시간상의 보안사각(공백)

시간상의 보안사각(공백)은 새로운 TI(위협정보, Threat Intelligence)가 제공되더라도 이미 과거에 일어난 침해는 보안 장비들이 경보를 발생시키지 못하는 것을 의미한다[1]. 이는 신종, 변종 보안 위협의 침투 및 유출의 시점(침해 시점)과 이를 검출할 수 있는 TI(위협정보, Threat Intelligence)의 제공 사이의 시간적인 차이인 제로데이[2] 때문이다.

시간상의 보안사각(공백)
시간상의 보안사각(공백)

따라서, 매일 배포되는 신규 탐지 정보를 바로 적용한다고 할 지라도 과거에 이미 발생한 보안 위협의 침투와 이로 인한 데이터 유출에 대한 검출 및 대응은 할 수 없게 된다.

대응편집

사이버 보안사각은 실시간으로는 경보가 발생하지 않으므로, 가능한 빨리 놓친 경보를 찾아내고, 추적하여 분석함으로써 침해로 인한 피해를 최소화하는 것으로 대응해야 한다. TI(위협정보, Threat Intelligence)의 제공 여부를 기준으로 대응 방법은 두 가지로 나누어 볼 수 있다.

첫번째는 회귀보안검사로서 TI(위협정보, Threat Intelligence)가 제공된 상태인 보안사각을 해결하는 방법이다. 새롭게 제공된 탐지 정보로 제로데이 이전부터 오늘까지의 트래픽을 재검사함으로써 시간상의 보안사각으로 누락된 침해 경보를 찾아내는 것이다.

두번째는 이상행위탐지로서 TI(위협정보, Threat Intelligence)가 제공되지 않은 상태의 보안사각을 해결하는 방법이다. 이 보안사각에 관련된 보안 위협은 TI(위협정보, Threat Intelligence)가 존재하지 않으므로 회귀보안검사를 수행하는 것은 불가능하다. 따라서 내부의 이상한 행위를 잘 모니터링하여 침해가 발생하였음을 유추하는 것이 유일한 방법이다.

각주편집

  1. 엑사비스 주식회사 (2020.10.29). “네트워크 보안 방법 및 이를 수행하는 시스템(특허등록번호: 1021744620000)”. KIPRIS. 
  2. Bilge, Leyla; Dumitraş, Tudor (2012년 10월 16일). “Before we knew it: an empirical study of zero-day attacks in the real world”. CCS '12. Raleigh, North Carolina, USA: Association for Computing Machinery: 833–844. doi:10.1145/2382196.2382284. ISBN 978-1-4503-1651-4.