KR101646329B1 - 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법 - Google Patents

지역 기반 사이버 침해 대응 분석 시스템 및 그 방법 Download PDF

Info

Publication number
KR101646329B1
KR101646329B1 KR1020140066170A KR20140066170A KR101646329B1 KR 101646329 B1 KR101646329 B1 KR 101646329B1 KR 1020140066170 A KR1020140066170 A KR 1020140066170A KR 20140066170 A KR20140066170 A KR 20140066170A KR 101646329 B1 KR101646329 B1 KR 101646329B1
Authority
KR
South Korea
Prior art keywords
security
server
municipality
action
request
Prior art date
Application number
KR1020140066170A
Other languages
English (en)
Other versions
KR20150138988A (ko
Inventor
도찬구
이종양
이석훈
Original Assignee
한국통신인터넷기술 주식회사
도찬구
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국통신인터넷기술 주식회사, 도찬구 filed Critical 한국통신인터넷기술 주식회사
Priority to KR1020140066170A priority Critical patent/KR101646329B1/ko
Publication of KR20150138988A publication Critical patent/KR20150138988A/ko
Application granted granted Critical
Publication of KR101646329B1 publication Critical patent/KR101646329B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은, 적어도 하나의 지자체의 각각의 사이버 보안을 관리하는 적어도 하나의 지자체 보안 서버; 및 상기 적어도 하나의 지자체 보안 서버와 네트워크를 통해 연결되고, 상기 적어도 하나의 지자체에 대응하는 부분을 포함하는 지도를 디스플레이에 표시하고, 상기 적어도 하나의 지자체에 대해 계산된 보안 지수에 따라 상기 지도 상에서 상기 적어도 하나의 지자체에 대응하는 부분의 색을 다르게 표시하는 통합 보안 관제 서버를 포함할 수 있다.

Description

지역 기반 사이버 침해 대응 분석 시스템 및 그 방법{CYBER ATTACK RESPONSE AND ANALYSIS SYSTEM AND METHOD THEREOF}
아래의 설명은 사이버 침해 대응 기술에 대한 것으로, 정보 보안 업무의 효율적인 운영 관리를 하기 위한 시스템 및 방법에 관한 것이다.
인터넷과 네트워크 환경이 크게 발전하면서 특정 장소를 보다 용이하게 보안 및 감시할 수 있는 보안 시스템이 도입되었다. 하지만 인증, 인식, 감지를 위한 원격 관제용 보안 장치의 인터페이스 규격이 서로 달라 호환성이 문제된다. 인터페이스 규격에 구애받지 않고 자동화된 운용관리 시스템이 요구되고 있는 실정이다.
또한, 한국공개특허 제2010-0000580호는 공동주택 보안 시스템 및 그것의 서비스 방법에 관한 것으로, 공통주택의 공용부에 설치된 마이크를 통해 음원, 음파, 음성을 수집하여 입주자의 위급 상황을 판단하고, 보안 시스템을 연동시켜 즉각적인 대응을 제공하고 있다. 상기 특허는 마이크를 통해 위급 상황을 판단하여 보안 시스템을 연동시킬 뿐 구역마다 발생했던 위급 상황 빈도에 따라 보안을 관제하는 방법을 제안하지 못하고 있다.
이에 따라 보안 사고 업무의 전반적인 운영 관리를 할 수 있는 지역 기반 사이버 침해 대응 분석 시스템을 통하여 보안 위협이 우려되는 구역을 분석하고 공유함으로써 보안 사고에 대한 즉각적인 대응이 가능한 기술이 요구된다.
일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은 통합적으로 보안 위협을 탐지하고, 탐지된 위협에 대한 분석 및 대응하는 방법을 제공할 수 있다.
일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은, 적어도 하나의 지자체의 각각의 사이버 보안을 관리하는 적어도 하나의 지자체 보안 서버; 및 상기 적어도 하나의 지자체 보안 서버와 네트워크를 통해 연결되고, 상기 적어도 하나의 지자체에 대응하는 부분을 포함하는 지도를 디스플레이에 표시하고, 상기 적어도 하나의 지자체에 대해 계산된 보안 지수에 따라 상기 지도 상에서 상기 적어도 하나의 지자체에 대응하는 부분의 색을 다르게 표시하는 통합 보안 관제 서버를 포함할 수 있다.
일측에 따르면, 지역 기반 사이버 침해 대응 분석 시스템은, 상기 적어도 하나의 지자체 보안 서버에게 보안 요청 및 상기 보안 요청에 대응하는 조치기한을 송신하는 적어도 하나의 유관기관 보안 서버를 더 포함할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버에게 보안 요청 및 상기 보안 요청에 대응하는 조치기한을 송신할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 보안 요청을 수신한 상기 적어도 하나의 지자체 보안 서버가 상기 보안 요청에 대응하는 조치기한 내에 상기 보안 요청에 대응하는 조치를 하였는지를 포함하여 상기 보안 지수를 계산할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 일정한 기간 동안 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 상기 보안 지수를 계산할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버와 연관된 비상 연락 전화번호로 취약 시간대에 랜덤하게 호(call)를 발생시키고, 상기 호에 대한 응답 여부를 포함하여 상기 보안 지수를 계산하고, 상기 취약 시간대는 공휴일 및 하루 중 미리 정해진 시간대를 포함할 수 있다.
또 다른 일측에 따르면, 상기 보안 요청은, 상기 보안 요청에 대응한 조치완료방법 정보를 포함하고, 상기 조치완료방법 정보는, 상기 조치기한 내 상기 보안 요청을 확인하는 제1 조치완료방법; 및 상기 조치기한 내 상기 보안 요청에 대한 처리를 한 후 회신하는 제2 조치완료방법을 포함할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 보안 요청의 각각에 대하여, 상기 보안 요청을 요청한 유관기관에 관한 정보; 상기 보안 요청을 요청한 일시에 관한 정보; 상기 보안 요청을 수신하는 지자체 보안 서버에 관한 정보; 상기 보안 요청에 대응하는 조치기한; 및 상기 보안 요청에 대한 조치를 상기 지자체 보안 서버가 수행하였는지 여부에 관한 정보를 상기 디스플레이 상에 표시할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버의 각각에 대하여 상기 보안 요청, 상기 보안 요청에 대응하는 조치기한 및 상기 보안 요청에 대응하는 조치완료일을 표시하고, 상기 보안 요청의 각각에 대하여 조치가 완료된 경우, 조치완료 전이고 현재 날짜가 조치기한을 넘지 않은 경우, 및 조치완료 전이고 현재 날짜가 조치기한을 넘은 경우에 따라 상기 보안 요청의 색을 다르게 표시할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고 및 상기 보안 사고의 유형에 관한 정보를 상기 적어도 하나의 지자체 보안 서버로부터 수신하고, 상기 지자체의 관리 서버에서 일정한 기간 동안 동일한 유형의 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 상기 보안 지수를 계산할 수 있다.
또 다른 일측에 따르면, 상기 보안 사고의 유형은, 비 인가 접근; 악성 코드; 서버 다운; 서버 접속 장애; 이상 트래픽; 및 서버 취약점 중 적어도 하나를 포함할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 상기 보안 사고의 유형이 이상 트래픽인 경우, 다른 지자체 보안 서버에게 인터넷 차단을 지시하는 보안 요청을 송신할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 상기 보안 사고의 유형이 악성 코드인 경우, 다른 지자체 보안 서버에게 상기 악성 코드에 대한 백신 프로그램을 송신하여 상기 백신 프로그램의 설치를 지시하는 보안 요청을 송신할 수 있다.
또 다른 일측에 따르면, 상기 통합 보안 관제 서버는, 상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 수신하는 경우, 상기 디스플레이에 표시된 상기 지도 중 상기 지자체에 대응하는 부분에 상기 보안 사고에 대한 메시지를 팝업으로 표시할 수 있다.
일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은 실시간으로 지자체 보안 서버 및 유관기관 보안서버의 보안 위협을 탐지하고 위협에 대한 분석 및 대응을 통하여 통합적으로 정보 보안 업무의 효율적인 운영관리 방법을 제공할 수 있다. 또한, 지역 기반 사이버 침해 대응 분석 시스템은 지자체의 보안 지수를 계산하고, 보안 지수에 따라 자치구의 보안 등급을 분류함으로써 보안 위협을 대비할 수 있다.
도 1은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 동작을 나타낸 도면이다.
도 2는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 구성을 나타낸 블록도이다.
도 3은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 보안 지수 및 시설기관의 위치를 제공하는 도면을 나타낸 것이다.
도 4는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 정보 상황판을 나타낸 도면이다.
도 5는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 정보 상황판을 나타낸 도면이다.
도 6은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 금일 처리 현황을 나타낸 도면이다.
도 7은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 상황전파문 목록을 나타낸 도면이다.
도 8은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 보안권고문 목록을 나타낸 도면이다.
도 9는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 유관기관 사고 접수/이관 목록을 나타낸 도면이다.
도 10은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 기관별 사고 유형 정보공유 목록을 나타낸 도면이다.
도 11은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 비상연락망 목록을 나타낸 도면이다.
이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.
도 1은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 동작을 나타낸 도면이다.
지역 기반 사이버 침해 대응 분석 시스템은 지자체 보안 서버(121,122,123), 통합 보안 관제 서버(130) 및 유관기관 보안 서버(140)를 포함할 수 있다. 지역 기반 사이버 침해 대응 분석 시스템은 인터넷(110)을 통하여 지자체 보안 서버(121,122,123), 유관 기관 보안 서버(140)를 통제할 수 있다. 예를 들면, 통합 보안 관제 서버(130)는 지자체 보안 서버(121,122,123), 유관 기관 보안 서버(140)의 보안 사고에 대하여 통제함으로써 즉각적인 대응을 할 수 있고, 사이버 보안을 관리할 수 있다.
지역 기반 사이버 침해 대응 분석 시스템은 예를 들면, 하나의 지자체가 보안 공격을 받으면 공격 받은 지자체 보안 서버로부터 보안 공격에 대한 정보가 통합 보안 관제 서버(130)로 전달될 수 있고, 통합 보안 관제 서버는 공격받은 지자체 이외의 지자체 보안 서버에 보안 공격에 대한 정보를 전달할 수 있고, 동시에 공격 받은 지자체 보안 서버로 보안 공격에 대한 대응책을 제시할 수 있다.
지차제 보안 서버(121,122,123)는 지자체의 수에 따라 증가될 수 있으며, 도 1에서는 편의상 설명을 위하여 3개의 지자체 보안 서버를 예를 들어 설명하기로 한다. 지자체 보안 서버(121, 122, 123)는 적어도 하나의 지자체의 각각의 사이버 보안을 관리할 수 있다. 예를 들면, 서울특별시에 대한 지자체 보안 서버라면, 동대문구는 동대문구에 대한 동대문구 보안 서버, 강남구는 강남구에 대한 강남구 보안 서버, 서초구는 서초구에 대한 서초구 보안 서버 등과 같이 서울특별시 지자치에 대한 보안 서버가 존재할 수 있으며, 각 지자체에 대한 사이버 보안을 관리할 수 있다.
유관기관 보안 서버(140)는 적어도 하나의 지자체 보안 서버(121, 122, 123)에게 보안 요청 및 보안 요청에 대응하는 조치기한을 송신할 수 있다. 또한, 유관기관에서 사고가 발생한다면, 유관기관 보안 서버(140)는 유관기관이 속해있는 지자체 보안 서버에 보안 요청을 할 수 있고, 지자체 보안 서버는 통합 보안 관제 서버(130)에 보안 요청을 전송함으로써 대응책을 수신할 수 있다.
통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버와 네트워크(예를 들면, 인터넷)를 통해 연결되고, 적어도 하나의 자자체에 대응하는 부분을 지도에 디스플레이하고, 적어도 하나의 지자체에 대해 계산된 보안 지수에 따라 지도 상에서 적어도 하나의 지자체에 대응하는 부분의 색을 다르게 표시할 수 있다. 예를 들면, 계산된 보안 지수에 따라 10점 단위로, 녹색, 노란색, 주황색, 빨간색으로 표시할 수 있다.
통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버에게 보안 요청 및 보안 요청에 대응하는 조치기한을 송신할 수 있다. 이때, 보안 요청은 보안 요청에 대응한 조치완료방법 정보를 포함하고, 조치완료방법 정보는 조치기한 내 보안 요청을 확인하는 제1 조치완료방법 및 조치기한 내 상기 보안 요청에 대한 처리를 한 후 회신하는 제2 조치완료방법을 포함할 수 있다.
유관기관 사고 접수의 경우, 통합 보안 관제 서버(130)는 보안 요청의 각각에 대하여 보안 요청을 요청한 유관기간에 관한 정보, 보안 요청을 요청한 일시에 관한 정보, 보안 요청을 수신하는 지자체 보안 서버에 관한 정보, 보안 요청에 대응하는 조치기한 및 보안 요청에 대한 조치를 지자체 보안 서버가 수행하였는지 여부에 관한 정보를 디스플레이 상에 표시할 수 있다.
통합 보안 관제 서버(130)는 보안 요청을 수신한 적어도 하나의 지자체 보안 서버가 보안 요청에 대응하는 조치기한 내에 보안 요청에 대응하는 조치를 하였는지를 포함하여 보안 지수를 계산할 수 있다. 통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 일정한 기간 동안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 보안 지수를 계산할 수 있다. 통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버와 연관된 비상 연락 전화번호로 취약 시간대에 랜덤하게 호(call)를 발생시키고, 상기 호에 대한 응답 여부를 포함하여 보안 지수를 계산하고, 취약 시간대는 공휴일 및 하루 중 미리 정해진 시간대를 포함할 수 있다.
통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버의 각각에 대하여 보안 요청, 보안 요청에 대응하는 조치기한 및 보안 요청에 대응하는 조치완료일을 표시할 수 있고, 보안 요청의 각각에 대하여 조치가 완료된 경우, 조치 완료 전이고 현재 날짜가 조치기한을 넘지 않은 경우 및 조치 완료 전이고 현재 날짜가 조치기한을 넘은 경우에 따라 보안 요청의 색을 다르게 표시할 수 있다. 예를 들면, 조치완료가 된 경우 회색, 조치완료 전이고 현재 날짜가 조치기한을 넘지 않은 데이터는 녹색, 조치완료 전이고 현재 날짜가 조치기한을 넘기 데이터는 빨간색으로 표시할 수 있다.
통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고 및 보안 사고의 유형에 관한 정보를 적어도 하나의 지자체 보안 서버로부터 수신하고, 지자체의 관리 서버에서 일정한 기간 동안 동일한 유형의 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 보안 지수를 계산할 수 있다. 이때, 예를 들면, 보안 사고의 유형은, 비 인가 접근, 악성 코드, 서버 다운, 서버 접속 장애, 이상 트래픽 및 서버 취약점 중 적어도 하나를 포함할 수 있다.
예를 들면, 통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 적어도 하나의 지자체 보안 서버에 대응하는 지자체 관리 서버에서 발생한 보안 사고의 유형이 이상 트래픽인 경우, 다른 지자체 보안 서버에게 인터넷 차단을 지시하는 보안 요청을 송신할 수 있다. 또한, 통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고의 유형이 악성 코드인 경우, 다른 지자체 보안 서버에게 악성 코드에 대한 백신 프로그램을 송신하여 백신 프로그램의 설치를 지시하는 보안 요청을 송신할 수 있다.
통합 보안 관제 서버(130)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 수신하는 경우, 디스플레이에 표시된 지도 중 지자체에 대응하는 부분에 보안 사고에 대한 메시지를 팝업으로 표시할 수 있다.
도 2는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 구성을 나타낸 블록도이다.
통합 관제 보안 시스템(200)은 통신부(210), 처리부(220), 디스플레이(230) 및 저장부(240)를 포함할 수 있다.
통신부(210)는 적어도 하나의 지자체 보안 서버와 통합 보안 관제 서버를 네트워크를 통해 연결시킬 수 있다. 또한, 통신부(210)는 유관기관 보안 서버와 통합 보안 관제 서버를 네트워크를 통해 연결시킬 수 있다. 이때, 적어도 하나의 지자체 보안 서버, 유관기관 보안 서버 및 통합 보안 관제 서버가 서로 네트워크 통해 연결됨으로써 정부보안업무를 공유할 수 있다. 정보보안업무를 공유함으로써 운영관리를 할 수 있고, 보안 침해 사고가 발생하였을 때, 즉각적인 대응 및 조치를 할 수 있게 된다.
처리부(220)는 적어도 하나의 지자체 보안 서버에게 보안 요청 및 보안 요청에 대응하는 조치기한을 송신할 수 있다. 보안 요청을 수신한 적어도 하나의 지자체 보안 서버가 보안 요청에 대응하는 조치기한 내에 보안 요청에 대응하는 조치를 하였는지를 포함하여 보안 지수를 계산할 수 있다. 이때, 보안 요청은 보안 요청에 대응한 조치완료방법 정보를 포함할 수 있다. 조치완료방법 정보는 조치기한 내 보안 요청을 확인하는 제1 조치완료방법 및 조치기한 내 보안 요청에 대한 처리를 한 후 회신하는 제2 조치완료방법을 포함할 수 있다. 예를 들면, 처리부(220)는 전파된 내용을 확인 시 자동으로 조치 완료가 되는 제1 조치완료방법, 전파된 내용에 대하여 확인하고 회신을 함으로써 자동으로 조치 완료가 되는 제2 조치완료방법을 포함할 수 있다.
처리부(220)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 일정한 기간 동안 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 보안 지수를 계산할 수 있다.
처리부(220)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체 관리 서버에서 발생한 보안 사고 및 보안 사고의 유형에 관한 정보를 적어도 하나의 지자체 보안 서버로부터 수신하고, 지자체의 관리 서버에서 일정한 기간 동안 동일한 유형의 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 보안 지수를 계산할 수 있다.
처리부(220)는 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고의 유형이 이상 트래픽인 경우, 다른 지자체 보안 서버에게 인터넷 차단을 지시하는 보안 요청을 송신할 수 있다. 또한, 처리부(220)는 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고, 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리서버에서 발생한 보안 사고의 유형이 악성 코드인 경우, 다른 지자체 보안 서버에게 악성 코드에 대한 백신 프로그램을 송신하여 백신 프로그램의 설치를 지시하는 보안 요청을 송신할 수 있다. 이때, 보안 사고의 유형은 예를 들면, 비인가 접근, 악성 코드, 서버 다운, 서버 접속 장애, 이상 트래픽 및 서버 취약점 등일 수 있다.
디스플레이(230)는 적어도 하나의 지자체에 대응하는 부분을 포함하는 지도를 디스플레이에 표시할 수 있고, 적어도 하나의 지자체에 대해 계산된 보안 지수에 따라 지도 상에서 적어도 하나의 지자체에 대응하는 부분의 색을 다르게 표시할 수 있다. 디스플레이(230)는 적어도 하나의 지자체 보안 서버의 각각에 대하여 보안 요청, 보안 요청에 대응하는 조치기한 및 보안 요청에 대응하는 조치완료일을 표시할 수 있고, 보안 요청의 각각에 대하여 조치가 완료된 경우, 조치완료 전이고 현재 날짜가 조치기한을 넘지 않은 경우 및 조치완료 전이고 현재 날짜가 조치기한을 넘은 경우에 따라 보안 요청의 색을 다르게 표시할 수 있다.
디스플레이(230)는 보안 요청의 각각에 대하여 보안 요청을 요청한 유관기관에 대한 정보, 보안 요청을 요청한 일시에 관한 정보, 보안 요청을 수신하는 지자체 보안 서버에 관한 정보, 보안 요청에 대응하는 조치기한, 보안 요청에 대한 조치를 지자체 보안 서버가 수행하였는지 여부에 관한 정보를 표시할 수 있다.
디스플레이(230)는 상황을 전파를 요청한 기관에 대한 정보, 상황 전파를 요청한 일시에 관한 정보, 상황을 전파한 일시에 관한 정보, 상황 전파에 대응하는 조치기한, 상황 요청에 대한 조치를 수행하였는지 여부에 관한 정보를 표시할 수 있다. 디스플레이(230)는 보안 위협을 탐지한 일시, 보안 권고를 요청한 일시, 보안 권고에 대응하는 조치기한, 보안 권고에 대한 조치를 지자체 보안 서버가 수행하였는지 여부 등을 표시할 수 있다.
디스플레이(230)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 수신하는 경우, 표시된 지도 중 지자체에 대응하는 부분에 보안 사고에 대한 메시지를 팝업으로 표시할 수 있다. 예를 들면, 노원구청의 홈페이지가 다운이 되었다면, 디스플레이(230)는 자치구가 표시된 지도 중 노원구에 대응하는 부분에 "노원구청 홈페이지 다운"과 같이 메시지를 팝업으로 표시함으로써 위험을 통보할 수 있다.
저장부(240)는 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 저장할 수 있고, 보안 요청을 요청한 유관기관에 대한 정보, 상황을 전파하기 위한 상황전파문, 보안을 권고하기 위한 보안권고문 등을 저장할 수 있다.
저장부(240)는 보안 요청의 각각에 대하여 보안 요청을 요청한 유관기관에 대한 정보, 보안 요청을 요청한 일시에 관한 정보, 보안 요청을 수신하는 지자체 보안 서버에 관한 정보, 보안 요청에 대응하는 조치기한, 보안 요청에 대한 조치를 지자체 보안 서버가 수행하였는지 여부에 관한 정보를 저장할 수 있다.
저장부(240)는 상황을 전파를 요청한 기관에 대한 정보, 상황 전파를 요청한 일시에 관한 정보, 상황을 전파한 일시에 관한 정보, 상황 전파에 대응하는 조치기한, 상황 요청에 대한 조치를 수행하였는지 여부에 관한 정보를 저장할 수 있다. 저장부(240)는 보안 위협을 탐지한 일시, 보안 권고를 요청한 일시, 보안 권고에 대응하는 조치기한, 보안 권고에 대한 조치를 지자체 보안 서버가 수행하였는지 여부 등을 저장할 수 있다.
도 3은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 보안 지수 및 시설기관의 위치를 제공하는 도면을 나타낸 것이다.
도 3은 지역 기반 사이버 침해 대응 분석 시스템은 자치구(310), 기반시설(320), 투자출연기관(330)을 나타낼 수 있다.
도 3a는 지역 기반 사이버 침해 대응 분석 시스템을 통하여 각 자치구의 보안 지수 현황을 나타낸 것이다. 보안 지수 현황을 나타내기 위해서는 보안 지수 계산이 필요하며, 보안 지수에 대한 계산은 예를 들면, 자치구 보안 서버로부터 매주 1회 주간 보고가 되었는지 여부, 보안 권고문 및 상황전파문에 대한 기한 내 보고를 하였는지 여부, 침해 사고 이관 건을 일정 시간 내에 조치 및 보고를 하였는지 여부, 침해 사고가 중복적으로 발생하였는지 여부, 침해 사고가 외부 언론으로 보도가 되었는지 여부, 취약 시간대에 호에 대한 응답 여부, 상황 전파에 대한 응답 여부와 같은 기준에 의하여 보안 지수가 계산될 수 있다. 이때, 보안 지수 계산에 대한 기준은 추가, 삭제 및 수정될 수 있다.
예를 들면, 서울 특별시의 25개 자치구의 보안지수 현황을 자치구별 지도로 표시할 수 있다. 노원구를 마우스로 클릭한다면, 지역은 "노원", 점수 "90", 평균 "54", 순위 "3" 과 같이 표시될 수 있다. 자치구는 자치구별 보안지수 점수에 따라 녹색, 노란색, 주황색, 빨간색과 같이 4가지 색으로 표시될 수 있다. 예를 들면, 보안지수 점수가 61~70이라면 녹색, 71~80이라면 노란색, 81~90이라면 주황색, 91~100이라면 빨간색으로 표시될 수 있다. 이때, 관리자에 의하여 보안지수 점수 범위를 변경할 수 있으며, 보안지수 점수 범위에 따른 색깔도 변경할 수 있다.
일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은 자치구 보안 지수 현황뿐만 아니라 일정 기준에 의하여 예를 들면, 각 도별로, 또는 각 동별로 보안 지수 현황을 나타낼 수 있다.
도 3b는 지역 기반 사이버 침해 대응 분석 시스템에 의하여 각 자치구의 기반시설(320)을 나타낸 것이다. 예를 들면, 서울 특별시의 25개의 각 자치구에 위치하는 기반시설을 표시할 수 있다. 이때, 지역 기반 사이버 침해 대응 분석 시스템은 각 자치구에 속하는 기반시설을 각 자치구별로 저장하고 분류할 수 있다. 예를 들면, 도 3b를 참고하면, 사용자가 서초구에 있는 기반시설을 알고 싶다면, 서초구를 마우스 오버할 수 있다. 그러면, 서초구에 위치하는 기반시설인 데이터센터가 표시될 수 있다. 이때, 일정한 행동이 액션되어야 자치구에 위치하는 기반시설이 표시될 수 있으며, 마우스 오버에 제한되지 않는다.
도 3c는 지역 기반 사이버 침해 대응 분석 시스템에 의하여 각 자치구에 위치하는 투자출연기관을 나타낸 것이다. 예를 들면, 서울 특별시의 25개의 각 자치구에 위치하는 투자출연기관을 표시할 수 있다. 이때, 지역 기반 사이버 침해 대응 분석 시스템은 각 자치구에 속하는 투자출연기관을 각 자치구별로 저장하고 분류할 수 있다. 예를 들면, 사용자가 서초구에 있는 투자출연기관을 알고 싶다면, 서초구를 마우스 오버할 수 있다. 그러면 서초구에 위치하는 투자출연기관인 서울연구원이 표시될 수 있다.
일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템은 관리자에 의하여 기반 시설 및 투자출연기관이 추가, 삭제 및 수정될 수 있다. 또한, 일정 기간 단위(예를 들면, 일주일마다)로 정보가 업데이트 될 수 있다.
도 3d은 지역 기반 사이버 침해 대응 분석 시스템에 의하여 각 자치구에서 발생한 보안 사고에 대한 메시지를 팝업으로 표시되는 것을 나타낸 것이다. 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 수신하는 경우, 디스플레이에 표시된 지도 중 지자체에 대응하는 부분에 보안 사고에 대한 메시지를 팝업으로 표시할 수 있다. 예를 들면, 통합 보안 관제 서버는 노원구청이 디도스 공격을 받고 있다는 정보를 수신한 경우, 지도의 노원구 구역에 "노원구청 디도스 공격" 이라는 메시지를 팝업으로 표시할 수 있다. 메시지가 팝업으로 표시됨과 동시에 통합 보안 관제 서버는 노원구에 대한 디도스 공격을 막기 위하여 노원구 보안 서버에게 노원구 관리 서버를 일정 시간 동안(예를 들면, 24시간) 인터넷 접속을 차단할 것을 지시할 수 있고, 노원구 보안 서버는 노원구 관리 서버의 인터넷 접속을 차단할 수 있다.
도 4는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 정보 상황판을 나타낸 도면이다.
지역 기반 사이버 침해 대응 분석 시스템은 사이버 위기 경보 단계(410)를 도 4와 같이 표시할 수 있다. 사이버 위기 경보 단계(410)는 정상, 관심, 주의, 경계, 심각과 같이 5단계로 구분할 수 있으며, 지역 기반 사이버 침해 대응 분석 시스템에 의하여 사이버 위기 경보를 일정 기준에 의하여 계산됨으로써 경보 단계를 표시할 수 있다.
사이버 위기 경보 단계는 국가적으로 피해가능성 또는 위협사항이 발생될 우려가 있을 경우 사이버위기 단계를 반영하여 발생시킬 수 있다. 또한, 사이버위기 경보단계별 증상 및 대처 요령 등을 공지하여 사이버위기 대응 능력강화를 위한 정보를 제공할 수 있다(420). 이때, 사이버 위기 경보 단계는 해당 관리자에 의하여 등급이 변경될 수 있고, 지역 기반 사이버 침해 대응 분석 시스템에 의하여 일정한 주기 단위로 일정 기준에 의한 계산에 의하여 등급이 변경될 수 있고 해당 담당자에게 사이버위기 경보 단계 변경이 통보할 수 있다
통합 보안 관제시스템은 자치구 보안 서버 또는/및 유관기관 보안 서버에 전달사항을 표시할 수 있다(430). 예를 들면, 북한 핵실험 도발관련 사이버위기 관심 경보 발령과 같은 전달사항을 표시할 수 있다. 또한, 지역 기반 사이버 침해 대응 분석 시스템은 국가 주요 행상 및 훈련등과 같은 사안이 발생하였을 경우 공지사항에 공지할 수 있고(440), 대응 요령 등을 공지할 수 있다.
도 5는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 정보 상황판을 나타낸 도면이다.
지역 기반 사이버 침해 대응 분석 시스템은 정보 상황판을 통하여 실시간 이관 처리 현황을 나타낼 수 있다. 통합 보안 관제 서버는 적어도 하나의 지자체 보안 서버에게 보안 요청 및 보안 요청에 대응하는 조치 기한을 송신할 수 있다. 이때, 보안 요청은 보안 요청에 대응한 조치완료 방법 정보를 포함하고, 조치 완료 방법 정보는 조치기한 내 보안 요청을 확인하는 제1 조치 완료 방법 및 조치기한 내 보안 요청에 대한 처리를 한 후 회신하는 제2 조치 완료 방법을 포함할 수 있다. 예를 들면, 전파된 내용을 확인 시 자동으로 조치 완료가 될 수 있고, 전파된 내용에 대하여 확인하고 회신을 함으로써 자동으로 조치 완료가 될 수 있다.
통합 보안 관제 서버는 적어도 하나의 지자체 보안 서버의 각각에 대하여 보안 요청, 보안 요청에 대응하는 조치기한 및 보안 요청에 대응하는 조치완료일을 표시할 수 있다. 보안 요청의 각각에 대하여 조치가 완료된 경우, 조치완료 전이고 현재 날짜가 조치기한을 넘지 않은 경우 및 조치완료 전이고 현재 날짜가 조치기한을 넘은 경우에 따라 보안 요청의 색을 다르게 표시할 수 있다. 예를 들면, 색은 등급필드에 표시될 수 있으며, 조치가 완료된 경우는 회색, 조치완료가 전이고 현재 날짜가 조치기한을 넘지 않은 경우는 녹색 및 조치완료 전이고 현재 날짜가 조치기한을 넘은 경우는 빨간색으로 표시할 수 있다. 또한, 보안 요청에 대한 처리가 미완료(510)된 경우, 완료(511)된 경우에 따라 구분될 수 있고, 공사/장애(512)인 경우 별로도 구분할 수 있다.
도 5a를 참고하면, 예를 들면, 강남구청 관리 서버에 비인가접근 보안 사고가 감지되었다면 강남구 보안 서버는 통합 보안 관제 서버로 보안 요청을 할 수 있다. 통합 보안 관제 서버는 강남구청 보안 서버로부터 접수된 사고 유형 및 보안 요청에 대응하는 조치기한을 표시할 수 있다. 2013년 6월 11일 14:00에 강남구청 보안 서버로부터 비인가접근에 대한 보안 요청이 접수되었다면, 통합 보안 관제 서버는 2013년 06월 12일 16:40이라는 조치기한을 표시할 수 있다. 또한, 통합 보안 관제 서버가 처리해야할 상황전파문(514), 보안권고문(514)도 표시될 수 있다.
도 5b를 참고하면, 통합 보안 관제 서버는 예를 들면, 강남구청 홈페이지 접속 장애, 강동구청 홈페이지 다운에 대하여 공사/장애(530) 탭에 분류하여, 기관별 사고유형 정보공유(공사)(531), 기관별 사고유형 정보공유(장애)(532)에 각각 분류하여 표시할 수 있다. 강남구청 홈페이지 접속 장애에 대하여 장애 처리가 완료되었다면 완료탭으로 이동될 수 있다.
도 5c를 참고하면, 처리되지 않은 사항들을 표시하는 상황판을 나타낸 것으로, 유관기관 사고 접수 및 이관, 보안권고문, 상황전파문, 기관별 사고유형 정보공유로 구분하여 표시할 수 있다. 처리되지 않은 사항들을 표시하는 상황판은 일정 기준 시간 단위(예를 들면, 3시간마다)로 해당 창이 나타날 수 있고, 처리된 사항들은 목록에서 사라질 수 있다.
도 6은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 금일 처리 현황을 나타낸 도면이다.
지역 기반 사이버 침해 대응 분석 시스템은 금일처리현황(610)을 나타낼 수 있다. 금일처리현황(610)은 금일(예를 들면, 2013년 06월 11일 00:00 ~ 2013년 06월 11일 24:00) 에 대한 유관기관 사고 접수 및 이관(620)에 대한 처리현황, 보안권고문(630)에 대한 처리현황, 상황전파문(640)에 대한 처리현황, 기관별 사고유형 정보공유(650)에 대한 처리현황을 나타낼 수 있다. 이때, 24:00 이후에는 초기화되어 1일 단위로 정보가 표시될 수 있다.
유관기관 보안 서버는 적어도 하나의 지자체 보안 서버에게 보안 요청 및 보안 요청에 대응하는 조치기한을 송신할 수 있고, 지자체 보안 서버는 네트워크를 통해 연결된 통합 보안 관제 서버에 금일 발생한 유관기관 사고 접수 및 이관(620)을 송신할 수 있다. 지역 기반 사이버 침해 대응 분석 시스템은 금일 처리한 유관기관 사고 접수 및 이관에 대한 접수번호, 이관구분, 이관요청일, 이관요청기관, 이관대상기관, 이관일시, 조치기한, 조치 완료일 및 비고 등을 출력할 수 있다. 예를 들면, 접수번호는 UCT-20130530-04, 이관구분은 취약점 정보수집, 이관요청일은 2013년06월11일 16:41, 이관요청기관은 정부통합전산센터, 이관대상기관은 강남구청, 이관일시, 2013년 6월 11일 16:41, 조치기한은 2013년 06월 12일 16:41, 조치완료일은 2013년 06월 11일 19:11일 수 있다. 이때, 이관요청기관인 정부통합전산센터로부터 2013년 06월 11일 16:41에 강남구청으로 이관을 요청하면, 유관기관 보안 서버는 통합 보안 관제 서버에 강남구청으로 이관을 요청한다는 메시지를 송신할 수 있고, 통합 보안 관제 서버는 강남구 지자체 보안 서버로 이관을 수행할 수 있다.
보안권고문(630)은 지역 기반 사이버 침해 대응 분석 시스템이 탐지한 침해사고와 보안 취약점 등에 대한 정보를 전달할 수 있다. 보안권고문은 문서관리번호, 보안권고내용, 탐지시간, 보안권고일시, 조치기한, 조치완료일 등을 포함할 수 있다. 예를 들면, 문서관리번호 2013051-A2-001, 보안권고문 곰플레이어 원격코드 취약점 보안 업데이트 권고, 탐지시간 2013년 06월 11일 13:51, 보안권고일시 2013년 06월 11일 13:51, 조치기한 2013년 06월 13일 18:00, 조치완료일 2013년 06월 12일 10:22와 같이 표시될 수 있다. 이때, 보안권고문(630)은 통합 보안 관제 서버로부터 지자체 보안 서버 및 유관기관 보안 서버로 전송될 수 있으며, 통합 보안 관제 서버는 전송된 서버가 보안 권고문 사항에 대응하는 조치를 취했는지 여부를 판단할 수 있다.
상황전파문(640)은 보안 특이사항이나 이슈와 같이 긴급하게 전파해야하는 사항을 전달할 수 있다. 이때, 상황전파문(640)은 문서관리번호, 상황전파내용, 이관일시, 조치완료일 등을 포함할 수 있다. 통합 보안 관제 서버는 금일 처리한 상황전파문을 표시할 수 있다. 예를 들면, 문서관리번호 20130613-63, 상황전파내용 [국가사이버안전센터] 침해사고 관련 IP 차단 요청, 이관일시 2013년 06월 11일 14:17, 상황전파일시 2013년 06월 11일 15:00, 조치완료일 2013년 06월 12일 18:00 와 같이 표시될 수 있다.
기관별 사고유형 정보공유(650)은 기관 또는 지자체에서 발생한 장애 상황을 통보하고 대처할 수 있도록 하기 위한 것으로, 기관명, 장비명, 상세내용, 탐지시간, 장애통보시간, 조치기한, 조치완료일 등을 포함할 수 있다. 통합 보안 관제 서버는 금일 처리한 기관별 사고유형 정보공유를 표시할 수 있다. 예를 들면, 기관명 강동구청, 장비명 강동 통합 백신 서버, 상세내용 홈페이지다운, 탐지시간 2013년 06월 11일 11:46, 장애통보시간 2013년 06월 11일 11:46, 조치기한 2013년 06월 13일 11:00, 조치완료일 2013년 06월 12일 15:00와 같이 표시될 수 있다.
도 7은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 상황전파문 목록을 나타낸 도면이다.
상황전파문은 보안 특이사항이나 이슈와 같은 긴급하게 상황을 전파하기 위한 것으로, 상황전파문 목록은 문서 관리번호, 전파할 내용에 대한 상황전파문(710), 이관일시(720), 상황전파일시(730), 조치기한(740), 조치완료일(750), 확인시간(760) 등을 포함할 수 있다.
상황전파문(710)은 지자체 보안 서버 또는/및 유관기관 보안 서버로부터 전송된 내용을 예를 들면, 문서 파일을 첨부하고, 전파할 내용을 표시할 수 있다. 이관일시(720)는 지자체 보안 서버 또는 유관기관 보안 서버로부터 이관된 일시를 표시할 수 있다. 상황전파일시(730)는 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버에 상황전파문을 전송한 일시를 의미할 수 있다. 조치기한(740)은 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버로 상황전파문을 전파해야하는 기한을 의미할 수 있고, 조치완료일(750)은 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버로 상황전파문을 전파한 일시를 의미할 수 있다. 확인시간(760)은 통합 관제 보안 서버가 외부로부터 전송된 해당 상황전파문을 감지한 시간을 의미할 수 있고, 관리자가 해당 상황전파문을 확인한 시간을 의미할 수도 있다. 이때, 상황전파문은 전파할 내용에 따라 지자체 및 유관기관 모두에 상황을 전파할 수도 있고, 지자체 또는 유관기관 중 하나에 상황을 전파할 수 있다.
예를 들면, 유관기관 보안 서버(예를 들면, 국가사이버안전센터)로부터 침해 사고 관련 IP 차단 요청이 왔다고 가정하자. 통합 보안 관제 서버는 국가사이버안전센터로부터 요청된 침해 사고 관련 IP차단에 대한 상황전파문을 저장하고 표시할 수 있다. 통합 보안 관제 서버는 유관기관 보안 서버로부터 이관된 날짜 및 시간을 저장할 수 있다. 통합 보안 관제 서버는 문서관리번호 20130613-63, 상황전파문(710) [국가사이버안전센터] 침해사고 관련 IP 차단 요청, 이관일시(720) 2013년 06월 11일 14:17, 상황전파일시(730) 2013년 06월 11일 15:00, 조치기한(740) 2013년 06월 13일 18:00 등을 저장할 수 있다.
통합 보안 관제 서버는 지자체 보안 서버 또는/및 유관기관 보안 서버에 상황전파문을 송신할 수 있으며 문서관리번호 20130613-63, 상황전파문(710) [국가사이버안전센터] 침해사고 관련 IP 차단 요청, 이관일시(720) 2013년 06월 11일 14:17, 상황전파일시(730) 2013년 06월 11일 15:00, 조치기한(740) 2013년 06월 13일 18:00, 조치완료일(750) 2013년 06월 12일 18:00, 확인시간(760) 2013년 06월 12일 20:21 와 같이 표시될 수 있다.
상황전파문은 지자체 보안 서버 및 유관기관 보안 서버로부터 전송된 상황전파문을 표시할 수 있고, 지자체 보안 서버로부터 전송된 상황전파문만을 표시할 수 있다. 조치기한이 지났으나 조치완료 처리가 되지 않은 경우 빨간색과 같이 하이라이트 표시를 할 수 있다. 또한, 상황전파문은 일정기간을 기준으로 수정, 삭제될 수 있으며, 일정기간을 기준으로 업데이트될 수 있다.
도 8은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 보안권고문 목록을 나타낸 도면이다.
보안권고문은 통합 관제 보안 서버가 탐지한 침해사고와 보안 취약점 등에 관한 정보를 지자체 보안 서버 또는/및 유관기관 보안 서버로 전송할 수 있다. 통합 관제 보안 서버는 보안권고문 목록을 통하여 보안권고문에 대한 구분(810), 문서관리번호, 전파할 보안권고문(820), 탐지일시(830), 보안권고일시(840), 조치기한(850), 조치완료일(860), 확인시간(870) 등을 저장하고 표시할 수 있다.
보안권고문은 지자체 보안 서버 또는/및 유관기관 보안 서버로부터 탐지된 위협에 대비할 수 있도록 예를 들면, 문서 파일을 첨부하고, 권고할 내용을 표시할 수 있다. 통합 보안 관제 서버는 보안권고문에 대한 구분(810)을 통하여 지자체 보안 서버 및 유관기관 전체에 권고할 것인지, 지자체에만 권고할 것인지를 구분하여 표시할 수 있다. 보안권고문(820)은 권고할 내용을 간략하게 표시할 수 있다. 탐지일시(830)는 지자체 보안 서버 또는 유관기관 보안 서버로부터 보안 요청이 탐지된 일시를 표시할 수 있다. 보안권고일시(840)는 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버에 보안권고문을 전송한 일시를 의미할 수 있다. 조치기한(850)은 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버로 보안권고문을 전파해야하는 기한을 의미할 수 있고, 조치완료일(860)은 통합 보안 관제 서버가 지자체 서버 또는/및 유관기관 서버로 보안권고문을 전파하여 조치가 완료된 일시를 의미할 수 있다. 확인시간(870)은 통합 보안 관제 서버로부터 해당 기관 보안 서버로 전송된 보안권고문을 확인한 시간을 의미할 수 있다.
예를 들면, 통합 보안 관제 서버는 지자체 보안 서버로부터 아래한글 임의코드 실행에 대하여 보안 위협을 2013년 05월 31일 08:22에 탐지하였다고 가정하자. 통합 보안 관제 서버는 보안 위협을 방지하기 위하여 유관기관 보안 서버 및 지자체 보안 서버에 아래한글 임의코드 실행 취약점에 대한 보안 업데이트를 하도록 2013년 06월 01일 09:00에 권고할 수 있다. 조치기한(850)은 2013년 06월 02일 18:00, 조치완료일(860)은 2013년06월 01일 09:01, 확인시간(870)은 2013년 06월 01일 18:00와 같이 표시될 수 있다. 통합 보안 관제 서버는 이에 대한 기록들을 리스트 형식으로 저장할 수 있고, 표시할 수 있다. 또한, 보안권고문 리스트는 일정기간을 기준으로 수정, 삭제될 수 있으며, 일정기간을 기준으로 업데이트될 수 있다.
도 9는 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 유관기관 사고 접수/이관 목록을 나타낸 도면이다.
통합 보안 관제 서버는 유관기관 보안 서버로부터 이관된 침해사고 내용을 분석한 후 해당기관으로 분석된 내용을 전달할 수 있고, 사고업무 처리과정, 결과 등을 이력화하여 업무에 활용할 수 있다. 유관기관 보안 서버는 적어도 하나의 지자체 보안 서버에게 보안 요청 및 보안 요청에 대응하는 조치기한을 송신할 수 있고, 지자체 보안 서버는 네트워크를 통해 연결된 통합 보안 관제 서버에 금일 발생한 유관기관 사고 접수 및 이관을 송신할 수 있다.
유관기관 사고 접수/이관 목록은 유관기관 사고 접수 및 이관에 대한 접수번호, 이관구분(910), 이관요청일(920), 이관요청기관(930), 이관대상기관(940), 이관일시(950), 조치기한(960), 조치 완료일(970) 등과 같이 구성될 수 있다. 예를 들면, 유관기관 사고 접수/이관 목록은 접수번호는 UCT-20130530-04, 이관구분(910)은 취약점 정보수집, 이관요청일(920)은 2013년06월11일 16:41, 이관요청기관(930)은 정부통합전산센터, 이관대상기관(940)은 강남구청, 이관일시(950), 2013년 6월 11일 16:41, 조치기한(960)은 2013년 06월 12일 16:41, 조치완료일(970)은 2013년 06월 11일 19:11을 저장하고 표시할 수 있다. 이때, 이관요청기관인 정부통합전산센터로부터 2013년 06월 11일 16:41에 강남구청으로 이관요청을 수행하면, 유관기관 보안 서버는 통합 보안 관제 서버에 강남구청으로 이관을 요청한다는 메시지를 송신할 수 있고, 통합 보안 관제 서버는 강남구 지자체 보안 서버에 이관일시가 접수될 수 있다.
도 10은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 기관별 사고 유형 정보공유 목록을 나타낸 도면이다.
기관별 사고 유형 정보공유 목록은 기관별 사고 유형 정보를 리스트 형태로 저장해놓은 것으로, 일정 기간을 기준으로 수정, 삭제와 같은 업데이트가 될 수 있다. 기관별 사고 유형 정보공유 목록은 구분(1010), 장비명(1020), 장애이력(1030), 장애탐지기간(1040), 장애통보시간(1050), 조치기한(1060), 조치완료일(1070) 및 비고와 같이 구성될 수 있다. 예를 들면, 통합 보안 관제 서버는 강동구청의 홈페이지가 다운된 것을 2013년 06월 12일 11:46에 감지할 수 있고. 강동구청 보안 서버에 2013년 06월 12일 11:46에 장애가 발생한 것을 통보할 수 있다. 통합 보안 관제 서버는 2013년 06월 13일 11:46까지 강동구 보안 서버를 통하여 강동구 관리 서버에 백신 프로그램을 설치하라고 지시할 수 있다. 이때, 강동구 보안 서버가 조치를 취하였다면 조치완료를 처리함과 동시에 권고라고 표시할 수 있고, 강동구 보안 서버가 조치를 취하고 그에 대한 답변을 송신한다면 회신이라고 표시할 수 있다.
도 11은 일 실시예에 따른 지역 기반 사이버 침해 대응 분석 시스템의 비상연락망 목록을 나타낸 도면이다.
통합 보안 관제 서버는 적어도 하나의 지자체 보안 서버와 연관된 비상 연락 전화번호로 취약 시간 대에 랜덤하게 호(call)를 발생시킬 수 있고, 호에 대한 응답 여부를 포함하여 보안 지수를 계산할 수 있다. 이때, 취약 시간대는 공휴일 및 하루 중 미리 정해진 시간대를 포함할 수 있다. 취약 시간대는 예를 들면, 18:00 ~ 06:00 일 수 있다. 통합 보안 관제 서버는 지자체 보안 서버와 연관된 비상 연락망을 저장하고 있을 수 있으며, 일정 기간 기준으로 업데이트할 수 있다.
예를 들면, 통합 관제 서버는 24:00에 강남구 보안 서버, 서초구 보안 서버와 연관된 비상 연락망 번호로 호를 발생시킬 수 있고, 호에 대한 응답 여부에 따라 보안 지수를 계산할 수 있다. 또한, 통합 보안 관제 서버는 예를 들면, 자치구 또는/및 유관기관의 홈페이지 보안, 서버 보안에 따라서 연락망을 분류하여 저장할 수 있고, 해당하는 보안 위협이 발생하였을 때, 알맞은 연락망에 호를 발생시킬 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
110: 인터넷
121, 122, 123: 지자체 보안 서버
130: 통합 보안 관제 서버
140: 유관 기관 보안 서버

Claims (14)

  1. 지역 기반 사이버 침해 대응 분석 시스템에 있어서,
    적어도 하나의 지자체의 각각의 사이버 보안을 관리하는 적어도 하나의 지자체 보안 서버; 및
    상기 적어도 하나의 지자체 보안 서버와 네트워크를 통해 연결되고, 상기 적어도 하나의 지자체에 대응하는 부분을 포함하는 자치구별 지도를 디스플레이에 표시하는 통합 보안 관제 서버
    를 포함하고,
    상기 통합 보안 관제 서버는,
    상기 자치구별 지도에서 클릭된 특정의 지자체에 대해 계산되는 보안 지수를, 상기 자치구별 지도 상에서 상기 특정의 지자체에 대응하는 부분과 연관하여 표시하되,
    상기 보안 지수가 속하는 보안지수 점수 범위에 지정되는 색으로, 상기 지자체에 대응하는 부분을 구분하는
    지역 기반 사이버 침해 대응 분석 시스템.
  2. 제1항에 있어서,
    상기 지역 기반 사이버 침해 대응 분석 시스템은,
    상기 적어도 하나의 지자체 보안 서버에게 보안 요청 및 상기 보안 요청에 대응하는 조치기한을 송신하는 적어도 하나의 유관기관 보안 서버
    를 더 포함하는 지역 기반 사이버 침해 대응 분석 시스템.
  3. 제1항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버에게 보안 요청 및 상기 보안 요청에 대응하는 조치기한을 송신하는
    지역 기반 사이버 침해 대응 분석 시스템.
  4. 제3항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 보안 요청을 수신한 상기 적어도 하나의 지자체 보안 서버가 상기 보안 요청에 대응하는 조치기한 내에 상기 보안 요청에 대응하는 조치를 하였는지를 포함하여 상기 보안 지수를 계산하는
    지역 기반 사이버 침해 대응 분석 시스템.
  5. 제3항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 일정한 기간 동안 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 상기 보안 지수를 계산하는
    지역 기반 사이버 침해 대응 분석 시스템.
  6. 제3항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버와 연관된 비상 연락 전화번호로 취약 시간대에 랜덤하게 호(call)를 발생시키고,
    상기 호에 대한 응답 여부를 포함하여 상기 보안 지수를 계산하고,
    상기 취약 시간대는 공휴일 및 하루 중 미리 정해진 시간대를 포함하는
    지역 기반 사이버 침해 대응 분석 시스템.
  7. 제3항에 있어서,
    상기 보안 요청은,
    상기 보안 요청에 대응한 조치완료방법 정보를 포함하고,
    상기 조치완료방법 정보는,
    상기 조치기한 내 상기 보안 요청을 확인하는 제1 조치완료방법; 및
    상기 조치기한 내 상기 보안 요청에 대한 처리를 한 후 회신하는 제2 조치완료방법
    을 포함하는 지역 기반 사이버 침해 대응 분석 시스템.
  8. 제7항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 보안 요청의 각각에 대하여,
    상기 보안 요청을 요청한 유관기관에 관한 정보;
    상기 보안 요청을 요청한 일시에 관한 정보;
    상기 보안 요청을 수신하는 지자체 보안 서버에 관한 정보;
    상기 보안 요청에 대응하는 조치기한; 및
    상기 보안 요청에 대한 조치를 상기 지자체 보안 서버가 수행하였는지 여부에 관한 정보
    를 상기 디스플레이 상에 표시하는 지역 기반 사이버 침해 대응 분석 시스템.
  9. 제3항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버의 각각에 대하여 상기 보안 요청, 상기 보안 요청에 대응하는 조치기한 및 상기 보안 요청에 대응하는 조치완료일을 표시하고,
    상기 보안 요청의 각각에 대하여 조치가 완료된 경우, 조치완료 전이고 현재 날짜가 조치기한을 넘지 않은 경우, 및 조치완료 전이고 현재 날짜가 조치기한을 넘은 경우에 따라 상기 보안 요청의 색을 다르게 표시하는
    지역 기반 사이버 침해 대응 분석 시스템.
  10. 제3항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고 및 상기 보안 사고의 유형에 관한 정보를 상기 적어도 하나의 지자체 보안 서버로부터 수신하고,
    상기 지자체의 관리 서버에서 일정한 기간 동안 동일한 유형의 보안 사고가 미리 정해진 회수 이상 발생하였는지를 포함하여 상기 보안 지수를 계산하는
    지역 기반 사이버 침해 대응 분석 시스템.
  11. 제10항에 있어서,
    상기 보안 사고의 유형은,
    비 인가 접근;
    악성 코드;
    서버 다운;
    서버 접속 장애;
    이상 트래픽; 및
    서버 취약점
    중 적어도 하나를 포함하는 지역 기반 사이버 침해 대응 분석 시스템.
  12. 제11항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고,
    상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 상기 보안 사고의 유형이 이상 트래픽인 경우, 다른 지자체 보안 서버에게 인터넷 차단을 지시하는 보안 요청을 송신하는
    지역 기반 사이버 침해 대응 분석 시스템.
  13. 제11항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버로부터 수신한 정보를 분석하고,
    상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 상기 보안 사고의 유형이 악성 코드인 경우, 다른 지자체 보안 서버에게 상기 악성 코드에 대한 백신 프로그램을 송신하여 상기 백신 프로그램의 설치를 지시하는 보안 요청을 송신하는
    지역 기반 사이버 침해 대응 분석 시스템.
  14. 제1항에 있어서,
    상기 통합 보안 관제 서버는,
    상기 적어도 하나의 지자체 보안 서버에 대응하는 지자체의 관리 서버에서 발생한 보안 사고에 관한 정보를 수신하는 경우, 상기 보안 사고와 관련한 지자체에 대응하는 부분에 상기 보안 사고에 대한 메시지를 팝업으로 표시하는
    지역 기반 사이버 침해 대응 분석 시스템.
KR1020140066170A 2014-05-30 2014-05-30 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법 KR101646329B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140066170A KR101646329B1 (ko) 2014-05-30 2014-05-30 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140066170A KR101646329B1 (ko) 2014-05-30 2014-05-30 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20150138988A KR20150138988A (ko) 2015-12-11
KR101646329B1 true KR101646329B1 (ko) 2016-08-09

Family

ID=55020237

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140066170A KR101646329B1 (ko) 2014-05-30 2014-05-30 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101646329B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240022323A (ko) * 2022-08-11 2024-02-20 한국전력공사 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101676366B1 (ko) 2016-06-23 2016-11-15 국방과학연구소 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
KR101941039B1 (ko) 2018-05-29 2019-01-23 한화시스템(주) 사이버 위협 예측 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
KR20040011866A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 정보보안 위험 지수 시스템 및 그 방법
KR20110059919A (ko) * 2009-11-30 2011-06-08 주식회사 케이티 웹 리다이렉트를 이용한 비정상 행위 단말의 제한을 위한 네트워크 접속 관리 방법 및 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240022323A (ko) * 2022-08-11 2024-02-20 한국전력공사 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템
KR102697234B1 (ko) * 2022-08-11 2024-08-22 한국전력공사 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템

Also Published As

Publication number Publication date
KR20150138988A (ko) 2015-12-11

Similar Documents

Publication Publication Date Title
US20190342307A1 (en) System and method for monitoring security attack chains
CA2926603C (en) Event correlation across heterogeneous operations
EP2892197B1 (en) Determination of a threat score for an IP address
EP3079336B1 (en) Event correlation across heterogeneous operations
Cerrudo An emerging us (and world) threat: Cities wide open to cyber attacks
EP3343867B1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US8868728B2 (en) Systems and methods for detecting and investigating insider fraud
KR101653736B1 (ko) 건설현장 재해방지시스템 및 방법
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
CN117769706A (zh) 在网络中自动检测和解析网络安全的网络风险治理系统及方法
US20130325545A1 (en) Assessing scenario-based risks
US20080229149A1 (en) Remote testing of computer devices
KR101646329B1 (ko) 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
CN117501658A (zh) 安全事件告警的可能性评估
Alqudhaibi et al. Cybersecurity 4.0: safeguarding trust and production in the digital food industry era
KR101081875B1 (ko) 정보시스템 위험에 대한 예비경보 시스템 및 그 방법
KR102090757B1 (ko) 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법
Schauer et al. Detecting sophisticated attacks in maritime environments using hybrid situational awareness
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
EP3771172A1 (en) Managing security related information technology services
KR20220117188A (ko) 보안 규제 준수 자동화 장치
Papadopoulos et al. PRAETORIAN: A Framework for the Protection of Critical Infrastructures from advanced Combined Cyber and Physical Threats
KR20160046767A (ko) 개인정보보호 측정 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
GRNT Written decision to grant