인터넷 라우터 로그를 활용한 SSH 무차별 대입 공격 탐지 및 접근통제

Abstract

최근 정보통신의 발전은 상상을 초월할 정도로 빠르게 발전하고 있다. 이를 통 해 우리는 많은 양질의 정보를 빠르게 찾고 공유하며 수집할 수 있게 되었지만, 그 역기능으로 사이버공격 또한 급속도로 증가하고 있다. 증가하는 사이버 공격 은 기업 및 기관의 중요한 정보를 탈취하고 가용성을 파괴하며, 신뢰도를 하락시 켜 막대한 금전적 피해를 입히고 있다. 이런 사이버 공격을 100% 막을 수 있는 방법은 없으며 모든 보안정책은 외부 공격이 내부로 유입된다는 가능성을 반드시 고려하여야 하고 예방을 통해 이를 수용 가능한 수준으로 낮추는 것이 보안의 가장 큰 역할이다. 접근통제 정책은 사이버 위협을 예방할 수 있는 좋은 방법이며 본 연구에서는 인터넷 라우터에 생성되는 로그를 활용하여 접근통제 정책을 수립하고자 한다. 우선 IT 인프라의 구조와 취약점을 파악하여 인터넷 라우터에 대용량 로그가 생성되는 원인을 파악한다. IT 인프라를 구성하는 네트워크 장비는 역할과 오가 는 트래픽을 분석하여 적정 규모로 구축한다. 또한 보안장비는 방화벽을 기반으 로 기본적인 통신의 통제를 구축하고, 웹을 보호하기위해 웹 방화벽을 구축하며, 네트워크 대역별 접점 부분이나 해당 네트워크에 속한 모든 장비를 관찰하고 정 책을 적용하기 용이한 위치에 침입방지시스템 등 적절한 보안장비를 구축한다. 하지만 IT 인프라 구조상 방화벽 상단에 존재하는 인터넷 라우터는 이런 보안 장비의 보호를 받기 힘들며 많은 사이버 위협에 노출되어 있다. 때문에 인터넷 라우터는 불필요한 서비스를 차단하고 필요한 서비스의 경우 적절한 보안 조치 를 취해 취약점이 발생하지 않도록 조치한다. 이런 조치를 통해 인터넷 라우터에 접근하는 비인가 접속은 차단되며 많은 로그를 남기게 된다. 비인가 접속으로 차단되는 로그의 대부분은 SSH 무차별 대입 공격이며 이를 통해 공격 근원지에 대한 IP 정보를 수집가능하다. 또한 생성된 로그는 월, 일, 시간, 년도, 장비명, 메시지의 필드로 구분되며 이를 가공하면 빈도수, IP, 접속국 가 등 많은 정보를 만들 수 있다. 수집된 인터넷 라우터 로그를 통해 접근통제 정책을 생성하기 위해서는 로그 를 단편화하고 분석하여야 한다. 단편화는 블랙리스트를 탐지하기 위한 특징인 월, 일, 시간, 년도, IP로 필드를 구성되며 중복되는 문장을 삭제하여 생성한다. 분석은 ElasticSearch를 통해 진행하고 Kibana로 시각화 하여 악의적인 공격 근 원지에 대한 보다 세밀한 정보를 확인한다. 또한 공격 빈도수, 날짜별 접근, 공격 국가 등 블랙리스트 IP를 선택하기 위한 특징들을 정하여 임계치 이상의 IP를 블랙리스트로 정하고 방화벽을 통한 차단 정책의 객체로 삼는다. IT 인프라를 안정적으로 관리하기 위해서는 적절한 규모의 네트워크와 용도에 맞는 보안장비가 필요하지만 이를 관리하기 위한 정책도 필요하다. 인터넷 라우 터의 로그를 활용한 접근통제 정책은 IT 인프라의 보안을 더욱 강화할 수 방법 이며 명확한 표준의 부재로 인하여 직관이나 경험에 의존보안 로그의 분석에 작 은 도움이 될 것이다.