Automatic Attack Script Generation: a MDA Approach

이 논문은 사이버보안 교육의 실습 환경 구축 비용과 복잡성을 해결하기 위해, 비공식적인 공격 시나리오 설명을 기반으로 MDA(모델 주도 아키텍처) 접근법을 활용하여 공격 스크립트와 컨텍스트를 자동으로 생성하고 다양한 플랫폼에서 재사용할 수 있도록 하는 방법을 제안합니다.

핵심

이 논문은 사이버 보안 교육을 위한 해킹 시나리오를 자동으로 만들어주는 새로운 방법을 소개합니다.

기존의 방식은 마치 수공예품을 만드는 것과 비슷했습니다. 보안 전문가가 직접 해킹 시나리오를 구상하고, 이를 실행할 컴퓨터 환경 (가상 네트워크) 을 하나하나 조립하고, 해킹 명령어 (스크립트) 를 직접 코딩해야 했습니다. 이 과정은 시간이 너무 오래 걸리고, 실수가 많으며, 고급 기술이 필요해서 교육용 환경을 만들기 힘들었습니다.

이 논문은 이 문제를 해결하기 위해 "자동화 공장" 같은 시스템을 제안합니다. 핵심 아이디어를 쉽게 풀어서 설명해 드릴게요.

1. 핵심 비유: "레시피"에서 "완성된 요리"까지

이 연구는 해킹 시나리오를 만드는 과정을 요리에 비유할 수 있습니다.

• 기존 방식 (수공예): 요리사가 "소스를 넣고 볶아라"라는 구두 지시만 듣고, 직접 재료를 고르고, 칼질을 하고, 불 조절을 하고, 그릇에 담는 모든 과정을 일일이 손으로 해야 했습니다.
• 이 연구의 방식 (자동화 공장): 요리사가 **"간단한 레시피 (해킹 시나리오 설명)"**만 입력하면, 기계가 알아서 재료를 준비하고, 조리법을 설계하고, 최종적으로 **"완성된 요리 (실행 가능한 해킹 스크립트)"**를 만들어냅니다.

2. 어떻게 작동할까요? (MDA 접근법)

이 시스템은 **MDA (모델 주도 아키텍처)**라는 세 단계의 계층 구조를 사용합니다. 이를 건축에 비유해 보겠습니다.

1 단계: CIM (컴퓨팅 독립 모델) - "건축주와의 대화"

• 상황: 건축주 (보안 교육자) 가 "집을 지으려면 3 층짜리 아파트를 만들고, 엘리베이터를 설치하고, 방은 4 개로 해줘"라고 자연어로 이야기합니다.
• 작동: 시스템은 이 말을 듣고 "아, 아파트, 엘리베이터, 4 개 방이 필요하구나"라고 이해합니다. 이때 기술적인 세부 사항 (벽돌 재질, 배관 두께 등) 은 아직 고려하지 않습니다.
• 논문 내용: 사용자가 해킹 시나리오를 간단히 입력하면, 시스템이 필요한 컴퓨터, 네트워크, 해킹 도구들을 자동으로 파악합니다.

2 단계: PIM (플랫폼 독립 모델) - "설계도 그리기"

• 상황: 이제 건축주가 한 말을 바탕으로 기술 중립적인 설계도를 그립니다. "엘리베이터는 A 층에서 B 층으로 올라가야 한다"는 식의 논리만 담고, "엘리베이터가 어떤 브랜드인지"는 정하지 않습니다.
• 작동: 시스템은 앞서 파악한 정보를 바탕으로 TOSCA라는 표준 언어로 해킹의 흐름과 인프라 구조를 설계합니다.
• 논문 내용: 해킹 단계 (예: 스캔 -> 침입 -> 데이터 탈취) 와 이를 실행할 가상 컴퓨터들의 연결 구조를 추상적인 설계도로 만듭니다.

3 단계: PSM (플랫폼 특정 모델) - "현장 시공"

• 상황: 이제 설계도를 바탕으로 실제 현장에 맞는 자재를 골라 집을 지습니다. "우리 현장에는 '오렌지' 브랜드 엘리베이터만 들어오니까, 그에 맞는 나사와 전선을 쓰자"라고 구체화합니다.
• 작동: 설계도를 실제 실행 가능한 **스크립트 (명령어)**와 가상 환경 설정 파일로 변환합니다.
• 논문 내용: 이 시스템은 Ansible이라는 자동화 툴을 이용해, 앞서 만든 설계도를 실제 해킹 명령어로 바꿉니다. 이제 교육자는 이 스크립트만 실행하면 해킹 훈련이 바로 시작됩니다.

3. 구체적인 예시: "SnifAttack (스니프 공격)"

논문의 예시를 들어보면 다음과 같습니다.

• 시나리오: "해커가 라우터 설정을 해킹해서, 피해자의 쇼핑 사이트 비밀번호를 훔쳐내겠다."
• 기존 방식: 교육자가 라우터 설정을 어떻게 해킹하는지, 패킷을 어떻게 가로채는지, 비밀번호를 어떻게 확인하는지 모든 코드를 직접 짜야 함.
• 이 시스템: 교육자가 "라우터 해킹 -> 패킷 가로채기 -> 비밀번호 확인"이라고 입력만 하면, 시스템이 알아서:
  1. 해커용 컴퓨터, 라우터, 피해자 PC, 쇼핑몰 서버를 연결하는 가상 네트워크를 만듭니다.
  2. 각 단계별로 필요한 **명령어 (스크립트)**를 자동으로 작성합니다.
  3. 교육자는 이 결과물을 실행하기만 하면 됩니다.

4. 왜 이것이 중요한가요?

1. 시간과 비용 절감: 수작업으로 하던 몇 주 걸리는 작업을 몇 분 만에 끝낼 수 있습니다.
2. 실수 방지: 사람이 직접 코딩할 때 생기는 실수 (오타, 설정 누락 등) 를 기계가 방지해 줍니다.
3. 재사용성: 한 번 만든 설계도 (모델) 는 다른 플랫폼에서도 쉽게 다시 쓸 수 있습니다. 마치 레고 블록을 다른 모양으로 조립하듯, 해킹 시나리오를 다양한 환경에 적용할 수 있습니다.
4. 교육의 질 향상: 보안 전문가들은 복잡한 코딩에 시간을 쓰지 않고, 실제 해킹 시나리오와 교육 내용에 집중할 수 있게 됩니다.

요약

이 논문은 **"복잡한 해킹 훈련 환경을 만드는 일"**을 **"간단한 설명서 입력"**으로 바꾸는 자동화 공장을 제안합니다. 마치 요리사가 레시피만 적으면 로봇이 요리를 만들어주듯, 보안 교육자가 해킹 시나리오를 입력하면 시스템이 알아서 실행 가능한 훈련 환경을 만들어주는 것입니다. 이는 사이버 보안 교육의 대중화와 효율성을 크게 높여줄 것입니다.

기술 요약

1. 문제 정의 (Problem)

사이버 보안 교육 (Cyber ranges 등) 은 실제와 유사한 공격 시나리오를 통해 학습자에게 실전 능력을 기르게 하는 데 필수적입니다. 그러나 이러한 훈련 환경을 구축하고 구성하는 과정에는 다음과 같은 심각한 문제점이 존재합니다.

• 높은 비용과 시간 소요: 훈련 세션을 준비하는 데 많은 노력이 필요합니다.
• 기술적 장벽: 공격 컨텍스트와 스크립트를 작성하려면 높은 수준의 기술적, 프로그래밍 역량이 필요합니다.
• 오류 발생 가능성: 수동 구성은 실수가 발생하기 쉽습니다.
• 유지보수 및 재사용의 어려움: 공격 기법과 IT 기술의 빠른 진화로 인해 훈련 환경이 금방 구식화 (Obsolete) 되며, 다른 플랫폼으로의 재사용이 어렵습니다.
• 표준화 부재: 공격 모델과 지식의 표현 방식이 다양하고 이질적 (Syntactic/Semantic Heterogeneity) 이며, 공격 컨텍스트를 명시적으로 정의하는 통합 모델이 부족합니다.

2. 방법론 (Methodology)

이 연구는 모델 주도 아키텍처 (MDA) 접근법을 채택하여 비즈니스 로직 (공격 시나리오) 과 기술적 구현 (실행 플랫폼) 을 분리합니다. 세 가지 추상화 수준을 통해 자동화 파이프라인을 구축합니다.

A. CIM (Computation Independent Model) - 요구사항 및 컨텍스트 정의

• 통합 공격 모델 (Unified Attack Model): 기존에 제안된 통합 모델을 기반으로 합니다. 이는 공격 운영 모드 (Attack Operating Mode) 와 공격 컨텍스트 (Attack Context, 관련 IT 자원) 를 정의합니다.
• 지식 그래프 (Knowledge Graph): 사용자가 비공식적인 시나리오를 입력하면, 시스템이 이를 형식화하여 Neo4J 기반의 지식 그래프로 저장합니다.
  • AttackPath: 상태 전이 모델로 공격 단계를 정의.
  • Resource: 공격에 관여하는 모든 자원 (호스트, 소프트웨어, 네트워크 등) 을 정의.
• 사용자 인터페이스: 사용자가 시나리오를 쉽게 정의할 수 있도록 패턴 기반의 UI 를 제공합니다.

B. PIM (Platform Independent Model) - 플랫폼 독립적 모델 생성

• TOSCA 표준 활용: 클라우드 및 서비스 모델링을 위한 OASIS 표준인 TOSCA 를 사용하여 PIM 을 표현합니다.
• 자동 변환 규칙: CIM (지식 그래프) 에서 PIM 으로 자동 변환하는 12 가지 규칙을 정의했습니다.
  • 토폴로지 생성: CIM 의 자원 (호스트, 네트워크) 을 TOSCA 노드 템플릿 (Topology Template) 으로 변환합니다.
  • 워크플로우 (스크립트) 생성: 공격 경로를 TOSCA 워크플로우로 변환합니다.
  • 목표 호스트 추론 (Target Inference): 시나리오 단계가 어떤 호스트에서 실행되어야 하는지 논리적 추론 (Hypothesis iao, ig) 을 통해 자동으로 결정합니다. (예: 공격자가 관리자 권한을 가진 호스트에서 특정 기능을 실행하는 경우)
• 결과: TOSCA 서비스 템플릿 (YAML 형식) 이 생성되며, 이는 추상적인 인프라와 공격 스크립트 워크플로우를 포함합니다.

C. PSM (Platform Specific Model) - 플랫폼 특화 모델 및 실행

• 구현 플랫폼: OpenTOSCA (인프라 오케스트레이션) 와 Ansible (자동화 엔진) 을 기반으로 구축된 가상 실험실 환경을 사용합니다.
• 구체적 생성: PIM 을 특정 플랫폼 (OpenTOSCA + Ansible) 에 맞게 변환합니다.
  • Ansible Inventory: 호스트 목록을 정의.
  • Ansible Playbook: 구체적인 공격 명령어 (스크립트) 를 생성.
• 실행: 생성된 스크립트는 실제 인프라에서 공격을 시뮬레이션하며 실행됩니다.

3. 주요 사례 연구 (SnifAttack)

논문의 타당성을 입증하기 위해 "SnifAttack" 시나리오를 적용했습니다.

• 시나리오: 공격자가 라우터의 기본 설정을 악용하여 트래픽을 스니핑 (Sniffing) 하고, 피해자의 쇼핑 사이트 로그인 자격 증명을 탈취하여 인증하는 과정.
• 과정:
  1. 사용자 입력: 6 단계의 공격 시나리오 (스캐닝, 기본 자격 증명 사용, 스니핑, 정보 유출, 발견, 인증).
  2. CIM 생성: 38 개의 자원, 182 개의 노드, 1,482 개의 관계가 포함된 지식 그래프 생성.
  3. PIM 생성: TOSCA 토폴로지 다이어그램과 상태 전이 워크플로우 자동 생성.
  4. PSM 생성: Ansible 플레이북 및 인벤토리 파일 생성.
  5. 실행: 생성된 스크립트가 실제 인프라에서 성공적으로 실행됨을 확인.

4. 주요 기여 (Key Contributions)

1. 자동화된 스크립트 생성 프레임워크: 비공식적인 시나리오 설명에서 실행 가능한 공격 스크립트와 인프라를 자동으로 생성하는 MDA 기반 접근법 제시.
2. 표준 기반의 상호운용성: TOSCA 표준을 사용하여 플랫폼 독립적인 모델을 정의함으로써, 다양한 클라우드 및 온프레미스 환경으로의 재사용과 이식성을 보장.
3. 공격 컨텍스트의 형식화: 공격 시나리오와 필요한 IT 자원을 통합된 모델로 정의하여, 공격 실행에 필요한 모든 자원 (호스트, 네트워크, 소프트웨어) 을 자동으로 도출.
4. 지식 기반 추론: 지식 그래프와 논리적 규칙을 활용하여 공격 단계의 실행 대상 (Target Host) 을 자동으로 추론하는 메커니즘 개발.

5. 결과 및 의의 (Results & Significance)

• 효율성 향상: 훈련 환경 구축에 소요되는 시간과 노력을 획기적으로 줄였으며, 수동 구성으로 인한 오류를 방지합니다.
• 교육 및 훈련의 질 향상: 실제와 유사한 공격 시나리오를 빠르게 구축할 수 있어, 사이버 보안 교육의 현실성과 접근성을 높입니다.
• 재사용성: 생성된 모델은 다양한 플랫폼에서 재사용 가능하므로, 공격 기법의 진화에 따라 훈련 환경을 쉽게 업데이트할 수 있습니다.
• 실증: 복잡한 공격 시나리오 (SnifAttack) 에 대해 프로토타입을 구현하고 성공적으로 실행하여 기술적 타당성을 입증했습니다.

결론

이 연구는 사이버 보안 훈련의 자동화를 위한 중요한 걸음을 내디뎠습니다. MDA 와 TOSCA 를 결합함으로써 비즈니스 요구사항 (공격 시나리오) 과 기술적 구현을 분리하고, 이를 통해 재사용 가능하고 플랫폼에 구애받지 않는 공격 스크립트 생성 체계를 확립했습니다. 향후 연구는 사용자 친화적인 인터페이스 고도화와 평가 프로세스의 정립, 그리고 더 넓은 범위의 재사용성 확보에 초점을 맞출 예정입니다.