KR101883400B1 - 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 - Google Patents
에이전트리스 방식의 보안취약점 점검 방법 및 시스템 Download PDFInfo
- Publication number
- KR101883400B1 KR101883400B1 KR1020170154605A KR20170154605A KR101883400B1 KR 101883400 B1 KR101883400 B1 KR 101883400B1 KR 1020170154605 A KR1020170154605 A KR 1020170154605A KR 20170154605 A KR20170154605 A KR 20170154605A KR 101883400 B1 KR101883400 B1 KR 101883400B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- result
- command
- parsing
- security
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/30—Creation or generation of source code
- G06F8/37—Compiler construction; Parser generation
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 다양한 정보시스템의 보안취약점을 단시간에 적은 인력으로 점검할 수 있을 뿐만 아니라, 에이전트(agent)를 설치할 수 없거나 스크립트 실행이 어려운 장비도 보안점검을 할 수 있는 보안취약점 점검 방법에 관한 것이다.
Description
본 발명은 보안취약점 점검 방법 및 시스템에 관한 것으로, 상세하게는 다양한 정보시스템의 보안취약점을 단시간에 적은 인력으로 점검할 수 있을 뿐만 아니라, 에이전트(agent)를 설치할 수 없거나 스크립트 실행이 어려운 장비도 보안점검을 할 수 있는 에이전트리스 방식의 보안취약점 점검 방법 및 시스템에 관한 것이다.
전자 통신 기술이 발달함에 따라 급속한 발전을 이룬 것이 인터넷이라는 거대한 네트워크이다.
이 인터넷을 포함하는 네트워크 기술은 일상생활의 전 분야에 걸쳐 개인과 개인, 개인과 조직, 조직과 조직을 서로 연결해 주는 하나의 매개체로 이에 대한 의존도가 점차로 증가하고 있으며, 인터넷에서 흐르는 정보의 중요성도 점점 증가하고 있다.
이러한 정보 기술의 발달에 따라 정보 기술을 이용한 서비스 또는 사업 영역이 확대되고 있고, 그 예로 은행의 경우 모바일 앱을 통한 폰뱅킹 서비스, 인터넷뱅킹 서비스, 지로공과금 처리서비스, 무인자동인출기를 통한 계좌송금서비스, 해외텔레뱅킹 서비스 등이 있다.
이와 같이 정보 기술이 다양한 분야에 이용되는 만큼 정보를 관리하는 것 또한 매우 중요한 기술 중 하나가 되고 있고, 이를 위해 개인이나 기업의 정보와 기술 보안 관리 업무 영역이 늘어남에 따라 정보 보안관리를 위한 다양한 기술이 개발되고 있다.
이러한 정보를 관리하는 기술 즉, 네트워크 상에서 보안을 유지하기 위한 다양한 기술이 있고, 이러한 기술 중에는 보안 취약점을 미리 점검하기 위한 기술이 있다.
즉, 다양한 정보시스템이 사용됨에 따라 정보시스템의 보안취약점을 진단할 대상은 매년 증가추세이며, 최근 전 세계적으로 큰 피해가 발생하는 사이버 위협이 지속 증가추세로 예방차원의 지속적인 점검 및 조치 관리를 위해 보안취약점 상시 점검 및 조치 관리 체계 구축이 필요하다.
보안 취약점 점검을 위한 기술의 예로 특허문헌 1 내지 2의 기술이 있다.
특허문헌 1은 특정 네트워크의 대상 디바이스와 대상 디바이스의 포트를 검색하여 서비스 정보가 획득되면, 획득된 서비스 정보에 대한 주요특성정보가 프로파일 데이터베이스로부터 검색하고, 검색된 주요특성정보에 기초하여 조회 키 타입을 결정하며, 결정된 조회 키 타입을 검색키로 하여 취약성 리스트 관리 데이터베이스로부터 주요특성정보에 존재하는 취약성 검사 리스트를 획득하는 취약성 분석부와, 주요특성정보에 존재하는 취약성 검사 리스트에 대하여 기설정된 특성정보를 기반으로 주요특성정보의 취약성을 점검하는 공격 에이전트와, 점검된 주요특성정보의 취약성의 결과를 리포팅하는 결과 분석부와, 리포팅되는 주요특성정보의 취약성의 결과를 취약성 진단 도구로 인터페이스하는 GUI 관리부를 포함하는 것이고,
특허문헌 2는 클라우드 시스템의 보안 취약점 탐지 장치에 있어서, 대상 클라우드 시스템에 관한 설정 정보 및 클라우드 시스템에 대한 공개 보안 취약점 정보 및 공개 보안취약점 정보를 기초로 미리 정의된 클라우드 보안 취약점 정책(Cloud Vulnerability Policy, CVP) 정보를 포함하는 분석 기초 정보 중의 하나 이상을 포함하는 관리 정보를 수집하고, 사용자의 요청에 따라 관리 정보를 취약점 탐지 관리부에 전송하는 통합 제어 관리부; 공개 보안 취약점 정보를 분석하여 각 클라우드 환경에 대한 클라우드 보안 취약점 탐지 정책을 생성하되, 공개 보안 취약점 정보가 변경될 때마다 클라우드 보안 취약점 탐지 정책을 다시 생성하는 기초 정보 관리부; 및 통합 제어 관리부로부터 수신된 관리 정보를 기초로 미리 생성된 취약점 탐지 스크립트를 실행하여 대상 클라우드 시스템으로부터 탐지 정보를 획득하고, 미리 생성된 보안 취약점 분석 스크립트를 실행하여 획득된 탐지 정보와 분석 기초 정보를 비교하여 그 비교 결과에 따라 보안 취약점 노출 여부를 판단하는 취약점 탐지 관리부를 포함하는 보안 취약점 탐지 장치에 관한 것이다.
이러한 다양한 보안 취약점 점검을 위한 시스템이 개발되고 있으나 이들은 도 4에 도시한 바와 같이, 보안취약점에 대한 정보를 수집하기 위해 대상시스템들에 에이전트(Agent)를 설치하거나, 스크립트(Scripts)를 수행하여 필요한 정보를 수집하고 있다.
이에 따라 에이전트의 설치가 어렵거나, 스크립트 수행이 어려운 대상시스템들에 대해서는 SNMP(simple network management protocol, 간이 망 관리 프로토콜) 등 다른 프로토콜을 통해 정보를 수집하거나 네트워크 상의 핑(ping) 이나 포트스캔 등을 통해 정보를 수집하지만 보안취약점을 점검하기 위한 다양한 정보를 확인하기는 어렵다.
또한, 계속 진화하는 사이버 공격들에 긴급하게 대응해야 하는 경우 에이전트를 패치 하거나 스크립트를 수정하여 배포하여 취약점 점검하기에 많은 시간과 인력이 소모되는 단점이 있다.
본 발명은 상기한 바와 같이 종래 기술의 문제점을 해결하기 위해 개발된 것으로, 다양한 정보시스템의 보안취약점을 단시간에 적은 인력으로 점검할 수 있을 뿐만 아니라, 에이전트(agent)를 설치할 수 없거나 스크립트 실행이 어려운 장비도 보안점검을 할 수 있는 보안취약점 점검 방법 및 시스템을 제공하는 것을 목적으로 한다.
특히 본 발명은 ssh/telnet/rdp를 사용한 명령어 수행 및 결과 수집 방식을 사용한 보안취약점 점검할 수 있게 한 보안취약점 점검 방법 및 시스템을 제공하는 것을 목적으로 한다.
이러한 목적을 이루기 위한 본 발명에 따른 보안취약점 점검 방법은 정보시스템의 보안 취약점을 점검하는 방법에 있어서, 점검대상시스템 및 관리자 정보를 등록하는 정보등록단계(S1)와; 각 명령어별 파싱정보와 점검 결과 추출 정보를 등록하는 명령어 등록단계(S2); 등록된 명령어들을 시스템별, 점검항목을 포함하는 목적에 따라 명령어 그룹을 생성하는 명령어 그룹설정단계(S3); 및 해당 점검대상시스템에 따라 설정된 주기 및 명령어 그룹에 따라 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 명령어를 전송하고, 점검대상시스템으로부터 전송받은 명령어의 결과를 파싱정보로 파싱하여 점검대상시스템의 보안성을 추출하는 명령어 수행단계(S4)로 이루어진 것을 특징으로 한다.
상기 정보등록단계(S1)는 점검대상시스템의 시스템명, 시스템IP, 관리자정보를 포함하는 시스템 기본 정보를 등록하는 점검대상정보 등록단계(S11); 점검대상시스템별로 접속서비스(SSH/Telnet/RDP)를 선택하고, 접속서비스 포트 및 ID와 패스워드를 입력하는 접속정보등록단계(S12); 점검대상시스템에 접속하기 위한 접속절차를 등록하는 접속절차등록단계(S13)로 이루어질 수 있다.
상기 명령어 등록단계(S2)는 점검대상시스템의 환경에 맞추어 명령어를 등록하는 점검 명령어 입력단계(S21); 명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보를 입력하는 파싱정보등록단계; 임계치 설정 및 결과, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과를 포함하는 파싱결과에 대해 결과 추출 방법을 설정하는 결과추출정보등록단계(S23)로 이루어지는 것이 바람직하다.
상기 명령어 수행단계(S4)는 점검대상시스템의 특성에 따라 명령어 그룹이나 명령어를 선택하고, 원하는 점검 시간이나 주기를 설정하는 점검수행설정단계(S41); 설정시간이 되면 자동으로 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 로그인하는 시스템접속단계(S42); 관리서버에서 점검대상시스템에 설정된 명령어 그룹이나 명령어를 전송하는 명령어전송단계(S43); 관리서버가 정보수집서버에서 수집한 점검대상시스템의 전송된 명령어에 대한 결과를 수신받아 수행된 명령어의 파싱정보로 파싱하여 결과를 추출하는 파싱정보추출단계(S44); 추출된 파싱정보로부터 점검대상의 보안의 정상 여부와, 점검이 정상적으로 이루어졌는지 여부를 추출하는 결과추출단계(S45)로 이루어질 수 있다.
본 발명의 다른 일 양상에 따른 컴퓨터로 읽어들일 수 있는 기록매체는 상기한 보안점검방법을 수행하는 프로그램이 저장되어 있다.
또한 본 발명의 다른 일양상에 따른 에이전트리스 방식의 보안취약점 점검 시스템은 상기한 보안점검방법을 수행하기 위한 시스템에 있어서, 점검대상시스템의 시스템명, 시스템IP, 관리자정보, 점검대상시스템별로 접속서비스 선택(SSH/Telnet/RDP), 접속서비스 포트, 점검대상시스템에 접속 위한 ID, Password 정보와, 점검대상시스템의 환경에 맞는 명령어, 명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보, 점검의 위한 임계치, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과 정보를 저정하는 정보관리DB(11)와, 명령어 수행을 위한 프로그램(22)를 구비한 관리서버(20); 상기 관리서버에서 전송된 점검대상시스템의 정보와 명령어에 따라 자동으로 점검대상시스템에 접속하여 명령어를 수행하고, 그 결과를 수신한 결과값을 수집하는 정보수집서버(10)를 포함하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 보안취약점 점검 방법 및 시스템은 에이전트(Agent)의 설치나 스크립트(Scripts) 수행이 어려운 네트워크 장비나 보안 장비에 대해서도 자동화된 보안취약점 점검이 가능하여 서버뿐 아니라 전체 정보시스템에 대한 보안취약점 점검 및 조치 관리체계가 일원화되어 효과적인 취약점 관리가 가능하게하는 효과가 있다.
또한, 시스템 그룹별이나 점검항목별로 보안취약점 점검이 가능하며, 점검항목에 대한 추가/수정이 용이하여 긴급 취약점 점검항목 등에 대한 빠른 점검이 가능하게 하는 효과도 있다.
또한, 에이전트 설치에 따른 패치 등의 관리나, 스크립트 배포 등에 따른 추가 업무가 필요 없기 때문에 수작업이 감소하여 업무효율성을 향상시킬 수 있어 지속적인 취약점 제거 업무에 집중할 수 있게 한다.
즉시 점검이나 스케줄에 의한 점검에 의해 상시 점검이 가능하여 전체 정보시스템의 보안성 강화할 수 있는 효과가 있다.
도 1은 본 발명에 따른 에이전트리스 방식의 보안취약점 점검 시스템의 구성도
도 2는 본 발명에 따른 에이전트리스 방식의 보안취약점 점검 방법에서의 정보 등록 과정도
도 3은 본 발명에 따른 에이전트리스 방식의 보안취약점 점검 과정도
도 4는 종래 에이전트 또는 스크립트를 이용한 보안점검 시스템의 구성도
도 2는 본 발명에 따른 에이전트리스 방식의 보안취약점 점검 방법에서의 정보 등록 과정도
도 3은 본 발명에 따른 에이전트리스 방식의 보안취약점 점검 과정도
도 4는 종래 에이전트 또는 스크립트를 이용한 보안점검 시스템의 구성도
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 상세한 설명을 통해 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명은 에이전트(agent)를 설치하지 않거나 스크립트(Scripts) 실행을 하지 않아도 보안 점검이 가능하여 이들을 설치하거나 실행할 수 없는 장비를 포함하는 다양한 정보시스템의 보안취약점을 단시간에 적은 인력으로 점검할 수 있다.
본 발명에 따른 정보시스템의 보안 취약점을 점검하는 방법은 점검대상시스템 및 관리자 정보를 등록하는 정보등록단계(S1)와; 각 명령어별 파싱정보와 점검 결과 추출 정보를 등록하는 명령어 등록단계(S2); 등록된 명령어들을 시스템별, 점검항목을 포함하는 목적에 따라 명령어 그룹을 생성하는 명령어 그룹설정단계(S3); 및 해당 점검대상시스템에 따라 설정된 주기 및 명령어 그룹에 따라 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 명령어를 전송하고, 점검대상시스템으로부터 전송받은 명령결과를 수행된 명령어의 파싱정보로 파싱하여 점검대상시스템의 보안성을 추출하는 명령어 수행단계(S4)로 이루어진다.
상기 정보등록단계(S1)는 점검대상시스템의 정보와 보안점검을 위한 관리자 정보를 입력하는 단계이다.
이 정보등록단계(S1)에서 이루어지는 점검대상시스템의 정보를 등록하기 위한 단계는 점검대상등록단계, 접속정보등록단계(S12) 및 접속절차등록단계(S13)를 포함한다.
상기 점검대상정보 등록단계(S11)에서는 점검대상시스템의 시스템명, 시스템IP 정보를 포함하는 시스템 기본 정보를 등록한다.
즉, 보안점검을 위해선 관리자에 의해 운용되는 관리서버(20)를 구비하고 있어야 하고, 이 관리서버에 의해 보안 점검이 이루어지는 점검대상시스템은 다수가 될 수 있다. 이에 따라 각 점검대상시스템은 시스템별로 해당 시스템별로 고유의 시스템명과, 시스템을 구성하는 네트워크 장비, 시스템의 IP정보를 구분하여햐 하고, 이를 위해 상기한 점검대상정보 등록단계(S11)를 통해 해당 점검대상시스템의 정보를 입력한다.
또한 상기 점검대상정보 등록단계(S11)에서는 보안점검 담당자의 정보를 등록시킬 수 있고, 관리자 정보는 관리자가 운용하는 관리자 단말기의 이름, IP주소를 포함하는 관리자 컴퓨터 정보, 관리자의 인적사항, 직급, 보안등급 등의 정보가 입력될 수 있다.
상기 접속정보등록단계(S12)는 다양한 점검대상시스템마다 네트워크 구성 및 특성이 다를 뿐만 아니라, 고유의 점검 대상이나 항목이 있을 수 있으므로, 해당 점검대상시스템에 적합한 접속 방법이나 접속장비의 특성 및 접속에 필요한 ID, 패스워드를 등록시키는 단계이다.
상기 접속정보등록단계(S12)에서는 점검대상시스템별로 접속서비스(SSH/Telnet/RDP) 중 하나를 선택하고, 접속서비스 포트 입력한다.
상기에서 접속서비스는 점검을 위해 장비에 접속하기 위한 수단으로, 시스템이나 서비스 형태 중 어느 하나가 될 수 있다. 즉, SSH(secure shell)는 공개 키 방식의 암호 방식을 사용하여 원격지 시스템에 접근하여 암호화된 메시지를 전송할 수 있는 시스템이고,
Telnet은 원격지의 컴퓨터를 인터넷을 통해 접속하여 자신의 컴퓨터처럼 사용할 수 있는 원격 접속 서비스로, 원격 컴퓨터를 이용할 수 있는 점검대상시스템의 사용자 계정이다.
RDP는 원격 데스크톱 프로토콜(Remote Desktop Protocol)로, 마이크로소프트사가 개발한 사유 프로토콜이며, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공한다.
상기 접속절차등록단계(S13)는 본안 점검을 하기 위해 점검대상시스템 모델별 자동 접속을 위한 절차를 등록시키기 원한 단계로, 자동으로 접속하기 위한 ID, 패스워드, 특정 명령어를 전송하는 절차를 등록한다.
상기 명령어 등록단계(S2)는 서로 다른 점검대상시스템에 해당되는 다양한 점검 명령어를 등록시키는 단계로, 명령어 입력단계(S21), 파싱정보등록단계(S22), 및 결과추출정보등록단계(S23)를 포함한다.
상기 명령어 입력단계(S21)는 점검대상시스템의 환경에 맞추어 명령어를 등록하는 단계이다.
상기 파싱정보등록단계(S22)는 명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보를 입력하는 단계로, 관리서버에서 전송된 명령어에 따른 점검대상시스템의 반응 정보를 정보수집서버(10)에서 수집하여 관리서버에 전송하여야 하며, 이 전송된 정보를 파싱하기 위해서는 기본적인 분석 기준 정보가 있어야 하며, 이 기본정보가 이 파싱정보입력단계에서 입력된다.
상기 결과추출정보등록단계(S23)는 파싱 결과에 따른 보안 상태를 추출하기 위한 정보를 입력하는 단계로, 보안점검에 필요한 점검 대상 정보의 임계치 설정 및 결과, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과를 등록한다.
상기 명령어 그룹설정단계(S3)는 등록된 명령어들을 시스템별, 점검항목을 포함하는 목적에 따라 명령어 그룹을 생성하는 단계이다.
즉, 점검대상시스템 마다 서로 다른 특성을 갖고 있음에 따라 해당 점검대상시스템에 맞게 명령어를 설정하는 것이 바람직하고, 이를 위해 해당 점검대상시스템에 맞도록 명령어를 그룹화하여 관리함에 따라 관리를 보다 쉽게 할 수 있는 것이다.
상기한 바와 같은 정보 및 명령어등록단계에서 입력된 정보는 점검대상시스템의 점검의 기준 정보가 되고, 이 정보를 근거로 점검대상시스템의 보안점검이 이루어진다.
보안점검을 위해서는 명령어를 수행하는 상기 명령어 수행단계(S4)를 수행하여야 한다.
상기 명령어 수행단계(S4)는 도 2에 도시한 바와 같이, 점검대상시스템의 특성에 따라 명령어 그룹이나 명령어를 선택하고, 원하는 점검 시간이나 주기를 설정하는 점검수행설정단계(S41); 설정시간이 되면 자동으로 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 로그인하는 시스템접속단계(S42); 관리서버에서 점검대상시스템에 설정된 명령어 그룹이나 명령어를 전송하는 명령어전송단계(S43); 관리서버가 정보수집서버에서 수집한 점검대상시스템의 전송된 명령어에 대한 결과를 수신받아 수행된 명령어의 파싱정보로 파싱하여 결과를 추출하는 파싱정보추출단계(S44); 및 추출된 파싱정보로부터 점검대상의 보안의 정상 여부와, 점검이 정상적으로 이루어졌는지 여부를 추출하는 결과추출단계(S45)로 이루어진다.
상기 점검수행설정단계(S41)는 실시간으로 점검이 실행되는 시간에 진행되거나 예약된 시간에 수행될 수 있다.
즉, 본 발명의 보안점검 방법에서는 최초 시스템을 구축할 때 점검대상시스템에서 요구하는 점검 실행 주기나 대상을 미리 입력해 놓고, 해당 시각이나 주기가 되면 도 3에 도시한 바와 같이 자동으로 점검이 이루어질 수 있게 할 수 있으나, 관리자 또는 수요자가 원하는 시간에 보안점검을 할 수도 있다.
상기 시스템접속단계(S42)는 보안 점검이 실행되면 해당 점검대상시스템에 접속하기위한 단계로, 실시간 점검일 경우에는 즉시 점검대상시스템에 접속하기 위한 ID와 패스워드를 자동으로 입력하여 로그인함에 의해 접속할 수 있으나, 점검시간이나 주기가 예약된 경우에는 자동으로 예약된 시간에 로그인하여 접속할 수 있다.
상기 명령어전송단계(S43)는 상기 명령어 등록단계에서 등록되고, 해당 점검대상시스템에 맞추어 명령어가 설정된 상태에서 점검이 시작되면 관리서버에서 실행 명령을 전달하고, 이 실행 명령에 따라 기 설정된 명령어를 점검대상시스탬에 전송하는 단계이다,
상기 파싱정보추출단계(S44)는 명령어전송단계(S43)에서 전송된 명령어에 반응하는 점검대상시스템의 반응 정보를 정보수집서버에서 수집하고, 이 정보수집서버로부터 정보를 수신한 관리서버는 보안점검프로그램을 통해 수집된 정보를 파싱한다.
상기 결과추출단계(S45)는 파싱정보추출단계(S44)에서 파싱된 파싱정보를 분석하여 해당 점검대상시스템의 보안성을 추출하는 단계로, 상기 결과추출정보등록단계(S23)에서 등록된 점검 대상 정보의 임계치, 파싱 결과값에 의한 정상/비정상값, 파싱 결과값에 의한 true/false값 등과 비교하여 점검결과를 추출한다.
상기 명령어는 접속절차에서의 명령어와 점검을 위한 명령어가 있다.
접속절차에서의 명령어는 접속을 위해 ID, 패스워드를 입력하게 되는데 네트워크 장비나 보안 장비와 같은 경우에는 ID 나 패스워드 이외에 특정 명령어를 입력해야 하는 경우가 있습니다.
예를 들면 Cisco의 경우 ID -> password -> "enable" -> enable_pasword 와 같이 enable 이라는 명령어를 입력해야 한다.
보안장비들의 경우에도 관리자 권한을 획득하기 위한 특정 명령어를 입력할 수 있다.
취약점 점검을 위한 명령어의 일예로 계정 잠금 임계값 설정 점검시 해당 설정 값을 확인하기 위한 linux의 예로 cat/etc/pam.d/system-auth 명령으로 설정 내용을 확인하였을 때, 결과 내용은 "auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root account required /lib/security/pam_tally.so no_magic_root reset "이 된다.
또한, 상기 임계치 설정과정에서 임계치는 cpu 등의 사용량을 확인하였을 때(명령어: "sar") 임계치 설정을 80으로 설정했을 때 명령어 결과값이 80을 초과한 경우 임계치 결과에 대해 "FALSE" 로 출력해준다. 물론 80이하일때에는 정상으로 판단한다.
비정상/정상을 판단하는 파싱결과값의 예로, linux에서 network interface를 확인하기 위해 "ifconfig -a" 라는 명령어를 사용했을 때, interface의 정보에서 "UP" 으로 표시되어야 하는 부분에 "DOWN" 으로 표시되어 있으면 결과를 "비정상" 으로 "UP" 으로 표시되면 결과를 "정상"으로 출력해준다.
true/false로 판단하는 파싱결과값의 예로, linux에서 계정잠금 임계값 설정 확인시 명령어 "cat /etc/pam.d/system-auth" 명령어를 사용했을 때, deny값이 설정되어 있는지 설정되어 있는지에 대한 확인 결과가 필요한 경우 설정되어 있으면 "true" 설정이 되어 있지 않을때 "false" 를 출력한다.
위와 같이 여러 경우에 대해 임계치, 정상/비정상, true/false 에 대한 판단이 필요한 경우에 대한 설정과 그에 따른 결과를 도출한다.
상기한 바와 같은 방법으로 이루어지는 에이전트리스 방식의 보안취약점 점검 방법은 프로그램으로 이루어질 수 있고, 이 프로그램은 컴퓨터로 읽을 수 있는 기록매체이다.
물론, 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터로 읽을 수 있는 프로그래밍 언어 코드 형태로 구현될 수도 있고, 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 플래시 메모리, 솔리드 스테이트 디스크(SSD) 등이 될 수 있다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터 간에 연결된 네트워크를 통해 전송될 수도 있다.
또한, 상기한 바와 같은 방법으로 이루어지는 에이전트리스 방식의 보안취약점 점검 방법은 도 1에 도시한 바와 같이 구성된 시스템에 의해 이루어진다.
이러한 시스템은 통상의 네트워크에 연결된 컴퓨터와 동일 유사할 수 있으나, 관리서버(20)는 점검대상시스템의 시스템명, 시스템IP, 관리자정보, 점검대상시스템별로 접속서비스 선택(SSH/Telnet/RDP), 접속서비스 포트, 점검대상시스템에 접속 위한 ID, Password 정보와, 점검대상시스템의 환경에 맞는 명령어, 명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보, 점검의 위한 임계치, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과 정보를 저정하는 정보관리DB(11)와, 명령어 수행을 위한 프로그램(22)를 구비하고 있다.
또한 상기 관리서버에서 전송된 명령어에 따라 점검대상시스템으로부터 수신한 결과값을 수집하는 정보수집서버(10)를 포함할 수 있다.
물론, 정보수집서버(10)는 관리서버에 일체로 구성될 수도 있다.
10: 정보수집서버
20: 관리서버
21: 등록관리DB 22: 점검프로그램
30: 대상시스템
20: 관리서버
21: 등록관리DB 22: 점검프로그램
30: 대상시스템
Claims (6)
- 정보시스템의 보안 취약점을 점검하는 방법에 있어서,
점검대상시스템 및 관리자 정보를 등록하는 정보등록단계(S1)와;
각 명령어별 파싱정보와 점검 결과 추출 정보를 등록하는 명령어 등록단계(S2); 및
등록된 명령어들을 시스템별, 점검항목을 포함하는 목적에 따라 명령어 그룹을 생성하는 명령어 그룹설정단계(S3);
해당 점검대상시스템에 따라 설정된 주기 및 명령어 그룹에 따라 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 명령어를 전송하고, 점검대상시스템으로부터 전송받은 수행된 명령어의 파싱정보로 파싱하여 결과로부터 점검대상시스템의 보안성을 추출하는 명령어 수행단계(S4)로 이루어지며,
상기 명령어 수행단계(S4)는
점검대상시스템의 특성에 따라 명령어 그룹이나 명령어를 선택하고, 원하는 점검 시간이나 주기를 설정하는 점검수행설정단계(S41);
설정시간이 되면 자동으로 점검대상시스템에 설정된 서비스(SSH/Telnet/RDP)로 자동으로 접속하여 로그인하는 시스템접속단계(S42);
관리서버에서 점검대상시스템에 설정된 명령어 그룹이나 명령어를 전송하는 명령어전송단계(S43);
관리서버가 정보수집서버에서 수집한 점검대상시스템의 전송된 명령어에 대한 결과를 수신받아 수행된 명령어의 파싱정보로 파싱하여 결과를 추출하는 파싱정보추출단계(S44);
추출된 파싱정보로부터 점검대상의 보안의 정상 여부와, 점검이 정상적으로 이루어졌는지 여부를 추출하는 결과추출단계(S45)로 이루어지는 것을 특징으로 하는 에이전트리스 방식의 보안취약점 점검 방법. - 제1항에 있어서,
상기 정보등록단계(S1)는 점검대상시스템의 시스템명, 시스템IP, 관리자정보를 포함하는 시스템 기본 정보를 등록하는 점검대상정보 등록단계(S11);
점검대상시스템별로 접속서비스 선택(SSH/Telnet/RDP)를 선택하고, 접속서비스 포트, ID 및 패스워드를 입력하는 접속정보등록단계(S12);
점검대상시스템에 접속 위한 ID, 패스워드, 명령어 정보를 전송하는 순서나 방법인 점검대상시스템에 접속하기 위한 접속 절차를 등록하는 접속절차등록단계(S13)로 이루어진 것을 특징으로 하는 에이전트리스 방식의 보안취약점 점검 방법. - 제1항에 있어서,
상기 명령어 등록단계(S2)는 점검대상시스템의 환경에 맞추어 명령어를 등록하는 점검 명령어 입력단계(S21);
명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보를 입력하는 파싱정보등록단계(S22);
임계치 설정 및 결과, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과를 포함하는 파싱결과에 대해 결과 추출 방법을 설정하는 결과추출정보등록단계(S23)로 이루어진 것을 특징으로 하는 에이전트리스 방식의 보안취약점 점검 방법. - 삭제
- 제1항 내지 제3항 중 어느 한항의 보안점검방법을 수행하는 프로그램이 저장된 컴퓨터로 읽어들일 수 있는 기록매체.
- 제1항 내지 제3항 중 어느 한항의 보안점검방법을 수행하기 위한 시스템에 있어서,
점검대상시스템의 시스템명, 시스템IP, 관리자정보, 점검대상시스템별로 접속서비스 선택(SSH/Telnet/RDP), 접속서비스 포트, 점검대상시스템에 접속 위한 ID, Password 정보와, 점검대상시스템의 환경에 맞는 명령어, 명령어 수행 결과에 대해 결과를 추출하기 위한 파싱정보, 점검의 위한 임계치, 파싱 결과값에 의한 정상/비정상 결과, 파싱 결과값에 의한 true/false 결과 정보를 저정하는 정보관리DB(11)와, 명령어 수행을 위한 프로그램(22)를 구비한 관리서버(20);
상기 관리서버에서 전송된 명령어에 따라 점검대상시스템으로부터 수신한 결과값을 수집하는 정보수집서버(10)를 포함하는 것을 특징으로 하는 에이전트리스 방식의 보안취약점 점검 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170154605A KR101883400B1 (ko) | 2017-11-20 | 2017-11-20 | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170154605A KR101883400B1 (ko) | 2017-11-20 | 2017-11-20 | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101883400B1 true KR101883400B1 (ko) | 2018-07-30 |
Family
ID=63048381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170154605A KR101883400B1 (ko) | 2017-11-20 | 2017-11-20 | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101883400B1 (ko) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180136180A (ko) * | 2017-06-14 | 2018-12-24 | 동명대학교산학협력단 | 항만물류정보시스템의 정보보호 취약진단 시스템 |
| KR20200077204A (ko) * | 2018-12-20 | 2020-06-30 | (주)지인소프트 | It 디바이스 보안 취약점 점검 및 조치 시스템 |
| KR102155334B1 (ko) * | 2020-02-10 | 2020-09-14 | 주식회사 이글루시큐리티 | 다양한 진단기준을 적용한 통합 취약점 점검시스템 및 그 방법 |
| KR102156379B1 (ko) | 2020-03-19 | 2020-09-16 | 주식회사 이글루시큐리티 | 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법 |
| KR102156359B1 (ko) * | 2020-03-02 | 2020-09-16 | 주식회사 이글루시큐리티 | 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템 |
| KR102159299B1 (ko) * | 2020-02-10 | 2020-09-24 | 주식회사 이글루시큐리티 | 보안취약점 점검 시 점검대상 자동인식 및 선별 시스템 및 그 방법 |
| KR102160950B1 (ko) * | 2020-03-30 | 2020-10-05 | 주식회사 이글루시큐리티 | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 |
| KR102176320B1 (ko) * | 2020-03-02 | 2020-11-10 | 주식회사 이글루시큐리티 | 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법 |
| KR102176336B1 (ko) * | 2020-03-25 | 2020-11-10 | 주식회사 이글루시큐리티 | 보안취약점 진단오류 분류방법 및 그 시스템 |
| KR102176324B1 (ko) * | 2020-03-19 | 2020-11-10 | 주식회사 이글루시큐리티 | 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법 |
| KR102202108B1 (ko) * | 2020-04-08 | 2021-01-12 | 주식회사 한국정보보호경영연구소 | 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법 |
| KR20230078443A (ko) * | 2021-11-25 | 2023-06-02 | 한국전자통신연구원 | 장비 독립적인 취약 설정 점검 방법 및 장치 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100744377B1 (ko) * | 2006-08-10 | 2007-07-30 | 삼성전자주식회사 | 설정 정보 관리 방법 및 장치 |
| KR101016444B1 (ko) * | 2010-09-16 | 2011-02-18 | 에스케이네트웍스서비스 주식회사 | 텔넷 프로토콜을 이용한 네트워크 관리 시스템 |
| JP2011129076A (ja) * | 2009-12-21 | 2011-06-30 | Canon It Solutions Inc | 運用監視装置、運用監視システム、制御方法、プログラム、及びプログラムを記録した記録媒体 |
| KR101259897B1 (ko) | 2009-10-19 | 2013-05-02 | 한국전자통신연구원 | 원격 보안취약성 진단장치 및 그 방법 |
| KR101765828B1 (ko) | 2015-11-09 | 2017-08-10 | 한국시스템보증(주) | 클라우드 시스템의 보안 취약점 탐지 장치 및 방법 |
-
2017
- 2017-11-20 KR KR1020170154605A patent/KR101883400B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100744377B1 (ko) * | 2006-08-10 | 2007-07-30 | 삼성전자주식회사 | 설정 정보 관리 방법 및 장치 |
| KR101259897B1 (ko) | 2009-10-19 | 2013-05-02 | 한국전자통신연구원 | 원격 보안취약성 진단장치 및 그 방법 |
| JP2011129076A (ja) * | 2009-12-21 | 2011-06-30 | Canon It Solutions Inc | 運用監視装置、運用監視システム、制御方法、プログラム、及びプログラムを記録した記録媒体 |
| KR101016444B1 (ko) * | 2010-09-16 | 2011-02-18 | 에스케이네트웍스서비스 주식회사 | 텔넷 프로토콜을 이용한 네트워크 관리 시스템 |
| KR101765828B1 (ko) | 2015-11-09 | 2017-08-10 | 한국시스템보증(주) | 클라우드 시스템의 보안 취약점 탐지 장치 및 방법 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180136180A (ko) * | 2017-06-14 | 2018-12-24 | 동명대학교산학협력단 | 항만물류정보시스템의 정보보호 취약진단 시스템 |
| KR102048776B1 (ko) | 2017-06-14 | 2019-11-26 | 동명대학교 산학협력단 | 항만물류정보시스템의 정보보호 취약진단 시스템 |
| KR20200077204A (ko) * | 2018-12-20 | 2020-06-30 | (주)지인소프트 | It 디바이스 보안 취약점 점검 및 조치 시스템 |
| KR102195823B1 (ko) * | 2018-12-20 | 2020-12-30 | (주)지인소프트 | It 디바이스 보안 취약점 점검 및 조치 시스템 |
| KR102159299B1 (ko) * | 2020-02-10 | 2020-09-24 | 주식회사 이글루시큐리티 | 보안취약점 점검 시 점검대상 자동인식 및 선별 시스템 및 그 방법 |
| KR102155334B1 (ko) * | 2020-02-10 | 2020-09-14 | 주식회사 이글루시큐리티 | 다양한 진단기준을 적용한 통합 취약점 점검시스템 및 그 방법 |
| KR102156359B1 (ko) * | 2020-03-02 | 2020-09-16 | 주식회사 이글루시큐리티 | 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템 |
| KR102176320B1 (ko) * | 2020-03-02 | 2020-11-10 | 주식회사 이글루시큐리티 | 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법 |
| KR102156379B1 (ko) | 2020-03-19 | 2020-09-16 | 주식회사 이글루시큐리티 | 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법 |
| KR102176324B1 (ko) * | 2020-03-19 | 2020-11-10 | 주식회사 이글루시큐리티 | 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법 |
| KR102176336B1 (ko) * | 2020-03-25 | 2020-11-10 | 주식회사 이글루시큐리티 | 보안취약점 진단오류 분류방법 및 그 시스템 |
| KR102160950B1 (ko) * | 2020-03-30 | 2020-10-05 | 주식회사 이글루시큐리티 | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 |
| KR102202108B1 (ko) * | 2020-04-08 | 2021-01-12 | 주식회사 한국정보보호경영연구소 | 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법 |
| KR20230078443A (ko) * | 2021-11-25 | 2023-06-02 | 한국전자통신연구원 | 장비 독립적인 취약 설정 점검 방법 및 장치 |
| KR102619841B1 (ko) | 2021-11-25 | 2024-01-04 | 한국전자통신연구원 | 장비 독립적인 취약 설정 점검 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| CN108183895B (zh) | 一种网络资产信息采集系统 | |
| CN107577947B (zh) | 信息系统的漏洞检测方法、系统、存储介质和电子设备 | |
| US20160019388A1 (en) | Event correlation based on confidence factor | |
| US9876813B2 (en) | System and method for web-based log analysis | |
| US11962611B2 (en) | Cyber security system and method using intelligent agents | |
| US20120311562A1 (en) | Extendable event processing | |
| US11182163B1 (en) | Customizable courses of action for responding to incidents in information technology environments | |
| KR20090037538A (ko) | 정보자산 모델링을 이용한 위험 평가 방법 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
| WO2021174870A1 (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
| KR100898867B1 (ko) | 기업 it 보안 업무 관리 시스템 및 방법 | |
| JP2016192185A (ja) | なりすまし検出システムおよびなりすまし検出方法 | |
| Dalezios et al. | Digital forensics cloud log unification: Implementing CADF in Apache CloudStack | |
| KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| CN113206761A (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| US20220141256A1 (en) | Method and system for performing security management automation in cloud-based security services | |
| KR102156359B1 (ko) | 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템 | |
| CN114329450A (zh) | 数据安全处理方法、装置、设备及存储介质 | |
| KR101883407B1 (ko) | 에이전트리스 방식의 정보시스템 예방점검방법 및 시스템 | |
| CN113852625A (zh) | 一种弱口令监测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |