국방 무기체계는 시대의 흐름에 따라서 소프트웨어 비중이 확대되고 있는데, 이는 소프트웨어 취약점을 이용한 사이버 공격의 가능성도 높아지는 결과를 낳게 되었다. 이를 극복하기 위해서, 무기체계 소프트웨어 취약성을 검증하고, 사이버 공격을 예방할 수 있는 위험관리 체계의 중요성이 증대하고 있다.
그러나, 기존의 무기체계 개발은 위험관리는 체계 개발과 밀접하게 연동되지 않았으며, 다양한 기관이 관여하는 국방 무기체계의 특성상 기관별 역할이 명확하게 구분되지 않아서 누락 또는 중복되는 업무가 존재하는 경우가 많았다. 또한, 대부분의 업무가 관리 인력의 개인적인 역량에 좌우되는 경향이 컸으며, 데이터 보호에만 초점을 맞춘 무기체계 소프트웨어 관리로 위험관리 측면에서는 한계를 보여주었다.
위험관리 프레임워크 (RMF: Risk Management Framework)는 이러한 문제점을 극복하기 위하여 미국 국립표준기술연구소 (NIST: National Institute of Standards and Technology)에서 국가급 표준지침을 수립하였으며 2014년에 미 국방부에서도 도입하였다. 그리고, 우리나라에서도 한미 연동체계의 RMF 적용을 시작으로, 한국형 위험관리 제도 (K-RMF)를 도입하게 되었다.
본 과제에서는 사이버보안 위험관리 제도를 위한 준수 평가 자동화 도구 개발을 목표로 과제를 수행중이며, 특히 한국형 보안 기술 구현 가이드 (K-STIG)을 개발하고, 개발된 K-STIG를 바탕으로 준수평가를 자동화할 수 있는 도구의 개발을 목표로 하고 있다.
본 기술이전은 SCAP (Security Content Automation Protocol)을 활용한 위험관리 준수 평가 자동화 도구 기술에 관한 내용으로, 최신 SCAP 표준인 SCAP 1.3을 이용한 준수 평가 자동화 도구를 개발하여 이를 우리군의 무기체계 뿐만 아니라 민간 영역에 활용할 수 있도록 하고자 한다.
?SCAP (Security Content Automation Protocol)을 활용한 위험관리 준수 평가 자동화 도구 기술에 관한 내용으로, 최신 SCAP 표준인 SCAP 1.3을 이용한 준수 평가 자동화 도구를 개발하여 이를 우리군의 무기체계 뿐만 아니라 민간 영역에 활용할 수 있도록 하고자 한다.
본 기술은 다음과 같은 특징을 갖고 있다.
- 최신 버전인 SCAP v1.3 기반의 위험관리 준수평가 기능
- 위험관리를 위한 벤치마크 파일 스키마 검증 기능
- 위험관리 준수평가를 위한 시스템 특징 정보 스캔 기능
- 위험관리 준수평가를 위한 취약점 점검 기능
- 위험관리 준수평가 보고서 작성 기능
더불어, 해당 기술은 향후 원격 시스템에 대한 위험관리 준수평가 기능 및 다양한 플랫폼에 대한 준수평가를 지원할 수 있는 확장 가능한 구조로 설계되어 있기 때문에, 다양한 영역에서 활용 가능한 장점이 있다.
(1) 기술명: 위험관리 준수평가를 위한 SCAP v1.3 처리 기능
SCAP v1.3에서 Data Stream의 집합 형태로 작성된 벤치마크 파일을 이용하여, 위험관리 준수평가를 수행하게 된다. 이러한 Data Stream 구조로 입력되는 벤치마크 파일을 처리하기 위하여 다음과 같은 블록으로 구분하여 구현되었다.
- SCAP 처리 기능 (SCAP Process)
- SCAP 1.3 스키마를 기반으로 XML 문서를 파싱
- SCAP XML 구성 요소(XCCDF, OVAL, OCIL, CPE 등)를 데이터 모델 객체로 변환
- 평가 시 필요한 참조 정보에 대한 매핑 기능 제공
- XCCDF 처리 기능 (XCCDF Process)
- XCCDF 데이터 객체의 Benchmark, Rule, Profile, Check 등을 해석하여 평가 순서를 생성
- 선택된 Profile 기준으로 Rule 활성화 및 조건 판단
- Check 요소안에서 시스템 속성을 기반으로 OVAL 확인 기능, OCIL 확인 기능 등 호출함으로써, 평가 요청
- OVAL 확인 기능 (OVAL Check)
- XCCDF Rule의 Check 요소가 OVAL일 경우 해당 Definition을 이용하여 체크 인터프리터를 통해서 OVAL 실행 기능을 호출함으로써 평가를 수행
- 정의된 Test, Object, State를 기반으로 시스템 상태를 분석
- 체크 인터프리터 및 OVAL 실행 기능을 통해서 검사 결과 반환
- OCIL 확인 기능 (OCIL Check)
- OCIL(질문 기반 검사 언어)을 처리하여 사용자 입력 기반 평가 수행
- 사용자의 수기 입력 또는 자동화 입력을 기반으로 결과 결정
- 대화형 또는 비대화형 입력 처리 로직 필요
- CPE 확인 기능 (CPE Evaluate)
- 시스템 정보를 수집하여, 시스템의 플랫폼 정보와 확인하는 기능
- 운영체제, 소프트웨어 버전 등을 확인
- 체크 인터프리터 기능 (Check Interpreter)
- OVAL 및 OCIL 실행 기능 호출
- OVAL 및 OCIL 실행 기능에서 반환된 결과를 수집
- XCCDF 평가 기준에 따라 Pass/Fail/NotReviewed/NotApplicable 등으로 종합 판단
- 결과를 리포트로 생성 (XML, HTML, ARF 등 형식)
(2) 기술명: 위험관리 준수평가를 위한 OVAL 처리 기능
- OVAL 실행 기능 (OVAL Execute)
- OVAL 5.11 스키마 지원 기능
- Test, Object, State 매핑에 기반한 평가 기능
- 시스템 상태 정보를 수집 및 정의된 조건과 비교 기능
- 다양한 OVAL 스키마에 대한 처리 기능 (file, registry, user, service 등)
- CPE 매핑, 변수 처리, setObject, behaviors 등 SCAP 1.3 지원을 위한 기능
- setObject 기능: 여러 object를 논리적으로 병합하는 기능
- behaviors 기능: 파일 패턴, symlink 처리 등 확장 매개변수 기능
- variable_instance 기능: XCCDF의 전달 변수 처리 기능
- CPE 매핑: 검증 대상 시스템의 OS 등 환경 식별 기능
- 형태의 OVAL 시험 결과 생성 기능
본 기술이전은 해당 기술에 관한 요구사항 정의서, 설계서 및 상세 설계서, 시험절차서 및 결과서 등의 관련 문서 및 프로그램 등을 계약시에 이전한다.
- 사용자 요구사항정의서 및 시스템요구사항 정의서
- 관련 기능 설명서
- 관련 기능에 관한 시험 절차서 및 결과서
- 관련 소프트웨어 프로그램
- 관련 특허
?국방정보화 기반조성 및 국방정보자원관리에 관한 법률 (약칭: 국방정보화법)의 시행에 따라서 소프트웨어를 내장하고 있는 국방 무기체계에 대해서는 위험관리 준수 평가를 시행해야 함.
국방 무기체계 개발을 진행하면서 위험관리 준수평가를 준비하고 있는 군수업체
군수업체를 대상으로 위험관리 검증 및 컨설팅을 담당하는 업체
민간 영역에서 위험관리 검증 및 컨설팅을 담당하는 업체
스크립트를 이용한 기존 취약점 점검 방식에서 탈피하여 새로운 취약점 점검 기술에 관심을 갖고 있는 업체
미국의 위험관리와 연계하여, 한국형 위험관리 기술의 국내 정착에 기여할 수 있을 것으로 보임
위험관리 기반 취약점 분석 및 모니터링을 위한 기반 기술로 활용 가능