KR102164203B1 - 정보보호 위험분석 자동화 시스템 및 그 동작 방법 - Google Patents
정보보호 위험분석 자동화 시스템 및 그 동작 방법 Download PDFInfo
- Publication number
- KR102164203B1 KR102164203B1 KR1020200040868A KR20200040868A KR102164203B1 KR 102164203 B1 KR102164203 B1 KR 102164203B1 KR 1020200040868 A KR1020200040868 A KR 1020200040868A KR 20200040868 A KR20200040868 A KR 20200040868A KR 102164203 B1 KR102164203 B1 KR 102164203B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- management
- service
- risk
- vulnerability
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 238000012502 risk assessment Methods 0.000 title abstract description 17
- 238000007726 management method Methods 0.000 claims description 314
- 238000011156 evaluation Methods 0.000 claims description 69
- 230000004044 response Effects 0.000 claims description 40
- 238000013473 artificial intelligence Methods 0.000 claims description 26
- 238000012550 audit Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 16
- 230000009471 action Effects 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 13
- 230000008520 organization Effects 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000010801 machine learning Methods 0.000 description 32
- 238000004891 communication Methods 0.000 description 27
- 238000003860 storage Methods 0.000 description 21
- 238000003745 diagnosis Methods 0.000 description 20
- 238000012552 review Methods 0.000 description 17
- 230000035945 sensitivity Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 14
- 230000015654 memory Effects 0.000 description 14
- 238000013528 artificial neural network Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000012360 testing method Methods 0.000 description 9
- 230000006872 improvement Effects 0.000 description 8
- 230000000306 recurrent effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000012549 training Methods 0.000 description 6
- 238000013474 audit trail Methods 0.000 description 5
- 238000011109 contamination Methods 0.000 description 5
- 238000013135 deep learning Methods 0.000 description 5
- 239000000428 dust Substances 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000013439 planning Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 5
- 238000013067 regular audit Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000008447 perception Effects 0.000 description 3
- 239000000758 substrate Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000012356 Product development Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000004451 qualitative analysis Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 208000011380 COVID-19–associated multisystem inflammatory syndrome in children Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011478 gradient descent method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000002319 photoionisation mass spectrometry Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Computer Security & Cryptography (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Game Theory and Decision Science (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 정보보호 위험분석 자동화 시스템 및 그 동작 방법에 관한 것이다.
본 발명의 일 실시예는 정보보호 인증 서비스를 제공하는 시스템에 있어서, 상기 정보보호 인증 서비스를 제공하는 웹사이트 및 모바일앱 중 적어도 어느 하나를 운용하는 관리 서버(management server); 를 포함하고, 상기 관리 서버는, 적어도 하나의 질문 정보를 생성하여 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력하도록 제어하고, 상기 적어도 하나의 질문 정보에 상응하는 적어도 하나의 답변 정보를 수신하고, 상기 적어도 하나의 답변 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 중 적어도 어느 하나를 생성하여 출력하는 시스템을 제안한다.
본 발명의 일 실시예는 정보보호 인증 서비스를 제공하는 시스템에 있어서, 상기 정보보호 인증 서비스를 제공하는 웹사이트 및 모바일앱 중 적어도 어느 하나를 운용하는 관리 서버(management server); 를 포함하고, 상기 관리 서버는, 적어도 하나의 질문 정보를 생성하여 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력하도록 제어하고, 상기 적어도 하나의 질문 정보에 상응하는 적어도 하나의 답변 정보를 수신하고, 상기 적어도 하나의 답변 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 중 적어도 어느 하나를 생성하여 출력하는 시스템을 제안한다.
Description
본 발명은 정보보호 위험분석 자동화 시스템 및 그 동작 방법에 관한 것이다.
또한 본 발명은 정보보호컨설팅 방법에 관련된 것으로서 구체적으로는 ISMS 관리 프로그램(솔루션)을 이용하여 정보보호관리체계(ISMS) 인증의 필수적 요건들을 관리하고 기 수립된 관리체계를 유지 보수하기 쉽도록 하며 인증 취득 및 갱신을 돕는 컨설팅 방법에 관한 것이다.
등록특허공보 제10-0752677호는 정보기술 위험관리시스템 및 그 방법에 관한 것이다.
상기 문헌은 정보기술 위험관리 시스템에 있어서, 통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스부; 상기 통제 데이터베이스부에서 정의된 통제요소를 관리하는 정책관리부; 상기 통제 데이터베이스부에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 명시하는 위험 시나리오 관리부; 상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하고 각각의 통제행위의 존재여부를 판단함으로써 조직의 통제행위 성숙도(maturity)를 측정하고, 설정된 준수통제에 대한 조직 구성원들의 통제이행도(compliance)를 측정하는 수준 관리부; 상기 수준 관리부에서 측정된 통제보증수준을 이용하여 통제개선유형에 대한 의사결정을 지원하는 위험 처리부; 및 상기 통제보증수준 및 통제개선유형에 따라 통제에 대한 작업을 지시하고 관리하는 통제작업관리부를 포함하는 것을 특징으로 하는 점을 개시하고 있다.
또한, 종래에는 기존의 정보보호 인증 서비스는 컨설팅 업무를 하는 컨설팅 팀의 노동력에 의존하는 경향이 있었다. 정보보호 인증을 취득 및 유지 관리를 위하여 위험 평가를 수행하기 사전 단계인 기술적 취약점 점검을 사람이 직접 수동으로 육안 진단하고 엑셀 워크 시트 등을 이용하여 정리하는 노동력 의존 서비스를 제공하였다. 이와 관련하여 컨설팅 팀에 대한 의존도가 낮은 정보보호 인증 서비스에 대한 필요(needs)가 존재하였다.
이에 본 발명은 보다 개선(enhanced)되고 자동화(automated)된 정보보호 위험분석 자동화 시스템 및 그 동작 방법을 제안하려고 한다.
본 발명의 일 실시예는 정보보호 위험분석 자동화 시스템 및 그 동작 방법을 제공하는데 그 목적이 있다.
본 발명의 일 실시예는 정보보호 인증 서비스에 대한 효율적인 관리체계 운영 및 자동화된 시스템의 제공을 가능케하는데 그 목적이 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예는 정보보호 인증 서비스를 제공하는 시스템에 있어서, 상기 정보보호 인증 서비스를 제공하는 웹사이트 및 모바일앱 중 적어도 어느 하나를 운용하는 관리 서버(management server); 를 포함하고, 상기 관리 서버는, 적어도 하나의 질문 정보를 생성하여 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력하도록 제어하고, 상기 적어도 하나의 질문 정보에 상응하는 적어도 하나의 답변 정보를 수신하고, 상기 적어도 하나의 답변 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 중 적어도 어느 하나를 생성하여 출력하는 시스템을 제안한다.
상기 관리 서버는, 상기 적어도 하나의 답변 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 생성하여 출력하고, 상기 기밀성 여부에 대한 정보, 상기 무결성 여부에 대한 정보, 및 상기 가용성 여부에 대한 정보에 기반하여 위험 등급을 나타내는 정보를 생성하는 시스템을 제안한다.
상기 관리 서버는, 상기 적어도 하나의 답변 정보에 기반하여 상기 관리 서버의 인공지능망을 학습시키고, 상기 학습된 인공지능망을 이용하여, 상기 적어도 하나의 답변 정보에 기반하여, 위험관리 수준에 대한 정보를 생성하여 출력하는 것을 특징으로 할 수 있다.
상기 위험관리 수준에 대한 정보는, 위험관리 수준에 대한 정보, 및 관리보안에 상응하는 제1 위험도에 대한 정보, 기술보안에 상응하는 제2 위험도에 대한 정보를 포함할 수 있다.
다른 본 발명의 일 실시예는 관리 서버(management server)가 정보보호 인증 서비스를 제공하는 방법에 있어서, 적어도 하나의 질문 정보를 생성하여 상기 정보보호 인증 서비스를 제공하는 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력하도록 제어하는 단계; 상기 적어도 하나의 질문 정보에 상응하는 적어도 하나의 답변 정보를 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 수신하는 단계; 및 상기 적어도 하나의 답변 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 중 적어도 어느 하나를 생성하여 출력하는 단계; 를 포함하는 방법을 제안한다.
이와 같이 본 발명의 일 실시예는 개선되고(enhanced) 자동화된(automated) 자동 진단 분석을 위한 서버 및 그 시스템을 제안한다는 측면에서 기술적인 효과를 갖는다. 여기서 자동 진단 분석은 정보보호 시스템 취약점에 관한 것이다.
본 발명의 일 실시예는 정보보호 인증 서비스에 대한 효율적인 관리체계 운영 및 자동화된 시스템의 제공을 가능케 할 수 있다.
본 발명으로 인한 효과는 정보보호관리체계를 수립하고 인증을 취득 및 유지하기 위하여 정보보호 현황 증명을 위한 수많은 증적들을 편리하게 관리하고 정보보호관리자(담당자)와 각 정보보호유관 업무별 담당자들 간의 증적 관리 및 소통을 원활하게 할 것이다. 솔루션을 활용하여 작성, 제출된 증적들의 충실성을 체크 후 결제 할 수 있는 시스템이며 더불어 정기적으로 투입되는 정보보호 컨설턴트가 주기적인 방문 점검(현황 분석, 법령 개정 가이드, 취약점 점검 등을 포함)을 통해 전문가 서비스를 제공함으로써 고객사는 고비용을 매우 효과적으로 절감하고 ISMS관리 효율은 높여서 인증을 안정적이고 지속적으로 유지 관리 할 수 있게 되는 효과를 누리게 된다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 특정한 바람직한 실시예들의 상기에서 설명한 바와 같은 또한 다른 측면들과, 특징들 및 이득들은 첨부 도면들과 함께 처리되는 하기의 설명으로부터 보다 명백하게 될 것이다.
도 1은 본 발명의 일 실시예를 따른 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 실시예를 따른 목적을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 위험관리 수준에 대한 정보를 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
상기 도면들을 통해, 유사 참조 번호들은 동일한 혹은 유사한 엘리먼트들과, 특징들 및 구조들을 도시하기 위해 사용된다는 것에 유의해야만 한다.
도 1은 본 발명의 일 실시예를 따른 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 실시예를 따른 목적을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 위험관리 수준에 대한 정보를 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
상기 도면들을 통해, 유사 참조 번호들은 동일한 혹은 유사한 엘리먼트들과, 특징들 및 구조들을 도시하기 위해 사용된다는 것에 유의해야만 한다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 발명의 실시예들을 구체적으로 설명함에 있어서, 특정 시스템의 예를 주된 대상으로 할 것이지만, 본 명세서에서 청구하고자 하는 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템 및 서비스에도 본 명세서에 개시된 범위를 크게 벗어나지 아니하는 범위에서 적용 가능하며, 이는 당해 기술분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
삭제
도 1은 본 발명의 일 실시예를 따른 시스템을 나타내는 블록도이다.
도 1을 참조하면, 상기 시스템(100)은 관리 서버(management server)(110)를 포함한다. 또한 일 예로 상기 시스템(100)은 사용자 단말(user equipment)(120)을 포함할 수도 있다.
관리 서버(110)는 정보보호 인증 서비스를 제공하는 서버이거나 및/또는 정보보호 시스템 취약점의 자동 진단 분석을 수행하는 서버일 수 있다.
여기서 취약점(vulnerability)이라 함은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점을 나타낼 수 있다. 국제 표준화 기구(ISO) 11135은 취약점(vulnerability)을 '하나 이상의 위협에 의해 익스플로잇(exploit)될 수 있는 자산 또는 자산들의 그룹의 약점'으로 정의하고 있으며, 국제 인터넷 표준화 기구(IETF) RFC 2828은 '시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것'으로 정의하고 있다. 여기서 익스플로잇(exploit)이라 함은 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위를 이르기도 한다.
또한 취약점은 자원 분류(resource class)에 따라 분류될 수 있으며, 하드웨어 측면에서 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등과 관련되고, 소프트웨어 측면에서 충분치 않은 테스팅, 감사 추적의 부족 등과 관련되고, 네트워크 측면에서 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등과 관련되고, 직원 측면에서 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등과 관련되고, 위치 측면에서 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등과 관련되고, 관리 기관 측면에서 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등과 관련될 수 있다.
사용자 단말(120)은 i) 본 발명에서 제공하는 정보보호 인증 서비스의 고객인 제1 사용자에 의해 사용되는 단말이거나, ii) 상기 정보보호 인증 서비스를 제공하는 서비스 제공자 및/또는 상기 관리 서버(110)를 관리하는 관리자인 제2 사용자에 의해 사용되는 단말일 수 있다.
본 발명에서는 정보보호 인증 서비스를 제공하는 서버, 시스템, 및 그 방법을 제안하며, 구체적으로는 정보보호 위험분석 자동화 시스템 및 그 동작 방법을 제안한다. 도 2에 도시된 바와 같이, 본 발명은 종래의 ISMS 관리 솔루션 및 컨설턴트의 주기적인 방문 서비스에 기초하여 제공된 정보보호 인증 서비스를 대체할, 비용 절감 및 효과적인 ISMS 인증 관리를 제공하는 정보보호 컨설팅을 가능케할 개선된(enhanced) 정보보호 인증 서비스를 제공하려고 한다.
본 발명에서의 정보보호 인증 서비스는 인증 컨설팅, 보안 제품 개발, 연간 서비스, 개인 정보보호, 시스템 진단, 모의 해킹, 소스 코드 진단, 정보보호 교육 및 훈련 등의 서비스를 제공할 수 있다.
여기서 인증 컨설팅 서비스는 국내외 정보보호 인증(ISO 11131/ISMS-P, PCI-DSS) 서비스를 포함할 수 있으며, 보안 제품 개발 서비스는 통합 정보보호 인증 관리 및 위험 분석 솔루션 개발, 연계형 컨설팅 서비스 등을 포함할 수 있다. 여기서 ISMS-P는 ISMS와 PIMS가 통합된 형태로서, 방송 통신 위원회로부터 심사받는 정보보호 및 개인정보보호 관리체계를 의미할 수 있다. PCI-DSS는 지불 카드 산업 데이터 보안 표준, 지불 카드 보안 표준, 결제 카드 산업 정보 보안 표준, 지불 카드 업계 데이터 보안 표준은 주요 카드 스킴의 유명 상표의 신용카드를 관리하는 조직을 위한 정보 보안 표준을 의미할 수 있다.
연간 서비스는 연간 정보보호 인증, 상시 유지 관리 컨설팅 전문가 서비스 등을 포함할 수 있으며, 개인 정보보호 서비스는 개인 정보 관리 수준 진단, 취급 실태 점검 컨설팅 서비스 등을 포함할 수 있다. 시스템 진단 서비스는 주요 정보 통신, 전자 금융 기반 시설 시스템 취약점 진단 컨설팅 등을 포함할 수 있으며, 모의 해킹 서비스는 어플리케이션, 모바일 앱 모의 해킹 서비스 등을 포함할 수 있다. 소스 코드 진단 서비스는 어플리케이션, 모바일 앱 소스 코드 진단 서비스 등을 포함하고, 정보보호 교육 및 훈련 서비스는 (개인) 정보보호 교육 제공 및 침해 사고, APT(Advanced Persistent Threat), DDoS(Distributed Denial of Service) 대응 모의 훈련 등의 서비스를 포함할 수 있다. 또한 본 발명의 인증 컨설팅 서비스는 정보보호인증 통합관리 솔루션으로서, ISMS, ISMS-P 인증 취득 및 유지 관리 해결을 위한 플랫폼(platform)형 인증관리 솔루션일 수 있다.
그리고, 관리 서버(110)는 다음과 같은 특징을 포함하는 정보보호 인증 서비스를 제공할 수 있다. 일 예로, 정보보호 인증 서비스는 i) 정보 자산 목록 관리 및 중요도 평가, ii) 주요 기반 시설 및 ISMS-P 범위에 따라 자산 범위를 별도 운영 가능, iii) 자산의 형태, 소유자, 관리자, 사용 부서, 용도 등 자유롭게 등록 운영할 수 있다. 다른 예로, 정보보호 인증 서비스는 iv) 관리 물리적 진단 및 개인 정보 수준 진단 분석 자료를 도시화 한 대시 보드를 생성하거나 및/또는 제공할 수 있으며, v) 서버, DB(database) 취약점의 자동 분석 및 자동 위험 평가 기능을 통하여 진단 비용 절감을 제공할 수 있으며, vi) DoA(Degree of Assurance) 설정에 따른 개별 위험의 정보보호 이행 계획 수립 자동화를 제공할 수 있다. 또 다른 예로, 정보보호 인증 서비스는 vii) 분석 결과를 보여주는 모든 메뉴에서 엑셀 다운로드 기능을 제공할 수 있으며, viii) OTP, 사용자별 권한 분류 지정, 특정 IP(Internet Protocol) 접근 등 강력한 접근 통제를 제공할 수 있으며, ix) 심사 수검시 자원의 소모와 피로도를 줄이면서 감시자에게 열람 기능을 제공할 수 있다.
도 1을 참조하면, 관리 서버(110)는 제1 제어 모듈(111), 제1 통신 모듈(112), 제1 입력 모듈(113), 제1 출력 모듈(114), 저장 모듈(115), 및/또는 기계학습 모듈(116)을 포함할 수 있으며, 사용자 단말(120)은 제2 제어 모듈(121), 제2 통신 모듈(122), 제2 입력 모듈(123, 미도시), 및/또는 제2 출력 모듈(124, 미도시)을 포함할 수 있다.
제어 모듈(111, 121)은 본 발명의 일 실시예에 따른 동작/단계/과정을 구현할 수 있도록 관리 서버(110) 및/또는 사용자 단말(120)을 직/간접적으로 제어할 수 있다. 또한 제어 모듈(111, 121)은 적어도 하나의 프로세서를 포함할 수 있으며, 프로세서는 적어도 하나의 중앙 처리 유닛(CPU) 및/또는 적어도 하나의 그래픽 처리 디바이스(GPU)를 포함할 수 있다.
또한 제어 모듈(111, 121)은 API(Application Programming Interface), IoT(Internet of Things), IIoT(Industrial Internet of Things), ICT(Information & Communication Technology) 기술에 기반하여 제어 정보(예; 명령어) 등을 생성하거나 및/또는 관리할 수 있다.
통신 모듈(112, 122)은 관리 서버(110) 및/또는 사용자 단말(120) 등과 각종 데이터, 신호, 정보를 송수신할 수 있다. 또한, 통신 모듈(112, 122)은 무선 통신 모듈(예: 셀룰러 통신 모듈, 근거리 무선 통신 모듈, 또는 GNSS(global navigation satellite system) 통신 모듈) 또는 유선 통신 모듈(예: LAN(local area network) 통신 모듈, 또는 전력선 통신 모듈)을 포함할 수 있다. 또한, 통신 모듈(112, 122)은 제1 네트워크(예: 블루투스, WiFi direct 또는 IrDA(Infrared Data Association) 같은 근거리 통신 네트워크) 또는 제2 네트워크(예: 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크)를 통하여 외부 전자 장치와 통신할 수 있다. 이런 여러 종류의 통신 모듈들은 하나의 구성 요소(예: 단일 칩)으로 통합되거나, 또는 서로 별도의 복수의 구성 요소들(예: 복수 칩들)로 구현될 수 있다.
입력 모듈(113, 123)은 관리 서버(110) 및/또는 사용자 단말(120)의 구성요소(예: 제어 모듈(111, 121) 등)에 사용될 명령 또는 데이터를 관리 서버(110) 및/또는 사용자 단말(120)의 외부(예: 사용자(예; 제1 사용자, 제2 사용자 등), 관리 서버(110)의 관리자 등)로부터 수신할 수 있다. 또한, 입력 모듈(113, 123)은 관리 서버(110) 및/또는 사용자 단말(120)에 설치된 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈, 음성인식센서, 마이크, 마우스, 또는 키보드 등을 포함할 수 있다. 여기서 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈은 감압식 및/또는 정전식 방식을 통하여 사용자의 신체(예; 손가락)를 통한 터치를 인식할 수 있다.
출력 모듈(114, 124)은 관리 서버(110) 및/또는 사용자 단말(120)의 제어 모듈(111, 121)에 의해 생성되거나 통신 모듈(112, 122)을 통하여 획득된 신호(예; 음성 신호), 정보, 데이터, 이미지, 및/또는 각종 객체(object) 등을 표시하는 모듈이다. 예를 들면, 출력 모듈(114, 124)은 디스플레이, 스크린, 표시부(displaying unit), 스피커 및/또는 발광장치(예; LED 램프) 등을 포함할 수 있다.
또한, 관리 서버(110) 및/또는 사용자 단말(120)은 저장 모듈(storage module)(115, 125)을 더 포함할 수 있으며, 관리 서버(110) 및/또는 사용자 단말(120)의 동작을 위한 기본 프로그램, 응용 프로그램, 설정 정보 등의 데이터를 저장한다. 또한, 저장 모듈(115, 125)은 플래시 메모리 타입(Flash Memory Type), 하드 디스크 타입(Hard Disk Type), 멀티미디어 카드 마이크로 타입(Multimedia Card Micro Type), 카드 타입의 메모리(예를 들면, SD 또는 XD 메모리 등), 자기 메모리, 자기 디스크, 광디스크, 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), PROM(Programmable Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory) 중 적어도 하나의 저장매체를 포함할 수 있다.
또한, 저장 모듈(115, 125)은 관리 서버(110) 및/또는 사용자 단말(120)을 사용하는 고객(제1 사용자)의 개인정보, 관리자(제2 사용자)의 개인정보 등을 저장할 수 있다. 여기서 개인정보는 이름, 아이디(ID; identifier), 패스워드, 주민등록번호, 도로명 주소, 전화 번호, 휴대폰 번호, 이메일 주소, 및/또는 관리 서버(110)에 의해 생성되는 리워드(reward)(예; 포인트 등)를 나타내는 정보 등을 포함할 수 있다. 또한, 제어 모듈(111, 121)은 상기 저장 모듈(115, 125)에 저장된 각종 이미지, 프로그램, 컨텐츠, 데이터 등을 이용하여 다양한 동작을 수행할 수 있다.
한편, 기계학습 모듈(116)에 대한 특징에 대해서는 후술하도록 한다.
삭제
도 3은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 방법은 제1 사용자가 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 실행하는 단계를 포함할 수 있다(S310).
예를 들면, 제1 사용자는 사용자 단말(120)(및/또는 제1 사용자의 네트워크 장비(예; 태블릿, PC 등))을 통하여 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 실행할 수 있으며, 이때 제1 사용자는 상기 웹사이트 및/또는 모바일앱을 통하여 자신의 개인 정보를 입력할 수 있다. 상기 개인 정보는 단말(120)로부터 관리 서버(110)에게 전달되고, 상기 관리 서버(110) 및/또는 저장 모듈(115)에 기록될 수 있다. 여기서 개인정보는 제1 사용자의 이름, 아이디(ID; identifier), 패스워드, 주민등록번호, 도로명 주소, 전화 번호, 휴대폰 번호, 이메일 주소, 및/또는 관리 서버(110)에 의해 생성되는 리워드(reward)(예; 포인트 등)를 나타내는 정보 등을 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 사용자의 개인 정보에 기반하여 인증 절차를 수행하는 단계를 포함할 수 있다(S320).
예를 들면, 본 발명의 웹사이트 및/또는 모바일앱은, 상기 사용자의 제1 정보(예; 개인 정보)를 통하여 소정의 인증 절차를 수행한 후에만 다음의 S330 내지 S350 단계에 상응하는 동작을 실행할 수도 있다. 일 예로, 소정의 인증 절차는 상기 제1 사용자의 개인 정보에 기반하여 진행되는 본인 인증 프로세스를 포함할 수 있다. 여기서 본인 인증 프로세스는 제1 사용자가 본 발명의 웹사이트 및/또는 모바일앱에 접속할 때(및/또는 로그인 할 때) 입력하는 개인 정보와 관리 서버(110)의 저장 모듈(115)에 기 저장된(및/또는 기록된) 개인 정보와의 동일성 여부를 판단하는 과정을 포함할 수 있다. 다른 예로, 소정의 인증 절차는 상기 제1 사용자가 본 발명의 웹사이트 및/또는 모바일앱을 통하여 결제한 정도(및/또는 결제 내역 및/또는 사용한 리워드(포인트)에 대한 정보)이 본 발명의 정보보호 인증 서비스에서 요구하는 기준을 만족하는지 여부를 판단하는 과정을 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 질문 정보를 출력하는 단계를 포함할 수 있다(S330).
관리 서버(110)는, 예를 들면, 질문 정보를 생성하여 본 발명의 서비스를 제공하는 웹사이트 및/또는 모바일앱을 실행하는 제1 사용자의 사용자 단말을 통하여 출력하도록 제어할 수 있다.
일 예로, 상기 질문 정보는 위험분석에 대한 제1 질문 정보, 위험평가에 대한 제2 질문 정보, 위험관리 수준에 대한 제3 질문 정보, 정보보호계획에 대한 제4 질문 정보를 포함할 수 있다.
다른 예로, 상기 질문 정보는 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등과 같은 하드웨어 측면의 제5 질문 정보, 충분치 않은 테스팅, 감사 추적의 부족 등과 같은 소프트웨어 측면의 제6 질문 정보, 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등과 같은 네트워크 측면의 제7 질문 정보, 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등과 같은 직원 측면의 제8 질문 정보, 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등과 같은 위치 측면의 제9 질문 정보, 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등과 같은 관리 기관 측면의 제10 질문 정보를 포함할 수 있다.
그리고, 상기 방법은 제1 사용자가 입력하는 답변 정보를 관리 서버(110)가 수신하는 단계를 포함할 수 있다(S340).
본 발명의 서비스를 제공하는 웹사이트 및/또는 모바일앱을 실행하고, 상기 웹사이트 및/또는 모바일앱은 제1 사용자가 답변 정보를 입력할 수 있는 응답정보 입력 페이지를 출력할 수 있다. 이때 제1 사용자는 전술한 질문 정보 각각에 상응하는 적어도 하나의 답변 정보를 상기 응답정보 입력 페이지를 통하여 입력할 수 있다.
이때 제1 사용자는 상기 웹사이트 및/또는 모바일앱을 통하여 전술한 제1 질문 정보 내지 상기 제10 질문 정보(S330 단계 참조) 각각에 상응하는 제1 답변 정보 내지 제10 답변 정보를 입력할 수 있다. 이때 상기 제1 답변 정보 내지 제10 답변 정보 각각은 i) 상기 질문 정보 각각에 대한 제1 사용자의 답변(의견)에 해당되는 정성적인 답변(qualitative answer)을 포함하거나, ii) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, iii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iv) 각 항목에 상응하는 정수값 0 내지 10의 점수(또는 수치, 값)로 표현될 수 있다.
그리고, 상기 방법은 관리 서버(110)가 적어도 하나의 답변 정보에 기반하여 위험관리에 대한 정보를 생성하는 단계를 포함할 수 있다(S350).
위험관리에 대한 정보는, 예를 들면, i) 정성적인 평가(qualitative analysis)를 포함하거나, ii) '위험', '보통', '안전' 등과 같이 위험관리의 상태를 나타내는 정보를 포함하거나, iii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되는 정보를 포함하거나, iv) 각 항목에 상응하는 정수값 0 내지 10의 점수(또는 수치, 값)로 표현되는 정보를 포함할 수 있다.
관리 서버(110)는 전술한 제1 답변 정보 내지 제10 답변 정보(S340 단계 참조) 각각에 기반하여 위험관리에 대한 정보를 생성할 수 있다. 관리 서버(110)는, 예를 들면, 제1 답변 정보에 기반하여 제1 위험관리 정보를 생성하고, 제2 답변 정보에 기반하여 제2 위험관리 정보를 생성하고, 제3 답변 정보에 기반하여 제3 위험관리 정보를 생성하고, 제4 답변 정보에 기반하여 제4 위험관리 정보를 생성하고, 제5 답변 정보에 기반하여 제5 위험관리 정보를 생성하고, 제6 답변 정보에 기반하여 제6 위험관리 정보를 생성하고, 제7 답변 정보에 기반하여 제7 위험관리 정보를 생성하고, 제8 답변 정보에 기반하여 제8 위험관리 정보를 생성하고, 제9 답변 정보에 기반하여 제9 위험관리 정보를 생성하고, 제10 답변 정보에 기반하여 제10 위험관리 정보를 생성할 수 있다.
위험관리에 대한 정보는, 예를 들면, 위험관리 수준에 대한 정보를 포함할 수 있다. 상기 위험관리 수준에 대한 정보는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보를 포함할 수 있다. 예를 들면, 제1 위험관리 정보 내지 제10 위험관리 정보 각각은, 예를 들면, 제1 위험관리 수준 정보 내지 제10 위험관리 수준 정보를 포함할 수 있으며, 상기 제1 위험관리 수준 정보 내지 제10 위험관리 수준 정보 각각은 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보를 포함할 수 있다.
한편, 상기 제1 위험관리 수준 정보 내지 제10 위험관리 수준 정보 각각의 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보는, 1) 전술한 바와 같이 관리 서버(110)에 의해 생성될 수도 있으나(이는 후술하는 기계학습 모듈(116)의 동작에 의해 뒷받침된다), 2) 본 발명의 정보보호 인증 서비스를 이용하는 고객인 제1 사용자에 의해 직접 입력되거나(제1 사용자 단말을 통하여 및/또는 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여), 3) 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 서비스 제공자(예; 컨설턴트)에 의해 직접 입력될 수도 있다(제2 사용자 단말을 통하여 및/또는 상기 웹사이트 및/또는 모바일앱을 통하여).
또한, 상기 S310 내지 S350는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S310 내지 S350 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
그리고, 기계학습 모듈(116)은 고객(제1 사용자) 및/또는 서비스 제공자(제2 사용자)를 통하여 직접 입력되는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보, 그리고 제1 답변 정보 내지 제10 답변 정보를 학습 데이터로 하여 상기 기계학습 모듈(116)의 인공지능망을 학습시킬 수 있다. 이렇게 학습된 인공지능망에 기반하여, 상기 기계학습 모듈(116)은 제1 답변 정보에 기반하여 제1 위험관리 정보를 생성하고, 제2 답변 정보에 기반하여 제2 위험관리 정보를 생성하고, 제3 답변 정보에 기반하여 제3 위험관리 정보를 생성하고, 제4 답변 정보에 기반하여 제4 위험관리 정보를 생성하고, 제5 답변 정보에 기반하여 제5 위험관리 정보를 생성하고, 제6 답변 정보에 기반하여 제6 위험관리 정보를 생성하고, 제7 답변 정보에 기반하여 제7 위험관리 정보를 생성하고, 제8 답변 정보에 기반하여 제8 위험관리 정보를 생성하고, 제9 답변 정보에 기반하여 제9 위험관리 정보를 생성하고, 제10 답변 정보에 기반하여 제10 위험관리 정보를 생성할 수 있다.
구체적으로, 기계학습 모듈(116)은 인공지능망에 기반하여 위험관리에 대한 정보, 위험관리 수준에 대한 정보, 제1 위험관리 정보 내지 제10 위험관리 정보(및/또는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보)를 생성할 수 있다. 또한, 기계학습 모듈(116)은 데이터베이스에 저장된 빅데이터(big data)에 기계 학습(machine learning)을 이용하여 위험관리에 대한 정보, 위험관리 수준에 대한 정보, 제1 위험관리 정보 내지 제10 위험관리 정보(및/또는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보)를 생성할 수 있다.
또한, 기계학습 모듈(116)은 서버(110)의 데이터베이스에 저장된 빅데이터를 입력변수로 하여 인공지능망을 학습시키는데, 구체적으로는 머신러닝의 한 분야인 딥러닝(Deep Learning) 기법을 이용하여 정확한 상관 관계가 도출될 수 있도록 학습을 수행한다. 상기 인공지능망의 학습을 위해 입력되는 값은, 전술한 바와 같이, 고객(제1 사용자) 및/또는 서비스 제공자(제2 사용자)를 통하여 직접 입력되는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보일 수 있다.
예를 들면, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 임계치를 넘는지 여부에 기반하여 인공지능망의 학습 모드를 상이하게 설정할 수도 있다. 여기서 결제 내역은 제1 사용자가 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 결제한 금액과 관련될 수 있다. 일 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 제1 임계치 미만을 나타내는 경우에는 비전문가(제1 사용자, 고객)이 입력한 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보, 그리고 제1 답변 정보 내지 제4 답변 정보를 학습데이터로 설정하여 학습하는 제1 학습 모드로 학습된 제1 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다. 다른 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 상기 제1 임계치 이상이고 다른 소정의 임계치(즉, 제2 임계치) 이하를 나타내는 경우에는 전문가(제2 사용자, 컨설턴트)가 입력한 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보, 그리고 제5 답변 정보 내지 제10 답변 정보를 학습데이터로 설정하여 학습하는 제2 학습 모드로 학습된 제2 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다. 또 다른 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 상기 제2 임계치 초과를 나타내는 경우에는 비전문가(제1 사용자, 고객)와 전문가(제2 사용자, 컨설턴트)가 입력한 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보, 그리고 제1 답변 정보 내지 제10 답변 정보를 모두 학습데이터로 설정하여 학습하는 제3 학습 모드로 학습된 제3 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다.
또한, 기계학습 모듈(116)을 통하여 입/출력되는 정보들 사이의 상관 관계의 경우, 입력(input)은 상기 제1 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나이고, 출력(output)은 위험관리에 대한 정보, 위험관리 수준에 대한 정보, 제1 위험관리 정보 내지 제10 위험관리 정보(및/또는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보)로 정의될 수 있다. 또한 결국 기계학습 모듈(116)은 딥러닝을 통하여 상기 함수에서의 복수 개의 입력들의 가중치(weight)를 학습을 통하여 산출할 수 있다.
또한, 이러한 학습을 위하여 활용되는 인공지능망 모델로는 RNN(Recurrent Neural Network), DNN(Deep Neural Network) 및 DRNN(Dynamic Recurrent Neural Network) 등 다양한 모델들을 활용할 수 있을 것이다.
여기서 RNN은 현재의 데이터와 과거의 데이터를 동시에 고려하는 딥 러닝 기법으로서, 순환 신경망(RNN)은 인공지능망을 구성하는 유닛 사이의 연결이 방향성 사이클(directed cycle)을 구성하는 신경망을 나타낸다. 나아가, 순환 신경망(RNN)을 구성할 수 있는 구조에는 다양한 방식이 사용될 수 있는데, 예컨대, 완전순환망(Fully Recurrent Network), 홉필드망(Hopfield Network), 엘만망(Elman Network), ESN(Echo state network), LSTM(Long short term memory network), 양방향(Bi-directional) RNN, CTRNN(Continuous-time RNN), 계층적 RNN, 2차 RNN 등이 대표적인 예이다. 또한, 순환 신경망(RNN)을 학습시키기 위한 방법으로서, 경사 하강법, Hessian Free Optimization, Global Optimization Method 등의 방식이 사용될 수 있다.
삭제
도 4는 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 방법은 관리 서버(110)가 제1 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나에 기반하여 기밀성 여부에 대한 정보를 생성하는 단계를 포함할 수 있다(S410).
여기서 기밀성(Confidentiality)이라 함은, 허락되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것으로서, 비밀 보장이라고 할 수도 있다. 또한 기밀성은 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다.
또한 기밀성 여부에 대한 정보에 대한 정보는, 일 예로, 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표시되는 정보를 포함하거나, 다른 예로, '○' 또는 '×'로 표시되는 정보를 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나에 기반하여 무결성 여부에 대한 정보를 생성하는 단계를 포함할 수 있다(S420).
여기서 무결성(Integrity)이라 함은, 허락되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것으로서, 다시 말해, 수신자가 정보를 수신했을 때, 또는 보관되어 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭 되지 않았음을 확인할 수 있도록 하는 것이다.
또한 무결성 여부에 대한 정보에 대한 정보는, 일 예로, 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표시되는 정보를 포함하거나, 다른 예로, '○' 또는 '×'로 표시되는 정보를 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나에 기반하여 가용성 여부에 대한 정보를 생성하는 단계를 포함할 수 있다(S430).
여기서 가용성(Availability)이라 함은, 허락된 사용자 또는 객체가 정보에 접근하려 하고자 할 때 이것이 방해받지 않도록 하는 것이다. 일 예로, 네트워크의 고도화로 대중에 많이 알려진 서비스 거부 공격(예; DDoS 공격(Distributed Denial of Service Attack) 등)이 이러한 가용성을 해치는 공격이라고 할 수 있다.
또한 가용성 여부에 대한 정보에 대한 정보는, 일 예로, 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표시되는 정보를 포함하거나, 다른 예로, '○' 또는 '×'로 표시되는 정보를 포함할 수 있다.
그리고, 상기 방법은 관리 서버(110)가 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보 중 적어도 어느 하나에 기반하여 위험 등급을 설정하는 단계를 포함할 수 있다(S440).
또한 위험 등급은 진정성(authenticity), 책임성(accountability), 부인방지(non-repudiation), 및 신뢰성(reliability)을 더 고려하여 결정될 수도 있다. 이는 정보 보안 관리 시스템(ISMS; Information Security Management Systems) 표준 계열의 ISO/IEC 27000 시리즈(예; ISO/IEC 27000:2009)를 참조할 수 있다.
또한 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및/또는 가용성 여부에 대한 정보는 제1 사용자에 의해 (본 발명의 정보보호 인증 서비스를 제공하거나 지원하는) 웹사이트 및/또는 모바일앱을 통하여 직접 입력될 수도 있다. 이때 관리 서버(110)는 제1 사용자에 의해 입력된 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보 중 적어도 어느 하나에 기반하여 위험 등급을 설정할 수도 있다.
한편, 상기 S410 내지 S440는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S410 내지 S440 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
한편, i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보는, 1) 전술한 바와 같이 관리 서버(110)에 의해 생성될 수도 있으나(이는 후술하는 기계학습 모듈(116)의 동작에 의해 뒷받침된다), 2) 본 발명의 정보보호 인증 서비스를 이용하는 고객인 제1 사용자에 의해 직접 입력되거나(제1 사용자 단말을 통하여 및/또는 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여), 3) 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 서비스 제공자(예; 컨설턴트)에 의해 직접 입력될 수도 있다(제2 사용자 단말을 통하여 및/또는 상기 웹사이트 및/또는 모바일앱을 통하여).
그리고, 기계학습 모듈(116)은 고객(제1 사용자) 및/또는 서비스 제공자(제2 사용자)를 통하여 직접 입력되는 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보, 그리고 제1 답변 정보 내지 제10 답변 정보를 학습 데이터로 하여 상기 기계학습 모듈(116)의 인공지능망을 학습시킬 수 있다. 이렇게 학습된 인공지능망에 기반하여, 상기 기계학습 모듈(116)은 제1 답변 정보에 기반하여 제1 기밀성 정보(기밀성 여부에 대한 제1 정보), 제1 무결성 정보(무결성 여부에 대한 제1 정보), 제1 가용성 정보(가용성 여부에 대한 제1 정보)를 생성하고, 제2 답변 정보에 기반하여 제2 기밀성 정보(기밀성 여부에 대한 제2 정보), 제2 무결성 정보(무결성 여부에 대한 제2 정보), 제2 가용성 정보(가용성 여부에 대한 제2 정보)를 생성하고, 제3 답변 정보에 기반하여 제3 기밀성 정보(기밀성 여부에 대한 제3 정보), 제3 무결성 정보(무결성 여부에 대한 제3 정보), 제3 가용성 정보(가용성 여부에 대한 제3 정보)를 생성하고, 제4 답변 정보에 기반하여 제4 기밀성 정보(기밀성 여부에 대한 제4 정보), 제4 무결성 정보(무결성 여부에 대한 제4 정보), 제4 가용성 정보(가용성 여부에 대한 제4 정보)를 생성하고, 제5 답변 정보에 기반하여 제5 기밀성 정보(기밀성 여부에 대한 제1 정보), 제5 무결성 정보(무결성 여부에 대한 제5 정보), 제5 가용성 정보(가용성 여부에 대한 제5 정보)를 생성하고, 제6 답변 정보에 기반하여 제6 기밀성 정보(기밀성 여부에 대한 제6 정보), 제6 무결성 정보(무결성 여부에 대한 제6 정보), 제6 가용성 정보(가용성 여부에 대한 제6 정보)를 생성하고, 제7 답변 정보에 기반하여 제7 기밀성 정보(기밀성 여부에 대한 제7 정보), 제7 무결성 정보(무결성 여부에 대한 제7 정보), 제7 가용성 정보(가용성 여부에 대한 제7 정보)를 생성하고, 제8 답변 정보에 기반하여 제8 기밀성 정보(기밀성 여부에 대한 제8 정보), 제8 무결성 정보(무결성 여부에 대한 제8 정보), 제8 가용성 정보(가용성 여부에 대한 제8 정보)를 생성하고, 제9 답변 정보에 기반하여 제9 기밀성 정보(기밀성 여부에 대한 제9 정보), 제9 무결성 정보(무결성 여부에 대한 제9 정보), 제9 가용성 정보(가용성 여부에 대한 제9 정보)를 생성하고, 제10 답변 정보에 기반하여 제10 기밀성 정보(기밀성 여부에 대한 제10 정보), 제10 무결성 정보(무결성 여부에 대한 제10 정보), 제10 가용성 정보(가용성 여부에 대한 제10 정보)를 생성할 수 있다.
구체적으로, 기계학습 모듈(116)은 인공지능망에 기반하여 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보를 생성할 수 있다. 또한, 기계학습 모듈(116)은 데이터베이스에 저장된 빅데이터(big data)에 기계 학습(machine learning)을 이용하여 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보를 생성할 수 있다.
또한, 기계학습 모듈(116)은 서버(110)의 데이터베이스에 저장된 빅데이터를 입력변수로 하여 인공지능망을 학습시키는데, 구체적으로는 머신러닝의 한 분야인 딥러닝(Deep Learning) 기법을 이용하여 정확한 상관 관계가 도출될 수 있도록 학습을 수행한다. 상기 인공지능망의 학습을 위해 입력되는 값은, 전술한 바와 같이, 고객(제1 사용자) 및/또는 서비스 제공자(제2 사용자)를 통하여 직접 입력되는 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보, 그리고 iv) 제1 답변 정보 내지 제10 답변 정보일 수 있다.
예를 들면, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 임계치를 넘는지 여부에 기반하여 인공지능망의 학습 모드를 상이하게 설정할 수도 있다. 여기서 결제 내역은 제1 사용자가 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 결제한 금액과 관련될 수 있다. 일 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 제3 임계치 미만을 나타내는 경우에는 비전문가(제1 사용자, 고객)이 입력한 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보, 그리고 iv) 제1 답변 정보 내지 제4 답변 정보를 학습데이터로 설정하여 학습하는 제4 학습 모드로 학습된 제4 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다. 다른 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 상기 제3 임계치 이상이고 다른 소정의 임계치(즉, 제4 임계치) 이하를 나타내는 경우에는 전문가(제2 사용자, 컨설턴트)가 입력한 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보, 그리고 iv) 제5 답변 정보 내지 제10 답변 정보를 학습데이터로 설정하여 학습하는 제5 학습 모드로 학습된 제5 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다. 또 다른 예로, 기계학습 모듈(116)은 제1 사용자의 결제 내역이 소정의 상기 제4 임계치 초과를 나타내는 경우에는 비전문가(제1 사용자, 고객)와 전문가(제2 사용자, 컨설턴트)가 입력한 i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보, 그리고 iv) 제1 답변 정보 내지 제10 답변 정보를 모두 학습데이터로 설정하여 학습하는 제6 학습 모드로 학습된 제6 인공지능망을 통한 결과물(output)을 본 발명의 정보보호 인증 서비스를 통하여 제1 사용자에게 제공할 수 있다.
또한, 기계학습 모듈(116)을 통하여 입/출력되는 정보들 사이의 상관 관계의 경우, 입력(input)은 상기 제1 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나이고, 출력(output)은 위험관리에 대한 정보, 위험관리 수준에 대한 정보, 제1 위험관리 정보 내지 제10 위험관리 정보(및/또는 i) 위험도에 상응하는 위험개수를 나타내는 정보와, ii) i) 기밀성 여부에 대한 정보와, ii) 무결성 여부에 대한 정보와, 및/또는 iii) 가용성 여부에 대한 정보로 정의될 수 있다. 또한 결국 기계학습 모듈(116)은 딥러닝을 통하여 상기 함수에서의 복수 개의 입력들의 가중치(weight)를 학습을 통하여 산출할 수 있다.
또한, 이러한 학습을 위하여 활용되는 인공지능망 모델로는 RNN(Recurrent Neural Network), DNN(Deep Neural Network) 및 DRNN(Dynamic Recurrent Neural Network) 등 다양한 모델들을 활용할 수 있을 것이다.
삭제
도 5는 본 발명의 일 실시예에 따른 위험관리 수준에 대한 정보를 나타내는 도면이다.
도 5를 참조하면, 위험관리 수준에 대한 정보는 i) 위험도에 상응하는 위험개수를 나타내는 정보(및/또는 그래프)와, ii) 위험관리 수준(DoA; Degree of Assurance)을 나타내는 정보와, 및/또는 iii) 관리보안 및 기술보안 각각에 상응하는 위험도(위험도 0 내지 위험도 10)와 총 위험개수를 나타내는 정보를 포함할 수 있다.
다만, 도 5에 도시된 위험관리 수준에 대한 정보는 일 예에 불과하며, 다른 형태 및/또는 디자인(또는 인터페이스)으로 구성될 수도 있다.
삭제
도 6은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 방법은 관리 서버(110)가 위험관리에 대한 정보에 기반하여 우선 순위에 대한 정보를 생성하는 단계를 포함할 수 있다(S610).
그리고, 상기 방법은 관리 서버(110)가 우선 순위에 대한 정보에 기반하여 조치 계획에 대한 정보를 생성하는 단계를 포함할 수 있다(S620).
삭제
도 7은 본 발명의 일 실시예에 따른 방법을 나타내는 흐름도이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 방법은 관리 서버(110)가 정보 자산에 대한 정보를 획득하는 단계를 포함할 수 있다(S710).
그리고, 상기 방법은 관리 서버(110)가 정보 자산에 대한 정보에 기반하여 정보 자산의 중요도를 나타내는 정보를 생성하는 단계를 포함할 수 있다(S720).
그리고, 상기 방법은 관리 서버(110)가 정보 자산의 중요도를 나타내는 정보에 기반하여 위험관리에 대한 정보를 생성하여 출력하는 단계를 포함할 수 있다(S730).
한편, 상기 S710 내지 S730는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S710 내지 S730 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
그리고, 관리 서버(110)는 다음과 같은 자산가치 산출 방법을 통하여 자산가치를 산출한 결과를 출력할 수 있다.
여기서 AV는 비즈니스 프로세스 기반의 자산 가치(business process based Asset Value)를 나타내고, QV는 정량적 가격에서 정성적 가치 환산값을 나타내고, W는 비즈니스-프로세스 기반의 자산 분류 요소 가중치(weight)를 나타낼 수 있다. 여기서 QV는 아래의 표 1에 기반하여 결정될 수 있다.
정성적 가치 | 정성적 자산가치 환산 기준 | |
등급 | 환산값 | |
매우 낮음 | 1 | 정량적 자산 가격이 $100 미만 |
낮음 | 2 | 정량적 자산 가격이 $100 내지 $300 |
중간 | 3 | 정량적 자산 가격이 $300 내지 $600 |
높음 | 4 | 정량적 자산 가격이 $600 내지 $1,000 |
매우 높음 | 5 | 정량적 자산 가격이 $1,000 이상 |
또한 W는 아래의 수학식 2에 기반하여 산출될 수 있다.
예를 들면, w0 내지 wn 각각은 복수의 자산 분류 각각에 대한 가중치를 나타낼 수 있다. 일 예로, n은 2로 설정되고, w0은 하드웨어(디스크 및 서버)에 관한 가중치를 나타내고, w1은 소프트웨어(MS OFFICETM 및 메신저)에 관한 가중치를 나타내고, w2는 네트워크(router 및 LAN)에 관한 가중치일 수 있다. 다른 예로, n은 5로 설정되고, w0은 디스크(예; hard disk)에 관한 가중치를 나타내고, w1은 서버에 관한 가중치를 나타내고, w2는 오피스 소프트웨어(예; MS OFFICETM, 한글TM 등)에 관한 가중치를 나타내고, w3은 메신저(예; 사내 메신저, 카카오톡TM, 네이트온TM 등)에 관한 가중치를 나타내고, w4는 라우터에 관한 가중치를 나타내고, w5는 랜(LAN; Local Area Network)에 관한 가중치일 수 있다. 또한 w0 내지 wn은 관리 서버(110)에 의해 설정될 수 있다.
그리고 관리 서버(110)는 아래의 수학식 3에 기반하여 위험 평가를 수행할 수 있다.
여기서, RV는 위험 수치(Risk Value)를 나타내고, AV는 자산 가치(Asset Value)를 나타내고, Tf는 위협 주기(Threat frequency)를 나타내고, Ed는 노출 정도(Exposure degree)를 나타내고, EDS는 보안 대응책 효과(Effectiveness Degree of Safeguard)를 나타낼 수 있다.
보안 대응책 효과 산출과 관련하여, 보안 대응책 구현 결과(Implementation Result)가 IR이고, 보안 정도(Protection Degree)가 PD인 경우, 보안대응책의 효과도는 100% 불가능하기 때문에 보안 대응책 효과는 아래의 수학식 4에 기반하여 산출될 수 있다.
여기서 EDS는 보안 대응책 효과(Effectiveness Degree of Safeguard)를 나타내고, SIR은 보안 대응책 구현 결과를 나타내고, PD는 보안 정도(Protection Degree)를 나타낼 수 있다.
SIR (보안 대응책 구현 결과)는 아래의 표 2에 기재된 바와 같이 ISO/IEC 17799의 평가 방식을 따를 수 있다.
기준치 | 설명 |
0.0 | 위험과 대응책의 상관관계 없음 |
0.165 | 위험과 대응책은 간접적으로 관계가 있음 |
0.5 | 위험과 대응책은 직접적으로 관계가 있음 |
0.865 | 특정 위험을 대응책을 구현하였음 |
PD(Protection Degree)는 아래의 표 3에 기재된 바와 같이 ISO/IEC 17799의 평가 방식을 따를 수 있다.
기준치 | 설명 |
0.1 | 보안 대응책 없음 |
0.3 | 위험은 식별되었으나, 구체적인 대응책은 없고 간헐적으로 사회공학적 대응방법으로 대처함 |
0.5 | 보안 절차가 수립되었으며, 대응책을 구현해서 시험운영하기 시작함 |
0.7 | 보안 절차와 대응책을 운영함 |
0.9 | 실질적이고 구체적인 보안 대응책을 구현하여 운영함 |
관리 서버(110)는 아래의 수학식 5에 기반하여 최종 위험 평가를 산출할 수 있다.
여기서, RV는 위험 수치(Risk Value)를 나타내고, AV는 자산 가치(Asset Value)를 나타내고, Tf는 위협 주기(Threat frequency)를 나타내고, Ed는 노출 정도(Exposure degree)를 나타내고, SIR은 보안 대응책 구현 결과를 나타내고(표 2 참조), PD는 보안 정도(Protection Degree)를 나타낼 수 있다(표 3 참조).
그리고, 본 발명의 정보보호 인증 서비스는 관리 서버(110)에 의해 운용되는 웹 사이트 및/또는 어플리케이션(모바일앱)을 통하여 제공될 수 있으며, 아래와 같은 특징을 포함할 수 있다.
본 발명의 정보보호 인증 서비스는 ISMS, ISMS-P 인증 등을 위해 정보보호 담당자 및/또는 관리자가 수행하는 정보보호 관리 체계 유관 업무 핵심 과제들을 한 곳에서 처리할 수 있도록 하여 효율적인 인증 유지를 가능하게 하는 정보보호 인증 통합 관리 솔루션일 수 있다. 또한 상기 정보보호 인증 서비스는 정보 자산의 등록, 관리, 물리, 기술, 법리 현황 수준 진단, 위험분석 및 평가, 정보보호 계획 수립, 정보보호 교육 훈련 관리, 정보보호 정책 등재 및 열람, 인증 심사 대응 메뉴 등으로 정보보호 관리 체계의 핵심 과제를 모두 관리할 수 있도록 구성될 수 있다.
본 발명의 정보보호 인증 서비스는 관리 서버(110)에 의해 운용되는 웹 사이트 및/또는 어플리케이션(모바일 앱)은 정책 관리 (서비스), 자산 관리 (서비스), 진단 관리 (서비스), 위험관리 (서비스), 증적 관리 (서비스), 보안 감사 (서비스) 등과 같이 사용자가 선택 가능한 메뉴(메인 메뉴, 업무별 메뉴) 및/또는 객체를 출력할 수 있다. 정책 관리(서비스)는 정보보호 정책, 개인정보 내부관리계획, 정보보호지침/절차, 매뉴얼/가이드라인 확인 등과 관련되고, 자산 관리(서비스)는 식별된 정보 자산을 등록 및 유지 관리하는 것과 관련될 수 있다. 또한 진단 관리(서비스)는 i) (구)ISMS 버전의 경우, 관리적, 물리적, 기술적 진단 관리를 제공하고, ii) ISMS 버전의 경우, 관리체계 수립 및 운영, 보호대책 요구사항, 기술적 진단 관리를 제공하고, iii) ISMS-P 버전의 경우, 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항, 기술적 진단 관리를 제공하는 것과 관련될 수 있다. 위험관리(서비스)는 발견된 취약점에 대한 자동 위험 분석 및 관리를 제공하고, 증적 관리(서비스)는 ISMS 범위 내 보안 활동에 대한 문서화 및 유지 관리를 제공하고, 보안 감사(서비스)는 ISMS 심사 및 보안 감사 진행 시 심사원/감사자에게 제공하는 메뉴(필요한 메뉴 읽기 권한 부여)를 제공할 수 있다. 또한 본 발명에서 '증적'이라 함은 (감사를 위한) 증거 자료를 지칭할 수 있다.
또한 상기 웹 사이트 및/또는 어플리케이션(모바일 앱)은 분류별 상세 메뉴 및 접속자 현황, 라이선스 기간 표시 등과 같은 서브 메뉴를 출력할 수도 있다.
정보보호 인증 서비스는 관리 서버(110)에 의해 생성되는 도 6의 자산 관리 그래프(및/또는 전체 자산 중 현재 진행된 진단 현황 표시), 도 7의 진단 관리 그래프(및/또는 현재 등록된 자산 현황 표시), 도 8의 위험관리 그래프(및/또는 발견된 위험관리에 대한 우선순위 현황 표시), 및/또는 도 9의 증적 관리 그래프(및/또는 등록된 증적 목록에 대한 이행주기별 현황 표시)를 웹 사이트 및/또는 어플리케이션(모바일 앱)을 통하여 출력할 수 있다.
또한 본 발명에서 (정보)자산이라 함은 정보시스템, 정보보호시스템, 정보 등을 포함할 수 있으며, 정보 시스템은 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어를 일컬을 수 있다. 정보보호시스템은 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로서, 침입차단 시스템, 침입탐지 시스템, 침입방지 시스템, 개인정보유출방지 시스템 등을 포함할 수 있다. 정보는 문서적 정보 및/또는 전자적 정보를 포함할 수 있다. 또한 (정보)자산은 관리 체계, 보호 대책, 개인 정보, 서버 시스템, DBMS(DataBase Management System), 어플리케이션, 네트워크 장비, 보안 장비, PC 등을 포함할 수 있다.
또한 본 발명에서 취약점(vulnerability, vulnerable point)은 컴퓨터 정보 자산의 기밀성, 무결성 또는 가용성을 손상시키는 데 사용될 수 있는 약점을 일컬을 수 있으며, 취약점은 1) 공격자가 다른 사용자(예; 제1 사용자, 제2 사용자)로 위장하여 명령을 실행할 수 있는 상태, 2) 공격자가 특정 데이터에 대해 지정된 액세스 권한을 무시하고 해당 데이터에 액세스할 수 있는 상태, 3) 공격자가 다른 엔티티(entity)로 위장할 수 있는 상태, 4) 공격자가 서비스 거부 공격을 수행할 수 있는 상태일 수 있다.
정보보호 인증 서비스는 관리 서버(110)에 의해 생성되는 영역별 개선수준 그래프를 출력할 수 있다. 일 예로, 영역별 개선수준 그래프는 관리체계 기반 마련, 위험관리, 관리체계 운영, 관리체계 점검 및 개선 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다. 다른 예로, 영역별 개선수준 그래프는 i) 정책, 조직, 자산 관리, ii) 인적 보안, iii) 외부자 보안, iv) 물리 보안, v) 인증 및 권한 관리, vi) 접근통제, vii) 암호화 적용, viii) 개발 보안, ix) 운영관리, x) 보안관리, xi) 사고 예방 및 대응, xii) 재해복구 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다. 또 다른 예로, 영역별 개선수준 그래프는 개인정보 수집, 개인정보 보유 및 이용, 개인정보 제공, 개인정보 파기, 정보주체 권리보호 각각에 대한 점수(및/또는 수치)에 기반하여 생성될 수 있다.
또한 정보보호 인증 서비스는 관리 서버(110)에 의해 생성되는 영역별 이행조치 현황 그래프를 출력할 수 있다. 일 예로, 이행조치 현황 그래프는 관리체계 기반 마련, 위험관리, 관리체계 운영, 관리체계 점검 및 개선 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 다른 예로, 이행조치 현황 그래프는 i) 정책, 조직, 자산 관리, ii) 인적 보안, iii) 외부자 보안, iv) 물리 보안, v) 인증 및 권한 관리, vi) 접근통제, vii) 암호화 적용, viii) 개발 보안, ix) 운영관리, x) 보안관리, xi) 사고 예방 및 대응, xii) 재해복구 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 또 다른 예로, 이행조치 현황 그래프는 개인정보 수집, 개인정보 보유 및 이용, 개인정보 제공, 개인정보 파기, 정보주체 권리보호 각각에 대한 조치율(%)에 기반하여 생성될 수 있다. 여기서 조치율은 도 13 내지 도 15에 도시된 바와 같이 영역별로 평가되는 양호, 취약, 및/또는 미진단 사이의 비율에 기반하여 결정될 수 있다.
삭제
그리고 관리 서버(110)는, 예를 들면, 아래와 같은 방법에 따라 취약점에 대한 정보를 생성하여 사용자 단말을 통하여 출력되도록 제어할 수도 있다.
상기 방법은 관리 서버(110)가 타겟 엔티티에 대한 제2 정보를 수신하는 단계를 포함할 수 있다. 여기서 타겟 엔티티(target entity)는 본 발명의 정보 보호 인증 서비스를 통하여 보안 인증을 받게 되는 대상일 수 있다. 일 예로, 타겟 엔티티는 i) 소정의 온라인 서비스를 제공하는 웹 서버(예; 테스트 웹 서버, 개발 웹 서버), 클라우드 서버, 인트라넷 서버, DB(데이터베이스) 서버 등을 포함하거나 ii) 상기 제1 사용자에 의해 운용되는 서버를 포함할 수 있다. 다른 예로, 타겟 엔티티는 서버 시스템, DBMS, 어플리케이션, 네트워크장비, 보안장비, PC 등을 포함하는 집합을 의미할 수 있다.
예를 들면, 제1 사용자는 사용자 단말(120)을 통하여 본 발명의 서비스를 제공하는 웹사이트 및/또는 모바일앱을 실행하고, 상기 웹사이트 및/또는 모바일앱을 통하여 타겟 엔티티(즉, 관찰 타겟 엔티티)에 대한 제2 정보를 입력할 수 있다. 상기 제2 정보는 단말(120)로부터 관리 서버(110)에게 전달되고, 상기 관리 서버(110) 및/또는 제어 모듈(210)에 기록될 수 있다.
제2 정보는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및/또는 보안감사 각각에 관련되는 복수의 질문 정보 및 상기 복수의 질문 정보 각각에 상응하는 상기 제1 사용자의 답변 정보를 포함할 수 있다.
정책관리는 정보보호정책에 대해 최상위 정책, 개인정보 내부관리계획, 지침 및 절차, 매뉴얼 및 가이드라인에 관한 것일 수 있다. 자산관리는 자산 목록, 네트워크 구성도에 관한 것일 수 있다. 진단관리는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항, 기술적 진단에 관한 것일 수 있다. 위험관리는 위험분석, 위험평가, 위험관리 수준, 정보보호계획에 관한 것일 수 있다. 증적관리는 심사 및/또는 감사를 위한 증거 자료들을 관리하는 것과 관련되며, 증적목록(예; 영역구분, 증적코드, 증적명, 이행주기, 담당자, 최근 업로드 일자 등을 포함), 운영명세서에 관한 것일 수 있다. 여기서 운영명세서는 통제항목, 상세내용, 운영여부, 운영현황(또는 미선택사유), 관련문서(정책, 지침 등), 및/또는 기록(증적자료) 등의 항목을 포함할 수 있다. 보안감사는 ISMS 심사 및/또는 보안감사 진행 시 심사원 및/또는 감사자에게 필요한 메뉴와 관련될 수 있다.
한편, 관리 서버(110)는 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등과 같은 하드웨어 측면의 제1 질문 정보, 충분치 않은 테스팅, 감사 추적의 부족 등과 같은 소프트웨어 측면의 제2 질문 정보, 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등과 같은 네트워크 측면의 제3 질문 정보, 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등과 같은 직원 측면의 제4 질문 정보, 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등과 같은 위치 측면의 제5 질문 정보, 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등과 같은 관리 기관 측면의 제6 질문 정보를 본 발명의 정보 보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 제1 사용자에게 제공할 수 있다.
이에 응답하여 제1 사용자는 상기 웹사이트 및/또는 모바일앱을 통하여 상기 제1 질문 정보 내지 상기 제6 질문 정보 각각에 상응하는 제1 응답 정보 내지 제6 응답 정보를 입력할 수 있다.
이때 상기 제2 정보는 상기 제1 응답 정보 내지 제6 응답 정보를 포함할 수 있다. 일 예로, 상기 제1 응답 정보 내지 제6 응답 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
그리고, 상기 방법은 관리 서버(110)가 제1 정보(및/또는 제2 정보)에 기반하여 취약점에 대한 정보를 생성하여 출력하는 단계를 포함할 수 있다(S340).
일 예로, 관리 서버(110)는 상기 제1 응답 정보 내지 제6 응답 정보에 기반하여 상기 취약점에 대한 정보를 생성할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 취약점에 대한 정보를 생성할 수도 있다.
예를 들면, 관리 서버(110)는 i) 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 등의 복수의 제1 질문 정보 각각에 대한 제1 응답 정보에 기반하여 하드웨어 측면의 취약점을 나타내는 제1 취약점 정보를 생성하고, ii) 충분치 않은 테스팅(적은 횟수의 테스팅), 감사 추적의 부족 등의 복수의 제2 질문 정보 각각에 대한 제2 응답 정보에 기반하여 소프트웨어 측면의 취약점을 나타내는 제2 질문 정보를 생성하고, iii) 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 등의 복수의 제3 질문 정보 각각에 대한 제3 응답 정보에 기반하여 네트워크 측면의 취약점을 나타내는 제3 취약점 정보를 생성하고, iv) 부적절한 리쿠르팅 과정, 부적절한 보안 인식 등의 복수의 제4 질문 정보 각각에 대한 제4 응답 정보에 기반하여 직원 측면의 취약점을 나타내는 제4 취약점 정보를 생성하고, v) 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 등의 복수의 제5 질문 정보 각각에 대한 제5 응답 정보에 기반하여 위치 측면의 취약점을 나타내는 제5 취약점 정보를 생성하고, vi) 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 등의 복수의 제6 질문 정보 각각에 대한 제6 응답 정보에 기반하여 관리 기관 측면의 취약점을 나타내는 제6 취약점 정보를 생성할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 제1 취약점 정보 내지 제6 취약점 정보를 생성할 수도 있다. 또한 상기 제1 취약점 정보 내지 제6 취약점 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
다른 예로, 관리 서버(110)는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및/또는 보안감사 각각에 관련되는 복수의 질문 정보 및 상기 복수의 질문 정보 각각에 상응하는 상기 제1 사용자의 답변 정보에 기반하여 상기 취약점에 대한 정보를 생성할 수 있다. 이때 관리 서버(110)는 제1 사용자의 개인 정보를 더 고려하여 상기 취약점에 대한 정보를 생성할 수도 있다. 또한 상기 취약점에 대한 정보는 i) 각 항목에 상응하는 ‘예(YES)’ 또는 ‘아니오(NO)’로 표현되거나, ii) 각 항목에 상응하는 ‘상’, ‘중’, 또는 ‘하’로 표현되거나, iii) 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
예를 들면, 상기 제2 정보는 정성적인 평가(qualitative analysis)를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치를 포함할 수 있다. 다시 말해, 관리 서버(110)는 정성적인 평가를 포함하는 제2 정보에 기반하여, 상기 정성적인 평가에 상응하는 평가 수치를 결정하고, 상기 평가 수치를 포함하는 정보(즉, 취약점에 대한 정보)를 생성할 수 있다.
삭제
그리고, 본 발명의 일 실시예에 따른 방법은 제1 사용자의 제1 정보(및/또는 제2 정보)와 인증 심사(인증심사의 심사일자)까지 남은 기간이 제1 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다.
일 예로, 상기 제1 정보 내 제1 사용자의 개인 정보에 기반하여 인증 절차가 완료된 후에만 그 다음 단계가 실행될 수도 있다.
그리고, 상기 방법은 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 출력하는 단계를 포함할 수 있다.
제1 서비스 기준은 인증 심사(인증심사의 심사일자)까지 남은 기간이 제1 기간 임계치보다 낮은 경우에 만족할 수 있다.
원격 지원 서비스는, 예를 들면, 전문 상담원이 제1 사용자의 PC 화면을 원격으로 지원하여 소프트웨어 측면에서의 취약점을 해결하기 위한 서비스일 수 있다.
이와 관련하여, 상기 제1 서비스 기준은 상기 소프트웨어 측면에 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 소정의 임계치보다 낮거나 및/또는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 소정의 다른 임계치보다 낮은 경우에만 만족될 수도 있다.
그리고, 상기 방법은 제1 사용자의 제1 정보(및/또는 제2 정보)와 인증 심사(인증심사의 심사일자)까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다.
그리고, 상기 방법은 제2 서비스 기준이 만족되는지 여부에 기반하여 전문가 출동 서비스를 제공함을 나타내는 정보를 생성하여 출력하는 단계를 포함할 수 있다.
제2 서비스 기준은 인증 심사(인증심사의 심사일자)까지 남은 기간이 제2 기간 임계치보다 낮은 경우에 만족할 수 있다. 여기서 상기 제2 기간 임계치는 상기 제1 기간 임계치보다 낮게 설정될 수 있다.
전문가 출동 서비스는, 예를 들면, 제1 사용자의 근무지(또는 회사)에 정보보호 인증 서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함할 수 있다.
한편, 전문가 출동 서비스를 통하여 제1 사용자의 근무지에 출장 가는 전문가는, 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 전문화되어 매칭될 수 있다. 관리 서버(110)는 이러한 매칭 정보를 저장할 수 있으며, 상기 제2 서비스 기준이 만족되면 본 발명의 정보보호 인증 서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 상기 매칭 정보를 제1 사용자에게 제공할 수 있다. 일 예로, 상기 매칭 정보는 복수의 전문가 각각에 매칭되는 전문 분야, 전문가 등급, 및 긴급 출장 서비스 가부에 대한 정보를 포함할 수 있다.
그리고, 상기 방법은 제1 사용자의 제1 정보(및/또는 제2 정보)와 인증 심사(인증심사의 심사일자)까지 남은 기간이 제3 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다.
그리고, 상기 방법은 제3 서비스 기준이 만족되는지 여부에 기반하여 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력하는 단계를 포함할 수 있다.
제3 서비스 기준은 인증 심사(인증심사의 심사일자)까지 남은 기간이 제3 기간 임계치보다 낮은 경우에 만족할 수 있다. 여기서 상기 제3 기간 임계치는 상기 제2 기간 임계치보다 낮게 설정될 수 있다.
긴급 출장 서비스는, 예를 들면, 제1 사용자의 근무지(또는 회사)에 정보보호 인증 서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함하되, 상기 출장 서비스가 소정의 기간 내에 제공되는 서비스일 수 있다. 이는 인증심사의 심사일자까지 남은 기간이 상대적으로 많이 짧게 남은 경우에 빠른 대응을 원하는 고객(제1 사용자)을 위한 서비스일 수 있다.
이와 같이 본 발명의 일 실시예는 타겟 엔티티의 취약점을 자동으로 진단 분석하기 위한 관리 서버(110)에 있어서, 상기 타겟 엔티티와 신호를 송수신하는 통신 모듈(112); 및 상기 통신 모듈(112)을 제어하고, 제1 사용자의 제1 정보를 수신하고, 상기 제1 정보에 기반하여 인증 절차를 수행하고, 상기 제1 사용자의 제2 정보를 수신하고, 상기 제1 정보 및 상기 제2 정보 중 적어도 어느 하나에 기반하여 취약점에 대한 정보를 생성하여 출력하는 제어 모듈(111)을 포함하는 관리 서버(110)를 제안한다. 상기 제2 정보는 정성적인 평가를 포함하는 평가 정보를 포함하고, 상기 취약점에 대한 정보는 상기 제2 정보의 정성적인 평가를 포함하는 평가 정보에 상응하는 평가 수치(또는 분야 평가 수치)를 포함할 수 있다.
상기 제어 모듈(111)은, 상기 취약점에 대한 정보의 평가 수치(또는 분야 평가 수치)를 임계치와 비교하고, 상기 평가 수치(또는 분야 평가 수치)가 상기 임계치보다 보다 낮은 경우에는 제3 정보를 생성하여 출력하고, 상기 평가 수치(또는 분야 평가 수치)가 상기 임계치 이상이면 제4 정보를 생성하여 출력하는 것을 특징으로 할 수 있다.
상기 제1 정보는 상기 제1 사용자의 개인 정보를 포함하고, 상기 개인 정보는 이름, 식별자, 비밀번호, 이메일 주소, 및 상기 관리 서버에 의해 생성되는 리워드를 나타내는 정보를 포함하고, 상기 평가 정보는 정책관리, 자산관리, 진단관리, 위험관리, 증적관리, 및 보안감사에 관한 것일 수 있다. 또한 상기 평가 정보는 전술한 제5 답변 정보 내지 제10 답변 정보 중 적어도 어느 하나를 포함할 수도 있다.
상기 제어 모듈(111)은, 상기 취약점에 대한 정보에 기반하여 최대 취약 부문을 판단하고, 상기 평가 수치(또는 분야 평가 수치) 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 분석 정보를 생성하여 출력하고, 상기 분석 정보 및 상기 최대 취약 부문에 기반하여 상기 타겟 엔티티에 대한 진단 분석 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(111)은, 상기 제1 정보, 상기 제2 정보, 및 인증 심사까지 남은 기간이 제1 서비스 기준을 만족하는지 여부를 판단하고, 상기 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(111)은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하고, 상기 제2 서비스 기준이 만족되는지 여부에 기반하여 전문가 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
상기 제어 모듈(111)은, 상기 제1 정보, 상기 제2 정보, 및 상기 인증 심사까지 남은 기간이 제3 서비스 기준을 만족하는지 여부를 판단하고, 상기 제3 서비스 기준이 만족되는지 여부에 기반하여 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 출력할 수 있다.
이와 관련하여 본 발명의 일 실시예는 후술하는 X-1단계 내지 X-6단계에 상응하는 동작을 포함하는 방법을 포함할 수 있다.
본 발명의 일 실시예에 따른 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)까지 남은 기간'이 제1 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(X-1단계).
일 예로, 상기 제1 정보에 포함되는 제1 사용자의 개인 정보에 기반하여 인증 절차가 완료된 후에만 후술할 X-2단계 내지 X-6단계 단계가 실행되거나, 상기 인증 절차가 완료된 경우에만 제1 서비스 기준, 제2 서비스 기준, 및/또는 제3 서비스 기준이 만족되는 것으로 판단되도록 설정될 수도 있다.
그리고, 상기 방법은 제1 서비스 기준이 만족되는지 여부에 기반하여 원격 지원 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 상기 제1 사용자 단말을 통하여 상기 원격 지원 서비스를 제공하도록 제어하는 단계를 포함할 수 있다(X-2단계).
제1 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제1 기간 임계치(예; 10일, 1주일 등)보다 낮은 경우에 만족할 수 있다. '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제1 서비스 기준은 상기 소프트웨어 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제1 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제2 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제1 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제1 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제2 수치 임계치보다 낮은 경우에만 만족될 수도 있다.
원격 지원 서비스는, 예를 들면, 본 발명의 정보보호 인증서비스를 제공하는 업체에 종사하는 자(예; 전문 상담원, 컨설턴트 등)가 제1 사용자(고객)의 컴퓨터(PC) 및/또는 단말을 원격으로 조작(및/또는 제어)하여 상기 제1 수치 임계치보다 낮게 평가된 평가 수치(또는 분야 평가 수치)(및/또는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보))에 상응하는 소프트웨어 측면에서의 취약점을 해결할 수 있도록 하는 서비스일 수 있다.
그리고, 상기 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제2 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(X-3단계).
그리고, 상기 방법은 제2 서비스 기준이 만족되는지 여부에 기반하여 관리 서버(110)가 전문가 출동 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 제1 사용자에게 상기 전문가 출동 서비스를 제공되도록 상기 제1 사용자에 대한 정보 및 상기 긴급 출장 서비스를 요청하는 메시지를 특정 전문가의 단말에게 전송하는 단계를 포함할 수 있다(X-4단계).
제2 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제2 기간 임계치(예; 7일, 72시간 등)보다 낮은 경우에 만족할 수 있다. 여기서 상기 제2 기간 임계치는 상기 제1 기간 임계치(예; 10일, 1주일 등)보다 낮게 설정될 수 있다(제어 모듈(210)에 의해 설정). '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점을 나타내거나, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제2 서비스 기준은 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제3 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제4 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제2 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제3 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제4 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 예를 들면, 상기 제3 수치 임계치는 전술한 제1 수치 임계치보다 낮게 설정될 수 있으며, 상기 제4 수치 임계치는 전술한 제2 수치 임계치보다 낮게 설정될 수 있다.
전문가 출동 서비스는 제1 사용자(고객)의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함할 수 있다. 전문가 출동 서비스는, 예를 들면, 제1 사용자(고객)의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함할 수 있다.
한편, 전문가 출동 서비스를 통하여 제1 사용자의 근무지에 출장 가는 전문가는 본 발명의 정보보호 인증서비스를 제공하는 업체에 종사하는 자(예; 전문 상담원, 컨설턴트 등)로서, 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 전문화되어 매칭될 수 있다. 관리 서버(110)는 이러한 매칭 테이블 정보를 저장할 수 있으며, 상기 제2 서비스 기준이 만족되면 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 상기 매칭 테이블 정보를 제1 사용자(고객)에게 제공할 수 있다.
일 예로, 상기 매칭 테이블 정보는 아래의 표 4와 같을 수 있다.
전문 분야 | 등급 | 긴급 출장 서비스 가부 | |
제1 전문가 | 하드웨어 분야 | 3등급 | 가능 |
제2 전문가 | 소프트웨어 분야 | 3등급 | 불가 |
제3 전문가 | 하드웨어 분야, 네트워크 분야 | 2등급 | 가능 |
제4 전문가 | 직원 분야, 위치 분야, 관리 기관 분야 | 1등급 | 불가 |
제5 전문가 | 소프트웨어 분야 | 3등급 | 불가 |
제6 전문가 | 소프트웨어 분야, 네트워크 분야 | 2등급 | 불가 |
상기 표 4와 같은 매칭 테이블 정보를 확인한 제1 사용자(고객)는 상기 표 4를 통하여 표시되는 전문가들(예; 제1 전문가 내지 제6 전문가) 중에서 특정 전문가를 선택할 수 있으며, 이 경우 상기 특정 전문가에 의한 전문가 출장 서비스가 사용자에게 제공될 수 있다. 또한 이를 안내하는 메시지(및/또는 정보)가 상기 제1 사용자의 단말을 통하여 출력될 수 있다.
그리고, 상기 방법은 '제1 사용자의 제1 정보(및/또는 제2 정보)'와 '인증 심사(및/또는 인증 심사의 심사 일자)까지 남은 기간'이 제3 서비스 기준을 만족하는지 여부를 판단하는 단계를 포함할 수 있다(X-5단계).
그리고, 상기 방법은 제3 서비스 기준이 만족되는지 여부에 기반하여 관리 서버(110)가 긴급 출장 서비스를 제공함을 나타내는 정보를 생성하여 제1 사용자 단말을 통하여 출력하도록 제어하거나 및/또는 제1 사용자에게 상기 긴급 출장 서비스를 제공되도록 상기 제1 사용자에 대한 정보 및 상기 긴급 출장 서비스를 요청하는 메시지를 특정 전문가의 단말에게 전송하는 단계를 포함할 수 있다(X-6단계).
제3 서비스 기준은 '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'으로부터 '인증 심사(및/또는 인증 심사의 심사 일자)'까지 남은 기간이 제3 기간 임계치(예; 3일, 36시간 등)보다 낮은 경우에 만족할 수 있다. 여기서 상기 제3 기간 임계치는 상기 제2 기간 임계치(예; 7일, 72시간 등)보다 낮게 설정될 수 있다(제어 모듈(210)에 의해 설정). '사용자가 본 발명의 정보보호 인증서비스를 신청하는 시점(또는 현재 시점)'은, 상기 사용자가 본 발명의 정보보호 인증서비스를 신청하는 요청 메시지(및/또는 정보)가 관리 서버(110)에 입력되는 시점, 및/또는 상기 관리 서버(110)에 의해 확인되는 시점을 나타낼 수 있다.
또한 상기 제3 서비스 기준은 하드웨어 분야(측면), 소프트웨어 분야(측면), 네트워크 분야(측면), 직원 분야(측면), 위치 분야(측면), 관리 기관 분야(측면) 중 적어도 어느 하나에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제5 수치 임계치보다 낮거나 및/또는 상기 소프트웨어 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제6 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 또한 상기 제3 서비스 기준은 상기 다른 측면에 상응하는 취약점에 대한 정보에 상응하는 평가 수치(또는 분야 평가 수치)가 제5 수치 임계치보다 낮거나 및/또는 다른 측면에 상응하는 위험관리에 대한 정보(또는 제1 위험관리 정보 내지 제10 위험관리 정보 또는 위험관리 수준에 대한 정보)가 제6 수치 임계치보다 낮은 경우에만 만족될 수도 있다. 예를 들면, 상기 제5 수치 임계치는 전술한 제3 수치 임계치보다 낮게 설정될 수 있으며, 상기 제6 수치 임계치는 전술한 제4 수치 임계치보다 낮게 설정될 수 있다.
긴급 출장 서비스는, 예를 들면, 제1 사용자의 근무지(또는 회사)에 정보보호 인증서비스와 관련되는 취약점을 관리해주거나 상담해줄 수 있는 전문가의 출장 서비스를 포함하되, 상기 출장 서비스가 소정의 기간 내에 제공되는 서비스일 수 있다. 상기 소장의 기간은 상기 긴급 출장 서비스가 신청된 시점으로부터 특정 기간을 나타낼 수 있다. 이러한 특징을 통해 본 발명은 인증 심사의 심사 일자까지 남은 기간이 부족한 경우(및/또는 여유 기간이 상대적으로 짧게 남은 경우)에 빠른 대응을 원하는 고객(제1 사용자)을 위한 서비스를 제공할 수 있다.
또한 상기 제3 서비스 기준이 만족되면, 관리 서버(110)는 본 발명의 정보보호 인증서비스를 제공하거나 지원하는 웹사이트 및/또는 모바일앱을 통하여 상기 매칭 테이블 정보를 제1 사용자(고객)에게 제공되거나, 및/또는 상기 제1 사용자의 단말을 통하여 출력되도록 제어할 수 있다. 일 예로, 상기 매칭 테이블 정보는 전술한 표 4와 같을 수 있다. 상기 표 4와 같은 매칭 테이블 정보를 확인한 제1 사용자(고객)는 상기 표 4를 통하여 표시되는 전문가들(예; 제1 전문가, 제3 전문가 등과 같이 '긴급 출장 서비스 가부'에 '가능'으로 체크된 전문가) 중에서 특정 전문가를 선택할 수 있으며, 이 경우 상기 특정 전문가에 의한 전문가 출장 서비스가 사용자에게 제공될 수 있다. 또한 이를 안내하는 메시지(및/또는 정보)가 상기 제1 사용자의 단말을 통하여 출력될 수 있다.
한편, 상기 X-1단계 내지 X-6단계는 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 X-1단계 내지 X-6단계 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.
그리고 관리 서버(110)는, 예를 들면, 제1 사용자가 제1 사용자 단말을 통하여 본 발명의 웹사이트 및/또는 모바일앱에 입력하여 상기 관리 서버(110)에 전달되는 '취약점에 대한 정보'에 기반하여 하드웨어 측면, 소프트웨어 측면, 네트워크 측면, 직원 측면, 위치 측면, 관리 기관 측면 각각에 상응하는 평가 수치(또는 분야 평가 수치)를 산출할 수 있다. 예를 들면, 관리 서버(110)는 i) 습도에의 민감성, 먼지에의 민감성, 오염에의 민감성, 보호되지 않은 저장소에의 민감성 각각에 상응하는 평가 수치들에 기반하여 하드웨어 측면에 대한 제1 분야 평가 수치를 산출하고, ii) 충분치 않은 테스팅(적은 횟수의 테스팅), 감사 추적의 부족 각각에 상응하는 평가 수치에 기반하여 소프트웨어 측면에 대한 제2 분야 평가 수치를 산출하고, iii) 보호되지 않은 통신 라인, 안전하지 않은 네트워크 구조 각각에 상응하는 평가 수치에 기반하여 네트워크 측면에 대한 제3 분야 평가 수치를 산출하고, iv) 부적절한 리쿠르팅 과정, 부적절한 보안 인식 각각에 상응하는 평가 수치에 기반하여 직원 측면에 대한 제4 분야 평가 수치를 산출하고, v) 홍수의 위험이 있는 지역, 신뢰성 없는 전력 공급 각각에 상응하는 평가 수치에 기반하여 위치 측면에 대한 제5 분야 평가 수치를 산출하고, vi) 정기적 감사의 부족, 지속적 계획의 부족, 보안의 부족 각각에 상응하는 평가 수치에 기반하여 관리 기관 측면에 대한 제6 분야 평가 수치를 산출할 수 있다. 이때 관리 서버(110)는 상기 제1 사용자의 개인 정보를 더 고려하여 상기 제1 분야 평가 수치 내지 제6 분야 평가 수치를 산출할 수도 있다. 또한 상기 평가 수치는, 예를 들면, 각 항목에 상응하는 정수값 1 내지 10의 점수(수치)로 표현될 수 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 즉 본 발명의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은 본 발명의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한 상기 각각의 실시예는 필요에 따라 서로 조합되어 운용할 수 있다. 예컨대, 본 발명의 모든 실시예는 일부분들이 서로 조합되어 시스템(200), 관리 서버(110), 및/또는 사용자 단말(120)에 의해 구현될 수 있다.
또한, 본 발명에 따른 시스템(200), 관리 서버(110), 및/또는 사용자 단말(120)을 제어하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.
이와 같이, 본 발명의 다양한 실시예들은 특정 관점에서 컴퓨터 리드 가능 기록 매체(computer readable recording medium)에서 컴퓨터 리드 가능 코드(computer readable code)로서 구현될 수 있다. 컴퓨터 리드 가능 기록 매체는 컴퓨터 시스템에 의해 리드될 수 있는 데이터를 저장할 수 있는 임의의 데이터 저장 디바이스이다. 컴퓨터 리드 가능 기록 매체의 예들은 읽기 전용 메모리(read only memory: ROM)와, 랜덤-접속 메모리(random access memory: RAM)와, 컴팩트 디스크- 리드 온니 메모리(compact disk-read only memory: CD-ROM)들과, 마그네틱 테이프(magnetic tape)들과, 플로피 디스크(floppy disk)들과, 광 데이터 저장 디바이스들, 및 캐리어 웨이브(carrier wave)들(인터넷을 통한 데이터 송신 등)을 포함할 수 있다. 컴퓨터 리드 가능 기록 매체는 또한 네트워크 연결된 컴퓨터 시스템들을 통해 분산될 수 있고, 따라서 컴퓨터 리드 가능 코드는 분산 방식으로 저장 및 실행된다. 또한, 본 발명의 다양한 실시예들을 성취하기 위한 기능적 프로그램들, 코드, 및 코드 세그먼트(segment)들은 본 발명이 적용되는 분야에서 숙련된 프로그래머들에 의해 쉽게 해석될 수 있다.
또한 본 발명의 다양한 실시예들에 따른 장치 및 방법은 하드웨어, 소프트웨어 또는 하드웨어 및 소프트웨어의 조합의 형태로 실현 가능하다는 것을 알 수 있을 것이다. 이러한 소프트웨어는 예를 들어, 삭제 가능 또는 재기록 가능 여부와 상관없이, ROM 등의 저장 장치와 같은 휘발성 또는 비휘발성 저장 장치, 또는 예를 들어, RAM, 메모리 칩, 장치 또는 집적 회로와 같은 메모리, 또는 예를 들어 콤팩트 디스크(compact disk: CD), DVD, 자기 디스크 또는 자기 테이프 등과 같은 광학 또는 자기적으로 기록 가능함과 동시에 기계(예를 들어, 컴퓨터)로 읽을 수 있는 저장 매체에 저장될 수 있다. 본 발명의 다양한 실시예들에 따른 방법은 제어부(제어 모듈(111, 121)) 및 메모리를 포함하는 컴퓨터 또는 휴대 단말에 의해 구현될 수 있고, 이러한 메모리는 본 발명의 실시예들을 구현하는 명령들을 포함하는 프로그램 또는 프로그램들을 저장하기에 적합한 기계로 읽을 수 있는 저장 매체의 한 예임을 알 수 있을 것이다.
따라서, 본 발명은 본 명세서의 청구항에 기재된 장치 또는 방법을 구현하기 위한 코드를 포함하는 프로그램 및 이러한 프로그램을 저장하는 기계(컴퓨터 등)로 읽을 수 있는 저장 매체를 포함한다. 또한, 이러한 프로그램은 유선 또는 무선 연결을 통해 전달되는 통신 신호와 같은 임의의 매체를 통해 전자적으로 이송될 수 있고, 본 발명은 이와 균등한 것을 적절하게 포함한다.
본 명세서와 도면에 개시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고, 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 또한 앞서 설명된 본 발명에 따른 실시예들은 예시적인 것에 불과하며, 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 다음의 특허청구범위에 의해서 정해져야 할 것이다.
Claims (5)
- 정보보호 인증 서비스를 제공하는 시스템에 있어서,
고객이 운용하는 단말로서, 상기 정보보호 인증 서비스를 제공하는 웹사이트 및 모바일앱 중 적어도 어느 하나가 실행되는 고객 단말; 및
상기 웹사이트 및 모바일앱을 운용하는 관리 서버(management server); 를 포함하고,
상기 관리 서버는,
하드웨어에 관한 제1 질문 정보, 소프트웨어에 관한 제2 질문 정보, 네트워크에 관한 제3 질문 정보, 직원에 관한 제4 질문 정보, 위치에 관한 제5 질문 정보 및 관리 기관에 관한 제6 질문 정보를 생성하여 상기 고객 단말에서 실행되는 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력(output)하도록 제어하고,
상기 제1 질문 정보에 대한 상기 고객의 제1 응답 정보, 상기 제2 질문 정보에 대한 상기 고객의 제2 응답 정보, 상기 제3 질문 정보에 대한 상기 고객의 제3 응답 정보, 상기 제4 질문 정보에 대한 상기 고객의 제4 응답 정보, 상기 제5 질문 정보에 대한 상기 고객의 제5 응답 정보 및 상기 제6 질문 정보에 대한 상기 고객의 제6 응답 정보를 상기 고객 단말로부터 수신하도록 제어하고,
상기 제1 응답 정보 내지 상기 제6 응답 정보에 기반하여 상기 관리 서버의 인공지능망을 학습시키고,
상기 학습된 인공지능망을 이용하여, 상기 제1 응답 정보 내지 상기 제6 응답 정보에 기반하여, 위험관리 수준에 대한 정보를 생성하여 상기 고객 단말에서 실행되는 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력하도록 제어하는 것을 특징으로 하고,
상기 위험관리 수준에 대한 정보는 위험관리 수준에 대한 정보, 및 관리보안에 상응하는 제1 위험도에 대한 정보, 기술보안에 상응하는 제2 위험도에 대한 정보를 포함하는,
상기 관리 서버는,
상기 제1 응답 정보에 기반하여 제1 취약점 정보를 생성하고, 상기 제2 응답 정보에 기반하여 제2 취약점 정보를 생성하고, 상기 제3 응답 정보에 기반하여 제3 취약점 정보를 생성하고, 상기 제4 응답 정보에 기반하여 제4 취약점 정보를 생성하고, 상기 제5 응답 정보에 기반하여 제5 취약점 정보를 생성하고, 상기 제6 응답 정보에 기반하여 제6 취약점 정보를 생성하되, 상기 취약점에 대한 정보는 상기 제1 취약점 정보 내지 상기 제6 취약점 정보를 포함하고,
상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 대한 평가 수치를 평가하되, 상기 평가 수치는 1 내지 10 중 어느 하나로 표현되고,
상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 대한 평가 수치 중에서 가장 낮은 평가 수치를 식별하고,
상기 가장 낮은 평가 수치에 상응하는 하드웨어, 소프트웨어, 네트워크, 직원, 위치 또는 관리 기관 중 어느 하나를 최대 취약 부문으로 설정하고,
가장 낮은 평가 수치와 상기 최대 취약 부문에 기반하여 진단 분석 정보를 생성하되, 상기 진단 분석 정보는 상기 최대 취약 부문에 대한 조치와 상기 조치에 필요한 최소 시간을 나타내는 정보를 포함하고,
상기 제1 응답 정보 내지 상기 제6 응답 정보에 기반하여 기밀성 여부에 대한 정보, 무결성 여부에 대한 정보, 및 가용성 여부에 대한 정보를 중 적어도 어느 하나를 생성하여 출력하고,
제1 서비스는, 정보보호 인증서비스에 대한 전문 컨설턴트가 상기 고객 단말을 원격 제어하는 서비스를 포함하고, 상기 소프트웨어에 관한 서비스이고,
제2 서비스는 상기 정보보호 인증서비스에 대한 전문 컨설턴트에게 상기 고객의 근무지에 출장을 요청하는 과정을 포함하되, 상기 고객에게 소정의 기간 이내에 제공되는 서비스와 상기 소정의 기간을 초과하여 제공되는 서비스를 포함하고,
제3 서비스는, 상기 정보보호 인증서비스에 대한 전문 컨설턴트에게 상기 고객의 근무지에 출장을 요청하는 과정을 포함하되, 상기 고객에게 상기 소정의 기간 이내에만 제공되는 서비스이고,
상기 관리 서버는,
상기 고객이 신청한 제1 인증 심사의 심사일자를 나타내는 제1 시점을 식별하고,
현재 시점으로부터 상기 제1 시점까지 남은 기간이 상기 조치에 필요한 최소 시간보다 긴 경우, 상기 진단 분석 정보를 상기 고객 단말을 통하여 출력(output)되도록 제어하고,
상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 상기 조치에 필요한 최소 시간 이하인 경우, 상기 제1 서비스 내지 상기 제3 서비스에 대한 정보와 상기 조치에 필요한 최소 시간보다 긴 여유 기간을 갖는 제2 인증 심사를 제안하는 정보를 생성하여 상기 고객 단말을 통하여 출력되도록 제어하고,
상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제1 기간 임계치보다 낮고, 상기 소프트웨어에 관한 제2 취약점 정보에 상응하는 평가 수치가 제1 수치 임계치보다 낮은 경우에 상기 제1 서비스를 제공하도록 제어하고,
상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제2 기간 임계치보다 낮고, 상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 상응하는 평가 수치 중 어느 하나가 제2 수치 임계치보다 낮은 경우에 상기 제2 서비스를 제공하도록 제어하고,
상기 현재 시점으로부터 상기 제1 시점까지 남은 기간이 제3 기간 임계치보다 낮고, 상기 제1 취약점 정보 내지 상기 제6 취약점 정보 각각에 상응하는 평가 수치 중 어느 하나가 제3 수치 임계치보다 낮은 경우에 상기 제3 서비스를 제공하도록 제어하는 것을 특징으로 하고,
상기 제3 기간 임계치는 상기 제2 기간 임계치보다 낮은 기간을 나타내고, 상기 제2 기간 임계치는 상기 제1 기간 임계치보다 낮은 기간을 나타내고,
상기 제3 수치 임계치는 상기 제2 수치 임계치보다 낮은 수치를 나타내고, 상기 제2 수치 임계치는 상기 제1 수치 임계치보다 낮은 수치를 나타내는 것을 특징으로 하는,
시스템.
- ◈청구항 2은(는) 설정등록료 납부시 포기되었습니다.◈제 1 항에 있어서,
상기 관리 서버는,
상기 기밀성 여부에 대한 정보, 상기 무결성 여부에 대한 정보, 및 상기 가용성 여부에 대한 정보에 기반하여 위험 등급을 나타내는 정보를 생성하여 상기 고객 단말에서 실행되는 상기 웹사이트 및 모바일앱 중 적어도 어느 하나를 통하여 출력(output)하도록 제어하는,
시스템. - 삭제
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200040868A KR102164203B1 (ko) | 2020-04-03 | 2020-04-03 | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200040868A KR102164203B1 (ko) | 2020-04-03 | 2020-04-03 | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 |
Related Child Applications (4)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200126660A Division KR102232883B1 (ko) | 2020-09-29 | 2020-09-29 | 정보보호 관리체계 인증을 위한 인공지능 시스템 |
KR1020200126653A Division KR102233695B1 (ko) | 2020-09-29 | 2020-09-29 | 정보보호 위험분석을 수행하는 정보통신 시스템 |
KR1020200126657A Division KR102233698B1 (ko) | 2020-09-29 | 2020-09-29 | 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템 |
KR1020200126649A Division KR102233694B1 (ko) | 2020-09-29 | 2020-09-29 | 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102164203B1 true KR102164203B1 (ko) | 2020-10-13 |
Family
ID=72885209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200040868A KR102164203B1 (ko) | 2020-04-03 | 2020-04-03 | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102164203B1 (ko) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100752677B1 (ko) | 2006-04-19 | 2007-08-29 | ㈜ 메타리스크 | 정보기술 위험관리시스템 및 그 방법 |
JP2013196191A (ja) * | 2012-03-16 | 2013-09-30 | Ricoh Co Ltd | 情報処理装置およびプログラム |
KR20180105688A (ko) * | 2016-01-24 | 2018-09-28 | 사이드 캄란 하산 | 인공 지능을 기반으로 한 컴퓨터 보안 |
-
2020
- 2020-04-03 KR KR1020200040868A patent/KR102164203B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100752677B1 (ko) | 2006-04-19 | 2007-08-29 | ㈜ 메타리스크 | 정보기술 위험관리시스템 및 그 방법 |
JP2013196191A (ja) * | 2012-03-16 | 2013-09-30 | Ricoh Co Ltd | 情報処理装置およびプログラム |
KR20180105688A (ko) * | 2016-01-24 | 2018-09-28 | 사이드 캄란 하산 | 인공 지능을 기반으로 한 컴퓨터 보안 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10021138B2 (en) | Policy/rule engine, multi-compliance framework and risk remediation | |
US9912686B2 (en) | Methods and systems for enhancing data security in a computer network | |
US10019677B2 (en) | Active policy enforcement | |
US8769412B2 (en) | Method and apparatus for risk visualization and remediation | |
CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
Al-Matouq et al. | A maturity model for secure software design: a multivocal study | |
Bugeja et al. | IoTSM: an end-to-end security model for IoT ecosystems | |
Knowles et al. | Assurance techniques for industrial control systems (ics) | |
Kohnke et al. | Implementing cybersecurity: A guide to the national institute of standards and technology risk management framework | |
KR102122702B1 (ko) | 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템 | |
CA2921126C (en) | Methods and systems for enhancing data security in a computer network | |
KR102233695B1 (ko) | 정보보호 위험분석을 수행하는 정보통신 시스템 | |
KR102127656B1 (ko) | 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템 | |
KR102164203B1 (ko) | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 | |
KR102233694B1 (ko) | 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템 | |
KR102233698B1 (ko) | 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템 | |
KR102232883B1 (ko) | 정보보호 관리체계 인증을 위한 인공지능 시스템 | |
Pero et al. | Increasing security and efficiency in supply chains: a five-step approach | |
Pan et al. | Analytics and cybersecurity: The shape of things to come | |
Davis | Auditing Information and Cyber Security Governance: A Controls-based Approach | |
Sigler et al. | Securing an IT organization through governance, risk management, and audit | |
Presley | Effective Cybersecurity Risk Management in Projects | |
Asfaw | Cyber Security Auditing Framework (CSAF) For Banking Sector in Ethiopia | |
Anggorojati | Government efforts toward promoting IoT security awareness for end users: A study of existing initiatives | |
Bellasio et al. | Developing Cybersecurity Capacity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
A107 | Divisional application of patent | ||
GRNT | Written decision to grant |