보안관제 기반에서의 유해IP 보관 주기 산정에 관한 연구

A Study on Estimation of Malicious IP Storage Cycle in Security Monitoring Base

최근 각종 공공기관, 금융기관 등에서 지능형 지속 위협(APT, Advanced Persistent Threat), 랜섬웨 어, Drive-By-Download, 메일을 통한 악성코드 유포 등 많은 정보보안 사고가 발생하고 있다. 이와 같은 악의적인 공격은 더욱 지능화되고 있으며, 그 수 또한 증가하고 있다. 특히 대다수의 공공기관 보안관제센터에서는 이와 같은 유해IP에 대해 일정 기간을 정해 차단정책을 수립하고 있다. 하지만 기존 발생하였던 유해IP 재사용이 증가하고 있으며 이로 인한 정보보안 사고의 재발생 또한 증가하고 있다. 본 논문에서는 유해IP 탐지 및 경과일, 유해IP에 대한 발생 비율 및 재사용 비율을 통해 적절한 유해IP 보관 주기를 산정하였다. 운영계 자료(legacy data)에 대한 통계적 특성을 분석한 결과, 유해IP 는 국내·외 구분 없이 1년간 보관하는 것이 바람직하다고 판단되나, 각 기관의 특성을 반영하여 경과 일을 크기 순으로 나열했을 때 최대값의 95%에 해당되는 95백분위수를 산정하여 유해IP의 최소저장 기간을 관리하도록 권고하는 방식을 제시하였다.