KR101548138B1 - 정보보안 증적 추적 시스템 및 방법 - Google Patents

정보보안 증적 추적 시스템 및 방법 Download PDF

Info

Publication number
KR101548138B1
KR101548138B1 KR1020090037261A KR20090037261A KR101548138B1 KR 101548138 B1 KR101548138 B1 KR 101548138B1 KR 1020090037261 A KR1020090037261 A KR 1020090037261A KR 20090037261 A KR20090037261 A KR 20090037261A KR 101548138 B1 KR101548138 B1 KR 101548138B1
Authority
KR
South Korea
Prior art keywords
rule
monitoring
information
security
log
Prior art date
Application number
KR1020090037261A
Other languages
English (en)
Other versions
KR20100118422A (ko
Inventor
전현철
이기혁
Original Assignee
에스케이텔레콤 주식회사
에스케이플래닛 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사, 에스케이플래닛 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020090037261A priority Critical patent/KR101548138B1/ko
Publication of KR20100118422A publication Critical patent/KR20100118422A/ko
Application granted granted Critical
Publication of KR101548138B1 publication Critical patent/KR101548138B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 정보보안 증적 추적 시스템 및 방법에 관한 것으로서, 복수의 서로 다른 종류의 서비스 서버로부터 수집된 로그 정보를 모니터링 하기 위한 것을 목적으로 하여, 복수의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 룰 간의 관계를 나타내는 시나리오를 생성하여, 생성된 룰과 시나리오를 기초로 사용자의 정보 유출을 감시하기 때문에, 로그 정보를 모니터링 하여 증적 자료를 확보하고, 이에 더하여 정보 유출이 의심되는 사용자를 보다 집중적으로 모니터링 할 수 있다는 효과를 기대할 수 있다.

Description

정보보안 증적 추적 시스템 및 방법{System and Method for Tracing Signature Security Information}
본 발명은 정보보안 증적 추적 시스템 및 방법에 관한 것으로서, 보다 상세하게는 내부 정보 유출을 방지하기 위하여 복수의 서버로부터 로그 정보를 수집하고, 이를 이용하여 분석 기준을 설정한 후, 설정된 분석 기준에 따라 로그 정보를 모니터링 하여 증적 자료를 확보하고, 이에 더하여 정보 유출이 의심되는 사용자를 보다 집중적으로 모니터링 할 수 있도록 하기 위한 정보보안 증적 추적 시스템 및 방법에 관한 것이다.
내부 정보 유출 방지라는 의미는 근래에 들어 활성화된 개념으로 동일한 명칭 하에 다양한 제품 군들이 존재한다.
예를 들어, 문서보안 제품군도 내부 정보 유출 방지라는 명칭을 사용하고, PC 보안, 메일 모니터링 심지어 USB까지도 내부 정보 유출 방지라 표현한다.
그러나, 기업에서 지칭하는 내부 정보는 상당히 광범위한 개념으로 광의적으로 해석한다면, 기업 내에서 구성원에 의해 생성된 모든 정보로 볼 수 있으며, 보다 소극적으로 해석한다면, 기업 내에서 구성원에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서라고 볼 수 있다.
현재, 상술한 정보들을 보다 체계적으로 감시하고, 이상이 발생하는 경우 해당 근거를 생성하는 기술이 제공되고 있지 않은 실정이다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 복수의 서로 다른 종류의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시하기 위한 정보보안 증적 추적 시스템 및 방법을 제공하는데 그 기술적 과제가 있다.
또한, 본 발명은 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하기 위한 것이다.
이에 더하여, 본 발명은 보안 사고 발생 시, 원인을 보다 신속하고 정확하게 도출할 수 있도록 하기 위한 것이다.
또한, 본 발명은 보안 아웃 소싱 인력의 비정상 업무 패턴을 모니터링 할 수 있도록 하고, 모니터링 결과 이상 징후가 포착되거나 정보 유출이 식별되면 관련 증적 자료를 수집하여 근거를 제시할 수 있도록 하기 위한 것이다.
본 발명은 정보 수집대상이 되는 단위 보안 장비의 종류가 서로 상이하고 분석관점에서 외부로부터의 침입이 아닌 내부로부터의 정보 유출을 감지할 수 있도록 하기 위한 것이다.
상술한 목적을 달성하기 위한 본 발명의 정보보안 증적 추적 시스템은 복수의 서비스 서버로부터 전송되는 로그 정보를 수집하여 케이스별로 조합한 후 케이스별 룰을 생성하고, 복수의 룰간 관계를 기초로 시나리오를 생성한 후, 생성된 케이스별 룰과 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 정보보안 증적 추적 서버; 및
정보보안 증적 추적 서버로부터 전송되는 분석 결과를 기초로 복수의 서비스 서버에 대한 관리를 수행하는 운용자 단말기;를 포함한다.
다른 본 발명의 정보보안 증적 추적 서버는 통신망을 통해 통신을 수행하기 위한 통신 인터페이스부;
복수의 서비스 서버로부터 로그 정보를 수집하는 로그 정보 수집부;
상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 룰 관련 분석부; 및
상기 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 시나리오 관련 분석부;를 포함한다.
상기 정보보안 증적 추적 서버는,
상기 룰 관련 분석부와 시나리오 관련 분석부의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하는 분석 결과 처리부; 및
상기 분석 결과 처리부에 의해서 생성된 분석 결과를 운용자 단말기로 제공하는 분석 결과 제공부;를 더 포함하는 것이 바람직하다.
상기 룰 관련 분석부는,
상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 룰 생성수단;
상기 룰 생성수단에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출하는 모니터링 수단; 및
상기 모니터링 수단에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;을 포함하는 것이 바람직하다.
상기 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된 것이 바람직하다.
상기 기준 룰은, 문서보안 비정상 사용자 룰을 포함하며, 상기 모니터링 수단은, 상기 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰을 포함하며, 상기 모니터링 수단은, 상기 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 보안문서 출력 건수 룰을 포함하며, 상기 모니터링 수단은, 상기 보안문서 출력 건수 룰의 감시 기준에 따라, 업무시간 중 기준 횟수 이상 보안문서를 출력, 업무 외 시간에 기준 횟수 이상 보안문서를 출력, VPN 접근을 통해 보안문서를 출력, 집중관리대상자 기준 횟수 이상 보안문서 출력한 경우를 보안문서 출력 건수 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, IP 변경 시도 룰을 포함하며, 상기 모니터링 수단은, 상기 IP 변경 시도 룰의 감시 기준에 따라, IP 변경금지 대상자 중 임의로 IP 변경을 기준 횟수 이상 시도한 자를 IP 변경 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, VPN 사용자 로그인 에러 룰을 포함하며, 상기 모니터링 수단은, 상기 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하고, 해당 내용을 운용자 단말기로 전송하도록 하는 것이 바람직하다.
상기 기준 룰은, 비정상 시간대 VPN 접근 룰을 포함하며, 상기 모니터링 수단은, 상기 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, VPN 접속 과다 데이터 송수신자 룰을 포함하며, 상기 모니 터링 수단은, 상기 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 파일 전송 과다 룰을 포함하며, 상기 모니터링 수단은, 상기 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 특정 사이트 접속 과다 룰을 포함하며, 상기 모니터링 수단은, 상기 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 것이 바람 직하다.
상기 기준 룰은, 발신 링크 첨부파일 다운로드 과도 룰을 포함하며, 상기 모니터링 수단은, 상기 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위반으로 체크하는 것이 바람직하다.
상기 기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰을 포함하며, 상기 모니터링 수단은, 상기 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크하는 것이 바람직하다.
상기 시나리오 관련 분석부는, 상기 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성하는 시나리오 생성수단;
로그 정보 수집부에 의해서 수집된 로그 정보를 상기 시나리오를 이용하여 감시하는 모니터링 수단; 및
상기 모니터링 수단에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;을 포함하는 것이 바람직하다.
상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며,
상기 PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타내는 것이 바람직하다.
상기 시나리오는 심각도 기준을 포함하며,
상기 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분되는 것이 바람직하다.
또 다른 본 발명은 복수의 서비스 서버와 연결되어 정보보안을 수행하는 정보보안 증적 추적 서버에서 정보보안 증적을 추적하는 방법으로서,
a) 정보보안 증적 추적 서버가 복수의 서비스 서버로부터 로그 정보를 수집하는 단계;
b) 정보보안 증적 추적 서버가 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 단계;
c) 상기 기준 룰을 기초로 실시간으로 수집되는 로그 정보를 감시하는 단계; 및
d) 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기로 전송하는 단계;를 포함한다.
상기 b) 단계 이후 c) 단계 이전에, 정보보안 증적 추적 서버가 상기 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성하는 단계;를 더 포함하며, 상기 c) 단계에서, 로그 정보를 감시할 때, 상기 시나리오를 감시 기준으로 적용하는 것이 바람직하다.
상술한 바와 같이 본 발명의 정보보안 증적 추적 시스템 및 방법은 복수의 서로 다른 종류의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시할 수 있다는 효과를 기대할 수 있다.
또한, 본 발명은 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하기 때문에, 보다 정확한 감시를 수행할 수 있다는 장점이 있다.
이에 더하여, 본 발명은 보안 사고 발생 시, 원인을 보다 신속하고 정확하게 도출할 수 있다는 장점이 있다.
또한, 본 발명은 보안 아웃소싱 인력의 비정상 업무 패턴을 모니터링 할 수 있도록 하고, 모니터링 결과 이상 징후가 포착되거나 정보 유출이 식별되면 관련 증적 자료를 수집하여 근거를 제시할 수 있다는 장점이 있다.
본 발명은 정보 수집대상이 되는 단위 보안 장비의 종류가 서로 상이하고 분 석관점에서 외부로부터의 침입이 아닌 내부로부터의 정보 유출을 감지할 수 있다는 효과를 기대할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 보다 상세히 설명하기로 한다.
도 1은 본 발명에 의한 정보보안 증적 추적 시스템의 구성을 나타내는 도면이다.
도시하는 것과 같이, 본 발명의 정보보안 증적 추적 시스템은 복수의 서비스 서버(100)로부터 전송되는 로그 정보를 수집하여 케이스별로 조합한 후 케이스별 룰을 생성하고, 복수의 룰간 관계를 기초로 시나리오를 생성한 후, 생성된 케이스별 룰과 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 정보보안 증적 추적 서버(200) 및 정보보안 증적 추적 서버(200)로부터 전송되는 분석 결과를 기초로 복수의 서비스 서버(100)에 대한 관리를 수행하는 운용자 단말기(300)를 포함한다.
도 1에서 개시하는 서비스 서버(100)는 서로 다른 종류의 연동 대상 장비로 본 발명을 적용할 특정 회사와 관련된 내부 서버 또는 외부 서버를 모두 포함하는 의미이다.
예를 들어, 서비스 서버(100)는 문서 보안 서버, 정책 변경 관리 서버, 내부 구성원 인사 정보 관리 서버(IMS), 인사 정보 서버, 대리점 고객정보 유출 감사 서버, 고객정보 전송 관리 서버, PC 보안 서버 등이다.
한편, 정보보안 증적 추적 서버(200)가 상기 서비스 서버(100)로부터 수집한 로그 정보는 일 예로 다음과 같다.
예를 들어, 서비스 서버가 문서 보안 서버일 경우는 다음과 같다.
- 문서보안 로그(사용자 문서보안 활용 로그) : 로그시간, 로그타입아이디_DRM구분, 사용자아이디_사번, PC아이디, 클라이언트 IP, 클라이언트 맥주소, 파일명, 프린터 마킹여부, 프린트 텍스트 파일명, 원본 파일명, 최초생성자 아이디_사번, 문서최초생성시간, 로그업로드시간, 문서 열람자 리스트, 프로세스명, 범주명, 문서타입, 문서등급, 출력카운트, 오프라인로그여부, 로그타입명_DRM 구분명
- 관리자 문서보안 로그(관리자 권한 수행 로그) : 로그시간, 로그타입아이디, 관리자 아이디_사번, 관리자 접속 IP, 관리자 접속 MAC 주소, 대상사용자 ID, 파일명, 원본 파일명, 문서최초 생성자 ID, 문서최초 생성시간, 최근열람자 리스트
- 보안폴터 사용로그 : 로그일시, 로그타입아이디, 로그타입명, 사용자 ID, 대상사용자 ID, 대상경로, 반출사유, 원본파일명, 대상파일명, 문서크기
- 문서보안 매체사용로그 : 사원번호_사용자 ID, 로그일시, MAC 주소, IP주소, PC_ID, 매체종류, 저장경로, 내부외부구분, 파일크기, 로그생성일자
- 로그인정보 로그 : 로그시간, 사용자 ID, 사용자 PC ID, 사용자 PC IP, 사용자 PC MAC 주소, 로그타입 ID, 로그타입명
- 구버전 문서보안 로그인정보 로그 : 로그시간, 사용자 ID, 사용자 PC ID, 사용자 PC IP, 사용자 PC MAC 주소, 로그타입 ID, 로그타입명
상술한 로그 정보는 일 예이며, 각각의 서비스 서버(100)에 따라, 운용자가 임의로 수집할 로그 정보를 설정, 변경, 삭제하는 것이 가능하다.
도 2는 본 발명에 의한 정보보안 정보보안 증적 추적 관리 서버의 구성을 나타내는 도면이다.
도시하는 것과 같이, 정보보안 증적 추적 관리 서버(200)는 통신 인터페이스부(210), 로그 정보 수집부(220), 룰 관련 분석부(230), 시나리오 관련 분석부(240), 분석 결과 처리부(250) 및 분석 결과 제공부(260)를 포함한다.
보다 상세히 설명하면, 통신 인터페이스부(210)는 통신망을 통해 통신을 수행하기 위한 구성 요소이다.
로그 정보 수집부(220)는 복수의 서비스 서버로부터 로그 정보를 수집한다.
룰 관련 분석부(230)는 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시한다.
시나리오 관련 분석부(240)는 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시한다.
분석 결과 처리부(250)는 룰 관련 분석부(230)와 시나리오 관련 분석부(240)의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리한다.
보다 상세히 설명하면, 분석 결과 처리부(250)는 증거 생성수단(235, 245)에 의해서 각각 분석 및 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실 제 정보 유출 여부를 판단할 수 있는 증적 자료로 제공할 수 있도록 한다.
예를 들어, 분석 결과 처리부(250)는 하나의 룰/시나리오에 탐지된 경우, 특정 기간을 적용하여 이전 또는 다른 서버에서의 정보 유출 관련 증적을 확인하여 실제 정보 유출 여부를 판단할 수 있도록 하는 것이다.
분석 결과 제공부(260)는 분석 결과 처리부(250)에 의해서 생성된 분석 결과를 운용자 단말기(300)로 제공한다.
도 3은 본 발명에 의한 룰 관련 분석부의 구성을 나타내는 도면이다.
도시하는 바와 같이, 룰 관련 분석부(230)는 룰 생성수단(231), 모니터링 수단(233) 및 증거 생성수단(235)을 포함한다.
보다 상세히 설명하면, 룰 생성수단(231)은 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한다.
예를 들어, 룰 생성수단(231)은 로그 정보 수집부(220)에 의해서 수집된 복수의 로그 정보를 기초로 케이스1로부터 케이스46까지의 인프라 환경에서 정보유출이 가능한 경우를 유추할 수 있는 케이스를 도출하고, 각 케이스와 서비스 서버(100)로부터 수집된 로그 정보를 조합하여 (표1)에서 도시하는 것과 같이 케이스 각각에 만족될 수 있는 46개의 케이스별 룰을 생성한다.
(표1)
Figure 112009025890018-pat00001
이후, 룰 생성수단(231)은 생성된 케이스별 룰을 분류하여 기준 룰을 생성한다.
여기에서, 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된다.
정보유출 예방 룰은 룰에서 탐지된 정보를 이용해서 전사적으로 정보 유출을 예방할 수 있는 조치를 취하도록 유도하는 룰이 속한 그룹의 룰을 의미하는 것으 로, 감시 결과에 따라 예방 조치를 취할 수 있는 근거를 제공하기 위한 것이다.
또한, 정보유출 징후 모니터링 룰은 룰에서 탐지된 정보를 분석했을 경우, 정보유출 징후로 판단하여 집중적으로 관리 및 모니터링 해야 할 사람을 도출하는 룰이 속한 그룹의 룰을 의미하는 것으로, 감시 결과에 따라 집중 모니터링 해야 할 근거를 제공하기 위한 것이다.
이에 더하여, 정보유출 탐지 모니터링 룰은 룰에서 탐지된 정보를 분석했을 경우 정보유출 가능성이 높은 정보를 도출하는 룰이 속한 그룹의 룰을 의미하는 것으로, 감시 결과에 따라 감사 등 실증자료를 획득해야 할 근거를 제공하기 위한 것이다.
모니터링 수단(233)은 룰 생성수단(231)에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출한다.
예를 들어, 기준 룰이, 문서보안 비정상 사용자 룰을 포함하면, 모니터링 수단(233)은 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크한다.
또한, 기준 룰은, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰을 포함하며, 모니터링 수단(233)은 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크한다.
기준 룰은, 보안문서 출력 건수 룰을 포함하며, 모니터링 수단(233)은 보안문서 출력 건수 룰의 감시 기준에 따라, 업무시간 중 기준 횟수 이상 보안문서를 출력, 업무 외 시간에 기준 횟수 이상 보안문서를 출력, VPN 접근을 통해 보안문서를 출력, 집중관리대상자 기준 횟수 이상 보안문서 출력한 경우를 보안문서 출력 건수 정책 위반으로 체크한다.
기준 룰은, IP 변경 시도 룰을 포함하며, 모니터링 수단(233)은 IP 변경 시도 룰의 감시 기준에 따라, IP 변경금지 대상자 중 임의로 IP 변경을 기준 횟수 이상 시도한 자를 IP 변경 정책 위반으로 체크한다.
상기 기준 룰은, VPN 사용자 로그인 에러 룰을 포함하며, 모니터링 수단(233)은 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하고, 해당 내용을 운용자 단말기(300)로 전송하도록 한다.
상기 기준 룰은, 비정상 시간대 VPN 접근 룰을 포함하며, 모니터링 수단(233)은 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크한다.
기준 룰은, VPN 접속 과다 데이터 송수신자 룰을 포함하며, 모니터링 수단(233)은 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정 책 위반으로 체크한다.
기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크한다.
기준 룰은, 파일 전송 과다 룰을 포함하며, 모니터링 수단(233)은 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크한다.
상기 기준 룰은, 특정 사이트 접속 과다 룰을 포함하며, 모니터링 수단(233)은 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크한다.
기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크한다.
기준 룰은, 발신 링크 첨부파일 다운로드 과도 룰을 포함하며, 모니터링 수단(233)은 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위 반으로 체크한다.
기준 룰은, 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰을 포함하며, 모니터링 수단(233)은 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크한다.
증거 생성수단(235)은 모니터링 수단(233)에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리한다.
도 4는 본 발명에 의한 시나리오 관련 분석부의 구성을 나타내는 도면이다.
도시하는 것과 같이, 시나리오 관련 분석부(240)는 시나리오 생성수단(241), 모니터링 수단(243) 및 증거 생성수단(245)을 포함한다.
보다 상세히 설명하면, 시나리오 생성수단(241)은 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성한다.
상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며, PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타낸다.
여기에서, 시나리오는 심각도 기준을 포함하며, 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분된다.
예를 들어, 심각도 3은 46종의 룰 중에서 동일인이 2개 이상의 룰에 탐지된 경우로, 동일한 사람이 영역에 관계없이 2개 이상의 룰에 탐지된 경우로써 이러한 사용자는 집중 관리 대상자로 선정하여 지속적으로 모니터링 되도록 체크되는 시나리오이다.
심각도 2는 PC 보안 환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보 유출 영역에 속하는 룰에도 탐지된 경우로, 동일한 사람이 PC 보안환경위반 영역에 속하는 룰에도 탐지되고 정보 유출 영역에 속하는 룰에도 탐지되는 경우로써 이러한 사용자는 집중 관리 대상자로 선정하고, 실제로 유출된 정보가 고객 또는 내부 정보가 포함되어 있는지 검증하는 절차를 수행하도록 체크되는 시나리오이다.
심각도 1은 PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보 유출 영역에 속하는 룰에서도 탐지되고, 사람 영역에 속하는 룰에도 탐지되는 경우로, 동일한 사람이 PC 보안 환경 위반 영역과, 정보 유출 영역, 사람 영역 모두에서 탐지되는 경우로써 이는 모든 영역을 위반한 사항으로 정보유출이 시도 되었다고 신뢰할 수 있는 정조의 수준을 나타내는 것으로, 포렌직(Forensics) 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공하는 것이 가능한 시나리오이다.
시나리오 기반 심각도 1은 PC 보안환경 위반 영역, 정보 유출 영역, 사람 영역 각각에 속하는 룰로 실제 정보 유출이 가능한 경우를 고려하여 작성된 시나리오에 해당하는 룰 집합에 의해 탐지되는 경우로, 시나리오 기반 룰은 실제 업무 환경에서 정보 유출 가능한 시나리오를 수립하고 해당 시나리오에 유출되는 정보가 탐지되도록 3가지 영역에 속하는 룰의 조합으로 탐지되는 경우이며, 이는 정보 유출이 시도 되었다고 신뢰할 수 있는 정보의 수준을 나타내는 것이고, 포렌직 등을 통한 정밀 업무 분석 등을 실시할 수 있는 근거를 제공하는 것이 가능한 시나리오이다.
모니터링 수단(243)은 로그 정보 수집부(220)에 의해서 수집된 로그 정보를 시나리오를 이용하여 감시한다.
증거 생성수단(245)은 모니터링 수단(243)에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리한다.
도 5는 본 발명에 의한 정보보안 증적 추적 방법의 일 예를 설명하기 위한 흐름도이다.
먼저, 정보보안 증적 추적 서버(200)는 복수의 서비스 서버로부터 로그 정보를 수집한다(S101).
이어서, 정보보안 증적 추적 서버(200)는 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 다(S103).
이후, 정보보안 증적 추적 서버(200)는 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성한다(S105).
정보보안 증적 추적 서버(200)는 기준 룰과 시나리오를 기초로 실시간으로 수집되는 로그 정보를 감시한다(S107).
여기에서, 단계 S105는 운용자의 필요에 따라 생략 가능하며, 단계 S105가 생략된 경우, 정보보안 증적 추적 서버(200)는 로그 정보를 감시할 때, 기준 룰 만을 적용한다. 한편, 단계 S105가 생략되지 않은 경우, 정보보안 증적 추적 서버(200)는 시나리오도 감시 기준으로 적용한다.
정보보안 증적 추적 서버(200)는 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기(300)로 전송한다(S109).
여기에서, 정보보안 증적 추적 서버(200)는 단계 S107에서의 감시 결과를 기초로, 정책 위반 항목에 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실제 정보 유출 여부를 판단할 수 있는 증적 자료를 생성한다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구 범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
이상과 같이, 본 발명의 정보보안 증적 추적 시스템 및 방법은 복수의 서비스 서버로부터 수집된 로그 정보를 기초로 로그 정보를 모니터링 하기 위한 룰을 생성하고, 이를 기초로 사용자의 정보 유출을 감시하며, 복수의 룰 간 관계를 기초로 시나리오를 생성하고, 생성된 시나리오를 기초로 로그 정보를 감시하여 보다 정확한 감시를 수행할 필요성이 높은 것에 적합하다.
도 1은 본 발명에 의한 정보보안 증적 추적 시스템의 구성을 나타내는 도면,
도 2는 본 발명에 의한 정보보안 증적 추적 관리 서버의 구성을 나타내는 도면,
도 3은 본 발명에 의한 룰 관련 분석부의 구성을 나타내는 도면,
도 4는 본 발명에 의한 시나리오 관련 분석부의 구성을 나타내는 도면,
도 5는 본 발명에 의한 정보보안 증적 추적 방법의 일 예를 설명하기 위한 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 서비스 서버 200 : 정보보안 증적 추적 서버
210 : 통신 인터페이스부 220 : 로그 정보 수집부
230 : 룰 관련 분석부 231 : 룰 생성 수단
233 : 모니터링 수단 235 : 증거 생성수단
240 : 시나리오 관련 분석부 241 : 시나리오 생성수단
243 : 모니터링 수단 245 : 증거 생성수단
250 : 분석 결과 처리부 260 : 분석 결과 제공부
300 : 운용자 단말기

Claims (23)

  1. 삭제
  2. 통신망을 통해 통신을 수행하기 위한 통신 인터페이스부;
    복수의 서비스 서버로부터 로그 정보를 수집하는 로그 정보 수집부; 및
    상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성한 후, 이를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 룰 관련 분석부;
    를 포함하며,
    상기 룰 관련 분석부는,
    상기 로그 정보 수집부에 의해서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 룰 생성수단;
    상기 룰 생성수단에 의해서 생성된 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출하는 모니터링 수단; 및
    상기 모니터링 수단에 의해서 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;
    을 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.
  3. 제2항에 있어서,
    상기 정보보안 증적 추적 서버는,
    상기 케이스별 룰을 이용하여 룰간 관계에 따라 시나리오를 생성하고, 생성 된 시나리오를 이용하여 실시간으로 수집되는 로그 정보를 감시하는 시나리오 관련 분석부;
    를 더 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.
  4. 제3항에 있어서,
    상기 정보보안 증적 추적 서버는,
    상기 룰 관련 분석부와 시나리오 관련 분석부의 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하는 분석 결과 처리부; 및
    상기 분석 결과 처리부에 의해서 생성된 분석 결과를 운용자 단말기로 제공하는 분석 결과 제공부;
    를 더 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.
  5. 삭제
  6. 제2항에 있어서,
    상기 기준 룰은 정보유출 예방, 정보유출 징후 모니터링, 정보유출 탐지로 분류된 것을 특징으로 하는 정보보안 증적 추적 서버.
  7. 제2항에 있어서,
    상기 기준 룰은,
    문서보안 비정상 사용자 룰, 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰, VPN 사용자 로그인 에러 룰, 비정상 시간대 VPN 접근 룰, VPN 접속 과다 데이터 송수신자 룰, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰, 파일 전송 과다 룰, 특정 사이트 접속 과다 룰, 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰, 발신 링크 첨부파일 다운로드 과도 룰, 및 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰 중 적어도 하나를 포함하는 정보보안 증적 추적 서버.
  8. 제7항에 있어서,
    상기 모니터링 수단은,
    상기 문서보안 비정상 사용자 룰의 감시 기준에 따라, 특정 기간 동안 로그 인/로그 아웃 기록이 임계값을 초과하거나, 또는 로그 인 로그는 존재하지만 로그 아웃 로그가 임계값 이상 존재하지 않는 경우를 문서보안 정책 위반으로 체크하는 모니터링, 상기 보안 해제 빈도가 과도한 보안해제 권한 보유자 룰의 감시 기준에 따라, 보안문서 해제 이력이 임계값 이상 발생된 사용자를 보안해제 빈도 정책 위반으로 체크하는 모니터링, 상기 VPN 사용자 로그인 에러 룰의 감시 기준에 따라, VPN 계정 중 로그인 에러가 기준 횟수 이상 발생된 사용자 계정을 정책 위반으로 체크하는 모니터링, 해당 내용을 운용자 단말기로 전송하도록 하는 모니터링, 상기 비정상 시간대 VPN 접근 룰의 감시 기준에 따라, 기 설정된 비정상 시간대 VPN 작업자 추출 집중관리대상자가 VPN을 통해 주요 시스템에 접근하여 비정상 업무를 수행한 경우와 특정 시간대 접근이 불필요한 시스템으로 VPN을 통해 접근하여 업무가 수행된 경우를 정책 위반으로 체크하는 모니터링, 상기 VPN 접속 과다 데이터 송수신자 룰의 감시 기준에 따라, VPN 사용자 중 특정 시스템에 접근하여 데이터 업로드/다운로드가 기준 횟수 이상이 사용자를 정책 위반으로 체크하는 모니터링, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 일정 용량 이상의 파일을 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 모니터링, 상기 파일 전송 과다 룰의 감시 기준에 따라, 메신저를 이용하여 기준 용량 이상의 파일을 전송한 사용자 중 특정 키워드가 포함된 파일을 송수신한 사용자를 정책 위반으로 체크하는 모니터링, 상기 특정 사이트 접속 과다 룰의 감시 기준에 따라, 특정 사이트 접속 횟수가 기준 횟수 이상인 사용자 및 기준 트래픽 이상을 유발한 사용자를 정책 위반으로 체크하는 모니터링, 상기 업무 내/외 시간 과대 용량, 첨부파일 외부 송신자 룰의 감시 기준에 따라, 특정 수신자에게 복수 메일로 분할하여 파일을 일정 용량 이상 첨부하여 메일을 발송한 송신자를 정책 위반으로 체크하는 모니터링, 상기 발신 링크 첨부파일 다운로드 과도 룰의 감시 기준에 따라, 발신 링크 첨부파일 다운로드가 기준 횟수 이상이고, 다운로드 IP가 복수개인 경우를 정책 위반으로 체크하는 모니터링, 및 상기 업무 내/외 시간 과대 용량, 첨부파일 다운로드 룰의 감시 기준에 따라, 기준 용량 이상 첨부 업로드된 파일을 다운로드한 사용자, 상기 사용자가 집중관리대상자이고 또는 업무상 불필요한 대용량 다운로드를 수행한 경우를 정책 위반으로 체크하는 모니터링 중 하나 이상의 모니터링을 수행하는 것을 특징으로 하는 정보 보안 증적 추적 서버.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 제3항에 있어서,
    상기 시나리오 관련 분석부는,
    상기 케이스별 룰에 포함된 룰간의 상관관계를 기초로 정책 위반을 탐지하기 위한 시나리오를 생성하는 시나리오 생성수단;
    로그 정보 수집부에 의해서 수집된 로그 정보를 상기 시나리오를 이용하여 감시하는 모니터링 수단; 및
    상기 모니터링 수단에 의해서 체크된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 증거 생성수단;
    을 포함하는 것을 특징으로 하는 정보보안 증적 추적 서버.
  19. 제18항에 있어서,
    상기 시나리오는 PC 보안환경 위반 영역, 정보유출 영역, 사람 영역으로 구성된 정보보호 기준을 포함하며,
    상기 PC 보안환경 위반 영역은 PC 보안 환경을 위반한 사항을 도출해는 룰을 나타내고, 상기 정보유출 영역은 로컬 PC에서 다룬 내부자의 PC 도는 외부자의 PC로 정보가 이동되는 환경에서 보안을 위반한 사항을 도출해는 룰을 나타내며, 사람 영역은 정보유출 가능성이 있는 모든 사용자를 대상으로 집중 관리하고 모니터링 해야 할 인력을 찾는 룰을 나타내는 것을 특징으로 하는 정보보안 증적 추적 서버.
  20. 제19항에 있어서,
    상기 시나리오는 심각도 기준을 포함하며,
    상기 심각도 기준은 케이스별 룰 중 동일인이 기준 횟수 이상의 룰에 탐지된 경우, PC 보안환경 위반 영역에 속하는 룰에서 탐지된 사람이 정보유출 영역에 속하는 룰에도 탐지된 경우, PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역에 속하는 룰에 모두 탐지된 경우와 PC 보안환경 위반 영역, 정보유출 영역 및 사람 영역 각각에 속하는 룰로 실제 정보유출이 가능한 경우의 시나리오에 해당하는 룰 집합에 탐지된 경우로 구분되는 것을 특징으로 하는 정보보안 증적 추적 서버.
  21. 복수의 서비스 서버와 연결되어 정보보안을 수행하는 정보보안 증적 추적 서버에서 정보보안 증적을 추적하는 방법으로서,
    a) 정보보안 증적 추적 서버가 복수의 서비스 서버로부터 로그 정보를 수집하는 단계;
    b) 정보보안 증적 추적 서버가 수집된 로그 정보를 케이스별로 조합한 후 케이스별 룰을 생성하고, 생성된 룰을 분류하여 기준 룰을 생성하는 단계;
    c) 상기 기준 룰을 기초로 실시간으로 수집되는 로그 정보를 감시하는 단계; 및
    d) 감시 결과를 기초로 기 설정된 항목에 따라 정책 위반 항목 및 정책 위반 상세 내역을 비롯한 전체 결과를 분석 처리하고, 이를 운용자 단말기로 전송하는 단계;
    를 포함하며,
    상기 b) 단계는 상기 a) 단계에서 수집된 로그 정보를 케이스별로 조합하여 케이스별 룰을 생성하고, 생성된 룰을 분류하여 상기 기준 룰을 생성하며,
    상기 c) 단계는 상기 기준 룰을 기초로 각각의 룰별 감시 기준에 따라 로그 정보를 모니터링하고 이상이 발생한 로그 정보를 추출하고, 추출된 로그 정보와 로그 정보의 출처인 서비스 서버 정보, 정책 위반 항목 및 정책 위반 상세 내역을 매칭하여 관리하는 정보보안 증적 추적 방법.
  22. 제21항에 있어서,
    상기 b) 단계 이후 c) 단계 이전에,
    정보보안 증적 추적 서버가 상기 케이스별 룰을 이용하여 룰간 관계를 기초로 시나리오를 생성하는 단계;를 더 포함하며,
    상기 c) 단계에서,
    로그 정보를 감시할 때, 상기 시나리오를 감시 기준으로 적용하는 것을 특징으로 하는 정보보안 증적 추적 방법.
  23. 제22항에 있어서,
    상기 d) 단계에서,
    정보보안 증적 추적 서버가 상기 c) 단계에서의 감시 결과를 기초로, 정책위반 항목에 매칭된 결과를 서로 통합하고, 특정 항목에 따라 분류하여 실제 정보 유출 여부를 판단할 수 있는 증적 자료를 생성하는 것을 특징으로 하는 정보보안 증적 추적 방법.
KR1020090037261A 2009-04-28 2009-04-28 정보보안 증적 추적 시스템 및 방법 KR101548138B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090037261A KR101548138B1 (ko) 2009-04-28 2009-04-28 정보보안 증적 추적 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090037261A KR101548138B1 (ko) 2009-04-28 2009-04-28 정보보안 증적 추적 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20100118422A KR20100118422A (ko) 2010-11-05
KR101548138B1 true KR101548138B1 (ko) 2015-08-31

Family

ID=43404734

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090037261A KR101548138B1 (ko) 2009-04-28 2009-04-28 정보보안 증적 추적 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101548138B1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239401B1 (ko) * 2012-10-05 2013-03-06 강명훈 보안 시스템의 로그 분석 시스템 및 방법
KR101259579B1 (ko) * 2012-11-08 2013-04-30 (주)유와이즈원 정보보호업무 운영시스템 및 방법
KR102421463B1 (ko) * 2015-04-10 2022-07-14 주식회사 하나은행 보안 장치, 추적 서버 및 보안 문서 유통 경로 탐지 방법
KR101666614B1 (ko) * 2015-07-06 2016-10-14 (주)다우기술 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
KR101590486B1 (ko) * 2015-07-06 2016-02-01 (주)다우기술 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
KR101660181B1 (ko) * 2015-08-12 2016-09-26 한국전력공사 체인룰 기반 내부자 불법 행위 탐지 장치 및 방법
KR20180044658A (ko) * 2016-10-24 2018-05-03 주식회사 윈스 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치
KR101880217B1 (ko) * 2017-11-30 2018-07-19 (주)씨커스 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법
KR101920613B1 (ko) * 2018-06-01 2018-11-21 주식회사 시큐브 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
KR102127183B1 (ko) * 2018-08-08 2020-06-26 동명대학교산학협력단 통합모니터링 관리시스템의 악의적인 사용자에 의한 정보 유출을 사전에 예측 분석방법
CN112016094B (zh) * 2020-08-14 2024-04-30 深圳市迈科龙电子有限公司 一种区块链服务安全防护策略管控系统与方法
KR102462875B1 (ko) 2020-12-30 2022-11-04 소프트캠프 주식회사 전자문서의 경로 추적 방법과 추적 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004362075A (ja) 2003-06-02 2004-12-24 Fujitsu Ltd セキュリティ管理システム及びその制御方法
JP2008304968A (ja) 2007-06-05 2008-12-18 Hitachi Software Eng Co Ltd セキュリティ対策状況の自己点検システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004362075A (ja) 2003-06-02 2004-12-24 Fujitsu Ltd セキュリティ管理システム及びその制御方法
JP2008304968A (ja) 2007-06-05 2008-12-18 Hitachi Software Eng Co Ltd セキュリティ対策状況の自己点検システム

Also Published As

Publication number Publication date
KR20100118422A (ko) 2010-11-05

Similar Documents

Publication Publication Date Title
KR101548138B1 (ko) 정보보안 증적 추적 시스템 및 방법
US11496505B2 (en) Detection and prevention of external fraud
US11115434B2 (en) Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
US8800034B2 (en) Insider threat correlation tool
US8793789B2 (en) Insider threat correlation tool
US11451576B2 (en) Investigation of threats using queryable records of behavior
US8805979B2 (en) Methods and systems for auto-marking, watermarking, auditing, reporting, tracing and policy enforcement via e-mail and networking systems
US11489867B2 (en) Cybersecurity email classification and mitigation platform
US20140007238A1 (en) Collective Threat Intelligence Gathering System
US8474042B2 (en) Insider threat correlation tool
CN108270716A (zh) 一种基于云计算的信息安全审计方法
SG182326A1 (en) Insider threat correlation tool
CN111274276A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
KR20110110431A (ko) 정보보안 장치 및 방법
US20210173937A1 (en) Cyber attack detection system
KR20120016732A (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
KR101399326B1 (ko) 정보보안을 위한 증적추적 장치 및 방법
Ahmad et al. Data leakage detection and data prevention using algorithm
Mascetti et al. EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems
Pamnani et al. Incident Handling in SCADA & OT Environments
Muliński ICT security in revenue administration-incidents, security incidents-detection, response, resolve
Awad et al. Integrity assurance in the cloud by combined pba and provenance
KR101498647B1 (ko) 보안관리 시스템 및 이를 이용한 보안 관리 방법
KR20110003704A (ko) 정보 유출 징후 분석 시스템 및 방법

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant