KR101947757B1

KR101947757B1 - 취약점 분석을 수행하는 보안 관리 시스템

Info

Publication number: KR101947757B1
Application number: KR1020180073207A
Authority: KR
Inventors: 김종현
Original assignee: 김종현
Priority date: 2018-06-26
Filing date: 2018-06-26
Publication date: 2019-02-13

Abstract

본 발명의 실시 예에 따른 보안 관리 시스템은 대상자 서버로부터 수신되는 기본 정보에 기반하여 대상자 분석을 수행하며, 수행된 대상자 분석 결과에 따른 대상자별 점검 기준을 대상자 서버에 제공하고, 상기 대상자 서버로부터 수신되는 취약점에 기반하여 대응책을 산출하는 관리자 서버 및 사용자로부터 입력되는 기본 정보를 상기 관리자 서버에 제공하며, 상기 관리자 서버에서 수신되는 대상자별 점검 기준에 대응하여 취약점을 분석하고 상기 분석된 취약점을 기반으로 위험도를 산출하며, 상기 위험도의 수치가 높은 자산 항목의 순서대로 상기 관리자 서버에 대응책을 요청하고, 상기 관리자 서버로부터 대응책을 수신하여 적용하는 대상자 서버를 포함할 수 있다.

Description

취약점 분석을 수행하는 보안 관리 시스템{SECURITY MANAGEMENT SYSTEM FOR PERFORMING VULNERABILITY ANALYSIS}

본 발명은 취약점 분석을 수행하는 보안 관리 시스템에 관한 것이다. 보다 상세하게는 본 발명은 대상자별 분석을 통해 대상자가 속한 업체의 속성에 따른 중요도를 적용한 취약점 분석을 수행하고 그에 대응하여 중요도가 높은 것으로 판단되는 자산 항목에 대하여 보다 강력한 보안 수준을 제공하는 보안 관리 시스템에 관한 것이다.

IT 산업의 고도화에 따라 정보 보안의 중요성 또한 커지고 있다. 정부 기관을 포함한 기업 및 단체는 정보 보호 수준을 향상시키기 위해 법률을 제정하고, 이에 따른 의무적인 인증제도를 준수하도록 계도하고 있다. 그러나 이러한 기업 및 단체들의 자발적인 노력에도 불구하고 다양한 방식의 침해 위협의 방식은 날로 고도화 및 전문화되어 가고 있으며, 각 기관 및 단체는 전문적인 보안 관리 시스템을 필수로 구비해야 하는 상황에 이르렀다.

종래의 취약점 도출 및 제거와 관련한 보안 관리 기술은 업계 정보에 따라 맞춤화되지 않으며, 일괄적인 방식의 보안 기능을 제공하였다. 이에 따라 취약점 도출 및 보안 절차를 수립함에 있어 과정이 복잡하고 보안 관리가 어려운 문제가 있었다.

한편 보안 취약점 관리와 관련된 선행기술은 등록특허공보 10-1651586호(시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템)가 있다.

본 발명의 다양한 실시 예는 대상자별 분석을 통해 대상자의 자산 항목별 등급 및 대상자 분류별 중요한 점검 기준을 별도로 지정하고 그에 따른 취약점을 분석함을 통해 대상자 맞춤형 보안 강화 기능을 제공하기 위해 고안되었다. 또한 본 발명의 다양한 실시 예는 사용자의 문장 형태의 취약점 보고 내용을 수치화하고 이에 기반하여 대응책 마련 우선순위를 설정하기 위해 고안되었다.

본 발명의 실시 예에 따른 보안 관리 시스템은 대상자 맞춤형 보안 관리를 수행할 수 있다. 구체적으로, 본 발명의 다양한 실시 예는 대상자 자동 분류 및 자산 등급 설정을 통해 보다 간편한 방식으로 대상자별 중요한 자산 항목에 대한 선택적 보안 강화 기능을 제공할 수 있다.

도 1은 본 발명의 실시 예에 따른 보안 관리 시스템의 구성을 도시한 도면이다.
도 2 및 도 3은 본 발명의 실시 예에 따른 대상자 서버의 구성을 도시한 블록도이다.
도 4는 본 발명의 실시 예에 따른 관리자 서버의 구성을 도시하는 블록도이다.
도 5는 본 발명의 실시 예에 따른 보안 관리 동작의 순서를 도시한 순서도이다.
도 6은 본 발명의 실시 예에 따른 관리자 서버 및 대상자 서버 간 수행되는 보안 관리 동작의 순서를 도시하는 순서도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어'있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어'있다거나 '직접 접속되어'있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '가지다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

도 1은 본 발명의 실시 예에 따른 보안 관리 시스템의 구성을 도시한 도면이다. 도 1을 참조하면, 본 발명의 실시 예에 따른 보안 관리 시스템은 관리자 서버 100와 대상자 서버 200로 구성될 수 있으며, 대상자 서버 200는 보안 관리의 대상이 되는 개인, 기업 및 기관 등의 서버를 의미할 수 있다. 그리고 상기 대상자 서버 200는 적어도 하나 이상의 단말기(20, 21 등)와 연결될 수 있다.

상기 대상자 서버 200와 관리자 서버 100는 네트워크를 통해 양측 간의 통신을 수행할 수 있다. 관리자 서버 100는 대상자 서버 200의 보안 수준을 체크하고, 보안상의 취약점을 보완할 수 있도록 대응책 및 보안 훈련을 대상자 서버 200측에 제공할 수 있다.

도 2 및 도 3은 본 발명의 실시 예에 따른 대상자 서버의 구성을 도시한 블록도이다.

먼저 도 2를 살펴보면, 본 발명의 실시 예에 따른 대상자 서버 200는 통신부 210, 저장부 220, 제어부 230를 포함하여 구성됨을 도시하고 있다. 그리고 상기 제어부 230는 입력 정보 분석부 231, 취약점 분석부 232, 위험도 평가부 233, 보안 훈련부 234, 통계 제공부 235, 차단 설정부 236을 포함하여 구성될 수 있다.

먼저 상기 통신부 210는 사용자 디바이스와 서버 간의 데이터 송수신을 위해 네트워크를 이용할 수 있으며 상기 네트워크의 종류는 특별히 제한되지 않는다. 상기 네트워크는 예를 들어, 인터넷 프로토콜(IP)을 통하여 대용량 데이터의 송수신 서비스를 제공하는 아이피(IP: Internet Protocol)망 또는 서로 다른 IP 망을 통합한 올 아이피(All IP) 망 일 수 있다. 또한, 상기 네트워크는 유선망, Wibro(Wireless Broadband)망, WCDMA를 포함하는 이동통신망, HSDPA(High Speed Downlink Packet Access)망 및 LTE(Long Term Evolution) 망을 포함하는 이동통신망, LTE advanced(LTE-A), 5G(Five Generation)를 포함하는 이동통신망, 위성 통신망 및 와이파이(Wi-Fi)망 중 하나 이거나 또는 이들 중 적어도 하나 이상을 결합하여 이루어질 수 있다.

본 발명의 실시 예에 따른 상기 통신부 210는 관리자 서버 100와의 통신을 수행할 수 있다. 구체적으로 상기 통신부 210는 관리자 서버 100측에 대상자 관련 기본 정보, 취약점 및 위험도 평가 결과에 대한 정보 등을 전송할 수 있다. 또한 상기 통신부 210는 관리자 서버 100로부터 점검 기준 및 대응책 관련 정보를 수신할 수 있다. 이 밖에도 상기 통신부 210는 다수개의 연동된 단말기들(20, 21 등)과 유무선 통신을 수행할 수 있다. 구체적으로 상기 통신부 210는 연동된 단말기들의 접근가능 여부(암호 설정 여부) 등에 대한 정보를 수집할 수 있다.

상기 저장부 220는 예를 들면, 내장 메모리 또는 외장 메모리를 포함할 수 있다. 내장메모리는, 예를 들면, 휘발성 메모리(예: DRAM(dynamic RAM), SRAM(static RAM), 또는 SDRAM(synchronous dynamic RAM) 등), 비휘발성 메모리(non-volatile Memory)(예: OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), mask ROM, flash ROM, 플래시 메모리(예: NAND flash 또는 NOR flash 등), 하드 드라이브, 또는 솔리드 스테이트 드라이브(solid state drive(SSD)) 중 적어도 하나를 포함할 수 있다.

외장 메모리는 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD(micro secure digital), Mini-SD(mini secure digital), xD(extreme digital), MMC(multi-media card) 또는 메모리 스틱(memory stick) 등을 더 포함할 수 있다. 외장 메모리는 다양한 인터페이스를 통하여 전자 장치와 기능적으로 및/또는 물리적으로 연결될 수 있다.

본 발명의 실시 예에 따른 상기 저장부 220는 자산 분류 기준, 취약점 분석 관련 명령 및 프로그램, 위험도 판단 관련 명령 및 프로그램을 저장할 수 있다. 또한 상기 저장부 220는 위험도 판단 결과에 따른 자산별 취약점 및 위험도 통계자료 산출과 관련된 명령 및 프로그램을 포함하여 저장할 수 있다. 또한 상기 저장부 220는 특정 기준치 이상의 (보안상의)위험도를 갖는 자산에 대하여 임의로 외부의 접근을 차단하는 동작과 관련된 명령 및 프로그램을 저장할 수 있다.

상기 제어부 230는 프로세서(Processor), 컨트롤러(controller), 마이크로 컨트롤러(microcontroller), 마이크로 프로세서(microprocessor), 마이크로 컴퓨터(microcomputer) 등으로도 호칭될 수 있다. 한편, 제어부는 하드웨어(hardware) 또는 펌웨어(firmware), 소프트웨어, 또는 이들의 결합에 의해 구현될 수 있다.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 제어부에 의해 구동될 수 있다. 메모리는 상기 사용자 단말 및 서버 내부 또는 외부에 위치할 수 있으며, 이미 공지된 다양한 수단에 의해 상기 제어부와 데이터를 주고 받을 수 있다.

본 발명의 실시 예에 따른 상기 제어부 230는 입력 정보 분석부 231, 취약점 분석부 232, 위험도 평가부 233, 보안 훈련부 234, 통계 제공부 235, 차단 설정부 236을 포함하여 구성될 수 있다.

상기 입력 정보 분석부 231는 사용자가 입력한 대상자 서버 200측의 기본 정보를 분석하는 동작을 수행할 수 있다. 또한 상기 입력 정보 분석부 231는 상기 대상자 서버 200와 연결된 다수개의 단말기로부터 얻어진 정보를 대상으로 분류 및 분석 작업을 수행할 수 있다. 예컨대, 상기 입력 정보 분석부 231는 입력된 기본 정보(예, 자산의 명칭, 자산의 관리자, 관리부서, 책임자, 유관기관, 업종, 부서별 업무 등)들을 토대로 자산을 항목별로 분류할 수 있다. 예컨대, 상기 입력 정보 분석부 231는 각 자산의 항목이 외부 웹서비스와 관련된 자산인지 여부에 따른 분류, 제조사별 분류, 관리자별 및 기타 기 설정된 분류 기준에 따라 분류될 수 있다. 상기 입력 정보 분석부 231는 입력된 정보들을 기반으로 자산 항목별로 자산 중요도를 평가할 수 있다. 이 때 상기 자산 중요도는 기밀성, 무결성, 가용성의 항목으로 나뉘어 책정된 점수들에 기반하여 산출될 수 있다. 예컨대, 자산 소유부서 및 담당자만이 접근 및 관리 가능한 자산은 기밀성이 높은 점수로 책정되며, 외부로 유출이 되어도 손실이 없는 자산에 대하여 기밀성이 낮은 점수로 책정될 수 있다. 또한, 상기 무결성은 비인가된 변경에 대한 평가항목으로, 예컨대, 변조되거나 손실되었을 경우 손실이 발생되는 자산에 대하여 무결성이 높은 점수로 책정되고, 변조되더라도 미치는 영향이 미미한 경우에 무결성이 낮은 점수로 책정될 수 있다. 그리고 상기 가용성은 예컨대, 연중 24시간 무중단 운영되는 자산, 장애 발생시 즉시 복구되어야 하는 자산과 같이 원하는 시점에 즉시 사용하지 못할 경우 악영향을 입는 자산에 대하여 높은 점수가 책정될 수 있다.

상기 기밀성, 무결성, 가용성은 사용자에 의해 직접 점수가 1 내지 3점으로 설정될 수 있다. 이 경우 상기 입력 정보 분석부 231는 상기 기밀성, 무결성, 가용성의 각 항목에 책정된 점수를 기반으로 해당 자산의 중요도를 등급별로 판단할 수 있다. 그러나 이에 한정되지 않고 상기 입력 정보 분석부 231는 다양한 실시 예에 따라 사용자가 기 입력한 각 자산의 명칭 및 각 자산의 특징 정보에 기반하여 중요도를 평가할 수 있다. 상기 입력 정보 분석부 231는 예컨대, 입력된 자산의 명칭 또는 기타 정보 내에 기 설정한 특정 단어가 포함되어 있는 것으로 판단되는 경우, 또는 기 설정된 특정 형식의 파일일 경우 해당 자산의 평가 항목(기밀성, 무결성, 가용성 중 적어도 하나)의 점수를 자동으로 최고점 또는 최저점으로 설정하도록 제어할 수 있다. 또한 상기 입력 정보 분석부 231는 입력된 기본 정보의 일부를 관리자 서버 100측에 제공하여, 관리자 서버 100가 자산 정보 외의 분석(환경 분석; PEST 분석)을 수행하도록 요청할 수 있다.

상기 취약점 분석부 232는 정보보호 관점의 관리적 기준, 기술적 기준, 물리적 기준에 대하여 취약점을 점검할 수 있다. 관리적 기준에 따른 평가는 법률적인 측면에서의 평가 방식이고, 기술적 기준은 해킹 등의 위협으로부터의 취약점에 대한 평가 방식이다. 상기 취약점 분석부 232는 기 설정된 자산 분류 방식에 따라 그 자산의 취약점을 판단하기 위한 항목이 부여될 수 있다.

다양한 실시 예에 따라 상기 취약점 분석부 232는 관리자 서버 100측과 연동하여 사용자가 기록한 세부 취약사항의 내용에 기반하여 취약점을 판단 및 평가할 수 있다. 사용자는 직접 자신이 평가한 보안상의 취약점(예, 기록 누락 사항, 외부 직원의 접근 가능성 등)을 문장 형식으로 기록할 수 있다. 이에 대하여 상기 취약점 분석부 232는 사용자에 의해 문장으로 입력된 세부 취약사항의 내용을 확인하면, 해당 입력 내용을 관리자 서버 100측에 전송하여 자연어 처리를 요청할 수 있다. 그리고 상기 관리자 서버 100의 자연어 처리부(미도시)에 의해 해당 내용을 자연어 처리한 후, 입력된 세부 취약사항이 의미하는 취약점의 분야(물리적, 기술적) 및 취약성의 정도를 판단할 수 있게 된다. 이후 상기 관리자 서버 100에서 수행된 자연어 처리 및 취약성 판단의 결과는 대상자 서버 200에 전달될 수 있고, 상기 취약점 분석부 232는 관리자 서버 100로부터 수신된 취약성 판단 결과를 별도 저장 및 관리할 수 있다.

구체적으로, 상기 관리자 서버 100는 인공지능에 기반한 자연어 처리를 수행할 수 있다. 상기 관리자 서버 100는 기업체의 산업 분야별 주요 사용 용어 및 취약점과 관련된 정보들을 저장할 수 있다. 그리고 상기 관리자 서버 100는 다양한 실시 예에 따라 인공지능에 기반한 텍스트 인식 동작을 수행할 수 있다. 이에 따라 상기 관리자 서버 100는 대상자 서버 200에서 확인된 입력 내용들 중 자연어 처리가 요구되는 내용(예, 세부 취약점 항목에 기재된 내용)들을 대상자 서버 200로부터 전송받고, 이를 자연어 처리하여 해당 내용에 대응하는 취약점 내용 및 취약점의 수준을 판단할 수 있다. 이후 상기 관리자 서버 100는 다시 대상자 서버 200의 취약점 분석부 232에 해당 정보를 전송하여, 자산별 취약점 정보를 대상자 서버 200 내에서 확인 및 관리 할 수 있다.

이 밖에도 상기 취약점 분석부 232는 자산 종류에 대응하는 가중치를 적용하여 취약점을 분석할 수 있다. 예를 들어 상기 취약점 분석부 232는 자산의 분류가 '문서'이고 책임자가 특정인으로 설정된 자산 항목에 대하여 보다 높은 가중치를 적용할 수 있다.

또한 상기 취약점 분석부에 대하여 도 3을 참조하여 설명하면, 상기 취약점 분석부 232는 모의 해킹부 232a, 점검 기준 설정부 232b, 유해 이벤트 탐지부 232c를 포함하여 구성될 수 있다.

먼저, 모의 해킹부 232a는 관리자 서버 100의 모의 해킹 실행부 132의 제어에 따라 모의 해킹을 수행하며, 모의 해킹의 결과를 수집 및 관리할 수 있다. 상기 모의 해킹부 232a에서 수집한 모의 해킹의 결과(취약 경로, 보안 강도가 낮은 암호가 설정된 문서 등)는 취약점 분석에 반영될 수 있다.

상기 점검 기준 설정부 232b는 관리자 서버 100로부터 제공받은 대상자별 점검 기준을 적용하여 대상자 서버에서 취약점이 분석되도록 할 수 있다. 상기 점검 기준 설정부 232b는 취약점 분석 시, 상기 점검 기준에 근거하여 일부 자산 항목에 가중치를 적용할 수 있다. 예컨대, 전자기기 업체의 경우 신제품 디자인, 기술 개발 내용과 관련된 자산 항목에 대하여 가중치가 설정될 수 있고, 이에 따라 점검 기준 설정부 232b는 동일 수준 보안 강도를 갖는 자산 항목 중 가중치 설정된 자산 항목이 보다 보안에 취약한 것(예, 취약성 수치가 높게 설정될 수 있음)으로 판단할 수 있다.

상기 유해 이벤트 탐지부 232c는 악성 코드, 웜 바이러스 등의 유해 이벤트의 발생 횟수, 발생 경로, 공격 대상을 탐지할 수 있다. 상기 유해 이벤트 탐지부 232c는 대상자 서버 및 연동된 단말기에서 유해 이벤트로 규정되는 악성 이벤트가 감지되는 횟수 및 공격 대상에 따라 취약성의 수치를 다르게 평가할 수 있다. 예컨대, 상기 유해 이벤트 탐지부 232c가 탐지하는 악성 코드의 유입이 기 설정된 수치보다 높은 경우, 취약점 분석부 232는 해당 서버에서의 보안 취약성의 수치를 전체적으로 높게 평가(예, 보안이 매우 취약함을 의미하도록 평가)할 수 있다.

상기 위험도 평가부 233는 취약점 분석 결과를 바탕으로 대상자의 보안의 위험도를 평가할 수 있다. 상기 위험도는 자산의 항목별로 산출될 수 있으며, 각 자산의 위험도는 '자산의 등급', '기준 중요도', '위협 가능성', '위협 영향도'의 합계와 상기 취약점 분석부 232에서 산출한 취약점 평가 결과를 곱한 값으로부터 얻어질 수 있다. 보다 구체적으로, 상기 위험도는 (평가값)/(평가 최대값)*12*(취약점 평가 결과)=(위험도)에 의해 산출될 수 있다.

상기 위험도 평가부 233는 모의 해킹의 결과에 따라 평가된 취약점을 기반으로 위험도를 판단할 수 있다. 상기 위험도 평가부 233는 모의 해킹에 의해 취약점이 드러난 접속 경로, 문서 및 프로그램에 대한 정보를 수집하고 관리할 수 있으며, 모의 해킹 결과에 기반하여 취약점이 드러난 자산 항목에 대하여 보다 높은 위험도를 가지는 것으로 평가할 수 있다.

상기 위험도 평가부 233는 위험도가 높은 순서에 따라 대응책 요청 우선 순위를 설정할 수 있고, 대응책 요청 우선순위가 높은 항목 순서대로 관리자 서버 100에 대응책을 요청할 수 있다.

상기 보안 훈련부 234는 관리자 서버 100에서 산출된 대응책이 대상자 서버 100로 전달됨에 따라, 해당 대응책을 적용하는 동작을 수행할 수 있다. 상기 보안 훈련부 234는 예컨대, 관리자 서버 100로부터 수신되는 보안 강화 프로그램의 설치 및 실행을 수행할 수 있다. 또한 상기 보안 훈련부 234는 대상자 서버 200에서 감지되는 연동 단말기 내에서의 암호 변경 및 해제 이벤트에 대응하여 자동으로 보안 강화 권유 메시지를 해당 단말기측에 전송할 수 있다. 그리고 상기 보안 훈련부 234에서 보안 강화 권유 메시지를 표시하는 문서, 프로그램 등은 별도로 지정될 수 있다. 또는 상기 보안 훈련부 234는 자산 등급이 기 설정된 수치 이상으로 평가된 자료에 한하여 보안 강화 권유 메시지를 표시할 수 있다.

상기 통계 제공부 235는 대상자 서버 200 내부에서 수행된 위험도 판단의 결과를 다양한 기준(예, 각 자산의 항목별, 자산의 등급별, 관리자별, 위험도 수치별 등)에 따라 정렬 및 그래프로 제공할 수 있다. 또한 상기 통계 제공부 235에서 제공되는 표 및 그래프는 일반 문서 작성 프로그램에서 열람 가능하도록 제공될 수 있다.

상기 차단 설정부 236는 유해 이벤트가 감지되는 경우에 대하여, 접근 경로를 차단하도록 제어할 수 있다.

도 4는 본 발명의 실시 예에 따른 관리자 서버의 구성을 도시하는 블록도이다.

도 4를 참조하면, 관리자 서버 100는 통신부 110, 저장부 120, 제어부 130를 포함하여 구성될 수 있고, 상기 제어부 130는 대상자 분석부 131, 모의 해킹 실행부 132, 대상자별 위험도 평가 및 대응책 산출부 133, 통계부 134 및 업데이트 부 135를 포함하여 구성될 수 있다.

먼저 상기 통신부 110는 본 발명의 실시 예에 따라 대상자 서버 200와의 통신 연결을 수행할 수 있다. 구체적으로, 상기 통신부 110는 상기 대상자 서버 200에서 전송되는 정보를 수신하고, 상기 대상자 서버 200로 특정 정보를 전송할 수 있으다. 상기 통신부 110에서 대상자 서버 200로 전송되는 정보는 예컨대, 대응책과 관련된 정보, 인공지능에 기반한 자연어 처리에 의해 산출된 취약점과 관련된 정보, 대상자별 점검 기준 등이 해당될 수 있다.

상기 저장부 120는 본 발명의 실시 예에 따라, 대상자 서버 200로부터 수신되는 기본 정보를 토대로 대상자 분석을 수행하기 위한 명령 및 알고리즘, 대상자 분석(예, 환경분석)에 요구되는 법률 정보, 대상자 분석 결과 정보 등을 저장할 수 있다. 또한 상기 저장부 120는 대상자 서버 200로부터 입력된 문장 형식의 세부 취약사항의 내용을 자연어 처리하여 해당 내용이 의미하는 취약성의 수준을 평가하기 위해 요구되는 명령 및 프로그램을 저장할 수 있다. 구체적으로 상기 저장부 120는 문장 형태의 내용을 자연어 처리하고, 해당 처리된 내용을 기반으로 취약성의 수준을 평가하기 위해 요구되는 인공지능 기반 프로그램 및 대상자별 주요 사용 용어(업계 용어)들을 저장할 수 있다. 이 외에도 상기 저장부 120는 관리자 서버 100에서 수행되는 통계, 업데이트, 모의해킹과 관련된 정보들을 저장할 수 있다.

상기 제어부 130는 대상자 분석부 131, 모의 해킹 실행부 132, 대상자별 위험도 평가 및 대응책 산출부 133, 통계부 134 및 업데이트부 135를 포함하여 구성될 수 있다.

먼저 상기 대상자 분석부 131는 대상자 서버 200로부터 수신되는 기본 정보를 기반으로 대상자 분석을 수행할 수 있다. 이 때 대상자 분석은 대상자가 속한 업체 및 기관의 분류를 결정하는 동작을 포함할 수 있다. 또한 상기 대상자 분석은 대상자별 환경 분석을 포함할 수 있는데, 환경 분석은 대상자가 속한 업계와 연관되는 법률 정보, 유관기관을 검출하는 동작을 포함할 수 있다.

상기 대상자 분석부 131는 또한 대상자별 환경 분석을 기반으로 한 대상자별 점검 기준을 산출할 수 있다. 이 때 대상자별 점검 기준은 대상자 서버로부터 수신된 대상자 서버의 다수개의 자산 항목들 중 중요도가 상대적으로 높은 자산항목과 중요도가 상대적으로 낮은 자산항목을 분류하기 위한 기준을 제공할 수 있다. 또한 상기 점검 기준은 특정 자산 항목에 대하여 중요도의 가중치를 적용할 수 있다. 대상자 서버의 점검 기준 설정부 232b는 관리자 서버 100에서 산출된 대상자별 점검 기준을 수신하여 적용한 후 대상자 서버 200의 취약점을 분석할 수 있다.

상기 모의 해킹 실행부 132는 대상자 서버 200로부터의 모의해킹 요청에 의해 대상자 서버 200에 대한 모의 해킹을 수행하도록 설정될 수 있다. 예컨대, 상기 대상자 서버 200는 임의의 사용자 요청 또는 기 설정된 시간(예, 1개월)이 경과함에 따라 모의해킹 요청을 관리자 서버 100로 전송할 수 있다. 이에 따라 관리자 서버 100는 대상자 서버별 모의해킹을 준비할 수 있는데, 상기 모의 해킹 실행부 132는 이전 모의해킹 이력이 있는 경우, 이력이 존재하는 해킹 기법의 우선순위를 낮게 설정할 수 있다. 이에 따라 관리자가 모의 해킹이 요청된 대상자에 대하여 해킹을 시도할 시, 이전 해킹 이력이 존재하지 않는 새로운 방식의 해킹 기법 위주로 해킹을 시도할 수 있게 된다. 이 외에도 상기 모의 해킹 실행부 132는 관리자가 모의 해킹을 수행하기 전, 대상자에 대한 정보를 참고할 수 있도록 대상자별 관련 정보, 자산 등급에 관한 기타 정보를 산출하여 관리자의 모의 해킹 시 제공할 수 있다.

대상자별 위험도 평가 및 대응책 산출부 133는 대상자 서버 200로부터 수신되는 위험도 수치 정보에 기반하여 대상자별 위험도를 평가하고, 대응책을 산출하는 동작을 수행할 수 있다. 상기 대상자별 위험도 평가 및 대응책 산출부 133는 관리자 서버 영역의 대응책 산출과 관리자 영역의 대응책 산출 동작을 구분할 수 있다. 상기 대상자별 위험도 평가 및 대응책 산출부 133는 예컨대, 악성 코드 제거, 백신 설치 등의 관리자 서버 영역의 대응책이 요구되는 경우와, 매뉴얼 개정, 암호 변경 등의 사용자의 직접적인 수정 동작이 필요한 대응책의 경우를 구분하고, 관리자 서버 100차원에서의 대응책이 요구되는 경우, 자동으로 대상자 서버 200에 해당 대응책과관련된 프로그램 및 명령을 제공할 수 있다. 상기 대응책 산출부 133는 사용자 또는 관리자 차원의 대응책이 요구되는 경우, 대응책 요청 메시지를 관리자 또는 대상자 서버 200에 표시하도록 제어할 수 있다.

상기 통계부 134는 본 발명의 실시 예에 따른 대상자 서버 200로부터 전송된 기본 정보 및 위험도 수치에 기반하여 업계별 위험도 수치, 대상자별 위험도 수치 등에 대한 통계를 산출할 수 있다. 또한 상기 통계부 134는 대상자 분류별 중요 자산 항목 및 주요 사용 용어를 산출할 수 있다. 상기 통계부 134가 산출한 주요 사용 용어는 별도로 DB화되어 관리될 수 있으며, 세부 취약내용 자연어 처리 및 이를 이용한 취약성 판단에 이용될 수 있다.

구체적으로, 상기 통계부 134에서 산출한 대상자별 주요 사용 용어는 취약점 수치 산정에 이용될 수 있다. 예를 들면, 관리자 서버 100의 제어부 130(예, 제어부 130 내 자연어 처리부, 미도시)는 대상자 서버로부터 수신된 세부 취약사항의 내용을 자연어 처리할 시, 상기 세부 취약사항 내용 중 상기 통계부에서 산출한 대상자 분류별 주요 사용 용어가 포함된 경우, 해당 항목의 취약점의 수치를 증가시키도록 제어할 수 있다. 또한, 각각의 주요 사용 용어에 대응하는 기 설정된 대응방안이나 예방방안을 선택하여 적용, 대비 또는 추천할 수 있으며, 입력된 세부 취약사항 내용에 모호하거나 잘못된 표현이 있는 경우 이를 재확인할 것을 요청할 수 있다.

일 실시 예에서, 자연어 처리부는 대상자 서버로부터 수신된 세부 취약사항의 내용을 음운, 음절, 단어, 키워드, 구절 및 문장 등 다양한 기준에 의거하여 파싱하고, 파싱된 각각의 구성요소를 DB와 비교함으로써 상기 세부 취약사항 내용 중 상기 통계부에서 산출한 대상자 분류별 주요 사용 용어가 포함되었는지 여부를 판단할 수 있다.

일 실시 예에서, 주요 사용 용어가 관리되는 DB에는 대상자 분류별 주요 사용 용어 및 이와 유사한 용어들이 각각의 그룹으로 분류되어 저장될 수 있다. 예를 들어, 세부 취약사항을 입력하는 사용자가 전문용어를 알지 못하거나 정확히 알고 있지 못한 경우, 또는 오기가 있는 경우 DB와 매칭이 어려울 수 있다. 따라서, DB에는 여러 변수를 고려한 용어들의 그룹이 저장될 수 있다.

일 실시 예에서, DB에 저장되는 용어들의 그룹은 사용자들의 사용기록, 그동안 입력된 세부 취약사항들, 웹 크롤링, 사전(유의어 사전 등)검색 등에 기초하여 자동으로 수집 및 생성될 수 있다.

또한, 관리자 서버 100의 제어부 130는 상기한 데이터들에 기초하여 학습된 모델에 의거, 각 용어의 동의어, 유의어, 오기, 오해 등을 포함하는 용어들의 그룹을 생성하고, DB에 저장할 수 있다.

또한, 전문용어를 알지 못하는 사용자의 경우 이에 대응하는 조건, 내용, 정황, 결과 또는 증상 등을 자연어로 서술하여 입력할 수 있다. 관리자 서버 100의 제어부 130는 사용자들의 사용기록, 그동안 입력된 세부 취약사항들, 웹 크롤링, 사전(유의어 사전 등)검색 등에 기초하여 수집된 데이터에 의거하여 기계학습을 수행하고, 이로부터 사용자가 입력한 세부 취약사항들로부터 DB에 저장된 주요 사용 용어를 도출하는 모델을 획득할 수 있다.

관리자 서버 100의 제어부 130는 학습된 모델에 의거하여 자연어 처리를 수행하고, 사용자가 입력한 세부 취약사항들로부터 DB에 저장된 주요 사용 용어를 도출, 취약성 판단에 활용할 수 있다.

일 실시 예에서, 관리자 서버 100의 제어부 130는 입력된 세부 취약사항에 포함된 내용으로부터 획득된 주요 사용 용어에 가중치를 부여할 수 있다. 예를 들어, 세부 취약사항에 명확히 포함된 주요 사용 용어에 대해서는 높은 가중치를 부여하고, DB에 포함된 주요 사용 용어의 유사 용어(유의어, 오기, 오해 등)가 세부 취약사항에 포함된 경우에는 상대적으로 낮은 가중치를 부여하며, DB에 포함된 주요 사용 용어가 세부 취약사항에 포함되지는 않았으나, 자연어처리 결과 주요 사용 용어에 대응하는 내용이 세부 취약사항에 포함된 것으로 판단되는 경우, 가장 낮은 가중치를 부여할 수 있다.

제어부 130는 취약성 판단에 각각의 주요 사용 용어를 활용함에 있어, 가중치를 고려하여 활용빈도 및 중요도를 결정할 수 있다. 예를 들어, 가중치가 높은 주요 사용 용어일수록 활용빈도 및 중요도를 높게 설정할 수 있다.

또한 상기 통계부 134는 대상자 분류별(예, 유통업체, 언론사, 등의 업계별 분류) 주요 해킹(또는 악성코드 진입) 경로, 주요 해킹 기법 등에 대한 평균 정보를 산출할 수 있다. 상기 통계부 134에서 산출된 대상자 분류별 평균 정보는 추후 점검 기준 설정 및 대응책 산출 시 참고될 수 있다.

상기 업데이트 부 135는 본 발명의 실시 예에 따라, 대상자 서버 200의 설치된 프로그램의 버전 정보를 기 설정된 시간 간격에 따라 확인하고, 필요에 따라 업데이트를 제공할 수 있다. 상기 업데이트부 135는 예컨대, 대상자 서버 200에 기 설치된 백신프로그램의 업데이트를 수행할 수 있다. 또한 상기 업데이트부 135는 관리자 서버 100에서 제공하는 신규 보안 모듈을 대상자 서버 200측에 제공할 수 있다.

도 5는 본 발명의 실시 예에 따른 보안 관리 동작의 순서를 도시한 순서도이다.

본 발명의 실시 예에 따른 보안 관리 동작의 순서를 살펴보면, 먼저 대상자 서버 200의 제어부 230는 사용자에 의해 보안의 필요가 있는 자산들과 관련하여 기본 정보 기입을 감지하는 505동작을 수행할 수 있다. 이후 상기 제어부 230는 입력된 기본 정보를 기반으로 자산 정보를 평가하는 510동작을 수행할 수 있다. 자산 정보 평가 동작은 구체적으로, 기입 내용을 자산 항목별로 분류하고, 자산의 중요도에 따른 등급을 산정하는 동작을 의미할 수 있다.

이후 상기 제어부 230는 취약점을 분석하는 515동작을 수행할 수 있다. 이 때 취약점 분석은 모의 해킹의 결과를 비롯한, 기 설정된 기간 동안 감지된 유해 이벤트의 횟수에 기반하여 산출될 수 있다.

이후 상기 제어부 230는 위험도를 판단하는 520동작을 수행할 수 있다. 상기 520동작은 자산 항목별로 위험도를 판단하는 동작일 수 있으며, 상기 제어부 230는 위험도를 판단할 시, 자산 등급을 비롯한 분석된 취약점 정보를 활용할 수 있다. 상기 제어부 230는 위험도 평가 결과를 일정 범위 내의 수치(예, 3~12)로 산출할 수 있으며, 기 설정된 범위 밖의 수치가 산출될 경우 오류가 발생한 것으로 판단할 수 있다. 위험도 수준은 위험도 수치에 기반하여 상, 중, 하로 구분될 수 있으며, 위험도가 상으로 평가되는 항목의 경우 대응책 산출에 우선순위가 부여될 수 있다.

이후 상기 제어부 230는 관리자 서버로부터 제공받은 프로그램 및 명령에 기반하여 보안 훈련을 수행하는 525동작을 진행할 수 있다. 상기 보안 훈련은 예컨대, 보안 강화 프로그램의 설치 동작을 포함할 수 있다.

도 6은 본 발명의 실시 예에 따른 관리자 서버 및 대상자 서버 간 수행되는 보안 관리 동작의 순서를 도시하는 순서도이다.

먼저 대상자 서버 200에서 기본 정보를 기입하는 605동작이 수행되면, 상기 대상자 서버 200는 관리자 서버 100측에 점검 기준을 요청하는 610동작을 수행할 수 있다. 이후 상기 관리자 서버 100는 대상자를 분석하는 615동작을 수행할 수 있다. 상기 대상자 분석의 615동작은 대상자별 점검 기준을 도출하는 동작을 포함할 수 있다. 이후 상기 관리자 서버 100는 산출된 대상자별 점검기준을 대상자 서버 200측에 제공하는 620동작을 수행할 수 있다. 이후 상기 대상자 서버 200는 점검기준에 따른 취약점을 분석하는 625동작을 수행할 수 있다. 상기 대상자 서버 200는 625 동작 시 점검기준에 따라 대상자 서버의 자산 항목들의 취약점을 분석하되, 모의 해킹 결과, 유해 이벤트 탐지 횟수 등의 추가 자료를 참고하여 취약점을 분석할 수 있다.

상기 대상자 서버 200는 취약점 분석 이후 분석 결과를 관리자 서버 100에 전송하는 630동작을 수행할 수 있다. 보다 구체적으로는 상기 대상자 서버 200는 취약점 분석 이후 취약점 결과 정보를 기반으로 보안에 대한 위험도를 판단하고, 보안 위험도 수치를 산출할 수 있다. 그리고 대상자 서버 200에서 관리자 서버 100측에 제공되는 분석 결과는 취약점 및 위험도 산출결과를 포함할 수 있다.

이후 상기 관리자 서버 100는 대상자 서버 200로부터 수신된 분석 결과에 기반하여 대응책을 산출하는 635동작을 수행할 수 있다. 이후 상기 관리자 서버 100는 대응책을 대상자 서버 200측에 제공하는 640동작을 수행할 수 있다. 이 때 상기 대응책은 보안 강화를 위한 사용 지침을 정리한 메시지를 포함하여, 백신 프로그램 등의 보안 강화를 수행하는 프로그램을 의미할 수 있다. 이후 상기 대상자 서버 200는 수신된 대응책을 적용하는 645동작을 수행할 수 있다. 상기 대상자 서버 200는 예컨대, 수신된 보안 강화 프로그램을 설치 및 실행할 수 있다. 또는 상기 대상자 서버 200는 연동된 각 단말기에 암호 변경 및 이메일 열람 주의 등의 권고 사항을 메시지로 표시하도록 제어하는 동작을 수행할 수 있다.

요컨대, 본 발명의 실시 예에 따른 보안 관리 시스템은 대상자 서버로부터 수신되는 기본 정보에 기반하여 대상자 분석을 수행하며, 수행된 대상자 분석 결과에 따른 대상자별 점검 기준을 대상자 서버에 제공하고, 상기 대상자 서버로부터 수신되는 취약점에 기반하여 대응책을 산출하는 관리자 서버와, 사용자로부터 입력되는 기본 정보를 상기 관리자 서버에 제공하며, 상기 관리자 서버에서 수신되는 대상자별 점검 기준에 대응하여 취약점을 분석하고 상기 분석된 취약점을 기반으로 위험도를 산출하며, 상기 위험도의 수치가 높은 자산 항목의 순서대로 상기 관리자 서버에 대응책을 요청하고, 상기 관리자 서버로부터 대응책을 수신하여 적용하는 대상자 서버를 포함할 수 있다.

상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 요컨대 본 발명이 의도하는 효과를 달성하기 위해 도면에 도시된 모든 기능 블록을 별도로 포함하거나 도면에 도시된 모든 순서를 도시된 순서 그대로 따라야만 하는 것은 아니며, 그렇지 않더라도 얼마든지 청구항에 기재된 본 발명의 기술적 범위에 속할 수 있음에 주의한다.

100 : 관리자 서버
131 : 대상자 분석부
132 : 모의 해킹 실행부
133 : 대상자별 위험도 평가 및 대응책 산출부
134 : 통계부
135 : 업데이트부
200 : 대상자 서버
231 : 입력정보 분석부
232 : 취약점 분석부
233 : 위험도 평가부
234 : 보안 훈련부
235 : 통계 제공부
236 : 차단 설정부

Claims

대상자 서버로부터 수신되는 기본 정보에 기반하여 대상자 분석을 수행하며, 수행된 대상자 분석 결과에 따른 대상자별 점검 기준을 대상자 서버에 제공하고, 상기 대상자 서버로부터 수신되는 취약점에 기반하여 대응책을 산출하는 관리자 서버; 및
사용자로부터 입력되는 기본 정보를 상기 관리자 서버에 제공하며, 상기 관리자 서버에서 수신되는 대상자별 점검 기준에 대응하여 취약점을 분석하고 상기 분석된 취약점을 기반으로 위험도를 산출하며, 상기 위험도의 수치가 높은 자산 항목의 순서대로 상기 관리자 서버에 대응책을 요청하고, 상기 관리자 서버로부터 대응책을 수신하여 적용하는 대상자 서버;를 포함하되,
상기 대상자 서버는
사용자로부터 입력되는 기본 정보를 기반으로 자산을 기 설정된 항목별로 분류하고 자산의 등급을 산출하는 입력정보 분석부;
모의 해킹 결과 및 유해 이벤트 탐지 동작을 기반으로 취약점을 판단하는 취약점 분석부; 및
상기 취약점 분석부에 의해 판단된 취약점에 기반하여 위험도를 평가하는 위험도 평가부;를 포함하는 것을 특징으로 하는 보안 관리 시스템.
삭제
◈청구항 3은(는) 설정등록료 납부시 포기되었습니다.◈

제 1항에 있어서,
상기 위험도 평가부는
상기 취약점 분석부에 의해 판단된 취약점 평가 결과에 자산 등급, 기준 중요도, 위협 가능성 및 위협 영향도에 대한 평가 점수를 연산하여 위험도를 산출하는 것을 특징으로 하는 보안 관리 시스템.
◈청구항 4은(는) 설정등록료 납부시 포기되었습니다.◈

제 1항에 있어서,
상기 위험도 평가부는
산출된 위험도의 수치가 기 설정된 값 이상인 자산 항목에 대하여 대응책 요청에 대한 우선순위를 부여하고, 부여된 순서에 따른 자산 항목에 대하여 해당 자산 항목에 대한 보안 대응책을 관리자 서버에 요청하는 것을 특징으로 하는 보안 관리 시스템.
제 1항에 있어서,
상기 관리자 서버는
대상자 서버로부터 전송되는 기본 정보를 기반으로 대상자의 환경 분석을 수행하고, 상기 환경 분석의 결과와 상기 대상자 서버로부터 수신된 자산 등급 정보를 기반으로 대상자 맞춤형 점검 기준을 산출하는 대상자 분석부를 포함하되,
상기 환경 분석은 대상자 업체의 부서별 업무 및 연관 기관에 관한 정보에 대한 분석을 포함하는 것을 특징으로 하는 보안 관리 시스템.
제 1항에 있어서,
상기 대상자 서버는
취약점 분석 시, 사용자로부터 문장 형식의 세부 취약사항을 입력받으면, 상기 입력된 세부 취약사항의 내용을 관리자 서버에 전송하고,
상기 관리자 서버는 상기 대상자 서버로부터 세부 취약 사항을 수신하면 상기 수신된 세부 취약 사항의 내용을 자연어 처리하고 이에 따라 입력된 세부 취약 사항의 내용이 의미하는 취약점의 위험 수준을 판단하여 상기 대상자 서버에 제공하는 것을 특징으로 하는 보안 관리 시스템.
제 6항에 있어서,
상기 관리자 서버는
대상자 분류별 중요 자산 항목 및 주요 사용 용어를 산출하는 통계부;를 포함하고,
대상자 서버로부터 수신된 세부 취약사항의 내용을 자연어 처리할 시, 상기 세부 취약사항 내용 중 상기 통계부에서 산출한 대상자 분류별 주요 사용 용어가 포함된 경우, 해당 항목의 취약점의 수치를 증가시키는 것을 특징으로 하는 보안 관리 시스템.