보안위반 사건 또는 시스템 네트워크 취약성을( )

이용한 침입을 탐지할 수 있다는 장점이 있지만 시스템 또는 네트워크 상에서 행하여지는,

모든 행위에 대한프로파일 구성이 어렵기 때문에 오 탐지 비율이 높다는 만점이 있다 시스.

템 사용에 대한 프로파일 변경은 행위 기반 침입탐지 기법을 사용하는 침입탐지시스템이 비

정상 행위를 선별하기 위한 기준이 되는 정보에 대한 변경을 의미하며 일반적으로 몬 기능,

은 침입탐지시스템의 관리 책임을 갖는 시스템 보안 관리자에게 부여된 권한이다 따라서( ) . ,

시스템 사용에 대한 프로파일이 변경은 침입탐지시스템의 감시대상시스템 또는 네트워크의

보안 환경의 변화를 의미하는 사건이며 보안환경의 변화로 인한 책임 소재를 명확히 하기,

위한 목적으로 사건에 대한 감사 기록 생성이 요구된다.

프로파일 저장 대상의 설정 및 변경23-9 9.◈

비정상 행위 탐지를 수행하는 침입탐지시스템은 시스템 프로파일에 대한학습 단계를 통하여

시스템 프로파일을 생성하게 된다 만일침입탐지시스템이 해당 시스템 프로파일에 대한 정.

보를 수집하여 현재 저장되어 있는 프로파일 정보에 대한 변경이 요구되는 경우 저장되어,

있는 프로파일 정보에 대한 변경은 감사 기록하여 시스템이 수집한 프로파일 정보에 대한

기록된 증거를 생성하여야 한다.

- 137 -

따라서 본 항목은 침입탐지시스템이 비정상 행위 기반의 탐지 방식을 지원하는 경우 사용, ,

자 및 시스템의 프로파일에 대하여 시스템의 저장 정보가 학습 과정을 통하여 변경되는 경

우에 이에 대한 감사 기록을 생성할 것을 요구하는 항목이다.

보안위반 분석을 위한 환경설정 파일의 설정 및 변경23-10 10.◈

일반적으로 침입탐지시스템들은 보안위반 분석을 위한 보안위반 사건목록 또는 프로파일 정

보 이외에 보안위반 분석을 위한 환경설정 파일을 유지한다 이러한 환경 설정 파일의 구성.

형태는 침입탐지시스템의 구성형태에 따라 차이를 보이지만 대표적인 보안위반 분석을 위,

한 환경정보로는 보안위반 사건 목록과 프로파일 정보를 포함하여 감사데이터에 대한 접근

통제를 포함한 보호 정책 정보 보안위반 사건 대응 행동설정 정보 등을 고려할 수 있다 또, .

한 보안위반 분석 기능이 중앙 집중형 또는 분산형으로 구성되었는지에 따라 추가적인 보안

위반 분석환경 정보가 요구될 수도 있다 이러한 정보 이외에도 보안위반 분석기능과 간접.

적으로 관련 있는 감사 대상 사건 항목 정보 보안감사 대응행동 설정 정보 감사데이터 보, ,

호 정책 정보 감사 축약 정책 정보 감사 주체 및 객체의 보안 수준 정보 등을 환경 설정, ,

정보로 포함할 수도 있다.

보안위반 분석을 위한 환경설정 파일의 관리는 보안위반 분석 기능과 직접적으로 관련되어

있는 기능이며 침입탐지시스템의 운용 및 관리책임이 있는 시스템 보안 관리자에게 부여된, ( )

기능이기 때문에 보안관리 기능 수행을 통한 환경 설정 파일의 변경은 감사 기록되어야 한,

다.

감사데이터 저장매체의 허용저장 용량의 임계치 설정 및 변경23-11 11.◈

- 138 -

감사데이터를 저장하는 저장 매체는 물리적으로 저장 용량의 한계를 갖기 때문에 만일 생,

성된 감사데이터의 용량이 저장 매체의 용량을 모두 소진했을 경우 보안상 중요한 감사데이

터의 손실 위험이 존재하게 된다 신뢰성 있는 보안 시스템의 구성을 위해서는 이러한 저장.

매체의 저장 용량 소진으로 인한 감사데이터의 손실을 막기 위하여 감사데이터저장 용량 임

계치를 설정하여 저장 매체의 사용량이 임계치에 도달했을 경우에 이에 대한 대응 행동을

수행함으로써 감사데이터를 보호하는 기능을 요구한다.

본 항목은 이러한 목적으로 정의된 감사데이터 저장매체의 허용 용량 임계치가 시스템 보(

안 관리자에 의해 설정 또는 변경되었을 경우 이를 감사 기록으로 생성하여 보안 환경의) ,

변경을 감사 기록함으로써 만일 저장 매체의 소진으로 인한 감사데이터의 손실이 발생하였,

을 경우 이에 대한 책임 소재를 명확히 함을 목적으로 한다, .

감사데이터 손실방지를 위한 대응행동의 설정 및 변경23-12 12.◈

감사데이터의 손실은 저장 매체의 저장 용량 소진 예측치 못한 전원공급의 중단 저장 매체, ,

의 물리적인 고장 등 여러 가지 원인에 의해 야기 될 수 있다 이와 같은 원인으로 인한 감.

사데이터 손실방지를 위해 시스템은 대응행동 기능을 제공할 것을 요구한다 고려 가능한.

대응 행동으로는 저장 용량의 소진의 경우에는 시스템 보안 관리자 통보 시스템의 동작 정( ) ,

지 및 재시동 저장 데이터를 다른 매체로 이동 감사메커니즘의 사용을 필요로 하는 모든, ,

행위의 차만 감사 기능의 정지 등 다양한 방식이 제공될 수 있다 예기치 않은 정전 사고, . ,

또는 매체의 고장으로 인한 감사데이터의 손실을 막는 방법으로는 감사 기록에 대한 복사본

을 주기적으로 생성하여 사고 발생시 복사본으로부터 감사 기록을 복원하는 방식을 고려할

수 있다.

본 항목은 침입탐지시스템이 감사데이터 손실방지를 위해 제공하는 대응행동에 대한 설정

및 변경 사건을 감사 기록할 것을 요구하는 항목이며 의 경우와 마찬가지로 시스템의, 23-11

보안 환경의 변화를 감사 기록하고 관리자의 책임 소재를 명확히 하기 위함이다, .

- 139 -

무결성 증거 생성 및 검증23-13 13.◈

침입탐지시스템의 데이터보호 기능은 크게 데이터의 비 인가된 노출을 막기위한 기밀성과

비 인가된 변조를 탐지하기 위한 무결성을 제공하여야 한다 가사데이터를 포함하여 시스템.

운용 및 관리와 관련 있는 데이터들은 무결성 기능을 통하여 비 인가된 변조 발생을 탐지하

게 된다.

데이터 무결성 점검을 위해서는 원본 데이터에 대한 증거 데이터를 생성하고 주기적 또는,

관리자의 요구에 의하여 원본 데이터에 대한 무결성 값을 재생산한 후 이전에 계산되어 있,

는 증거 데이터와의 비교를 통하여 변조 유무를 파악하는 방식이 주로 이용된다 장 데이(5 .

터의 보호 기능 참조 데이터에 대한 무결성 제공 기능은 저장데이터뿐만 아니라 전송 데). ,

이터에 대해서도 동일한 방식으로 메시지에 대한 무결성을 점검할 수 있다 따라서 원본 데. ,

이터에 인가된 변경이 발생하는 경우에는 증거 데이터의 값은 다시 계산되어 저장되어야 하

며 증거 데이터 생성 및 무결성 검사 사건은 감사 기록되어 비 인가된 데이터의 변조 사건,

을 기록된 증거로 생성하여야 한다.

식별 및 인증데이터의 설정 및 변경23-14 14.◈

에서는 보안시스템은 식별 및 인증 메커니즘의 사용을 감사대상 사건 항목으로 포TCSEC

함할 것을 명시하고 있다 식별 및 인증 메커니즘은 사용자의 시스템 사용에 대한 기록된[2].

증거를 생성하기 위해 행위 주체를 파악할 수 있는 근거 자료를 제공하기 때문에 감사 데이

터의 생성 기능에서 반드시 요구되는 기능이다.

감시대상 시스템의 식별 및 인증 데이터 설정 및 변경 기능은 도입하고 있는 식별 및 인증

메커니즘에 따라 차이를 보일 수 있다 일반적으로 식별 및 인증 데이터의 설정은 시스템.

보안 관리자에 의해 초기 설정되며 이 후 시스템 보안 관리자 또는 사용자 본인에 의해( ) , ( )

인증데이터에 대한 변경이 가능하다.

- 140 -

식별 및 인증데이터의 설정 및 변경과 관련된 기능 요구사항은 제 장 신분 확인 기능 요4

구사항 해설부분에서 명시하고 있기 때문에 몬 장에서는 메커니즘에 대한 기술을 포함하지,

않는다.

시스템 보안 관리자에 의해 수행된 사용자 식별 및 인증데이터의 초기설정은 반드시 감사( )

기록으로 생성되어야 하며 이 후 사용자 또는 관리자에 의해 수행되는 사용자 인증데이터,

에 대한 변경 또한 감사 기록되어야 한다.

인증데이터 생성 및 검증23-15 15.◈

특정 보안 시스템의 경우에는 시스템의 신뢰도를 향상시키기 위하여 사용자가 인증데이터를

선택하는 방식이 아닌 시스템이 인증데이터를 생성하는 방식을 사용하는 경우가 있다 이러.

한 방식을 사용하는 침입탐지시스템의 경우에는 시스템에 의하여 인증데이터가 생성되는 경

우와 입력된 인증데이터에 대한 검증이 수행되는 경우에 대한 감사기록 생성이 요구된다.

시스템에 의하여 인증데이터가 생성되는 경우에는 시스템은 인증데이터 생성 알고리즘을 보

유하고 있어야 하며 인증데이터 생성 알고리즘에 의해 새로운 인증 데이터가 생성되는 사,

건에 대하여 감사 기록을 생성한다 또 다른 경우로는 침입탐지시스템이 일회용 패스워드를.

사용하는 경우를 예로 들 수 있다 일반적으로 일회용 패스워드를 사용하는 경우에는 사용.

자가 인증데이터 생성 알고리즘이 탑재된 장비를 통하여 주기적으로 변환되는 일회용 인증

데이터를 생성하고 생성된 일회용 인증 데이터를 통하여 로그인 요청을 하면 침입탐지시스, ,

템의 인증데이터 검증 메커니즘이 입력된 인증데이터에 대한 검증을 통하여 사용자 인증을

수행하는 방식이다.

- 141 -

일회용 패스워드가 사용되는 방식에서는 주로 사용자가 침입탐지시스템으로부터 얻은 토큰

정보를 이용하여 패스워드를 생성하게 되며 인증데이터에 대한 검증메커니즘은 토큰 정보,

를 사용하여 검증을 위해 생성한 인증데이터를 비교해 몸으로써 입력된 인증데이터의 유효

성을 확인하게 된다 인증데이터 생성 및 검증과 관련된 메커니즘 기술은 장 신분확인 기. 4

능부분에서 자세히 기술한다.

연속적인 인증실패 한계횟수 설정 및 변경23-16 16.◈

일반적으로 시스템들이 도입하고 있는 식별 및 인증 메커니즘들은 사용자의 로그인 실패 사

건에 대한 감사 기록 생성뿐만 아니라 특정 횟수 이상 연속적으로 발생하는 동일 계정 또,

는 동일 접근 포트를 통한 로그인 실패 사건에 대한 감사 기록 생성이 요구된다 이는 감시.

대상시스템과 침입탐지시스템의 식별 및 인증 메커니즘이 모두 제공해야하는 기능으로 정의

된다.

침입탐지시스템이 제공하는 보안 관리 기능에는 사용자의 연속적인 인증실패 한계횟수 정보

를 설정 또는 변경할 수 있는 기능이 제공되어야하며 시스템이 제공하는 보안 관리 기능을,

통하여 한계회수에 대한 변경이 발생하는 경우에는 이를 감사 기록하여 보안 환경의 변화를

기록된 증거로 생성하여야 하며 정보 변경에 대한 책임 소재를 명확히 하는데 목적이 있다, .

연속적인 인증실패 한계횟수 초과 시도 감지23-17 17.◈

에서 명시한 연속적인 사용자 로그인 실패 한계횟수의 설정 정보를 이용하여 침입탐23-16

지시스템은 감시대상 시스템 또는 침입탐지시스템의 식별 및 인증 메커니즘에서 발생할 수

있는 연속적인 로그인 실패 사건을 감지하는 기능을 제공한다 만일 동일한 사용자계정 또.

는 동일 접근 포트를 통하여 연속적인 로그인 실패 사건이 감지되면 시스템은 사건을 감사,

기록으로 생성하여 기록된 증거를 생성하여야 한다.

- 142 -

식별 및 인증 기능의 수행 성공 및 실패23-18 18.◈

식별 및 인증 메커니즘의 사용과 관련된 감사 기록 생성은 인증데이터의 사용과 변경에 관

련된 모든 사건에 대하여 수행되어야 하며 식별 및 인증 기능의 수행 결과에 대한 감사 기,

록 생성 기능 또한 감사 대상사건 항목으로 정의된다 식별 및 인증 기능의 수행 결과를 감.

사기록으로 생성하는 경우에는 식별 정보 로그인 는 감사 기록 정보로( ID, Magnetic Strip)

사용될 수 있지만 인증 정보 사용자 패스워드 는 감사 기록으로 생성하지 않을 것이 권고되, ( )

며 이는 잘못 입력된 사용자 인증데이터의 노출을 방지하기 위함이다, .

에 의하면 성공적인 로그인 수행에 대해서도 사용자에게 수행결과를 통보함으로써 사용[5] ,

자가 자신의 사용자 식별자와 인증 데이터가제 자에 의해 도용되었는지를 판단할 수 있는3

정보를 제공할 수 있도록 정의하고 있다 성공적인 로그인 수행에 따른 사용자 통보정보로.

는 다음과 같은 항목들이 고려될 수 있다.

◆ 사용자의 최종 로그인 날짜 및 시간

◆ 사용자의 마지막 로그인 위치 정보

◆ 최종 사용자 로그인 이후 동일 사용자 식별자를 통하여 발생한로그인 실패 정보

인증데이터 재사용 시도23-19 19.◈

네트워크를 통해 사용자가 침입탐지시스템에 원격 로그인을 수행하는 경우 제 자에 의해, 3

인증데이터가 재사용될 가능성이 있다 인증데이터 재사용을 방지하기 위한 메커니즘은 제.

장을 신분 확인기능에서 기술된다4 .

일반적으로 인증데이터 재사용 방지 메커니즘이 사용되는 경우에는 인증데이터의 재사용 시

도는 사용자 로그인의 실패로 나타나게 되며 감사 기록의 생성은 사용자 인증 실패 감사,

기록 생성과 동일한 가사 사건 항목으로 정의될 수 있다.

- 143 -

만일 사용되는 인증데이터 재사용 방지메커니즘을 통하여 인증데이터의 재사용 정보의 수,

집이 가능한 경우에는 인증 실패 감사 사건 기록이외에 인증데이터 재상용 시도에 대한 감

사기록으로 생성 가능하다.

시점확인 기능 설정 및 변경23-20 20.◈

시점확인 기능은 감사데이터를 포함한 침입탐지시스템 내에서 발생하는 모든 사건에 대한

기록을 생성하는 과정에서 포함되는 시간 및 일자정보를 신뢰성 있는 수단을 통하여 제공할

것을 요구하는 기능이다 정확한 시간 정보의 유지는 침입탐지시스템의 구성 요소간에 시간.

동기화에 의한 동작이 요구되거나 보안 위반 분석을 위한 정확한 시간정보가 요구되는 경우

에 중요한 자료가 될 수 있기 때문에 반드시 신뢰성 있는 수단을 통하여 제공되어야 한다.

본 항목은 침입탐지시스템이 제공하는 시간 및 일시 정보에 대한 설정 및 변경 사건이 발생

하는 경우에 이를 감사 기록하여 정보 변경으로 인한 보안 환경의 변화를 기록하고 변경,

책임 소재를 명확히 하는데 목적이 있다.

안전한 경로의 설정 및 변경23-21 21.◈

침입탐지시스템이 원격 관리 기능을 제공하는 경우 관리자가 수행하는 보안 관리 기능 요구

가 안전한 경로를 통하여 수신되는 것을 보장할 수 있어야 한다 안전한 경로를 보장하기.

위한 수단으로는 크게 관리자의접근 호스트의 제한 관리자 경로에 대한 기밀성 및 무결성,

보장 등을 고려할 수 있으며 이에 대한 보다 상세한 내용은 장 보안관리 보호기능 부분에, 8

서 기술된다.

침입탐지시스템의 관리 책임을 갖는 시스템 보안 관리자가 원격 관리를 위한 경로의 보장( )

을 위해 관리자 접근 호스트 정보를 변경하거나 경로에 대한 기밀성 및 무결성 관련 정보,

를 변경하는 경우 이를 감사 기록하여 기록된 증거를 유지하여야 한다, .

- 144 -

항목 적용 예3)

침입탐지시스템의 시동과 종료23-1 1.◈

본 감사 사건 항목은 침입탐지시스템의 운용 및 관리의 책임이 있는 시스템 운용자 또는 시

스템 보안 관리자에 의해 요구되는 침입탐지시스템의 시동 및 종료 기능 수행에 대한 감사( )

기록 생성을 명시하고 있다 본 항목은 침입탐지시스템의 구성 형태와 상관없이 모든 침 입.

탐지 시스템에 동일하게 적용되는 항목이며 만일침입탐지시스템이 다중 호스트 기반으로,

구성되어 있는 경우에는 분산되어 있는 다수의 침입탐지 시스템 또는 침입탐지 에이전트의

시동 및 종료 사건 또한 감사 기록되어야 한다.

만일 다중 호스트로 구성된 침입탐지시스템의 경우에 원격 관리 기능을 통한 분산 호스트들

에 대한 시동 및 종료 관리 기능을 제공한다면 원격관리 시스템은 본 항목에 의거하여 호,

스트들에게 요구되는 운용 시작 및 종료 요구를 모두 감사 기록하여야 한다.

보안 감사 기능의 시동과 종료23-2 2.◈

본 감사 항목은 보안 감사 기능의 운용 및 관리 책임이 있는 관리자에 의해 수행 요구된 기

능의 시동 및 종료 요구를 감사 기록함으로써 감시대상 호스트 또는 네트워크의 보안 상황

의 변화를 감사 기록하고 기능 수행에 대한 책임 소재를 명확히 하고자 하는데 정의 목적,

이 있다 항목도 항목과 마찬가지로 다중 호스트 기반의 시스템으로 구성되는 경. 23-2 23-1

우에는 분산된 호스트들에서 운용되는 감사 기능의 시작과 종료는 반드시 감사 기록으로 생

성되어야 하며 원격 관리 기능이 제공되는 경우에는 중앙의 관리 시스템상에서 원격 보안,

감사 기능 시작 및 종료와 관련된 관리 기능 수행에 대한 감사 기록이 생성되어야 한다.

보안감사 대응 행동의 설정 및 변경23-3 3.◈

- 145 -

본 항목은 침입탐지시스템의 보안 관리 기능에 의해 발생하는 보안감사 대응 행동의 설정

및 변경에 대한 감사 기록을 생성할 것을 요구하는 항목이다 보안 감사 사건의 종류에 따.

라 대응행동 방식에 차이를 보이게 되는데 보안위반 사건과 관련된 감사 사건이 발생하는,

경우에는 사용자 터미널의 차만 사용자 로그인 세션의 차단 의심되는 사용자프로세스의 실, ,

행 중단 관리자 통보 트래픽 유입의 차단 네트워크 기반침입탐지시스템의 경우 기능 등을, , ( )

대응행동으로 고려할 수 있다 만일감사 기록 저장 매체의 임계 용량 초과와 같은 시스템.

운용과 관련된 감사 사건이 발생했을 경우에는 관리자 통보 감사데이터의 백업 기능 등이,

감사 사건 대응행동으로 고려될 수 있다 이와 같이 보안감사대응행동은 침입탐지시스템의.

신뢰도와 상응하는 대응행동 수행 기능을 제공하고 시스템 보안 관리자에 의해 대응 행동, ( )

의 설정 및 변경이 가능하며 관리자에 의한 보안 감사 대응 행동의 설정 및 변경은 감사기,

록으로 생성되어야 한다.

감시 대상의 설정 및 변경23-4 4.◈

침입탐지시스템의 감시 대상은 침입탐지시스템의 유형에 따라 차이를 보일 수 있다 우선.

가장 일반적으로 호스트 기반의 침입탐지시스템의 경우에는 감시 대상이 시스템이 되며 네,

트워크 기반 침입탐지시스템은 보안 대상 네트워크가 감시 대상으로 설정될 수 있다.

또한 감시 대상의 설정 및 변경은 감사 사건 기록 항목에 대한 설정변경에 대해서도 적용될

수 있는데 이는 감사 사건 기록 항목의 설정변경이 침입탐지시스템의 감시 대상 사건의 변,

경을 의미하기 때문이다 만일 시스템 보안 관리자가 감사 사건 기록 항목에 대한 변경을. ( )

수행하게 되면 침입탐지시스템의 감사 시스템은 항목으로부터 제외된 시스템 사건에 대해,

서는 감사 기록을 생성하지 않는다 이러한 경우에 제외된 감사 사건이 보안 위협 요소를.

내재하고 있는 것으로 판단되는 경우에 감사 기록의 부재로 인하여 감사 분석이 불가능한

경우가 발생할 수 있다 의 경우(pre-selection ).

- 146 -

보안위반 사건 탐지 사실23-5 5.◈

본 항목은 침입탐지시스템이 보안위반 사건을 탐지하게 되는 경우 사건에 대한 감사 기록,

을 생성할 것을 요구하는 항목이며 보안위반행위에 대한 기록된 증거 유지를 목적으로 한,

다 본 항목은 침입탐지시스템의 구조에 따라 구현 방식에 차이를 보일 수는 있지만 모든. ,

형태의 침입탐지시스템 상에서 적용 가능해야 한다.

보안감사 대응 행동의 수행 내용 및 결과23-6 6.◈

본 항목은 침입탐지시스템이 정의하고 있는 감사 사건이 발생에 대하여 대응 행동 수행 기

능이 설정되어 있는 경우 수행 결과에 대한 감사기록을 생성함으로써 시스템 보안 관리자, ( )

에 의해 수행된 대응행동의결과로 나타나는 감시대상 시스템 또는 네트워크의 보안 상태의

변화에 대한 기록을 유지하고자 하는데 목적이 있다 특히 실시간 적인 대응행동 수행이 요.

구되는 감사 사건이 발생했을 경우 사건의 발생시점으로부터 대응 행동 수행 시점까지의,

소요 시간에 대한 분석을 통하여 침입탐지시스템의 대응 행동 수행에 있어 정상 동작 여부

를 파악하기 위한 자료로도 이용 가능하다.

보안위반 사건 목록의 설정 및 변경23-7 7.◈

보안위반 사건 목록을 통한 침입탐지 방식은 오용 탐지 방식의 침입탐지시스템에 한정된 기

능으로 정의되기 때문에 보안위반 사건목록에 대한 설정 및 변경 기능 역시 오용 탐지 방식

을 사용하는 시스템에 국한되는 보안 관리 기능이다.

침입탐지시스템의 관리 책임을 갖는 시스템 보안 관리자가 보안위반사건 항목의 추가 또는( )

삭제의 관리 기능을 수행하는 경우 해당보안위반 사건의 설정 정보 변경은 반드시 수행 결,

과와 함께 기록되어 보안위반 사건의 변경으로 인한 보안 환경의 변화와 변화를 요구한 수

행주체를 감사 기록으로 생성하여야 한다.

- 147 -

본 항목은 호스트 기반 또는 네트워크 기반 침입탐지시스템의 분류와는 상관없이 오용 탐지

에 기반한 침입탐지시스템에 대하여 적용 가능한 항목이다.

시스템 사용에 대한 프로파일 변경23-8 8.◈

본 항목은 비정상 행위 탐지 방식을 사용하는 침입탐지시스템의 프로파일 정보에 대한 변경

이 발생하는 경우 이를 감사 기록할 것을 요구하는 항목이다 일반적으로 침입탐지시스템의, .

프로파일 정보는 감시대상 시스템 또는 네트워크로부터 행위 정보를 수집하여 프로파일정보

를 구성하고 구성된 정보를 이용하여 비정상 행위를 판단하게 된다 따라서 주기적으로 수, . ,

집되는 프로파일 정보는 기존 프로파일 정보의 변경을 필요로 하거나 새로운 프로파일 항,

목의 추가를 필요로 하는 경우가 발생할 수 있다 이와 같이 프로파일에 대한 변경이 발생.

하는 경우에는 이를 감사 기록으로 생성하여 보안 환경의 변화를 기록된 증거로 유지할 수,

있어야 한다.

시스템 프로파일 정보는 침입탐지시스템의 유형에 따라 차이를 보일 수 있는데 일반적으로,

호스트 기반 침입탐지시스템의 경우 감시대상 시스템상에서 발생하는 행위 정보를 수집하여

프로파일을 구성하는 반면 네트워크 기반 시스템의 경우에는 네트워크 패킷으로부터 또는,

트래픽 정보를 행위 정보를 수집하여야 한다 예를 들면 특정 호스트로 요구되는 특정 서비. ,

스 요청에 대한 비정상 행위 탐지를 위해 호스트기반 침입탐지시스템의 경우에는 서비스,

요청에 의하여 호스트상에서 실행된 프로그램 정보에 대한 프로파일 구성이 가능하지만 네,

트워크기반 침입탐지시스템의 경우에는 감시대상 네트워크로 유입되는 패킷의 헤더 정보의

확인을 통하여 프로파일 정보를 구성해야 한다.

프로파일 저장 대상의 설정 및 변경23-9 9.◈

본 항목은 침입탐지시스템이 비정상 행위 탐지 기법을 사용하는 경우에만 적용되는 항목이

며 비정상 행위 판단의 자료로 사용되는 프로파일 정보에 대한 변경이 발생하는 경우 이를, ,

감사 기록할 것을 요구하는 항목이다.

- 148 -

프로파일 정보 관리 기능을 통하여 관리자에 의해 설정 및 변경되는 시스템 프로파일에 대

한 설정 정보는 에 의해 감사 기록되며 시스템의 학습 과정을 통하여 저장되어 있는23-8 ,

프로파일정보에 대한 변경이 요구되는 경우에는 본 항목에 의해 감사 기록이 생성되어야 한

다.

보안위반 분석을 위한 환경설정 파일의 설정 및 변경23-10 10.◈

보안위반 분석을 위해 추가적으로 정의되는 환경설정 정보의 범위는 침입탐지시스템의 구현

방식에 따라 차이를 보일 수 있으며 본 항목은 환경설정 정보의 변경의 결과로 나타나는,

보안 환경의 변화를 감사 기록할 것을 요구하는 항목이다 보안위반 분석 기능만을 고려할.

때 분산 방식과 중앙 집중 방식은 환경 설정 정보에 차이를 보인다 보안위반 분석 기능이, .

분산 방식으로 구성된 경우에는 분산구성요소에게 부여된 접근 권한 저장 공간 처리 능력, ,

등과 관련된 환경설정 정보가 요구되며 중앙 집중형 보안위반 분석은 수집된 감사데이터를,

중앙의 보안위반 분석 구성요소에게 전달하기 위한 환경설정정보가 요구된다.

감사데이터 저장매체의 허용저장 용량의 임계치 설정 및 변경23-11 11.◈

본 항목은 저장매체의 소진으로 인한 감사데이터의 손실을 막기 위해 요구되는 디스크 사용

량에 대한 임계치 설정 기능에 대한 보안 관리기능에 대한 감사 기록 생성을 요구하는 항목

이다 저장 매체에 대한 임계치 설정 기능은 다양한 형태로 구현 가능하며 침입탐지시스템. ,

의 관리자는 시스템에 적용된 감사 기능 구성 형태 및 메커니즘을 고려하여 임계치를 설정

또는 변경하여야 한다.

- 149 -

저장 매체 임계치 설정 정보는 감사데이터가 다중 호스트에 분산되어 관리되는 경우에는 각

호스트에 대해 개별적인 관리가 가능하도록 구성되어야 하며 개별 호스트에 대한 임계치,

정보 변경 역시 감사 기록되어야 한다.

감사데이터 손실방지를 위한 대응행동의 설정 및 변경23-12 12.◈

감사데이터의 손실방지를 위한 메커니즘은 모든 침입탐지시스템에 대하여 요구되는 기능이

다 현재 감사데이터 손실방지를 위해 가장 많이 사용하는 대응 행동은 방식이 물리적으로.

분리된 두 개의 매체에 동일한 감사 기록을 생성하고 만일 본 감사 기록에 문제가 발생하,

는 경우 백업 감사 기록으로부터 이를 복원하는 방식이다, .

이 외에도 저장 매체의 소진으로 인한 감사데이터의 손실 방지는 기록되어 있는 감사데이터

의 보호를 위하여 감사데이터의 물리적 매체의 이동이 고려될 수 있으며 이러한 대응 방식,

이 어려울 경우에는 추가적으로 생성되는 감사데이터의 생성을 차단하는 방식 또는 감사데

이터를 압축하는 방식 등이 고려될 수 있다.

무결성 증거 생성 및 검증23-13 13.◈

침입탐지시스템은 감사데이터를 포함하여 보안 관련 데이터들에 대한 무결성 제공을 통하여

데이터의 무결성 기능을 포함한 데이터 보호기능을 제공하도록 요구된다 무결성 기능은 저.

장 데이터뿐만 아니라 침입탐지시스템을 구성하고 있는 구성 요소간에 데이터의 전송이 요,

구되는 경우 전송 데이터에 대한 무결성 검사를 통하여 비 인가된 변조 유무를 확인할 수,

있어야 한다.

다중 호스트로 구성된 침입탐지시스템의 경우에는 개별 호스트들은 모두 독립적인 무결성

점검 기능을 보유하고 있어야 하며 개별 호스트 상에서 관리되는 보안 관련 데이터에 대한,

무결성 기능 제공 및 호스트들 사이에서 교환되는 메시지에 대한 무결성 기능을 통하여 메

시지에 대한 비 인가된 변조를 탐지할 수 있어야 한다.

- 150 -

개별 호스트간의 메시지 교환 과정에서 무결성 기능에 의해 메시지에 대한변조가 탐지되는

경우에는 감사 기록 생성 이외에 추가적으로 메시지의 교환을 수행한 호스트간에 감사 정보

에 대한 공유가 요구될 수도 있다.

식별 및 인증데이터의 설정 및 변경23-14 14.◈

식별 및 인증 메커니즘의 사용과 관련하여 감사 기록을 생성해야 하는 항목은 다음과 같은

사건을 고려할 수 있다.

◆ 성공적인 로그인

◆ 실패한 로그인 시도

◆ 초기 인증데이터의 설정

◆ 인증데이터 변경 절차의 사용

◆ 패스워드 사용 만기로 인해 사용자 계정 차단

식별 및 인증 메커니즘의 사용에 대한 감사 기록을 생성할 시에 유의할 점은 감사 기록 내

에 실제 패스워드 또는 잘못 입력된 패스워드의 문자열이 기록으로 생성되어서는 안 된다는

점인데 이는 감사 기록을 통한 패스워드 노출의 우려가 존재하기 때문이다, .

본 항목에서 명시하고 있는 식별 및 인증데이터의 설정 및 변경에 대한 감사 기록 생성은

초기 인증데이터 설정 인증데이터 변경 절차의 사용 그리고 패스워드 사용 만기로 인한 사, ,

용자 계정 차단 등이 감사 기록되어야 함을 의미한다.

인증데이터 생성 및 검증23-15 15.◈

본 항목은 침입탐지시스템이 인증데이터 생성 알고리즘을 통하여 인증데이터를 생성하고 검

증하는 방식을 도입하고 있는 경우 인증데이터 생성 및 검증 기능의 수행에 대한 감사 기,

록을 생성할 것을 요구하는 항목이다.

- 151 -

특히 일회용 패스워드와 같은 특정 패스워드 관리 메커니즘을 사용하는 경우에는 패스워드

관리 기능의 정상적인 기능 동작이 매우 중요한 기능요소로서 정의되기 때문에 인증데이터

의 생성 및 검증은 기능의 정상동작 유무를 판단할 수 있는 근거 자료를 제공하고 인증데,

이터의 검증과정에서 유출되는 검증 결과는 사용자의 시스템 접근에 대한 기록된 증거로 사

용될 수 있기 때문에 감사 기록대상으로 포함되어야 한다.

연속적인 인증실패 한계횟수 설정 및 변경23-16 16.◈

본 항목은 감시대상 시스템 및 침입탐지 시스템의 식별 및 인증 메커니즘이 연속적인 사용

자 로그인 실패 사건 탐지를 위해 사용되는 한계 횟수 정보에 대한 변경 사건을 감사 기록

할 것을 요구하는 항목이다 연속적인 사용자 로그인 실패 한계횟수 정보에 대한 관리는 침.

입탐지시스템의 관리 책임을 갖는 시스템 보안 관리자에게 부여된 권한으로 정의되기 때문( )

에 보안 관리 기능을 통한 정보 변경은 관리자를 사건의 주체로 설정하여 감사 기록을 생,

성하게 된다.

◈ 연속적인 인증실패 한계횟수 초과 시도 감지23-17 17.

본 항목은 시스템이 설정하고 있는 한계횟수 이상 연속적인 사용자 로그인 실패 사건을 감

지하는 경우 해당 사건을 감사 기록할 것을 요구하는 항목이다 감사 기록에는 연속적인 로, .

그인 실패를 야기한 사용자 계정 정보 사건의 근원지 정보 터미널 또는 접근 포트 정보, ( ),

사건의 시간 정보 등이 포함되어야 한다.

식별 및 인증 기능의 수행 성공 및 실패23-18 18.◈

본 항목은 사용자 식별 및 인증 기능의 수행 결과에 대한 감사 기록을 생성할 것을 요구하

는 항목이다 감사 기록의 생성은 감시대상 시스템과 침입탐지시스템 모두를 포함하며 감사. ,

기록의 생성시에는 로그인이 수행된 사용자 식별 정보 사건 발생 시간 수행 결과 등을 포, ,

함하여야 한다.

- 152 -

만일 사용자 식별 정보가 부적합한 것으로 판정되는 경우에는 입력된 식별 정보를 감사 기

록으로 생성하지 않는 것이 권고되는데 그 이유는 만일 시스템이 사용자 식별 정보의 입력,

을 대기하고 있는 상황에서 사용자가 자신의 인증 데이터를 입력하여 식별 정보의 오류가

발생하는 경우 입력된 식별 정보를 감사 기록으로 생성하는 경우에 사용자의 인증데이터가

노출될 위험이 있기 때문이다.

인증데이터 재사용 시도23-19 19.◈

본 항목은 침입탐지시스템이 제 자에 의해 발생할 수 있는 인증데이터의 재사용 사건을3

탐지하는 경우 이를 감사 기록할 것을 요구하는 항목이다 그러나 일반적으로 인증데이터, . ,

재사용 방지를 위하여 사용되는 메커니즘은 시스템 재사용 여부와는 상관없이 입력된 인증

데이터의 유효성 여부만을 판단하기 때문에 재사용 방지 기능을 제공하지만 인증데이터의,

재사용에 대한 감지 기능은 제공하지 않는 경우가 많다 따라서 본 항목은 사용된 인증 데. ,

이터 재사용 방지 메커니즘이 인증데이터 재사용 감지 기능을 제공하는 경우에 한하여 감사

기록을 생성할 것을 요구한다.

시점확인 기능 설정 및 변경23-20 20.◈

시점확인 기능은 감사데이터를 포함한 침입탐지시스템 내에서 발생하는 모든 사건에 대한

기록을 생성하는 과정에서 포함되는 시간 및 일자 정보를 신뢰성 있는 수단을 통하여 제공

할 것을 요구하는 기능이다.

시점 확인 기능의 신회 시간 정보를 데이터에 부여함으로써 특정 시간에 데이터가 존재했음

을 확인하는 기능으로서 시점 확인 기능의 설정 및 변경은 시스템의 신뢰도와 직접적으로,

연결되는 부분이기 때문에 반드시 감사 기록을 생성하여 기록된 증거를 생성하여야 한다.

일반적으로 시점확인 기능의 설정 및 변경은 시스템의 관리 책임을 갖는 시스템 보안 관리( )

자에 의하여 수행되는 보안 관리 기능으로 정의된다.

- 153 -

안전한 경로의 설정 및 변경23-21 21.◈

침입탐지시스템의 원격 관리 기능은 분산 구조를 갖는 시스템을 관리하기 위하여 요구되는

기능이며 관리자의 작업 효율 향상 효과를 얻을 수 있는 기능이다 그러나 원격 관리 기능, . ,

은 네트워크를 통하여 관리자 인증 정보 및 관리 메시지의 전송이 이루어지기 때문에 만일

경로에 대한 안전성이 보장되지 않는 경우 정보의 유출로 인하여 보안상의 커다란 위협을

초래할 수도 있다.

안전한 경로의 구성 방식은 침입탐지시스템의 구성 방식에 따라 차이를 보일 수 있지만 일,

반적으로 관리자 접근 호스트 제어 원격 관리채널의 보호를 정의할 수 있다 관리자 접근, .

호스트는 관리자가 침입탐지시스템에 접근할 수 있는 호스트를 미리 설정하고 이후 지정된,

원격 호스트로부터 요구되는 관리 채널 연결 요청만을 허가하는 방식이다 원격 관리 채널.

의 보호 기능은 인증데이터 또는 관리메시지의 송수신이 이루어지는 관리 채널에 대한 보호

를 의미하며 주로 기밀성과 무결성 제공을 통하여 채널의 보호 기능을 수행할 수 있다, .

본 항목은 침입탐지시스템이 제공하는 원격 관리 기능의 사용을 위한 구성 정보의 설정 및

변경이 발생하는 경우 이를 감사 기록을 생성함으로써 관리자의 책임 소재와 기록된 증거,

를 유지하는데 목적이 있다.

항목6.2.3.2. 24

24 감사데이터 생성 기능에는 다음 각 항의 정보를 감사 기록할 수 있어야 한다.

24-1 주체 및 객체에 대한 식별자1.

24-2 사건 유형 및 결과2.

24-3 사건의 날짜 및 시간3.

- 154 -

정의 목적1)

본 항목은 침입탐지시스템이 감사데이터 생성시에 포함하여야 하는 최소정보를 명시하고 있

는 항목이다 감사데이터 항목은 감사 분석을 위해 필요한 정보를 포함하고 있어야 하며 명. ,

시된 감사데이터 항목을 포함하여 침입탐지시스템의 감사 기능의 구성 형태에 따라 추가,

정보를 포함할 수 있다 본 항목에 명시된 형태와 같은 감사 기록의 정형화는 이종의 환경.

에서 동작하는 시스템들이 생성하는 감사 항목의 차이 또는 감사데이터의 항목 정보의 차이

로 인하여 감사 분석 기능을 불가능하게 만드는 문제를 해결하는데 목적이 있다.

항목 해설2)

일반적으로 보안 시스템들의 감사데이터 항목은 시스템의 종류에 따라 차이를 보일 수 있으

며 이러한 감시 기록 형식의 차이는 감사 분석을 어렵게 만드는 요소로 고려된다 감사 분, .

석을 위한 감사 기록의 정형화는 네트워크를 통하여 감사 기록을 수집하는 침입탐지시스템

의 경우 다수의 호스트로부터 생성된 감사 기록을 통합 분석하기 위하여 반드시 요구되는

기능이다.

은 보안 시스템이 감사데이터를 생성할 경우에 포함해야 하는 항목들을 정의하고TCSEC

있으며 정의된 항목들은 다음과 같다, .

◆ 감사 사건의 날짜와 시간 정보

◆ 감사 사건을 초래한 사용자 정보

◆ 감사 사건의 유형

◆ 감사 사건의 수행 결과

◆ 식별 및 인증 메커니즘 사용 시 요구의 근원 정보,

- 155 -

◆ 사용자 주소 영역에서 보안 객체의 출현 삭제 시 해당 보안 객체의 이름,

◆ 보안 객체의 보안 수준 정보

본 항목에서 정의하고 있는 감사데이터 항목은 크게 감사 사건의 주체 및 객체에 대한 식별

정보 감사 사건의 유형 및 감사 사건의 수행 결과 감사 사건의 날짜 및 시간 정보로 정의, ,

하고 있다.

주체 및 객체에 대한 식별자24-1 1.◈

감사 사건의 주체 정보는 감사 사건을 발생시킨 사용자 또는 사용자를 대신하여 수행되는

프로세스 정보와 같은 정보로 정의된다 감사 사건의 주체 정보는 사용자의 시스템 사용에.

대한 책임 소재를 명확히 할 수 있는 기반 자료가 되기 때문에 반드시 포함되어야 하는 항

목으로 정의된다 또한 감사 사건 항목의 정의에서 시스템 보안 관리자에 의해 수행되는 모. ( )

든 행위를 감사 기록할 것을 명시하였는데 이러한 경우에는 시스템 보안 관리자가 감사 사, ( )

건의 주체가 된다.

감사 사건의 객체 정보는 감사 주체에 의해 수행된 행위의 대상이 되는 객체로 정의되며,

예로는 파일 데이터베이스 메시지 터미널 사용자 또는 프로그램이 생성한 데이터 구조 등, , , ,

이 포함될 수 있다 감사 사건의 객체는 보안 민감도 또는 수준 정보를 포함할 수 있기 때.

문에 감사 기록 생성시에 보안 수준 정보를 함께 기록하여 보안 분석의 효율을 향상시킬 수

있다.

사건 유형 및 결과24-2 2.◈

감사 사건의 유형 및 결과 항목은 감사 주체의 의해 수행 요구된 행위와 관련된 정보를 기

록하는 항목이다 을 통하여 침입탐지시스템의 감사기능의 감사 사건 항목의 유형에 대. 23

해서 기술하였으며 정의된 감사 사건 유형 정보와 관련 정보로서 감사 사건의 수행 결과,

정보가 함께 제공되어야 한다.

- 156 -

감사 사건의 수행 결과 정보는 감사 사건으로 인하여 보안 환경의 변화가 발생했을 경우,

이를 기록으로 유지함으로써 증거 유지와 보안 환경 변화로 인해 발생할 수 있는 보안 위협

요소를 찾아내는 기반 자료로 사용될 수 있다.

사건의 날짜 및 시간24-3 3.◈

감사 사건의 날짜 및 시간 정보는 감사 사건이 발생한 시간 정보에 대한 기록을 유지함으로

써 감사 사건의 발생 시점뿐만 아니라 감사 사건간의 상호 관계성에 대한 판단 근거로 사용

될 수 있다 감사 사건의 발생시간 정보는 감사 분석 과정에서 감사 사건간의 연속성 및 순.

차성을 판별하기 위한 기반 정보로 사용될 수 있기 때문에 신뢰성 있는 방식을 사용하여 시

간 정보를 제공하여야 한다.

항목 적용 예3)

감사데이터 생성시 포함되는 감사 항목은 시스템에 따라 차이를 보일 수 있으며 이러한 차,

이점을 해결하기 위해서 감사 기록의 정형화가 요구된다 감사 사건이 발생했을 경우 감사. ,

사건의 발생 주체 식별정보 객체가 사건에 개입되는 경우 대상 객체 정보 행위의 유형 및, .

관련 정보 행위의 발생 시간 정보 등을 포함하여 감사 기록할 것이 요구된다 또한 감사, . ,

사건 항목부분에서 명시한 것과 같이 시스템 관리의 권한을 갖는 시스템 보안 관리자의 행( )

위는 모두 감사 기록할 것이 요구된다.

감사데이터 항목에 대한 정의는 호스트 기반 또는 네트워크 기반 침입탐지시스템의 경우에

따라 차이를 보일 수 있다 이는 네트워크 기반 침입탐지시스템의 경우에는 네트워크 패킷.

으로부터 감사 정보를 수집하기 때문에 호스트 기반 침입탐지시스템과 같이 명확한 행위 주

체 식별 정보를 설정하기가 어렵다는 점에서 기인한다.

- 157 -

사용자가 특정 호스트로 로그인을 수행하는 경우를 예로 들면 호스트 기반 침입탐지시스템,

의 경우에는 시스템으로 요구되는 식별 및 인증 메커니즘의 사용 요구를 탐지하여 감사 기

록의 생성을 요구된 식별 정보를 주체 정보로 설정할 수 있지만 네트워크 기반 시스템의,

경우에는 특정 호스트로의 로그인 정보를 담고 있는 패킷을 선별하기 위해서는 패킷의 데이

터 영역에 대한 분석이 요구되며 이는 네트워크 기반 침입탐지시스템의 기능 범위를 넘어,

서는 문제이기 때문이다 이러한 문제점은 네트워크 기반 침입탐지시스템의 경우 감사 사건.

에 대한 명백한 행위 주체를 설정하는 문제에 있어 호스트 기반의 침입탐지시스템의 경우와

는 다른 형태의 주체에 대한 정의가 요구됨을 의미하며 트래픽의 근원지 정보가 감사데이,

터의 주체 정보로 사용될 수도 있다.

호스트 기반과 네트워크 기반의 침입탐지시스템은 감사데이터의 주체정보 이외에도 감사 객

체의 정의에 있어서도 차이를 보일 수 있으며 이러한 결과는 감사 사건 항목의 정의에 대,

한 차이로 연결될 수 있다 따라서 감사데이터 항목에 대한 정의는 본 항목에서 명시하고. ,

있는 각 호의 정보를 포함해야 하지만 침입탐지시스템의 유형에 따라 다른 정의를 가질 수,

있음에 유의하여야 한다.

항목6.2.3.3. 25

25 감사데이터 보호 기능에서는 감사 저장 매체의 용량이 일정 한도에 이를 경우,

예측되는 감사데이터의 손실에 대비하여 이를 사전에 관리자에게 알릴 수 있어

야 한다.

정의 목적1)

본 항목은 침입탐지시스템이 저장 매체의 일정 용량이 소비되었을 경우 이를 탐지하여 관,

리자에게 통보 기능을 제공함으로써 감사데이터 저장매체의 용량 소진으로 인하여 발생할

수 있는 감사데이터의 손실을 막고자 하는데 정의 목적이 있다.

- 158 -

감사데이터의 손실은 잠재적인 보안위협이 될 수 있는 기록에 대한 손실을 초래할 수 있으

며 감시대상에 대한 심각한 보안 위험의 원인이 될 수 있다 따라서 감사데이터의 물리적, . ,

저장 매체에 대한 보호는 반드시 요구되는 기능이며 관리자는 감사데이터 및 저장 매체에,

대한 보호책임을 갖는다.

항목 해설2)

감사데이터의 저장 매체에 대한 결정은 일반적으로 시스템의 사용성과 관련되어 결정되는

경우가 많다 예를 들어 소수의 사용자가 소수의 응용 프로그램들만을 사용하는 시스템과. ,

많은 사용자들이 다양한 응용 프로그램들을 사용하는 시스템에서의 감사데이터 저장 매체는

차이를 보일 수밖에 없다 그러나 이러한 모두의 경우에서 고려되어야 하는 점은 감사데이. ,

터 저장 매체의 저장 용량의 소진으로 인하여 감사데이터의 손실이 발생해서는 안되며 저,

장 매체의 용량 소진이 예상되는 경우 이를 관리자에게 통보하여 적절한 대응 조치가 수행,

될 수 있도록 해야 한다는 점이다 만일 침입탐지시스템이 반드시 관리자에 의한 대응 조치.

처리가 요구되는 경우에는 실 시간성을 갖는 관리자 통보방식이 고려될 수 있다.

항목 적용 예3)

본 항목은 저장매체의 소진으로 인한 감사데이터의 손실을 막기 위해 저장매체의 사용량이

일정 한도를 초과하는 경우 이를 관리자에게 통보하는 기능을 정의하고 있는 항목이다 본, .

항목의 적용은 크게 저장매체의 사용 한도에 대한 설정 부분과 사용 한도 초과 시 관리자

통보기능으로 구성되어 있다.

저장매체의 사용 한도의 설정은 시스템의 관리 책임이 있는 시스템 보안 관리자의 책임으( )

로 정의되며 관리자는 침입탐지시스템이 제공하는 보안 관리 기능을 통하여 저장매체에 대,

한 한도 용량을 설정하게 되며 침입탐지시스템은 관리자에 의해 입력받은 한계 용량 정보,

를 사용하여 저장 매체의 한도 용량 초과 여부를 점검하게 된다.

- 159 -

저장 매체의 사용량이 한도 용량을 초과하는 경우에는 초과 사건을 관리자에게 통보한다.

관리자 통보 기능은 대응행동 수행의 실 시간성을 고려하여 여러 가지방식으로 구현 가능하

다 현재 고려될 수 있는 방식으로는 관리자 세션을 통한 경보 메시지 전송 관리자 메일 통. ,

보 이동 통신 서비스를 이용한 문자 및 음성 메시지 전송 등의 다양한 방식이 사용될 수,

있다 이에 대한 자세한 내용은 제 장 보안감사 대응에 명시된 관리자통보방식을 통하여. 3

기술한다.

항목6.2.3.4. 26

26 감사데이터 보호 기능에서는 감사 기록의 저장 공간이 모두 소진될 경우 이에,

대한 대응 행동이 취해져야 한다.

정의 목적1)

감사데이터의 저장 공간이 모두 소진되는 경우에는 추가적인 감사데이터의 생성이 불가능하

며 기존의 감사 기록에 대한 손실이 우려되기 때문에 이에 대한 대응 행동의 설정은 시스,

템의 신뢰도를 위하여 반드시 요구되는 항목이다 본 항목은 저장매체의 소진 사건에 의하.

여 발생할 수 있는 감사 사건에 대한 감사 기록 생성 불능 감사데이터의 손실 등의 영향을,

최소화하기 위하여 침입탐지시스템이 관리자 또는 시스템에 의해 설정 수행할 수 있는 대응

행동 기능을 제공함으로써 침입 탐지시스템의 감사 기능의 신뢰도를 향상하는 것을 목적으

로 한다.

항목 해설2)

본 항목은 감사데이터 저장 공간이 소진되는 사건이 발생하는 경우 적절한 대응조치를 통,

하여 감사데이터의 손실을 방지할 수 있는 기능을 요구하는 항목이다 대응행동 방식의 구.

현은 침입탐지시스템에 따라 차이를 보일 수 있으나 을 통하여 명시된 것과 같이 해당, 25 ,

사건에 대한 관리자 통보 기능은 반드시 요구되는 기능으로 정의된다.

- 160 -

일반적으로 감사 기록은 저장 공간의 많은 부분을 차지하기 때문에 저장 공간에 대한 적절

한 관리는 매우 중요한 관리 요소이며 이러한 문제점은 침입탐지시스템이 네트워크를 통한,

감사 수집을 수행하는 경우에는 보다 심각한 문제를 초래할 수 있다 현재 이러한 문제를.

해결하기 위하여 감사 사건의 필터링 감사데이터의 압축 감사데이터에 대한 축약 감사데, , ,

이터의 유효기간에 따른 기록 삭제 등 다양한 방식을 통하여 대규모의 감사데이터의 생성을

축소하려는 방법이 제시되고 있으며 대부분의 방식들이 감사데이터의 유지를 위하여 요구,

되는 저장매체의 용량의 감소와 감사 분석의 효율 향상을 목적으로 하고 있다.

감사데이터의 저장 매체의 소진에 대한 대응행동은 관리자의 개입이 요구되는 방식과 침입

탐지시스템이 자동화된 대응행동 방식이 모두 고려될 수 있으며 불시에 발생할 수 있는 사,

건에 대한 대응행동으로 고려되어야 한다 또한 관리자 또는 침입탐지시스템에 의하여 수행.

된 대응행동은 감사 기록으로 생성하여 기록된 증거를 유지하여야 한다.

항목 적용 예3)

본 항목의 적용은 침입탐지시스템의 구현 형태에 따라 다양한 방식으로 구현될 수 있으며

일반적으로 저장 매체가 다른 매체로 대치되기 이전에 소진되는 경우 사건의 발생에 대한

감지 기능이 요구된다 은 감사데이터의 물리적 저장 매체에 대한 요구사항에서 저. TCSEC

장 매체의 소진에 대한 대응 행동의 예로서 다음과 같은 방식을 명시하고 있다[2].

◆ 저장 매체의 소진 사건과 관리자 조치가 요구됨을 관리자에게 통보하고 시스템은

정지되며 추후 관리자의 조치 이후에 재부팅 되는 방식을 사용한다 그러나 이와. ,

같은 방식은 서비스 거부공격으로 사용될 수 있는 잠재적인 문제점을 안고 있다.

- 161 -

◆ 현재 감사 기록들을 임시 저장 매체로 이동시킴으로써 감사기능이 계속적으로 동

작할 수 있도록 한다 이와 같은 방식에서는 임시 저장 매체에 대한 보호를 위하.

여 일반 저장매체와 동일한 보호 메커니즘이 적용되어야 한다.

◆ 감사 메커니즘의 사용을 필요로 하는 모든 행위들을 차단하기 위하여 새로운 행

위들의 입력 또는 현재 수행하고 있는 명령어들의 수행을 지연한다.

◆

관리자가 감사 기록을 생성할 수 있는 공간을 확보하기 전까지 시스템을 정지시

킨다.

◆ 감사 기록의 생성을 위한 공간이 확보될 때까지 감사기능을 정지시킨다.

위에 명시된 대응행동 방식들은 관리자의 개입을 통하여 구현될 수도 있으며 시스템이 관,

리자의 결정을 사전에 입력받아 대응행동 방식을 설정하고 사건 발생 시 대응행동 수행 기

능을 시행할 수도 있다.

이 외에도 고려할 수 있는 대응행동 방식으로는 감사 데이터의 압축방식이 있다 감사데이.

터 압축 방식은 감사 데이터의 저장 공간을 축소시킬 수 있다는 장점이 있는 반면 감사 데,

이터의 압축 시에 이 후 압축 해제를 위한 추가 정보가 요구되며 관리자의 보안 분석을 위,

해서 감사데이터에 대한 압축 해제 절차가 필요하다는 점이 단점으로 작용할 수 있다 이러.

한 이유로 일반적으로 감사데이터 압축 기능은 감사데이터 저장을 위해 요구되는 공간의 축

소 목적으로 사용되는 경우가 많다.

- 162 -

항목6.2.3.5. 27

27 감사데이터 보호 기능에서는 감사 저장 매체에 고장이 발생하였을 경우 이에,

대한 대응행동을 수행할 수 있어야 한다.

정의 목적1)

감사 저장매체의 고장은 예기치 않은 사고로 인하여 발생할 수 있기 때문에 이에 대한 대응

조치를 설정해 놓지 않았을 경우 불의의 사고로 인한 감사데이터의 손실은 감시대상 호스,

트 및 네트워크 상에 커다란 위협 요인이 될 수 있다 본 항목은 감사데이터를 저장하는 저.

장 매체의 물리적인 고장으로 인하여 발생할 수 있는 감사데이터의 손실을 최소화할 수 있

는 대응조치를 제공함으로써 침입탐지시스템의 신뢰도를 향상하고자 하는 목적을 갖는다.

항목 해설2)

본 항목은 에서 명시한 감사 저장매체의 소진에 의한 감사데이터의 손실이 경우 외에 불26

시에 발생할 수 있는 감사 저장매체의 물리적 오동작 또는 고장과 같은 불의의 사고로 인하

여 발생할 수 있는 감사데이터의 손실에 대한 대응조치를 요구하는 항목이다.

침입탐지시스템은 일반 시스템들과 마찬가지로 지속적인 전력 공급을 기반으로 동작하기 때

문에 갑작스러운 전력 공급의 중단 또는 기계적인 결함은 감사 기능뿐만 아니라 침입탐지,

시스템의 기능 전반에 걸쳐 영향을 미치게 된다 이와 같은 불의의 사고로 인하여 귀중한.

감사데이터의 유실 또는 파괴 사고가 야기된다면 침입탐지시스템의 감시대상에 대한 잠재,

적인 보안 위협은 크게 증가될 것이다 따라서 침입탐지시스템의 시스템 보안 관리자는 불. ( )

의의 사고로 인한 시스템장애로 인하여 발생할 수 있는 감사 데이터의 손실을 최소화하기

위한 대응 조치를 수행할 책임을 갖으며 침입탐지시스템은 관리자의 기능수행을 위해 요구,

되는 기능을 제공할 수 있어야 한다.

- 163 -

일반적으로 가장 많이 적용되고 있는 방식으로는 감사데이터에 대한 복사본을 시스템으로부

터 분리 가능한 저장 매체에 기록함으로써 사고에 대한 복구 과정에서 해당 복사 본으로부,

터 유실 가능성이 있는 감사데이터를 복원하는 방식이다 다른 방식으로는 정전 사고에 대.

비하여 무정전 전원 공급 장치 와 같은 별도의 장비를(UPS: uninterruptible power supply)

사용하는 방식이다 이러한 물리적인 저장 장치의 고장 또는 전원 공급의 중단이 발생하는.

경우 감사 메커니즘을 포함한 모든 기능의 복구 및 사고 이전과 동일한 기능성의 회복은,

시스템 보안 관리자의 책임으로 규정된다( ) .

항목 적용 예3)

본 항목은 감사 저장 매체의 물리적 고장 또는 전원 공급 중단과 같은 불의의 사고에 의해

발생할 수 있는 감사데이터의 손실을 최소화할 수 있는 대응조치 기능을 요구하는 항목이

다 정전 사고에 대해서는 부가장비인 무정전 전원 공급 장치의 사용으로 감사데이터의 보.

호를 위한 시간적인 여유를 얻을 수 있지만 저장 장치의 물리적인 고장과 같은 사고에 대,

해서는 근본적인 해결책이 될 수 없는 단점이 있다.

일반적인 시스템들은 감사데이터 파일을 두 개의 파일로 유지하는 경우가 많다 이는 하나.

의 파일이 시스템이 정의한 크기 이상이 되면 파일이 한계 크기에 도달했음을 관리자에게,

통보하고 다른 파일에 기록을 시작하는 방식으로 감사데이터 파일이 한계 크기에 도달하면, ,

해당 파일을 관리자 또는 시스템이 자동적으로 백업하도록 구성하기 위한 목적이다 그러나. ,

이러한 구조에서는 현재 기록하고 있는 파일에 대한 보호가 불가능하며 만일 관리자의 개,

입이 요구되는 경우에는 관리자의 부주의로 인하여 감사데이터의 손실이 발생할 수 있다는

단점을 갖는다.

- 164 -

다른 방식으로는 감사데이터 기록 생성 시에 완전히 동일한 복사본을 물리적으로 분리된 저

장 매체에 생성하는 방식을 고려할 수 있다 이 방식에서는 감사데이터의 중복 수행으로 인.

한 처리 시간의 지연이라는 단점이 있지만 저장 매체의 고장과 같은 예기치 않은 사고에,

대해서 사고 복구 과정을 통하여 감사 데이터를 사고 이전과 동일하게 유지할 수 있다는,

장점을 갖을 수 있다.

항목6.2.3.6. 28

28 보안감사 검토 기능에서는 인가된 관리자에게만 감사 기록을 조회할 수 있는

수단이 제공되어야 한다.

정의 목적1)

침입탐지시스템의 감사 기능에 의하여 생성된 감사데이터는 보안에 매우 민감한 데이터로

정의되며 감사데이터를 저장하고 있는 물리적 저장매체를 포함하여 감사데이터는 가장 높,

은 보안 관련성을 갖는 객체로 정의되어야 한다 따라서 본 항목은 높은 보안성을 갖은 감. ,

사데이터에 대한 접근 제어 기능을 제공함으로써 감사데이터를 안전하게 보호하고자 하는데

목적이 있다.

항목 해설2)

보안감사 검토 기능은 관리자가 기록된 감사데이터를 이용하여 잠재적인 보안 위협을 분석

하는 기능으로 침입탐지시스템의 보안위반 분석 기능과는 달리 관리자의 직접적인 개입이

요구되는 기능이다 따라서 보안감사 검토 기능은 침입탐지시스템의 관리 책임이 있는 시스. ,

템 보안 관리자 또는 감사데이터에 대한 접근 권한을 갖는 관리자에 대해서만 접근이 가능( )

하다.

- 165 -

은 감사데이터의 보호를 위해서는 감사데이터뿐만 아니라 감사메커니즘 자체에 대TCSEC

한 접근 제어가 수행되어야 함을 권고하고 있으며 권고 내용은 다음과 같다, .

◆ 사건 기록 메커니즘은 비 인가된 수정 또는 접근으로부터 보호되어야 한다.

◆ 생성된 감사 기록은 비 인가된 접근 또는 수정으로부터 보호되어야 한다.

◆감사 사건 항목 적용 비적용 메커니즘은 비 인가된 접근으로부터 보호되어야/

한다.

감사기록에 포함되어 있는 데이터는 침입탐지시스템에서 보안 관련성이 가장 높은 데이터로

서 고려되어 보안 수준에 상응하는 보호 메커니즘이 요구되며 이는 감사데이터가 시스템의,

사용에 대한 모든 기록된 증거를 포함하고 있기 때문이다 또한 감사데이터를 포함하고 있.

는 저장매체가 시스템으로부터 분리가 되는 경우에는 해당 데이터를 포함하고 있는 저장 매

체에 대한 물리적 보호가 반드시 이루어져야 한다.

항목 적용 예3)

본 항목은 침입탐지시스템의 감사데이터에 대한 접근 제어를 요구하는 항목이다 감사데이.

터에 대한 접근 제어는 누가 감사데이터를 읽고 수정하고 삭제할 수 있는지를 결정하는 메, ,

커니즘으로 정의되며 감사데이터는 가장 높은 보안 수준을 보장하도록 요구되기 때문에 접,

근제어 방식의 선택은 신중히 고려되어야 한다.

감사데이터에 대한 접근 제어를 위하여 고려될 수 있는 접근제어방식으로는

과 이 있다DAC(discretionary access control) MAC(mandatory access control) [4].

- 166 -

는 특정 정보의 소유자가 정보에 대한접근 가능한 사용자와 접근 권한을 할당하는 방DAC

식이다 예를 들어 파일의 소유자가 해당 파일에 접근할 수 있는 사용자와 사용자 그룹을. ,

결정하고 이들의 접근권한 을 결정하는 방식이다, (read, write, delete) .

와 달리 은 시스템에 의해 접근 권한이 결정된다 에서는 시스템이 주체 사DAC MAC . MAC (

용자 프로그램 등 와 객체 파일 디렉터리 장치 등 들의 민감 수준 을 정, ) ( , , ) (sensitivity level)

의한다 여기서 사용자의 보안수준은 해당 사용자의 신뢰수준을 의미하며 사용자의 허가 수. ,

준 으로 불린다 파일의 민감 수준은 파일에 접근하기 위하여 사용자(user's clearance level) .

가 가져야만 하는 신뢰수준으로 정의된다 에서는 파일에 대한 접근 권한이 주체와 객. MAC

체에 부여된 민감 수준의 레이블을 이용하여 결정된다.

의 민감 수준에 대하여 보다 상세히 설명하면 민감 수준은 일반적으로MAC , classification

과 의 쌍으로 구성되며 은 계층적 보안 수준으로 정의되며category , classification , category

는 계층적으로 구성되지 않으며 내의 정보의 종류에 대한 명시이다, classification .

파일의 읽기 권한을 위해서는 우선 주체의 민감 수준이 객체의 민감 수준 이상이어야 하며,

주체에 부여된 목록이 객체에 부여된 모든 목록을 포함하고 있어야 한다 객체의category .

모든 목록을 포함해야하는 이유는 사용자에게 할당되지 않은 에 속하는category category

파일에 대한접근을 차단하기 위함이다.

파일의 쓰기 권한을 위해서는 우선 주체의 민감 수준이 객체의 민감 수준 이하이어야 하며,

주체에게 할당된 모든 가 객체에게 할당된 민감 수준에 포함되어야 한다 주체의category .

민감 수준이 객체의 민감 수준 이하로 설정되어야 하는 이유는 상위의 민감 수준을 갖는 사

용자의 의하여 쓰여진 파일이 하위의 민감 수준을 갖는 사용자에 의하여 읽혀지는 상황을

방지하기 위함이다 그림 은 의 민감 수준에 따른 접근 권한의 부여의 예를 도시. [ 6-1] MAC

한 것이며 은 의, classification TOP SECRET, SECRET, CONFIDENTIAL, UNCLASSIFIED

가지 계층으로 구성되어 있으며 는 의 가지로4 , category payroll, salary projection, biodata 3

구성되어 있음을 가정한다.

- 167 -

그림 의 파일에 대한 접근 권한 할당의 예[ 6-1] MAC

항목6.2.3.7. 29

29 보안감사 검토 기능에는 관리자가 이해할 수 있는 형태로 감사 기록이 제공되어

야 한다.

정의 목적1)

본 항목은 기록된 감사데이터가 보안감사 검토 기능을 수행하는 관리자가 이해할 수 있는

형태로 제공함으로써 감사 분석과정에서 관리자의 분석 오류를 최소화함으로써 감사 분석

효율을 향상시키는데 목적이 있다.

- 168 -

항목 해설2)

감사데이터는 에서 명시한 감사데이터 항목을 최소 정보로 하여 감사 기록을 생성할 것416

이 요구되며 생성된 감사 기록의 유지 방식은 감사데이터의 관리 방식에 따라 차이를 보일,

수 있다 그러나 관리자가 감사 기록의 검토를 위하여 감사 기록을 조회하는 경우에는 관리. ,

자가 이해할 수 있는 형태로 제공되어야 한다 특히 감사데이터가 저장 공간의 축소를 위하.

여 압축된 형태로 저장되어 있는 경우에는 반드시 압축을 해제한 후 관리자에게 제공되어야

한다.

본 항목에서 정의하고 있는 감사 기록의 관리자가 이해할 수 있는 형식범위에 대한 기술은

본 해설서의 범위를 벗어나는 문제이며 단지 관리자에게 이해할 수 있는 형식으로 제공된,

감사 기록은 반드시 감사데이터 항목으로 정의된 항목이 유실된 형태로 제공되어서는 안 된

다 에 정의된 항목 이외의 감사 기록 항목 정보를 관리자에게 추가 제공할 것인지의. 416

여부는 침입탐지시스템의 보안감사 검토 기능의 구현형태에 따라 차이를 보일 수 있다.

항목 적용 예3)

본 항목은 관리자의 보안감사 분석 작업의 수행을 위하여 제공되는 감사데이터의 일반화된

감사 기록 제공 형식을 정의하고 있는 항목이다 앞에서 명시한 것과 같이 침입탐지시스템. ,

의 보안감사 검토 기능의 구현방식에 따라 관리자에게 제공되는 감사기록의 형식이 차이를

보일 수는 있기 때문에 본 해설서에서는 제공 형식에 대한 명시는 포함하지 않는다 일반적.

으로 감사 기록은 관리자가 이해할 수 있는 표현 도구를 통하여 사용하여 제공 가능한데,

예를 들어 일반 텍스트 문장의 형태로 제공될 수도 있으며 각 항목에 대한 분리된 열로 구,

성된 테이블의 형태로 제공될 수도 있다 또한 관리자의 이해를 돕기 위해 다른 그래픽 요.

소의 사용도 고려해 볼 수 있다 예를 들어 다음과 같은 감사 정보를 문장형식으로 표현하. ,

는 경우를 예를 들면,

- 169 -

◆ 감사 주체: Hong Kil Dong,

◆ 감사 객체: Employee Record File

◆ 감사 사건 유형: File Write

◆ 감사 사건 결과: Success

◆ 감사 시간: 08:00:00 11/20/2000

◆ 감사 상세 정보: 10 records

본 감사 사건 정보는 Hong Kil Dong wrote 10 records to Employee Record File

와 같은 문장으로 관리자에게 제공될 수 있다Successfully at 08:00:00 on 11/20/2000." .

관리자에게 감사 기록 정보 제공을 위해 고려해야 하는 문제는 감사기록의 제공 시에 감사

기록의 최소 요구 항목의 손실이 발생해서는 안 된다는 점이며 최소 요구 항목 정보는, 24

에서 명시한 항목을 의미한다 또한 침입탐지시스템이 감사데이터의 저장 공간의 사용율을.

높이기 위해 데이터 압축과 같은 방식을 사용하고 있는 경우에는 감사기록에 대한 복원 후

에 관리자 터미널 또는 배치 보고서 일정 기간동안 생성된 감사 기록들에 대한 일괄 보고(

서 를 통하여 관리자가 이해할 수 있는 형식으로 제공되어야 한다) .

항목6.2.3.8. 30

30 보안감사 검토 기능에는 관리자의 요청에 따라 감사 기록을 검색 정렬할 수ㆍ

있는 기능이 제공되어야 한다.

정의 목적1)

본 항목은 침입탐지시스템의 관리자의 보안감사 검토 작업을 위해 생성된 보안 감사 기록에

대한 검색 및 정렬 기능을 제공함으로써 관리자의 감사 분석 작업 효율을 향상시키고자 하

는데 목적이 있다.

- 170 -

이와 같은 기능은 검토 대상 감사데이터 정보가 매우 많은 경우 반드시 요구되는 기능이며,

관리자가 관심 있는 보안 감사 사건에 대한 집중적인 분석이 가능하기 때문에 감사 분석 효

율을 증가시킬 수 있다.

항목 해설2)

관리자의 보안감사 검토 작업은 생성된 감사데이터에 대한 분석을 통하여 잠재적인 보안위

협요소를 파악하는 과정으로 보안위반 분석기능과는 다른 형태의 관리자 기능으로 정의된

다 감사 기록의 분석 작업에서 검색 및 정렬 기능은 관리자가 관심 있는 감사 사건에 대한.

신속하고 집중적인 분석을 가능케 함으로써 작업 효율을 증가시키는 효과를 가질 수 있다는

장점이 있다.

감사 기록의 검색 기능은 감사 분석 작업의 효율향상 이외에도 관리자가 원격지에서 보안감

사 검토 기능을 수행하는 경우에 네트워크 상에 전송되는 트래픽을 감소시킬 수 있다 즉. ,

시스템 보안 관리자가 관심 있는 특정 감사 사건에 대한 검색요구 메시지를 원격지에서 침( )

입탐지시스템의 관리 기능 요소로 전송하면 침입탐지시스템은 검색조건에 상응하는 감사데,

이터를 검색하여 관리자에게 전송함으로써 전송되는 감사데이터 트래픽을 감소시키는 효과

를 가질 수 있다 이는 만일 감사데이터에 대한 검색 기능이 제공되지 않는 경우에 모든 감.

사기록이 원격지로 전송되어 관리자에 의해 분석되는 상황에서는 전송 트래픽이 급격히 증

가하게 되며 관리자가 분석해야 할 감사데이터의 양의 증가로 인하여 작업 효율의 저하를,

초래할 수 있다.

감사데이터에 대한 정렬 기능은 검색 기능과 함께 보안감사 검토 작업의 효율을 향상하기

위해 제공되는 도구로 정의된다 일반적으로 검색기능은 동일 감사 사건들에 비교 분석 감. ,

사 사건간의 순차성 분석 등의 작업을 위해 요구되는 기능이다 정렬 방식은 기능의 구현.

방식에 따라 차이를 보일 수 있으며 구현된 기능은 관리자가 감사데이터 분석과정에서 적,

용 가능하여야 한다.

- 171 -

항목 적용 예3)

본 항목은 관리자의 보안감사 분석 작업의 효율을 향상하기 위하여 감사데이터에 대한 검색

및 정렬 기능을 제공할 것을 요구하는 항목이다 감사데이터의 검색 및 정렬 기능은 기능.

구현 방식에 따라 차이를 보일 수 있으며 감사데이터의 관리 방식에 따라 차이를 보일 수,

도 있다 만일 감사데이터의 관리를 위하여 를 사용하는 경우에는 자료의 검색 및 정. DBMS

렬 기능은 가 기본 제공하는 기능을 이용하여 구현 가능하다DBMS .

감사데이터의 검색 기능은 관리자로부터 입력된 검색 조건에 의해 감사데이터를 필터링 하

게 되는데 검색 조건은 일반적으로 감사데이터를 구성하고 있는 항목들로 구성되며 조합, ,

형태의 검색도 가능하도록 제공되어야 한다 감사데이터의 정렬 기능에서 기능 구현 방식에.

대한 내용은 포함하지 않지만 기본적으로 감사 기록 항목들을 기준으로 순차적인 사건들의,

정렬이 가능하여야 한다.

참고문헌6.3.

[1] Department of Defence, Industrial Security Manual for Safeguarding Classified

Information, DoD 5220.22-M, March 1984.

[2] National Computer Security Center, A Guide to Understanding Audit in Trusted

Systems, NCSC-TG-001 Version-2, July 1987.

[3] Herve Debar, Marc Dacier and Andreas Wespi, Towards a Taxonomy of

Intrusion-Detection Systems, IBM Research Report RZ 3030 (#93076), June 1998.

[4] Vijay Ahuja, Network and Internet Security, USA: Academic Press, pp.103-106, 1996.

[5] Department of Defence, Password Management Guideline, CSC-STD-002-85, March

1984.

- 172 -

보안관리7.

개요7.1.

보안관리 기능은 침입탐지시스템이 제공하는 각종 기능들에 대한 인자와 정보를 조회하거나

설정하고 상태를 검사하는 등의 관리 기능이다 보안관리 기능에서는 보안 감사기능의 시작.

및 종료 탐지 정책의 조회 및 변경 보안위반 사건 목록의 조회 및 설정 보안위반 사건의, , ,

대응행동에 대한 규칙 조회 및 설정 감사데이터의 용량 설정 감사데이터의 손실 방지를 위, ,

한 조건 설정 및 변경 등 다양한 관리 기능이 제공된다 요약하면 보안관리 기능은 침입탐. ,

지시스템의 탐지 활동을 위한 규칙과 침입탐지시스템의 상태와 구성에 관련된 여러 가지 정

보들을 조회하고 수정하는 관리 동작을 제공하는 기능이다.

보안관리는 실제로 침입탐지시스템이 운영되는 호스트에서 직접 관리 작업을 수행할 수 있

도록 하는 관리 클라이언트를 제공하는 지역 관리방식이 있으며 원격지에서 침입탐지시스,

템이 운영되는 호스트로의 접속과 관리 메시지 전달을 통해 원격지에서 보안관리 기능을 수

행할 수 있도록 하는 원격 관리 방식이 있다.

안전한 관리 동작 수행을 위해서 보안관리를 위한 관리 메시지나 관리정보를 보호할 수 있

는 보호 대책이 필요하다 이는 관리 메시지의 암호화 관리 메시지의 무결성 검사 구성 정. , ,

보의 암호화 및 무결성 검사 등의 기능을 통해 제공될 수 있다 또한 침입탐지시스템은 보. ,

안관리 기능을 사용하고자 하는 사용자를 반드시 식별하고 인증 하여야 하며 이 과정을 통,

해 정당하게 사용이 허가된 사용자에게만 보안관리서비스를 제공하여야 한다.

다음절에서 보안관리 기능과 관련된 요구사항에 대한 상세한 해설과 이들 항목의 예를 제공

한다.

보안 기능 요구사항 해설7.2.

- 173 -

본 단원에서는 앞 단원에서 명시된 보안 기능 요구사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목7.2.1.

본 단원에서는 보안관리 기능 제공을 위하여 정의된 보안 기능 요구사항 항목들을 기술한

다 기술된 보안 기능 요구사항 항목들은 절의 등급별 보안 기능 요구사항에 기술된 모든. 2

항목들을 포함하며 축약 감사데이터 생성 기능의 제공을 위하여 정의된 보안 요구사항 항,

목들은 다음과 같다.

31 보안관리 기능에서는 인가된 관리자에게 다음의 각 항에 해당하는 내용을 허

용하여야 한다.

31-1 보안감사 기능의 동작개시 및 동작정지1.

31-2 감시대상의 설정 조회 변경2. , ,

31-3 보안감사 대응행동의 설정 조회 변경3. , ,

31-4 보안위반 분석을 위한 환경설정 파일의 설정 조회 변경4. , ,

31-5 보안위반 사건 목록의 설정 조회 변경5. , ,

31-6 시스템 사용에 대한 프로파일 저장 대상의 설정 조회 변경6. , ,

31-7 감사데이터의 조회 검색 정렬7. , ,

31-8 감사데이터 저장매체의 허용저장 용량의 임계치 설정 조회 변경8. , ,

31-9 감사데이터 손실방지를 위한 대응행동의 설정 조회 변경9. , ,

31-10 무결성 확인 기능의 설정 조회 변경10. , ,

31-11 식별 및 인증데이터의 설정 조회 변경11. , ,

31-12 인증데이터의 생성 및 검증12.

31-13 연속적인 인증실패 한계횟수 설정 조회 변경13. , ,

31-14 시점확인 기능의 설정 조회 변경14. , ,

31-15 안전한 경로의 설정 조회 변경15. , ,

- 174 -

관련 평가 등급7.2.2.

본 단원에서는 보안관리 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급별 요구

사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 6-1] .

표 보안관리 기능과 평가 등급과의 상관 관계[ 7-1]

보안 기능 항목별 상세 해설7.2.3.

본 단원에서는 보안관리 기능 제공을 위하여 정의된 기능 항목들의 정의 목적과 항목 해설,

그리고 적용 예에 대하여 상세 기술한다.

항목1) 31

31 보안관리 기능에서는 인가된 관리자에게 다음의 각 항에 해당하는 내용을 허

용하여야 한다.

- 175 -

31-1 보안감사 기능의 동작개시 및 동작정지1.

31-2 감시대상의 설정 조회 변경2. , ,

31-3 보안감사 대응행동의 설정 조회 변경3. , ,

31-4 보안위반 분석을 위한 환경설정 파일의 설정 조회 변경4. , ,

31-5 보안위반 사건 목록의 설정 조회 변경5. , ,

31-6 시스템 사용에 대한 프로파일 저장 대상의 설정 조회 변경6. , ,

31-7 감사데이터의 조회 검색 정렬7. , ,

31-8 감사데이터 저장매체의 허용저장 용량의 임계치 설정 조회 변경8. , ,

31-9 감사데이터 손실방지를 위한 대응행동의 설정 조회 변경9. , ,

31-10 무결성 확인 기능의 설정 조회 변경10. , ,

31-11 식별 및 인증데이터의 설정 조회 변경11. , ,

31-12 인증데이터의 생성 및 검증12.

31-13 연속적인 인증실패 한계횟수 설정 조회 변경13. , ,

31-14 시점확인 기능의 설정 조회 변경14. , ,

31-15 안전한 경로의 설정 조회 변경15. , ,

정의 목적1)

본 항목은 침입탐지시스템의 운용 및 관리 책임을 갖는 시스템 보안 관리자가 보안 관리( )

기능을 이용하여 수행할 수 있는 보안 관리 기능을 정의함으로써 침입탐지시스템이 보안 관

리를 위하여 관리자에게 제공하여야 하는 기능을 정의하고 관리자의 보안 관리 책임을 명,

확히 하는데 목적이 있다.

항목 해설2)

본 단원에서는 정의된 보안 관리 기능 항목의 각 호에 대한 해설을 기술한다.

보안감사 기능의 동작개시 및 동작정지31-1 1.◈

본 항목은 보안관리 기능이 보안위반 사건을 탐지하기 위한 보안감사데이터의 수집 동작을

제어하는 기능에 대해 정의하고 있다.

- 176 -

침입탐지시스템은 보안관리 기능을 통해 원격 혹은 지역에서 보안감시 기능의 동작개시 및,

동작 정지를 제어할 수 있어야 함을 의미한다 침입탐지시스템은 필요할 경우 보안관리 기.

능을 통해서 보안감사 데이터 수집 동작을 정지시킬 수도 있고 이를 재개시킬 수 있어야 한

다.

감시대상의 설정 조회 변경31-2 2. , ,◈

본 항목은 침입탐지시스템의 보안감시 대상이 되는 감시대상 개체를 설정할 수 있어야 한다

는 것을 정의하고 있다 침입탐지시스템의 보안관리 기능을 통해 침입탐지시스템이 보안위.

반 사건의 발생 여부를 감시할 대상 시스템이나 사용자 서비스 등의 개체를 추가하거나 변,

경하고 현재 설정되어 있는 보안감시 대상 개체들의 목록을 열람할 수 있어야 한다 침입탐, .

지시스템의 관리자는 이 보안관리 기능을 통해 필요에 따라 보안감시 대상을 확장시킬 수

있으며 보안감시의 효율 등을 고려하여 보안감시 대상을 축소시킬 수도 있다, .

보안감사 대응행동의 설정 조회 변경31-3 3. , ,◈

본 항목은 보안감사의 결과로 나타나는 보안위반 사건들에 대한 침입탐지시스템의 대응행동

을 관리자가 침입탐지시스템의 보안관리 기능을 통해 제어할 수 있어야 한다는 것을 정의하

고 있다.

보안위반 분석을 위한 환경설정 파일의 설정 조회 변경31-4 4. , ,◈

본 항목은 침입탐지시스템이 보안관리 기능을 통해서 보안위반 분석을 위해 사용되는 변수

들이나 보안위반 사건에 해당하는 특정 패턴 정보 혹은 사건의 상태 정보에 대한 규칙 등을

담고 있는 환경설정 파일의 내용을 조회 및 조작하는 기능을 제공하여 관리자가 침입탐지시

스템에서 수집된 데이터를 바탕으로 보안위반 사건의 식별을 위한 수집 데이터의 분석 활동

에 필요한 검사값이나 특정 패턴 등의 정보를 설정하거나 변경하는 기능을 제공해야 함을

요구하고 있다.

- 177 -

보안위반 사건 목록의 설정 조회 변경31-5 5. , ,◈

본 항목은 침입탐지시스템에서 탐지하고자 하는 보안위반 사건들의 목록을 추가 및 삭제,

열람하는 등의 관리 동작이 가능해야 한다는 것을 요구한다 특히 보안위반 사건들의 목록. ,

관리 기능에는 새로운 침입 방식의 출현 등에 대비하여 관리자가 필요시에 새로운 보안위반

사건을 추가하고 목록을 갱신할 수 있어야 한다는 것을 요구한다.

시스템 사용에 대한 프로파일 저장 대상의 설정 조회 변경31-6 6. , ,◈

본 항목은 관리자 계정이나 여타 침입탐지시스템에 접근 허가된 계정을 통해 침입탐지시스

템 상에서 이루어진 행위들에 대한 기록이 가능하여야 하며 보안관리 기능을 통해 행위 기,

록 대상을 관리할 수 있어야 한다는 것을 요구한다.

감사데이터의 조회 검색 정렬31-7 7. , ,◈

본 항목은 침입탐지시스템에서 수집한 감사 데이터를 관리자가 필요한 정보 형태로 열람 가

능하여야 한다는 것을 요구한다 관리자는 필요에 따라서 침입탐지시스템에 누적된 감사데.

이터를 가공되지 않은 형태나 감사데이터의 항목별로 정렬한 정보를 열람할 필요가 있다.

또한 인위적인 보안감사를 위해서 특정 사건에 대한 선별적인 열람이 가능하여야 하며 관, ,

리자가 필요로 하는 정보를 검색할 수 있어야 한다.

감사데이터 저장매체의 허용저장 용량의 임계치 설정 조회 변경31-8 8. , ,◈

본 항목은 침입탐지시스템이 수집한 감사데이터를 축적하는 데 사용되는 자료 저장 공간에

대한 허용되는 임계치를 침입탐지시스템의 보안관리 기능을 통해서 제어하는 기능이 요구된

다는 것을 정의하고 있다.

- 178 -

침입탐지시스템은 시스템의 특성상 감시대상에 관련된 대량의 사건정보를 수집하고 축적한

다 따라서 침입탐지시스템은 감사데이터 수집을 위해 충분한 자료저장 공간을 필요로 하. ,

며 시스템의 저장공간 자원의 고갈을 막기 위해서 관리자의 판단에 따라 침입탐지시스템이,

사용할 수 있는 저장공간의 임계치를 설정할 수 있어야 한다 그리고 침입탐지시스템은 다. ,

음에 요구되는 항목의 기능을 통해 감사데이터가 점유한 저장공간이 허용 용량 임계31-9

치를 초과하였을 경우 이를 자체적인 기능으로 해결하거나 관리자에게 통지하는 기능이 필

요하다.

감사데이터 손실방지를 위한 대응행동의 설정 조회 변경31-9 9. , ,◈

본 항목은 침입탐지시스템이 수집한 감사데이터가 저장 공간의 부족 등의 경우로 인해 감사

데이터가 손실되거나 감사데이터의 수집동작이 중단되는 사태를 방지하기 위해 필요한 대응

책들을 침입탐지시스템의 보안기능을 통해 제어할 수 있어야 한다는 것을 정의하고 있다.

본 항목은 단독적으로 요구되는 것이 아니라 항목에서 설명된 침입탐지시스템의 보안, 31-8

기능에서 제공되는 감사데이터 저장 허용 임계치 설정 기능에 따라 요구되는 항목이다.

무결성 확인 기능의 설정 조회 변경31-10 10. , ,◈

본 항목은 침입탐지시스템과 관련된 자료 및 파일들 흑은 침입탐지시스템 프로그램 자체에

대한 무결성 점검 기능이 보안관리기능을 통해서 제어할 수 있어야 한다는 것을 정의하고

있다.

식별 및 인증데이터의 설정 조회 변경31-11 11. , ,◈

- 179 -

본 항목은 침입탐지시스템의 보안관리 기능은 침입탐지시스템의 사용자들에 대한 식별 및

인증데이터에 대한 조작을 수행할 수 있는 기능을 제공하는 것이 요구된다는 것을 정의하고

있다.

인증데이터의 생성 및 검증31-12 12.◈

본 항목은 보안관리 기능을 통해서 관리자가 침입탐지시스템의 특정사용자를 인증하기 위해

필요한 인증 데이터를 생성하고 이에 대한검증을 수행할 수 있어야 함을 요구하는 항목이

다 인증데이터는 일반적으로 사용되는 패스워드나 사용자에 대한 인증서가 흑은. , one-time

목록이 될 수 있으며 침입탐지시스템 기능을 통해 자체적으로 이들을 생성할 수password ,

있어야 함을 요구한다 생성된 사용자 인증데이터는 그 안전성을 위해 인증데이터로써 적절.

한가를 검증할 수 있어야 하며 표준적인 인증서를 사용할 경우 인증데이터가 표준을 만족,

하는지를 검증할 수 있어야 함이 요구된다.

연속적인 인증실패 한계횟수 설정 조회 변경31-13 13. , ,◈

본 항목은 침입탐지시스템에 대한 접근 시도 과정에서 연속적인 인증실패가 허용되는 한계

횟수를 침입탐지시스템의 보안기능을 통해 제어가 가능하여야 한다는 것을 정의하고 있다.

시점확인 기능의 설정 조회 변경31-14 14. , ,◈

본 항목은 침입탐지시스템이 수집 및 기록하는 다양한 사건 정보들에 대해서 각각의 발생

일시를 적용하고 확인하는 기능을 보안관리 기능을 통해서 제어할 수 있어야 한다는 것을

정의한다.

안전한 경로의 설정 조회 변경31-15 15. , ,◈

본 항목은 침입탐지시스템의 관리를 위해 관리자가 원격 관리 인터페이스를 통해 침입탐지

시스템의 보안관리 기능을 사용될 때 전달되는 메시지와 자료에 대한 안전성이 보장되는 채

널을 통해 전달되는 것을 침입탐지시스템의 보안관리 기능을 통해 제어가 가능하여야 한다

는 것을 정의하고 있다.

- 180 -

항목 적용 예3)

본 단원에서 앞 단원에서 정의한 보안 관리 항목에 대한 적용 예에 대하여 기술한다.

보안감사 기능의 동작개시 및 동작정지31-1 1.◈

침입탐지시스템을 이용하여 탐지활동을 수행하는 중에 관리상의 이유나 문제 발생으로 인해

침입탐지시스템의 가장 근본이 되는 동작인 보안감사 기능의 수행을 중단 및 재개시킬 필요

성이 있다 침입탐지시스템은 이러한 필요성에 부응하기 위해서 관리자가 보안감사기능을.

시작 및 중단할 수 있는 보안관리 기능을 제공하여야 한다.

경우에 따라서는 침입탐지시스템 자체나 침입탐지시스템이 운용되는 시스템을 보호하기 위

해서 보안감시 기능을 중단시킬 필요가 있다 예를 들면 네트워크 기반의 침입탐지시스템에. ,

서 보안감사 데이터의 기반인 네트워크 패킷량과 사용자 세션이 비정상적으로 폭주하는 경

우에 침입탐지시스템의 과부하를 막기 위해 관리자의 판단에 따라 침입탐지시스템의 보안감

사 기능을 중단시킬 수 있다 그리고 호스트 기반의 침입탐지시스템에서 보안감사 데이터의. ,

기반이 되는 사용자 프로세스 서비스 처리 시스템 콜 등의 급격한 증가로 침입탐지시스템, ,

의 보호가 필요하다고 판단되는 경우 흑은 서비스 제공시간 외에 외부와의 연결을 단절하,

고 시스템 백업 및 정비 작업을 수행하는 등의 작업으로 침입탐지시스템의 보안감사 기능

수행이 필요하지 않다고 판단되는 경우 등에 대해서 침입탐지시스템의 관리자는 침입탐지시

스템이 제공하는 보안관리 기능을 통해 침입탐지시스템의 보안감사 기능을 중단시킬 수 있

다.

- 181 -

상기와 같은 이유로 침입탐지시스템은 관리상의 목적이나 시스템의 보호를 위해 관리자가

보안관리 기능을 통해서 침입탐지시스템의 보안감사 기능을 시작 혹은 중단시킬 수 있어야

한다.

감시대상의 설정 조회 변경31-2 2. , ,◈

보안위반 사건을 탐지하기 위한 보안감시 대상은 침입탐지시스템의 형태에 따라 분류될 수

있다 호스트 기반 침입탐지시스템의 경우에는 한 시스템 내에 존재하는 사용자들이나 시스.

템에서 제공되는 서비스들 혹은 시스템 자원들이 되며 네트워크 기반 침입탐지시스템의 경, ,

우에는 네트워크 상에 존재하는 호스트들이나 호스트들에서 제공되는 서비스 네트워크 세,

션을 통한 행위 정보에서 추출될 수 있는 행위의 대상 객체 등이 될 수 있다 관리자는 보.

안관리 기능 영역에서 침입탐지시스템이 이러한 각각의 보안감시 대상에 대해 보안감시 활

동을 수행하도록 보안감시 대상들을 추가하거나 보안감시 활동이 필요 없는 대상에 대해서

는 보안감시 대상 목록에서 삭제하고 현재 침입탐지시스템에 설정되어 있는 보안감시 대상

들을 열람할 수 있는 기능을 필요로 한다 호스트 기반의 침입탐지시스템에서 침입탐지시스.

템이 설치 운용되는 호스트에 새로운 사용자가 추가되거나 새로운 자원이 설치되는 등 감시

대상이 추가됨에 따라 침입탐지시스템 관리자는 필요한 경우 새로이 추가되는 개체들을 감

시대상으로 설정하는 작업이 필요하다 또한 더 이상 필요 없는 서비스들의 제거 사용자. , ,

계정의 제거 등으로 실제시스템에서 더 이상 존재하지 않거나 감시동작이 필요 없는 개체들

에 대해서 침입탐지시스템의 관리자는 침입탐지시스템의 보안기능을 통해 감시대상에서 삭

제할 필요가 있다.

네트워크 기반의 침입탐지시스템에서는 네트워크 구조와 네트워크 자원의 변화 즉 새로운,

호스트가 네트워크에 설치되어 운용되거나 기존의 호스트가 네트워크에서 영구히 제거된 경

우 호스트에서 제공되는 서비스가 추가되는 경우 호스트 상의 서비스를 제거하는 경우 등, ,

에 대해서 관리자는 침입탐지시스템의 보안관리 기능을 통해 감시대상을 각각 추가하거나

삭제할 필요가 있다.

- 182 -

보안감사 대응행동의 설정 조회 변경31-3 3. , ,◈

보안위반 사건의 발생에 관리자가 일일이 대처하는 것을 어렵고 관리자의 부재시나 관리,

인터페이스와 원격지에 있을 경우 발생한 보안사건에 대해 미리 규칙을 정의하여 침입탐지,

시스템 스스로 대처를 한다던가 관리자의 호출을 한다던가 하는 기능이 요구된다 따라서. ,

침입탐지시스템은 보안관리 기능을 통해 관리자가 보안감사에 대한 대응행동을 설정하거나

조회 및 변경할 수 있도록 하여야 한다.

침입탐지시스템에서 탐지된 다양한 사건들은 보안감사 활동에 의해 보안위반 사건이나 무시

할 수 있는 일반적인 사건들로 분류되는 것이 보통이다 보안위반 사건들은 다시 그 심각성.

의 수준이나 침입활동에서 어느 수준까지의 진행 정도를 알리는 사건으로 그 등급이 부여될

수도 있다 침입탐지시스템에서는 보안감사의 결과로 정의되는 이러한 등급이나 보안위반.

여부를 가려 미리 정의된 규칙에 따라 적절한 대응을 할 수 있어야 한다 다수의 사건들에.

대해서 보안관리자가 일일이 수작업으로 대처하는 것은 오히려 보안관리자의 업무를 증가시

키는 역효과를 초래하여 효과적인 보안관리 활동을 저해한다 따라서 침입탐지시스템은 사. ,

전에 각 보안감사 결과 사건들에 대해 유형별 혹은 등급별로 대응행동을 정의 및 설정하거

나 현재 설정된 대응행동의 조회 및 변경이 가능하여야 한다 이러한 기능은 역시 침입탐지.

시스템의 보안관리 기능을 통해 제공되어야 한다 보안감사 활동의 결과에 대한 등급 및 유.

형의 분류가 가능한 침입탐지시스템의 경우 보안감사 대응행동의 설정 선택사항으로는 각,

등급별 흑은 유형별로 차별적인 대응행동의 선택 흑은 이들 각각에 대한 대응행동의 유형,

설정 각 보안감사 결과의 유형이나 등급별로 대응행동의 활성화 혹은 비활성화 등을 포함,

한다.

- 183 -

단순한 시스템에서는 보안감시 활동의 결과에 따른 등급이나 유형의 분류 없이 단지 침입탐

지시스템의 보안감사 활동에 의해서 탐지된 보안위반 사건에 대해서만 대응행동을 수행할

수도 있다 이 경우에는 보안감사 대응행동의 설정 인자로는 대응행동의 활성화 및 비활성.

화 기능과 대응행동의 종류 선택 및 조회 등의 간단한 기능만을 포함하게 된다.

보안감사 대응행동의 종류 및 내용들에 대한 해설은 장 보안감사 대응부분에서 해설되어3

있다.

보안위반 분석을 위한 환경설정 파일의 설정 조회 변경31-4 4. , ,◈

일반적으로 침입탐지시스템은 탐지하고자 하는 보안위반 사건들을 식별하기 위해서 각 보안

위반 사건들이 갖는 상태 정보 패턴 정보들에 담겨 있는 변수들의 값이나 사용자 행위 패,

턴 네트워크 패킷에서 나타나는 특정 필드값의 활성화 및 비활성화 여부 패킷의 헤더 정보, ,

등을 파일의 형태로 유지 관리하는 경우가 대부분이다 침입탐지시스템은 관리자가 침입탐.

지시스템의 보안관리 기능을 통해 이들 정보가 저장되어 있는 설정 파일들을 직접적으로 조

작하거나 내부의 값을 변경하여 보안위반 사건을 분석하기 위한 정보를 변경할 수 있도록

설정 변경 및 조회 기능이 있어야 한다 예를 들면 보안위반 분석을 위한 환경 설정 파일, . ,

에는 다음과 같은 정보 항목들이 저장될 수 있다.

◆ 네트워크 패킷의 데이터 영역에 존재하는 특정 키워드나 명령

◆ 네트워크 패킷의 헤더 필드 내의 특정 값

◆ 네트워크 패킷 헤더의 프로토콜 옵션 부분의 특정 값

◆ 특정 규칙을 갖는 연속적인 네트워크 패킷 개수의 임계치

◆ 특정 규칙을 갖는 연속적인 네트워크 패킷 개수의 출현 시간 간격

- 184 -

◆ 사용자 행위에서 나타나는 특정한 명령 패턴

◆ 사용자 프로세스에 의해 접근이 요구되는 특정 파일 등

침입탐지시스템의 보안관리 기능에서는 관리자가 이들의 각 항목에 해당하는 값이나 기타

정보들을 조작할 수 있도록 하여야 한다.

보안위반 사건 목록의 설정 조회 변경31-5 5. , ,◈

침입탐지시스템을 운용하는 조직이나 단체의 업무 전산 환경의 특성에 따라 탐지대상이 되

는 보안위반 사건을 관리하기 위해서 현재 탐지하도록 설정되어 있는 탐지대상 보안위반 사

건의 목록을 사용자가 열람할 수 있는 기능을 제공하여야 하며 사용자가 침입탐지시스템에,

서 탐지할 필요가 있는 보안위반 사건을 추가하거나 침입탐지시스템의 용량이나 효율을 고

려하여 탐지의 필요가 없는 보안위반 사건들은 탐지대상 보안위반 사건 목록에서 삭제 할

수 있는 보안관리 기능이 필요하다 또한 공격자들에 의해서 새로운 공격 기술들이 개발되. ,

고 그 변형 기술들의 수가 늘어감에 따라 이들을 탐지할 수 있는 징후가 되는 보안위반 사

건들을 추가하는 기능이 요구된다.

호스트 기반의 침입탐지시스템의 경우 호스트를 운용하는 조직의 필요에 의해 보안사건 감,

시 대상이 되는 호스트의 용도 변경이나 기능 확장 사용자의 추가 새로운 응용소프트웨어, ,

의 추가 등으로 인해 공격자가 자신의 목표를 달성하기 위해 이용할 수 있는 시스템 자원이

나 취약점들이 늘어나게 되는 것이 일반적이다 따라서 침입탐지시스템은 이러한 상황에 대. ,

처하여 침입탐지 동작을 수행할 수 있도록 침입탐지시스템 관리자가 새로운 보안위반 사건

을 추가할 수 있어야 한다.

네트워크 기반의 침입탐지시스템의 경우에도 마찬가지로 네트워크를 운용하는 조직의 필요

에 따라서 침입탐지시스템의 감시 대상이 되는 네트워크의 확장이 필요한 경우가 발생한다.

- 185 -

즉 네트워크 장비의 추가 네트워크 상의 호스트 추가 네트워크를 통해 제공되는 서비스의, , ,

추가 등의 작업으로 공격자가 자신의 목적을 달성하기 위해 악용할 수 있는 취약성이나 네

트워크 자원들의 범위가 확장된다 이에 따라 침입탐지시스템은 변화된 환경 내의 조건을.

수용하기 위해 보안위반 사건 탐지 범위와 보안위반 사건의 형태를 추가할 수 있어야 한다.

일반적으로 침입탐지시스템의 보안감사 정보 수집 동작은 침입탐지시스템의 형태에 따라 단

일 호스트 시스템 내부나 네트워크 상에서 발생하는 다양한 사건들에 대한 정보를 수집하고

분석하기 위해 지속적으로 이루어진다 또한 다수의 관련 있는 사건들의 관계를 연관시키고. ,

각 사건들을 감시 대상으로 하여 각 사건들에서 생성되는 정보들을 분석하는 동작이 필요하

다 결과적으로 침입탐지시스템은 자신이 운용되는 시스템의 자원을 상대적으로 많이 요구. ,

하며 호스트기반의 침입탐지 시스템의 경우 시스템에서 이루어지는 정상적인 업무를 위한, ,

사용자 행위를 방해할 정도의 자원을 점유하여서는 안 된다 그리고 네트워크 기반의 침입. ,

탐지시스템이 경우 순수한 침입탐지의 용도로 전용의 침입탐지시스템을 운용하더라도 네트

워크에서 발생하는 모든 사건들을 대상으로 탐지활동을 수행하기에는 침입탐지시스템이 운

용되는 시스템의 용량이 부족하여 제 기능을 발휘하지 못하게 되는 경우도 발생한다 따라.

서 침입탐지시스템의 관리자는 침입탐지시스템이모든 가능한 보안위반 사건을 탐지하도록,

설정하기보다는 시스템의 용량이나 타 보안 시스템에 의해서 미리 차단되어 탐지의 필요가

없다고 판단되는 보안위반 사건들을 침입탐지시스템의 탐지대상 보안위반사건들의 목록에서

제외시킬 수 있어야 한다.

한편으로 새로운 네트워크 기술이 개발되고 인터넷을 이용하는 사용자 층이 넓어짐에 따라,

잠재적인 침입행위자의 수는 더욱 늘어나고 침입탐지시스템은 이들에 의해 새로운 공격기,

술이 늘어가고 있는 상황에 대처할 수 있어야 한다 고정된 수의 보안위반 사건에 대한 탐.

지 기능을 갖는 침입탐지시스템은 쉽게 무력화될 수 있고 침입탐지시스템을 운용하는 조직,

의 입장에서는 투자에 비해 효과를 얻지 못하며 자칫 단지 침입탐지시스템을 운용한다는,

사실 하나로 보안관리에 안일하게 대처하는 더욱 큰 위험을 초래할 수도 있다.

- 186 -

따라서 침입탐지시스템은 변화되는 환경과 침입 기술에 대처할 수 있는 능력을 가져야 하,

며 이를 위해서는 침입탐지시스템이 보유한 보안위반 사건 정보를 새로이 추가하고 추가된,

보안위반 사건들에 대한 탐지 기능 역시 적용될 수 있어야 한다 결과적으로 침입탐지시스. ,

템은 새로운 침입 및 공격방식의 출현이나 감시 대상 호스트 및 서비스들에 대한 새로운 취

약점 출현 등에 대비하여 탐지 대상 보안위반 사건 목록을 갱신할 수 있는 유연성을 가져야

하며 이들 보안위반 사건의 추가 삭제 및 변경을 수행할 수 있는 보안관리 기능을 제공하,

여야 할 것이 요구된다.

시스템 사용에 대한 프로파일 저장 대상의 설정 조회 변경31-6 6. , ,◈

침입탐지시스템은 관리상의 목적으로 침입탐지시스템의 기능들을 제어할 수 있는 관리자 계

정이 존재하며 관리자 계정은 필요에 따라 다수가 될 수도 있다 또한 기타 정보의 조회 등. ,

의 목적으로 관리자 계정 이외의 일반 사용자 계정을 두는 경우도 있으며 각 사용자마다,

다른 권한을 주어 시스템 사용에 대해 차등적인 제한을 둘 수도 있다 침입탐지시스템에 일.

반 계정을 두어 정보를 열람할 수 있도록 하는 것은 일종의 부가 서비스라 말할 수 있다.

이처럼 침입탐지시스템에 다수의 계정이 존재하는 경우 침입탐지시스템에 대한 관리 동작,

이나 기타기능에 대한 조작 정보 열람 등의 행위에 대한 결과가 잘못되었을 경우에 이에,

대한 책임 소지를 밝혀내거나 침입탐지시스템이 제공하는 기능과 관리자 및 사용자 권한의

남용과 오용을 막기 위해서 각 계정사용자들의 행위를 기록하여 시스템 사용에 대한 프로파

일을 생성하는 기능이 요구된다 따라서 이러한 기능을 제어하기 위해서 침입탐지시스템의. ,

보안관리 기능은 시스템 사용에 대해서 프로파일을 남기도록 설정된 대상을 조회하거나 필

요한 경우에 대상을 추가 혹은 삭제하는 기능이 필요하다, .

- 187 -

감사데이터의 조회 검색 정렬31-7 7. , ,◈

침입탐지시스템의 보안관리 기능의 감사데이터의 조회 검색 정렬기능을 통해 관리자는 침, ,

입탐지시스템이 미처 발견하지 못한 수상한 사건이나 관리자가 설정해 두지 못했던 보안위

반 사건의 징후 등을 발견할 수 있으며 수집된 감사데이터는 보안 전문가에 의한 분석을,

통해 더욱 정확한 침입 활동에 대한 정보를 얻을 수 있으며 경우에 따라서는 새로운 공격,

형태를 발견해 낼 수도 있다 이렇게 얻어진 정보는 침입탐지시스템의 효율을 향상시키거나.

새로운 공격형태에 대처할 수 있도록 보안위반 사건 목록을 갱신하는 데 이용될 수 있다.

결과적으로 침입탐지시스템은 관리자에게 침입탐지시스템의 보안기능을 통해 감사데이터,

내용을 직접적으로 조회하거나 필요한 내용을 찾기 위해 검색하고 특정 기준에 따라 정렬하

여 조회할 수 있는 기능을 제공하는 것이 필요하다.

침입탐지시스템의 감사데이터 조회 및 검색 정렬 기능을 위해 보안관리기능에 필요한 인자,

들로는 시간 날짜 요일 해당 감사데이터 엔트리와 연관된 행위 주체 호스트 및 프로세스, , , ,

등이 있으며 각 감사데이터 엔트리에 식별번호나 사건 중요도 및 등급이 지정되는 침입탐,

지시스템의 경우 이들을 인자로 사용할 수 있다 감사데이터에 대한 검색과 관리자가 필요.

로 하는 부분의 추출을 위해 이러한 인자들이 침입탐지시스템의 감사데이터 검색 및 조회

기능에 전달되어 해당하는 감사데이터를 조회할 수 있어야 한다.

감사데이터 저장매체의 허용저장 용량의 임계치 설정 조회 변경31-8 8. , ,◈

침입탐지시스템은 감시대상에서 발생하는 다양한 사건 정보에 대한 즉각적인 분석 및 처리

와 함께 이들 사건정보를 감사데이터로 축적시켜 저장하여 이후의 분석작업을 통해 통계 정

보 제공 혹은 보안전문가에 의한 인위적인 분석작업을 위해 제공되는 등의 용도로 사용되,

는 것이 보통이다.

- 188 -

따라서 침입탐지시스템은 감사데이터를 시스템의 디스크 테이프와 같은 기록매체에 지속적, ,

으로 기록하는 기능이 필요하고 이러한 자료의 기록을 위해 사용되는 저장 자원의 고갈을,

막기 위해 감사데이터 저장 허용 임계치를 설정하는 기능도 요구된다 그리고 시스템 디스. ,

크 자원의 변경이나 시스템 소프트웨어 자원의 구성 변경 등으로 침입탐지시스템에서 사용

할 수 있는 가용 저장공간이 확대되거나 축소되는 경우에는 관리자가 침입탐지시스템의 보

안관리 기능을 통해서 감사데이터의 저장 허용 한계 임계치를 변경하는 기능이 필요하다.

침입탐지시스템은 누적되는 감사데이터가 설정된 저장 허용 임계치를 초과하였을 경우에 이

를 관리자에게 통보하여 관리자가 인위적으로 조치를 취하여 감사데이터 저장 공간을 확보

할 수 있도록 하거나 자체적으로 필요 없는 감사데이터를 삭제하는 등의 기능을 포함하여

침입탐지시스템의 정상적인 동작을 보장할 수 있어야 한다 시스템 저장공간 자원이 소진되.

는 경우 심각하게는 시스템 이상작동 및 정지를 야기시킬 수 있으며 이는 침입탐지시스템, ,

의 정상적인 동작뿐만 아니라 일반 사용자의 활동이나 여타 다른 시스템 프로세스에 악영향

을 미칠 수 있다 따라서 침입탐지시스템은 감사데이터가 설정된 임계치를 초과한 상황에. ,

대처하여 침입탐지시스템과 감사데이터를 보호하는 기능이 필요하다 이를 위해서 침입탐지.

시스템은 관리자가 사전에 감사데이터의 임계치를 설정할 수 있는 보안관리 기능을 제공하

여야 하며 관리자의 필요에 따라 임계치의 조회 및 변경이 가능하도록 보안관리 기능을 제,

공하여야 한다.

감사데이터 손실방지를 위한 대응행동의 설정 조회 변경31-9 9. , ,◈

침입탐지시스템은 탐지대상에서 발생하는 정보들을 감사데이터 형태로 디스크 드라이브나

테이프 드라이브와 같은 시스템의 저장장치 자원에 축적시킨다 지속적인 탐지 활동으로 시.

스템 저장장치 자원에 대한 감사데이터의 점유율은 증가하기 마련이고 여타 특별한 조치가,

없는 이상 시스템 저장장치 자원은 고갈된다 시스템 저장장치 자원의 고갈은 침입탐지시스.

템의 동작뿐만 아니라 시스템 자체에 대해 심각한 악영향을 끼치므로 시스템의 정상적인 서

비스 제공이 불가능하도록 하는 경우가 발생하기도 한다.

- 189 -

시스템 저장장치 자원 고갈 사태를 방지하여 침입탐지시스템의 정상적인 동작을 보장하고

시스템을 보호하기 위해서 침입탐지시스템이 축적하는 감사데이터에 대한 저장 용량 허용

임계치를 설정하고 누적된 감사데이터의 용량이 이를 초과하였을 경우에 대한 대책이 필요

하다 감사데이터가 저장 용량 허용 임계치를 초과한 경우에 적용될 수 있는 대책들로는 다.

음과 같은 방법들이 존재한다.

◆ 불필요한 감사데이터의 삭제

수집된 시점이 상대적으로 오래된 감사데이터를 대상으로 한다던가 일정 기간동

안 요구되지 않았던 감사데이터들을 대상으로 한다던가 하는 규칙에 따라 해당

감사데이터를 삭제하여 침입탐지시스템의 감사데이터가 저장 용량 허용 임계치를

초과하였을 경우에 대응하는 방법이다 이 대처 방법을 위해서 보안관리 기능에.

필요한 인자로는 삭제 대상 감사데이터의 유형 삭제 대상 감사데이터 저장 파일,

명 삭제 대상 감사 데이터의 날짜 혹은 기간 등이 있다, .◆ 감사데이터의 압축

시간 간격을 두어 일정기간 동안 수집된 감사데이터를 압축하여 별도의 파일로

보관한다던가 감사데이터의 누적 용량이 일정수치에 달하면 압축을 하여 별도의

파일로 보관한다던가 하는 규칙에 따라 침입탐지시스템의 감사데이터가 저장 용

량 허용 임계치를 초과하였을 경우에 대응하는 방법이다 경우에 따라서는 수집되.

는 감사데이터를 실시간으로 압축하여 저장하는 방식을 통해 상대적으로 적은 저

장장치 자원을 사용하도록 하는 방법이 있을 수 있다.

- 190 -

이 대처 방법을 위해 보안관리 기능에서 필요한 인자들로는 감사데이터의 압축률

보통 최고 최저 압축 대상 감사데이터의 유형 압축 대상 감사데이터의 파일명( / / ), , ,

압축 대상 감사데이터의 날짜 및 기간 감사데이터의 압축으로 생성될 압축파일명,

및 압축파일이 생성될 위치 등이 있다.◆ 다른 저장장치 자원으로의 감사데이터 이동

일정 시간간격에 따라 혹은 침입탐지시스템의 감사데이터 저장파일의 크기가 일,

정 수치에 달할 경우 감사데이터를 시스템디스크 드라이브의 여유 파티션으로 이

동한다던가 보조 디스크드라이브 흑은 테이프 백업장치 등으로 이동시켜 침입탐

지시스템이 감사데이터 축적을 위해 직접적으로 사용하는 시스템 저장장치 자원

공간의 고갈을 막는 방식이다 이 대처방법을 위해 보안관리 기능에 필요한 인자.

들로는 감사데이터를 이동시킬 저장장치의 종류 흑은 디스크 드라이브 명 이동된,

감사데이터 파일명 등이 있다.◆ 보조 감사데이터 기록 시스템의 이용

경우에 따라서는 감사데이터의 기록을 위한 전용의 호스트를 구성하여 침입탐지,

시스템이 설치된 호스트와는 별도로 설치 운영 및 관리하며 이들을 네트워크를,

통하여 연결하거나 병렬 포트 직렬 포트 등과 같은 여타 다른 통신 인터페이스로,

상호 연결하여 감사데이터의 전달이 가능하도록 설정한다 침입탐지시스템이 설치.

된 호스트의 감사데이터 저장 공간이 소진되거나 임계치를 초과한 경우 이후에,

수집되는 감사데이터를 보조 감사데이터 기록시스템으로 전달하여 감사데이터의

손실을 방지하거나 흑은 이전에 기록되었던 감사데이터 를 보조 감사데이터 기록,

시스템으로 이동시켜 침입탐지시스템의 감사데이터 기록을 위한 자원을 확보한다.

- 191 -

이 대처 방법을 위해 보안관리 기능에서 필요한 인자들로는 보조 감사데이터 기

록 시스템의 이름 흑은 네트워크 주소 보조 감사데이터 기록 시스템 상에서의 감,

사데이터 저장위치 및 파일명 등이 있다.

침입탐지시스템은 감사데이터가 설정된 저장 용량 허용 임계치 초과 시에 상기에 설명된 방

법 혹은 여타 다른 방법들을 통해 자체적으로 시스템 저장장치 자원의 고갈을 막거나 관리,

자에게 임계치 초과를 통보하여 관리자의 직접적인 조치를 통해 시스템 자원의 고갈을 방지

하고 감사데이터의 손실을 사전에 방지하도록 하는 기능을 제공하는 것이 필요하며 관리자,

는 침입탐지시스템의 보안관리 기능을 통해 감사데이터의 저장 허용 임계치 초과에 대한 대

응 방법을 선택하고 필요한 인자들을 설정할 수 있도록 하여야 한다.

무결성 확인 기능의 설정 조회 변경31-10 10. , ,◈

침입탐지시스템은 시스템의 정상적인 동작과 침입탐지시스템에서 사용되는 각 데이터들이

정상적이며 불법적으로 위조되거나 변조되지 않았다는 것을 보장하여야 한다 따라서 침입. ,

탐지시스템은 사용되는 자료나 파일 메시지 등에 대해서 무결성 확인 기능이 요구되며 관, ,

리자가 침입탐지시스템의 보안관리 기능을 통해 각 메시지나 저장데이터에 대해 무결성 확

인을 할 수 있어야 한다.

관리자는 침입탐지시스템의 정상적인 동작과 침입탐지시스템의 임의적 변경 여부 흑은 불,

법적인 조작 여부를 점검하기 위해서 정기적으로 혹은 필요에 따라 침입탐지시스템에서 생

성되는 자료들과 탐지동작 및 관리 동작에 필요한 메시지들에 대한 무결성을 점검할 수 있

어야 한다 무결성 점검기능 적용 대상들에 대해 관리자는 침입탐지시스템의 보안관리 기능.

을 통해 무결성 확인 기능을 설정하고 조회할 수 있어야 한다.

- 192 -

침입탐지시스템의 관리자는 침입탐지시스템의 보안관리 기능을 통해 무결성 확인 기능의 설

정 조회 변경 기능을 통해서 필요한 부분들에 대해서 무결성 확인 기능을 설정하고 무결성, ,

검사값을 조회하거나 필요한 경우 무결성 점검을 수행 기존의 무결성 검사값과의 비교를,

통해 무결성 확인 기능이 적용된 곳에 대한 무결성 확인을 할 수 있어야 한다 무결성 확인.

이 필요한 곳의 예로는 침입탐지시스템에서 사용하는 각종 환경설정 파일 보안위반 사건의,

목록 감사데이터 식별 및 신분확인에 필요한 정보들 침입탐지시스템에 입출력되는 각종, , ,

메시지들 등이 있을 수 있다.

식별 및 인증데이터의 설정 조회 변경31-11 11. , ,◈

침입탐지시스템에는 관리의 목적 이외에 정보제공 등의 부가서비스를 목적으로 일반 계정이

필요한 경우도 있다 침입탐지시스템의 관리자는 침입탐지시스템의 사용자를 관리하기 위해.

서 침입탐지시스템의 보안기능을 통해 이들 사용자 정보를 제어할 수 있는 기능이 필요하

다 즉 침입탐지시스템은 관리자에게 각각의 사용자들의 정보를 보여줄 수 있도록 사용자들. ,

에 대한 식별 및 인증 데이터를 조회할 수 있는 기능이 있어야 하며 관리자가 사용자 추가,

및 삭제 변경 등의 작업이 가능하도록 보안관리 기능 영역에서 이러한 기능들을 제공하여,

야 한다 침입탐지시스템의 사용자들에 대한 식별 및 인증 데이터의 항목들로는 사용자. ID,

사용자의 실명 사용자와의 연락을 위한 정보 주소 등 사용자 인증의 방식 사용자, (e-mail ), (

를 인증하기 위해서 사용되는 방식을 의미한다 일반적인 패스워드를 이용한 방식. ,

를 이용한 방식 물리적인 을 이용한 방식 생체 특성을 이용한 방one-time password , token ,

식 인증서를 이용한 방식 등을 예로 들 수 있다 사용자 인증을 위한 정보 인증서 암호화, .), ( ,

된 패스워드 생체 특성 정보 목록 등을 예로 들 수 있다 등이 있다, , one-time password .) .

관리자는 침입탐지시스템의 보안관리 기능을 통해 이러한 사용자 식별 및 인증에 관련된 정

보를 조회하고 필요한 경우에 사용자를 추가 및 삭제하는 것이 필요하다.

- 193 -

인증데이터의 생성 및 검증31-12 12.◈

앞서 설명하였듯이 침입탐지시스템에서 사용자의 인증 방법의 예로는 일반적인 패스워드방

식 방식 물리적인 을 이용한 방식 생체 특성을 이용한 방식 인, one-time password , token , ,

증서를 이용한 방식 등이 있을 수 있다 침입탐지시스템은 보안관리 기능을 통해 이들 사용.

자인증 데이터를 생성하고 인증 데이터의 안정성과 정확성을 위해 관리자가 검증할 수 있는

기능을 제공할 필요가 있다 일반적인 패스워드 방식의 인증에서 인증데이터 생성은.

의 명령을 사용하여 시스템에서 사용자 인증에 사용되는 인증데이터인LINUX mkpasswd

패스워드를 무작위로 생성하는 것을 예로 들 수 있다.

침입탐지시스템에서 사용될 수 있는 인증방식은 그 구현에 따라 다양하며 이들 각각의 인,

증방식에서 사용되는 인증데이터는 각각 다르다 침입탐지시스템은 이들 인증방식에서 사용.

되는 사용자 인증데이터를 생성하는 기능이 있어야 하고 이를 침입탐지시스템의 보안기능을

통해 관리자가 생성할 수 있어야 한다 일반적인 패스워드를 이용한 인증 방식에서는 인증.

데이터로 사용자의 패스워드를 생성하되 일반적인 사전의 단어나 많이 알려진 단어 같은,

문자의 연속을 사용하거나 사용자와 관련된 정보를 이용하여서는 안 된다 일반적으로 가급.

적이면 숫자와 특수문자 영자의 대소문자를 조합한 자 이상의 문자로 이루어지는 것을 권, 8

장한다 특수한 경우 일반적인 패스워드를 사용한 인증 방식에서 해쉬 메커니즘을 사용하여. ,

자 이상의 단어를 사용할 수 있도록 하는 것도 가능하다 시스템의 난수 생성 기능을 이용8 .

하여 숫자나 문자에 해당하는 숫자 코드를 생성하여 패스워드를 구성하는 것이 추천되는 방

식이다 방식의 경우도 일반적인 패스워드 방식과 패스워드를 생성하는. One-time password

규칙은 동일하게 적용되나 침입탐지시스템의 보안기능을 통해 한 사용자에 대해서 패스워드

의 목록을 생성하는 것이 필요하다.

- 194 -

방식의 구현에 따라 특정 시간 요일 흑은 시스템 로그인 횟수에 따라One-time password ,

서 패스워드 목록 상에서 그에 상응되는 패스워드가 인증데이터로써 사용된다 인증서를 이.

용한 방식의 경우에는 침입탐지시스템이 인증서버의 기능을 내장하여 초기에 보안기능을 통

해 관리자가 입력한사용자 정보를 이용하여 인증서에 필요한 내용들을 구성하여 인증서를

생성할 수도 있으며 경우에 따라서는 인증서버는 별도의 시스템에 설치되고 침입탐지시스,

템의 보안기능을 통해 인증데이터 생성을 요청하면 침입탐지시스템이 인증서버에 인증서 발

급을 요청하여 인증서를 생성 이를 사용자에게 배포할 수도 있다 이러한 방식들에서 설명, .

된 바와 같이 침입탐지시스템의 보안관리 기능을 통해 사용자 인증데이터를 생성하고 이들,

인증데이터가 안전하고 정확한지를 검증할 수 있는 기능이 요구된다.

연속적인 인증실패 한계횟수 설정 조회 변경31-13 13. , ,◈

일반적으로 사용자 인증이 이용되는 응용 서비스들과 마찬가지로 침입탐지시스템에 대해 연

속적인 인증 실패는 허가되지 않은 사람에 의한 침입의 시도로 간주하여야 한다 연속적인.

인증 실패에 대한 특별한 조치가 없을 경우 침입자는 과 같은 공격을 통, brute force attack

해 침입탐지시스템에 침입할 수 있다 침입탐지시스템에 대한 침입은 침입탐지시스템의 무.

력화를 통해 차적인 침입 목적 달성 침입탐지시스템의 동작 방해 및 훼손 그리고 침입탐2 , ,

지시스템 정보의 변경 등을 통해 지속적인 침입 행위의 진행 등으로 이어져 침입탐지시스템

의 존재 가치를 말소시키고 결국에는 조직의 정보 자산에 피해를 입히는 결과를 낳는다 따.

라서 사용자 인증 과정에 연속적인 인증실패 한계 횟수를 지정하여 이 횟수를 초과하는 경,

우에 대한 조치는 침입탐지시스템에 중요한 기능 중 하나이다 침입탐지시스템이 자신에 대.

한 보안감시활동을 수행하여 이러한 보안위반 사건을 탐지하는 것이 가능하며 침입탐지시,

스템의 인증 메커니즘이 검증된 알고리즘을 이용하여 연속적인 인증실패를 유발하는 공격

형태에 대해서 완전하게 안전하다는 것이 보장된다면 반드시 요구되는 기능은 아니다.

- 195 -

침입탐지시스템을 보호하기 위해서 침입탐지시스템의 보안관리 기능은 관리자에게 해당 환

경의 특성에 맞도록 연속적인 인증실패 한계 횟수를 적절하게 설정하고 조회 및 변경하는

기능을 제공하는 것이 필요하며 침입탐지시스템의 인증실패 허용 횟수를 초과한 경우에 대,

한 대응기능을 갖춰야 하는 것이 요구된다 연속적인 인증실패 허용 횟수를 초과한 경우에.

대한 대응은 침입탐지시스템의 인증 실패 관리 기능에서 다루어져야 한다 인증실패 관리에.

대한 간략한 예로는 해당 사용자계정의 사용불가 조치 인증을 시도하는 근원지 주소에 대, ,

한 접근금지조치 등이 있다.

시점확인 기능의 설정 조회 변경31-14 14. , ,◈

침입탐지시스템이 수집하는 감사데이터나 여타 다른 사건들에 대한 기록정보들에 대한 사건

의 발생 시각을 확인하고 부수적으로 통계데이터의 산출을 위해서 각 사건들이 발생한 시점

을 기록하고 확인하는 기능이 요구된다 침입탐지시스템에서 사건에 대해서 기록되는 일시.

는 침입탐지시스템이 설치된 시스템의 시간을 기준으로 기록되는 것이 일반적이며 관리자,

는 침입탐지시스템의 보안관리 기능을 통해서 시점확인을 적용할 수 있는 사건 기록 정보들

에 대해 시점확인 기능의 적용여부나 시점확인에 필요한 인자들에 대한 설정을 하는 기능을

필요로 한다.

이 기능을 통해 관리자는 침입탐지시스템이 운용되는 환경의 특성에 따라 시점확인 기능이

필요하지 않거나 중요도가 낮은 사건에 대해서 시점확인이 적용될 필요가 없는 경우 흑은,

일시 표시 형식이 다르게 요구되는 경우에 대해서 시점확인 기능을 변경할 수 있다.

안전한 경로의 설정 조회 변경31-15 15. , ,◈

- 196 -

원격지에서 침입탐지시스템을 관리하는 데 전달되는 메시지와 자료들이 노출되는 경우 침입

탐지시스템에 대한 침투 및 침입탐지시스템에 의해 감시되는 감시 대상 객체들에 대한 정보

의 노출로 이어져 침입탐지시스템을 무력화시키거나 회피할 수 있는 근거를 제공하게 된다.

따라서 침입탐지시스템의 관리를 위해 전달되는 메시지와 자료들은 안전성이 보장된 채널,

을 경유하여야 하며 침입탐지시스템의 보안관리 기능은 관리자가 안전한 경로를 설정하거,

나 현재 설정된 내용을 조회 혹은 변경할 수 있는 수단을 제공하여야 한다 안전한 경로에.

대한 세부 내용은 해당 보안기능요구사항 해설에서 설명되며 대표적인 안전한 경로로는,

이 존재한다 관리자는 침입탐지시스템의 보안관리 기능을 통해 안전한 경로의 사용 여SSL .

부를 선택할 수 있어야 하며 안전한 경로의 설정에 필요한 인자들을 설정하거나 조회 및,

변경할 수 있는 기능이 요구된다.

안전한 경로를 통해 전달되는 내용들은 침입탐지시스템이 웹 기반 원격관리 기술을 이용하

는 경우 를 이용하여 전송될 내용 즉 웹 페이지 내용 관리 인터페이스를 구성하는HTTP , ,

이미지 애플릿 등이 존재한다 웹 인터페이스에 필요한 내용들이 모두 전달된 이후에는 안, .

전한 경로를 통해서 관리 메시지와 자료들이 전달된다 경우에 따라서는 이러한 전달되는.

내용들 각각에 대해서 안전한 경로에 필요한 설정들이 다르게 적용될 수도 있다.

참고문헌7.3.

[1] Charles P. Pfleeger, Secyrity in Computing. Second Edition, New Jersey: Prentice -

Ha1I PTR, 1997.

[2] Vijay Ahuja, Network and Internet Security, USA: Academic Press, pp.103-106, 1996.

[3] Simson Garfinkel and Gene Spafford, Practical UNIX & Internet Security 2nd ed.,

O'reilly & Associates, Inc., April 1996.

- 197 -

[4] IWG Public Interpretation Queue, #0005 Action For Audit Log Overflow.

URL ; http://www.radium.ncsc.mil/tpep/library/interps/0005.html

[5] Charles P. Pfleeger, Security In Computing, Vol. 2, Prentice Hal1 PTR, 1996

- 198 -

보안 기능의 보호8.

개 요8.1.

보안 기능의 보호 기능은 침입탐지시스템이 제공하는 보안 기능을 비 인가된 접근 및 변조

로부터 보호하기 위한 기능으로 정의되며 크게 시점 확인 기능과 안전한 경로의 제공 기능,

으로 구성된다.

시점 확인 기능은 감사 사건을 포함하여 침입탐지시스템에서 발생하는 많은 사건 정보를 기

록하는 과정에서 신뢰성 있는 수단에 의해 제공된 시간 정보를 추가하여 해당 정보가 특정

시간에 존재하였음을 확인함으로써 정보에 대한 신뢰성을 보장하는 기능으로 정의된다 시.

점확인 기능의 제공 방식은 현재 표준화 작업이 수행되고 있는 과 같은time stamp protocol

방식을 통해서 확인할 수 있듯이 신뢰성 있는 시간 원을 제공하는 시점 확인 서버가 제공,

하는 신뢰 시간을 추가하여 침입탐지시스템에서 정보의 기록을 수행하는 방식을 고려할 수

있다.

안전한 경로 제공 기능은 침입탐지시스템이 관리자에게 원격 관리기능을 제공하는 경우 원,

격지 호스트와 침입탐지시스템의 보안 관리기능 요소간에 생성되는 관리 채널에 대한 보호

기능으로 정의된다 안전한 경로 제공 기능에서 고려되어야 하는 세부 기능은 원격 관리자.

호스트에 대한 접근 제어 기능과 원격 관리 채널의 보호 기능이다.

관리자 호스트 접근 제어 기능은 원격지의 관리자 호스트에 대하여 보안 관리 기능 요소에

접근할 수 있는 호스트들을 정의함으로써 비 인가된 호스트로부터의 접근을 미연에 차단하

는 기능이다 적용 가능한 관리자호스트 접근 제어 방식으로는 접근제어 목록. (ACL: access

을 통한 제어 방식과 민감 수준 을 이용한 방식이 고려될 수 있control list) (sensitivity level)

다.

원격 관리자 채널에 대한 보호 기능은 채널에 대한 기밀성과 무결성을 통하여 원격 관리자

채널에 대한 비 인가된 변조 노출 및 데이터의 재사용을 방지하는 기능이다 일반적으로 전, .

송데이터의 기밀성은 메시지에 대한 암호화를 통하여 무결성은 데이터 인증을 통하여 구현,

가능하다.

- 199 -

최근 들어 웹을 이용한 관리 인터페이스의 구성 형태가 확산되어 감에 따라 웹 채널에 대,

한 보안도 관리자 채널에 대한 보안을 위하여 중요한 부분으로 고려되고 있다 웹 채널의.

보호를 위하여 현재 가장 많이 적용되고 있는 는 웹 브라우저와SSL(secure socket layer)

웹 서버간의 안전한 통신을 위하여 사가 개발한 프로토콜로서 상위수준의 응용과Netscape ,

는 독립적으로 소켓 수준에서 동작하기 때문에 이외에 와 같은 응용에서, HTTP telnet, ftp

도 통신 채널의 보호를 위하여 적용될 수 있다.

보안 기능 요구사항 해설8.2.

본 단원에서는 앞 단원에서 명시된 보안 기능 요구 사항 항목들에 대한 상세한 해설을 기술

한다.

보안 기능 요구사항 항목8.2.1.

본 단원에서는 보안 기능의 보호 기능 제공을 위하여 정의된 보안 기능요구사항 항목들을

기술한다 기술된 보안 기능 요구사항 항목들은 절의 등급별 보안 기능 요구사항에 기술. 2

된 모든 항목들을 포함하여 보안 기능의 보호 기능 제공을 위하여 정의된 보안 요구사항,

항목들은 다음과 같다.

32 시점확인 기능에는 신뢰성 있는 수단에 의해 시점 확인이 제공되어야 한다.

33 안전한 경로 기능에는 보안 기능과 관리자간에 안전한 경로를 보장하는 수단이

제공되어야 한다.

- 200 -

관련 평가 등급8.2.2.

본 단원에서는 보안 관리 보호 기능 제공을 위하여 정의된 보안 기능요구사항과 평가 등급

별 요구 사항과의 상관 관계를 기술하며 표 은 상관 관계를 정리한 도표이다, [ 8-1] .

표 보안기능의 보호 기능과 평가 등급과의 상관 관계[ 8-1]

보안 기능 항목별 상세 해설8.2.3.

본 단원에서는 보안 기능 보호 기능 제공을 위하여 정의된 기능항목들의 정의 목적과 항목

해설 그리고 적용 예에 대하여 상세 기술한다, .

항목8.2.3.1. 32

32 시점 확인 기능에는 신뢰성 있는 수단에 의해 시점 확인이 제공되어야 한다.

정의 목적1)

본 항목은 침입탐지시스템의 운용 및 관리와 관련하여 발생하는 일련의 사건을 기록하는 과

정에서 신뢰성 있는 날짜 및 시간 정보를 제공할 것을 요구하는 항목이다 감사 기록 또는.

보안위반 사건의 기록은 사용자의 시스템 사용에 대한 기록된 증거로 사용될 뿐만 아니라,

시스템 보안 관리자의 보안 관리 책임 소재를 분명히 할 수 있는 근거로 사용될 수 있기( )

때문에 반드시 신뢰성 있는 수단을 통하여 시간 및 날짜 정보를 생성함으로써 생성된 기록

에 대한 시점확인 기능을 제공하여야 한다.

- 201 -

따라서 본 항목은 침입탐지시스템이 신뢰성 있는 시간 정보 획득 수단을 통하여 시점 확인,

기능을 제공함으로써 시스템의 신뢰도를 향상시키고자 하는데 정의 목적이 있다.

항목 해설2)

시점확인 기능 은 특정 시점 이전에 데이터가 존재했는지에 대한 명확(time stamp service)

한 증거를 제공하는 기능으로 정의되며 이를 통해 정보가 실제 시간 이전 또는 이후에[4],

작성된 것처럼 도용되는 것을 방지해 줌으로써 시스템의 신뢰도를 높이기 위한 기능이다.

따라서 시점 확인 기능은 크게 정보에 시점 확인 정보를 부여하는 기능과 부여된 시점 정,

보의 위조 또는 변조 여부를 확인하는 기능으로 구성된다 시점확인 서비스. (time stamp

는 정보에 시점 정보 시각 정보 를 부여하여 특정 시점에 해당 정보가 존재하였는service) ( ) ,

지의 여부를 확인하는 서비스로 정의된다 이러한 시점확인 서비스를 위한 요구사항은 정보.

의 비 인가된 변경을 방지할 수 있어야 하며 신뢰성 있는 시간을 사용해야한다는 것이다, .

시점확인 서비스는 현재 여러 기술에 기반하여 구현되는데 관련 기반 기술로는 전자 서명,

알고리즘 해쉬 알고리즘 기술 그리고 위치추적을 위한 위성, , NTP(network time protocol) ,

들을 이용한 신뢰시간 측정과 같은 기술이 있다 시점확인 서비스를 이용하여 침입탐지시스.

템은 시스템 내에서 발생하는 사건에 대한 기록 생성이 요구되는 경우에 신뢰성 있는 시간

정보를 부여할 수 있으며 사건에 대한 비 인가된 위조 또는 변경으로부터 정보를 보호할,

수 있다.

현재 시점확인 서비스의 표준화 동향은 여러 기관에 의하여 수행되고 있는데 대표적으로,

의 인IETF Internet Draft "Internet X.509 Public Key Infrastructure Time Stamp Protocol"

과 의 인ISO/IEC Working Draft 18014 "Information Technology Security Techniques -

가 있다Time Stamping Services" .

- 202 -

항목 적용 예3)

시점확인 기능의 제공은 침입탐지시스템이 시스템 내에서 발생하는 사건을 기록하는 과정에

서 신뢰성 있는 시간 정보를 사용함으로써 시스템의 신뢰도를 향상하고자 하는데 목적이 있

다 본 항목의 적용 예는 현재 의 를 통하여 제안되어 있는 시점확인 프. IETF Internet Draft

로토콜 을 통하여 구현 방법을 예시하고자 한다(TSP: time stamp protocol) .

에서는 시간상의 특정 시점과 데이터의 연관성을 부여하기 위해 시점 확인 기관TSP (TSA:

을 정의하고 있는데 의 역할은 정보에 시간 정보를 의미하는 증time stamp authority) , TSA

거를 설정함으로써 데이터에 대한 시점 확인이 가능하도록 하는 것이다 는 정보가 특. TSA

정시점에서 존재했음을 증명하기 위해 시점 확인 토큰을 생성한다 이러한 는 한계시간. TSA

이 중요하게 고려되어야 하는 경우나 로그에 새로운 엔트리에 대한 시간 정보 추(deadline)

가 시에 사용될 수 있다.

에서는 구성을 위한 기능 요구사항을 다음과 같이 정의하고 있다[4] TSA .

◆ 신뢰성 있는 시간 원을 제공하여야 한다.◆ 각각의 시점 확인 토큰에 대한 신뢰성 있는 시간 값의 포함하여야 한다.◆ 새롭게 생성된 시점 확인 토큰에 대한 유일한 정수 값을 포함하여야 한다.◆ 요청자로부터 수신된 합법적인 요구에 대하서만 시점 확인 토큰을 생성하여야 한다.

- 203 -

◆ 각각의 시점 확인 토큰 내에 토큰이 생성된 보안 정책을 식별할 수 있는 식별자를

포함하여야 한다.◆ 정보에 대한 해쉬값에 대해서만 시점확인을 해야 한다.

◆ 일방향 충돌 방지 해쉬 함수의 값을 검사하여 해쉬값의 길이가 해쉬 알고리즘OID

과 일치하는지를 확인해야 한다.◆ 어떠한 방식으로든 시점 확인된 해쉬값에 대한 검사를 수행해서는 안 된다.◆ 시점 확인 토큰 내에 요청자의 식별자가 포함되어서는 안 된다.

◆ 시점 확인을 목적으로만 생성된 전자서명 키를 사용하여 서명하여야 하며 이러한,

내용을 키의 인증서 상에 명시하여야 한다.

◆ 확장 필드를 사용이 요청자에 의해 요구되는 경우에는 가 지원하는 확장들에TSA

대해서만 시점 확인 토큰 내에 부가 정보를 포함하여야 하며 지원이 불가능한 경우,

는 오류 메시지처리를 할 수 있다 확장 필드는 요구 메시지에 부가 정보를TSA . (

추가하고자 할 경우에 사용 가능하며 대표적인 예로 메시지의 중요도를 포함시킬,

수 있다.)

그림 은 시점 확인 서비스의 절차를 도시한 것이다 우선 요청자 는[ 8-1] . (requesting entity)

시점확인 서비스 신청을 작성하여 에게 요구메시지를 전송한다 요청자로부터 시(1) TSA (2).

점 확인 서비스요청을 수신한 메시지에 대하여 해쉬 함수의 검사와 같은 정확성검사를OID

수행한 후 시점 확인 토큰을 생성한다 가 생성된 시점 확인 토큰을 요청자에게(3), (4). TSA

전송한다 로부터 응답 메시지를 수신한 요청자는 메시지에 대하여 시점 확인 토큰(5). TSA

의 완전성 및 내용의 정확성에 대한 검사를 수행한다(6).

- 204 -

검사 항목은 전자서명 유효성검사 시점 확인 토큰이 요청한 것에 상응하는 것인지에TSA ,

대한 검사 의 식별자 해쉬 알고리즘과 해쉬값에 대한 검사 메시지 재사용방지를 위해, TSA , ,

요청 메시지에 삽입되고 에 의해 수정 없이 반환되는 값에 대한 검사 답변 기, TSA nonce ,

한 내에 시점확인 토큰이 수신되었는지에 대한 검사 등이 수행될 수 있다.

그림 시점 확인 서비스의 절차[ 8-1]

본 에서는 가 신뢰성 있는 시간 원의 제공 방식에 대한 명시는 포함하Internet Draft TSA

고 있지 않지만 일반적으로 로부터 시간 정보를 제공이 도, GPS(global positioning system)

입되고 있다.

항목8.2.3.2. 33

33 안전한 경로 기능에는 보안 기능과 관리자간에 안전한 경로를 보장하는 수단

이 제공되어야 한다.

정의 목적1)

는 보안 기능의 보호를 위한 안전한 경로 제공 기능에 대해서 정의하고 있으며 이는 보33 ,

안 기능과 관리자간에 안전한 경로를 보장하는 수단이 제공되어야 함을 의미한다.

- 205 -

즉 침입탐지시스템은 원격지 관리시 해당 관리자에게 보안 기능을 안전하게 제공하기 위해,

서 보안 기능과 관리자간에 사용되는 통신 채널에 대한 안전성을 보장하는 수만을 제공하,

여야 한다 따라서 는 안전한 경로 기능을 제공하기 위해서 이를 보장하는 수단을 침입. 425 ,

탐지시스템이 지원해야 함을 의미한다.

항목 해설2)

원격지의 관리자에 의한 침입탐지시스템의 관리가 요구될 경우 보안기능과 관리자 사이의

통신을 보장하기 위해서는 다음의 메커니즘이 필요하다.

보안 접근 호스트 제어◈

침입탐지시스템에서 해당 시스템을 원격에서 관리자가 관리하게 될 경우 침입탐지시스템에,

서는 관리자에 대해서 허가된 관리자인가를 검사해야 한다 따라서 관리자에 대한 허가를.

가능하게 할 수 있는 메커니즘을 가지고 있어야 한다.

침입탐지시스템에서는 보안 접근 호스트 제어를 하기 위해서 접근 제어 방식을 사용한다.

네트워크에서 분산된 자원들을 안전하게 보호하기 위해서 접근하는 사용자 또는 응용 등에,

대하여 인증을 한다 이때 사용자 레벨과 접근되는 자원 객체 의 중요도에 따라서 허가하는. , ( )

방식을 접근 제어 방식이라 한다 접근 제어 방식은 가지 형태의 정보를 기반으로 이루어. 3

진다.

◆ 주체 객체에 접근할 수 있는 것으로 사용자 사용자 그룹 터미널 호스트: , , , ,

또는 응용을 포함한다.◆ 객체 접근 제어되어야 하는 대상:

◆ 접근 권한 접근 권한은 주체가 객체를 접근할 수 있는 방법을 정의한다: .

접근 권한은 주체와 객체의 쌍으로 정의된다.

- 206 -

주체와 객체 그리고 접근 권한의 상관관계는 표 에서 보는 바와 같이 나타낼 수 있다, [ 8-1] .

이러한 접근 제어 방식을 라고 하며 이것은 주체 객체 접근 권access control matrix , < , ,

한 형태로 나타내 질 수 있다 표 에서는 주체인 사용자 사용자 사용자 가 객> . [ 8-1] 1, 2, 3

체인 에 대한 접근 권한을 명시하고 있다BIBLIOG, TEMP, F, HELP.txt .

표[ 8-1] Access Control Matrix

접근 제어는 주체가 객체에 대한 접근 요청을 할 때 접근 권한을 실행한다 침입탐지시스템.

에서는 이러한 접근 제어 방식을 주체로서 관리자 또는 사용자가 접속할 수 있는 호스트 사/

용자를 지정하고 객체로서 침입탐지시스템의 각 기능단위로 분류하고 그 둘의 관계,

로 사용자 레벨을 사용한다 따라서 한 침입탐지시스템에서는 미리 허가된 호스트(relation) . /

사용자의 관리요청에 대해서만 그 사용자 레벨에 맞는 역할을 할 수가 있도록 설계되어야

한다.

채널 보호◈

침입탐지시스템에서 관리자에 대해 허가한 후 관리자와 통신 대상이 되는 보안 기능과의,

안전을 위해서 채널 보호가 이루어져야 한다 이러한 채널 보호는 통신하는 두 대상사이에.

서 주고받게 되는 데이터에 대해 무결성과 기밀성의 제공을 통하여 보장될 수 있다.

- 207 -

◆ 무결성

무결성이란 침입탐지시스템을 통해 전송되는 데이터의 변경 여부를 확인하는 기

능이다 전송 데이터 무결성을 확인하기 위한 형태로는 해쉬 함수를 이용하는.

일반적인 형태 해쉬 코드 발생시 키를 이용하는 을 이용하는 형태 암호, MAC ,

화를 이용한 형태 등이 있을 수 있다 전송 데이터에 대해 무결성을 확인하는.

방식은 전송데이터 자체에 무결성 검사 값이 포함되어 있어야 한다 송신자는.

데이터 자체에 대한 무결성 검사를 통하여 데이터에 대한 인증 메시지로서 무결

성 검사 값을 붙인다 수신자는 수신한 데이터와 관계가 있는 무결성 정보를 발.

생시켜 수신한 무결성 정보와 비교하여 전송 받은 데이터의 무결성을 확인한다.

◆ 기밀성

기밀성이란 전송 중인 정보를 외부로 노출시키지 않기 위해서 암호화 기법

을 통해 주로 제공된다 암호화 기법은 인가된 사람만이 갖고 있(cryptography) .

는 특별한 정보 키 를 이용하여 보호하고자 하는 평문을 암호문으로 변형시켜( )

인가되지 않은 자 즉 침입자가 암호문에 접근하여도 아무런 정보를 얻을 수 없,

도록 하는 방법이다.

현대 암호에서는 의 이론에 근거하여 설계된 대칭키 암호와 대칭키 암호의 단점인Shannon

키 관리 문제를 해결한 비대칭키 암호가 병존하고 있는 데 실질적인 데이터의 암호화를 위,

해서 계산 효율면에서 우수한 대칭키 암호가 사용되고 대칭키 암호의 문제인 키 공유를 위

해 비대칭키 암호가 사용되는 복합 구조를 갖는 것이 일반적인 경향이다.

대칭키 암호는 다시 스트림 암호와 블록 암호로 구별된다 보호하고자 하는 데이터의 길이.

와 같은 길이의 키로 비트별 하는 방식이 스트림 암호인데 이는 정보이론 관점에서XOR ,

안전하다는 를 실용적인 관점으로 구현한 것이다One Time Pad .

- 208 -

블록 암호는 대치와 치환을 번갈아 사용하면 안전한 암호를 설계할 수 있다는 의Shannon

이론에 근거하여 설계된 것으로 암호학적으로 약한 라운드 함수를 반복적으로 사용함으로써

강한 암호를 설계한다.

비대칭키 암호는 암호화할 때 사용하는 키 공개키 와 복호화할 때 사용하는 키 비밀키 가( ) ( )

달라 공개키는 공개하고 비밀키만을 간직함으로써 동일한 키로 암호화와 복호화를 수행하는

대칭키 암호에서 발생하는 키 관리 문제를 효과적으로 해결하였다.

암호화 기법은 데이터를 읽을 수 없는 형태로 변환시키는 것으로서 자격이 없는 누군가로부

터 정보를 숨김으로써 정보의 기밀성을 보장한다.

항목 적용 예3)

을 기반으로 하는 관리자 인터페이스를 가지는 침입탐지시스템의 경우 관리자와 침입Web

탐지시스템 간의 안전한 통신을 보장하기 위하여 프로토콜을 사용한다SSL .

은 이 인터넷 상의 보안과SSL(secure socket layer) Netscape Communications Corporation

기밀을 보장하기 위해 개발한 프로토콜이다 침입탐지시스템에서의 프로토콜은 침입탐. SSL

지시스템과 관리자 인터페이스의 인증기능을 수행한다 프로토콜은 암호화 키와 관련. SSL

된 협상을 할 수 있을 뿐만 아니라 관리자 인터페이스가 침입탐지시스템과 정보를 교환하기

전에 침입탐지시스템의 진위를 확인해 줄 수 있다 프로토콜은 암호화와 인증 메시지. SSL ,

인증 코드 등의 방법을 통해 송수신 경로의 보안과 안정성을 유지시켜 줄 수 있다 프. SSL

로토콜의 핸드쉐이크 방법은 다음과 같다(handshake) [3].

◆ 관리자 인터페이스는 관리자 인터페이스의 버전 번호 암호화 방식 임의SSL , ,

생성 데이터 그리고 침입탐지시스템에서 을 사용하여 관리자 인터페이스와, SSL

통신하는데 필요한 데이터들을 전송한다.

- 209 -

◆ 침입탐지시스템은 관리자 인터페이스로 침입탐지시스템의 버전 번호 암호SSL ,

화 방식 임의 생성 데이터 그리고 관리자인터페이스가 을 사용하여 침입, , SSL

탐지시스템과 통신하는데 필요한 데이터들을 전송한다 그리고 침입탐지시스템. ,

은 그 외에 자신의 인증서를 전송하고 관리자 인터페이스의 인증서를 요구한다.

◆ 관리자 인터페이스는 침입탐지시스템을 인증하기 위하여 침입탐지시스템으로부

터 전송 받은 정보들 중 일부를 이용한다.

◆ 핸드쉐이크가 진행되는 동안 관리자 인터페이스는 세션을 위한 premaster secret

를 생성하고 침입탐지시스템의 공개키로 이를 암호화한다 그리고 침입탐지시스, .

템으로 암호화된 를 전송한다premaster secret .

◆

만약 침입탐지시스템이 관리자 인터페이스에 대한 인증을 요구하면 관리자 인터

페이스는 핸드쉐이크에서 유일하고 관리자 인터페이스와 침입탐지시스템 둘 다

알고 있는 다른 데이터에 서명을 한다 이런 경우는 관리자 인터페이스는 서명된.

데이터와 관리자 인터페이스 자신의 인증서를 암호화된 와 함께premaster secret

전송한다.

◆

만약 침입탐지시스템이 관리자 인터페이스에 대한 인증을 요구하면 침입탐지시

스템은 관리자 인터페이스에 대한 인증을 시도한다 만약 관리자 인터페이스가.

인증되지 않으면 세션은 종료된다 만약 관리자 인터페이스에 대한 인증이 성공.

적으로 수행되면 침입탐지시스템은 를 침입탐지시스템의 비밀, premaster secret

키로 복호화한다 그 후에 를 생성하기 위하여 여러 단계의 을. master secret step

수행한다.

- 210 -

◆ 침입탐지시스템과 관리자 인터페이스 모두 세션동안 데이터의 전송과정에SSL

서의 암 복호화에 사용하고 데이터의 무결성 검증에 사용되는 세션 키를 생성하/ ,

기 위해서 를 사용한다master sercet .

◆ 관리자 인터페이스는 관리자 인터페이스로부터 세션 키를 이용하여 암호화될 미

래의 메시지를 침입탐지시스템으로 전송하여 알린다 그 후의 분리된 몇 개의 메.

시지의 전송은 관리자 인터페이스의 핸드쉐이크가 끝났음을 의미한다.

◆ 침입탐지시스템은 침입탐지시스템으로부터 세션 키를 이용하여 암호화될 미래의

메시지를 관리자 인터페이스로 전송하여 알린다 그 후의 분리된 몇 개의 메시지.

의 전송은 침입탐지시스템의 핸드쉐이크가 끝났음을 의미한다.

◆ 이런 과정이 모두 수행되면 핸드쉐이크는 끝난다 그리고 세션이 시작SSL . SSL

된다 관리자 인터페이스와 침입탐지시스템은 세션 키를 사용하여 데이터를 암호.

화하고 복호화 한다 그리고 무결성 점검을 수행한다. , .

참고 문헌8.3.

- 211 -

[1] Vijay Ahuja, Ph.D., Network and Internet Security, AP PROFESSIONAL

[2] Charles P. Pfleeger, Security In Computing, Vol. 2, Prentice Hal1 PTR, 1996

[3] Netscape Communications Corp., "Introduction to SSL".

URL; http://developer.netscape.com/docs/manuals/security/sslin/contents.htm

[4] C. Admas, P Cain, et al, Internet X.509 Public Key Infrastructure Time Stamp

Protocol (TSP), Internet Draft<draft-ietf-pkix-time-stamp-1.txt>, Oct. 2000.

- 212 -