DOI QR코드

DOI QR Code

A Study on the Framework of Integrated Vulnerability Analysis of Domestic Nuclear Facilities

국내 원자력 시설 통합 취약점 분석 프레임워크 연구

  • 신미주 (전남대학교 시스템보안연구센터) ;
  • 윤성수 (전남대학교 시스템보안연구센터) ;
  • 엄익채 (전남대학교 시스템보안연구센터)
  • Received : 2021.11.30
  • Accepted : 2021.12.31
  • Published : 2022.03.31

Abstract

Cyber attacks on national infrastructure, including large-scale power outages in Ukraine, have continued in recent years. As a result, ICS-CERT vulnerabilities have doubled compared to last year, and vulnerabilities to industrial control systems are increasing day by day. Most control system operators develop vulnerability countermeasures based on the vulnerability information sources provided by ICS-CERT in the United States. However, it is not applicable to the security of domestic control systems because it does not provide weaknesses in Korean manufacturers' products. Therefore, this study presents a vulnerability analysis framework that integrates CVE, CWE, CAPE, and CPE information related to the vulnerability based on ICS-CERT information (1843 cases). It also identifies assets of nuclear facilities by using CPE information and analyzes vulnerabilities using CVE and ICS-CERT. In the past, only 8% of ICS-CERT's vulnerability information was searched for information on any domestic nuclear facility during vulnerability analysis, but more than 70% of the vulnerability information could be searched using the proposed methodology.

최근 사이버 공격으로 인해 발생한 우크라이나 대규모 정전 사태를 비롯하여 국가 기반시설에 대한 사이버 공격이 지속해서 발생하고 있다. 이에 따라 ICS-CERT 취약점이 작년보다 두 배 이상이 증가하는 등 원자력 시설 등의 산업제어시스템에 대한 취약점이 날로 증가하고 있다. 대부분의 제어시스템 운영자는 미국의 ICS-CERT에서 제공하는 산업제어시스템 취약점정보원을 바탕으로 취약점 대응 방안을 수립한다. 그러나 ICS-CERT는 연관된 모든 취약점 정보를 포함하지 않으며, 국내 제조사 제품에 대한 취약점을 제공하지 않아 이를 국내 제어시스템 보안에 적용하기 어렵다. 따라서 본 연구에서는 ICS-CERT에서 제공하는 제어시스템 취약점 정보(1,843건)를 기준으로 해당 취약점과 관련된 CVE, CWE, CAPEC, CPE 정보를 통합한 취약점 분석 프레임워크를 제시한다. 또한 원자력 시설의 자산을 CPE를 이용하여 식별하고 CVE와 ICS-CERT를 이용하여 취약점을 분석한다. 기존의 방법론으로 취약점 분석 시 임의의 국내 원자력 시설 자산 중 ICS-CERT에는 단 8%의 자산에 대한 취약점 정보를 탐색하였지만, 제안하는 방법론을 이용하면 70% 이상의 자산에 대해 취약점 정보를 탐색할 수 있다.

Keywords

Acknowledgement

본 논문은 2021년도 원자력안전위원회의 재원으로 한국원자력안전재단의 지원을 받아 수행된 원자력안전연구사업의 연구임(No, 2101061) 본 논문은 2021년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임(IITP-2019-0-01343)

References

  1. NVD, "National Vulnerability Database", https://nvd.nist.gov/ Nov. 2021.
  2. MITRE, "CVE Data Feeds", https://cve.mitre.org/cve/data_feeds.html Nov. 2021.
  3. CISA, "ICS-CERT Advisories", https://us-cert.cisa.gov/ics/advisories Nov. 2021.
  4. KrCERT, "취약점 정보", https://www.krcert.or.kr/data/secInfoList.do Nov. 2021.
  5. NVD, "Data Feed for Vulnerabilities", https://nvd.nist.gov/vuln/data-feeds Nov. 2021
  6. NVD, "Official Common Platform Enumeration (CPE) Dictionary", https://nvd.nist.gov/products/cpe Nov. 2021.
  7. MITRE, "Common Weakness Enumeration", https://cwe.mitre.org/ Nov. 2021.
  8. MITRE, "Common Attack Pattern Enumeration and Classification", https://capec.mitre.org/ Nov. 2021.
  9. Tomas, R. J., Chothia, T. P., "Learning from Vulnerabilities - Categorising, Understanding and Detecting Weaknesses in Industrial Control Systems," CyberICPS 2020, SECPRE 2020, ADIoT 2020: Computer Security, pp. 100~116.
  10. Kim, S. W., Kim, I. K., and Kwon, K. H., "A Study on the Cyber Vulnerability Assessment of the Vital Digital Assets at the Nuclear Facilities," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, 2017, pp. 725~726.
  11. Kim, M. C., Oh, S. J., and Kang, H. J., "Risk Scoring System for Software Vulnerability Using Public Vulnerability Information," Journal of the Korea Institute of Information Security & Cryptology 28(6), 2018, pp. 1449~1461.
  12. Kim, H. H., Yoo, J. H., "A Study on ICS/SCADA System Web Vulnerability," The Jounal of Society for e-Business Studies 24(2), 2019, pp 15~27.