KR102090757B1 - 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 - Google Patents

침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 Download PDF

Info

Publication number
KR102090757B1
KR102090757B1 KR1020190005120A KR20190005120A KR102090757B1 KR 102090757 B1 KR102090757 B1 KR 102090757B1 KR 1020190005120 A KR1020190005120 A KR 1020190005120A KR 20190005120 A KR20190005120 A KR 20190005120A KR 102090757 B1 KR102090757 B1 KR 102090757B1
Authority
KR
South Korea
Prior art keywords
control policy
security
infringement
module
response instruction
Prior art date
Application number
KR1020190005120A
Other languages
English (en)
Inventor
박종성
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020190005120A priority Critical patent/KR102090757B1/ko
Application granted granted Critical
Publication of KR102090757B1 publication Critical patent/KR102090757B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 구성하여, 침해대응 처리과정에서 만들어지는 정확도 높은 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 함으로써, 침해사고에 대응하는 시간을 줄이고, 제어정책 자동 적용 체계의 신뢰성 확보를 통해 보안 관리 업무의 효율성을 증대시키는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법에 관한 것이다.

Description

침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 {Security Equipment Control Policy Automatic Application System based on Infringement Accident Counterpart and Method Thereof}
본 발명은 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 구성하여, 침해대응 처리과정에서 만들어지는 정확도 높은 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 함으로써, 침해사고에 대응하는 시간을 줄이고, 제어정책 자동 적용 체계의 신뢰성 확보를 통해 보안 관리 업무의 효율성을 증대시키는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법에 관한 것이다.
IoT 시대를 맞아 ICT 장비의 종류와 숫자는 폭발적으로 증가하고 있으며, 최근 전산 자원에 대한 효과적인 보안을 위해 중앙 집중적인 관제 시스템의 활용이 필수적으로 되어가고 있다.
보안 관제 및 사이버 방어 분야에 주로 활용되는 보안장비들은 외부의 위협으로부터 기관 또는 기업의 내부 자산을 효과적으로 보호하기 위해 각종 제어정책을 활용하고 있는데, 보안장비의 제어정책이란, 탐지정책 및 차단정책과 같은 보안장비의 동작에 필요한 각종 데이터 및 명령의 조합으로 이루어진 규칙정보를 말한다.
그 예로는 IDS/IPS 장비에서 주로 사용되는 Signature 패턴, Snort Rule, Yara Rule과, 바이러스백신과 같은 비정상 파일 탐지에 활용되는 MD5, 파일 Hash 등이 있으며, IP나 Domain들의 집합인 Black List, White List와 같은 평판 정보들도 제어정책으로 분류될 수 있다.
보안장비들의 기능이 제대로 발휘하기 위해서는, 보안장비에서 사용하는 각종 제어정책이 최신 상태를 유지하고 있어야 하기 때문에, 이를 위해 수시로 보안장비에 제어정책의 추가 또는 갱신을 진행할 필요가 있다.
이에 SIEM(Security Information and Event Management: 보안정보 및 이벤트 관리 시스템)과 같은 최상단 보안 관제 시스템에서는 관리자들이 효율적으로 보안장비를 관리할 수 있도록, SIEM을 통해서 원격지의 보안장비들에 제어정책을 적용할 수 있는 기능을 제공하고 있다.
그러나 기존의 최상단 보안 관제 시스템들은 정확도가 매우 낮은 자체 분석 결과 데이터에 기반하여 제어정책을 생성함에 따라, 잘못된 제어정책 정보가 보안장비들에 적용되는 경우가 많고, 이는 결국 관련된 서비스에 오류를 유발하는 결과로 이어져서 관리자들에게 외면을 받고 있는 실정이다.
또한, 최근에는 한 개의 기관 또는 기업에서 사용하는 보안장비만도 여러 대인바, 기관 또는 기업 내의 보안관리자와 전산운영자들이 취급해야하는 보안장비가 많아져 이들의 관리가 보다 더 어려워지고 있다.
대부분의 보안장비들은 기관이나 기업에 위협이 될 수 있는 징후를 탐지하고 차단하기 위해 제어정책에 기반하여 동작하므로, 제어정책의 효율적인 관리 체계는 보안 업무에서 매우 중요하다고 할 것이다.
그러나 현실적으로는 보안 관제/분석 업무의 담당자와 보안장비의 정책을 설정하는 담당자가 다르기 때문에, 보안상의 이유로 제어정책을 추가 또는 갱신해야할 때 담당자들 간의 연락을 통해 업무를 의뢰하여 처리하고 있는 실정이다. 이는 보안상 심각한 침해 행위가 발견되어 신속한 대응이 필요할 때에 적기 대응이 불가능한 이유가 되기도 하며, 다수의 보안장비에 적용되어야 할 보안 정책이 부정확하게 설정되어 2차 피해를 유발할 수도 있다.
도 1은 종래의 보안 정책 관리 장치에 관한 도면이고, 도 2는 도 1의 보안 정책 관리 장치에 관한 블록도로, 이는 한국공개특허공보 제10-2016-0083466호(2016.07.12)에 개시되어 있다.
도 1 및 도 2를 참고하면, 상기 종래의 보안 정책 관리 장치는(90)는 복수의 보안장치(S)에 연결되며, 보안정책을 입력받는 보안정책입력부(91)와, 입력받은 보안정책의 유효성을 결정하는 정책유효성검증부(93)와, 입력받은 보안정책을 그룹화하는 정책그룹화부(95)와, 입력받은 보안정책을 기설정된 보안정책과 병합할 것인지 여부를 결정하는 병합여부결정부(97)와, 상기 정책유효성검증부(93), 상기 정책그룹화부(95) 및 상기 병합여부결정부(97)의 결과에 기초하여 입력받은 보안정책에 대한 후속 처리를 수행하는 정책처리부(99)를 포함하도록 구성된다. 이를 통해 상기 보안 정책 관리 장치(90)는 정책의 유효성을 검증하여 잘못된 정책의 입력과 생성을 방지할 수 있도록 한다.
하지만, 상기 종래기술은 일단 보안정책을 입력받고, 입력된 보안정책의 유효성을 검증하여 보안장치로의 적용여부를 결정하는 것일 뿐, 신뢰성이 높은 보안정책이 입력되도록 하는 기술이 아닌바, 보안장치에 적절한 보안정책을 적용하는데에 있어서 분명한 한계가 존재한다.
따라서 관련 업계에서는 외부의 공격을 효과적으로 탐지/방어하기 위해 신뢰 가능한 방식으로 제어정책을 자동 적용할 수 있는 기술을 개발함으로써 다수의 보안장비들에 대해 정확한 제어정책을 효율적으로 적용할 수 있도록 하는 새로운 기술의 도입을 요구하고 있으며, 본 발명은 기존의 제어정책 자동 적용 방법의 문제점을 개선하여 정확도와 신뢰도를 높임으로써, 대량의 보안 시스템을 효율적으로 관리하고자 한다.
한국공개특허공보 제10-2016-0083466호(2016.07.12)
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,
본 발명의 목적은, 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 구성하여, 침해대응 처리과정에서 만들어지는 정확도 높은 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 다른 목적은, 침해사고에 대응하는 시간을 줄이고, 제어정책 자동 적용 체계의 신뢰성 확보를 통해 보안 관리 업무의 효율성을 증대시키는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하고, 그 판단 결과를 확인 및 분석한 뒤, 침해사고 대응지시서를 생성함으로써, 다양한 분석과 확인 과정을 거친 정확도 높은 대응지시서가 발행되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안장비로부터 보안 이벤트를 수집하고, 이를 분석해 경보가 발생하도록 함에 따라, 실시간으로 보안관제 모니터링을 수행하고, 신속한 침해 관련 보고가 이루어지도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안위협판단모듈의 판단 결과를 확인 및 분석하여 추가적인 확인과 분석과정을 거쳐 침해사고의 판단 정확도를 높이는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 추가적인 확인과 분석과정 후 명백히 보안 침해 사고가 발생한 것으로 판명된 경우에 침해사고 대응지시서가 생성되도록 함에 따라 대응지시서의 신뢰도를 높이는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 신뢰도가 높은 대응지시서를 기초로, 제어정책이 생성되도록 함으로써, 잘못된 제어정책으로 인한 보안장비의 오류, 부정확한 동작 등을 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 신뢰도가 높은 대응지시서를 기초로, 제어정책이 자동으로 생성되도록 해, 보다 용이하게 제어정책을 생성함으로써, 불필요한 시간, 노고, 비용의 낭비를 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안장비 유형별로 제어정책을 생성해, 제어정책의 추가 및/또는 갱신이 필요한 특정 보안장비를 대상으로, 제어정책의 자동 적용을 용이하게 수행할 수 있도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 수신된 제어정책데이터의 적용대상 보안장비를 확인함으로써, 보다 용이하게 해당 보안장비에 제어정책을 추가하거나 기존 제어정책을 갱신할 수 있도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은, 보안장비별로 높은 신뢰도를 가지는 침해사고 대응지시서에 기반한 제어정책을 적용시킴에 따라, 각각의 보안장비가 정확하게 작동하도록 하여, 침해사고의 확산, 재발 등을 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명은, 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 일측은 상기 제어정책추출부와 연결되고 타측은 보안장비와 연결되어 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 포함하여, 침해대응 처리과정에서 만들어지는 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명은, 상기 침해대응처리부는, 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 보안위협판단모듈과, 상기 보안위협판단모듈의 판단 결과를 확인 및 분석해 침해사고 대응지시서를 생성하는 대응조치모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안위협판단모듈은, 상기 보안장비로부터 보안 이벤트를 수집하는 이벤트수집모듈과, 상기 이벤트수집모듈과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 위협분석엔진모듈과, 상기 위협분석엔진모듈과 연결되어 침해사고 발생시 경보를 발생시키는 위협경보발생모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 대응조치모듈은, 상기 보안위협판단모듈의 판단 결과를 확인 및 분석하는 보안분석모듈과, 상기 보안분석모듈을 통해 침해사고가 확인되면 침해사고 대응지시서를 생성하는 대응지시서생성모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 침해사고 대응지시서는, 보안장비에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출부는, 상기 침해사고 대응지시서에서 상기 위협정보를 추출하는 위협정보추출모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출부는, 상기 위협정보추출모듈과 연결되어 추출된 위협정보로부터 보안장비에 적용할 제어정책데이터를 생성하는 제어정책생성모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책데이터는, 보안장비 유형별로 생성되는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출부는, 상기 제어정책생성모듈과 연결되어 생성된 상기 제어정책데이터를 상기 제어정책적용부로 전송하는 제어정책전송모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용부는, 상기 제어정책전송모듈과 연결되어 상기 제어정책데이터를 수신하는 제어정책수신모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용부는, 상기 제어정책수신모듈과 연결되어 수신된 제어정책데이터의 적용대상 보안장비를 확인하는 보안장비확인모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용부는, 보안장비별로 해당 제어정책데이터를 적용시키는 보안장비별데이터적용모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 침해대응처리부가 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리단계와, 상기 침해대응처리단계 이후에, 제어정책추출부가 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출단계와, 상기 제어정책추출단계 이후에, 제어정책적용부가 일측은 상기 제어정책추출부와 연결되고 타측은 보안장비와 연결되어 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용단계를 포함하여, 침해대응 처리과정에서 만들어지는 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 침해대응처리단계는, 보안위협판단모듈이 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 보안위협판단단계와, 상기 보안위협판단단계 이후에, 대응조치모듈이 상기 보안위협판단모듈의 판단 결과를 확인 및 분석해 침해사고 대응지시서를 생성하는 대응조치단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 보안위협판단단계는, 이벤트수집모듈이 상기 보안장비로부터 보안 이벤트를 수집하는 이벤트수집단계와, 상기 이벤트수집단계 이후에, 위협분석엔진모듈이 상기 이벤트수집모듈과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 위협분석단계와, 상기 위협분석단계 이후에, 위협경보발생모듈이 상기 위협분석엔진모듈과 연결되어 침해사고 발생시 경보를 발생시키는 위협경보발생단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 대응조치단계는, 보안분석모듈이 상기 보안위협판단모듈의 판단 결과를 확인 및 분석하는 보안분석단계와, 상기 보안분석단계 이후에, 대응지시서생성모듈이 상기 보안분석모듈을 통해 침해사고가 확인되면 침해사고 대응지시서를 생성하는 대응지시서생성단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 침해사고 대응지시서는, 보안장비에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출단계는, 위협정보추출모듈이 상기 침해사고 대응지시서에서 상기 위협정보를 추출하는 위협정보추출단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출단계는, 상기 위협정보추출단계 이후에, 제어정책생성모듈이 상기 위협정보추출모듈과 연결되어 추출된 위협정보로부터 보안장비에 적용할 제어정책데이터를 생성하는 제어정책생성단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책데이터는, 보안장비 유형별로 생성되는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책추출단계는, 상기 제어정책생성단계 이후에, 제어정책전송모듈이 상기 제어정책생성모듈과 연결되어 생성된 상기 제어정책데이터를 상기 제어정책적용부로 전송하는 제어정책전송단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용단계는, 제어정책수신모듈이 상기 제어정책전송모듈과 연결되어 상기 제어정책데이터를 수신하는 제어정책수신단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용단계는, 상기 제어정책수신단계 이후에, 보안장비확인모듈이 상기 제어정책수신모듈과 연결되어 수신된 제어정책데이터의 적용대상 보안장비를 확인하는 보안장비확인단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명은, 상기 제어정책적용단계는, 상기 보안장비확인단계 이후에, 보안장비별데이터적용모듈이 보안장비별로 해당 제어정책데이터를 적용시키는 보안장비별데이터적용단계를 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은, 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 구성하여, 침해대응 처리과정에서 만들어지는 정확도 높은 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 가진다.
본 발명은, 침해사고에 대응하는 시간을 줄이고, 제어정책 자동 적용 체계의 신뢰성 확보를 통해 보안 관리 업무의 효율성을 증대시키는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 도출한다.
본 발명은, 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하고, 그 판단 결과를 확인 및 분석한 뒤, 침해사고 대응지시서를 생성함으로써, 다양한 분석과 확인 과정을 거친 정확도 높은 대응지시서가 발행되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과가 있다.
본 발명은, 보안장비로부터 보안 이벤트를 수집하고, 이를 분석해 경보가 발생하도록 함에 따라, 실시간으로 보안관제 모니터링을 수행하고, 신속한 침해 관련 보고가 이루어지도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 가진다.
본 발명은, 보안위협판단모듈의 판단 결과를 확인 및 분석하여 추가적인 확인과 분석과정을 거쳐 침해사고의 판단 정확도를 높이는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 도출한다.
본 발명은, 추가적인 확인과 분석과정 후 명백히 보안 침해 사고가 발생한 것으로 판명된 경우에 침해사고 대응지시서가 생성되도록 함에 따라 대응지시서의 신뢰도를 높이는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과가 있다.
본 발명은, 신뢰도가 높은 대응지시서를 기초로, 제어정책이 생성되도록 함으로써, 잘못된 제어정책으로 인한 보안장비의 오류, 부정확한 동작 등을 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 가진다.
본 발명은, 신뢰도가 높은 대응지시서를 기초로, 제어정책이 자동으로 생성되도록 해, 보다 용이하게 제어정책을 생성함으로써, 불필요한 시간, 노고, 비용의 낭비를 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 도출한다.
본 발명은, 보안장비 유형별로 제어정책을 생성해, 제어정책의 추가 및/또는 갱신이 필요한 특정 보안장비를 대상으로, 제어정책의 자동 적용을 용이하게 수행할 수 있도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과가 있다.
본 발명은, 수신된 제어정책데이터의 적용대상 보안장비를 확인함으로써, 보다 용이하게 해당 보안장비에 제어정책을 추가하거나 기존 제어정책을 갱신할 수 있도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 가진다.
본 발명은, 보안장비별로 높은 신뢰도를 가지는 침해사고 대응지시서에 기반한 제어정책을 적용시킴에 따라, 각각의 보안장비가 정확하게 작동하도록 하여, 침해사고의 확산, 재발 등을 방지하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템을 제공하는 효과를 도출한다.
도 1은 종래의 보안 정책 관리 장치에 관한 도면.
도 2는 도 1의 보안 정책 관리 장치에 관한 블록도.
도 3은 본 발명의 일 실시예에 따른 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템에 관한 도면.
도 4는 도 3의 침해대응처리부에 관한 도면.
도 5는 도 3의 제어정책추출부에 관한 도면.
도 6은 도 3의 제어정책적용부에 관한 도면.
도 7은 본 발명의 일 실시예에 따른 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법에 관한 도면.
도 8은 도 7의 침해대응처리단계에 관한 도면.
도 9는 도 7의 제어정책추출단계에 관한 도면.
도 10은 도 7의 제어정책적용단계에 관한 도면.
도 11은 본 발명의 사용상태도.
이하에서는 본 발명에 따른 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.
도 3은 본 발명의 일 실시예에 따른 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템에 관한 도면으로, 도 3을 참고하여 설명하면, 본 발명인 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템(1)은, 침해대응 처리과정에서 만들어지는 대응지시서(D)를 활용하여 높은 정확도를 가지는 제어정책을 생성함으로써, 신뢰할 수 있는 제어정책이 자동으로 추출되어 보안장비에 자동으로 적용되도록 하는 시스템을 말한다. 이러한 상기 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템(1)은, 침해대응처리부(10), 제어정책추출부(30), 제어정책적용부(50)를 포함한다.
상기 침해대응처리부(10)는, 침해사고 발생을 확인하여 침해사고 대응지시서(D)를 생성하는 구성을 말한다. 즉, 상기 침해대응처리부(10)는 방화벽, 메일보안, IPS/IDS, Cloud 보안, 백신, 서버보안 등을 포함하는 보안장비(S)로부터 보안 이벤트를 수집하여 위협 분석을 수행하고, 사이버 공격 등의 침해사고가 발생했다고 판단되면 위협 경보를 발생시키며, 위협 경보가 적절했는지 다시 분석하여, 사이버 공격 등의 확산을 차단하고, 피해를 최소화하며, 재발을 방지하기 위한 각종 대책, 조치 등을 포함한 침해사고 대응지시서(D)를 작성하는 구성으로 볼 수 있다. 도 4는 도 3의 침해대응처리부에 관한 도면으로, 도 4를 참고하면, 이러한 상기 침해대응처리부(10)는, 보안위협판단모듈(11)과 대응조치모듈(13)을 포함한다.
상기 보안위협판단모듈(11)은, 보안장비(S)의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 구성으로, 상기 보안위협판단모듈(11) 내의 분석 기준에 의거하여 위협이 발생했는지를 판단해 위협이 발생했다고 판단되면 알람을 생성하도록 구성될 수 있다. 도 4를 참고하여 설명하면, 이러한 상기 보안위협판단모듈(11)은, 이벤트수집모듈(111), 위협분석엔진모듈(113), 위협경보발생모듈(115)을 포함한다.
상기 이벤트수집모듈(111)은, 상기 보안장비(S)로부터 보안 이벤트를 수집하는 구성을 말한다. 도 3 및 도 4에 도시된 내용을 참고하면, 상기 보안장비(S)는 복수 개로 구성될 수 있으며, 상기 이벤트수집모듈(111)은 이러한 복수 개의 보안장비(S)로부터 각각의 보안 이벤트를 수집해 후술할 위협분석엔진모듈(113)에 전달하게 된다.
상기 위협분석엔진모듈(113)은, 상기 이벤트수집모듈(111)과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 구성을 말한다. 침해사고가 발생했는지 여부를 판단함에는 위험도 산정, 영향도 산정 등이 이용될 수 있으며, 특정 기준치를 초과하는 수치가 기록되었거나, 비정상적인 패턴이 발견되는 것 등에 의해 침해사고의 발생 여부가 확인될 수 있다.
상기 위협경보발생모듈(115)은, 상기 위협분석엔진모듈(113)과 연결되어 침해사고 발생시 경보를 발생시키는 구성을 말한다. 사용자는 상기 위협경보발생모듈(115)에서 발령되는 경보를 통해 침해사고를 확인할 수 있게 되고 이에 대한 대응 조치를 취할 수 있게 된다. 하지만 상기 위협경보발생모듈(115)에 의한 경보 발생은 상기 위협분석엔진모듈(113)의 판단 결과에 의해 정해지기 때문에, 만일 상기 위협분석엔진모듈(113)의 판단이 부정확할 경우에는, 적절치 않은 경보가 발생할 수도 있다. 즉, 실제로는 침해사고가 발생하지 않았음에도 위협 경보가 발령될 수 도 있으며, 그 반대로 침해사고가 발생했음에도 위협 경보가 발령되지 않을 수도 있는 것이다. 따라서, 이러한 문제를 방지하기 위해 후술할 대응조치모듈(13)에서는 추가적인 확인 및 분석과정을 진행하게 된다.
상기 대응조치모듈(13)은, 상기 보안위협판단모듈(11)의 판단 결과를 확인 및 분석해 침해사고 대응지시서(D)를 생성하는 구성을 말한다. 전술한 바와 같이, 상기 보안위협판단모듈(11)에 의한 판단 결과는 전적으로 상기 위협분석엔진모듈(113)의 성능에 의존할 수밖에 없고, 상기 위협분석엔진모듈(113)에 의해 정확하지 못한 판단이 이루어질 경우, 이러한 판단에 기해 생성된 제어정책 역시 정확하지 못하게 된다. 이러한 문제를 막고자, 본원발명은 상기 대응조치모듈(13)을 구성하여, 상기 보안위협판단모듈(11)의 판단 결과를 확인 및 분석하고, 침해사고 발생사실이 명확한 경우 이러한 침해사고를 방지하기 위한 대응책 등을 포함한 대응지시서(D)를 생성하게 된다. 이러한 상기 대응조치모듈(13)은, 보안분석모듈(131) 및 대응지시서생성모듈(133)을 포함한다.
상기 보안분석모듈(131)은, 상기 보안위협판단모듈(11)의 판단 결과를 확인 및 분석하는 구성을 말한다. 상기 보안분석모듈(131)이 수행하는 분석에 관해 이를 어느 특정 개념으로만 한정하지 않으며, 경보분석, 통계분석, 상관분석, 정밀분석, 증적생성 등 공지된 또는 공지될 다양한 분석 기법이 포함될 수 있다. 바람직하게는 상기 보안분석모듈(131)은 상기 보안위협판단모듈(11)의 판단 결과에 따라 다른 분석을 수행할 수 있다. 예를 들어, 상기 보안위협판단모듈(11)에 의해 위험도가 높다는 판단 결과를 확인한 경우에는 이벤트분석, 로그분석, 상관분석 등을 포함하는 정밀분석을 수행할 수 있고, 상기 보안위협판단모듈(11)에 의해 위험도가 낮다는 판단 결과를 확인한 경우에는 이벤트 처리만을 포함하는 일반분석을 수행할 수 있다. 상기 보안분석모듈(131)을 통해 실제 침해사고 발생 여부는 명확히 검증될 수 있게 된다.
상기 대응지시서생성모듈(133)은, 상기 보안분석모듈(131)을 통해 침해사고가 확인되면 침해사고 대응지시서(D)를 생성하는 구성을 말한다. 즉, 상기 대응지시서생성모듈(133)에 의하면, 상기 보안분석모듈(131)에 의해 실제 침해사고의 발생이 확인되었을 때, 확인된 침해사고의 확산 및 재발을 방지하기 위한, 침해탐지IP차단, 장애등록, 이벤트등록과 같은 각종 방지대책이 침해사고 대응지시서(D)의 형태로 작성될 수 있다. 바람직하게는 상기 대응지시서생성모듈(133)에 의해 작성되는 상기 침해사고 대응지시서(D)에는 보안장비(S)에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보가 포함되어, 후술할 제어정책데이터를 생성하는데 사용될 수 있다.
도 5는 도 3의 제어정책추출부에 관한 도면으로, 이하에서는 도 5를 참고하도록 한다.
상기 제어정책추출부(30)는, 상기 침해사고 대응지시서(D)를 해석해 상기 침해사고 대응지시서(D)에서 제어정책데이터를 추출하는 구성을 말한다. 기존의 보안 관제 솔루션은 정확도가 낮은 분석 엔진의 분석 결과를 사용하여 제어정책데이터를 생성하므로, 제어정책의 오동작 등에 의해 서비스 장애가 유발되는 위험성이 컸다. 하지만, 상기 제어정책추출부(30)는 다양한 분석과 확인을 거친 결과인 상기 침해사고 대응지시서(D)에 기반하여 제어정책데이터를 자동 생성하기 때문에 생성된 제어정책데이터의 정확도가 매우 높아지는 이점이 있다. 이러한 상기 제어정책추출부(30)는, 위협정보추출모듈(31), 제어정책생성모듈(33), 제어정책전송모듈(35)을 포함한다.
상기 위협정보추출모듈(31)은, 상기 침해사고 대응지시서(D)에서 상기 위협정보를 추출하는 구성을 말한다. 앞서 언급한 바와 같이, 상기 침해사고 대응지시서(D)에는 보안장비(S)에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보가 포함될 수 있는바, 상기 위협정보추출모듈(31)은, 상기 침해사고 대응지시서(D)를 해석하여 상기 위협정보를 추출하게 된다.
상기 제어정책생성모듈(33)은, 상기 위협정보추출모듈(31)과 연결되어 추출된 위협정보로부터 보안장비(S)에 적용할 제어정책데이터를 생성하는 구성을 말한다. 바람직하게는 상기 제어정책생성모듈(33)은, 보안장비(S) 유형별로 제어정책데이터를 생성할 수 있다. 이를 통해 제어정책의 추가 및/또는 갱신이 필요한 보안장비(S)를 대상으로 제어정책의 자동 적용이 용이해 진다.
상기 제어정책전송모듈(35)은, 상기 제어정책생성모듈(33)과 연결되어 생성된 상기 제어정책데이터를 후술할 제어정책적용부(50)로 전송하는 구성을 말한다. 상기 제어정책전송모듈(35)이 상기 제어정책데이터를 전송하는 방식과 관련해 이를 어느 특정 개념으로 한정하지 않으며, 공지된 또는 공지될 다양한 기술이 사용될 수 있다.
도 6은 도 3의 제어정책적용부에 관한 도면으로, 이하에서는 도 6을 참고하도록 한다.
상기 제어정책적용부(50)는, 일측은 상기 제어정책추출부(30)와 연결되고 타측은 보안장비(S)와 연결되어 상기 제어정책추출부(30)를 통해 추출된 제어정책데이터를 상기 보안장비(S)에 적용하는 구성을 말한다. 이러한 상기 제어정책적용부(50)는, 제어정책수신모듈(51), 보안장비확인모듈(53), 보안장비별데이터적용모듈(53)을 포함한다.
상기 제어정책수신모듈(51)은, 상기 제어정책전송모듈(35)과 연결되어 상기 제어정책추출부(30)로부터 상기 제어정책데이터를 수신하는 구성을 말한다. 상기 제어정책추출부(30)에서 전송되는 상기 제어정책데이터는 보안장비(S)의 유형별로 구분이 되어 있는바, 상기 제어정책수신모듈(51)이 수신한 제어정책데이터는 보안장비(S) 유형별로 용이하게 분류될 수 있다.
상기 보안장비확인모듈(53)은, 상기 제어정책수신모듈(51)과 연결되어 수신된 제어정책데이터의 적용대상 보안장비(S)를 확인하는 구성을 말한다. 보안장비(S)는 방화벽, 메일보안, IPS/IDS, Cloud 보안, 백신, 서버보안 등과 같이 다양할 수 있는바, 상기 보안장비확인모듈(53)을 통해 수신된 제어정책데이터가 어떠한 보안장비(S)에 적용되는 것인지를 확인함으로써, 보다 용이하게 해당 보안장비(S)에 제어정책을 추가하거나 기존 제어정책을 갱신할 수 있게 된다.
상기 보안장비별데이터적용모듈(53)은, 보안장비(S)별로 해당 제어정책데이터를 적용시키는 구성으로, 바람직하게는 복수의 보안장비(S)와 연결될 수 있다. 침해사고는 특정 보안장비(S)의 동작이 적절히 이루어지지 않았을 경우 발생할 수 있는바, 이러한 보안장비(S)의 동작이 바람직하게 이루어질 수 있도록, 문제가 된 특정 보안장비(S)의 제어정책을 보완해 줄 필요가 있다. 따라서, 상기 보안장비별데이터적용모듈(53)은, 상기 제어정책추출부(30)를 통해 수신된 제어정책데이터가 대상으로 하는 보안장비(S)를 찾아, 해당 보안장비(S)에, 수신된 제어정책데이터를 적용시킴으로써, 해당 보안장비(S)가 가지고 있는 기존 제어정책에 새로운 제어정책을 추가하거나 기존 제어정책을 새로운 제어정책으로 갱신함으로써, 보안장비(S)의 제어정책을 보완하게 된다.
이하에서는 침해사고 대응지시서에 기반한 보안장비 제어정책 적용 방법에 대해 설명하도록 하겠다. 중복된 서술을 피하고자, 앞서 언급한 내용에 관해서는 그에 관한 설명을 생략하거나 간략히 하겠다.
도 7은 본 발명의 일 실시예에 따른 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법에 관한 도면으로, 본 발명인 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법(S1)은, 침해대응 처리과정에서 만들어지는 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는 것으로, 침해대응처리단계(S10), 제어정책추출단계(S30), 제어정책적용단계(S50)를 포함한다.
상기 침해대응처리단계(S10)는, 침해대응처리부(10)가 침해사고 발생을 확인하여 침해사고 대응지시서(D)를 생성하는 단계를 말한다. 도 8은 도 7의 침해대응처리단계에 관한 도면으로, 도 8을 참고하면, 상기 침해대응처리단계(S10)는, 보안위협판단단계(S11), 대응조치단계(S13)를 포함한다.
상기 보안위협판단단계(S11)는, 보안위협판단모듈(11)이 보안장비(S)의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 단계를 말한다. 이러한 보안위협판단단계(S11)는, 이벤트수집단계(S111), 위협분석단계(S113), 위협경보발생단계(S115)를 포함한다.
상기 이벤트수집단계(S111)는, 이벤트수집모듈(111)이 상기 보안장비(S)로부터 보안 이벤트를 수집하는 단계를 말한다.
상기 위협분석단계(S113)는, 상기 이벤트수집단계(S111) 이후에, 위협분석엔진모듈(113)이 상기 이벤트수집모듈(111)과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 단계를 말한다.
상기 위협경보발생단계(S115)는, 상기 위협분석단계(S113) 이후에, 위협경보발생모듈(115)이 상기 위협분석엔진모듈(113)과 연결되어 침해사고 발생시 경보를 발생시키는 단계를 말한다.
상기 대응조치단계(S13)는, 상기 보안위협판단단계(S11) 이후에, 대응조치모듈(13)이 상기 보안위협판단모듈(11)의 판단 결과를 확인 및 분석해 침해사고 대응지시서(D)를 생성하는 단계를 말한다. 이러한 상기 대응조치단계(S13)는, 보안분석단계(S131), 대응지시서생성단계(S133)를 포함한다.
상기 보안분석단계(S131)는, 보안분석모듈(131)이 상기 보안위협판단모듈(11)의 판단 결과를 확인 및 분석하는 단계를 말한다. 보안분석에는 경보분석, 통계분석, 상관분석, 정밀분석, 증적생성 등이 포함될 수 있다.
상기 대응지시서생성단계(S133)는, 상기 보안분석단계(S131) 이후에, 대응지시서생성모듈(133)이 상기 보안분석모듈(131)을 통해 침해사고가 확인되면 침해사고 대응지시서(D)를 생성하는 단계를 말한다. 바람직하게는 상기 침해사고 대응지시서(D)는 보안장비(S)에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보를 포함할 수 있다.
상기 제어정책추출단계(S30)는, 상기 침해대응처리단계(S10) 이후에, 제어정책추출부(30)가 상기 침해사고 대응지시서(D)를 해석해 상기 침해사고 대응지시서(D)에서 제어정책데이터를 추출하는 단계를 말한다. 도 9는 도 7의 제어정책추출단계에 관한 도면으로, 도 9를 참고하면, 상기 제어정책추출단계(S30)는, 위협정보추출단계(S31), 제어정책생성단계(S33), 제어정책전송단계(S35)를 포함한다.
상기 위협정보추출단계(S31)는, 위협정보추출모듈(31)이 상기 침해사고 대응지시서(D)에서 상기 위협정보를 추출하는 단계를 말한다. 상기 위협정보는 상기 보안장비(S)에 관한 제어정책데이터를 생성하는데 이용될 수 있다.
상기 제어정책생성단계(S33)는, 상기 위협정보추출단계(S31) 이후에, 제어정책생성모듈(33)이 상기 위협정보추출모듈(31)과 연결되어 추출된 위협정보로부터 보안장비(S)에 적용할 제어정책데이터를 생성하는 단계를 말한다. 바람직하게는, 상기 제어정책데이터는 보안장비(S) 유형별로 생성될 수 있다.
상기 제어정책전송단계(S35)는, 상기 제어정책생성단계(S33) 이후에, 제어정책전송모듈(35)이 상기 제어정책생성모듈(33)과 연결되어 생성된 상기 제어정책데이터를 상기 제어정책적용부(50)로 전송하는 단계를 말한다.
상기 제어정책적용단계(S50)는, 상기 제어정책추출단계(S30) 이후에, 제어정책적용부(50)가 일측은 상기 제어정책추출부(30)와 연결되고 타측은 보안장비(S)와 연결되어 상기 제어정책추출부(30)를 통해 추출된 제어정책데이터를 상기 보안장비(S)에 적용하는 단계를 말한다. 도 10은 도 7의 제어정책적용단계에 관한 도면으로, 도 10을 참고하면, 상기 제어정책적용단계(S50)는, 제어정책수신단계(S51), 보안장비확인단계(S53), 보안장비별데이터전송단계(S55)를 포함한다.
상기 제어정책수신단계(S51)는, 제어정책수신모듈(51)이 상기 제어정책전송모듈(35)과 연결되어 상기 제어정책데이터를 수신하는 단계를 말한다.
상기 보안장비확인단계(S53)는, 상기 제어정책수신단계(S51) 이후에, 보안장비확인모듈(53)이 상기 제어정책수신모듈(51)과 연결되어 수신된 제어정책데이터의 적용대상 보안장비(S)를 확인하는 단계를 말한다.
상기 보안장비별데이터전송단계(S55)는, 상기 보안장비확인단계(S53) 이후에, 보안장비별데이터적용모듈(55)이 보안장비(S)별로 해당 제어정책데이터를 적용시키는 단계를 말한다.
도 11은 본 발명의 사용상태도로, 이하에서는 도 11을 참고하여 본 발명의 사용과정을 설명하도록 하겠다.
보안장비(S)는 보안관제모니터링을 수행하거나, 침해사고를 보고하거나, 위협 인텔리전스(Intelligence), 위협 헌팅(Hunting) 등을 통해 보안과 관련된 이벤트를 발생시킨다.
이렇게 발생한 보안 이벤트들은 상기 보안위협판단모듈(11)에 의해 위험도/영향도 산정 등이 이루어진다. 그 결과 위험도/영향도가 높게 산정될 경우에는 이벤트분석, 로그분석, 상관분석 등을 포함한 정밀분석을 진행할 수 있고, 위험도/영향도가 낮게 산정될 경우에는 이벤트처리 등의 일반분석이 진행될 수 있다.
정밀분석 결과, 침해사고 발생사실이 확인되면, 침해사고에 대응하기 위한 조치들이 취해지게 되는데, 상황을 전파하거나 방지대책을 수립할 수 있다. 이러한 각종 조치는 침해사고 대응지시서(D)의 형태로 생성이 되며, 이러한 침해사고 대응지시서(D) 상에는 위협정보가 포함되어 있는바, 이러한 위협정보를 통해 제어정책을 생성하고, 생성된 제어정책을 보안장비(S)에 자동 적용시킴으로써, 정확도가 높은 대응지시서(D)에 기반한 새로운 제어정책이 보안장비(S)에 추가 및/또는 갱신되고, 이후에는 침해사고처리결과, 장애처리결과, 시스템정보 등을 포함한 분석보고서가 작성 및 배포되면서 상황은 종료된다.
이러한 일련의 처리 과정을 통해 사이버 공격 등과 같은 위협에 대응하는 시간은 획기적으로 줄어들게 되고, 완벽히 신뢰할 수 있는 제어정책이 자동 생성 및 적용되어 침해사고의 재발은 방지될 수 있다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
1: 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템
10: 침해대응처리부
11: 보안위협판단모듈
111: 이벤트수집모듈
113: 위협분석엔진모듈
115: 위협경보발생모듈
13: 대응조치모듈
131: 보안분석모듈
133: 대응지시서생성모듈
30: 제어정책추출부
31: 위협정보추출모듈
33: 제어정책생성모듈
35: 제어정책전송모듈
50: 제어정책적용부
51: 제어정책수신모듈
53: 보안장비확인모듈
55: 보안장비별데이터전송모듈
S1: 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법
S10: 침해대응처리단계
S11: 보안위협판단단계
S111: 이벤트수집단계
S113: 위협분석단계
S115: 위협경보발생단계
S13: 대응조치단계
S131: 보안분석단계
S133: 대응지시서생성단계
S30: 제어정책추출단계
S31: 위협정보추출단계
S33: 제어정책생성단계
S35: 제어정책전송단계
S50: 제어정책적용단계
S51: 제어정책수신단계
S53: 보안장비확인단계
S55: 보안장비별데이터전송단계

Claims (24)

  1. 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리부와, 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출부와, 일측은 상기 제어정책추출부와 연결되고 타측은 보안장비와 연결되어 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용부를 포함하며,
    상기 침해대응처리부는, 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 보안위협판단모듈과, 상기 보안위협판단모듈의 판단 결과를 확인 및 분석해 침해사고 대응지시서를 생성하는 대응조치모듈을 포함하고,
    상기 대응조치모듈은, 상기 보안위협판단모듈의 판단 결과를 확인 및 분석하는 보안분석모듈과, 상기 보안분석모듈을 통해 침해사고가 확인되면 침해사고 대응지시서를 생성하는 대응지시서생성모듈을 포함하며,
    상기 침해사고 대응지시서는, 보안장비에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보를 포함하고,
    상기 제어정책추출부는, 상기 침해사고 대응지시서에서 상기 위협정보를 추출하는 위협정보추출모듈과, 상기 위협정보추출모듈과 연결되어 추출된 위협정보로부터 보안장비에 적용할 제어정책데이터를 생성하는 제어정책생성모듈을 포함하여,
    침해대응 처리과정에서 만들어지는 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안위협판단모듈은, 상기 보안장비로부터 보안 이벤트를 수집하는 이벤트수집모듈과, 상기 이벤트수집모듈과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 위협분석엔진모듈과, 상기 위협분석엔진모듈과 연결되어 침해사고 발생시 경보를 발생시키는 위협경보발생모듈을 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 제1항에 있어서,
    상기 제어정책데이터는, 보안장비 유형별로 생성되는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  9. 제8항에 있어서,
    상기 제어정책추출부는, 상기 제어정책생성모듈과 연결되어 생성된 상기 제어정책데이터를 상기 제어정책적용부로 전송하는 제어정책전송모듈을 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  10. 제9항에 있어서,
    상기 제어정책적용부는, 상기 제어정책전송모듈과 연결되어 상기 제어정책데이터를 수신하는 제어정책수신모듈을 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  11. 제10항에 있어서,
    상기 제어정책적용부는, 상기 제어정책수신모듈과 연결되어 수신된 제어정책데이터의 적용대상 보안장비를 확인하는 보안장비확인모듈을 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  12. 제11항에 있어서,
    상기 제어정책적용부는, 보안장비별로 해당 제어정책데이터를 적용시키는 보안장비별데이터적용모듈을 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템.
  13. 침해대응처리부가 침해사고 발생을 확인하여 침해사고 대응지시서를 생성하는 침해대응처리단계와, 상기 침해대응처리단계 이후에, 제어정책추출부가 상기 침해사고 대응지시서를 해석해 상기 침해사고 대응지시서에서 제어정책데이터를 추출하는 제어정책추출단계와, 상기 제어정책추출단계 이후에, 제어정책적용부가 일측은 상기 제어정책추출부와 연결되고 타측은 보안장비와 연결되어 상기 제어정책추출부를 통해 추출된 제어정책데이터를 상기 보안장비에 적용하는 제어정책적용단계를 포함하며,
    상기 침해대응처리단계는, 보안위협판단모듈이 보안장비의 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 보안위협판단단계와, 상기 보안위협판단단계 이후에, 대응조치모듈이 상기 보안위협판단모듈의 판단 결과를 확인 및 분석해 침해사고 대응지시서를 생성하는 대응조치단계를 포함하고,
    상기 대응조치단계는, 보안분석모듈이 상기 보안위협판단모듈의 판단 결과를 확인 및 분석하는 보안분석단계와, 상기 보안분석단계 이후에, 대응지시서생성모듈이 상기 보안분석모듈을 통해 침해사고가 확인되면 침해사고 대응지시서를 생성하는 대응지시서생성단계를 포함하며,
    상기 침해사고 대응지시서는, 보안장비에 대한 제어정책의 추가 및/또는 갱신과 관련된 위협정보를 포함하고,
    상기 제어정책추출단계는, 위협정보추출모듈이 상기 침해사고 대응지시서에서 상기 위협정보를 추출하는 위협정보추출단계와, 상기 위협정보추출단계 이후에, 제어정책생성모듈이 상기 위협정보추출모듈과 연결되어 추출된 위협정보로부터 보안장비에 적용할 제어정책데이터를 생성하는 제어정책생성단계를 포함하여,
    침해대응 처리과정에서 만들어지는 침해사고 대응지시서로부터 신뢰할 수 있는 제어정책을 생성하고 생성된 제어정책이 보안장비에 자동 적용되도록 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  14. 삭제
  15. 제13항에 있어서,
    상기 보안위협판단단계는, 이벤트수집모듈이 상기 보안장비로부터 보안 이벤트를 수집하는 이벤트수집단계와, 상기 이벤트수집단계 이후에, 위협분석엔진모듈이 상기 이벤트수집모듈과 연결되어 수집된 보안 이벤트를 분석해 침해사고 발생 여부를 판단하는 위협분석단계와, 상기 위협분석단계 이후에, 위협경보발생모듈이 상기 위협분석엔진모듈과 연결되어 침해사고 발생시 경보를 발생시키는 위협경보발생단계를 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 제13항에 있어서,
    상기 제어정책데이터는, 보안장비 유형별로 생성되는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  21. 제20항에 있어서,
    상기 제어정책추출단계는, 상기 제어정책생성단계 이후에, 제어정책전송모듈이 상기 제어정책생성모듈과 연결되어 생성된 상기 제어정책데이터를 상기 제어정책적용부로 전송하는 제어정책전송단계를 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  22. 제21항에 있어서,
    상기 제어정책적용단계는, 제어정책수신모듈이 상기 제어정책전송모듈과 연결되어 상기 제어정책데이터를 수신하는 제어정책수신단계를 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  23. 제22항에 있어서,
    상기 제어정책적용단계는, 상기 제어정책수신단계 이후에, 보안장비확인모듈이 상기 제어정책수신모듈과 연결되어 수신된 제어정책데이터의 적용대상 보안장비를 확인하는 보안장비확인단계를 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
  24. 제23항에 있어서,
    상기 제어정책적용단계는, 상기 보안장비확인단계 이후에, 보안장비별데이터적용모듈이 보안장비별로 해당 제어정책데이터를 적용시키는 보안장비별데이터적용단계를 포함하는 것을 특징으로 하는, 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 방법.
KR1020190005120A 2019-01-15 2019-01-15 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 KR102090757B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190005120A KR102090757B1 (ko) 2019-01-15 2019-01-15 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190005120A KR102090757B1 (ko) 2019-01-15 2019-01-15 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102090757B1 true KR102090757B1 (ko) 2020-03-19

Family

ID=69957021

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190005120A KR102090757B1 (ko) 2019-01-15 2019-01-15 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102090757B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102197590B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법
KR102361766B1 (ko) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100831483B1 (ko) * 2003-03-31 2008-05-22 인텔 코오퍼레이션 보안 정책을 관리하는 방법 및 시스템
KR20160083466A (ko) 2014-12-31 2016-07-12 주식회사 시큐아이 보안 정책 관리 장치 및 방법
KR101928525B1 (ko) * 2012-06-11 2018-12-13 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100831483B1 (ko) * 2003-03-31 2008-05-22 인텔 코오퍼레이션 보안 정책을 관리하는 방법 및 시스템
KR101928525B1 (ko) * 2012-06-11 2018-12-13 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR20160083466A (ko) 2014-12-31 2016-07-12 주식회사 시큐아이 보안 정책 관리 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102197590B1 (ko) * 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법
KR102361766B1 (ko) * 2021-10-08 2022-02-14 주식회사 이글루시큐리티 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치

Similar Documents

Publication Publication Date Title
CN108322446B (zh) 内网资产漏洞检测方法、装置、计算机设备和存储介质
CA2968327C (en) Systems and methods for malicious code detection accuracy assurance
CN112637220B (zh) 一种工控系统安全防护方法及装置
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
CN113438249B (zh) 一种基于策略的攻击溯源方法
KR102090757B1 (ko) 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법
CN106254125A (zh) 基于大数据的安全事件相关性分析的方法及系统
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
KR100846835B1 (ko) 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
CN113544676A (zh) 攻击估计装置、攻击控制方法和攻击估计程序
CN114050937A (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
CN116962049B (zh) 一种综合监测和主动防御的零日漏洞攻击防控方法和系统
KR101889503B1 (ko) 비행자료 보호 장치 및 비행자료 보호 방법
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
KR101871406B1 (ko) 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템
KR20180130630A (ko) 자동화 진단도구를 이용한 정보시스템 취약점 진단 관리 시스템 및 방법
KR101081875B1 (ko) 정보시스템 위험에 대한 예비경보 시스템 및 그 방법
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
Saini et al. Vulnerability and Attack Detection Techniques: Intrusion Detection System
US11822646B2 (en) Generating an automated security analysis for an installation
KR101646329B1 (ko) 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법
Zhou et al. A network risk assessment method based on attack-defense graph model
CN112953954B (zh) 一种工业互联网安全能力编排方法
CN116886361A (zh) 一种基于安全大数据分析平台的自动化响应方法及系统

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant