KR102159292B1 - 미식별자산 인식시스템 및 그 방법 - Google Patents

미식별자산 인식시스템 및 그 방법 Download PDF

Info

Publication number
KR102159292B1
KR102159292B1 KR1020200035434A KR20200035434A KR102159292B1 KR 102159292 B1 KR102159292 B1 KR 102159292B1 KR 1020200035434 A KR1020200035434 A KR 1020200035434A KR 20200035434 A KR20200035434 A KR 20200035434A KR 102159292 B1 KR102159292 B1 KR 102159292B1
Authority
KR
South Korea
Prior art keywords
asset
unidentified
diagnosis
information
module
Prior art date
Application number
KR1020200035434A
Other languages
English (en)
Inventor
신진이
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020200035434A priority Critical patent/KR102159292B1/ko
Application granted granted Critical
Publication of KR102159292B1 publication Critical patent/KR102159292B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

본 발명은 미식별자산 인식시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 보안관리자가 관리해야 하는 자산의 양이 방대해짐에 따라 보안관리자가 등록하지 않거나 인지하지 못한 자산이 있는 경우, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 미식별자산이 보안취약점 진단대상이 되는지 확인하는 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하고 미식별자산이 보안취약점 진단대상인 경우 등록자산으로 분류하는 결과처리부를 포함함으로써 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식시스템 및 그 방법에 관한 것이다.

Description

미식별자산 인식시스템 및 그 방법{Unidentified Asset Recognition System and Its Method}
본 발명은 미식별자산 인식시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 보안관리자가 관리해야 하는 자산의 양이 방대해짐에 따라 보안관리자가 등록하지 않거나 인지하지 못한 자산이 있는 경우, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 미식별자산이 보안취약점 진단대상이 되는지 확인하는 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하고 미식별자산이 보안취약점 진단대상인 경우 등록자산으로 분류하는 결과처리부를 포함함으로써 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식시스템 및 그 방법에 관한 것이다.
정보자산 내의 정보의 중요성과 정보의 양이 커짐에 따라, 네트워크 상 보안의 중요성 역시 대두되었다. 정보자산의 보안을 위하여 통합보안관리시스템, 위협관리시스템, 방화벽 등의 보안장비 및 보안시스템이 사용되고 있다. 현재 지속적이고 가변성인 사이버 침해 시도 증가에 따라 많은 양의 보안이벤트가 발생하고 있으며 변화하는 공격에 대한 효율적인 대응이 필요한 상황이다.
보안 취약점 진단이란 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협이나 진단대상자산에서 관리하는 중요 데이터의 유출, 변조, 삭제에 대한 위협이 발생할 수 있는 사항들에 대하여 점검하는 것으로, 진단대상자산에 보안취약점이 존재하고 있는지에 대한 점검 작업을 수행한 후 진단대상자산의 보안수준을 분석하는 것을 지칭한다.
정보자산의 양이 방대해짐에 따라 보안관리자가 관리하는 진단대상자산이 많아지거나, 진단대상자산의 도입 시기가 오래 되었거나, 진단대상자산의 보안관리자가 변경 되는 경우 모든 진단대상자산의 자산정보를 정확히 알고 있기 어렵고, 정확히 확인을 하기 위해서는 모든 시스템에 직접 접속해서 확인해야만 하는 번거로움이 있었다. 이에 따라 네트워크에 연결된 자산에 누락이 발생한다.
최근, 웹 서버를 통한 네트워크 서비스에 대하여 사전조사, 포트 조사, 취약점 찾기, 위협 실행의 절차를 수행함으로써 네트워크의 특정 포트를 통해 접속을 시도하고, 웹 서버에 침투하여 해킹 등의 공격을 시도하는 문제가 발생하고 있다. 이러한 네트워크 서비스를 보호하는데 있어서 선행되어야 하는 것은 네트워크에 연결된 자산을 사전이 미리 파악하고 취약점을 진단하는 것이다.
도 1은 종래의 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치에 대한 도면으로, 비인가된 새로운 장치의 접근을 인지하는 것에 있어서 보안관리자가 직접 신뢰점수 값을 설정해야 하며, 그 기준을 잡는데 어려움이 있었다. 또한, 신뢰점수 값을 기준으로 장치의 인식여부를 확인하여 오탐지 보고 정보만을 관리할 뿐, 해당 장치의 취약점을 판단하고 조치를 취할수 있지 않아 자산을 효율적으로 확용하지 못하여 단순한 인식장치에만 불과하다는 문제가 있다.
따라서, 네트워크에 연결된 자산을 파악할 수 있도록 데이터베이스에 등록된 자산과 등록되지 않은 미식별자산을 구분하고, 미식별자산이 보호가치가 있는 보안네트워크 내부의 진단대상자산인지 분류한 후 미식별자산에 대해 보안취약점 진단을 실시할 수 있는 시스템이 요구되고 있는 실정이다.
한국공개특허공보 제10-2013-0110385호(2013.09.13.)
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,
본 발명의 목적은, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 보안 취약점 점검 대상이 되는 타겟시스템에 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 타겟시스템의 정보를 추출하고 타겟시스템을 분류하는 결과처리부를 포함하여 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 인식부는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지모듈과, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링모듈 및 필터링 결과로부터 미식별자산을 특정하는 미식별 인식모듈을 포함하여 네트워크에 연결된 정보자산 중 기등록되지 않은 자산을 탐색할 수 있는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 노드 탐지모듈은 포트스캔을 통해 네트워크에 연결된 타겟시스템을 탐지하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 필터링모듈은 상기 노드 탐지모듈에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산을 비교하고, 상기 미식별 인식모듈은 등록자산이 아닌 타겟시스템을 미식별자산으로 인식하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 필터링모듈은 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 결과처리부는 상기 미식별자산으로부터 수신한 리턴값을 파싱하는 파싱모듈과, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출모듈을 포함하여 미식별자산의 IP, HOSTNAME, OS 등의 자산정보를 파악할 수 있는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 결과처리부는 상기 미식별자산을 진단대상인지 여부에 따라 분류하고 등록하는 등록모듈을 더 포함하되, 상기 등록모듈은 상기 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 결과처리부는 파싱모듈에서 파싱된 파싱정보를 분석하여 미식별자산의 진단관련정보를 추출하는 제2결과추출모듈과 추출된 진단관련정보로부터 미식별자산의 보안취약점을 진단하는 취약점 진단모듈을 포함하여 보안취약점 진단대상으로 분류된 미식별자산에 대해 보안취약점 진단을 실시하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 상기 통신부는 미식별자산에 설정된 접근방법을 통해 접속하는 접속모듈, 명령을 전송하여 상기 미식별자산에서 명령을 수행하도록 하는 명령전송모듈 및 상기 미식별자산으로부터의 리턴값을 수신하는 결과수신모듈을 포함하되, 상기 명령전송모듈은 상기 미식별자산이 보안취약점 진단대상인지 확인하도록 상기 미식별자산의 자산정보를 수집하는 명령과 보안취약점 진단대상으로 등록된 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 미식별자산 인식시스템을 제공하는 것이다.
본 발명의 목적은, 미식별자산을 인식하는 인식단계, 상기 미식별자산에 자산정보 수집을 위한 명령을 전송하고 리턴값을 수신하는 제1통신단계 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하는 진단대상 분류단계를 포함하여 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식방법을 제공하는 것이다.
본 발명의 목적은, 상기 인식단계는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지단계와, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링단계 및 필터링 결과로부터 미식별자산을 특정하는 미식별자산 인식단계를 포함하여 네트워크에 연결된 정보자산 중 기등록되지 않은 자산을 탐색할 수 있는 미식별자산 인식방법을 제공하는 것이다.
본 발명의 목적은, 상기 진단대상 분류단계는 상기 미식별자산으로부터 수신한 자산정보 수집 명령에 대한 리턴값을 파싱하는 제1파싱단계와, 상기 제1파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출단계를 포함하여 미식별자산의 자산정보에 따라 미식별자산을 진단대상자산과 미진단자산으로 구분하는 미식별자산 인식방법을 제공하는 것이다.
본 발명의 목적은, 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 제2통신단계와 미식별자산에서 전송된 결과값으로부터 진단관련정보를 추출하여 보안취약점 진단을 실시하는 진단수행단계를 더 포함하며, 상기 제2통신단계는 보안취약점 진단대상으로 등록된 진단대상자산에 대해서 보안취약점 진단을 위한 명령을 전송하는 미식별자산 인식방법을 제공하는 것이다.
본 발명의 목적은, 상기 진단수행단계는 진단을 위한 명령에 대한 리턴값을 제2파싱단계, 상기 제2파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 진단관련정보를 추출하는 제2결과추출단계 및 추출된 진단관련정보를 통해 진단대상인 미식별자산의 보안취약점을 진단하는 취약점 진단단계를 포함하여 보안취약점 진단대상으로 분류된 진단대상자산의 진단관련정보를 추출함으로써 보안취약점 진단을 실시하는 미식별자산 인식방법을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명은, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 상기 미식별자산에 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하고 보안취약점 진단을 실시하는 결과처리부를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 인식부는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지모듈과, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링모듈 및 필터링 결과로부터 미식별자산을 특정하는 미식별 인식모듈을 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 노드 탐지모듈은 포트스캔을 통해 네트워크에 연결된 타겟시스템을 탐지하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 필터링모듈은 상기 노드 탐지모듈에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산을 비교하고, 상기 미식별 인식모듈은 등록자산이 아닌 타겟시스템을 미식별자산으로 인식하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 필터링모듈은 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 결과처리부는 상기 미식별자산으로부터 수신한 리턴값을 파싱하는 파싱모듈과, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출모듈을 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 결과처리부는 상기 미식별자산을 진단대상인지 여부에 따라 분류하고 등록하는 등록모듈을 더 포함하되, 상기 등록모듈은 상기 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 결과처리부는 파싱모듈에서 파싱된 파싱정보를 분석하여 미식별자산의 진단관련정보를 추출하는 제2결과추출모듈과 추출된 진단관련정보로부터 미식별자산의 보안취약점을 진단하는 취약점 진단모듈을 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 통신부는 미식별자산에 설정된 접근방법을 통해 접속하는 접속모듈, 명령을 전송하여 상기 미식별자산에서 명령을 수행하도록 하는 명령전송모듈 및 상기 미식별자산으로부터의 리턴값을 수신하는 결과수신모듈을 포함하되, 상기 명령전송모듈은 상기 미식별자산이 보안취약점 진단대상인지 확인하도록 상기 미식별자산의 자산정보를 수집하는 명령과 보안취약점 진단대상으로 등록된 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식단계, 상기 미식별자산에 자산정보 수집을 위한 명령을 전송하고 리턴값을 수신하는 제1통신단계 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하는 진단대상 분류단계를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 인식단계는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지단계와, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링단계 및 필터링 결과로부터 미식별자산을 특정하는 미식별자산 인식단계를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 진단대상 분류단계는 상기 미식별자산으로부터 수신한 자산정보 수집 명령에 대한 리턴값을 파싱하는 제1파싱단계와, 상기 제1파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출단계를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 미식별자산 인식방법은 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 제2통신단계와 미식별자산에서 전송된 결과값으로부터 진단관련정보를 추출하여 보안취약점 진단을 실시하는 진단수행단계를 더 포함하며, 상기 제2통신단계는 보안취약점 진단대상으로 등록된 진단대상자산에 대해서 보안취약점 진단을 위한 명령을 전송하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 진단수행단계는 진단을 위한 명령에 대한 리턴값을 제2파싱단계, 상기 제2파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 진단관련정보를 추출하는 제2결과추출단계 및 추출된 진단관련정보를 통해 진단대상인 미식별자산의 보안취약점을 진단하는 취약점 진단단계를 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은, 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 보안 취약점 점검 대상이 되는 타겟시스템에 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 타겟시스템의 정보를 추출하고 타겟시스템을 분류하는 결과처리부를 포함하여 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식시스템을 제공하는 효과를 가진다.
본 발명은, 상기 인식부는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지모듈과, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링모듈 및 필터링 결과로부터 미식별자산을 특정하는 미식별 인식모듈을 포함하여 네트워크에 연결된 정보자산 중 기등록되지 않은 자산을 탐색할 수 있는 미식별자산 인식시스템을 제공하는 효과가 있다.
본 발명은, 상기 노드 탐지모듈은 포트스캔을 통해 네트워크에 연결된 타겟시스템을 탐지하는 효과를 수반한다.
본 발명은, 상기 필터링모듈은 상기 노드 탐지모듈에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산을 비교하고, 상기 미식별 인식모듈은 등록자산이 아닌 타겟시스템을 미식별자산으로 인식하는 미식별자산 인식시스템을 제공하는 효과를 제공한다.
본 발명은, 상기 필터링모듈은 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교하는 미식별자산 인식시스템을 제공하는 효과를 가진다.
본 발명은, 상기 결과처리부는 상기 미식별자산으로부터 수신한 리턴값을 파싱하는 파싱모듈과, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출모듈을 포함하여 미식별자산의 IP, HOSTNAME, OS 등의 자산정보를 파악할 수 있는 미식별자산 인식시스템을 제공하는 효과를 도출한다.
본 발명은, 상기 결과처리부는 상기 미식별자산을 진단대상인지 여부에 따라 분류하고 등록하는 등록모듈을 더 포함하되, 상기 등록모듈은 상기 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하는 효과를 발생시킨다.
본 발명은, 상기 결과처리부는 파싱모듈에서 파싱된 파싱정보를 분석하여 미식별자산의 진단관련정보를 추출하는 제2결과추출모듈과 추출된 진단관련정보로부터 미식별자산의 보안취약점을 진단하는 취약점 진단모듈을 포함하여 보안취약점 진단대상으로 분류된 미식별자산에 대해 보안취약점 진단을 실시하는 효과를 가진다.
본 발명은, 상기 통신부는 미식별자산에 설정된 접근방법을 통해 접속하는 접속모듈, 명령을 전송하여 상기 미식별자산에서 명령을 수행하도록 하는 명령전송모듈 및 상기 미식별자산으로부터의 리턴값을 수신하는 결과수신모듈을 포함하되, 상기 명령전송모듈은 상기 미식별자산이 보안취약점 진단대상인지 확인하도록 상기 미식별자산의 자산정보를 수집하는 명령과 보안취약점 진단대상으로 등록된 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 효과가 있다.
본 발명은, 미식별자산을 인식하는 인식단계, 상기 미식별자산에 자산정보 수집을 위한 명령을 전송하고 리턴값을 수신하는 제1통신단계 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하는 진단대상 분류단계를 포함하여 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키는 미식별자산 인식방법을 제공하는 효과를 수반한다.
본 발명은, 상기 인식단계는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지단계와, 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분하는 필터링단계 및 필터링 결과로부터 미식별자산을 특정하는 미식별자산 인식단계를 포함하여 네트워크에 연결된 정보자산 중 기등록되지 않은 자산을 탐색할 수 있는 미식별자산 인식방법을 제공하는 효과를 도출한다.
본 발명은, 상기 진단대상 분류단계는 상기 미식별자산으로부터 수신한 자산정보 수집 명령에 대한 리턴값을 파싱하는 제1파싱단계와, 상기 제1파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출단계를 포함하여 미식별자산의 자산정보에 따라 미식별자산을 진단대상자산과 미진단자산으로 구분하는 효과를 제공한다.
본 발명은, 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 제2통신단계와 미식별자산에서 전송된 결과값으로부터 진단관련정보를 추출하여 보안취약점 진단을 실시하는 진단수행단계를 더 포함하며, 상기 제2통신단계는 보안취약점 진단대상으로 등록된 진단대상자산에 대해서 보안취약점 진단을 위한 명령을 전송할 수 있다.
본 발명은, 상기 진단수행단계는 진단을 위한 명령에 대한 리턴값을 제2파싱단계, 상기 제2파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 진단관련정보를 추출하는 제2결과추출단계 및 추출된 진단관련정보를 통해 진단대상인 미식별자산의 보안취약점을 진단하는 취약점 진단단계를 포함하여 보안취약점 진단대상으로 분류된 진단대상자산의 진단관련정보를 추출함으로써 보안취약점 진단을 실시하는 미식별자산 인식방법을 제공하는 효과가 있다.
본 발명은, 효과가 있다.
본 발명은, 효과가 있다.
본 발명은, 효과가 있다.
도 1은 종래의 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치에 대한 도면
도 2는 본 발명의 바람직한 일 실시예에 따른 미식별자산 인식시스템(1)의 블록도
도 3은 본 발명에 따른 인식부(10)의 블록도
도 4는 본 발명의 일 실시예에 따른 통신부(30)의 블록도
도 5는 본 발명의 일 실시예에 따라 명령전송모듈(33)에서 미식별자산의 자산정보를 수집하는 명령에 전송하고, 결과수신모듈(35)이 상기 미식별자산의 자산정보를 포함한 리턴값을 수신한 경우 상기 리턴값에 해당하는 결과파일의 도면
도 6은 본 발명의 일 실시예에 따른 결과처리부(50)의 블록도
도 7은 통신부와 결과처리부 및 미식별자산 사이에서 자산정보와 진단관련정보를 수집하는 명령이 수행되고 이에 따른 리턴값이 처리되는 것을 도시한 도면
도 8은 본 발명의 일 실시예에 따른 미식별자산 인식방법(S)의 순서도
도 9는 도 8의 각 단계에서의 세부 구성을 도시한 흐름도
이하에서는 본 발명에 따른 미식별자산 인식시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니고, 다른 구성요소 또한 더 포함할 수 있는 것을 의미하며, 명세서에 기재된 "~부","~모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하고, 이는 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 미식별자산 인식시스템(1)의 블록도이다. 도 2를 참고하면, 미식별자산 인식시스템(1)은 보안관리자가 관리해야 하는 자산의 양이 방대해짐에 따라 보안관리자가 등록하지 않거나 인지하지 못한 자산이 있는 경우, 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키도록 한다. 상기 미식별자산 인식시스템(1)은 인식부(10), 통신부(30) 및 결과처리부(50)를 포함하고, 데이터베이스(DB, 70)를 더 포함할 수 있다.
도 3은 본 발명에 따른 인식부(10)의 블록도이다. 도 3을 참고하면, 상기 인식부(10)는 네트워크에 등록되지 않은 미식별자산을 인식할 수 있도록 구비된다. 매니저 서버에 해당하는 미식별자산 인식시스템(1)이 관장하는 타겟시스템(T)이 많아짐에 따라 시스템 관리자가 타겟시스템의 정보를 알 수 없거나 타겟시스템이 보안 취약점 점검에 필요한 데이터베이스에 등록되지 않아 네트워크에 포함된 자산으로 인식되지 않을 수 있다. 상기 인식부(10)는 데이터베이스(70)에 포함되지 않았으나 네트워크에 연결된 자산을 인식함으로써 식별되지 않은 미식별자산을 인식하도록 구비된다. 상기 인식부(10)는 노드 탐지모듈(11), 필터링모듈(13) 및 미식별 인식모듈(15)을 포함한다.
상기 노드 탐지모듈(11)은 네트워크에서 연결된 타겟시스템을 스캔하도록 구비될 수 있다. 네트워크 연결은 포트를 통해 수행되므로, 본 발명의 바람직한 일 실시예에 있어서는 상기 노드 탐지모듈(11)이 포트스캔 방식으로 네트워크에 연결된 시스템을 탐지하도록 구비될 수 있다. 포트스캔이란 운영 중인 서버에서 열려 있는 TCP/UDP 포트를 검색하는 것을 의미하므로, 표 1과 같이 미식별자산 인식시스템(1)에서 포트스캔 명령을 전송하면 타겟시스템(T)에서 리턴값을 얻을 수 있다. 이와 같은 방식으로 네트워크에 연결된 타겟시스템 및 타겟시스템이 연결된 포트를 탐지할 수 있으며, 상술한 것 외에 다른 네트워크 연결을 탐지하는 방법이 쓰일 수 있고, Nmap 등의 오픈소스가 활용될 수도 있다.
포트스캔 명령 리턴값
portscan 192.168.0.1-100 . 192.168.0.1 - 22,23,24,25,80,8080,10443
. 192.168.0.2 - 22,23,24,25,55
....
. 192.168.0.100 - 80
상기 필터링모듈(13)은 데이터베이스(70)에 저장된 자산에 대한 정보와 탐지된 타겟시스템을 비교하도록 구비될 수 있다. 데이터베이스에는 보안 취약점 점검을 위해서 네트워크에 연결된 타겟시스템(T)의 정보가 등록되는데, 등록된 타겟시스템의 정보와 상기 노드 탐지모듈(11)에서 탐지된 시스템의 정보를 비교하게 된다. 본 발명의 바람직한 일 실시예에서는 자산 비교모듈(13)은 상기 노드 탐지모듈(11)에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산의 IP주소 또는 Port 넘버를 비교하도록 구비될 수 있으며, 바람직하게는 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교한다.
상기 미식별 인식모듈(15)은 비교결과로부터 미식별자산을 특정하도록 구비될 수 있다. 상기 자산 비교모듈(13)에서 수행한 비교결과에 따라 데이터베이스(70)에 등록되지 않은 시스템을 미식별자산으로 인식하는데, 데이터베이스(70)에 저장된 자산을 등록자산이라 정의하면 등록자산이 아닌 데이터베이스에 저장되지 않은 타겟시스템을 미식별자산으로 인식한다. 본 발명의 바람직한 일 실시예에 따르면, 필터링모듈(13)에서 포트를 비교할 시, 데이터베이스에 등록되지 않은 포트 넘버는 등록자산이 연결된 포트가 아니므로 해당 포트를 통해 연결된 타겟시스템을 미식별자산으로 정의한다.
도 4는 본 발명의 일 실시예에 따른 통신부(30)의 블록도이다. 도 4를 참고하면, 상기 통신부(30)는 미식별자산에 명령을 전송하고 리턴값을 수신하도록 구비된다. 타겟시스템(T)이 명령을 수행하고 리턴값을 도출하도록 하게 되며, 명령은 타겟시스템에 전송되는 명령어, 프로그램, 스크립트를 포함한다. 통신부(30)에서 명령어, 프로그램 또는 스크립트를 전송하고 미식별자산으로 인식된 타겟시스템(T)의 응답인 리턴값을 수신함에 따라 후술하는 결과처리부(50)에서 타겟시스템(T)을 분석하고 분류할 수 있다. 상기 통신부(30)는 접속모듈(31), 명령전송모듈(33), 결과수신모듈(35)을 포함한다.
상기 접속모듈(31)은 상기 타겟시스템에 설정된 접근방법을 통해 접속할 수 있도록 구비된다. 점검 대상 시스템에 해당하는 타겟시스템에 대한 IP 주소와 접근방법(Telnet, SSH 등), 접근 권한(ID, Password)이 지정되어 있는 경우 지정된 방법을 통해 접속할 수 있으며, 접근방법이나 접근 권한이 지정되어 있지 아니하는 경우에는 소정의 방식을 통해 접속방법을 탐지하여 접속을 시도할 수 있다. 여기서 소정의 방식이란 데이터베이스 상에서 유사한 IP주소 또는 Hostname 등 인식가능한 레이블을 통해 접근방법과 접근권한을 탐색하는 것으로, 적어도 하나 이상의 타겟시스템(T)에 대한 데이터에서 접근방법과 접근권한을 추출하여 접속을 시도할 수 있다.
도 5는 본 발명의 바람직한 일 실시예에 따라 명령전송모듈(33)에서 미식별자산의 자산정보를 수집하는 명령에 전송하고, 결과수신모듈(35)이 상기 미식별자산의 자산정보를 포함한 리턴값을 수신한 경우 상기 리턴값에 해당하는 결과파일의 도면이다. 도 5를 참고하면, 상기 명령전송모듈(33)은 명령어나 스크립트 또는 프로그램을 전송하여 상기 타겟시스템에서 명령을 수행하도록 한다. 상기 명령전송모듈(33)에서는 미식별자산의 자산정보를 수집하는 명령과, 보안취약점 진단을 위한 명령이 전송될 수 있다. 특히 보안취약점 진단을 위한 명령은 후술하는 바와 같이 보안취약점 진단대상으로 등록된 미식별자산에 대해서만 전송되며, 미식별자산에서 수행될 때 미식별자산의 진단관련정보를 수집하게 된다.
자산정보는 도 5에서 볼 수 있는 바와 같이 자산정보 수집을 위한 명령에 의해 수집되는 정보이다. 미식별자산의 소프트웨어, 하드웨어나 아키텍쳐에 대한 정보가 이에 해당되며, 바람직하게는 미식별자산의 HOSTNAME, OS 정보, IP/NETWORK 정보, WEB/WAS/DB 등위 프로세스 정보, PORT 정보가 수집될 수 있다. 이를 통해 후술하는 결과처리부(50)에서 미식별자산을 보안취약점 진단 대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하게 된다.
진단관련정보란 타겟시스템(T)의 보안취약점의 진단을 위해서 수집하게 되는 정보이다. 시스템의 운영체제(OS)나 소프트웨어, 네트워크 등에는 외부로부터의 사이버 공격의 기반이 되는 취약점이 존재하게 되는데, 시스템의 경우 시스템에 접근권한을 제어하는 계정 및 패스워드, 시스템 구성, 백도어 등이 보안취약점으로 존재하며, 네트워크의 경우 HTTP, SMTP, FTP 등의 경로를 통하여 사이버공격이 이루어질 수 있다. 이러한 사이버 공격을 방지하기 위하여 네트워크와 시스템에 공격이 용이하게 이루어질 수 있는지를 점검하게 되는데 이를 보안취약점 점검이라 하며, 여러 점검항목의 데이터를 분석하여야 한다. 바람직하게는 패스워드 관련 취약점, 패킷 관련 취약점, 포트 관련 취약점 등에 관한 정보들이 수집된다.
상기 결과수신모듈(35)은 타겟시스템으로부터의 리턴값을 수신하도록 구비된다. 상기 표 1에서 확인할 수 있는 바와 같이 명령전송모듈(33)로부터 전송된 명령어에 따라 미식별자산에서 명령 수행시 상기와 같은 리턴값이 발생하는데, 결과수신모듈(35)은 이 리턴값을 수신하여 후술하는 결과처리부(50)에서 이를 분석할 수 있도록 한다. 본 발며으이 바람직한 일 실시예에서는 명령전송모듈(33)에서 미식별자산으로 자산정보를 수집하는 명령과 진단관련정보를 수집하는 명령이 전송되므로, 결과수신모듈(35) 역시 자산정보가 포함된 리턴값과 진단관련정보가 포함된 리턴값에 해당하는 서로 다른 결과파일을 수신하게 된다.
도 6은 본 발명의 일 실시예에 따른 결과처리부(50)의 블록도이고, 도 7은 통신부(30)와 결과처리부(50) 및 미식별자산 사이에서 자산정보와 진단관련정보를 수집하는 명령이 수행되고 이에 따른 리턴값이 처리되는 것을 도시한 도면이다. 도 6 및 도 7을 참고하면, 상기 결과처리부(50)는 미식별자산으로부터 수신된 리턴값을 기초하여 상기 미식별자산의 정보를 추출하고 미식별자산을 분류하여 등록하고, 보안취약점 진단을 실시하도록 구비된다. 상기 결과처리부(50)가 수신한 리턴값을 분석하고 미식별자산을 분류함으로써, 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하여 진단대상자산에 대해 보안취약점 진단을 실시할 수 있다. 상기 결과처리부(50)는 파싱모듈(51), 제1결과추출모듈(53), 등록모듈(55), 제2결과추출모듈(57) 및 취약점 진단모듈(59)을 포함한다.
상기 파싱모듈(51)은 미식별자산으로부터 수신한 리턴값을 파싱하도록 구비된다. 여기서, 전송되는 명령어 또는 스크립트에 따라 리턴값이 상이할 수 있으므로 상기 파싱모듈(51)은 데이터베이스(70)에 저장된 파싱기준 또는 입력되는 파싱기준에 따라 리턴값을 파싱하게 된다. 도 7을 참고하면, 상기 파싱모듈은 서로 다른 파싱기준을 통해 미식별자산으로부터의 리턴값을 파싱할 수 있다. 미식별자산으로부터 전송되는 리턴값은 자산정보가 포함된 리턴값과 진단관련정보가 포함된 리턴값으로 서로 다르기 때문에, 상기 파싱모듈 역시 서로 다른 파싱기준으로 상기 리턴값을 파싱해야 한다.
상기 제1결과추출모듈(53)은 상기 파싱모듈(51)에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하도록 구비된다. 상술한 바와 같이 미식별자산의 자산정보에는 IP, HOSTNAME, WAS 프로세스 등의 정보가 포함되는데, 제1결과추출모듈(53)은 미식별자산의 상기 자산정보들을 추출한다. 도 7에 도시된 것과 같이, 제1결과추출모듈은 미식별자산의 자산정보가 포함된 리턴값을 파싱한 파싱정보에서 미식별자산의 자산정보를 추출하는 것이 바람직하다.
상기 등록모듈(55)은 상기 미식별자산을 진단대상인지 여부에 따라 분류하고 등록하도록 구비된다. 상기 등록모듈(55)은 미식별자산을 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하는데, 상기 제1결과추출모듈(53)에서 추출한 미식별자산의 자산정보에 따라 미식별자산을 분류하고 등록할 수 있다. 자세하게는, 미식별자산의 자산정보가 설정된 보안취약점 진단대상인 경우 미식별자산을 진단대상으로 분류하게 된다. 예를 들어, KISA에서 안내되는 취약점 진단항목에 상기 미식별자산의 자산정보에 대한 진단항목이 존재한다면, 상기 미식별자산은 진단대상자산으로 분류된다. 따라서, 본 발명의 일 실시예에 따르면, 제1결과추출모듈(53)에 의해 추출된 자산정보에 IP, WAS 프로세스 등이 존재하고, 설정된 보안취약점 진단기준(정보통신기반시설/전자금융감독규정/행정안전부)에 적용되는 자산정보가 포함되는 경우, 등록모듈(55)에 의해서 상기 미식별자산은 진단대상자산으로 분류되어 데이터베이스에 등록된다.
외부에서 침입하는 위협의 경우, 네트워크를 통해 연결된 내부 자산과 같이 포트를 통해 연결되지만, 진단대상자산과 같은 자산정보를 구비하지 않고 있는 경우가 많으며, 자산정보를 수집하는 명령에 응답하지 않을 수 있다. 이에 따라, 상기 등록모듈(55)은 네트워크를 통해 연결되는 보안취약점 진단의 대상인 진단대상자산과 외부로부터의 공격을 구분하기 위해 자산정보의 존재여부를 그 기준으로 삼아 미식별자산을 진단대상자산과 미진단자산으로 분류하고 등록할 수 있다.
상기 제2결과추출모듈(57)은 상기 파싱모듈(51)에서 파싱된 파싱정보를 분석하여 상기 진단대상자산의 진단관련정보를 추출하도록 구비된다. 파싱정보는 진단대상자산의 보안취약점 점검항목에 관련된 정보를 포함하므로, 제2결과추출모듈(57)에 의해 추출되는 진단관련정보는 진단대상자산의 패스워드 취약성, 패킷 취약성 등의 정보에 해당한다. 도 7에 도시되는 것과 같이, 상기 제2결과추출모듈(57)은 미식별자산의 진단관련정보를 포함하는 리턴값을 파싱한 파싱정보를 통해 미식별자산의 진단관련정보를 추출함이 바람직하다.
상기 취약점 진단모듈(59)은 진단대상자산의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하도록 구비된다. 제2결과추출모듈(57)에서 추출된 진단관련정보는 수, 스트링, True of False 등 여러 유형의 값을 가지는데, 데이터베이스(70)로부터 판단기준을 불러와 상기 진단관련정보와 비교하여 진단관련시스템의 취약성 여부를 판단한다. 판단결과는 데이터베이스(70)에 저장될 수 있다.
다시 도 2를 참고하면, 상기 데이터베이스(DB, 70)에는 초기 네트워크에 연결된 시스템에 대한 정보, 즉 IP, HOSTNAME, PORT 넘버 등이 저장되어 있으며, 데이터베이스(70)에 저장된 데이터가 로드되어 필터링모듈(13)에서 탐지된 시스템과의 비교를 위해 사용된다. 이후, 등록모듈(55)이 미식별자산을 식별하고 분류하게 되면 그에 대한 정보를 저장하게 되고, 취약점 진단모듈(59)에서 진단대상자산의 보안 취약점을 진단하게 되는 경우 그 진단결과가 저장된다.
상술한 바에 따라 본 발명의 일 실시예에 따른 미식별자산 인식시스템(1)이 구현된다. 이하에서는 도면을 참고하여 미식별자산 인식방법(S)을 설명하도록 한다.
도 8은 본 발명의 일 실시예에 따른 미식별자산 인식방법(S)의 순서도이며, 도 9는 도 8의 각 단계에서의 세부 구성을 도시한 흐름도이다. 도 8 및 도 9를 참고하면, 상기 미식별자산 인식방법(S)은 상술한 미식별자산 인식시스템(1)에서 수행되며, 보안관리자가 관리해야 하는 자산의 양이 방대해짐에 따라 보안관리자가 등록하지 않거나 인지하지 못한 자산이 있는 경우, 미식별자산의 정확한 자산정보를 인식하여 네트워크 상에 연결된 보안취약점 점검 대상이 되는 자산인지 또는 외부의 위협인지를 분류 및 등록하여 보안관리자로부터의 관리오류와 업무량을 감소시키도록 한다. 상기 미식별자산 인식방법(S)은 인식단계(S10), 제1통신단계(S30), 진단대상 분류단계(S50), 제2통신단계(S70) 및 진단수행단계(S90)를 포함한다.
상기 인식단계(S10)는 인식부(10)에서 수행될 수 있고, 네트워크에 등록되지 않은 미식별자산을 인식하는데, 미식별자산 인식시스템(1)이 관장하는 타겟시스템(T)이 많아짐에 따라 시스템 관리자가 타겟시스템의 정보를 알 수 없거나 타겟시스템이 보안 취약점 점검에 필요한 데이터베이스에 등록되지 않아 네트워크에 포함된 자산으로 인식되지 않는 경우, 데이터베이스(70)에 포함되지 않았으나 네트워크에 연결된 자산을 인식함으로써 식별되지 않은 미식별자산을 인식한다. 상기 인식단계(S10)는 노드 탐지단계(S11), v필터링단계(S13) 및 미식별자산 인식단계(S15)를 포함한다.
상기 노드 탐지단계(S11)는 네트워크에서 연결된 타겟시스템을 스캔하도록 구비되며, 본 발명의 바람직한 일 실시예에 있어서는 포트스캔 방식으로 네트워크에 연결된 시스템을 탐지할 수 있다.
상기 필터링단계(S13)는 데이터베이스(70)에 저장된 자산에 대한 정보와 탐지된 타겟시스템을 비교하여 탐지된 노드를 필터링하여 미등록된 타겟시스템을 구분한다. 보안 취약점 점검을 위해서 등록된 타겟시스템의 정보와 상기 노드 탐지단계(S11)에서 탐지된 시스템의 정보를 비교하는데, 바람직하게는 탐지한 네트워크에 연결된 시스템과 데이터베이스에 저장된 IP주소 또는 Hostname을 비교하도록 구비될 수 있다. 이때, 필터링단계(S13)에서는 상기 노드 탐지단계(S11)에서부터 탐지한 시스템과 데이터베이스(70)에 저장된 타겟시스템의 정보를 비교하기 위하여 데이터베이스로부터 콜업하여 데이터를 로드할 수 있다. 데이터베이스에 저장된 네트워크에 연결되는 모든 자산에 대한 정보를 로드할 수도 있겠으나, 바람직하게는 IP주소 또는 Hostname 등의 레이블을 기준으로 하여 데이터베이스에 존재하는 레이블만을 로드할 수 있다.
상기 미식별자산 인식단계(S15)는 미식별 인식모듈(15)에서 수행될 수 있고, 비교결과로부터 미식별자산을 특정하며, 상기 자산 비교단계(S13)에서 수행한 비교결과에 따라 데이터베이스(70)에 등록되지 않은 시스템을 미식별자산으로 인식할 수 있다. 바람직하게는, 상기 필터링단계(S13)에서 포트를 비교할 시, 데이터베이스에 등록되지 않은 포트 넘버는 등록자산이 연결된 포트가 아니므로 해당 포트를 통해 연결된 타겟시스템(T)을 미식별자산으로 정의한다.
상기 제1통신단계(S30)는 통신부(30)에서 수행되며, 미식별자산에 명령을 전송하고 리턴값을 수신하고, 명령어, 프로그램 또는 스크립트를 전송하고 미식별자산의 응답인 리턴값을 수신함에 따라 후술하는 진단대상 분류단계(S50)에서 미식별자산을 분석하고 분류할 수 있다. 상기 통신단계(S30)는 상기 미식별자산에 자산정보 수집을 위한 명령을 전송하고 미식별자산의 자산정보가 포함된 리턴값을 수신하며, 접속단계(S31), 제1명령전송단계(S33), 제1결과수신단계(S35)를 포함한다.
상기 접속단계(S31)는 상기 타겟시스템에 설정된 접근방법을 통해 접속하며, 점검 대상 시스템에 해당하는 타겟시스템에 대한 IP 주소와 접근방법(Telnet, SSH 등), 접근 권한(ID, Password)이 지정되어 있는 경우 지정된 방법을 통해 접속할 수 있으며, 접근방법이나 접근 권한이 지정되어 있지 아니하는 경우에는 상술한 소정의 방식을 통해 접속방법을 탐지하여 접속을 시도할 수 있다.
상기 제1명령전송단계(S33)는 미식별자산의 자산정보를 수집하는 명령을 전송하여 상기 미식별자산에서 명령을 수행하도록 하며, 전송되는 명령은 상기 타겟시스템에서 명령 수행 시 상기 미식별자산의 OS와 아키텍쳐 등 미식별자산의 자산정보를 리턴하도록 할 수 있다. 도 7을 확인하면, 통신부(30)에서 자산정보를 수집하는 명령이 미식별자산으로 전송되는데, 제1명령전송단계(S33)에서 해당 명령이 전송되고, 미식별자산에서는 자산정보를 수집하는 명령을 실행함으로써 리턴값인 자산정보가 포함된 결과파일을 생성하게 된다.
상기 제1결과수신단계(S35)는 미식별자산으로부터의 리턴값을 수신하며, 제1명령전송단계(S33)에서 미식별자산에 전송된 명령어에 따라 명령 수행시 발생한 리턴값을 수신하여 후술하는 진단대상 분류단계(S50)에서 이를 분석할 수 있도록 한다.
상기 진단대상 분류단계(S50)는 수신된 리턴값으로부터 상기 미식별자산의 자산정보를 추출하고 미식별자산을 보안취약점 진단대상인 진단대상자산과 미진단자산으로 분류하고 등록하며, 기존에 등록되지 않은 네트워크에 연결된 진단대상자산을 자동적으로 관리할 수 있도록 한다. 상기 진단대상 분류단계(S50)는 제1파싱단계(S51), 제1결과추출단계(S53) 및 등록단계(S55)를 포함한다.
상기 제1파싱단계(S51)는 미식별자산으로부터 수신한 리턴값을 파싱하며, 바람직하게는 자산정보 수집 명령에 대한 리턴값을 파싱한다. 전송되는 명령어 또는 스크립트에 따라 리턴값이 상이할 수 있으므로 상기 제1파싱단계(S51)에서는 데이터베이스(70)에 저장된 파싱기준 또는 입력되는 파싱기준에 따라 리턴값을 파싱할 수 있다.
상기 제1결과추출단계(S53)는 상기 제1파싱단계(S51)에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출한다. 상술한 바와 같이 미식별자산의 자산정보에는 IP, HOSTNAME, WAS 프로세스 등의 정보가 포함되는데, 제1결과추출단계(S53)에서는 미식별자산의 상기 자산정보들을 추출한다. 도 7에 도시된 것과 같이, 미식별자산의 자산정보가 포함된 리턴값을 파싱한 파싱정보에서 미식별자산의 자산정보를 추출하는 것이 바람직하다.
상기 등록단계(S55)는 상기 미식별자산을 진단대상인지 여부에 따라 분류하고 등록한다. 상기 등록단계(S55)는 미식별자산을 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하는데, 상기 제1결과추출단계(S53)에서 추출한 미식별자산의 자산정보에 따라 미식별자산을 분류하고 등록할 수 있다. 자세하게는, 미식별자산의 자산정보가 설정된 보안취약점 진단대상인 경우 미식별자산을 진단대상으로 분류하게 된다. 예를 들어, KISA에서 안내되는 취약점 진단항목에 상기 미식별자산의 자산정보에 대한 진단항목이 존재한다면, 상기 미식별자산은 진단대상자산으로 분류된다. 따라서, 본 발명의 일 실시예에 따르면, 제1결과추출단계(S53)에서 추출된 자산정보에 IP, WAS 프로세스 등이 존재하고, 설정된 보안취약점 진단기준(정보통신기반시설/전자금융감독규정/행정안전부)에 적용되는 자산정보가 포함되는 경우, 상기 미식별자산은 등록단계(S55)를통해 진단대상자산으로 분류되어 데이터베이스에 등록된다.
다시 도 8 및 도 9를 참고하면, 미식별자산이 진단대상자산으로 분류되는 경우, 보안취약점 진단을 위해 제2통신단계(S70)가 수행될 수 있다. 도 8 및 도 9를 참고하면, 상기 제2통신단계(S70)는 미식별자산에 보안취약점 진단을 위한 명령을 전송하고 미식별자산으로부터 상기 명령에 따른 리턴값을 수신하며, 바람직하게는 미식별자산 중 진단대상 분류단계(S50)에서 보안취약점 진단대상으로 분류된 진단대상자산에 대해서만 보안취약점 진단을 위해 진단관련정보를 수집하는 명령을 전송하고 리턴값을 수신할 수 있다. 상기 제2통신단계(S70)는 제2명령전송단계(S73)와 제2결과수신단계(S75)를 포함한다.
상기 제2명령전송단계(S73)는 명령전송모듈(33)에서 수행될 수 있으며, 미식별자산에 대해서 보안취약점 진단을 위한 명령을 전송하며, 바람직하게는 보안취약점 진단대상으로 등록된 진단대상자산에 대해서 보안취약점 진단을 위한 명령을 전송한다. 이때 제2통신단계에서 전송되는 명령은 진단대상자산의 진단관련정보를 수집하기 위한 명령이다.
상기 제2결과수신단계(S75)는 미식별자산으로부터의 리턴값을 수신하며, 제2명령전송단계(S73)에서 진단대상자산에 전송된 명령어에 따라 명령 수행시 발생한 리턴값을 수신하여 후술하는 진단수행단계(S90)에서 이를 분석할 수 있도록 한다.
상기 진단수행단계(S90)는 결과파일을 기반으로 하여 보안취약점을 진단하며, 상기 진단수행단계(S6)에서 결과파일을 분석하고 진단대상자산의 보안취약점을 판단하여 진단대상자산이 어떠한 보안취약점 점검항목에 대해서 어떤 취약점을 갖고 있는지 알 수 있다. 상기 진단수행단계(S90)는 제2파싱단계(S91), 제2결과추출단계(S93) 및 취약점 진단단계(S65)를 포함한다.
상기 제2파싱단계(S91)는 파싱모듈(51)에서 수행될 수 있으며, 진단대상자산으로부터 수신한 결과파일을 파싱한다. 바람직하게는 상기 제2명령전송단계(S73)에서 전송된 진단대상자산의 진단관련정보 수집 명령에 대한 리턴값을 파싱한다. 전송되는 명령어 또는 스크립트에 따라 리턴값이 상이할 수 있으므로 상기 제2파싱단계(S91)에서는 데이터베이스(70)에 저장된 파싱기준 또는 입력되는 파싱기준에 따라 리턴값을 파싱할 수 있다.
상기 제2결과추출단계(S93)는 제2결과추출모듈(57)에서 수행될 수 있으며, 상기 제2파싱단계(S91)에서 파싱된 파싱정보를 분석하여 상기 진단대상자산의 진단관련정보를 추출한다. 파싱정보는 진단대상자산의 보안취약점 점검항목에 관련된 정보를 포함하므로, 제2결과추출단계(S93)에서 추출되는 진단관련정보는 진단대상자산의 패스워드 취약성, 패킷 취약성 등의 정보에 해당한다. 도 7에 도시된 것과 같이, 미식별자산의 진단관련정보가 포함된 리턴값을 파싱한 파싱정보에서 미식별자산의 진단관련정보를 추출하는 것이 바람직하다.
상기 취약점 진단단계(S95)는 취약점 진단모듈(59)에서 수행될 수 있으며, 진단대상자산의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단한다. 추출된 진단관련정보는 수, 스트링, True of False 등 여러 유형의 값을 가지는데, 데이터베이스(70)에 저장된 판단기준을 불러와 상기 진단관련정보와 비교하여 진단관련시스템의 취약성 여부를 판단한다. 진단결과는 데이터베이스(70)에 저장될 수 있다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
1: 미식별자산 인식시스템
10: 인식부 11: 노드 탐지모듈
13: 필터링모듈 15: 미식별 인식모듈
30: 통신부 31: 접속모듈
33: 명령전송모듈 35: 결과수신모듈
50: 결과처리부 51: 파싱모듈
53: 제1결과추출모듈 55: 등록모듈
57: 제2결과추출모듈 59: 취약점 진단모듈
70: 데이터베이스, DB
S: 미식별자산 인식방법
S10: 인식단계 S11: 노드 탐지단계
S13: 필터링단계 S15: 미식별자산 인식단계
S30: 제1통신단계 S31: 접속단계
S33: 제1명령전송단계 S35: 제1결과수신단계
S50: 진단대상 분류단계 S51: 제1파싱단계
S53: 제1결과추출단계 S55: 등록단계
S70: 제2통신단계
S73: 제2명령전송단계 S75: 제2결과수신단계
S90: 진단수행단계 S91: 제2파싱단계
S93: 제2결과추출단계 S95: 취약점 진단단계

Claims (17)

  1. 네트워크에 등록되지 않은 미식별자산을 인식하는 인식부, 상기 미식별자산에 명령을 전송하고 리턴값을 수신하는 통신부 및 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하고 보안취약점 진단을 실시하는 결과처리부를 포함하되,
    상기 인식부는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지모듈과, 상기 노드 탐지모듈에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산을 비교하여 미등록된 타겟시스템을 구분하는 필터링모듈 및 필터링 결과로부터 등록자산이 아닌 타겟시스템을 미식별자산으로 특정하는 미식별 인식모듈을 포함하고,
    상기 결과처리부는 상기 미식별자산으로부터 수신한 리턴값을 파싱하는 파싱모듈, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출모듈, 상기 미식별자산이 진단대상인지 여부에 따라 상기 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하고 등록하는 등록모듈, 파싱모듈에서 파싱된 파싱정보를 분석하여 미식별자산의 진단관련정보를 추출하는 제2결과추출모듈 및 추출된 진단관련정보로부터 미식별자산의 보안취약점을 진단하는 취약점 진단모듈을 포함하는 것을 특징으로 하는 미식별자산 인식시스템.
  2. 삭제
  3. 제1항에 있어서, 상기 노드 탐지모듈은 포트스캔을 통해 네트워크에 연결된 타겟시스템을 탐지하는 것을 특징으로 하는 미식별자산 인식시스템.
  4. 삭제
  5. 제3항에 있어서, 필터링모듈은 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교하는 것을 특징으로 하는 미식별자산 인식시스템.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 제1항에 있어서, 상기 통신부는 미식별자산에 설정된 접근방법을 통해 접속하는 접속모듈, 명령을 전송하여 상기 미식별자산에서 명령을 수행하도록 하는 명령전송모듈 및 상기 미식별자산으로부터의 리턴값을 수신하는 결과수신모듈을 포함하되,
    상기 명령전송모듈은 상기 미식별자산이 보안취약점 진단대상인지 확인하도록 상기 미식별자산의 자산정보를 수집하는 명령과 보안취약점 진단대상으로 등록된 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 것을 특징으로 하는 미식별자산 인식시스템.
  10. 네트워크에 등록되지 않은 미식별자산을 인식하는 인식단계, 상기 미식별자산에 자산정보 수집을 위한 명령을 전송하고 리턴값을 수신하는 제1통신단계, 상기 리턴값으로부터 상기 미식별자산의 정보를 추출하여 진단대상자산으로 분류하여 등록하는 진단대상 분류단계, 미식별자산에 보안취약점 진단을 위한 명령을 전송하는 제2통신단계 및 미식별자산에서 전송된 결과값으로부터 진단관련정보를 추출하여 보안취약점 진단을 실시하는 진단수행단계를 포함하되,
    상기 인식단계는 네트워크에서 연결된 타겟시스템을 스캔하는 노드 탐지단계와, 상기 노드 탐지단계에서 탐지한 네트워크에 연결된 타겟시스템과 데이터베이스에 저장된 등록자산을 비교하여 미등록된 타겟시스템을 구분하는 필터링단계 및 필터링 결과로부터 등록자산이 아닌 타겟시스템을 미식별자산으로 특정하는 미식별자산 인식단계를 포함하고,
    상기 진단대상 분류단계는 상기 미식별자산으로부터 수신한 자산정보 수집 명령에 대한 리턴값을 파싱하는 제1파싱단계와, 상기 제1파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 자산정보를 추출하는 제1결과추출단계 및 상기 미식별자산을 보안취약점 진단대상인 진단대상자산과 진단대상이 아닌 미진단자산으로 분류하고 등록하는 등록단계를 포함하되,
    상기 등록단계는 미식별자산의 자산정보가 설정된 보안취약점 진단 대상인 경우 상기 미식별자산을 진단대상자산으로 분류하고,
    상기 제2통신단계는 보안취약점 진단대상으로 등록된 진단대상자산에 대해서 보안취약점 진단을 위한 명령을 전송하는 것을 특징으로 하는 미식별자산 인식방법.
  11. 삭제
  12. 제10항에 있어서, 상기 노드 탐지단계는 포트스캔을 통해 네트워크에 연결된 타겟시스템을 탐지하는 것을 특징으로 하는 미식별자산 인식방법.
  13. 제12항에 있어서, 필터링단계는 등록자산이 연결된 포트와 타겟시스템이 연결된 포트를 비교하는 것을 특징으로 하는 미식별자산 인식방법.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 제10항에 있어서, 상기 진단수행단계는 진단을 위한 명령에 대한 리턴값을 파싱하는 제2파싱단계, 상기 제2파싱단계에서 파싱된 파싱정보를 분석하여 상기 미식별자산의 진단관련정보를 추출하는 제2결과추출단계 및 추출된 진단관련정보를 통해 진단대상인 미식별자산의 보안취약점을 진단하는 취약점 진단단계를 포함하는 것을 특징으로 하는 미식별자산 인식방법.
KR1020200035434A 2020-03-24 2020-03-24 미식별자산 인식시스템 및 그 방법 KR102159292B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200035434A KR102159292B1 (ko) 2020-03-24 2020-03-24 미식별자산 인식시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200035434A KR102159292B1 (ko) 2020-03-24 2020-03-24 미식별자산 인식시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102159292B1 true KR102159292B1 (ko) 2020-09-24

Family

ID=72706486

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200035434A KR102159292B1 (ko) 2020-03-24 2020-03-24 미식별자산 인식시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102159292B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060089992A (ko) * 2005-02-04 2006-08-10 삼성전자주식회사 통신장비 관리 장치 및 방법
KR20130110385A (ko) 2012-03-29 2013-10-10 인텔렉추얼디스커버리 주식회사 광기전력 모듈 및 그 제조 방법
KR20170046102A (ko) * 2016-10-28 2017-04-28 에스케이플래닛 주식회사 침입탐지 오탐 개선을 위한 시스템 및 방법
KR101761781B1 (ko) * 2016-12-30 2017-07-26 강원석 It 통합 관리 프레임워크를 위한 오픈소스 데이터베이스를 적용한 빅데이터 처리 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060089992A (ko) * 2005-02-04 2006-08-10 삼성전자주식회사 통신장비 관리 장치 및 방법
KR20130110385A (ko) 2012-03-29 2013-10-10 인텔렉추얼디스커버리 주식회사 광기전력 모듈 및 그 제조 방법
KR20170046102A (ko) * 2016-10-28 2017-04-28 에스케이플래닛 주식회사 침입탐지 오탐 개선을 위한 시스템 및 방법
KR101761781B1 (ko) * 2016-12-30 2017-07-26 강원석 It 통합 관리 프레임워크를 위한 오픈소스 데이터베이스를 적용한 빅데이터 처리 방법 및 장치

Similar Documents

Publication Publication Date Title
CN108322446B (zh) 内网资产漏洞检测方法、装置、计算机设备和存储介质
CN101176331B (zh) 计算机网络入侵检测系统和方法
US7509681B2 (en) Interoperability of vulnerability and intrusion detection systems
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US8015605B2 (en) Scalable monitor of malicious network traffic
CN112637220B (zh) 一种工控系统安全防护方法及装置
CN108809951A (zh) 一种适用于工业控制系统的渗透测试框架
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
KR102222377B1 (ko) 위협 대응 자동화 방법
KR102160950B1 (ko) 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
KR102176324B1 (ko) 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법
KR102156379B1 (ko) 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법
KR102454948B1 (ko) IoT 기기 점검 방법 및 그 장치
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN110768949B (zh) 探测漏洞的方法及装置、存储介质、电子装置
CN107819758A (zh) 一种网络摄像头漏洞远程检测方法及装置
KR102159292B1 (ko) 미식별자산 인식시스템 및 그 방법
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
KR102156359B1 (ko) 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템
Cuppens et al. Selecting appropriate counter-measures in an intrusion detection framework
CN116484380A (zh) 一种面向云原生应用的自动化渗透测试方法及系统
CN116318783A (zh) 基于安全指标的网络工控设备安全监测方法及装置
KR102176320B1 (ko) 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법
CN113206828B (zh) 一种分析网络设备安全的方法及设备
KR102159299B1 (ko) 보안취약점 점검 시 점검대상 자동인식 및 선별 시스템 및 그 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant