최근 각종 공공기관, 금융기관 등에서 지능형 지속 위협(APT, Advanced Persistent Threat), 랜섬웨 어, Drive-By-Download, 메일을 통한 악성코드 유포 등 많은 정보보안 사고가 발생하고 있다. 이와 같은 악의적인 공격은 더욱 지능화되고 있으며, 그 수 또한 증가하고 있다. 특히 대다수의 공공기관 보안관제센터에서는 이와 같은 유해IP에 대해 일정 기간을 정해 차단정책을 수립하고 있다. 하지만 기존 발생하였던 유해IP 재사용이 증가하고 있으며 이로 인한 정보보안 사고의 재발생 또한 증가하고 있다. 본 논문에서는 유해IP 탐지 및 경과일, 유해IP에 대한 발생 비율 및 재사용 비율을 통해 적절한 유해IP 보관 주기를 산정하였다. 운영계 자료(legacy data)에 대한 통계적 특성을 분석한 결과, 유해IP 는 국내·외 구분 없이 1년간 보관하는 것이 바람직하다고 판단되나, 각 기관의 특성을 반영하여 경과 일을 크기 순으로 나열했을 때 최대값의 95%에 해당되는 95백분위수를 산정하여 유해IP의 최소저장 기간을 관리하도록 권고하는 방식을 제시하였다.
Recently, a lot of information security accidents such as APT(Advanced Persistent Threat), Ransomware, Drive-By-Download, and distribution of malicious code through e-mail have occurred in various public institutions and financial institutions. Such malicious attacks are becoming more intelligent, and the number is also increasing. In particular, the majority of public institution security monitoring centers establish blocking policies for such malicious IPs for a certain period of time. However, the existing reuse of malicious IP has been increasing, and the reoccurrence of information security accidents is also increasing. In this paper, the harmful IP storage cycle is calculated through the harmful IP detection, the elapsed days, the occurrence ratio and the reuse ratio for the harmful IP. As a result of analyzing the statistical characteristics of legacy data, it is desirable to keep the harmful IP for one year without any domestic or foreign distinction. However, when the elapsed days are listed in order of magnitude 95% of the value is calculated to provide the recommended method to manage the minimum storage period of harmful IP.
1. 서론 2. 관련 연구 3. 유해IP 분석 및 보관 주기 산정 4. 결론 및 제언 References
