표제지
목차
국문요약 12
I. 서론 14
1. 연구 필요성 14
2. 연구 목적 17
3. 연구 방법 및 구성 18
II. 관련 연구 19
1. Log 분석 19
2. 접근제어 19
3. IP 역추적 20
4. APT 공격 21
III. 사이버테러의 전조 현상 분석 22
1. 3.20 사이버테러 공격 분석 22
2. 사이버테러 실시간 모니터링 분석 23
3. APT 공격에 대한 전조 현상분석 27
IV. IP 역추적 연구 30
1. 접속 Log 분석 30
2. 접근제어 34
3. 패킷 분석 42
4. IP 역추적 44
5. 보고서 작성 46
6. 사이버 테러의 공격 시나리오 방어 및 차단 49
6.1. 비인가자가 무작위 공격 시도 계정 차단 49
6.2. 내부 사용자의 시스템 접근 제한 51
6.3. 사용자 및 비인가자 명령어 제한으로 사전 위험 차단 54
6.4. 관리자 계정 해킹 도난 시 IP 역추적 59
6.5. 공격 시나리오 분석을 통한 내부 정보 유출자 감시 63
6.6. DDoS 공격에 대한 실시간 감시 및 차단 68
V. 결론 71
1. 연구 결과 71
2. 향후 연구 72
참고 문헌 73
ABSTRACT 74
〈표 III-1〉 3.20 사이버테러 사건일지 22
(그림 I-1) '3.20 대란' 이어 방송사 전산사고 연발 15
(그림 I-2) 신한은행·NH농협은행 정보전산망 마비 16
(그림 III-1) 접근 이력, 정책 위반 이력 실시간 모니터링 24
(그림 III-2) 시스템 장비들에 대한 실시간 Log 모니터링 26
(그림 III-3) 위협 분석 리스트(접수 이벤트) 28
(그림 III-4) 위협정보 통계 그래프 29
(그림 IV-1) 장비에 대한 장애 Log 화면 30
(그림 IV-2) 장비에 대한 상세보기(원본Log 분석) 31
(그림 IV-3) 장비에 대한 비인가자 접속 시도 Log 화면 32
(그림 IV-4) 비인가자 접근 시도 상세보기(원본Log 분석) 33
(그림 IV-5) 사용자별, 시스템별 실시간 전체통계 화면 35
(그림 IV-6) 서비스별, 명령어별 실시간 전체통계 화면 36
(그림 IV-7) 전체통계에 대한 실시간 그래프 화면 37
(그림 IV-8) 사용자별 실시간 통계 분석 38
(그림 IV-9) 시스템별 실시간 통계 분석 39
(그림 IV-10) 서비스별 실시간 통계 분석 40
(그림 IV-11) 명령어별 실시간 통계 분석 41
(그림 IV-12) 운영하는 장비에 대한 패킷 흐름도 분석 42
(그림 IV-13) 운영하는 장비에 대한 상세 패킷 분석 43
(그림 IV-14) 접속 이력에 대한 사용자 Log 정보 44
(그림 IV-15) Log 솔루션을 이용한 접근 이력에 대한 내부 사용자 행위 역추적 45
(그림 IV-16) 보고서 기간 지정화면 (2014년 9월 1일~20일) 46
(그림 IV-17) 사용자별 시스템별 통계 보고서 47
(그림 IV-18) 서비스별 사용자 통계 승인 보고서 48
(그림 IV-19) 비인가자가 사용자 계정에 비밀번호 입력 후 Log인 실패 및 경고화면 49
(그림 IV-20) Log인 3회 실패로 계정 중지 화면 50
(그림 IV-21) 3회 Log인 실패 시 관리자 승인 필요화면 50
(그림 IV-22) JJJJ 사용자에 대해 KHKIM_TEST 계정 시스템만 할당되는 화면 52
(그림 IV-23) JJJJ 사용자 KHKIM_TEST 시스템만 접근 가능 53
(그림 IV-24) conf t, shutdown 제한 명령어 등록 54
(그림 IV-25) JJJJ 사용자에게 TELNET/SSH 서비스 이용 시 conf t, shutdown 명령어 제한 적용 55
(그림 IV-26) JJJJ 사용자가 conf t 명령 시 승인 불가로 인해 돌아가는 화면 56
(그림 IV-27) 관리자가 JJJJ 사용자에게 conf t 명령어 승인(허용) 요청 수락 57
(그림 IV-28) JJJJ 사용자 Conf t 권한승인 후 접속 가능화면 58
(그림 IV-29) Masteradmin2 계정을 탈취한 해커 IP(가장) 59
(그림 IV-30) Masteradmin2 계정 취득 후 솔라리스 서버 접속 시도 장면 60
(그림 IV-31) 해커 침입에 대한 관리자 실시간 모니터링 화면 61
(그림 IV-32) 해커가 탈취한 Masteradmin2 계정 세션 영구 차단 62
(그림 IV-33) Masteradmin2 세션 강제 종료 62
(그림 IV-34) (시나리오 1)동일문서 과다 출력자 63
(그림 IV-35) (시나리오 2) 보안문서 해제 과다 승인을 반복 수행하는 사용자 64
(그림 IV-36) 실험을 위한 김x국 내부 사용자 ID 생성 65
(그림 IV-37) 김x국 이란 사용자가 중요문서에 대해 암호 작업 해제를 5회 시도 66
(그림 IV-38) 김x국에 대한 중요 데이터 외부 반출 의심자 관리자 통보 66
(그림 IV-39) 내부 사용자 김x국에게 관리자가 소명 요청을 보내는 메일 화면 67
(그림 IV-40) 김x국 사용자에 대해 무 협의로 소명 완료 67
(그림 IV-41) DDoS 공격에 대한 Whitelist 이벤트 설정 68
(그림 IV-42) DDoS 공격에 대한 탐지규칙 이벤트 설정 68
(그림 IV-43) DDoS 공격에 대한 이벤트 알람설정 69
(그림 IV-44) DDoS 공격에 대한 이벤트 알림설정 69
(그림 IV-45) DDoS 공격들에 대한 이벤트 70