KR102127656B1 - 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템 - Google Patents

정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템 Download PDF

Info

Publication number
KR102127656B1
KR102127656B1 KR1020200040865A KR20200040865A KR102127656B1 KR 102127656 B1 KR102127656 B1 KR 102127656B1 KR 1020200040865 A KR1020200040865 A KR 1020200040865A KR 20200040865 A KR20200040865 A KR 20200040865A KR 102127656 B1 KR102127656 B1 KR 102127656B1
Authority
KR
South Korea
Prior art keywords
information
user
service
vulnerability
management
Prior art date
Application number
KR1020200040865A
Other languages
English (en)
Inventor
정경섭
Original Assignee
주식회사 이지시큐
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이지시큐 filed Critical 주식회사 이지시큐
Priority to KR1020200040865A priority Critical patent/KR102127656B1/ko
Application granted granted Critical
Publication of KR102127656B1 publication Critical patent/KR102127656B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템에 관한 것이다.
본 발명의 일 실시예는 타겟 엔티티(target entity)의 취약점을 자동으로 진단 분석하기 위한 관리 서버(management server)에 있어서, 상기 타겟 엔티티와 신호를 송수신하는 통신 모듈; 및 상기 통신 모듈을 제어하고, 제1 사용자의 제1 정보를 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 수신하고, 상기 제1 정보 및 상기 제2 정보 중 적어도 어느 하나에 기반하여 취약점에 대한 정보를 생성하여 출력하는 제어 모듈; 을 포함하고, 상기 제2 정보는 정성적인 평가를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함하는 것을 특징으로 할 수 있다.

Description

정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템{SERVER FOR AUTOMATIC DIAGNOSIS ANALYSIS OF INFORMATION PROTECTION SYSTEM VULNERABILITY AND SYSTEM THEREOF}
본 발명은 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템에 관한 것이다.
또한 본 발명은 정보보호컨설팅 방법에 관련된 것으로서 구체적으로는 ISMS 관리 프로그램(솔루션)을 이용하여 정보보호관리체계(ISMS) 인증의 필수적 요건들을 관리하고 기 수립된 관리체계를 유지 보수하기 쉽도록 하며 인증 취득 및 갱신을 돕는 컨설팅 방법에 관한 것이다.
기존의 정보보호 인증서비스는 컨설팅 업무를 하는 컨설팅 팀의 노동력에 의존하는 경향이 있었다. 종래는 정보보호 인증을 취득 및 유지 관리를 위하여 위험 평가를 수행하기 사전 단계인 기술적 취약점 점검을 사람이 직접 수동으로 육안 진단하고 엑셀 워크 시트 등을 이용하여 정리하는 노동력 의존 서비스를 제공하였다. 이와 관련하여 컨설팅 팀에 대한 의존도가 낮은 정보보호 인증서비스에 대한 필요(needs)가 존재하였다. 이에 본 발명은 보다 개선(enhanced)되고 자동화(automated)된 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템을 제안하려고 한다.
등록특허공보 제10-1664830호는 규정 관리 시스템 및 방법에 관한 것이다.
상기 문헌은 규정에 대한 테이블화가 이루어져 테이블화된 상기 규정을 저장하고 있는 데이터베이스를 포함하는 보안 규정 관리 시스템에서, 이전 규정에 대한 코드 할당 정보 및 공지된 규정(Compliance)에 대응하여 코드화를 수행하는 코드화부; 코드별로 분류를 수행하여 규정에 대응하는 세부 점검항목 및 실질적인 업무의 기초단위인 이행 증적을 테이블화시키는 시트 작성부; 상기 이행 증적을 기준으로 하여 해당 세부 점검항목을 매핑(Mapping)시키고, 관리자를 지정하는 업무 할당부; 및 이벤트 발생에 대응하여 상기 이행 증적의 전달 및 보고가 이루어지는 업무 관리부를 포함하는 규정 관리 시스템을 개시한다.
상기 규정 관리 시스템과 관련하여 상기 문헌은, 상기 코드화부는, 기존 규정들에 대해 미리 저장되어 있는 코드로부터 상기 기존 규정들과의 단어 매칭 기법을 통해 해당 코드를 검색하여 코드화하며, 규정 관리 시스템에 상기 시트 작성부를 포함시켜 상기 시트 작성부를 통해 그룹 내부 자체적으로 시트를 작성함으로써 외주 업체에 의한 보안 노출을 방지하며, 상기 시트 작성부는, 상기 세부 점검항목에서 필요로 하는 상기 실질적인 업무의 기초단위인 이행 증적을 기준으로 업무단위를 설정하여 테이블화하며, 상기 업무 할당부는, 동일한 이행 증적을 추출한 후, 상기 동일한 이행 증적을 기준으로 하여 세부 점검항목을 리스트화하고, 리스트화된 세부 점검항목이 가장 많은 부서로 업무를 할당하는 것을 특징으로 한다는 점을 개시한다.
또한 상기 문헌에서는, 상기 시트 작성부는, 상기 규정에 대한 갱신 여부의 이력 관리를 수행하는 이력 관리부, 상기 규정에 부여된 코드를 확인하여 대분류 작업을 수행하는 대분류부, 각 코드의 서브 코드를 확인하여 소분류 작업을 수행하는 소분류부, 코드별로 세부 점검항목 및 이행 증적을 테이블화시키는 테이블화부, 그리고 테이블화된 정보를 임시로 저장하는 데이터베이스를 포함하고, 상기 테이블화된 업무 단위의 설정유형은 공통 또는 비공통으로 분류되어 설정되고, 상기 공통으로 설정된 업무 단위는 규정을 운영하는 기관에 공통 적용되고, 상기 비공통으로 설정된 업무 단위는 선택된 기관에 선택적으로 적용되는 것을 특징으로 한다는 점을 개시하고 있다.
등록특허공보 제10-1664830호
본 발명의 일 실시예는 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템을 제공하는데 그 목적이 있다.
본 발명의 일 실시예는 정보보호 인증서비스에 대한 효율적인 관리체계 운영 및 비용절감을 가능케하는데 그 목적이 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예는 타겟 엔티티(target entity)의 취약점을 자동으로 진단 분석하기 위한 관리 서버(management server)에 있어서, 상기 타겟 엔티티와 신호를 송수신하는 통신 모듈; 및 상기 통신 모듈을 제어하고, 제1 사용자의 제1 정보를 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 수신하고, 상기 제1 정보 및 상기 제2 정보 중 적어도 어느 하나에 기반하여 취약점에 대한 정보를 생성하여 출력하는 제어 모듈; 을 포함하고, 상기 제2 정보는 정성적인 평가를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함하는 관리 서버를 제안한다.
상기 제어 모듈은, 상기 취약점에 대한 정보의 평가 수치를 임계치와 비교하고, 상기 평가 수치가 상기 임계치보다 보다 낮은 경우에는 제3 정보를 생성하여 출력하고, 상기 평가 수치가 상기 임계치 이상이면 제4 정보를 생성하여 출력하는 것을 특징으로 할 수 있다.
상기 제1 정보는 상기 제1 사용자의 개인 정보를 포함하고, 상기 개인 정보는 이름, 식별자, 비밀번호, 이메일 주소, 및 상기 관리 서버에 의해 생성되는 리워드를 나타내는 정보를 포함하고, 상기 평가 정보는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및 보안감사에 관한 것일 수 있다.
상기 제어 모듈은, 상기 취약점에 대한 정보에 기반하여 최대 취약 부문을 판단하고, 상기 평가 수치 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 분석 정보를 생성하여 출력하고, 상기 분석 정보 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 진단 분석 정보를 생성하여 출력할 수 있다.
상기 제어 모듈은, 상기 제1 정보, 상기 제2 정보, 및 인증 심사까지 남은 기간이 제1 서비스 기준을 만족하는지 여부를 판단하고, 상기 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하고, 상기 제2 서비스 기준이 만족되는지 여부에 기반하여 전문가 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제3 서비스 기준을 만족하는지 여부를 판단하고, 상기 제3 서비스 기준이 만족되는지 여부에 기반하여 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
또한 본 발명의 일 실시예는 타겟 엔티티(target entity)의 취약점을 자동으로 진단 분석하기 위한 시스템(system)에 있어서, 제1 사용자가 사용하는 사용자 단말(user equipment); 및 상기 사용자 단말과 신호를 송수신하고, 상기 제1 사용자의 제1 정보를 상기 사용자 단말로부터 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 상기 사용자 단말로부터 수신하고, 상기 제1 정보 및 상기 제2 정보 중 적어도 어느 하나에 기반하여 취약점에 대한 정보를 생성하여 출력하는 관리 서버(management server); 를 포함하고, 상기 제2 정보는 정성적인 평가를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함하는 시스템을 제안한다.
상기 관리 서버는, 상기 취약점에 대한 정보에 기반하여 최대 취약 부문을 판단하고, 상기 평가 수치 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 분석 정보를 생성하여 출력하고, 상기 분석 정보 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 진단 분석 정보를 생성하여 출력할 수 있다.
상기 관리 서버는, 상기 제1 정보, 상기 제2 정보, 및 인증 심사까지 남은 기간이 제1 서비스 기준을 만족하는지 여부를 판단하고, 상기 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 출력하고, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하고, 상기 제2 서비스 기준이 만족되는지 여부에 기반하여 전문가 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력하고, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제3 서비스 기준을 만족하는지 여부를 판단하고, 상기 제3 서비스 기준이 만족되는지 여부에 기반하여 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
이와 같이 본 발명의 일 실시예는 개선되고(enhanced) 자동화된(automated) 자동 진단 분석을 위한 서버 및 그 시스템을 제안한다는 측면에서 기술적인 효과를 갖는다. 여기서 자동 진단 분석은 정보보호 시스템 취약점에 관한 것이다.
본 발명의 일 실시예는 정보보호 인증서비스에 대한 효율적인 관리체계 운영 및 비용절감을 가능케 할 수 있다.
본 발명으로 인한 효과는 정보보호관리체계를 수립하고 인증을 취득 및 유지하기 위하여 정보보호 현황 증명을 위한 수많은 증적들을 편리하게 관리하고 정보보호관리자(담당자)와 각 정보보호유관 업무별 담당자들간의 증적 관리 및 소통을 원활하게 할 것이다. 솔루션을 활용하여 작성, 제출된 증적들의 충실성을 체크 후 결제 할 수 있는 시스템이며 더불어 정기적으로 투입되는 정보보호 컨설턴트가 주기적인 방문 점검(현황 분석, 법령 개정 가이드, 취약점 점검 등을 포함)을 통해 전문가 서비스를 제공함으로서 고객사는 고비용을 매우 효과적으로 절감하고 ISMS관리 효율은 높여서 인증을 안정적이고 지속적으로 유지 관리 할 수 있게 되는 효과를 누리게 된다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 특정한 바람직한 실시예들의 상기에서 설명한 바와 같은 또한 다른 측면들과, 특징들 및 이득들은 첨부 도면들과 함께 처리되는 하기의 설명으로부터 보다 명백하게 될 것이다.
도 1은 본 발명의 일 실시예를 따른 목적을 나타내는 도면이다.
도 2는 본 발명의 일 실시예를 따른 서버 및 사용자 단말을 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 6은 본 발명의 일 실시예에 따라 출력되는 자산관리 그래프를 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따라 출력되는 진단관리 그래프를 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따라 출력되는 위험관리 그래프를 나타내는 도면이다.
도 9는 본 발명의 일 실시예에 따라 출력되는 증적관리 그래프를 나타내는 도면이다.
도 10은 본 발명의 일 실시예에 따라 출력되는 영역별 개선수준 그래프를 나타내는 도면이다.
도 11은 본 발명의 일 실시예에 따라 출력되는 영역별 개선수준 그래프를 나타내는 도면이다.
도 12는 본 발명의 일 실시예에 따라 출력되는 영역별 개선수준 그래프를 나타내는 도면이다.
도 13은 본 발명의 일 실시예에 따라 출력되는 영역별 이행조치 현황 그래프를 나타내는 도면이다.
도 14는 본 발명의 일 실시예에 따라 출력되는 영역별 이행조치 현황 그래프를 나타내는 도면이다.
도 15는 본 발명의 일 실시예에 따라 출력되는 영역별 이행조치 현황 그래프를 나타내는 도면이다.
상기 도면들을 통해, 유사 참조 번호들은 동일한 혹은 유사한 엘리먼트들과, 특징들 및 구조들을 도시하기 위해 사용된다는 것에 유의해야만 한다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 발명의 실시예들을 구체적으로 설명함에 있어서, 특정 시스템의 예를 주된 대상으로 할 것이지만, 본 명세서에서 청구하고자 하는 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템 및 서비스에도 본 명세서에 개시된 범위를 크게 벗어나지 아니하는 범위에서 적용 가능하며, 이는 당해 기술분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
삭제
도 1은 본 발명의 일 실시예를 따른 시스템을 나타내는 블록도이다.
도 1을 참조하면, 상기 시스템(100)은 관리 서버(management server)(110), 사용자 단말(user equipment)(120), 및 관리 타겟 엔티티(management target entity)(130)를 포함한다.
관리 서버(110)는 정보보호 인증서비스를 제공하는 서버이거나 및/또는 정보보호 시스템 취약점의 자동 진단 분석을 수행하는 서버일 수 있다.
여기서 취약점(vulnerability)이라 함은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점을 나타낼 수 있다. 국제 표준화 기구(ISO) 27005은 취약점(vulnerability)을 "하나 이상의 위협에 의해 익스플로잇(exploit)될 수 있는 자산 또는 자산들의 그룹의 약점"으로 정의하고 있으며, 국제 인터넷 표준화 기구(IETF) RFC 2828은 "시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것"으로 정의하고 있다. 여기서 익스플로잇(exploit)이라 함은 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위를 이르기도 한다.
또한 취약점은 자원 분류(resource class)에 따라 분류될 수 있으며, 하드웨어 측면에서 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등과 관련되고, 소프트웨어 측면에서 충분치 않은 테스팅, 감사 추적의 부족 등과 관련되고, 네트워크 측면에서 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등과 관련되고, 직원 측면에서 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등과 관련되고, 위치 측면에서 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등과 관련되고, 관리 기관 측면에서 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등과 관련될 수 있다.
사용자 단말(120)은 i) 본 발명에서 제공하는 정보보호 인증서비스의 고객인 제1 사용자에 의해 사용되는 단말이거나, ii) 상기 정보보호 인증서비스를 제공하는 서비스 제공자 및/또는 상기 관리 서버(110)를 관리하는 관리자인 제2 사용자에 의해 사용되는 단말일 수 있다.
관리 타겟 엔티티(130)는 본 발명의 정보보호 인증서비스를 통하여 보안 인증을 받게 되는 대상일 수 있으며, 상기 관리 타겟 엔티티(130)는 '타겟 엔티티(target entity)'로 호칭될 수도 있다. 일 예로, 타겟 엔티티(130)는 i) 소정의 온라인 서비스를 제공하는 웹 서버(예; 테스트 웹 서버, 개발 웹 서버), 클라우드 서버, 인트라넷 서버, DB(데이터베이스) 서버 등을 포함하거나 ii) 상기 제1 사용자에 의해 운용되는 서버를 포함할 수 있다. 다른 예로, 타겟 엔티티(130)는 서버 시스템, DBMS, 어플리케이션, 네트워크장비, 보안장비, PC 등을 포함하는 집합을 의미할 수 있다.
본 발명에서는 정보보호 인증서비스를 제공하는 서버, 시스템, 및 그 방법을 제안하며, 구체적으로는 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템을 제안한다.
정보보호 인증서비스는 인증 컨설팅, 보안 제품 개발, 연간 서비스, 개인 정보보호, 시스템 진단, 모의 해킹, 소스 코드 진단, 정보보호 교육 및 훈련 등의 서비스를 제공하는 서비스일 수 있다.
여기서 인증 컨설팅 서비스는 국내외 정보보호 인증(ISO 27001/ ISMS-P, PCI-DSS) 서비스를 포함할 수 있으며, 보안 제품 개발 서비스는 통합 정보보호 인증 관리 및 위험 분석 솔루션 개발, 연계형 컨설팅 서비스 등을 포함할 수 있다. 여기서 ISMS-P는 ISMS와 PIMS가 통합된 형태로서, 방송 통신 위원회로부터 심사 받는 정보보호 및 개인정보보호 관리체계를 의미할 수 있다. PCI-DSS는 지불 카드 산업 데이터 보안 표준, 지불 카드 보안 표준, 결제 카드 산업 정보 보안 표준, 지불 카드 업계 데이터 보안 표준은 주요 카드 스킴의 유명 상표의 신용카드를 관리하는 조직을 위한 정보 보안 표준을 의미할 수 있다.
연간 서비스는 연간 정보보호 인증, 상시 유지 관리 컨설팅 전문가 서비스 등을 포함할 수 있으며, 개인 정보보호 서비스는 개인 정보 관리 수준 진단, 취급 실태 점검 컨설팅 서비스 등을 포함할 수 있다. 시스템 진단 서비스는 주요 정보 통신, 전자 금융 기반 시설 시스템 취약점 진단 컨설팅 등을 포함할 수 있으며, 모의 해킹 서비스는 어플리케이션, 모바일 앱 모의 해킹 서비스 등을 포함할 수 있다. 소스 코드 진단 서비스는 어플리케이션, 모바일 앱 소스 코드 진단 서비스 등을 포함하고, 정보보호 교육 및 훈련 서비스는 (개인) 정보보호 교육 제공 및 침해 사고, APT(Advanced Persistent Threat), DDoS(Distributed Denial of Service) 대응 모의 훈련 등의 서비스를 포함할 수 있다. 또한 본 발명의 인증 컨설팅 서비스는 정보보호인증 통합관리 솔루션으로서, ISMS, ISMS-P 인증 취득 및 유지 관리 해결을 위한 플랫폼(platform)형 인증관리 솔루션일 수 있다.
그리고, 관리 서버(110)는 다음과 같은 특징을 포함하는 정보보호 인증서비스를 제공할 수 있다. 일 예로, 정보보호 인증서비스는 i) 정보 자산 목록 관리 및 중요도 평가, ii) 주요 기반 시설 및 ISMS-P 범위에 따라 자산 범위를 별도 운영 가능, iii) 자산의 형태, 소유자, 관리자, 사용 부서, 용도 등 자유롭게 등록 운영할 수 있다. 다른 예로, 정보보호 인증서비스는 iv) 관리 물리적 진단 및 개인 정보 수준 진단 분석 자료를 도시화 한 대시 보드를 생성하거나 및/또는 제공할 수 있으며, v) 서버, DB(database) 취약점의 자동 분석 및 자동 위험 평가 기능을 통하여 진단 비용 절감을 제공할 수 있으며, vi) DoA(Degree of Assurance) 설정에 따른 개별 위험의 정보보호 이행 계획 수립 자동화를 제공할 수 있다. 또 다른 예로, 정보보호 인증서비스는 vii) 분석 결과를 보여주는 모든 메뉴에서 엑셀 다운로드 기능을 제공할 수 있으며, viii) OTP, 사용자별 권한 분류 지정, 특정 IP(Internet Protocol) 접근 등 강력한 접근 통제를 제공할 수 있으며, ix) 심사 수검시 자원의 소모와 피로도를 줄이면서 감시자에게 열람 기능을 제공할 수 있다.
도 2는 본 발명의 일 실시예를 따른 서버 및 사용자 단말을 나타내는 블록도이다.
도 1 및 도 2를 참조하면, 관리 서버(110)는 제1 제어 모듈(210), 제1 통신 모듈(220), 제1 입력 모듈(230), 및/또는 제1 출력 모듈(240)을 포함할 수 있으며, 사용자 단말(120)은 제2 제어 모듈(250), 제2 통신 모듈(260), 제2 입력 모듈(270, 미도시), 및/또는 제2 출력 모듈(280, 미도시)을 포함할 수 있다.
제어 모듈(210, 250)은 본 발명의 일 실시예에 따른 동작/단계/과정을 구현할 수 있도록 관리 서버(110) 및/또는 사용자 단말(120)을 직/간접적으로 제어할 수 있다. 또한 제어 모듈(210, 250)은 적어도 하나의 프로세서를 포함할 수 있으며, 프로세서는 적어도 하나의 중앙 처리 유닛(CPU) 및/또는 적어도 하나의 그래픽 처리 디바이스(GPU)를 포함할 수 있다.
또한 제어 모듈(210, 250)은 API(Application Programming Interface), IoT(Internet of Things), IIoT(Industrial Internet of Things), ICT(Information & Communication Technology) 기술에 기반하여 제어 정보(예; 명령어) 등을 생성하거나 및/또는 관리할 수 있다.
통신 모듈(220, 260)은 관리 서버(110) 및/또는 사용자 단말(120) 등과 각종 데이터, 신호, 정보를 송수신할 수 있다. 또한, 통신 모듈(220, 260)은 무선 통신 모듈(예: 셀룰러 통신 모듈, 근거리 무선 통신 모듈, 또는 GNSS(global navigation satellite system) 통신 모듈) 또는 유선 통신 모듈(예: LAN(local area network) 통신 모듈, 또는 전력선 통신 모듈)을 포함할 수 있다. 또한, 통신 모듈(220, 260)은 제1 네트워크(예: 블루투스, WiFi direct 또는 IrDA(Infrared Data Association) 같은 근거리 통신 네트워크) 또는 제2 네트워크(예: 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크)를 통하여 외부 전자 장치와 통신할 수 있다. 이런 여러 종류의 통신 모듈들은 하나의 구성 요소(예: 단일 칩)으로 통합되거나, 또는 서로 별도의 복수의 구성 요소들(예: 복수 칩들)로 구현될 수 있다.
입력 모듈(230, 270)은 관리 서버(110) 및/또는 사용자 단말(120)의 구성요소(예: 제어 모듈(210, 250) 등)에 사용될 명령 또는 데이터를 관리 서버(110) 및/또는 사용자 단말(120)의 외부(예: 사용자(예; 제1 사용자, 제2 사용자 등), 관리 서버(110)의 관리자 등)로부터 수신할 수 있다. 또한, 입력 모듈(230, 270)은 관리 서버(110) 및/또는 사용자 단말(120)에 설치된 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈, 음성인식센서, 마이크, 마우스, 또는 키보드 등을 포함할 수 있다. 여기서 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈은 감압식 및/또는 정전식 방식을 통하여 사용자의 신체(예; 손가락)를 통한 터치를 인식할 수 있다.
출력 모듈(240, 280)은 관리 서버(110) 및/또는 사용자 단말(120)의 제어 모듈(210, 250)에 의해 생성되거나 통신 모듈(220, 260)을 통하여 획득된 신호(예; 음성 신호), 정보, 데이터, 이미지, 및/또는 각종 객체(object) 등을 표시하는 모듈이다. 예를 들면, 출력 모듈(240, 280)은 디스플레이, 스크린, 표시부(displaying unit), 스피커 및/또는 발광장치(예; LED 램프) 등을 포함할 수 있다.
또한, 관리 서버(110) 및/또는 사용자 단말(120)은 저장 모듈(storage module)(미도시)을 더 포함할 수 있으며, 관리 서버(110) 및/또는 사용자 단말(120)의 동작을 위한 기본 프로그램, 응용 프로그램, 설정 정보 등의 데이터를 저장한다. 또한, 저장 모듈은 플래시 메모리 타입(Flash Memory Type), 하드 디스크 타입(Hard Disk Type), 멀티미디어 카드 마이크로 타입(Multimedia Card Micro Type), 카드 타입의 메모리(예를 들면, SD 또는 XD 메모리 등), 자기 메모리, 자기 디스크, 광디스크, 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), PROM(Programmable Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory) 중 적어도 하나의 저장매체를 포함할 수 있다.
또한, 저장 모듈은 관리 서버(110) 및/또는 사용자 단말(120)을 사용하는 고객(제1 사용자)의 개인정보, 관리자(제2 사용자)의 개인정보 등을 저장할 수 있다. 여기서 개인정보는 이름, 아이디(ID; identifier), 패스워드, 주민등록번호, 도로명 주소, 전화 번호, 휴대폰 번호, 이메일 주소, 및/또는 관리 서버(110)에 의해 생성되는 리워드(reward)(예; 포인트 등)를 나타내는 정보 등을 포함할 수 있다. 또한, 제어 모듈(210, 250)은 상기 저장 모듈에 저장된 각종 이미지, 프로그램, 컨텐츠, 데이터 등을 이용하여 다양한 동작을 수행할 수 있다.
도 3은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 방법은 관리 서버(110)가 제1 사용자의 제1 정보를 수신하는 단계를 포함할 수 있다(S310).
예를 들면, 제1 사용자는 사용자 단말(120)을 통하여 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 실행하고, 상기 웹사이트 및/또는 모바일앱을 통하여 제1 정보를 입력할 수 있다. 상기 제1 정보는 단말(120)로부터 관리 서버(110)에게 전달되고, 상기 관리 서버(110) 및/또는 제어 모듈(210)에 기록될 수 있다.
제1 정보는 상기 제1 사용자의 개인 정보를 포함할 수 있다. 여기서 개인정보는 제1 사용자의 이름, 아이디(ID; identifier), 패스워드, 주민등록번호, 도로명 주소, 전화 번호, 휴대폰 번호, 이메일 주소, 및/또는 관리 서버(110)에 의해 생성되는 리워드(reward)(예; 포인트 등)를 나타내는 정보 등을 포함할 수 있다.
또한 제1 정보는 상기 제1 사용자가 본 발명의 웹사이트 및/또는 모바일앱을 통하여 결제한 금액 및/또는 내역(결제내역)에 대한 정보, 상기 제1 사용자가 사용한 리워드(포인트)에 대한 정보를 더 포함할 수도 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 정보에 기반하여 인증 절차를 수행하는 단계를 포함할 수 있다(S320).
예를 들면, 본 발명의 웹사이트 및/또는 모바일앱은, 상기 사용자의 제1 정보(예; 개인 정보)를 통하여 소정의 인증 절차를 수행한 후에만 다음의 S330 및/또는 S340 단계에 상응하는 동작을 실행할 수도 있다. 일 예로, 소정의 인증 절차는 상기 제1 사용자의 개인 정보에 기반하여 진행되는 본인 인증 프로세스를 포함할 수 있다. 다른 예로, 소정의 인증 절차는 상기 제1 사용자의 결제 내역이 정보보호 인증서비스에서 요구하는 기준을 만족하는지 여부를 판단하는 과정을 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 타겟 엔티티에 대한 제2 정보를 수신하는 단계를 포함할 수 있다(S330).
예를 들면, 제1 사용자는 사용자 단말(120)을 통하여 본 발명의 정보보호 인증서비스를 제공하는 웹사이트 및/또는 모바일앱을 실행하고, 상기 웹사이트 및/또는 모바일앱을 통하여 타겟 엔티티(즉, 관찰 타겟 엔티티)에 대한 제2 정보를 입력할 수 있다. 상기 제2 정보는 단말(120)로부터 관리 서버(110)에게 전달되고, 상기 관리 서버(110) 및/또는 제어 모듈(210)에 기록될 수 있다.
제2 정보는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및/또는 보안감사 각각에 관련되는 복수의 질문 정보 및 상기 복수의 질문 정보 각각에 상응하는 상기 제1 사용자의 답변 정보를 포함할 수 있다.
정책관리는 정보보호정책에 대해 최상위 정책, 개인정보 내부관리계획, 지침 및 절차, 매뉴얼 및 가이드라인에 관한 것일 수 있다. 자산관리는 자산 목록, 네트워크 구성도에 관한 것일 수 있다. 진단관리는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항, 기술적 진단에 관한 것일 수 있다. 위험관리는 위험분석, 위험평가, 위험관리수준, 정보보호계획에 관한 것일 수 있다. 증적관리는 심사 및/또는 감사를 위한 증거 자료들을 관리하는 것과 관련되며, 증적목록(예; 영역구분, 증적코드, 증적명, 이행주기, 담당자, 최근 업로드 일자 등을 포함), 운영명세서에 관한 것일 수 있다. 여기서 운영명세서는 통제항목, 상세내용, 운영여부, 운영현황(또는 미선택사유), 관련문서(정책, 지침 등), 및/또는 기록(증적자료) 등의 항목을 포함할 수 있다. 보안감사는 ISMS 심사 및/또는 보안감사 진행 시 심사원 및/또는 감사자에게 필요한 메뉴와 관련될 수 있다.
한편, 관리 서버(110)는 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등과 같은 하드웨어 측면의 제1 질문 정보, 충분치 않은 테스팅, 감사 추적의 부족 등과 같은 소프트웨어 측면의 제2 질문 정보, 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등과 같은 네트워크 측면의 제3 질문 정보, 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등과 같은 직원 측면의 제4 질문 정보, 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등과 같은 위치 측면의 제5 질문 정보, 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등과 같은 관리 기관 측면의 제6 질문 정보를 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 제1 사용자에게 제공할 수 있다.
이에 응답하여 제1 사용자는 상기 웹사이트 및/또는 모바일앱을 통하여 상기 제1 질문 정보 내지 상기 제6 질문 정보 각각에 상응하는 제1 응답 정보 내지 제6 응답 정보를 입력할 수 있다.
이때 상기 제2 정보는 상기 제1 응답 정보 내지 제6 응답 정보를 포함할 수 있다. 일 예로, 상기 제1 응답 정보 내지 제6 응답 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 정보(및/또는 제2 정보)에 기반하여 취약점에 대한 정보를 생성하여 출력하는 단계를 포함할 수 있다(S340).
일 예로, 관리 서버(110)는 상기 제1 응답 정보 내지 제6 응답 정보에 기반하여 상기 취약점에 대한 정보를 생성할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 취약점에 대한 정보를 생성할 수도 있다.
예를 들면, 관리 서버(110)는 i) 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등의 복수의 제1 질문 정보 각각에 대한 제1 응답 정보에 기반하여 하드웨어 측면의 취약점을 나타내는 제1 취약점 정보를 생성하고, ii) 충분치 않은 테스팅(적은 횟수의 테스팅), 감사 추적의 부족 등의 복수의 제2 질문 정보 각각에 대한 제2 응답 정보에 기반하여 소프트웨어 측면의 취약점을 나타내는 제2 질문 정보를 생성하고, iii) 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등의 복수의 제3 질문 정보 각각에 대한 제3 응답 정보에 기반하여 네트워크 측면의 취약점을 나타내는 제3 취약점 정보를 생성하고, iv) 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등의 복수의 제4 질문 정보 각각에 대한 제4 응답 정보에 기반하여 직원 측면의 취약점을 나타내는 제4 취약점 정보를 생성하고, v) 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등의 복수의 제5 질문 정보 각각에 대한 제5 응답 정보에 기반하여 위치 측면의 취약점을 나타내는 제5 취약점 정보를 생성하고, vi) 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등의 복수의 제6 질문 정보 각각에 대한 제6 응답 정보에 기반하여 관리 기관 측면의 취약점을 나타내는 제6 취약점 정보를 생성할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 제1 취약점 정보 내지 제6 취약점 정보를 생성할 수도 있다. 또한 상기 제1 취약점 정보 내지 제6 취약점 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
다른 예로, 관리 서버(110)는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및/또는 보안감사 각각에 관련되는 복수의 질문 정보 및 상기 복수의 질문 정보 각각에 상응하는 상기 제1 사용자의 답변 정보에 기반하여 상기 취약점에 대한 정보를 생성할 수 있다. 이때 관리 서버(110)는 제1 사용자의 개인 정보를 더 고려하여 상기 취약점에 대한 정보를 생성할 수도 있다. 또한 상기 취약점에 대한 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
예를 들면, 상기 제2 정보는 정성적인 평가(qualitative analysis)를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함할 수 있다. 다시 말해, 관리 서버(110)는 정성적인 평가를 포함하는 제2 정보에 기반하여, 상기 정성적인 평가에 상응하는 평가 수치를 결정하고, 상기 평가 수치를 포함하는 정보(즉, 취약점에 대한 정보)를 생성할 수 있다.
한편, 상기 S310 내지 S340는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S310 내지 S340 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
도 4는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 방법은 관리 서버(110)가 취약점에 대한 정보에 상응하는 평가 수치를 산출하는 단계를 포함할 수 있다(S410).
관리 서버(110)는, 예를 들면, 취약점에 대한 정보에 기반하여 하드웨어 측면, 소프트웨어 측면, 네트워크 측면, 직원 측면, 위치 측면, 관리 기관 측면 각각에 상응하는 평가 수치(또는 분야 평가 수치)를 산출할 수 있다.
예를 들면, 관리 서버(110)는 i) 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 각각에 상응하는 평가 수치들에 기반하여 하드웨어 측면에 대한 제1 분야 평가 수치를 산출하고, ii) 충분치 않은 테스팅(적은 횟수의 테스팅), 감사 추적의 부족 각각에 상응하는 평가 수치에 기반하여 소프트웨어 측면에 대한 제2 분야 평가 수치를 산출하고, iii) 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 각각에 상응하는 평가 수치에 기반하여 네트워크 측면에 대한 제3 분야 평가 수치를 산출하고, iv) 부적절한 리쿠르팅 과정, 부적절한 보안 인식 각각에 상응하는 평가 수치에 기반하여 직원 측면에 대한 제4 분야 평가 수치를 산출하고, v) 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 각각에 상응하는 평가 수치에 기반하여 위치 측면에 대한 제5 분야 평가 수치를 산출하고, vi) 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 각각에 상응하는 평가 수치에 기반하여 관리 기관 측면에 대한 제6 분야 평가 수치를 산출할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 제1 분야 평가 수치 내지 제6 분야 평가 수치를 산출할 수도 있다. 또한 상기 평가 수치는, 예를 들면, 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
그리고, 상기 방법은 관리 서버(110)가 평가 수치에 기반하여 최대 취약 부문을 판단하는 단계를 포함할 수 있다(S420).
관리 서버(110)는, 예를 들면, 하드웨어 측면, 소프트웨어 측면, 네트워크 측면, 직원 측면, 위치 측면, 관리 기관 측면 각각에 상응하는 분야 평가 수치 중에서 가장 낮은 값에 상응하는 하드웨어 측면, 소프트웨어 측면, 네트워크 측면, 직원 측면, 위치 측면, 관리 기관 측면 중 어느 하나를 지칭하는 최대 취약 부문을 결정하고, 상기 최대 취약 부문을 나타내는 정보를 생성할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 평가 수치(및/또는 최대 취약 부문)에 기반하여 진단 분석 정보를 생성하여 출력하는 단계를 포함할 수 있다(S430).
진단 분석 정보는, 예를 들면, 평가 수치에 기반하여 결정될 수 있으며, 인증 심사를 위해 개선하거나 수정하여야 하는 부분을 나타내는 정보를 포함할 수 있다. 이때 관리 서버(110)는 상기 취약 부문을 나타내는 정보를 더 고려하여, 인증 심사를 위해 개선하거나 수정하여야 하는 부분을 나타내는 정보를 결정하거나 생성할 수 있다.
또한 진단 분석 정보는, 예를 들면, 도 7의 진단관리 그래프, 도 8의 위험관리 그래프, 도 9의 증적관리 그래프, 도 10 내지 도 12의 영역별 개선수준 그래프, 도 13 내지 도 15의 영역별 이행조치 현황 그래프 중 적어도 어느 하나의 그래프를 포함할 수도 있다.
일 예로, 진단 분석 정보는 평가 수치 및 최대 취약 부문에 기반하여 결정될 수도 있으며, 이때 진단 분석 정보는 최대 취약 부분에 대한 조치와 상기 조치에 필요한 최소 시간을 포함할 수 있다. 또한 상기 진단 분석 정보는 상기 최소 시간과 인증 심사까지 남은 기간 사이의 비교 결과에 따라 상이한 이벤트를 포함할 수도 있다. 관리 서버(110)는 i) 상기 최소 시간이 '인증 심사(및/또는 인증 심사의 심사 일자)까지 남은 기간'보다 긴 경우에는, 상기 조치에 대한 정보와 제1 이벤트를 포함하는 진단 분석 정보를 출력할 수 있다. 또한, 관리 서버(110)는 ii) 상기 최소 시간이 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간보다 짧은 경우에는, 상기 조치에 대한 정보와 제2 이벤트를 포함하는 진단 분석 정보를 출력할 수 있다. 예를 들면, 상기 제1 이벤트는 상기 인증 심사에 대한 진행의 중단을 요청하는 정보 및/또는 상기 인증 심사가 아닌 다른 인증 심사를 권유하거나 상기 최소 시간보다 긴 여유 기간을 갖는 또 다른 인증 심사(즉, 심사 일자까지 남은 기간이 상기 최소 기간보다 긴 심사)를 제안하는 정보를 생성하여 출력하고, 상기 제2 이벤트는 본 발명에서 설명하는 원격 지원 서비스, 전문가 출장 서비스, 긴급 출장 서비스에 대한 정보 및 이에 상응하는 견적에 대한 정보를 생성하여 출력하는 과정을 포함할 수도 있다.
한편, 상기 S410 내지 S430은 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S410 내지 S440 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
도 5는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)까지 남은 기간'이 제1 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(S510).
일 예로, 상기 제1 정보에 포함되는 제1 사용자의 개인 정보에 기반하여 인증 절차가 완료된 후에만 후술할 S520 내지 S560 단계가 실행되거나, 상기 인증 절차가 완료된 경우에만 제1 서비스 기준, 제2 서비스 기준, 및/또는 제3 서비스 기준이 만족되는 것으로 판단되도록 설정될 수도 있다.
그리고, 상기 방법은 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 상기 제1 사용자 단말을 통하여 상기 원격 지원 서비스를 제공하도록 제어하는 단계를 포함할 수 있다(S520).
제1 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제1 기간 임계치(예; 10일, 1주일 등)보다 낮은 경우에 만족할 수 있다. '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제1 서비스 기준은 상기 소프트웨어 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제1 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 분야 평가 수치가 제2 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제1 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제1 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 분야 평가 수치가 제2 수치 임계치보다 낮은 경우에만 만족될 수도 있다.
원격 지원 서비스는, 예를 들면, 본 발명의 정보보호 인증서비스를 제공하는 업체에 종사하는 자(예; 전문 상담원, 컨설턴트 등)가 제1 사용자(고객)의 컴퓨터(PC) 및/또는 단말을 원격으로 조작(및/또는 제어)하여 상기 제1 수치 임계치보다 낮게 평가된 평가 수치(및/또는 분야 평가 수치)에 상응하는 소프트웨어 측면에서의 취약점을 해결할 수 있도록 하는 서비스일 수 있다.
그리고, 상기 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(S530).
그리고, 상기 방법은 제2 서비스 기준이 만족되는지 여부에 기반하여 관리 서버(110)가 전문가 출동 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 제1 사용자에게 상기 전문가 출동 서비스를 제공되도록 상기 제1 사용자에 대한 정보 및 상기 긴급 출장 서비스를 요청하는 메시지를 특정 전문가의 단말에게 전송하는 단계를 포함할 수 있다(S540).
제2 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제2 기간 임계치(예; 7일, 72시간 등)보다 낮은 경우에 만족할 수 있다. 여기서 상기 제2 기간 임계치는 상기 제1 기간 임계치(예; 10일, 1주일 등)보다 낮게 설정될 수 있다(제어 모듈(210)에 의해 설정). '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점을 나타내거나, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제2 서비스 기준은 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제3 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 분야 평가 수치가 제4 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제2 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제3 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 분야 평가 수치가 제4 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 예를 들면, 상기 제3 수치 임계치는 전술한 제1 수치 임계치보다 낮게 설정될 수 있으며, 상기 제4 수치 임계치는 전술한 제2 수치 임계치보다 낮게 설정될 수 있다.
전문가 출동 서비스는 제1 사용자(고객)의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함할 수 있다. 전문가 출동 서비스는, 예를 들면, 제1 사용자(고객)의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함할 수 있다.
한편, 전문가 출동 서비스를 통하여 제1 사용자의 근무지에 출장 가는 전문가는 본 발명의 정보보호 인증서비스를 제공하는 업체에 종사하는 자(예; 전문 상담원, 컨설턴트 등)로서, 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 전문화되어 매칭될 수 있다. 관리 서버(110)는 이러한 매칭 테이블 정보를 저장할 수 있으며, 상기 제2 서비스 기준이 만족되면 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 상기 매칭 테이블 정보를 제1 사용자(고객)에게 제공할 수 있다.
일 예로, 상기 매칭 테이블 정보는 아래의 표 1과 같을 수 있다.
전문 분야 등급 긴급 출장 서비스 가부
제1 전문가 하드웨어 분야 3등급 가능
제2 전문가 소프트웨어 분야 3등급 불가
제3 전문가 하드웨어 분야, 네트워크 분야 2등급 가능
제4 전문가 직원 분야, 위치 분야, 관리 기관 분야 1등급 불가
제5 전문가 소프트웨어 분야 3등급 불가
제6 전문가 소프트웨어 분야, 네트워크 분야 2등급 불가
상기 표 1과 같은 매칭 테이블 정보를 확인한 제1 사용자(고객)는 상기 표 1을 통하여 표시되는 전문가들(예; 제1 전문가 내지 제6 전문가) 중에서 특정 전문가를 선택할 수 있으며, 이 경우 상기 특정 전문가에 의한 전문가 출장 서비스가 사용자에게 제공될 수 있다. 또한 이를 안내하는 메시지(및/또는 정보)가 상기 제1 사용자의 단말을 통하여 출력될 수 있다.
그리고, 상기 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)까지 남은 기간'이 제3 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(S550).
그리고, 상기 방법은 제3 서비스 기준이 만족되는지 여부에 기반하여 관리 서버(110)가 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 제1 사용자에게 상기 긴급 출장 서비스를 제공되도록 상기 제1 사용자에 대한 정보 및 상기 긴급 출장 서비스를 요청하는 메시지를 특정 전문가의 단말에게 전송하는 단계를 포함할 수 있다(S560).
제3 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제3 기간 임계치(예; 3일, 36시간 등)보다 낮은 경우에 만족할 수 있다. 여기서 상기 제3 기간 임계치는 상기 제2 기간 임계치(예; 7일, 72시간 등)보다 낮게 설정될 수 있다(제어 모듈(210)에 의해 설정). '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은, 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제3 서비스 기준은 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제5 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 분야 평가 수치가 제6 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제3 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치가 제5 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 분야 평가 수치가 제6 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 예를 들면, 상기 제5 수치 임계치는 전술한 제3 수치 임계치보다 낮게 설정될 수 있으며, 상기 제6 수치 임계치는 전술한 제4 수치 임계치보다 낮게 설정될 수 있다.
긴급 출장 서비스는, 예를 들면, 제1 사용자의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함하되, 상기 출장 서비스가 소정의 기간 내에 제공되는 서비스일 수 있다. 상기 소장의 기간은 상기 긴급 출장 서비스가 신청된 시점으로부터 특정 기간을 나타낼 수 있다. 이러한 특징을 통해 본 발명은 인증 심사의 심사 일자까지 남은 기간이 부족한 경우(및/또는 여유 기간이 상대적으로 짧게 남은 경우)에 빠른 대응을 원하는 고객(제1 사용자)을 위한 서비스를 제공할 수 있다.
또한 상기 제3 서비스 기준이 만족되면, 관리 서버(110)는 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 상기 매칭 테이블 정보를 제1 사용자(고객)에게 제공되거나, 및/또는 상기 제1 사용자의 단말을 통하여 출력되도록 제어할 수 있다. 일 예로, 상기 매칭 테이블 정보는 전술한 표 1과 같을 수 있다. 상기 표 1과 같은 매칭 테이블 정보를 확인한 제1 사용자(고객)는 상기 표 1을 통하여 표시되는 전문가들(예; 제1 전문가, 제3 전문가 등과 같이 '긴급 출장 서비스 가부'에 '가능'으로 체크된 전문가) 중에서 특정 전문가를 선택할 수 있으며, 이 경우 상기 특정 전문가에 의한 전문가 출장 서비스가 사용자에게 제공될 수 있다. 또한 이를 안내하는 메시지(및/또는 정보)가 상기 제1 사용자의 단말을 통하여 출력될 수 있다.
한편, 상기 S510 내지 S560는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S510 내지 S560 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
이와 같이 본 발명의 일 실시예는 타겟 엔티티(130)의 취약점을 자동으로 진단 분석하기 위한 관리 서버(110)에 있어서, 상기 타겟 엔티티(130)와 신호를 송수신하는 통신 모듈(220); 및 상기 통신 모듈(220)을 제어하고, 제1 사용자의 제1 정보를 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 수신하고, 상기 제1 정보 및 상기 제2 정보 중 적어도 어느 하나에 기반하여 취약점에 대한 정보를 생성하여 출력하는 제어 모듈(210)을 포함하는 관리 서버(110)를 제안한다. 상기 제2 정보는 정성적인 평가를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함할 수 있다.
상기 제어 모듈(210)은, 상기 취약점에 대한 정보의 평가 수치를 임계치와 비교하고, 상기 평가 수치가 상기 임계치보다 보다 낮은 경우에는 제3 정보를 생성하여 출력하고, 상기 평가 수치가 상기 임계치 이상이면 제4 정보를 생성하여 출력하는 것을 특징으로 할 수 있다.
상기 제1 정보는 상기 제1 사용자의 개인 정보를 포함하고, 상기 개인 정보는 이름, 식별자, 비밀번호, 이메일 주소, 및 상기 관리 서버에 의해 생성되는 리워드를 나타내는 정보를 포함하고, 상기 평가 정보는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및 보안감사에 관한 것일 수 있다. 또한 상기 평가 정보는 전술한 제1 응답 정보 내지 제6 응답 정보 중 적어도 어느 하나를 포함할 수도 있다.
상기 제어 모듈(210)은, 상기 취약점에 대한 정보에 기반하여 최대 취약 부문을 판단하고, 상기 평가 수치 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 분석 정보를 생성하여 출력하고, 상기 분석 정보 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 진단 분석 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(210)은, 상기 제1 정보, 상기 제2 정보, 및 인증 심사까지 남은 기간이 제1 서비스 기준을 만족하는지 여부를 판단하고, 상기 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(210)은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하고, 상기 제2 서비스 기준이 만족되는지 여부에 기반하여 전문가 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(210)은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제3 서비스 기준을 만족하는지 여부를 판단하고, 상기 제3 서비스 기준이 만족되는지 여부에 기반하여 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
그리고, 본 발명의 정보보호 인증서비스는 관리 서버(110)에 의해 운용되는 웹 사이트 및/또는 어플리케이션(모바일앱)을 통하여 제공될 수 있으며, 아래와 같은 특징을 포함할 수 있다.
본 발명의 정보보호 인증서비스는 ISMS, ISMS-P 인증 등을 위해 정보보호 담당자 및/또는 관리자가 수행하는 정보보호 관리 체계 유관 업무 핵심 과제들을 한 곳에서 처리할 수 있도록 하여 효율적인 인증 유지를 가능하게 하는 정보보호 인증 통합 관리 솔루션일 수 있다. 또한 상기 정보보호 인증서비스는 정보 자산의 등록, 관리, 물리, 기술, 법리 현황 수준 진단, 위험분석 및 평가, 정보보호 계획 수립, 정보보호 교육 훈련 관리, 정보보호 정책 등재 및 열람, 인증 심사 대응 메뉴 등으로 정보보호 관리 체계의 핵심 과제를 모두 관리할 수 있도록 구성될 수 있다.
본 발명의 정보보호 인증서비스는 관리 서버(110)에 의해 운용되는 웹 사이트 및/또는 어플리케이션(모바일 앱)은 정책 관리 (서비스), 자산 관리 (서비스), 진단 관리 (서비스), 위험 관리 (서비스), 증적 관리 (서비스), 보안 감사 (서비스) 등과 같이 사용자가 선택 가능한 메뉴(메인 메뉴, 업무별 메뉴) 및/또는 객체를 출력할 수 있다. 정책 관리(서비스)는 정보보호 정책, 개인정보 내부관리계획, 정보보호지침/절차, 매뉴얼/가이드라인 확인 등과 관련되고, 자산 관리(서비스)는 식별된 정보 자산을 등록 및 유지 관리하는 것과 관련될 수 있다. 또한 진단 관리(서비스)는 i) (구)ISMS 버전의 경우, 관리적, 물리적, 기술적 진단 관리를 제공하고, ii) ISMS 버전의 경우, 관리체계 수립 및 운영, 보호대책 요구사항, 기술적 진단 관리를 제공하고, iii) ISMS-P 버전의 경우, 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항, 기술적 진단 관리를 제공하는 것과 관련될 수 있다. 위험 관리(서비스)는 발견된 취약점에 대한 자동 위험 분석 및 관리를 제공하고, 증적 관리(서비스)는 ISMS 범위 내 보안 활동에 대한 문서화 및 유지 관리를 제공하고, 보안 감사(서비스)는 ISMS 심사 및 보안 감사 진행 시 심사원/감사자에게 제공하는 메뉴(필요한 메뉴 읽기 권한 부여)를 제공할 수 있다. 또한 본 발명에서 '증적'이라 함은 (감사를 위한) 증거 자료를 지칭할 수 있다.
또한 상기 웹 사이트 및/또는 어플리케이션(모바일 앱)은 분류별 상세 메뉴 및 접속자 현황, 라이선스 기간 표시 등과 같은 서브 메뉴를 출력할 수도 있다.
정보보호 인증서비스는 관리 서버(110)에 의해 생성되는 도 6의 자산 관리 그래프(및/또는 전체 자산 중 현재 진행된 진단 현황 표시), 도 7의 진단 관리 그래프(및/또는 현재 등록된 자산 현황 표시), 도 8의 위험 관리 그래프(및/또는 발견된 위험에 대한 우선순위 현황 표시), 및/또는 도 9의 증적 관리 그래프(및/또는 등록된 증적 목록에 대한 이행주기별 현황 표시)를 웹 사이트 및/또는 어플리케이션(모바일 앱)을 통하여 출력할 수 있다.
또한 본 발명에서 (정보)자산이라 함은 정보시스템, 정보보호시스템, 정보 등을 포함할 수 있으며, 정보 시스템은 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어를 일컬을 수 있다. 정보보호시스템은 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로서, 침입차단 시스템, 침입탐지 시스템, 침입방지 시스템, 개인정보유출방지 시스템 등을 포함할 수 있다. 정보는 문서적 정보 및/또는 전자적 정보를 포함할 수 있다. 또한 (정보)자산은 관리 체계, 보호 대책, 개인 정보, 서버 시스템, DBMS(DataBase Management System), 어플리케이션, 네트워크 장비, 보안 장비, PC 등을 포함할 수 있다.
또한 본 발명에서 취약점(vulnerability, vulnerable point)은 컴퓨터 정보 자산의 기밀성, 무결성 또는 가용성을 손상시키는 데 사용될 수 있는 약점을 일컬을 수 있으며, 취약점은 1) 공격자가 다른 사용자(예; 제1 사용자, 제2 사용자)로 위장하여 명령을 실행할 수 있는 상태, 2) 공격자가 특정 데이터에 대해 지정된 액세스 권한을 무시하고 해당 데이터에 액세스할 수 있는 상태, 3) 공격자가 다른 엔티티(entity)로 위장할 수 있는 상태, 4) 공격자가 서비스 거부 공격을 수행할 수 있는 상태일 수 있다.
도 10 내지 도 12은 본 발명의 일 실시예에 따라 출력되는 영역별 개선수준 그래프를 나타내는 도면이고(개선 전(yellow)/ 개선 후(blue) 표시), 도 13 내지 도 15는 본 발명의 일 실시예에 따라 출력되는 영역별 이행조치 현황 그래프를 나타내는 도면이다.
정보보호 인증서비스는 관리 서버(110)에 의해 생성되는 영역별 개선수준 그래프를 출력할 수 있다. 일 예로, 영역별 개선수준 그래프는 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다. 다른 예로, 영역별 개선수준 그래프는 i) 정책, 조직, 자산 관리, ii) 인적 보안, iii) 외부자 보안, iv) 물리 보안, v) 인증 및 권한 관리, vi) 접근통제, vii) 암호화 적용, viii) 개발 보안, ix) 운영관리, x) 보안관리, xi) 사고 예방 및 대응, xii) 재해복구 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다. 또 다른 예로, 영역별 개선수준 그래프는 개인정보 수집, 개인정보 보유 및 이용, 개인정보 제공, 개인정보 파기, 정보주체 권리보호 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다.
또한 정보보호 인증서비스는 관리 서버(110)에 의해 생성되는 영역별 이행조치 현황 그래프를 출력할 수 있다. 일 예로, 이행조치 현황 그래프는 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 다른 예로, 이행조치 현황 그래프는 i) 정책, 조직, 자산 관리, ii) 인적 보안, iii) 외부자 보안, iv) 물리 보안, v) 인증 및 권한 관리, vi) 접근통제, vii) 암호화 적용, viii) 개발 보안, ix) 운영관리, x) 보안관리, xi) 사고 예방 및 대응, xii) 재해복구 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 또 다른 예로, 이행조치 현황 그래프는 개인정보 수집, 개인정보 보유 및 이용, 개인정보 제공, 개인정보 파기, 정보주체 권리보호 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 여기서 조치율은 도 13 내지 도 15에 도시된 바와 같이 영역별로 평가되는 양호, 취약, 및/또는 미진단 사이의 비율에 기반하여 결정될 수 있다.
예를 들면, 도 10의 영역별 개선수준 그래프는 도 13의 영역별 이행조치 현황 그래프에 기반하여 생성되는 그래프일 수 있으며, 도 11의 영역별 개선수준 그래프는 도 14의 영역별 이행조치 현황 그래프에 기반하여 생성되는 그래프일 수 있으며, 도 12의 영역별 개선수준 그래프는 도 15의 영역별 이행조치 현황 그래프에 기반하여 생성되는 그래프일 수 있다.
그리고, 관리 서버(110)는 다음과 같은 자산가치 산출 방법을 통하여 자산가치를 산출한 결과를 출력할 수 있다.
Figure 112020034982181-pat00001
여기서 AV는 비즈니스 프로세스 기반의 자산 가치(business process based Asset Value)를 나타내고, QV는 정량적 가격에서 정성적 가치 환산값을 나타내고, W는 비즈니스-프로세스 기반의 자산 분류 요소 가중치(weight)를 나타낼 수 있다. 여기서 QV는 아래의 표 2에 기반하여 결정될 수 있다.
정성적 가치 정성적 자산가치 환산 기준
등급 환산값
매우 낮음 1 정량적 자산 가격이 $100 미만
낮음 2 정량적 자산 가격이 $100 내지 $300
중간 3 정량적 자산 가격이 $300 내지 $600
높음 4 정량적 자산 가격이 $600 내지 $1,000
매우 높음 5 정량적 자산 가격이 $1,000 이상
또한 W는 아래의 수학식 2에 기반하여 산출될 수 있다.
Figure 112020034982181-pat00002
예를 들면, w0 내지 wn 각각은 복수의 자산 분류 각각에 대한 가중치를 나타낼 수 있다. 일 예로, n은 2로 설정되고, w0은 하드웨어(디스크 및 서버)에 관한 가중치를 나타내고, w1은 소프트웨어(MS OFFICETM 및 메신저)에 관한 가중치를 나타내고, w2는 네트워크(router 및 LAN)에 관한 가중치일 수 있다. 다른 예로, n은 5로 설정되고, w0은 디스크(예; hard disk)에 관한 가중치를 나타내고, w1은 서버에 관한 가중치를 나타내고, w2는 오피스 소프트웨어(예; MS OFFICETM, 한글TM 등)에 관한 가중치를 나타내고, w3은 메신저(예; 사내 메신저, 카카오톡TM, 네이트온TM 등)에 관한 가중치를 나타내고, w4는 라우터에 관한 가중치를 나타내고, w5는 랜(LAN; Local Area Network)에 관한 가중치일 수 있다. 또한 w0 내지 wn은 관리 서버(110)에 의해 설정될 수 있다.
그리고 관리 서버(110)는 아래의 수학식 3에 기반하여 위험 평가를 수행할 수 있다.
Figure 112020034982181-pat00003
여기서, RV는 위험 수치(Risk Value)를 나타내고, AV는 자산 가치(Asset Value)를 나타내고, Tf는 위협 주기(Threat frequency)를 나타내고, Ed는 노출 정도(Exposure degree)를 나타내고, EDS는 보안 대응책 효과(Effectiveness Degree of Safeguard)를 나타낼 수 있다.
보안 대응책 효과 산출과 관련하여, 보안 대응책 구현 결과(Implementation Result)가 IR이고, 보안 정도(Protection Degree)가 PD인 경우, 보안대응책의 효과도는 100% 불가능하기 때문에 보안 대응책 효과는 아래의 수학식 4에 기반하여 산출될 수 있다.
Figure 112020034982181-pat00004
여기서 EDS는 보안 대응책 효과(Effectiveness Degree of Safeguard)를 나타내고, SIR은 보안 대응책 구현 결과를 나타내고, PD는 보안 정도(Protection Degree)를 나타낼 수 있다.
SIR (보안 대응책 구현 결과)는 아래의 표 3에 기재된 바와 같이 ISO/IEC 17799의 평가 방식을 따를 수 있다.
기준치 설명
0.0 위험과 대응책의 상관관계 없음
0.165 위험과 대응책은 간접적으로 관계가 있음
0.5 위험과 대응책은 직접적으로 관계가 있음
0.865 특정 위험을 대응책을 구현하였음
PD(Protection Degree)는 아래의 표 4에 기재된 바와 같이 ISO/IEC 17799의 평가 방식을 따를 수 있다.
기준치 설명
0.1 보안 대응책 없음
0.3 위험은 식별되었으나, 구체적인 대응책은 없고 간헐적으로 사회공학적 대응방법으로 대처함
0.5 보안 절차가 수립되었으며, 대응책을 구현해서 시험운영하기 시작함
0.7 보안 절차와 대응책을 운영함
0.9 실질적이고 구체적인 보안 대응책을 구현하여 운영함
관리 서버(110)는 아래의 수학식 5에 기반하여 최종 위험 평가를 산출할 수 있다.
Figure 112020034982181-pat00005
여기서, RV는 위험 수치(Risk Value)를 나타내고, AV는 자산 가치(Asset Value)를 나타내고, Tf는 위협 주기(Threat frequency)를 나타내고, Ed는 노출 정도(Exposure degree)를 나타내고, SIR은 보안 대응책 구현 결과를 나타내고(표 3 참조), PD는 보안 정도(Protection Degree)를 나타낼 수 있다(표 4 참조).
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 즉 본 발명의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은 본 발명의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한 상기 각각의 실시예는 필요에 따라 서로 조합되어 운용할 수 있다. 예컨대, 본 발명의 모든 실시예는 일부분들이 서로 조합되어 시스템(200), 관리 서버(110), 사용자 단말(120), 및/또는 관리 타겟 엔티티(130)에 의해 구현될 수 있다.
또한, 본 발명에 따른 시스템(200), 관리 서버(110), 사용자 단말(120), 및/또는 관리 타겟 엔티티(130)를 제어하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.
이와 같이, 본 발명의 다양한 실시예들은 특정 관점에서 컴퓨터 리드 가능 기록 매체(computer readable recording medium)에서 컴퓨터 리드 가능 코드(computer readable code)로서 구현될 수 있다. 컴퓨터 리드 가능 기록 매체는 컴퓨터 시스템에 의해 리드될 수 있는 데이터를 저장할 수 있는 임의의 데이터 저장 디바이스이다. 컴퓨터 리드 가능 기록 매체의 예들은 읽기 전용 메모리(read only memory: ROM)와, 랜덤-접속 메모리(random access memory: RAM)와, 컴팩트 디스크- 리드 온니 메모리(compact disk-read only memory: CD-ROM)들과, 마그네틱 테이프(magnetic tape)들과, 플로피 디스크(floppy disk)들과, 광 데이터 저장 디바이스들, 및 캐리어 웨이브(carrier wave)들(인터넷을 통한 데이터 송신 등)을 포함할 수 있다. 컴퓨터 리드 가능 기록 매체는 또한 네트워크 연결된 컴퓨터 시스템들을 통해 분산될 수 있고, 따라서 컴퓨터 리드 가능 코드는 분산 방식으로 저장 및 실행된다. 또한, 본 발명의 다양한 실시예들을 성취하기 위한 기능적 프로그램들, 코드, 및 코드 세그먼트(segment)들은 본 발명이 적용되는 분야에서 숙련된 프로그래머들에 의해 쉽게 해석될 수 있다.
또한 본 발명의 다양한 실시예들에 따른 장치 및 방법은 하드웨어, 소프트웨어 또는 하드웨어 및 소프트웨어의 조합의 형태로 실현 가능하다는 것을 알 수 있을 것이다. 이러한 소프트웨어는 예를 들어, 삭제 가능 또는 재기록 가능 여부와 상관없이, ROM 등의 저장 장치와 같은 휘발성 또는 비휘발성 저장 장치, 또는 예를 들어, RAM, 메모리 칩, 장치 또는 집적 회로와 같은 메모리, 또는 예를 들어 콤팩트 디스크(compact disk: CD), DVD, 자기 디스크 또는 자기 테이프 등과 같은 광학 또는 자기적으로 기록 가능함과 동시에 기계(예를 들어, 컴퓨터)로 읽을 수 있는 저장 매체에 저장될 수 있다. 본 발명의 다양한 실시예들에 따른 방법은 제어부(제어 모듈(210, 250)) 및 메모리를 포함하는 컴퓨터 또는 휴대 단말에 의해 구현될 수 있고, 이러한 메모리는 본 발명의 실시예들을 구현하는 명령들을 포함하는 프로그램 또는 프로그램들을 저장하기에 적합한 기계로 읽을 수 있는 저장 매체의 한 예임을 알 수 있을 것이다.
따라서, 본 발명은 본 명세서의 청구항에 기재된 장치 또는 방법을 구현하기 위한 코드를 포함하는 프로그램 및 이러한 프로그램을 저장하는 기계(컴퓨터 등)로 읽을 수 있는 저장 매체를 포함한다. 또한, 이러한 프로그램은 유선 또는 무선 연결을 통해 전달되는 통신 신호와 같은 임의의 매체를 통해 전자적으로 이송될 수 있고, 본 발명은 이와 균등한 것을 적절하게 포함한다.
본 명세서와 도면에 개시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고, 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 또한 앞서 설명된 본 발명에 따른 실시예들은 예시적인 것에 불과하며, 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 다음의 특허청구범위에 의해서 정해져야 할 것이다.
삭제

Claims (5)

  1. 타겟 엔티티(target entity)의 취약점을 자동으로 진단 분석하기 위한 관리 서버(management server)에 있어서,
    상기 타겟 엔티티와 신호를 송수신하는 통신 모듈; 및
    상기 통신 모듈을 제어하고, 제1 사용자의 제1 정보를 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 수신하고, 상기 제1 정보 및 상기 제2 정보에 기반하여 취약점에 대한 정보를 생성하여 출력하는 제어 모듈; 을 포함하고,
    상기 제어 모듈은,
    하드웨어 측면의 제1 질문 정보, 소프트웨어 측면의 제2 질문 정보, 네트워크 측면의 제3 질문 정보, 직원 측면의 제4 질문 정보, 위치 측면의 제5 질문 정보 및 관리 기관 측면의 제6 질문 정보를 생성하여 상기 제1 사용자의 사용자 단말에게 전달하고,
    상기 제1 질문 정보에 대한 상기 제1 사용자의 제1 응답 정보, 상기 제2 질문 정보에 대한 상기 제1 사용자의 제2 응답 정보, 상기 제3 질문 정보에 대한 상기 제1 사용자의 제3 응답 정보, 상기 제4 질문 정보에 대한 상기 제1 사용자의 제4 응답 정보, 상기 제5 질문 정보에 대한 상기 제1 사용자의 제5 응답 정보 및 상기 제6 질문 정보에 대한 상기 제1 사용자의 제6 응답 정보를 상기 사용자 단말로부터 수신하되, 상기 제2 정보는 상기 제1 응답 정보 내지 상기 제6 응답 정보를 포함하고,
    상기 제1 응답 정보에 기반하여 제1 취약점 정보를 생성하고, 상기 제2 응답 정보에 기반하여 제2 취약점 정보를 생성하고, 상기 제3 응답 정보에 기반하여 제3 취약점 정보를 생성하고, 상기 제4 응답 정보에 기반하여 제4 취약점 정보를 생성하고, 상기 제5 응답 정보에 기반하여 제5 취약점 정보를 생성하고, 상기 제6 응답 정보에 기반하여 제6 취약점 정보를 생성하되, 상기 취약점에 대한 정보는 상기 제1 취약점 정보 내지 상기 제6 취약점 정보를 포함하고,
    상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 대한 평가 수치를 평가하되, 상기 평가 수치는 1 내지 10 중 어느 하나로 표현되고,
    상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 대한 평가 수치 중에서 가장 낮은 평가 수치를 식별하고,
    상기 가장 낮은 평가 수치에 상응하는 상기 하드웨어 측면, 상기 소프트웨어 측면, 상기 네트워크 측면, 상기 직원 측면, 상기 위치 측면 또는 상기 관리 기관 측면 중 어느 하나를 최대 취약 부문으로 설정하고,
    가장 낮은 평가 수치와 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 진단 분석 정보를 생성하되, 상기 진단 분석 정보는 상기 최대 취약 부문에 대한 조치와 상기 조치에 필요한 최소 시간을 나타내는 정보를 포함하고,
    제1 서비스는, 정보보호 인증서비스에 대한 전문 컨설턴트가 상기 제1 사용자의 사용자 단말을 원격 제어하는 서비스를 포함하고, 상기 소프트웨어 측면에 관한 서비스이고,
    제2 서비스는 상기 정보보호 인증서비스에 대한 전문 컨설턴트에게 상기 제1 사용자의 근무지에 출장을 요청하는 과정을 포함하고,
    제3 서비스는, 상기 정보보호 인증서비스에 대한 전문 컨설턴트에게 상기 제1 사용자의 근무지에 출장을 요청하는 과정을 포함하되, 상기 제1 사용자에게 소정의 기간 이내에 제공되는 서비스이고,
    상기 제어 모듈은,
    상기 제1 사용자가 신청한 제1 인증 심사의 심사일자를 나타내는 제1 시점을 식별하고,
    현재 시점으로부터 상기 제1 시점까지 남은 기간이 상기 조치에 필요한 최소 시간보다 긴 경우, 상기 진단 분석 정보를 상기 사용자 단말을 통하여 출력(output)되도록 제어하고,
    상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 상기 조치에 필요한 최소 시간 이하인 경우, 상기 제1 서비스 내지 상기 제3 서비스에 대한 정보와 상기 조치에 필요한 최소 시간보다 긴 여유 기간을 갖는 제2 인증 심사를 제안하는 정보를 생성하여 상기 사용자 단말을 통하여 출력되도록 제어하고,
    상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제1 기간 임계치보다 낮고, 상기 소프트웨어 측면의 제2 취약점 정보에 상응하는 평가 수치가 제1 수치 임계치보다 낮은 경우에 상기 제1 서비스를 제공하도록 제어하고,
    상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제2 기간 임계치보다 낮고, 상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 상응하는 평가 수치 중 어느 하나가 제2 수치 임계치보다 낮은 경우에 상기 제2 서비스를 제공하도록 제어하고,
    상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제3 기간 임계치보다 낮고, 상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 상응하는 평가 수치 중 어느 하나가 제3 수치 임계치보다 낮은 경우에 상기 제3 서비스를 제공하도록 제어하는 것을 특징으로 하고,
    상기 제3 기간 임계치는 상기 제2 기간 임계치보다 낮은 기간을 나타내고, 상기 제2 기간 임계치는 상기 제1 기간 임계치보다 낮은 기간을 나타내고,
    상기 제3 수치 임계치는 상기 제2 수치 임계치보다 낮은 수치를 나타내고, 상기 제2 수치 임계치는 상기 제1 수치 임계치보다 낮은 수치를 나타내는,
    관리 서버.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 제어 모듈은 상기 사용자 단말에서 실행되는 모바일앱을 운용하되, 상기 모바일앱은 상기 정보보호 인증서비스에 관한 것이고,
    상기 정보보호 인증서비스는 인증 컨설팅, 보안 제품 개발, 연간 서비스, 개인 정보보호, 시스템 진단, 모의 해킹, 소스 코드 진단, 정보보호 교육, 및 정보보호 훈련에 대한 서비스를 포함하고,
    상기 제1 정보는 상기 제1 사용자의 개인 정보를 포함하고,
    상기 개인 정보는 이름, 식별자, 비밀번호, 이메일 주소 및 상기 관리 서버에 의해 생성되는 리워드를 나타내는 정보를 포함하고,
    상기 제어 모듈은 상기 개인 정보에 기반하여 본인 인증 프로세스를 진행하도록 제어하는,
    관리 서버.
  4. 삭제
  5. 삭제
KR1020200040865A 2020-04-03 2020-04-03 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템 KR102127656B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200040865A KR102127656B1 (ko) 2020-04-03 2020-04-03 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200040865A KR102127656B1 (ko) 2020-04-03 2020-04-03 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템

Publications (1)

Publication Number Publication Date
KR102127656B1 true KR102127656B1 (ko) 2020-06-30

Family

ID=71121202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200040865A KR102127656B1 (ko) 2020-04-03 2020-04-03 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템

Country Status (1)

Country Link
KR (1) KR102127656B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102230438B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 대시보드를 활용한 취약 자산 실시간 점검 시스템 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101664830B1 (ko) 2014-07-22 2016-10-13 주식회사지란지교에스앤씨 규정 관리 시스템 및 방법
KR20180033953A (ko) * 2016-09-27 2018-04-04 박원민 웹 기반의 sso 서비스 방법
KR20200011702A (ko) * 2018-07-25 2020-02-04 주식회사 케이티 보안관제체계 진단장치 및 보안관제체계 진단방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101664830B1 (ko) 2014-07-22 2016-10-13 주식회사지란지교에스앤씨 규정 관리 시스템 및 방법
KR20180033953A (ko) * 2016-09-27 2018-04-04 박원민 웹 기반의 sso 서비스 방법
KR20200011702A (ko) * 2018-07-25 2020-02-04 주식회사 케이티 보안관제체계 진단장치 및 보안관제체계 진단방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102230438B1 (ko) * 2020-12-14 2021-03-22 주식회사 이글루시큐리티 대시보드를 활용한 취약 자산 실시간 점검 시스템 및 방법

Similar Documents

Publication Publication Date Title
US10021138B2 (en) Policy/rule engine, multi-compliance framework and risk remediation
Susanto et al. Information security management systems: a novel framework and software as a tool for compliance with information security standard
Swanson Security self-assessment guide for information technology systems
Macher et al. ISO/SAE DIS 21434 automotive cybersecurity standard-in a nutshell
US10019677B2 (en) Active policy enforcement
US8769412B2 (en) Method and apparatus for risk visualization and remediation
Trivedi et al. Virtual employee monitoring: A review on tools, opportunities, challenges, and decision factors
CN117769706A (zh) 在网络中自动检测和解析网络安全的网络风险治理系统及方法
KR102122702B1 (ko) 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템
Kohnke et al. Implementing cybersecurity: A guide to the national institute of standards and technology risk management framework
KR102127656B1 (ko) 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템
Pfleeger et al. Cybersecurity economic issues: Clearing the path to good practice
KR102232883B1 (ko) 정보보호 관리체계 인증을 위한 인공지능 시스템
Sigler et al. Securing an IT organization through governance, risk management, and audit
KR102233695B1 (ko) 정보보호 위험분석을 수행하는 정보통신 시스템
KR102233694B1 (ko) 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템
KR102233698B1 (ko) 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템
KR102164203B1 (ko) 정보보호 위험분석 자동화 시스템 및 그 동작 방법
Braithwaite Securing e-business systems: A guide for managers and executives
Presley Effective Cybersecurity Risk Management in Projects
Asfaw Cyber Security Auditing Framework (CSAF) For Banking Sector in Ethiopia
Nikitin Achieving privacy and iso 27001 standard
Morello Towards standardization of audit procedures for the new version of ISO/IEC 27002
Grobler A Model to assess the Information Security status of an organization with special reference to the Policy Dimension
Bayuk Stepping Through the InfoSec Program

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant