KR102055893B1 - 보안감사 대응 시스템 - Google Patents

보안감사 대응 시스템 Download PDF

Info

Publication number
KR102055893B1
KR102055893B1 KR1020170091293A KR20170091293A KR102055893B1 KR 102055893 B1 KR102055893 B1 KR 102055893B1 KR 1020170091293 A KR1020170091293 A KR 1020170091293A KR 20170091293 A KR20170091293 A KR 20170091293A KR 102055893 B1 KR102055893 B1 KR 102055893B1
Authority
KR
South Korea
Prior art keywords
security
item
diagnostic
security log
log
Prior art date
Application number
KR1020170091293A
Other languages
English (en)
Other versions
KR20190009859A (ko
Inventor
곽동선
Original Assignee
에스2정보 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스2정보 주식회사 filed Critical 에스2정보 주식회사
Priority to KR1020170091293A priority Critical patent/KR102055893B1/ko
Publication of KR20190009859A publication Critical patent/KR20190009859A/ko
Application granted granted Critical
Publication of KR102055893B1 publication Critical patent/KR102055893B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

본 발명은 보안로그항목 DB, 진단지표항목 DB, 스케줄 DB 및 담당자 DB와 연계하며, 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 상기 입력창을 통해 입력한 정보에 따라 감사기관별 정책 시나리오를 생성하고, 생성된 정책 시나리오에 대응하여 보안로그항목 또는 진단지표항목의 담당자와 진단용 스케줄 및 점수요소를 설정하는 정책 생성부, 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 진단용 스케줄, 담당자 정보 및 점수요소를 저장하는 시나리오 저장부, 그리고 복합 보안시스템의 각 수집대상으로부터 보안로그항목에 대한 보안로그을 수집하고, 수집한 보안로그에 대응한 보안로그항목에 대하여 진단용 스케줄에 따라 각 보안로그항목의 지수화 점수를 산출하고, 산출한 보안로그항목의 지수화 점수를 이용하여 각 진단지표 및 진단지표항목을 평가하는 진단실행부를 포함하는 보안감사 대응 시스템에 관한 것이다.

Description

보안감사 대응 시스템{SECURITY INSPECTION RESPONDENCE SYSTEM }
본 발명은 보안감사 대응 시스템에 관한 것으로, 서로 다른 기관의 보안 감사에 대응할 수 있게 하는 보안감사 대응 시스템에 관한 것이다.
현재 국내에서는 개인정보의 수집, 이용, 제공, 파기 등 보호 기준과 안정성 조치를 강화한 개인정보보호법인 2012년 3월 30일자로 본격 시행되고 있다. 이에 따라 개인정보보호법은 그간 공공기관과 정보통신사업자, 신용정보 제공업자 등 일부 사업자에 적용되던 개인정보보호 의무가 공공기관은 물론 서비스업, 1인 사업자, 의료기관 등 350만에 이르는 개인 정보처리자로 확대되었다.
이에 따라 개인정보보호법 준수를 위하여 공공기관 및 기업에서는 기술적 조치, 관리적 조치 등을 수행하여 개인정보보호 의무를 수행하고 있다. 그리고 이러한 공공기관 및 기업에서는 개인정보보호 의무에 대한 이행 여부를 자체적으로 파악(진단)하여 정부기관의 감사시에 자료로 제출하고 있다.
그러나 개인정보보호 의무에 대한 정부기관의 감사는 부처별로 시행되고 부처별로 진단지표항목이 동일하지 않으며, 진단지표항목별 평가 기준 또한 다르다. 이런 이유로 공공기관이나 기업 등에서의 정보보호 이행 여부 관리가 불편하고 또한 감사시마다 자료를 작성해야 하는 번거로움이 많다. 또한, 정보보안 이행이 잘 되고 있는지의 여부 및 평가를 감사시마다 준비하고 체크해야 하며, 보안 이행이 잘 되지 않는 부분을 파악하고 보완해야 하는 등 많은 시간과 노력이 필요로 한 문제가 있다.
본 발명이 해결하고자 하는 과제는 정부 부처별 감사를 보다 쉽고 빠르게 대응할 수 있게 하는 보안감사 대응 시스템을 제공하는 것이다.
상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.
상기 과제를 해결하기 위한 본 발명의 실시 예에 따른 보안감사 대응 시스템은 서로 다른 정부 감사기관의 보안 감사에 대응할 수 있도록 하기 위하여,
모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있는 보안로그항목 DB,
각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있는 진단지표항목 DB,
보안로그항목별 진단지표항목을 진단하기 위한 진단용 스케줄 정보를 저장하고 있는 스케줄 DB,
각 보안로그항목별 또는 진단지표항목별 당담자의 정보를 저장하고 있는 담당자 DB,
상기 보안로그항목 DB, 진단지표항목 DB, 상기 스케줄 DB 및 상기 담당자 DB와 연계하며, 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 상기 입력창을 통해 입력한 정보에 따라 감사기관별 정책 시나리오를 생성하고, 생성된 정책 시나리오에 대응하여 보안로그항목 또는 진단지표항목의 담당자와 상기 진단용 스케줄 및 점수요소를 설정하는 정책 생성부,
상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 진단용 스케줄, 담당자 정보 및 점수요소를 저장하는 시나리오 저장부, 그리고
복합 보안시스템의 각 수집대상으로부터 보안로그항목에 대한 보안로그을 수집하고, 상기 수집한 보안로그에 대응한 보안로그항목에 대하여 상기 진단용 스케줄에 따라 각 보안로그항목의 지수화 점수를 산출하고, 산출한 보안로그항목의 지수화 점수를 이용하여 각 진단지표 및 진단지표항목을 평가하는 진단실행부를 포함한다.
삭제
삭제
삭제
본 발명의 하나의 실시예에 따르면, 정부 기관 감사별 진단지표에 대응하는 보안로그항목이 설정되고 보안로그항목별 진단 스케줄이 설정되며, 진단 스케줄에 따라 보안로그항목별 및 전체항목에 대한 평가가 자동으로 수행됨으로써, 보다 편리하고 쉽게 정부 기관의 감사에 대응할 수 있게 한다.
도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다.
도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다.
도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다.
도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다.
도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.
도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도이다.
도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다.
도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체에서 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한, 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다.
본 명세서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템을 설명한다.
우선 도 1을 참조로 하여 본 발명의 안출 배경을 설명한다. 도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다.
도 1을 참고하면, 다수의 정부기관은 개인정보보호법이나 기타 보안관련법에 대하여 기관이나 기업 등에서 제대로 준수하고 있는지를 감사(또는 진단)를 수행하고 있다. 예컨대, 행정자치부(A)에서는 정보통신기반 보호법에 따른 주요 정보통신 기반시설 취약점 진단 가이드라인을 제시하기 위하여, 국가정보원(B)에서는 정보보안 관리실태 평가를 위하여, 한국인터넷진흥원(C)에서는 ISMS 인증 가이드라인을 제시하기 위하여 감사를 진행하고 있다.
이러한 감사를 위해 각 기관(A, B, C)에서는 각각 복수의 진단지표를 마련하고 있다. 포털사이트를 통해 확인되는 "2014년 공공기관 개인정보보호 관리수준 진단 메뉴얼"에 따르면, 진단지표는 복수개로 이루어지고, 각 진단지표는 적어도 하나 이상의 세부항목 즉, 진단지표항목으로 이루어져 있다.
그리고 각 기관별 진단지표를 살펴보면, 각 기관은 도 1에 도시된 바와 같이 서로 중복된 진단지표를 가지고 있음이 파악되었다. 구체적인 예로, 행정자치부(A)와 국가정보원(B)은 진단지표 1, 진단지표 7 등이 중복되고, 행정자치부(A)와 한국인터넷진흥원(C)은 진단지표 5 및 진단지표 10등이 중복되며, 국가정보원(B)과 한국인터넷진흥원(C)은 진단지표 8 및 진단지표 13 등이 중복된다. 그리고 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C) 모두는 진단지표 2, 진단지표 4, 진단지표 9, 진단지표 12 등이 중복된다.
그리고, 하나의 기관 또는 기업을 기준으로 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C)에서의 감사 일자를 보면, 예컨대 행정자치부(A)에서는 6월 1일이고, 국가정보원(B)에서는 같은 해 8월 10일이며, 한국인터넷진흥원(C)에서는 같은 해 11월 10일이다. 물론 이러한 날짜는 각 기관의 감사 일자가 서로 다름을 설명하기 위한 것으로, 임으로 가정한 날짜이다.
또한, 동일한 진단지표에 대하여 각 감사기관마다 서로 다른 배점과 가중치가 부여되고, 점수를 산정하는 기준 즉, 배점 기준이 다르다. 예컨대, 행정자치부(A)에서의 배점 기준은 팩스 전송건수가 1 ~ 100건이면 100점으로 평가하고, 101~ 1000건이면 50점으로 평가하지만, 국가정보원(B)에서의 배점 기준은 1 ~ 50건이면 100점으로 평가하고, 51 ~ 100건이면 50점으로 평가한다.
이와 같이 각 기관의 감사 일정이 다르고, 감사를 위한 진단지표가 각각 다르며 배점 기준이 다르기 때문에, 감사대상인 기업이나 기관에서는 한 기관의 감사를 준비하면 다시 다른 기관의 감사일정에 맞춰 다시 진단지표를 확인하고 진단지표 또는 진단지표항목의 담당자를 설정하고 자료를 준비하거나 보안평가를 하는 등의 대응을 준비해야 하기 때문에 많은 시간의 소비와 인력의 낭비가 있었다.
그러나, 도 1에 도시된 바와 같이 각 감사기관(A, B, C)에서의 진단지표는 서로 중복되는 부분이 많으며, 당해년도에 각 감사기관별 감사를 체계적으로 준비하게 되면, 이후년도 이후부터는 각 감사기관별 진단지표 또는 진단지표항목이 조금 바뀌게 되더라도 쉽게 감사를 준비할 수 있게 된다.
본 발명은 이러한 각 감사기관별 중복되는 진단지표 및 중복되지 않는 진단지표를 파악하여 다음 감사할 기관의 진단지표 중 중복되지 않는 진단지표를 중점적으로 관리할 수 있게 하며, 나아가 이전년도의 감사 결과를 관리하여 당해년도의 각 감사기관별 감사에 보다 쉽게 대응할 수 있게 한다.
도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다. 도 2를 참고하면, 일반적으로 복합 보안시스템(또는 통합 보안시스템)(10)은 기업에서 내부 정보 유출 및 외부 침입을 방지하기 위하여 다양한 보안 솔루션을 도입하여 운영중인 서로 다른 종류 즉, 서로 다른 영역의 솔루션들이 결합해서 복합적으로 구성된 보안 체계의 시스템이다. 복합 보안시스템(10)으로는 대표적으로 ESM(Enterprise Security Management)과 SIEM(Security information and event management) 등이 있다.
이러한 복합 보안시스템(10)은 다양한 보안 솔루션을 탑재하고 있는데, 예컨대 보안 솔루션으로는 인터넷의 라우터측(즉, 네트워크측)에 DDoS(분산 서비스 거부 공격), APT(Advanced Persistent Threats, 지능형 지속 위협) 등이 있고, 웹 서버측에 웹 방화벽이 있으며, DB(데이터베이스) 서버측에 DB 보안, 접근제어, 계정관리 등이 있고, 메일 서버측에 스팸 차단 솔루션이 있다. 또한 사용자 PC측에 백신, PC 취약성 파악, 정보유출방지(문서유출방지 포함) 등이 있고, 복합기나 파일서버 측에 문서보안 솔루션 등이 있다.
그리고 복합 보안시스템(10)의 각 보안 솔루션을 통해서 보안로그가 수집되고, 수집되는 보안로그를 이용하면 복수의 보안로그항목(20)이 파악된다. 이렇게 파악된 복수의 보안로그항목(20)은 각 감사기관(A, B, C)의 진단지표를 위한 진단지표항목 중 하나에 해당된다. 즉, 하나의 진단지표항목은 적어도 하나의 보안로그항목으로 파악된다.
여기서, 보안로그는 보안로그항목(도 3 참조)에 관련된 각종 데이터로서, 예컨대, 보안장비나 보안 솔루션에서 발생되는 로그 정보뿐만 아니라, 보안로그항목에 관련된 사용자 행위에 따른 보안 데이터를 포함한다.
보안로그항목의 일 예는 도 3과 같다. 도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다. 도 3을 참고하면, 보안로그항목은 크게 내부정보 유출보안에 관련된 제1정보 및 외부침입보안에 관련된 제2 정보로 구분되며, 제2 정보는 다시 PC 취약성관련 보안로그 지수화에 관련된 정보, 악성코드관련 보안로그 지수화에 관련된 정보로 분류된다.
제1 정보로는 예컨대 PC 미암호화 주민번호 보관, PC 암호화 주민번호 보관, PC 미암호화 개인정보 보관, USB 미암호화 개인정보 저장, USB 암호화 개인정보 저장, 사외전송 미암호화 개인정보 전송, 메일 개인 정보 사외 발송, 시스템 개인정보 과다 조회 등이 있다.
그리고 제2 정보로, PC 취약성관련 보안로그 지수화정보에 관련한 정보로는 윈도우(windows) 자동 로그온, PC 로그온 패스워드 안정성, 화면 보호기 설정, (사용자) 공유 폴더 설정, (전체) 공유 폴더 사용 여부, 비인가 사용자 접근 제어, IE, ID/PW 자동 완성 설정, 미사용(3개월) ActiveX 프로그램 등이 있고, 악성코드관련 보안로그 지수화정보로는 악성 코드 감염 치료 파일, 백신 치료 불가 파일, 악성코드 메일 감염 건수, 피싱 메일 감염 건수 등이 있다.
도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다. 도 4를 참고하면, 본 발명의 실시 예에 따른 보안감사 대응 시스템(100)은 사용자 입력부(110), 정책 생성부(120), 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133), 담당자 DB(134), 시나리오 저장부(140) 및 진단실행부(150)를 포함하며, 경우에 따라 제재조치부(160)를 더 포함할 수 있다.
사용자 입력부(110)는 사용자에 의해 조작되어 사용자가 원하는 명령이나 정보를 입력할 수 있게 하고, 사용자가 입력한 명령이나 정보를 전기적 신호로 출력한다.
정책 생성부(120)는 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 사용자 입력부(110)를 통해 자신이 원하는 정보를 입력 또는 선택할 수 있게 한다. 이때 사용자에게 제공되는 각종 입력창에 표시되는 정보는 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133) 및 담당자 DB(134)에 저장된 정보를 기준으로 한다.
여기서 정책 시나리오는 감사기관별 진단지표의 진단지표항목에 대응하는 보안로그항목을 매칭시키고, 매칭된 보안로그항목에 대한 정보(또는 자료)를 설정된 스케쥴에 따라 수집하도록 하는 것을 의미한다. 이때 정책 시나리오에는 수집되는 정보(또는 자료)를 관리하는 담당자가 설정되며, 담당자는 진단지표항목 또는 보안로그항목의 성격에 따라 한명 또는 여러명일 수 있다.
보안로그항목 DB(131)는 도 3에 도시된 모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있다. 보안로그항목 DB(131)에 저장되는 모든 보안로그항목에 대한 정보는 사용자에 의해 입력되어진 정보이며, 사용자에 의해 추가, 삭제, 변경되어 보안로그항목 DB(131)에 저장된 정보가 수정된다.
진단지표항목 DB(132)는 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있다. 그리고 진단지표항목 DB(132)는 각 감사기관의 이전 감사정보를 저장하는 경우이면, 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있으며, 각각의 진단지표항목은 관련된 하나의 진단지표와 매칭되어 있고, 각각의 진단지표는 관련된 적어도 하나의 감사기관의 식별정보와 매칭되어 있다. 이러한 매칭관계는 도 1 및 도 2에 도시된 바에 따른다. 진단지표항목 DB(132)에 저장되는 모든 진단지표 및 진단지표항목에 대한 정보 및 매칭 관계는 사용자에 의해 입력되거나 설정되며, 사용자에 의해 추가, 삭제, 변경된다.
한편, 진단지표항목 DB(132)에 진단지표에 대한 정보 및 식별정보, 진단지표항목에 대한 정보 및 식별정보만을 저장하고, 보안로그항목 DB(131)의 보안로그항목에 대한 정보를 기준으로 도 1 및 도 2에 따른 진단지표항목 및 진단지표 그리고 각 감사기관과의 매칭 관계를 설정할 수 있다.
스케줄 DB(133)는 보안로그항목별 스케쥴 정보를 저장하고 있다. 그리고 스케줄 DB(133)는 진단지표항목 중 보안로그항목으로 파악되지 않는 자료(증적자료나 증빙자료 등)나 개인 또는 단체의 보안활동 체크 등과 같이 특정 담당자의 수작업에 의해 만들어지는 자료나 보안확인정보 등에 대한 보안항목을 더 포함하고 있을 수 있으며, 이 경우에도 해당 보안항목에 대한 스케줄 정보를 저장하고 있다. 보안로그항목별 스케줄 정보는 보안로그를 수집하는 수집 스케줄 정보와 진단지표를 평가하는 진단용 스케줄 정보로 구분된다. 이상적으로는, 모든 보안로그의 수집은 매일 이루어지는 것이 양호하므로, 수집 스케줄 정보는 별도로 설정하지 않아도 무방하다. 그러나 진단용 스케줄 정보는 진단지표항목의 종류에 따라 달라진다. 진단지표항목의 종류에 따라 달라지는 이유는 진단지표항목이 일별로 파악되는 보안 정보에 대한 평가이거나, 기간별로 집계되는 보안정보에 대한 평가일 수 있기 때문이다.
예컨대, 진단용 스케줄 정보는 보안로그항목의 종류에 따라 매일, 일주일, 한달, 2달 등으로 구분된다. 보안항목에 대응된 스케줄 정보는 해당 감사의 감사일(감사날짜)을 기준으로 하는 설정되기도 한다. 예컨대 감사일로부터 일주일 전, 한달 전 등이다.
담당자 DB(134)는 각 보안로그항목별 당담자의 정보를 저장하고 있다. 로그항목별 담당자는 한 명일 수 있고 2 이상일 수 있으며, 복수의 로그항목을 한 명의 담당자가 담당할 수 있다.
시나리오 저장부(140)는 상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 스케줄, 담당자 및 점수요소를 저장한다. 물론 각 감사기관의 감사일이 서로 충분한 시간을 두고 있다면 시나리오 저장부(140)에 저장되는 정책 시나리오는 현재일로부터 가장 빠른 감사기관의 감사에 대응하는 정책 시나리오이다.
진단실행부(150)는 시나리오 저장부(140)에 저장된 정책 시나리오에 따라 보안을 이행한다. 즉, 진단실행부(150)는 정책 시나리오에 따라 복합 보안시스템(10)으로부터 수집 스케줄 정보에 동기하여 보안로그항목에 대한 데이터(즉, 보안로그)을 수집하고, 진단용 스케줄 정보에 동기하여 각 진단지표 및 진단지표항목을 평가(진단)한다.
제재조치부(160)는 진단실행부(150)에 의해 산정된 각 보안로그항목의 지수화 점수를 수신하고, 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치를 한다. 이때의 제재조치는 해당 담당자에게 담당하는 보안로그항목에 대한 보안 위험을 알리고 보안위험 해소를 하도록 지시하거나 불이익에 대한 정보를 담당자에게 제공한다.
이하에서는 도 5를 참조로 하여 본 발명의 실시 예에 따른 정책 생성부(120)를 보다 상세히 설명한다. 도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.
도 5를 참고하면, 정책 생성부(120)는 매칭부(121), 담당자 설정부(122), 스케줄 설정부(123) 및 점수요소 설정부(124)를 포함한다.
매칭부(121)는 진단지표항목 DB(131)과 보안로그항목 DB(132)를 이용하여 사용자가 입력창을 통해 특정 감사기관의 진단지표에 대응하는 보안로그항목을 매칭시킬 수 있게 한다.
기본적으로 매칭부(121)는 사용자가 입력한 감사기관에 대한 이전 감사시에 이용된 자료가 진단지표항목 DB(131)에 저장되어 있으면, 진단지표항목 DB(131)로부터 해당 감사기관에 대한 감사정보(진단지표, 진단지표항목, 진단지표항목에 매칭된 보안로그항목 등)을 파악하고 사용자 요구에 대응하여 입력창을 통해 표시한다.
예컨대, 사용자가 감사기관을 행정자치부(A)로 입력하면, 매칭부(121)는 진단지표항목 DB(131)에 기 저장된 행정자치부(A)에 대응된 진단지표, 진단지표항목 및 진단지표항목에 매칭된 보안로그항목을 입력창을 통해 표시한다. 다른 예로, 입력창은 행정장치부(A)에 관련되어 저장된 진단지표 리스트를 보여주고, 사용자가 진단지표 리스트 중 하나를 선택하면 해당 진단지표의 진단지표항목 리스트가 표시되며, 진단지표항목 리스트 중 사용자가 하나를 선택하면 사용자가 선택한 진단지표항목에 매칭된 적어도 하나의 보안로그항목이 표시된다.
이렇게 사용자는 입력창을 통해서 기 저장되어 있는 감사기관의 진단지표, 진단지표에 대응된 진단지표항목, 진단지표항목에 매칭된 보안로그항목을 확인하게 되고, 올해 해당 감사기관의 진단지표, 진단지표항목과 비교하게 되며, 비교시 작년과 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목이 있는 경우에, 입력창을 통해 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목에 대응하는 편집을 한다. 이때의 편집은 새로운 진단지표에 대한 내용을 입력하거나 새로운 진단지표항목을 등록 및 등록한 새로운 진단지표항목에 매칭할 보안로그항목을 찾아 설정하는 것이거나, 진단지표 및 진단지표항목을 삭제 및 삭제한 진단지표항목과 매칭되었던 보안로그항목을 삭제하거나, 진단지표 또는 진단지표항목의 내용을 변경하고 그에 따라 매칭되는 보안로그항목을 변경하는 등의 작업이다.
한편, 매칭부(121)는 해당 감사기관에 대한 이전년도 또는 그 이전년도 등 이전에 받은 감사정보가 진단지표항목 DB(131)에 저장되어 있지 않으면, 사용자가 입력창을 통해 해당 감사기관의 각 진단지표 및 진단지표항목을 입력하고, 입력창을 통해 입력한 진단지표항목에 대응하는 보안로그항목을 보안로그항목 DB(101)에 저장된 보안로그항목 리스트 중 하나 이상과 매칭하여 설정할 수 있게 한다.
매칭부(121)는 사용자에 의해 해당 감사기관에 대한 진단지표에 대응한 보안로그항목에 대한 매칭을 완료하면 감사기관의 식별정보에 대응하여 각 진단지표를 매칭시키고, 각 진단지표별로 대응된 진단지표항목을 매칭시키며, 각 진단지표항목별로 대응된 보안로그항목을 매칭하며, 이렇게 매칭한 정보를 "진단정책"으로 하여 진단정책 저장부(141)에 저장한다.
담당자 설정부(122)는 매칭부(121)에 의해 해당 감사기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 담당자 DB(134)로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 담당자 저장부(142)에 저장한다. 물론 담당자 설정부(122)는 담당자 저장부(142)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 담당자 정보가 있으면, 기 저장된 담당자 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 담당자 편집을 할 수 있다. 그리고, 담당자 설정부(122)는 스케줄 설정부(123)와 연동하여 각 담당자의 이메일이나 전화 등으로 해당 담당자가 담당하는 보안로그항목이나 자료(증빙자료, 증적자료 등)을 알리고, 아울러 담당하는 보안로그항목에 대한 점검기일에 대한 정보를 알린다.
스케줄 설정부(123)는 매칭부(121)에 의해 해당 감사기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 스케줄 DB(133)로부터 파악하여 해당 감사기관의 진단지표항목에 대응된 보안로그항목의 진단용 스케줄로 설정하여 스케줄 저장부(143)에 저장한다. 물론 스케줄 설정부(123)는 스케줄 저장부(143)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 진단용 스케줄 정보가 있으면, 기 저장된 스케줄 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 스케줄 편집을 할 수 있다.
점수요소 설정부(124)는 해당 감사기관의 각 진단지표별 배점기준이나 배점 및 가중치와 각 진단지표항목별 정책 점수를 입력창을 통해 설정할 수 있게 하며, 이렇게 설정된 배점 및 가중치는 해당 감사기관에 매칭된 진단지표와 진단지표항목에 매칭되어 점수요소 저장부(144)에 저장된다. 점수요소 설정부(124) 또한 점수요소 저장부(144)에 해당 감사기관에 대한 기 저장된 정보가 있는 경우이면 매칭부(121)를 통해 변경, 삭제, 추가되는 진단지표나 진단지표항목에 대해서만 점수 요소를 편집할 수 있다.
다음으로, 시나리오 저장부(140)는 진단정책 저장부(141), 담당자 저장부(142), 스케줄 저장부(143), 점수요소 저장부(144)를 포함한다. 시나리오 저장부(140)의 각 저장부(141 내지 144)에 저장된 정보는 적어도 해당 감사기관의 감사일까지 저장된 유지되고, 감사일이 지나면 삭제된다. 그리고 진단정책 저장부(141)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장되고, 담당자 저장부(142)에 저장된 정보는 담당자 DB(134)에 옮겨져 저장되며, 스케줄 저장부(143)에 저장된 정보는 스케줄 DB(133)에 저장되고, 점수요소 저장부(144)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장된다.
이하에서는 도 6을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 설명한다. 도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있지 않는 경우에 대한 것이다.
도 6을 참고하면, 사용자는 사용자 입력부(110)를 통해 정책 시나리오 작성을 요청하면, 정책 생성부(120)의 매칭부(121)가 화면상에 입력창을 표시한다(S601). 사용자는 입력창을 통해 작성할 정책 시나리오의 감사기관을 입력 또는 선택한다(S602).
사용자는 입력창을 통해 해당 감사기관에서 수행하는 진단지표 및 진단지표항목을 해당 감사기관과 매칭시키기 위해 진단지표항목(131)에 저장되어 있는 진단지표를 요청하고, 정책 생성부(120)는 진단지표 리스트를 화면상에 표시한다. 이에 사용자가 하나의 진단지표를 선택하거나 입력하여 등록을 요청하면(S603), 정책 생성부(120)는 진단지표를 등록함과 더불어 진단지표항목 DB(131)에 저장된 진단지표항목들을 리스트로 하여 화면상에 표시한다.
사용자가 표시된 진단지표항목 리스트 중 적어도 하나를 선택하거나 또는 사용자가 직접 진단지표항목을 입력하면, 정책 생성부(120)는 선택 또는 입력한 진단지표항목을 해당 진단지표의 항목으로 매칭시킨다(S604).
그리고 정책 생성부(120)는 사용자가 선택 또는 입력한 진단지표항목에 대응하는 보안로그항목을 매칭시키기 위하여 보안로그항목 DB(132)에 저장된 보안로그항목을 리스트로 하여 화면상에 표시하고, 이에 사용자는 보안로그항목 리스트 중 해당 진단지표항목에 대응하는 적어도 하나의 보안로그항목을 선택한다(S6605).
그러면 정책 생성부(120)는 사용자가 선택한 적어도 하나의 보안로그항목을 해당 진단지표항목과 매칭하여 등록한다(S6607). 이러한 하나의 진단지표항목과 적어도 하나의 보안로그항목이 매칭되면, 정책 생성부(120)는 해당 보안로그항목에 대한 담당자를 해당 진단지표항목에 대응하여 설정하고(S608), 해당 보안로그항목에 대한 스케줄을 해당 진단지표항목에 대응하여 설정하며(S6609), 해당 진단지표 및 진단지표항목에 대한 배점이나 정책 점수를 사용자가 입력 또는 선택하게 하고 등록한다(S610).
한편, 하나의 진단지표에 대응된 모든 진단지표항목에 대한 보안로그항목과의 매칭이 완료되지 않으면(S611), S604 과정 내지 S610 과정이 반복된다. 그리고 모든 진단지표에 대한 보안로그항목과의 매칭이 완료되지 않으면(S6612), 다음 진단지표가 사용자에 의해 선택 또는 입력되어 S604 과정 내지 S611 과정이 반복 수행된다.
다른 실시 예로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있는 경우가 있다. 이 경우에 정책 생성부(120)는 사용자가 해당 감사기관을 입력 또는 선택하면 해당 감사기관의 이전 감사정보를 파악한 후 파악한 진단지표, 진단지표항목 및 진단지표항목과 배점, 정책 점수, 가중치 등을 사용자에게 제공하고, 사용자가 현재 해당 감사기관의 진단지표, 진단지표항목, 배점, 정책 점수, 가중치를 파악하여 이전 감사때와 다른 정보만을 수정하여 등록할 수 있게 한다. 이러한 과정은 전술한 실시 예를 통해 통상의 기술자라면 용이하게 이해가 될 것이므로, 자세한 설명은 생략한다.
도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다. 도 7을 참고하면, 본 발명의 실시 예에 따른 진단 실행부(150)는 메타정보 생성부(151), 수집로직 생성부(152), 로그 수집부(153), 인터페이스부(154), 분석및파싱부(155) 및 지수화부(156)를 포함한다.
메타정보 생성부(151)는 대상장치인 복합 보안시스템(10)의 각 수집대상에 대한 메타정보를 생성한다. 이를 위해, 메타정보 생성부(151)는 사용자가 복수의 수집대상 중 하나의 수집대상에 대한 메타정보 설정을 요청하면, 이에 대응하여 해당 수집대상에 대한 로그포맷(log format)을 제공하고, 사용자가 로그포맷의 각 속성값 표시란에 속성값을 입력하면 입력된 속성값으로 메타정보를 생성한다.
여기서 수집대상은 각종 보안장비 및 방화벽, 웹방화벽, TMS(Threat Management), ESM 등의 보안장비 및 DDoS, APT, 접근제어, 스팸메일, 서버취약점, 백신, PC 취약점 등의 보안솔루션을 포함한다.
로그포맷은 로그 수집부(153)가 해당 수집대상에 접속하여 필요로 하는 로그정보나 보안데이터 등의 보안로그를 수집할 수 있도록 하는 기초정보이며, 수집대상의 종류에 따라 입력하는 속성값이 다를 수 있다. 이러한 로그포맷에 포함된 속성값은 해당 수집대상의 종류 및 사양에 대한 제1 속성값, 해당 수집대상에 접속하기 위한 제2 속성값, 해당 수집대상으로부터 수집할 정보(또는 데이터)를 지정하는 제3 속성값을 포함한다.
예를 들면, 수집할 정보가 “문서 암호화 정보”인 경우에 로그포맷에 포함된 각 속성값은 다음과 같다.
대상장비: DLP(Data Leakage Prevention) 또는 DB(DataBase)
장비 IP(Internet Protocol): 10.0.0.1
DB 유형(종류): ORACLE
접속 ID(Identification): user
패스워드: 1234567
수집항목(수집할 정보): 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등
키 필드(Key field): 정규식 패턴
키 필드 분리자: 카테고리 “, “, 수치값 “:”
상기 각 속성값에서 제1 속성값은 대상장비, DB 유형이 해당되고, 제2 속성값은 장비 IP, 접속 ID, 패스워드가 해당되며, 제3 속성값은 나머지 속성값들이 해당된다.
상기 대상장비는 보안정보(이하 “보안로그”라 한다)를 수집할 장비 또는 솔루션을 의미하며, 그에 따라 DLP는 데이터베이스 서버에 설치되어 있는 솔루션이므로 “DLP” 또는 “DB”로 표시된다. 상기에서 키 필드는 추출할 보안 정보를 포함하고 있는 데이터 필드 영역이고, 키 필드 분리자는 추출할 보안 정보(보안 데이터)를 키 필드 내에 기록된 데이터 중에서 식별할 수 있게 하는 식별자 즉, 분리자를 지정한다. 상기 속성값에 따르면, 카테고리 데이터는 “,”라는 분리자에 의해 구분되어 표시되어 있고, 수치값은 “:”라는 분리자에 의해 구분되어 표시되어 있다.
다른 예로, 방화벽으로부터 보안로그를 수집하는 경우에는 다음과 같은 속성값을 가질 수 있다.
대상장비 : 방화벽
전송방식: SYSLOG
장비버전: 1.1.1
장비IP: 10.0.0.1
아이디 : user
패스워드: 1234
수집항목(수집할 정보): 로그번호, Soruce IP, Destination IP, Source Port, Destination Port, InBound Traffic, OutBound Traffic, Packet Size, Attack Type, Action 등
필드 분리자 : 카테고리 “=”, 수치값 “,”
키 필드: Attack Type 필드
상기 속성값에서 전송방식은 다른 보안장비나 솔루션인 경우에 FTP, UDP, SYSLOG, SNMP 등으로 표기될 수 있다.
이러한 메타정보 생성부(120)는 사용자가 입력한 속성값으로 메타정보를 생성하면 이를 수집로직 생성부(130)에 제공한다.
수집로직 생성부(152)는 메타정보 생성부(151)로부터 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 프로그램 즉, 수집로직 프로그램을 생성한다. 수집로직 생성부(152)는 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다.
로그 수집부(153)는 시나리오 저장부(140)에 포함된 스케줄 저장부(143)에 따라 수집로직 생성부(152)로부터 수신된 해당 수집대상에 대한 수집로직 프로그램을 실행시키고, 수집로직 프로그램을 통해 해당 수집대상으로부터 목표하는 각 보안로그를 수집한다. 한편, 수집하는 보안로그가 SYSLOG인 경우에는 해당 장비로부터 실시간으로 수신하게 되므로 별도의 스케줄 정보를 필요로 하지 않는다.
인터페이스부(154)는 TCP, UDP, SYSLOG, FTP, OCI, ODBC, SNMP 등의 통신 인터페이스를 가지고 있으며, 로그 수집부(153)에 의해 하나의 수집로직 프로그램에 대응하여 하나의 통신 인터페이스를 통해 해당 수집대상에 접속하고 통신하게 한다. 인터페이스부(154)는 수집대상이 DB 서버, 웹 서버나 메일 서버 등과 같은 서버인 경우에 에이전트에 접속하고 에이전트로부터 보안로그를 수집한다. 여기서 에이전트는 각 서버로부터 보안로그를 수집하기 위한 장치이다.
로그 수집부(153)에 의해 수집되는 보안로그의 종류 즉, 보안로그항목의 일 예가 도 3에 도시되어 있다.
분석및파싱부(155)는 로그 수집부(153)로부터 보안로그를 수신하고 수신한 보안로그의 종류 즉, 보안로그항목을 파악하며 파악한 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱하고 분석한다. 여기서, 로그 수집부(153)로부터 수집되는 보안로그는 메타정보에서 “키 필드”로 지정한 정보이며, 이와 더불어, 수집항목으로 지정한 정보인 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등이다. 수집항목으로 지정한 정보는 전술한 설명에 한정되지 않으며, 제작자에 의해 임의로 변경이 가능하다. 그리고 수신된 보안로그가 “SYSLOG”인 경우에는 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 포함한다.
상기에서 데이터 유형은 크게 카운트형, 날짜형 및 OX형으로 분류된다. 카운트형은 사용자 행위를 카운트할 수 있는 데이터이고, 날짜형은 날짜를 기준으로 사용자의 행위가 보안에 위배되는지를 파악할 수 있는 데이터이며, OX는 사용자의 행위가 보안행위를 했는지 안했는지를 파악할 수 있는 데이터이다.
예를 들면, 카운트형 데이터는 사용자가 PC 내에서 미암호화한 개인정보 보유 파일을 몇 건 가지고 있는지 또는 개인정보를 몇 건 다운로드했는지 또는 복합기의 문서 출력을 몇 건 했는지 등을 파악할 수 있게 하는 데이터이다. 날짜형 데이터는 사용자가 백신 치료를 몇 일 동안 하지 않았는지(또는 몇일만에 했는지) 또는 오피스 보안 패치 점검을 몇 일 동안 하지 않았는지를 파악할 수 있게 하는 데이터이다. 그리고, OX형 데이터는 화면 보호기 설정 점검을 했는지, 윈도우 자동 로그온 점검을 했는지 등을 파악할 수 있게 하는 데이터이다.
상기에서 보안위험종류는 도 3에서 “중분류”에 해당하는 내용으로, 정보유출, 취약성, 악성코드감염가 있다.
분석및파싱부(155)의 동작을 SYSLOG를 예로 하여 설명하면, 분석및파싱부(155)는 SYSLOG 보안로그를 분석하여 데이터 유형 및 보안위험종류를 파악하고, 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 각각 추출한 후 추출한 정보를 파싱한 후 저장부(미도시)에 저장시킨다.
지수화부(156)는 분석및파싱부(155)에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목의 진단용 스케줄에 따라 점수요소 저장부(144)에 저장된 진단지표항목별 가중치와 정책 점수 및 배점 기준를 이용하여 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화를 수행한다.
지수화부(156)는 보안로그에 포함된 사용자 식별정보(IP, MAC 어드레스, 사번 등)를 통해 사용자를 파악하고, 보안로그의 발생 날짜를 파악하며, 각 보안위험종류별로 도 3에 도시된 보안로그항목에 대응하는 팩트(fact) 데이터를 보안로그로부터 파악하여 데이터 유형에 맞는 결과값을 산출한다. 예컨대, 결과값은 카운터형인 경우에 카운트값(건수 또는 횟수)에 해당하고, OX형인 경우에 “예(yes)” 또는 “아니오(no)”에 해당하며, 날짜형인 경우에 날짜의 기간(길이)에 해당한다.
지수화부(156)는 각 보안로그항목에 대한 결과값을 산출하면, 결과값과 시나리오 저장부(140)에 저장된 각 보안로그항목별 배점 기준과 가중치 및 정책 점수를 이용하여 각 보안로그항목에 대한 점수를 산출한다. 예컨대, "PC 미암호화 주민번호 보관"이라는 보안로그항목에 매칭된 진단지표항목의 가중치가 "50"이고, 배점 기준 및 정책 점수가 "0"건일때 100점, 1 ~ 100건일때 70점, 101건 이상일 때 0점이라고 하며, 해당 보안로그항목의 결과값 즉, 주민번호 보관 건수가 90건인 경우에, 지수화부(156)는 해당 보안로그항목의 정책 점수가 70점이라고 파악하고, 그에 따라 지수화 점수 계산식인 (가중치 점수 * 정책 점수)/100에 대입하여 (50*70)/100=35점이라는 지수화 점수를 산정한다.
이러한 지수화 점수 산정은 모든 보안로그항목에 대해 이루어지며, 지수화부(156)는 모든 보안로그항목의 지수화 점수를 제재조치부(160)에 제공한다.
이하에서는 도 8을 참조로 하여 본 발명의 실시 예에 따른 진단실행부의 동작을 설명한다. 도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.
도 8을 참고하면, 사용자는 사용자 입력부(110)를 통해 복합 보안시스템의 각 수집대상(즉, 보안장비 및 각 솔루션) 중 하나에 대한 메타정보 설정을 요청하면, 메타정보 생성부(120)에서 로그포맷 입력화면을 제공한다. 그러면 사용자는 로그포맷 입력화면을 통해 로그포맷을 입력할 하나의 수집대상을 선택하고 선택한 수집대상에 대한 로그포맷의 각 속성값 표시란에 속성값을 입력한다.
이에 메타정보 생성부(120)는 사용자가 입력한 로그포맷의 속성값을 저장(설정)하고(S801), 로그포맷의 각 속성값으로 해당 수집대상에 대한 메타정보를 생성한다(S802). 사용자는 복합 보안시스템으로부터 보안로그를 수집하기 전에 상기 S801 과정 및 S802 과정을 통해 모든 보안장비 및 보안 솔루션에 대한 로그포맷의 속성값 입력 및 이에 대응하는 메타정보를 생성한다.
메타정보 생성부(151)는 하나의 수집대상에 대한 메타정보를 생성하면 생성한 메타정보를 수집로직 생성부(130)에 제공하고, 수집로직 생성부(152)는 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하고, 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다(S803).
로그 수집부(153)는 수신된 수집로직 프로그램을 해당 수집대상에 대응하여 설정하며, 이러한 설정 동작으로 모든 수집대상에 대응하여 수집로직 프로그램을 설정한다(S804).
로그 수집부(153)는 스케줄 저장부(143)에 저장된 각 보안로그항목별 제1 스케줄 정보에 따라 각 수집로직 프로그램을 실행시켜 인터페이스부(154)를 통해 각각의 수집대상에 접속하고 각 수집대상으로부터 보안로그를 수집한다(S805).
로그 수집부(153)에서 수집된 각 보안로그는 분석및파싱부(155)에 제공되고, 분석및파싱부(160)는 수신한 보안로그를 분석하여 보안로그항목을 식별하고 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱한다(S806).
지수화부(156)는 분석및파싱부(155)에 의해 파싱된 데이터에서 팩트 데이터를 파악하며(S807), 팩트 데이터를 이용하여 결과값을 산출하고 저장한다(S808).
보안로그 지수화부(156)는 각 보안로그항목의 결과값 각각에 대응하는 정책 점수를 파악하고(S809), 정책 점수와 보안로그항목에 대응된 가중치 점수를 이용하여 지수화 점수를 산정한다(S810).
상기에서 S809 과정 내지 S810 과정은 보안로그항목별 제2 스케줄에 따라 수행된다.
이상에서 본 발명의 실시에에 대하여 상세하게 설명하였으나, 본 발명의 권리범위가 이에 한정되는 것은 아니며 본 발명이 속하는 분야에서 통상의 지식을 가진 자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.
100 : 보안감사 대응 시스템 110 : 사용자 입력부
120 : 정책 생성부 131 : 보안로그항목 DB
132 : 진단지표항목 DB 133 : 스케줄 DB
134 : 담당자 DB
140 : 시나리오 저장부 150 : 진단실행부
160 : 제재조치부 121 : 매칭부
122 : 담당자 설정부 123 : 스케줄 설정부
124 : 점수요소 설정부

Claims (5)

  1. 서로 다른 정부 감사기관의 보안 감사에 대응할 수 있도록 하기 위하여,
    모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있는 보안로그항목 DB,
    각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있는 진단지표항목 DB,
    보안로그항목별 진단지표항목을 진단하기 위한 진단용 스케줄 정보를 저장하고 있는 스케줄 DB,
    각 보안로그항목별 또는 진단지표항목별 당담자의 정보를 저장하고 있는 담당자 DB,
    상기 보안로그항목 DB, 진단지표항목 DB, 상기 스케줄 DB 및 상기 담당자 DB와 연계하며, 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 상기 입력창을 통해 입력한 정보에 따라 감사기관별 정책 시나리오를 생성하고, 생성된 정책 시나리오에 대응하여 보안로그항목 또는 진단지표항목의 담당자와 상기 진단용 스케줄 및 점수요소를 설정하는 정책 생성부,
    상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 진단용 스케줄, 담당자 정보 및 점수요소를 저장하는 시나리오 저장부, 그리고
    복합 보안시스템의 각 수집대상으로부터 보안로그항목에 대한 보안로그을 수집하고, 상기 수집한 보안로그에 대응한 보안로그항목에 대하여 상기 진단용 스케줄에 따라 각 보안로그항목의 지수화 점수를 산출하고, 산출한 보안로그항목의 지수화 점수를 이용하여 각 진단지표 및 진단지표항목을 평가하는 진단실행부를 포함하며,
    상기 정책 생성부는,
    상기 진단지표항목 DB와 상기 보안로그항목 DB를 이용하여 사용자가 지시에 따라 특정 감사기관의 각 진단지표항목에 대응하는 보안로그항목을 매칭시켜 등록하는 매칭부,
    상기 매칭부에 의해 해당 감사기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 상기 담당자 DB로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 상기 시나리오 저장부에 저장하는 담당자 설정부,
    상기 매칭부에 의해 해당 감사기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 파악하고 파악한 진단용 스케줄을 상기 시나리오 저장부에 저장하는 스케줄 설정부, 그리고
    상기 매칭부에 의해 해당 감사기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대응된 진단지표항목에 대한 배점기준이나 배점 및 가중치를 사용자의 지시에 따라 매칭하고 등록하는 점수요소 설정부를 포함하는 보안감사 대응 시스템.
  2. 제1항에서,
    상기 진단실행부에 의해 산정된 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치하는 제재조치부를 더 포함하는 보안감사 대응 시스템.
  3. 삭제
  4. 제1항 또는 제2항에서,
    상기 진단실행부는,
    사용자에 의해 입력된 복합 보안시스템의 각 수집대상에 대한 로그포맷의 속성값으로 해당 수집대상에 대한 메타정보를 생성하는 메타정보 생성부,
    상기 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상으로부터 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하는 수집로직 생성부,
    각 수집대상별 수집로직 프로그램을 이용하여 각 수집대상으로부터 보안로그를 수집하는 로그 수집부,
    상기 로그 수집부에서 수집한 보안로그에 대해 보안로그항목을 파악하고 데이터 유형별 및 보안위험종류별로 파싱하는 분석및파싱부, 그리고
    상기 분석및파싱부에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목에 대응된 진단지표항목의 가중치와 정책 점수 및 배점 기준를 이용하여 해당 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화 점수를 산출하는 지수화부를 포함하는 보안감사 대응 시스템.
  5. 제4항에서,
    상기 로그 수집부는 매일마다 각 수집대상별 수집로직 프로그램을 실행하여 각 수집대상으로부터 보안로그를 수집하고,
    상기 지수화부는 각 보안로그항목에 대응하여 설정된 상기 진단용 스케줄에 따라 동작하여 해당 보안로그항목에 대한 지수화 점수를 산출하는 보안감사 대응 시스템.

KR1020170091293A 2017-07-19 2017-07-19 보안감사 대응 시스템 KR102055893B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170091293A KR102055893B1 (ko) 2017-07-19 2017-07-19 보안감사 대응 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170091293A KR102055893B1 (ko) 2017-07-19 2017-07-19 보안감사 대응 시스템

Publications (2)

Publication Number Publication Date
KR20190009859A KR20190009859A (ko) 2019-01-30
KR102055893B1 true KR102055893B1 (ko) 2019-12-16

Family

ID=65277190

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170091293A KR102055893B1 (ko) 2017-07-19 2017-07-19 보안감사 대응 시스템

Country Status (1)

Country Link
KR (1) KR102055893B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102295488B1 (ko) * 2019-12-27 2021-08-27 우정우 위험 분석을 위한 보안요소 지수화 시스템 및 방법
KR102298033B1 (ko) * 2021-02-15 2021-09-06 광주광역시 텍스트마이닝 기반의 감사자료 분석 시스템
KR102649648B1 (ko) * 2021-12-27 2024-03-21 주식회사 엘로이큐브 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법

Also Published As

Publication number Publication date
KR20190009859A (ko) 2019-01-30

Similar Documents

Publication Publication Date Title
Johnson et al. Guide to cyber threat information sharing
Cichonski et al. Computer security incident handling guide
D’Amico et al. The real work of computer network defense analysts: The analysis roles and processes that transform network data into security situation awareness
Horák et al. GDPR compliance in cybersecurity software: A case study of DPIA in information sharing platform
Dennis A Mosaic Shield: Maynard, the Fourth Amendment, and Privacy Rights in the Digital Age
KR102055893B1 (ko) 보안감사 대응 시스템
Ryan et al. Legal aspects of digital forensics
KR20140035146A (ko) 정보보안 장치 및 방법
Cichonski et al. Computer security incident handling guide
KR102295488B1 (ko) 위험 분석을 위한 보안요소 지수화 시스템 및 방법
Makura et al. Digital forensic readiness in operational cloud leveraging ISO/IEC 27043 guidelines on security monitoring
Bobbert et al. Zero trust validation: from practical approaches to theory
Casey et al. Forensic analysis as iterative learning
Pulver et al. A review of security and privacy concerns in digital intelligence collection
Fry et al. Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks
Huck et al. Wake up digital forensics’ community and help combat ransomware
Dorofee et al. Incident Management Capability Assessment
Mascetti et al. EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems
Kent et al. Sp 800-92. guide to computer security log management
Žgela et al. Security Information and Event Management–Capabilities, Challenges and Event Analysis in the Complex IT System
Johansen Digital Forensics and Incident Response: Incident response tools and techniques for effective cyber threat response
US20060107313A1 (en) Method, system, and medium for the analysis of information system security
Chechulin et al. Cybercrime investigation model
Dahiya et al. Developing and Enhancing the Security of Digital Evidence Bag
Center Insider Threat Control: Using a SIEM signature to detect potential precursors to IT Sabotage

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant