실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템{Method and System for Detecting Malware by Monitoring Executable File}

본 발명은 제어시스템의 취약점을 이용한 사이버 공격으로부터 제어 시스템을 보호하기 위한 실행파일 모니터링 기반의 악성코드 탐지 기법에 관한 것으로, 가용성 유지가 가장 우선시되는 제어 시스템의 안전한 운영 환경을 제공하기 위한 것이다.

일반적으로 제어시스템은 센서, 구동기(actuator) 등 다양한 현장 기기와 이를 제어하는 PLC(Programmable Logic Controller), RTU(Remote Terminal Unit), DCS(Distributed Control System)과 같은 제어 설비를 포함한다. 제어시스템의 규모 및 목적에 따라 원격에 위치한 기기들을 중앙에서 효율적으로 감시하기 위해 HMI(Human-Machine Interface), 스카다(Supervisory Control And Data Acquisition, SCADA) 서버 등이 존재할 수 있으며, 제어시스템 간 통신은 과거 시리얼(serial)을 이용한 DNP(Distributed Network Protocol)나 Modbus와 같은 필드버스 프로토콜(fieldbus protocol) 이 주로 사용되었으나 점차 산업용 이더넷(Ethernet)과 같이 빠르고 효율적인 기술의 적용이 되고 있는 추세이다. 즉, IT 기술의 적용으로 제어시스템에 대한 접근이 용이해지고 편의성 또한 증가하였으나, 이로 인한 보안위협 또한 증가하고 있다. 게다가, 제어시스템의 보안에 대한 인식이 부족한 가운데 해커들의 제어시스템에 대한 관심의 증가는 제어시스템에 대한 보안위협을 꾸준히 증대시키고 있다.

일반적으로, 제어시스템은 하나의 독립된 제어 네트워크로 운영되거나, 복수 개의 수평적 도는 계층적 제어 네트워크가 연결되기도 하며, 필요에 따라 내부 업무 네트워크와 연동되어 운영되기도 한다. 내부 업무 네트워크 및 외부기관(외부 네트워크)과의 연계, 제어 네트워크 내 시스템 간 통신 등 많은 연계 접점을 가진 시스템이 운영되고 있지만, 이에 따른 보안정책을 수립하는 등의 관리는 쉽지 않다. 기본적으로 제어시스템은 외부 망과 분리하여 운영하는 것이 원칙이나, 많은 제어 시스템들이 외부와 연결된 내부 업무 망 또는 외부 기관과 연결되어 데이터를 송수신하고 있다. 이러한 네트워크 연계 구간에 정보보호시스템을 운영하더라도, 설정 부주의 등에 따라 비인가 접근이 가능할 수 있다. 또한, 제어시스템은 단일 네트워크가 아닌 다수의 서브(하위) 네트워크(설비 기기를 직접적으로 제어하는 시스템들로 이루어진 제어 네트워크)와 중앙 네트워크(여러 제어 네트워크를 통합 제어하는 스카다 네트워크 등)로 구성되는 경우가 많기 때문에, 제어망 내부의 한 시스템에서 발생한 장애나 침해가 전체 제어시스템으로 전이될 위험성이 크다. 즉, 특정 제어망 내로 침입한 해커 또는 악의적 내부자가 제어시스템의 제어명령이나 감시정보를 위조 또는?변조한다면, 물리적, 경제적으로 큰 피해는 물론, 사회적 혼란까지 야기할 수 있다.

제어시스템을 타깃으로 한 스턱스넷(Stuxnet), 듀크(Duqu), 나이트드래곤(Night dragon), 플레임(Flame)과 같은 악성코드들은 이러한 경향을 잘 보여주고 있다. 여기에서, 2010년 6월에 발견된 최초의 제어시스템 전용 악성코드인 스턱스넷은 사이버 공격의 범위를 PC만이 아닌 PLC까지로 확장시킨 최초의 악성코드로써, 이란 나탄즈(Natanz)에 위치한 우라늄농축 원심분리기를 파괴하여 제어시스템 분야와 사이버 보안 분야에 경종을 울린 바 있다. 스턱스넷은 도 1에 도시된 것과 같이, 온라인/오프라인 상으로 전파가 모두 가능한 특징을 지니고 있으며, 윈도우즈 운영체제의 보안 취약점을 이용하거나 USB를 매개체로 하는 악성코드 전파 및 감염 기능을 지니고 있다. 특히, USB 메모리를 이용한 악성코드 전파는 일반적으로 인터넷과 분리하여 운영되는 제어시스템의 특성을 고려한 것으로써, 이러한 사이버 위협들로부터 제어시스템을 보호하기 위한 보안기술들이 요구된다. 그러나, 제어시스템은 기밀성을 중시하는 IT 시스템과 달리 가용성 유지가 가장 우선시되는 시스템이기 때문에, 가용성을 저해할 수 있는 소프트웨어를 제어시스템 내에 직접 설치하기는 현실적으로 매우 어렵다. 그러므로, 제어시스템에 직접 설치되어 운영되지 않는 형태의 네트워크 보안기술이 제어시스템 보안에 적합하다. 이러한 네트워크 보안기술로써, 제어시스템용 방화벽 기술, 단방향 자료전달 장치 기술, 제어시스템을 위한 침입탐지시스템 및 중앙 보안관리 시스템 기술 등이 연구, 개발되고 있다. 이외에도 기존 공격 시그니처(signature)를 탐지하는 방식 대신, 제어시스템의 정상적인 특성을 화이트리스트(Whitelist)로 정의하고, 이를 기반으로 한 보안감시를 제안하는 기법이 존재한다.

그러나, 이러한 기술들은 대부분 넓은 범위의 접근제어에 의존하는 방식이기 때문에, 잘못된 설정이나 기타 우회 경로를 통과한 악성코드 감염이나 전파 등을 탐지하고 차단하는 것에는 한계를 가질 수밖에 없다.

결론적으로, 제어시스템의 가용성을 보장하면서 악성코드의 감염이나 전파 등을 효율적으로 탐지하고 대응하면서, 추가적으로 이러한 악성코드가 감염되고 전파된 경로를 추적하여 원천적으로 차단하는 기법이 요구된다.

본 발명은 이와 같은 문제점을 해결하기 위하여, 제어시스템의 가용성을 보장하면서 악성코드의 감염 및 전파를 탐지하고 대응하기 위한 기법을 제공하고자 한다. 보다 구체적으로, 본 발명의 여러 실시 예들은, 제어시스템 인트라넷 내에서 송수신되는 네트워크 패킷들을 기반으로 실행파일의 유통 여부를 모니터링 함으로써, 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공함으로써, 제어시스템에 대한 각종 악성코드 감염뿐 아니라 최초 배포 시스템까지도 효율적으로 탐지, 추적하고 대응할 수 있는 안전한 제어시스템 인트라넷 환경을 제공하고자 한다.

본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷 보호 시스템은, 상기 제어 센터에 포함되는 악성코드 탐지 장치; 및 상기 제어 센터와 상기 지역제어 네트워크의 연결 지점에 위치하는 실행파일 모니터링 에이전트를 포함하고, 상기 실행파일 모니터링 에이전트는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 상기 악성코드 탐지 장치로 전송하고, 상기 악성코드 탐지 장치는 상기 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단할 수 있다.

또한 상기 제어 센터는 외부 네트워크로 연결되고, 상기 실행파일 모니터링 에이전트는 상기 제어 센터와 상기 외부 네트워크의 연결 지점에도 위치할 수 있다.

또한 상기 지역제어 네트워크는 상기 제어 시스템의 제어 설비 또는 제어 센서에 연결될 수 있다.

또한 상기 제어 센터 또는 상기 지역제어 네트워크는 HMI(Human Machine Interface) 장치를 포함할 수 있다.

또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.

또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.

또한 상기 세션 정보는, 프로토콜, 근원지 주소(SRC IP), 목적지 주소(DST IP), 근원지 포트, 및 목적지 포트를 포함하는 5-tuple 정보를 포함할 수 있다.

또한 상기 식별 정보는, 상기 실행파일의 크기 및 상기 실행파일의 해쉬(hash) 값 중 적어도 하나를 포함할 수 있다.

상기 악성코드 탐지 장치는, 업데이트 등 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단하되, 특별한 경우로서, 데이터베이스에 미리 등록한 정보를 참조하여, 예를 들어, 인트라넷에서 파일 업데이트하는 경우 등에서 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 또는 외부 네트워크와 연동하여 파일 업데이트하는 경우 등에서 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.

본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷을 악성코드로부터 보호하는 방법은, 악성코드 탐지 장치에서, 상기 제어센터와 상기 지역제어 네트워크의 연결 지점에 위치한 실행파일 모니터링 에이전트로부터 실행파일 정보를 수신하는 단계; 및 상기 실행파일 정보에 기초하여 상기 실행파일의 악성코드 감염 여부를 판단하는 단계를 포함할 수 있다. 상기 실행파일 정보는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷에 기초하여 생성될 수 있다.

또한 상기 방법은, 상기 실행파일이 악성코드에 감염된 것으로 판단되면, 상기 실행파일 정보에 기초하여 상기 실행파일을 배포한 장치를 네트워크에서 차단하는 단계를 더 포함할 수 있다.

또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.

또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.

또한 상기 실행파일 모니터링 에이전트는, 상기 추출된 실행파일에 기초하여 세션 정보 및 식별 정보를 포함하는 해당 실행파일 정보를 생성하여, 상기 악성코트 탐지 장치로 전송할 수 있으며, 상기 악성코드 탐지 장치는, 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우 등 특별한 경우(업데이트 등)를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.

이와 같이 본 발명에서는 주요 기반시설 제어시스템에 대한 사이버테러 행위로 인하여 이상 행위를 유발할 수 있는 악성코드 감염 및 전파 시도를 신속하게 탐지할 수 있는 기술을 제공한다. 이는 제어시스템의 안전한 시스템 운영을 방해할 수 있는 침해 요소를 효율적으로 탐지하여 안정적인 제어시스템 운영을 가능하게 한다. 따라서, 본 발명은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공하고, 제어 시스템의 인트라넷 외부 및 내부로부터의 여러 보안 위협으로부터 제어 시스템의 서비스 신뢰성과 가용성 확보를 가능하게 하는 효과가 있다.

도 1은 제어 시스템을 타깃으로 하는 스턱스넷과 같은 악성코드의 전파 개념도를 나타낸다.
도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.
도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.
도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다.
도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.

이하, 첨부된 도면들을 참조하여 본 발명의 다양한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면들에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 즉, 하기의 설명에서는 본 발명의 실시 예에 따른 동작을 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않도록 생략될 것이라는 것을 유의하여야 한다.

도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.

도 2를 참조하면, 인트라넷 제어를 위한 제어 시스템 10은 제어 센터 11, 적어도 하나의 지역제어 네트워크 13, 및 지역제어 네트워크 13에 연결되는 제어 설비 또는 제어 센서 15를 포함할 수 있다.

제어센터 11은 HMI, 엔지니어링 워크스테이션(Engineering Workstation), 데이터 히스토리언 서버(data historian server), PC 등 기타 전자장치를 포함하는 스카다 네트워크 일 수 있다. 또한 제어센터 11은 본 발명의 일 실시 예에 따른 악성코드 탐지/추적 장치 100을 더 포함할 수 있다.

지역제어 네트워크 13은 제어 설비 또는 제어 센서 15를 직접적으로 제어하는 PLC, TRU, DCS 등과 같은 장비들, HMI, PC 등 기타 전자장치를 포함할 수 있다. 지역제어 네트워크 13은 그 규모나 기타 설정에 따라 제어센터에 포함된 HMI 콘솔과 같은 제어 콘솔이 포함될 수 있다.

일반적인 제어 시스템 10은 인트라넷 외부의 네트워크 20에 대하여 독립된 인트라넷 시스템으로 구성될 수 있지만, 제어센터 11를 통해 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20에 연결될 수 있다. 본 발명의 변형된 실시 예에서, 제어 시스템 10은 지역제어 네트워크 13을 통해 외부 네트워크 20에 연결될 수도 있다.

제어센터 11과 지역제어 네트워크 13의 연결 지점에는 본 발명의 일 실시 예에 따른 실행파일 모니터링 에이전트 200이 위치할 수 있다. 실행파일 모니터링 에이전트 200은 제어시스템의 인트라넷을 구성하는 네트워크 단위(제어센터, 지역제어 네트워크, 등)를 상호 연결하는 연결 지점에 위치할 수 있다. 예를 들어, 제어센터 11과 지역제어 네트워크 A를 연결하는 지점에는 실행파일 모니터링 에이전트 200A가, 제어센터 11과 지역제어 네트워크 B를 연결하는 지점에는 실행파일 모니터링 에이전트 200B가, 제어센터 11과 외부 네트워크 20을 연결하는 지점에는 실행파일 모니터링 에이전트 200E가 위치할 수 있다.

실행파일 모니터링 에이전트 200은 제어센터 11과 지역제어 네트워크 13 사이에서 유통되는 실행파일에 대한 정보를 추출하여 악성코드 탐지 장치 100으로 전송한다. 실행파일 모니터링 에이전트 200은 또한, 하나의 단위 지역제어 네트워크 13 내부에서 유통되는 실행파일에 대한 정보를 추출할 수 있다. 이를 위해, 실행파일 모니터링 에이전트 200은 지역제어 네트워크 13을 구성하는 장치들의 연결 중심에 위치하거나, 구성 장치들의 데이터 송수신이 실행파일 모니터링 에이전트 200을 거치도록 할 수 있다.

악성코드 탐지 장치 100은 적어도 하나의 실행파일 모니터링 에이전트 200으로부터 수신된 실행파일 정보에 기초하여, 실행파일 정보에 대응되는 실행파일이 악성코드이거나, 악성코드에 감염되었는지 여부를 판단할 수 있다. 악성코드 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 실행파일 정보를 토대로 악성코드 감염 경로를 추적할 수 있다. 감염 경로 추적 결과, 만약 지역제어 네트워크 13에 포함된 장치가 악성코드 배포 장치로 판단되면(즉, 해당 장치에 연결된 USB나 외장하드 등을 통해 감염된 경우), 해당 장치를 지역제어 네트워크 13에서 격리시킬 수 있다. 만약 외부 네트워크 20으로부터 악성코드가 유입된 것으로 판단되면, 악성코드 탐지 장치 100은 실행파일 정보로부터 해당 악성코드와 관련된 실행파일을 배포한 IP (주소) 또는 포트(port)를 식별하고, 해당 IP 또는 해당 포트로부터의 패킷을 차단하거나 해당 장치의 접근을 격리시킬 수 있다.

본 명세서에서, 인트라넷 보호 시스템, 또는 보호 시스템이라 하면, 악성코드 탐지 장치 100과 실행파일 모니터링 에이전트 200을 포함하는 개념으로 이해될 수 있다. 그러나 일부 변형된 실시 예에서, 인트라넷 보호 시스템, 악성코드 탐지(및/또는 추적) 시스템(또는 장치)라 하면, 단순히 악성코드 탐지 장치 100을 의미할 수 있다.

도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.

도 3을 참조하면, 실행파일 모니터링 에이전트 200은 네트워크와 네트워크 사이, 또는 네트워크 내부에서 교환되는 패킷(packets)을 수집할 수 있다. 패킷은 일반 제어 네트워크 패킷과 실행파일과 관련된 패킷이 존재할 수 있다. 실행파일 모니터링 에이전트 200은 네트워크 상의 패킷을 모니터링 하여, 해당 에이전트 200이 위치한 네트워크로 출입하거나 해당 네트워크 내부에서 송수신되는 패킷을 수집하고, 실행파일과 관련된 패킷들이 가지는 공통된 특성, 예를 들어 윈도우 운영체제의 실행파일의 경우 DOS 헤더 측 2바이트 문자열이 MZ(0x4D5A)로 시작한다거나, 오프셋(offset)이 60인 지점부터 4바이트는 PE00(0x50450000)인 문자열로 시작하는 것과 같은 점에 기초하여 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 계속해서 연관된 패킷이 속한 세션(session)을 선별하여, 해당 세션에 속한 패킷들을 조합하여 실행파일을 추출할 수 있다. 실행파일 모니터링 에이전트 200은 이와 같이 추출된 실행파일로부터 세션 정보와 실행파일 식별 정보를 포함하는 실행파일 정보를 생성하여, 악성코드 탐지/추적 시스템 100으로 전송할 수 있다.

세션 정보는 프로토콜(Protocol), 근원지 주소(SRC IP; Source IP), 목적지 주소(DST IP; Destination IP), 근원지 포트(SRC Port), 및 목적지 포트(DST Port)를 포함하는 5-tuple 정보를 포함할 수 있다. 식별 정보는 추출된 실행파일의 크기(size), 실행파일 콘텐츠 정보를 기반으로 한 해쉬(hash) 값, 및 기타 식별 가능한 정보를 포함할 수 있다.

악성코드 탐지 장치 100은 수신된 실행파일 정보를 데이터베이스에 저장 관리하고 이에 기초하여 해당 실행파일 정보에 대한 분석을 수행할 수 있다. 악성코드 탐지 장치 100은 인트라넷 내부에 위치한 자체 업데이트 서버 주소나(예, 외부 네트워크가 없이 인트라넷에서 파일 업데이트하는 경우), 제어 시스템 10에 포함되는 내부 장치들에 대한 주소 정보(예, 외부 네트워크와 연동하여 파일 업데이트하는 경우), 또는 안전한 것으로 분류된 실행파일에 대한 식별 정보(예, 인트라넷, 외부 네트워크와 연동에 공통)를 데이터베이스에 미리 저장하거나 등록하고, 미리 저장되거나 등록된 데이터와 실행파일 정보를 비교하여 악성코드 감염 여부를 판단할 수 있다. 예를 들어, 악성코드 탐지 장치 100은 위와 같이 업데이트 등을 위하여 등록된 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단할 수 있으며, 위와 같이 미리 등록된 데이터를 참조하여 실행파일 정보에 포함된 근원지 주소(SRC IP)가 인트라넷 내부에 위치한 자체 업데이트 서버의 주소인 경우이거나 인트라넷 내부 장치의 주소가 아닌 경우(다만, 이 경우는 제어 센터 11과 같은 스카다 네트워크에 포함된 업무용 PC나 기타 작업용 서버에서 외부 네트워크 20을 통한 정상적인 업데이트가 가능하다고 판단되는 경우), 또는 수신된 실행파일 정보가 안전한 실행파일에 대한 것으로 판단되는 경우에는 악성코드로 탐지되지 않을 수 있다. 악성코드 탐지 장치 100은 세션 정보를 활용하여, 1차적으로 장치가 감염된 경우뿐만 아니라, 2차 또는 3차 등으로 타 시스템/장치에 연쇄적으로 악성코드가 전파된 경우에도 최초 감염 시스템을 파악할 수 있다.

도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다. 도 4는 USB나 외장하드, 기타 우회 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 여기에서 우회 경로란, 제어 시스템 인트라넷에 연결된 공식적인 외부 네트워크 20과의 접점을 이용하지 않는 접근을 의미한다.

도 4에 도시된 예시에서는, 제어 센터 11에 포함된 HMI 장치 400이 USB 또는 기타 우회 경로를 통해서 악성코드에 감염된 후, 제어 센터 11의 다른 장치 401, 지역제어 네트워크 A에 위치한 PLC 장치 402, 지역제어 네트워크 B에 위치한 PLC 장치 403으로 악성코드의 전파를 시도한다.

본 발명의 일 실시 예에 따르면, 이와 같은 악성코드 전파 시도는 각 네트워크의 연계 접점에서 실행파일을 모니터링 중인 실행파일 모니터링 에이전트 200A, 200B, 200E에 의해서 악성코드 탐지 장치 100으로 전달된다. 즉, HMI 장치 400에서 제어 센터 11 내부의 다른 장치 401로의 전파는 제어 센터 11 내부를 모니터링 하는 에이전트 200E에 의해서, 지역제어 네트워크 A의 PLC 402로의 전파는 에이전트 200A에 의해서, 지역제어 네트워크 B의 PLC 403으로의 전파는 에이전트 200B에 의해서, 각각의 경우와 관련된 실행파일 정보가 제어 센터 11 내부에 위치한 악성코드 탐지 장치 100으로 전달될 수 있다.

악성코드 탐지 장치 100은 전달받은 실행파일 정보로부터 악성코드의 전파를 탐지할 수 있고, 감염 시스템, 즉 HMI 장치 400의 격리 등의 대응 조치를 수행할 수 있다. 만약 도 4에 도시된 예시에서, 지역제어 A의 PLC 402가 지역제어 B의 PLC 403을 감염시키더라도, 악성코드 탐지 장치 100은 실행파일 모니터링 에이전트 200B로부터 수신된 세션 정보 및 실행파일 식별 정보에 기초하여, 위와 같이 데이터베이스에 저장 관리되는 데이터를 참조해 최초에 감염된 장치가 제어 센터 11에 위치한 HMI 장치 400이라는 것을 추적할 수 있다.

도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 5는 USB 또는 기타 우회 경로를 통한 지역제어 네트워크 A 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 이하의 설명에서 전술한 내용과 중복되는 내용은 생략한다.

도 5에 도시된 예시는, 지역제어 네트워크 A의 특정 장치 500이 USB 및 기타 우회 경로를 통해 악성코드에 감염된 후, 동일 네트워크 내의 다른 장치 501 또는 다른 지역제어 네트워크(네트워크 B)의 장치 502, 또는 제어 센터 내의 장치 503으로 악성코드의 전파를 시도하는 경우를 나타낸다. 이와 같은 악성코드의 전파 시도는 지역제어 네트워크 A의 연계 접점에 위치한 실행파일 모니터링 에이전트 200A 및 지역제어 B의 연계 접점에 위치한 실행파일 모니터링 에이전트 200B에 의해서 악성코드 탐지 장치 100으로 전달되며, 이를 통해서 악성코드 탐지 및 추적이 이루어지게 된다.

도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 6은 정상적인 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 도 6에는 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20을 통해 악성코드가 유입되는 예시가 도시된다.

일반적으로 인터넷과 같은 외부 네트워크 20과 직접 연결된 접점에는 다양한 네트워크 보안장비(예를 들어, 방화벽, 침입탐지시스템 등)가 설치되어 있는 경우가 많지만, 이에 대한 설정 오류 또는 일반적인 웹 서비스와 같은 오픈된 프로토콜을 이용한 침해 행위가 이루어질 수 있다. 다시 말해서, 이와 같은 보안 취약점을 이용하여 외부 네트워크 20과 직접적으로 연결된 스카다 네트워크와 같은 제어 센터의 시스템/장치가 공격 대상이 될 수 있다. 따라서, 도 6에 도시된 것과 같이 제어 센터 11 내 특정 시스템 600이 정상적인 경로를 통해서 감염된 이후에는, 도 4 또는 5에서 설명한 것과 동일/유사한 형태로 악성코드가 전파될 수 이다. 또한, 이에 대한 탐지 방식 또한 전술한 설명으로 대체될 수 있다. 다만 USB 및 기타 우회경로를 통한 악성코드 감염 및 전파 형태의 경우에는 최초의 감염 시스템까지 추적할 수 있는 것에 반해, 정상적인 경로를 통한 감염 및 전파 형태의 경우에는 제어시스템 인트라넷 외부의 침입 IP까지 추적하는 것이 가능하다. 즉, 이를 통해서 기 설치된 네트워크 보안장비들의 보안 설정에 도움을 주는 것은 물론, 해당 공격 IP에 대한 적극적인 대응까지 가능하다. 부연 설명하면, 최초에 외부 네트워크 20으로부터 유입되는 실행파일도 실행파일 모니터링 에이전트 200E에 의해 모니터링 되지만, 해당 실행 파일이 악성코드라고 판단되지 않을 수도 있다. 이는 정상적인 업데이트가 외부 네트워크 20을 통해 이루어질 수도 있기 때문이다. 다만, 해당 시스템 600으로부터 다른 시스템/장치 601, 602, 603 등으로 실행파일의 전파가 시작되면 악성코드 탐지 장치 100은 해당 실행파일을 악성코드로 판단하고, 최초 외부 침입 IP (주소)를 추적할 수 있다.

도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.

도 7을 참조하면, S710에서 실행파일 모니터링 에이전트 200은 제어 시스템 10을 구성하거나 제어 시스템 10과 연결된 네트워크에서 송/수신되는 실행파일을 모니터링 한다. 에이전트 200은 네트워크로부터 송/수신되는 데이터 패킷을 수집하고, 이로부터 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 실행파일과 연관된 패킷이 속한 세션을 식별하고, 식별된 세션에 포함되는 패킷을 조합하여 실행파일을 추출할 수 있다. 에이전트 200은 추출된 실행파일에 기초하여 실행파일 정보를 생성하고(S720), S730에서 생성된 실행파일 정보를 악성코드 탐지 장치 100으로 전송할 수 있다. 악성코드 탐지 장치 100은 에이전트 200으로부터 실행파일 정보를 수신하면, S740 에서 실행파일 정보에 기초하여 실행파일 정보가 지시하는 실행파일이 악성코드인지(또는 악성코드에 감염되었는지) 여부를 판단할 수 있다. S750에서, 악성코트 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 악성코드에 감염되거나, 악성코드를 최초에 유포한 장치를 해당 장치가 속한 네트워크로부터 격리(예를 들어, 네트워크 연결을 해제)시킬 수 있다.

상기와 같은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법은 제어시스템의 가용성을 최대한 보장하면서 효과적인 악성코드 탐지 기법을 제공함으로써, 제어시스템의 안정적인 운영을 침해할 수 있는 사이버테러의 위협에 대응할 수 있도록 도와준다. 또한, 최초 감염 및 전파 지점을 정확하게 찾아냄으로써, 제어 인트라넷 내부의 효율적인 보안대책 수립을 가능케 한다. 무엇보다도, 네트워크 패킷을 이용한 실행파일 모니터링 기반의 악성코드 탐지 기법은 기 알려진 악성코드 이외에 새롭게 나타날 수 있는 여러 종류의 악성코드들에 대해서도 쉽게 대응할 수 있다는 장점을 갖는다.

이상 본 명세서를 통해 개시된 모든 실시 예들과 조건부 예시들은, 본 발명의 기술 분야에서 통상의 지식을 가진 당업자가 독자가 본 발명의 원리와 개념을 이해하도록 돕기 위한 의도로 기술된 것으로, 당업자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.