KR101725301B1 - System for training security weakness - Google Patents

System for training security weakness Download PDF

Info

Publication number
KR101725301B1
KR101725301B1 KR1020160097956A KR20160097956A KR101725301B1 KR 101725301 B1 KR101725301 B1 KR 101725301B1 KR 1020160097956 A KR1020160097956 A KR 1020160097956A KR 20160097956 A KR20160097956 A KR 20160097956A KR 101725301 B1 KR101725301 B1 KR 101725301B1
Authority
KR
South Korea
Prior art keywords
security
training
vulnerability
security vulnerability
web page
Prior art date
Application number
KR1020160097956A
Other languages
Korean (ko)
Inventor
안태환
Original Assignee
주식회사 그로비스인포텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 그로비스인포텍 filed Critical 주식회사 그로비스인포텍
Priority to KR1020160097956A priority Critical patent/KR101725301B1/en
Application granted granted Critical
Publication of KR101725301B1 publication Critical patent/KR101725301B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/20Education
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/30Transportation; Communications
    • G06Q50/32Post and telecommunications

Abstract

The present invention relates to a security vulnerability training system. According to an embodiment of the present invention, a security vulnerability training system may comprise: a security training server which provides a security training management webpage, configured to receive registration of a security training schedule and a security training target, to a security training administrator terminal and which provides a security training execution webpage, configured to provide security vulnerability analysis content adapted to analyze security vulnerability and one-on-one customized security vulnerability training content adapted to enable the security training target to receive security vulnerability training based on the security vulnerability analyzed by using the security vulnerability analysis content, to a security training target terminal; the security training target terminal which is a terminal used by the security training target who receives the security vulnerability training, and which plays back the security vulnerability analysis content and security vulnerability training content provided via the security training execution webpage; and the security training administrator terminal which is a terminal used by a security training administrator who establishes the security training schedule, and which registers the security vulnerability analysis content, the security vulnerability training content, and the security training schedule in the security training server via the security training management webpage.

Description

보안 취약점 훈련 시스템{System for training security weakness}System for training security weakness

본 발명은 보안 취약점 훈련 시스템으로서, 보안전문인력의 보안 취약점을 분석하여 보안 취약점을 보완시켜줄 수 있는 보완 훈련 시스템에 관한 것이다.The present invention relates to a security vulnerability training system, and a complementary training system capable of analyzing security vulnerabilities of security expert personnel to compensate for security vulnerabilities.

기업 및 기관에서 정보 보안에 대한 요구가 점차 높아지고 많은 비용이 투입되고 있음에도 불구하고 공공기관과 중요 사회기반시설 인프라를 대상으로 한 사이버 위협 표적 공격은 물론 인터넷 침해사고, 대규모 개인정보유출, 사이버테러, 기업기밀정보 도난에 이르기까지 사이버 침해 사고가 끊이지 않고 있다.Despite the growing demand for information security by corporations and organizations, and the high costs involved, cyber threat targeting attacks on public institutions and critical infrastructure infrastructures, as well as Internet intrusion, massive personal information leakage, cyber terrorism, Cyber infestation accidents are continuing from corporate confidential information to theft.

특히 국가기관이나 은행기관 등을 대상으로 하는 해킹 사건은 단순한 자료 유출사고가 아니라 국가 중요시설은 물론 국내 기업/기관들의 보안 취약점 대비가 얼마나 미흡한지 알 수 있다.Especially, the case of hacking against government agencies and banking institutions is not a simple data leakage accident, but it shows how much it is against the security vulnerabilities of national corporations and institutions as well as national important facilities.

이와 같이 사이버 위협의 위험도 증가로 인해 보안전문인력의 수요자 점차 증대되고 있음에도 보안전문인력의 공급은 전체 수요의 1/5에도 미치지 못하는 실정이다. 특히 국내 정보보호산업 인력 현황에 따르면 전체 인력 대비 14.4%만이 특급 정보 보호 인력이며, 그 중에서 일부만이 정보 보안 전문인력으로서 고급 보안 인력이 절대 부족한 실정이다. 보안 교육을 실시하는 기업 중에서도 정보 보호 책임자급에게 보안 교육이 이루어지는 경우는 일반 직원 대비 약 1/2에 달하며 최고보안전문가 양성을 위한 전문 보안교육 체계는 미비하다.As the number of cyber threats increases, the demand for security experts increases, but the supply of security experts is less than one fifth of total demand. In particular, according to the status of the information security industry in Korea, only 14.4% of the total work force is classified as an information security worker, and only a few of them are information security professionals. Among the companies conducting security education, about half of the employees are in the case of security training for information security officer class, and there is not a professional security education system for training the best security experts.

이에 보안전문인력의 양성을 위한 효율적인 전문 보안교육 체계의 필요성이 절실하다.Therefore, there is an urgent need for an effective professional security education system to train security experts.

한국공개특허 10-2007-0046170호Korean Patent Publication No. 10-2007-0046170

본 발명의 기술적 과제는 정보보안인력을 대상으로 하여 보안 취약점을 분석하고 나아가 보안 취약점 훈련을 제공하는데 있다.The technical problem of the present invention is to analyze security vulnerabilities for information security personnel and to provide security vulnerability training.

본 발명의 실시 형태는 보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 보안 훈련 관리 웹페이지를 보안 훈련 관리자 단말기에 제공하고, 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠와, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 훈련 실행 웹페이지를 보안 훈련 대상자 단말기에 제공하는 보안 훈련 서버; 보안 취약점을 훈련받는 보안 훈련 대상자가 사용하는 단말기로서, 상기 보안 훈련 실행 웹페이지를 통해 제공되는 상기 보안 취약점 분석 콘텐츠 및 보안 취약점 훈련 콘텐츠를 재생하는 보안 훈련 대상자 단말기; 및 보안 훈련 일정을 수립하는 보안 훈련 관리자가 사용하는 단말기로서, 상기 보안 훈련 관리 웹페이지를 통해 상기 보안 취약점 분석 콘텐츠, 보안 취약점 훈련 콘텐츠, 및 보안 훈련 일정을 상기 보안 훈련 서버에 등록하는 보안 훈련 관리자 단말기;를 포함할 수 있다.An embodiment of the present invention provides a security training management web page capable of registering a security training schedule and a security training target person to a security training manager terminal and is provided with a security vulnerability analysis content for analyzing a security vulnerability, A security training server for providing a security training execution web page to a security training target terminal to provide a 1: 1 customized security vulnerability training content capable of training a security vulnerability of a target of security training according to the analyzed security vulnerability; A terminal for use in a security training target who is trained as a security vulnerability, comprising: a security training target terminal for playing the security vulnerability analysis content and security vulnerability training content provided through the security training execution web page; And a security training manager for registering the security vulnerability analysis content, security vulnerability training content, and security training schedule on the security training server through the security training management web page, And a terminal.

상기 보안 훈련 서버는, 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠와, 보안 취약점을 훈련시킬 수 있는 보안 취약점 훈련 콘텐츠를 저장한 콘텐츠 데이터베이스; 보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 보안 훈련 관리 웹페이지를 생성하는 보안 훈련 관리 웹페이지 생성부; 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠를 제공하여, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 훈련 실행 웹페이지를 생성하는 보안 훈련 실행 웹페이지 생성부; 보안 훈련 관리자의 로그인 정보와 보안 훈련 대상자의 로그인 정보를 저장하여 사용자의 로그인 처리를 수행하며, 로그인된 단말기가 보안 훈련 관리자 단말기인 경우 상기 보안 훈련 관리 웹페이지를 제공하며, 로그인된 단말기가 보안 훈련 대상자 단말기인 경우 상기 보안 훈련 실행 웹페이지를 제공하는 로그인 처리부; 상기 보안 훈련 실행 웹페이지를 통해 보안 취약점 분석이 선택된 경우, 보안 훈련 대상자의 자격 레벨에 맞는 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 상기 보안 훈련 대상자 단말기에 제공하며, 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 보안 훈련 대상자의 보안 취약점을 파악하는 보안 취약점 분석 콘텐츠 제공부; 및 상기 보안 훈련 실행 웹페이지를 통해 보안 취약점 훈련이 선택된 경우, 상기 보안 취약점 분석 콘텐츠 제공부를 통해 파악된 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 상기 보안 훈련 대상자 단말기에 제공하는 보안 취약점 훈련 콘텐츠 제공부;를 포함할 수 있다.The security training server includes a content database storing security vulnerability analysis content for analyzing a security vulnerability and security vulnerability content for training a security vulnerability; A security training management web page generating unit for generating a security training management web page capable of registering a security training schedule and a security training target; Providing a security vulnerability analysis content analyzing a security vulnerability and providing a 1: 1 personalized security vulnerability training content capable of training a security vulnerability of a security training subject according to a security vulnerability analyzed through the security vulnerability analysis content A security training execution web page generation unit for generating a security training execution web page; The security training manager manages the login information of the security training manager and the login information of the security training person to perform a login process of the user, provides the security training management web page when the logged-in terminal is the security training manager terminal, A login processing unit for providing the security training execution web page in the case of a target terminal; Providing a security vulnerability analysis content capable of performing a security vulnerability analysis according to a qualification level of a security training target to the security training target terminal when the security vulnerability analysis is selected through the security training execution web page, Analyzing contents of security vulnerability analyzing contents to identify security vulnerability of security target subject according to test result of content; And if the security vulnerability training is selected through the security training execution web page, a 1: 1 personalized vulnerability training content capable of training a security vulnerability of the security training target identified through the security vulnerability analysis content provider to the security And providing security vulnerability training contents to the training target terminal.

상기 보안 훈련 실행 웹페이지는, 보안 취약점 분석, 보안 취약점 훈련을 선택받는 보안 훈련 초기화면 웹페이지; 상기 보안 취약점 분석이 선택된 경우, 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 제공하는 보안 취약점 분석 웹페이지; 상기 보안 취약점 훈련이 선택된 경우, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 취약점 훈련 웹페이지;를 포함할 수 있다.The security training execution web page may include a security training initial screen web page selected from a security vulnerability analysis and a security vulnerability training; A security vulnerability analysis web page that provides a security vulnerability analysis content capable of analyzing a security vulnerability analysis when the security vulnerability analysis is selected; A security vulnerability training web page providing a 1: 1 personalized vulnerability training content capable of training a security vulnerability of a security training subject in accordance with a security vulnerability analyzed through the security vulnerability analysis content when the security vulnerability training is selected; ; ≪ / RTI >

상기 보안 훈련 초기화면 웹페이지는, 로그인된 보안 훈련 대상자의 보안 훈련량을 나타내는 보안 훈련 성취도가 표시되는 보안 훈련 대상자 성취도 표시 필드; 보안 취약점 분석 훈련에 참여할 수 있는 보안 훈련 대상자의 자격 검증 레벨을 표시하는 보안 훈련 대상자 자격 검증 레벨 표시 필드; 로그인된 보안 훈련 대상자의 보안 분야별 보안 등급을 표시한 보안 등급 표시 필드; 및 보안 취약점 분석 훈련의 참여 히스토리를 표시한 보안 취약점 분석 훈련 히스토리 표시 필드;를 포함할 수 있다.The security training initial screen web page includes a security training target achievement display field in which a security training achievement indicating a security training amount of a logged-in security training target is displayed; A security training target eligibility verification level display field indicating a qualification verification level of a security training subject who can participate in the security vulnerability analysis training; A security level display field indicating the security level of the security subject of the logged in security training subject; And a security vulnerability analysis training history display field indicating a history of participation in the security vulnerability analysis training.

상기 자격 검증 레벨은, 각 운영체계별로 자격 검증 레벨이 표시되어 있음을 특징으로 할 수 있다.The qualification verification level may be characterized in that a qualification verification level is displayed for each operating system.

상기 보안 취약점 분석 웹페이지는, 보안 분야별로 보안 취약점 분석을 위한 보안 취약점 분석 콘텐츠를 실행시킬 수 있는 보안 취약점 분석 콘텐츠 실행 버튼이 마련됨을 특징으로 할 수 있다.The security vulnerability analysis web page may include a security vulnerability analysis content execution button that can execute a security vulnerability analysis content for security vulnerability analysis according to a security field.

상기 보안 취약점 훈련 웹페이지는, 각 운영체계별로 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 보안 취약점 훈련 콘텐츠가 복수개의 가상운영체계머신으로 구현되는 경우, 각 가상운영체계머신이 아이콘 형태로 표시되어 있음을 특징으로 할 수 있다.If the security vulnerability training web page is implemented by a plurality of virtual operating system machines, each of the virtual operating system machines is displayed in the form of an icon .

가상운영체계머신의 이용 현황을 아이콘화해서 제공함을 특징으로 할 수 있다.And the utilization status of the virtual operating system machine is provided as an icon.

상기 보안 취약점 훈련 콘텐츠가 아이콘 형태로 표시되는 것은, 다른 보안 훈련 대상자 단말기들에 의해 접속되어 있지 않은 아이들(idle) 상태인 경우, 구동 가능 상태임을 알리는 사용 가능 아이콘 형태로 표시하며, 다른 보안 훈련 대상자 단말기에 의해 구동되고 있는 경우, 사용중임을 알리는 사용중 아이콘 형태로 표시하며, 다른 보안 훈련 대상자 단말기에 의해 구동된 후 종료되어 리셋이 진행되는 경우, 리셋 상태임을 알리는 리셋 아이콘 형태로 표시할 수 있다.In the case where the security vulnerability training content is displayed in the form of an icon, the security vulnerability training content is displayed in the form of a usable icon indicating that the security vulnerability training content is in an idle state, which is not connected by other security training target terminals, When the terminal is driven by the terminal, it is displayed in the form of an in-use icon indicating that the terminal is in use. When the terminal is driven after being driven by another terminal for security training, the terminal is displayed in the form of a reset icon indicating that the terminal is reset.

상기 가상운영체계머신은, 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 파악된 보안 훈련 대상자의 보안 취약점에 관련된 가상운영체계머신임을 특징으로 할 수 있다.The virtual operating system machine may be a virtual operating system machine related to a security vulnerability of a security training target identified according to a test result of a security vulnerability analysis content of a security training target.

본 발명의 실시 형태에 따르면 정보보안 전문인력의 침해 사고 실전 대응 역량 제고를 위한 훈련 시스템을 제공함으로써, 실제 운영 환경과 동일한 환경에서의 취약점 분석 훈련 및 개인 훈련을 지원할 수 있다. 따라서 지속적으로 발생하는 신규 보안 취약점에 대해서 신속하고 능동적으로 대응할 수 있는 보안 전문가를 양성할 수 있다.According to the embodiment of the present invention, vulnerability analysis training and personal training in the same environment as the actual operating environment can be supported by providing a training system for enhancing the competency of the information security specialist to cope with intrusion accidents. Therefore, it is possible to nurture a security expert who can quickly and proactively respond to new security vulnerabilities that are continuously generated.

도 1은 본 발명의 실시예에 따른 보안 취약점 훈련 시스템의 구성도.
도 2는 본 발명의 실시예에 따른 보안 취약점 훈련 시스템의 동작 흐름을 도시한 그림.
도 3은 본 발명의 실시예에 따른 보안 훈련 서버의 구성 블록도.
도 4는 본 발명의 실시예에 따른 보안 훈련 초기 화면 웹페이지를 도시한 그림.
도 5는 본 발명의 실시예에 따른 보안 취약점 분석 웹페이지를 도시한 그림.
도 6은 본 발명의 실시예에 따른 보안 취약점 훈련 웹페이지를 도시한 그림.1 is a block diagram of a security vulnerability training system according to an embodiment of the present invention;
FIG. 2 is a flowchart illustrating an operation flow of a vulnerability training system according to an embodiment of the present invention; FIG.
3 is a block diagram of a configuration of a security training server according to an embodiment of the present invention;
FIG. 4 is a diagram illustrating a security training initial screen web page according to an embodiment of the present invention; FIG.
FIG. 5 is a diagram illustrating a security vulnerability analysis web page according to an embodiment of the present invention; FIG.
FIG. 6 is a view showing a security vulnerability training web page according to an embodiment of the present invention; FIG.

이하, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은, 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것으로, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 또한, 본 발명을 설명함에 있어 관련된 공지 기술 등이 본 발명의 요지를 흐리게 할 수 있다고 판단되는 경우 그에 관한 자세한 설명은 생략하기로 한다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to achieve them, will be apparent from the following detailed description of embodiments thereof taken in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the exemplary embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete and will fully convey the concept of the invention to those skilled in the art. And the present invention is only defined by the scope of the claims. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

도 1은 본 발명의 실시예에 따른 보안 취약점 훈련 시스템의 구성도이며, 도 2는 본 발명의 실시예에 따른 보안 취약점 훈련 시스템의 동작 흐름을 도시한 그림이다.FIG. 1 is a configuration diagram of a security vulnerability training system according to an embodiment of the present invention, and FIG. 2 is a diagram illustrating an operational flow of a security vulnerability training system according to an embodiment of the present invention.

본 발명은 정보 보안 전문가 양성을 위하여 정보보안인력을 대상으로 한 전문적인 취약점 분석 훈련을 제공한다. 분야별/난이도별 사용자 보안 등급 구성으로 보안 전문성을 단계별로 성장시킬 수 있다. 또한 실전 대응 역량 강화를 위해 실제 운영 환경과 동일한 가상운영환경에서 취약점 분석 훈련이 가능하도록 한다.The present invention provides professional vulnerability analysis training for information security personnel in order to nurture information security experts. Security expertise can be developed step by step by configuring user security level by field / difficulty level. In addition, vulnerability analysis training is enabled in the same virtual operating environment as the actual operating environment to strengthen the response capability.

이를 위해 본 발명의 보안 취약점 훈련 시스템은, 유무선 통신망(100), 보안 훈련 관리자 단말기(200), 보안 훈련 서버(300), 및 보안 훈련 대상자 단말기(400)를 포함할 수 있다.To this end, the security vulnerability training system of the present invention may include a wired / wireless communication network 100, a security training manager terminal 200, a security training server 300, and a security training target terminal 400.

유무선 통신망(100)은, 보안 훈련 관리자 단말기(200), 보안 훈련 서버(300), 및 보안 훈련 대상자 단말기(400)간에 각각 유선 통신 또는 무선 통신을 제공하는 통신망이다. 이러한 유무선 통신망(100)이 무선 통신망으로 구현되는 경우, 기지국(BTS;Base Transceiver Station), 이동교환국(MSC;Mobile Switching Center), 및 홈 위치 등록기(HLR;Home Location Register) 으로 이루어진 무선 이동통신망을 이용하여 데이터 통신을 할 수 있다. 또한 유무선 통신망(100)이 유선 통신망으로 구현되는 경우, 네트워크 통신망으로 구현될 수 있는데 TCP/IP(Transmission Control Protocol/Internet Protocol) 등의 인터넷 프로토콜에 따라서 데이터 통신이 이루어질 수 있다.The wired / wireless communication network 100 is a communication network that provides wired communication or wireless communication between the security training manager terminal 200, the security training server 300, and the security training target terminal 400, respectively. When the wired / wireless communication network 100 is implemented as a wireless communication network, a wireless mobile communication network including a base transceiver station (BTS), a mobile switching center (MSC), and a home location register (HLR) So that data communication can be performed. In addition, when the wired / wireless communication network 100 is implemented as a wired communication network, it can be implemented as a network communication network, and data communication can be performed according to an Internet protocol such as TCP / IP (Transmission Control Protocol / Internet Protocol).

보안 훈련 관리자 단말기(200)는, 보안 훈련 일정을 수립하는 보안 훈련 관리자가 사용하는 단말기로서, 데스크탑 PC, 스마트폰, 태블릿 PC 등이 해당될 수 있다. 보안 훈련 관리자 단말기(200)는, 보안 훈련 관리 웹페이지를 통해 보안 취약점 분석 콘텐츠와 보안 취약점 훈련 콘텐츠를 보안 훈련 서버(300)에 등록한다. 또한 보안 훈련 관리자 단말기(200)는, 보안 훈련 일정을 보안 훈련 서버(300)에 등록한다. 따라서 도 2에 도시한 바와 같이 보안 훈련 관리자는 자신의 보안 훈련 관리자 단말기(200)를 이용하여, 보안 취약점 분석 콘텐츠 및 보안 취약점 훈련 콘텐츠를 보안 훈련 서버(300)에 등록하며, 아울러 보안 훈련 일정 및 계획 수립하여 보안 훈련 서버(300)에 등록할 수 있다.The security training manager terminal 200 is a terminal used by a security training manager who establishes a security training schedule, and may be a desktop PC, a smart phone, a tablet PC, or the like. The security training manager terminal 200 registers the security vulnerability analysis content and the security vulnerability training content in the security training server 300 through the security training management web page. Also, the security training manager terminal 200 registers the security training schedule in the security training server 300. [ Therefore, as shown in FIG. 2, the security training manager registers the security vulnerability analysis content and the security vulnerability training content in the security training server 300 using his security training manager terminal 200, The security training server 300 can be registered in the security training server 300.

보안 훈련 서버(300)는, 보안 훈련 관리자 단말기(200)로부터 제공된 보안 훈련 일정에 따라서 보안 훈련 대상자 단말기(400)에 보안 취약점 분석/훈련 콘텐츠를 제공한다. 보안 훈련 서버(300)는, 하드웨어적으로는 통상적인 웹 서버와 동일한 구성을 가지며, 소프트웨어적으로는 C, C++, Java, Visual Basic, Visual C 등과 같은 다양한 형태의 언어를 통해 구현되어 여러 가지 기능을 하는 프로그램 모듈을 포함한다. 또한, 일반적인 서버용 하드웨어에 도스(dos), 윈도우(window), 리눅스(linux), 유닉스(unix), 매킨토시(macintosh) 등의 운영 체제에 따라 다양하게 제공되고 있는 웹 서버 프로그램을 이용하여 구현될 수 있으며, 대표적인 것으로는 윈도우 환경에서 사용되는 웹사이트(website), IIS(Internet Information Server)와 유닉스 환경에서 사용되는 CERN, NCSA, APPACH 등이 이용될 수 있다.The security training server 300 provides security vulnerability analysis / training contents to the security training target terminal 400 according to the security training schedule provided from the security training manager terminal 200. The security training server 300 has the same configuration as that of a typical web server in terms of hardware and is implemented in various types of languages such as C, C ++, Java, Visual Basic, Visual C, And a program module for executing the program. In addition, it can be implemented using a web server program that is variously provided according to operating systems such as dos, window, linux, unix, and macintosh for general server hardware. Typical examples include a Web site used in a Windows environment, Internet Information Server (IIS), and CERN, NCSA, and APPACH used in a UNIX environment.

보안 훈련 서버(300)는, 보안 훈련 관리 웹페이지와 보안 훈련 실행 웹페이지를 보안 훈련 관리자 단말기(200)에 제공한다. 이러한 보안 훈련 관리 웹페이지는 보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 웹페이지를 말하며, 보안 훈련 실행 웹페이지는, 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 웹페이지를 말한다. 이러한 보안 훈련 서버(300)에 대해서는, 도 3과 함께 상세히 상술하기로 한다.The security training server 300 provides a security training management web page and a security training execution web page to the security training manager terminal 200. This security training management web page refers to a web page where security training schedule and security training target persons can be registered, and the security training execution web page is a security training management web page in which a security vulnerability of a security training target is detected according to a security vulnerability analyzed through security vulnerability analysis contents A web page that provides training content that can be trained in a 1: 1 personalized security vulnerability. This security training server 300 will be described in detail with reference to FIG.

보안 훈련 대상자 단말기(400)는, 보안 취약점을 훈련받는 보안 훈련 대상자가 사용하는 단말기로서, 데스크탑 PC, 노트북, 스마트폰, 태블릿 PC 등이 해당될 수 있다. 보안 훈련 대상자 단말기(400)는, 보안 훈련 실행 웹페이지를 통해 제공되는 보안 취약점 분석 콘텐츠를 실행하여 보안 훈련 대상자의 보안 취약점이 파악될 수 있도록 한다. 또한 보안 훈련 대상자 단말기(400)는, 보안 훈련 실행 웹페이지를 통해 제공되는 보안 취약점 훈련 콘텐츠를 실행하여 보안 훈련 대상자의 보안 취약점을 훈련받을 수 있도록 한다.The security training object terminal 400 may be a desktop PC, a notebook, a smart phone, a tablet PC, or the like, which is used by a security training subject who is trained in a security vulnerability. The security training target terminal 400 executes the security vulnerability analysis content provided through the security training execution web page so that the security vulnerability of the security training target can be grasped. In addition, the security training target terminal 400 executes the security vulnerability training content provided through the security training execution web page so that the security training target terminal 400 can receive the security vulnerability of the security training target.

도 3은 본 발명의 실시예에 따른 보안 훈련 서버의 구성 블록도이며, 도 4는 본 발명의 실시예에 따른 보안 훈련 초기 화면 웹페이지를 도시한 그림이며, 도 5는 본 발명의 실시예에 따른 보안 취약점 분석 웹페이지를 도시한 그림이며, 도 6은 본 발명의 실시예에 따른 보안 취약점 훈련 웹페이지를 도시한 그림이다.FIG. 3 is a block diagram of a security training server according to an exemplary embodiment of the present invention. FIG. 4 is a diagram illustrating a security training initial screen web page according to an exemplary embodiment of the present invention. FIG. 6 is a diagram illustrating a security vulnerability training web page according to an embodiment of the present invention.

보안 훈련 서버(300)는 도 3에 도시한 바와 같이, 콘텐츠 데이터베이스(310), 보안 훈련 관리 웹페이지 생성부(320), 보안 훈련 실행 웹페이지 생성부(330), 로그인 처리부(340), 보안 취약점 분석 콘텐츠 제공부(350), 및 보안 취약점 훈련 콘텐츠 제공부(360)를 포함할 수 있다. 3, the security training server 300 includes a content database 310, a security training management web page generation unit 320, a security training execution web page generation unit 330, a login processing unit 340, A vulnerability analysis content providing unit 350, and a security vulnerability training content providing unit 360.

콘텐츠 데이터베이스(310)는, 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠와, 보안 취약점을 훈련시킬 수 있는 보안 취약점 훈련 콘텐츠를 저장한 데이터베이스이다. 여기서 보안 취약점 분석 콘텐츠는, 문제, 퀴즈 등의 다양한 방식으로 이루어질 수 있으며, 텍스트, 오디오, 사진, 동영상, 가상머신 등의 형태를 가질 수 있다. 보안 대상자의 보안 취약점을 파악할 수 있는 콘텐츠라면 콘텐츠의 종류에 제한이 없다. 또한 보안 취약점 훈련 콘텐츠는, 교육 영상, 교육 오디오, 교육 텍스트, 가상머신 등을 가질 수 있으며, 보안 취약점을 훈련시킬 수 있는 콘텐츠라면 그 종류에 제한이 없다.The content database 310 is a database storing security vulnerability analysis contents for analyzing a security vulnerability and security vulnerability training content for training a security vulnerability. Here, the security vulnerability analysis contents can be formed in various ways such as a problem, a quiz, and the like, and can take the form of text, audio, photograph, video, virtual machine and the like. There is no limit to the type of content that can identify security vulnerabilities of security subjects. In addition, the security vulnerability training contents can have educational video, educational audio, educational text, virtual machine, and the like, provided that the contents can train security vulnerability.

참고로 콘텐츠 데이터베이스(310)는, 하드디스크 드라이브(Hard Disk Drive), SSD 드라이브(Solid State Drive), 플래시메모리(Flash Memory), CF카드(Compact Flash Card), SD카드(Secure Digital Card), SM카드(Smart Media Card), MMC 카드(Multi-Media Card) 또는 메모리 스틱(Memory Stick) 등 정보의 입출력이 가능한 모듈로서 장치의 내부에 구비되어 있을 수도 있고, 별도의 장치에 구비되어 있을 수도 있다.For reference, the content database 310 includes a hard disk drive, an SSD drive, a flash memory, a CF card, an SD card (Secure Digital Card), a SM A module capable of inputting and outputting information such as a card (Smart Media Card), an MMC card (Multi-Media Card), or a memory stick, or may be provided in a separate device.

보안 훈련 관리 웹페이지 생성부(320)는, 보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 보안 훈련 관리 웹페이지를 생성한다. 로그인된 사용자가 보안 훈련 관리자인 경우 보안 훈련 관리 웹페이지를 제공한다. 따라서 보안 훈련 관리자는 보안 훈련 관리 웹페이지를 통하여 보안자격 레벨별 보안 훈련일정 및 계획을 수립하고, 아울러 보안 취약점 분석 콘텐츠와 보안 취약점 분석 콘텐츠를 업데이트할 수 있다.The security training management web page generating unit 320 generates a security training management web page capable of registering a security training schedule and a security training target. If the logged in user is a security training manager, provide a security training management web page. Accordingly, the security training manager can establish security training schedule and plan for each security level through the security training management web page, and update security vulnerability analysis contents and security vulnerability analysis contents.

보안 훈련 실행 웹페이지 생성부(330)는, 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠를 제공하여, 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 훈련 실행 웹페이지를 생성한다.The security training execution web page generation unit 330 provides a security vulnerability analysis content for analyzing a security vulnerability and is capable of training a security vulnerability of a security training target according to a security vulnerability analyzed through the security vulnerability analysis content. 1 Create a security training execution web page that provides personalized security vulnerability training content.

이러한 보안 훈련 실행 웹페이지는, 복수개의 웹페이지로 구현될 수 있는데, 보안 훈련 초기 화면 웹페이지(도 4), 보안 취약점 분석 웹페이지(도 5), 및 보안 취약점 훈련 웹페이지(도 6)으로 구성될 수 있다.Such a security training execution web page can be implemented as a plurality of web pages. The security training execution web page (FIG. 4), the security vulnerability analysis web page (FIG. 5), and the security vulnerability training web page Lt; / RTI >

보안 훈련 초기 화면 웹페이지는, 보안 취약점 분석, 보안 취약점 훈련을 선택받을 수 있도록 하는 초기 화면이다. 도 4를 참조하면 보안 훈련 초기 화면 웹페이지는, 로그인된 보안 훈련 대상자의 보안 훈련량을 나타내는 보안 훈련 성취도가 표시되는 보안 훈련 대상자 성취도 표시 필드(41)와, 보안 취약점 분석 훈련에 참여할 수 있는 보안 훈련 대상자의 자격 검증 레벨을 표시하는 보안 훈련 대상자 자격 검증 레벨 표시 필드(42)와, 로그인된 보안 훈련 대상자의 보안 분야별 보안 등급을 표시한 보안 등급 표시 필드(43)와, 보안 취약점 분석 훈련의 참여 히스토리를 표시한 보안 취약점 분석 훈련 히스토리 표시 필드(44)를 포함할 수 있다.Security training initial screen Web page is an initial screen that allows selection of security vulnerability analysis and security vulnerability training. 4, the security training initial screen web page includes a security training subject achievement display field 41 in which a security training achievement indicating a security training amount of a logged-in security training subject is displayed and a security training target achievement display field 41, A security training target eligibility verification level display field 42 for displaying a qualification verification level of the subject, a security level display field 43 for indicating a security level for each security subject of the logged-in security training subject, And a security vulnerability analysis training history display field 44 indicating the security vulnerability analysis.

보안 훈련 대상자 성취도 표시 필드(41)에 표시되는 보안 훈련 성취도는, 보안 훈련 대상자의 취약점 분석 훈련 성취도를 시각적으로 표시하는 필드로서, 보안 훈련 대상자의 기본 정보와, 훈련 마스터 달성까지의 성취도를 표시한다.The security training achievement displayed in the security training subject achievement display field 41 is a field for visually displaying the vulnerability analysis training achievement of the security training target person and displays basic information of the security training target person and achievement level until the training master is achieved .

또한 보안 훈련 대상자 자격 검증 레벨 표시 필드(42)에 표시되는 자격 검증 레벨은, 실시되는 자격 검증 회차에 따라서 자격검증 분야/등급이 달라지기 때문에 보안 훈련 대상자에 따라서 자격검증 일정이 달라진다. 또한 보안 훈련 대상자 개인 맞춤형 자격검증 일정 및 응시를 안내한다. 또한 자격 검증 레벨은, 각 운영체계별로 자격 검증 레벨이 표시되도록 하여, 운영체계마다의 보안 훈련 대상자의 자격 검증 레벨이 표시되도록 한다. 참고로 여기서 자격 검증 레벨은, 보안 취약점 훈련을 응시할 수 있는 자격의 레벨을 말한다.In addition, the qualification verification level displayed in the security training subject qualification verification level display field (42) varies depending on the subject of the security training because the qualification verification field / grade is changed according to the qualification verification sequence performed. In addition, it will guide the personalized qualification verification schedule and candidates for security training subjects. In addition, the qualification verification level is to display the qualification verification level for each operating system, so that the level of qualification verification of the security training target for each operating system is displayed. For reference, the qualification level here refers to the level of eligibility to take security vulnerability training.

또한 보안 등급 표시 필드(43)에 표시되는 보안 분야별 보안 등급은, 보안 훈련 대상자의 훈련 분야별 개인 보안 등급을 표시한 필드이다. 예컨대, 보안 취약점 분석 훈련은 4분야로 이루어져 있으며 분야별 성취도에 따라서 초급/중급/고급으로 분류될 수 있다. 또한 분야별 자격검증을 통해 일정 수준 이상의 성취도 달성시에 승급이 가능하며, 4분야 고급 달성 시에 정보 마스터 자격 검증 응시 자격이 주어진다.The security level for each security field displayed in the security level display field 43 is a field for indicating the personal security level of each security training subject. For example, the security vulnerability analysis training consists of four disciplines and can be classified as beginner / intermediate / advanced according to achievement in each field. In addition, it is possible to upgrade to achieve a certain level of achievement through field qualification verification.

보안 취약점 분석 훈련 히스토리 표시 필드(44)는, 개인별 자격 검증, 보안 취약점 분석 훈련의 참여 이력을 표시한다. 이밖에 자격검증 응시 이력 및 응시 여부, 승급 여부, 보안등급 등의 이력 조회, 상세 이력 조회 등을 제공한다.The security vulnerability analysis training history display field 44 indicates the history of participation in individual qualification verification and security vulnerability analysis training. In addition, it provides history of qualification verification examination and examination, history of upgrading status, security level, and detailed history inquiry.

보안 취약점 분석 웹페이지는, 보안 취약점 분석이 선택된 경우, 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 제공한다. 도 5를 참조하여 보안 취약점 분석 웹페이지를 설명하면, 보안 취약점 분석 웹페이지는, 보안 분야별로 보안 취약점 분석을 위한 보안 취약점 분석 콘텐츠를 실행시킬 수 있는 보안 취약점 분석 콘텐츠 실행 버튼(51)이 마련된다. 따라서 보안 취약점 분석 콘텐츠 실행 버튼(51)이 선택되면, 보안 훈련 서버(300)에서 제공하는 보안 취약점 분석 콘텐츠인 가상 머신에 접속하여 보안 취약점을 분석받을 수 있다. 즉, 분야별 보안 취약점 문제 및 각 문제에 해당하는 가상운영환경을 제공하여 취약점 분석 트레이닝 환경을 구성하고, 답과 해설을 제공하여 실제 문제에 대한 자기 훈련이 가능하도록 한다.The Security Vulnerability Analysis Web page provides security vulnerability analysis contents that can perform security vulnerability analysis when security vulnerability analysis is selected. Referring to FIG. 5, the security vulnerability analysis web page is provided with a security vulnerability analysis content execution button 51 for executing security vulnerability analysis content for security vulnerability analysis according to security fields . Accordingly, when the security vulnerability analysis content execution button 51 is selected, the security vulnerability analysis server can access the virtual machine, which is the security vulnerability analysis content provided by the security training server 300, and analyze the security vulnerability. In other words, the vulnerability analysis training environment is provided by providing the virtual operating environment corresponding to each problem and the problem of security vulnerability in each field, and the self-training of the actual problem is made possible by providing answers and commentary.

보안 취약점 훈련 웹페이지는, 보안 훈련 대상자로부터 보안 취약점 훈련이 선택된 경우, 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 웹페이지이다.The security vulnerability training web page is a 1: 1 personalized vulnerability training that can train the security vulnerability of the security training subject according to the security vulnerability analyzed through the security vulnerability analysis contents when the security vulnerability training is selected from the security training subject A web page that provides content.

보안 취약점 훈련 웹페이지를 도 6에 도시하였는데, 보안 취약점 훈련 페이지는, 각 운영체계별로 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 복수개의 가상운영체계머신인 보안 취약점 훈련 콘텐츠가 아이콘 형태로 표시된다. 가상운영체계머신은, WINDOW, LINUX 등과 같은 운영체계(Operating System)를 가상의 환경에서 동작하는 것처럼 보이도록 하는 가상머신으로서, 보안 훈련 대상자 단말기(400)를 선택된 가상운영체계머신의 운영체계로서 동작하는 것처럼 구현할 수 있다.The security vulnerability training web page is shown in FIG. 6, where the security vulnerability training page is displayed in the form of an icon in the form of a plurality of virtual operating system machines capable of training security vulnerability of each security target for each operating system . The virtual operating system machine is a virtual machine that makes an operating system such as WINDOW, LINUX, and the like appear to operate in a virtual environment. The virtual operating system machine operates as the operating system of the selected virtual operating system machine As shown in Fig.

이러한 가상운영체계머신은, 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 파악된 보안 훈련 대상자의 보안 취약점에 관련된 가상운영체계머신일 수 있다. 예를 들어, 보안 훈련 대상자의 보안 취약점이 WINDOW의 운영체계상에서 감염된 시스템 파일의 복구 작업에 취약점이 있을 경우, 가상운영체계머신은 WINDOW 시스템 파일을 정상으로 복구시키도록 훈련시키는 가상운영체계머신일 수 있다. 참고로, 가상운영체계머신에 접속시에 미리 안내된 ID/PW를 이용하여 가상운영체계머신에 접속할 수 있다.Such a virtual operating system machine may be a virtual operating system machine related to a security vulnerability of a security training target identified according to a test result of a security vulnerability analysis content of a security training target. For example, if the security vulnerability of a security training target is vulnerable to recovery of infected system files on WINDOW's operating system, the virtual operating system machine may be a virtual operating system machine that trains the WINDOW system file to restore normal operation. have. For reference, when accessing a virtual operating system machine, it is possible to connect to a virtual operating system machine using the ID / PW previously provided.

한편, 보안 취약점 훈련 콘텐츠가 가상운영체계머신으로 제공될 경우, 보안 훈련 대상자별로 1:1로 배정되도록 구현한다. 따라서 이러한 가상운영체계머신의 보안 취약점 훈련 콘텐츠는 복수개로 마련되어 있어 다른 보안 훈련 대상자에 의해 1:1로 사용되고 있는 경우 용이하게 식별할 수 있도록 아이콘의 표시 형태를 다르게 표시하는데, 가상운영체계머신의 이용 현황을 아이콘화해서 제공한다. 즉, 사용가능/사용중/초기화를 각각 다른 아이콘 형태로 표시한다.On the other hand, when the security vulnerability training content is provided to the virtual operating system machine, the security vulnerability training content is allocated to 1: 1 for each security training target person. Therefore, a plurality of security vulnerability training contents of the virtual operating system machine are provided, and the display form of the icon is displayed differently so that it can be easily identified when the security training target person is used by 1: 1. Provide iconized status. In other words, the available / in use / initialized are displayed in the form of different icons.

이를 위해, 다른 보안 훈련 대상자 단말기(400)들에 의해 접속되어 있지 않은 아이들(idle) 상태인 경우, 구동 가능 상태임을 알리는 사용 가능 아이콘 형태로 표시하며, 다른 보안 훈련 대상자 단말기(400)에 의해 구동되고 있는 경우, 사용중임을 알리는 사용중 아이콘 형태로 표시하며, 다른 보안 훈련 대상자 단말기(400)에 의해 구동된 후 종료되어 리셋이 진행되는 경우 리셋 상태임을 알리는 리셋 아이콘 형태로 표시한다.For this, in the idle state that is not connected by the other security training target terminals 400, it is displayed in the form of a usable icon indicating that it is in a driveable state, And displays the icon in the form of a reset icon indicating that the terminal is in a reset state when the terminal is operated after being driven by another security training subject terminal 400 and the reset progresses.

한편, 로그인 처리부(340)는, 보안 훈련 관리자의 로그인 정보와 보안 훈련 대상자의 로그인 정보를 저장하고 있으며, 사용자의 로그인 처리를 수행한다. 따라서 보안 훈련 서버(300)에 접속한 사용자가 보안 훈련 관리자의 로그인 정보로서 로그인하는 경우, 보안 훈련 관리자 단말기(200)가 로그인하였다고 파악할 수 있으며, 접속한 사용자가 보안 훈련 대상자의 로그인 정보로서 로그인하는 경우, 보안 훈련 대상자 단말기(400)가 로그인하였다고 파악할 수 있다. 따라서 로그인된 단말기가 보안 훈련 관리자 단말기(200)인 경우 보안 훈련 관리 웹페이지를 제공하며, 로그인된 단말기가 보안 훈련 대상자 단말기(400)인 경우 보안 훈련 실행 웹페이지를 제공할 수 있다.On the other hand, the login processing unit 340 stores the login information of the security training manager and the login information of the security training person, and performs the login process of the user. Therefore, when the user who is connected to the security training server 300 logs in as the login information of the security training manager, it can be determined that the security training administrator terminal 200 is logged in. When the user who is connected is logged in as the login information of the security training person , It can be determined that the security training subject terminal 400 has logged in. Accordingly, the security training manager terminal 200 provides the security training management web page when the logged-in terminal is the security training manager terminal 200, and provides the security training execution web page when the terminal is the security training target terminal 400.

보안 취약점 분석 콘텐츠 제공부(350)는, 보안 훈련 실행 웹페이지를 통해 보안 취약점 분석이 선택된 경우, 보안 훈련 대상자의 자격 레벨에 맞는 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 보안 훈련 대상자 단말기(400)에 제공한다. 또한 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 보안 훈련 대상자의 보안 취약점을 파악한다. 예를 들어, 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적이 다른 보안 훈련 대상자의 평균값보다 낮은 시험 성적을 가지는 보안 분야가 있는 경우, 해당 보안 분야를 보안 취약점 분야로 파악할 수 있다.When the security vulnerability analysis is selected through the security training execution web page, the security vulnerability analysis content providing unit 350 transmits the security vulnerability analysis content, which can analyze the security vulnerability according to the qualification level of the security training target person, 400. Also, security vulnerability of security training target is identified according to test result of security vulnerability analysis contents of security training target. For example, if there is a security field in which the test scores of the security vulnerability analysis contents of the security training subject are lower than the average value of the subjects of the other security training subjects, the security field may be identified as the security vulnerability field.

보안 취약점 훈련 콘텐츠 제공부(360)는, 보안 훈련 실행 웹페이지를 통해 보안 취약점 훈련이 선택된 경우, 보안 취약점 분석 콘텐츠 제공부(350)를 통해 파악된 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 보안 훈련 대상자 단말기(400)에 제공한다. 따라서 도 6에 도시한 각 운영체계별로 복수개의 가상운영체계머신이 제공되며, 보안 훈련 대상자마다 1;1로 할당되어 구동될 수 있다.When the security vulnerability training is selected through the security training execution web page, the security vulnerability training content providing unit 360 generates a security vulnerability training content 1 (1) capable of training the security vulnerability of the security training target identified through the security vulnerability analysis content providing unit 350 : Provides one personalized security vulnerability training content to the security training target terminal (400). Accordingly, a plurality of virtual operating system machines are provided for each of the operating systems shown in FIG. 6, and may be assigned 1: 1 for each security training subject.

상술한 본 발명의 설명에서의 실시예는 여러가지 실시가능한 예중에서 당업자의 이해를 돕기 위하여 가장 바람직한 예를 선정하여 제시한 것으로, 이 발명의 기술적 사상이 반드시 이 실시예만 의해서 한정되거나 제한되는 것은 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 다양한 변화와 변경 및 균등한 타의 실시예가 가능한 것이다.The embodiments of the present invention described above are selected and presented in order to facilitate the understanding of those skilled in the art from a variety of possible examples. The technical idea of the present invention is not necessarily limited to or limited to these embodiments Various changes, modifications, and other equivalent embodiments are possible without departing from the spirit of the present invention.

200:보안 훈련 관리자 단말기 400:보안 훈련 대상자 단말기
300:보안 훈련 서버 310:콘텐츠 데이터베이스
320:보안 훈련 관리 웹페이지 생성부
330:보안 훈련 실행 웹페이지 생성부
340:로그인 처리부
350:보안 취약점 분석 콘텐츠 제공부
360:보안 취약점 훈련 콘텐츠 제공부200: security training manager terminal 400: security training target terminal
300: security training server 310: content database
320: security training management web page generation unit
330: Security training execution web page generation unit
340:
350: Security Vulnerability Analysis Content Offering
360: Security Vulnerability Training Content Offering

Claims (10)

보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 보안 훈련 관리 웹페이지를 보안 훈련 관리자 단말기에 제공하고, 보안 취약점을 분석하는 보안 취약점 분석 콘텐츠와, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 훈련 실행 웹페이지를 보안 훈련 대상자 단말기에 제공하는 보안 훈련 서버;
보안 취약점을 훈련받는 보안 훈련 대상자가 사용하는 단말기로서, 상기 보안 훈련 실행 웹페이지를 통해 제공되는 상기 보안 취약점 분석 콘텐츠 및 보안 취약점 훈련 콘텐츠를 재생하는 보안 훈련 대상자 단말기; 및
보안 훈련 일정을 수립하는 보안 훈련 관리자가 사용하는 단말기로서, 상기 보안 훈련 관리 웹페이지를 통해 상기 보안 취약점 분석 콘텐츠, 보안 취약점 훈련 콘텐츠, 및 보안 훈련 일정을 상기 보안 훈련 서버에 등록하는 보안 훈련 관리자 단말기;를 포함하며,
상기 보안 훈련 서버는,
보안 취약점을 분석하는 보안 취약점 분석 콘텐츠와, 보안 취약점을 훈련시킬 수 있는 보안 취약점 훈련 콘텐츠를 저장한 콘텐츠 데이터베이스;
보안 훈련 일정과 보안 훈련 대상자를 등록받을 수 있는 보안 훈련 관리 웹페이지를 생성하는 보안 훈련 관리 웹페이지 생성부; 및
보안 취약점을 분석하는 보안 취약점 분석 콘텐츠를 제공하여, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 훈련 실행 웹페이지를 생성하는 보안 훈련 실행 웹페이지 생성부;를 포함하며,
상기 보안 훈련 실행 웹페이지는,
보안 취약점 분석, 보안 취약점 훈련을 선택받는 보안 훈련 초기화면 웹페이지; 상기 보안 취약점 분석이 선택된 경우, 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 제공하는 보안 취약점 분석 웹페이지; 및 상기 보안 취약점 훈련이 선택된 경우, 상기 보안 취약점 분석 콘텐츠를 통해 분석된 보안 취약점에 따라서 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 제공하는 보안 취약점 훈련 웹페이지;를 포함하며,
상기 보안 훈련 초기화면 웹페이지는,
로그인된 보안 훈련 대상자의 보안 훈련량을 나타내는 보안 훈련 성취도가 표시되는 보안 훈련 대상자 성취도 표시 필드; 보안 취약점 분석 훈련에 참여할 수 있는 보안 훈련 대상자의 자격 검증 레벨을 표시하는 보안 훈련 대상자 자격 검증 레벨 표시 필드; 로그인된 보안 훈련 대상자의 보안 분야별 보안 등급을 표시한 보안 등급 표시 필드; 및 보안 취약점 분석 훈련의 참여 히스토리를 표시한 보안 취약점 분석 훈련 히스토리 표시 필드;를 포함하는 보안 취약점 훈련 시스템.
A security training management web page that allows a security training schedule and a security training management web page to be registered for a security training target person to be provided to a security training manager terminal and which includes security vulnerability analysis contents for analyzing a security vulnerability, A security training server for providing a security training execution web page to a security training subject terminal, the security training server providing a 1: 1 personalized security vulnerability training content capable of training a security training subject's security vulnerability;
A terminal for use in a security training target who is trained as a security vulnerability, comprising: a security training target terminal for playing the security vulnerability analysis content and security vulnerability training content provided through the security training execution web page; And
A terminal used by a security training manager for establishing a security training schedule, the terminal comprising: a security training manager terminal for registering the security vulnerability analysis content, the security vulnerability training content, and a security training schedule on the security training server through the security training management web page; ≪ / RTI >
The security training server,
A content database storing security vulnerability analysis contents analyzing security vulnerability and security vulnerability training content capable of training security vulnerability;
A security training management web page generating unit for generating a security training management web page capable of registering a security training schedule and a security training target; And
Providing a security vulnerability analysis content analyzing a security vulnerability and providing a 1: 1 personalized security vulnerability training content capable of training a security vulnerability of a security training subject according to a security vulnerability analyzed through the security vulnerability analysis content And a security training execution web page generation unit for generating a security training execution web page,
The security training execution web page includes:
Security screening security vulnerability analysis, security vulnerability training initial screen Web page; A security vulnerability analysis web page that provides a security vulnerability analysis content capable of analyzing a security vulnerability analysis when the security vulnerability analysis is selected; And a security vulnerability training content providing training content of 1: 1 customized security vulnerability training that can train a security vulnerability of a security training subject according to a security vulnerability analyzed through the security vulnerability analysis content, Page, < / RTI >
The security training initial screen web page includes:
A security training target achievement display field in which a security training achievement indicating a security training amount of a logged-in security training target is displayed; A security training target eligibility verification level display field indicating a qualification verification level of a security training subject who can participate in the security vulnerability analysis training; A security level display field indicating the security level of the security subject of the logged in security training subject; And a security vulnerability analysis training history display field indicating a history of participation in the security vulnerability analysis training.
청구항 1에 있어서,
상기 보안 훈련 서버는,
보안 훈련 관리자의 로그인 정보와 보안 훈련 대상자의 로그인 정보를 저장하여 사용자의 로그인 처리를 수행하며, 로그인된 단말기가 보안 훈련 관리자 단말기인 경우 상기 보안 훈련 관리 웹페이지를 제공하며, 로그인된 단말기가 보안 훈련 대상자 단말기인 경우 상기 보안 훈련 실행 웹페이지를 제공하는 로그인 처리부;
상기 보안 훈련 실행 웹페이지를 통해 보안 취약점 분석이 선택된 경우, 보안 훈련 대상자의 자격 레벨에 맞는 보안 취약점 분석을 할 수 있는 보안 취약점 분석 콘텐츠를 상기 보안 훈련 대상자 단말기에 제공하며, 보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 보안 훈련 대상자의 보안 취약점을 파악하는 보안 취약점 분석 콘텐츠 제공부; 및
상기 보안 훈련 실행 웹페이지를 통해 보안 취약점 훈련이 선택된 경우, 상기 보안 취약점 분석 콘텐츠 제공부를 통해 파악된 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 1:1 개인 맞춤형의 보안 취약점 훈련 콘텐츠를 상기 보안 훈련 대상자 단말기에 제공하는 보안 취약점 훈련 콘텐츠 제공부;
를 더 포함하는 보안 취약점 훈련 시스템.
The method according to claim 1,
The security training server,
The security training manager manages the login information of the security training manager and the login information of the security training person to perform a login process of the user, provides the security training management web page when the logged-in terminal is the security training manager terminal, A login processing unit for providing the security training execution web page in the case of a target terminal;
Providing a security vulnerability analysis content capable of performing a security vulnerability analysis according to a qualification level of a security training target to the security training target terminal when the security vulnerability analysis is selected through the security training execution web page, Analyzing contents of security vulnerability analyzing contents to identify security vulnerability of security target subject according to test result of content; And
A security vulnerability analysis unit configured to detect a vulnerability of the security vulnerability of the security training target through the security training execution web page when the security vulnerability training is selected through the security training execution web page, A security vulnerability training content providing unit for the target terminal;
Further comprising a security vulnerability training system.
삭제delete 삭제delete 청구항 1에 있어서, 상기 자격 검증 레벨은,
각 운영체계별로 자격 검증 레벨이 표시되어 있음을 특징으로 하는 보안 취약점 훈련 시스템.
2. The method of claim 1,
Wherein the level of qualification verification is indicated for each operating system.
청구항 1에 있어서, 상기 보안 취약점 분석 웹페이지는,
보안 분야별로 보안 취약점 분석을 위한 보안 취약점 분석 콘텐츠를 실행시킬 수 있는 보안 취약점 분석 콘텐츠 실행 버튼이 마련됨을 특징으로 하는 보안 취약점 훈련 시스템.
The security vulnerability analysis method according to claim 1,
And a security vulnerability analysis content execution button capable of executing a security vulnerability analysis content for security vulnerability analysis for each security field is provided.
청구항 1에 있어서, 상기 보안 취약점 훈련 웹페이지는,
각 운영체계별로 보안 훈련 대상자의 보안 취약점을 훈련시킬 수 있는 보안 취약점 훈련 콘텐츠가 복수개의 가상운영체계머신으로 구현되는 경우, 각 가상운영체계머신이 아이콘 형태로 표시되어 있음을 특징으로 하는 보안 취약점 훈련 시스템.
The system of claim 1, wherein the vulnerability training web page comprises:
Wherein each virtual operating system machine is displayed in the form of an icon when a security vulnerability training content capable of training a security vulnerability of a security training subject is implemented for each operating system by a plurality of virtual operating system machines, system.
청구항 7에 있어서,
가상운영체계머신의 이용 현황을 아이콘화해서 제공함을 특징으로 하는 보안 취약점 훈련 시스템
The method of claim 7,
A security vulnerability training system characterized by providing a status of use of a virtual operating system machine as an icon
청구항 8에 있어서, 상기 보안 취약점 훈련 콘텐츠가 아이콘 형태로 표시되는 것은,
다른 보안 훈련 대상자 단말기들에 의해 접속되어 있지 않은 아이들(idle) 상태인 경우, 구동 가능 상태임을 알리는 사용 가능 아이콘 형태로 표시하며,
다른 보안 훈련 대상자 단말기에 의해 구동되고 있는 경우, 사용중임을 알리는 사용중 아이콘 형태로 표시하며,
다른 보안 훈련 대상자 단말기에 의해 구동된 후 종료되어 리셋이 진행되는 경우, 리셋 상태임을 알리는 리셋 아이콘 형태로 표시하는 보안 취약점 훈련 시스템.
The method of claim 8, wherein the security vulnerability training content is displayed in the form of an icon,
Indicating an idle state that is not connected by other security training target terminals, in the form of a usable icon indicating that it is in a drivable state,
When being driven by another security training target terminal, is displayed in the form of an in-use icon indicating that it is in use,
A security vulnerability training system for displaying a reset icon in the form of a reset icon indicating a reset state when the reset operation is terminated after being driven by another security training subject terminal.
청구항 7에 있어서, 상기 가상운영체계머신은,
보안 훈련 대상자의 보안 취약점 분석 콘텐츠의 시험 성적에 따라서 파악된 보안 훈련 대상자의 보안 취약점에 관련된 가상운영체계머신임을 특징으로 하는 보안 취약점 훈련 시스템.8. The system of claim 7,
Wherein the security vulnerability is a virtual operating system machine related to a security vulnerability of a security training target identified according to a test result of a security vulnerability analysis content of a security training target.
KR1020160097956A 2016-08-01 2016-08-01 System for training security weakness KR101725301B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160097956A KR101725301B1 (en) 2016-08-01 2016-08-01 System for training security weakness

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160097956A KR101725301B1 (en) 2016-08-01 2016-08-01 System for training security weakness

Publications (1)

Publication Number Publication Date
KR101725301B1 true KR101725301B1 (en) 2017-04-11

Family

ID=58580876

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160097956A KR101725301B1 (en) 2016-08-01 2016-08-01 System for training security weakness

Country Status (1)

Country Link
KR (1) KR101725301B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102092684B1 (en) * 2020-01-23 2020-03-24 주식회사 두두아이티 Apparatus and method for cyber security training based on random forest
KR102119213B1 (en) 2019-06-13 2020-06-04 (주)에스지시큐리티컨설팅 Platform system for correspondence training of cyber threat
KR102129822B1 (en) * 2020-02-14 2020-07-03 주식회사 두두아이티 Apparatus and method for providing cyber security training content based on virtual machine
KR20220078899A (en) * 2020-12-04 2022-06-13 주식회사 오픈이지 Device and method for secure coding training based on web integrated development environment
KR20220085634A (en) * 2020-12-15 2022-06-22 빅픽쳐스 주식회사 National competency standards based driving machine training system in virtual reality enviroment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070046170A1 (en) 2005-08-24 2007-03-01 Kabushiki Kaisha Toshiba Cold cathode for discharge lamp having diamond film
KR101389706B1 (en) * 2013-09-06 2014-04-29 (주)씨드젠 Education and training system and education and training method thereof
KR101534194B1 (en) * 2014-12-08 2015-07-08 한국인터넷진흥원 cybersecurity practical training system and method that reflects the intruder behavior patterns

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070046170A1 (en) 2005-08-24 2007-03-01 Kabushiki Kaisha Toshiba Cold cathode for discharge lamp having diamond film
KR101389706B1 (en) * 2013-09-06 2014-04-29 (주)씨드젠 Education and training system and education and training method thereof
KR101534194B1 (en) * 2014-12-08 2015-07-08 한국인터넷진흥원 cybersecurity practical training system and method that reflects the intruder behavior patterns

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
이봉환. 클라우딩 컴퓨팅을 이용한 가상 컴퓨터 교육 시스템 설계 및 구현. 한국정보통신학회논문지. 한국정보통신학회. 2011.09. pp.1910-1917.* *
정보통신정책연구원. 정보보호기술훈련장 구축 결과보고서. 정보통신산업진흥원. 2001년.* *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102119213B1 (en) 2019-06-13 2020-06-04 (주)에스지시큐리티컨설팅 Platform system for correspondence training of cyber threat
KR102092684B1 (en) * 2020-01-23 2020-03-24 주식회사 두두아이티 Apparatus and method for cyber security training based on random forest
KR102129822B1 (en) * 2020-02-14 2020-07-03 주식회사 두두아이티 Apparatus and method for providing cyber security training content based on virtual machine
KR20220078899A (en) * 2020-12-04 2022-06-13 주식회사 오픈이지 Device and method for secure coding training based on web integrated development environment
KR102512132B1 (en) * 2020-12-04 2023-03-22 주식회사 오픈이지 Device and method for secure coding training based on web integrated development environment
KR20220085634A (en) * 2020-12-15 2022-06-22 빅픽쳐스 주식회사 National competency standards based driving machine training system in virtual reality enviroment
KR102541767B1 (en) 2020-12-15 2023-06-12 빅픽쳐스 주식회사 National competency standards based driving machine training system in virtual reality enviroment

Similar Documents

Publication Publication Date Title
KR101725301B1 (en) System for training security weakness
Beckers et al. A serious game for eliciting social engineering security requirements
Crager et al. Information leakage through mobile motion sensors: User awareness and concerns
Brotherston et al. Defensive security handbook: best practices for securing infrastructure
Neumann et al. Helios verification: To alleviate, or to nominate: Is that the question, or shall we have both?
Das et al. User-centered risk communication for safer browsing
CN110782376A (en) Examination anti-cheating method and device, electronic device and storage medium
CN106060092A (en) Enterprise object-oriented information interaction method, device and system for education system
CN104468486A (en) Information processing method and system and electronic device
Takata et al. Confront phishing attacks—from a perspective of security education
KR101854981B1 (en) Method for generating data set for cyber warface exercise and technology verification and apparatus thereof
CN104394230B (en) The method, apparatus and system that a kind of information is presented
Alotaibi Evaluation and enhancement of public cyber security awareness
Tsado et al. Exploring careers in cybersecurity and digital forensics
Mohd Ariffin et al. Deployment of Honeypot and SIEM Tools for Cyber Security Education Model in UITM.
Chapple et al. CompTIA PenTest+ Study Guide: Exam PT0-001
KR102290468B1 (en) System for managing online learning
Mushtaq Cybersecurity in the technology subject from the Swedish perspective: investigation, analysis, and evaluation tool
Eze et al. CAP: Patching the Human Vulnerability
Ciampa et al. SECURITY ACROSS THE CURRICULUM: IMPLEMENTATION IN A DATA ANALYTICS PROGRAM.
Hansen et al. Transparency tools for user-controlled identity management
Omotosho et al. A Gamified Technique to Improve Users’ Phishing and Typosquatting Awareness
Hyytiäinen Sharing cyber threat intelligence in cyber exercise: Does controlled sharing of threat intelligence improve situation awareness?
Alashwali Incorporating hacking projects in computer and information security education: an empirical study
Goodman Predicting the PEBCAK: A quantitative analysis of how cybersecurity education, literacy, and awareness affect individual preparedness.

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200120

Year of fee payment: 4