시계열 특성 기반의 공격자 기술 수준을 고려한 취약점 심각도 평가 방안 연구

Vol. 33, No. 2, pp. 281-293, 4월. 2023
10.13089/JKIISC.2023.33.2.281, Full Text:
Keywords: Industrial Control System, operating technology, Ease of exploitation, Vulnerability Assessment
Abstract

산업제어시스템의 특성에 대한 공격자들의 이해 증가와 더불어 정보 기술과의 연결성이 확대되면서 산업제어시스템을 대상으로 하는 보안사고가 증가하고 있다. 이와 관련된 취약점의 수는 매년 급증하고 있지만, 모든 취약점에 대해 적시의 패치를 수행하는 것은 어렵다. 현재 취약점 패치의 기준으로 여겨지는 공통 취약점 평가 체계는 취약점이 발견된 후의 무기화를 고려하고 있지않다는 한계점을 지니고 있다. 따라서 본 연구에서는 운영 기술 및 산업제어시스템 내 발생 취약점 정보가 포함된 공개 정보를 기반으로 시간의 흐름에 따라 변화하는 공격자의 기술 수준을 분류하기 위한 기준을 정의한다. 또한 해당 속성을 기존 심각도 점수 산출에 반영하여 취약점의 실제 위험성과 긴급성이 반영된 심각도를 평가하는 방안을 제안하고자 한다. 해당 평가 방안의 시계열적 특성 반영 및 운영기술 및 산업제어시스템 환경에서의 유효성을 확인하기 위해 실제 사고에 활용된 취약점에 기반한 사례연구를 수행하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
윤성수 and 엄익채, "A Study on Vulnerability Severity Evaluation Considering Attacker Skill Level Based on Time Series Characteristics," Journal of The Korea Institute of Information Security and Cryptology, vol. 33, no. 2, pp. 281-293, 2023. DOI: 10.13089/JKIISC.2023.33.2.281.

[ACM Style]
윤성수 and 엄익채. 2023. A Study on Vulnerability Severity Evaluation Considering Attacker Skill Level Based on Time Series Characteristics. Journal of The Korea Institute of Information Security and Cryptology, 33, 2, (2023), 281-293. DOI: 10.13089/JKIISC.2023.33.2.281.