KR102176324B1 - 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법 - Google Patents

임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법 Download PDF

Info

Publication number
KR102176324B1
KR102176324B1 KR1020200033692A KR20200033692A KR102176324B1 KR 102176324 B1 KR102176324 B1 KR 102176324B1 KR 1020200033692 A KR1020200033692 A KR 1020200033692A KR 20200033692 A KR20200033692 A KR 20200033692A KR 102176324 B1 KR102176324 B1 KR 102176324B1
Authority
KR
South Korea
Prior art keywords
account
diagnosis
command
authorization
security vulnerability
Prior art date
Application number
KR1020200033692A
Other languages
English (en)
Inventor
김필중
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020200033692A priority Critical patent/KR102176324B1/ko
Application granted granted Critical
Publication of KR102176324B1 publication Critical patent/KR102176324B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하며, 계정에 관리자 권한을 부여하는 계정설정부, 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부 및 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 포함하고, 상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈과 상기 계정에 관리자 권한을 부여하는 권한부여모듈을 포함하며, 상기 권한부여모듈은 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하여 프로그램이 지정된 명령어 실행만 가능하게 함으로써 외부에서 해킹 등을 통해 보안정책을 우회하여 시스템을 제어하는 것을 방지하고 원하지 않는 명령어 실행을 방지하는 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법에 관한 것이다.

Description

임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법{Automatic Target Recognition And Screening System For Security Vulnerability Check and Its Method}
본 발명은 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법에 관한 것으로, 더욱 상세하게는, 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하며, 계정에 관리자 권한을 부여하는 계정설정부, 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부 및 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 포함하고, 상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈과 상기 계정에 관리자 권한을 부여하는 권한부여모듈을 포함하며, 상기 권한부여모듈은 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하여 프로그램이 지정된 명령어 실행만 가능하게 함으로써 외부에서 해킹 등을 통해 보안정책을 우회하여 시스템을 제어하는 것을 방지하고 원하지 않는 명령어 실행을 방지하는 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법에 관한 것이다.
정보자산 내의 정보의 중요성과 정보의 양이 커짐에 따라, 네트워크 상 보안의 중요성 역시 대두되었다. 정보자산의 보안을 위하여 통합보안관리시스템, 위협관리시스템, 방화벽 등의 보안장비 및 보안시스템이 사용되고 있다. 현재 지속적이고 가변성인 사이버 침해 시도 증가에 따라 많은 양의 보안이벤트가 발생하고 있으며 변화하는 공격에 대한 효율적인 대응이 필요한 상황이다.
보안 취약점 점검이란 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협이나 점검대상시스템에서 관리하는 중요 데이터의 유출, 변조, 삭제에 대한 위협이 발생할 수 있는 사항들에 대하여 점검하는 것으로, 점검대상시스템에 보안취약점이 존재하고 있는지에 대한 점검 작업을 수행한 후 점검대상시스템의 보안수준을 분석하는 것을 지칭한다.
보안 취약점 점검 대상이 되는 시스템이 클라이언트 PC, 네트워크 장비 등 여러 종류가 있음에 따라, 보안 취약점을 점검하는 Agent를 진단대상시스템에 설치하여 보안 취약점을 점검하는 경우도 있고, Agent를 진단대상시스템에 설치할 수 없음에 따라 매니저 시스템에서 명령어나 스크립트를 전송하고 응답을 수신한 후 매니저 시스템에서 보안 취약점을 점검하는 경우도 존재한다.
도 1은 종래의 보안성 진단방법 및 이를 위한 컴퓨터 프로그램에 대한 도면으로, 보안성 진단 서버가 진단대상시스템에 설치된 에이전트를 통해 네트워크로 연동된 진단대상시스템에 대한 보안성 진단을 수행하고, 에이전트는 진단 대상 시스템에 설치 및 구동되는 프로그램으로, 보안성 진단과 관련된 데이터를 수집하고 이를 진단 서버로 전송한다.
이러한 시스템의 취약점 분석 프로그램은 취약점 진단을 위한 스크립트나 취약점 정보의 수집을 위한 편의성과 유연함을 위해 관리자(root) 계정으로 설치되고 실행된다. 관리자(root) 계정이란, 유닉스 계열의 운영체제에서 모든 권한을 가지고 있는 최고 관리자가 사용하는 ID를 의미하며, User ID 번호는 0번에 해당한다. 이론적으로 상기 root 계정에서는 시스템 환경에 영향을 미치는 모든 명령을 내릴 수 있기 때문에, 분석 스크립트 또는 코드에 개발자의 실수로 인해 진단대상시스템에 문제를 일으킬 수 있는 명령어가 삽입되거나, 해킹 등에 의해 rm -rf과 같은 의도하지 않은 명령어가 실행된다면 시스템에 장애를 초래할 수 있다. 또한, 관리자 권한으로 실행되는 진단대상시스템의 에이전트를 위해 모든 서버의 root 패스워드를 데이터화하여 공유하여야 한다. 이러한 약점은 외부로부터의 주요 공격대상이 되어 진단대상시스템 또는 서버와 연결된 네트워크의 보안을 위협하는 요인이 된다.
이를 방지하기 위해서 보안 취약점 진단을 오로지 관리자 권한이 없는 일반 계정으로만 수행하는 것은 불가능하다. 외부로부터의 위협 가능성을 판단하기 위해서는 시스템 변경이나 시스템 파일의 열람을 필요로 하기 때문에, 보안취약점의 진단이나 진단을 위한 정보 수집시에는 관리자 권한에서의 명령 수행이 필수적이다.
따라서, 진단대상시스템 내에서의 에이전트 프로그램의 설치 및 동작은 관리자 권한의 계정이 아닌 일반 권한으로 수행하고, 보안 취약점의 진단에 있어서만 임시로 관리자 권한을 획득하여 관리자 권한이 필요한 명령어들을 수행하여 취약점을 진단함으로써, 서버에서 관리자(root) 권한을 사용하는 시간을 최소화하여 외부 위협요소로부터 시스템 및 서버 네트워크를 보호하고 지정된 명령어만을 수행하여 보안취약점 점검시스템의 오류를 최소화시키는 진단시스템이 요구된다.
한국등록특허공보 제10-1620601호(2016.05.04.)
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로,
본 발명의 목적은, 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명의 목적은, 계정에 관리자 권한을 부여하는 계정설정부 및 상기 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부를 포함하되, 상기 계정설정부는 상기 통신부가 진단대상시스템의 보안취약점 진단 수행에 따른 권한 요청을 수신하는 경우 상기 계정에 관리자 권한을 부여하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명의 목적은, 상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈과 상기 계정에 관리자 권한을 부여하는 권한부여모듈을 포함하며, 상기 권한부여모듈은 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명의 목적은, 상기 권한부여모듈은 상기 계정에 대해 sudo 명령을 통하여 관리자 권한을 부여하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명의 목적은, 상기 통신부는 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 접속모듈, 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 하는 명령전송모듈 및 상기 진단대상시스템으로부터의 리턴 및 요청을 수신하는 수신모듈을 포함하여 진단대상시스템과의 명령어 및 정보교류를 통해 보안취약점을 진단하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명의 목적은, 상기 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 더 포함하고, 상기 결과처리부는 상기 진단대상시스템으로부터 수신한 리턴을 파싱하는 파싱모듈, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 결과추출모듈 및 상기 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명은, 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 임시 권한부여를 통한 보안취약점 진단시스템은 계정에 관리자 권한을 부여하는 계정설정부 및 상기 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부를 포함하되, 상기 계정설정부는 상기 통신부가 진단대상시스템의 보안취약점 진단 수행에 따른 권한 요청을 수신하는 경우 상기 계정에 관리자 권한을 부여하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈과 상기 계정에 관리자 권한을 부여하는 권한부여모듈을 포함하며, 상기 권한부여모듈은 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 권한부여모듈은 상기 계정에 대해 sudo 명령을 통하여 관리자 권한을 부여하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 계정설정부는 상기 계정에 관리자 권한 부여 시 실행가능한 명령어를 지정하는 명령어 지정모듈을 더 포함하고, 통신부는 상기 명령어 또는 명령어의 조합을 상기 진단대상시스템에 전송하여 보안취약점 점검을 수행하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 통신부는 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 접속모듈, 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 하는 명령전송모듈 및 상기 진단대상시스템으로부터의 리턴 및 요청을 수신하는 수신모듈을 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 더 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 본 발명은, 상기 결과처리부는 상기 진단대상시스템으로부터 수신한 리턴을 파싱하는 파싱모듈, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 결과추출모듈 및 상기 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 취약점 판단모듈을 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은, 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 효과를 가진다.
본 발명은, 계정에 관리자 권한을 부여하는 계정설정부 및 상기 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부를 포함하되, 상기 계정설정부는 상기 통신부가 진단대상시스템의 보안취약점 진단 수행에 따른 권한 요청을 수신하는 경우 상기 계정에 관리자 권한을 부여하는 효과가 있다.
본 발명은, 상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈과 상기 계정에 관리자 권한을 부여하는 권한부여모듈을 포함하며, 상기 권한부여모듈은 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하는 효과를 수반한다.
본 발명은, 상기 권한부여모듈은 상기 계정에 대해 sudo 명령을 통하여 관리자 권한을 부여하는 효과를 제공한다.
본 발명은, 상기 통신부는 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 접속모듈, 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 하는 명령전송모듈 및 상기 진단대상시스템으로부터의 리턴 및 요청을 수신하는 수신모듈을 포함하여 진단대상시스템과의 명령어 및 정보교류를 통해 보안취약점을 진단하는 임시 권한부여를 통한 보안취약점 진단시스템을 제공하는 효과를 가진다.
본 발명은, 상기 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 더 포함하고, 상기 결과처리부는 상기 진단대상시스템으로부터 수신한 리턴을 파싱하는 파싱모듈, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 결과추출모듈 및 상기 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 효과를 가진다.
도 1은 종래의 보안성 진단방법 및 이를 위한 컴퓨터 프로그램에 대한 도면
도 2는 본 발명의 바람직한 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단시스템(1)의 블록도
도 3은 본 발명에 따른 계정설정부(10)의 블록도
도 4는 관리자 권한을 가진 root 계정, 일반 사용자계정, 임시 권한부여 계정의 경우 진단대상시스템 내의 에이전트가 어떤 명령을 수행하는지를 도시한 도면
도 5는 본 발명의 일 실시예에 따른 통신부(30)의 블록도
도 6은 UNIX 서버에서 불필요한 tftp, talk 서비스 비활성화 여부를 점검하는 것과 네트워크장비에서 사용하지 않는 tftp서비스 포트 차단여부를 점검하는 명령을 나타낸 도면
도 7은 본 발명의 일 실시예에 따른 결과처리부(50)의 블록도
도 8은 본 발명의 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단방법(S)의 순서도
이하에서는 본 발명에 따른 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법의 바람직한 실시 예들을 첨부된 도면을 참고하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 공지의 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 특별한 정의가 없는 한 본 명세서의 모든 용어는 본 발명이 속하는 기술분야의 통상의 지식을 가진 기술자가 이해하는 당해 용어의 일반적 의미와 동일하고 만약 본 명세서에서 사용된 용어의 의미와 충돌하는 경우에는 본 명세서에서 사용된 정의에 따른다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니고, 다른 구성요소 또한 더 포함할 수 있는 것을 의미하며, 명세서에 기재된 "~부","~모듈" 등의 용어는 적어도 하나 이상의 기능이나 동작을 처리하는 단위를 의미하고, 이는 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단시스템(1)의 블록도이다. 도 2를 참고하면, 본 발명의 바람직한 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단시스템(1)은 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하고 전송된 명령에 따라 진단대상시스템 내의 Agent에서 전송되는 보안취약점 진단 또는 보안취약점 정보에 해당하는 리턴을 수신하고, 결과파일을 파싱하여 보안취약점 진단을 수행함으로써 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하여 프로그램이 지정된 명령어 실행만 가능하게 함으로써 외부에서 해킹 등을 통해 보안정책을 우회하여 시스템을 제어하는 것을 방지하고 원하지 않는 명령어 실행을 방지할 수 있다. 상기 임시 권한부여를 통한 보안취약점 진단시스템(1)은 계정설정부(10), 통신부(30) 및 결과처리부(50)를 포함한다.
도 3은 본 발명에 따른 계정설정부(10)의 블록도이다. 도 3을 참고하면, 상기 계정설정부(10)는 시스템 또는 서버에 진단대상시스템(T) 내에서 에이전트를 설치하고 실행할 수 있는 계정을 등록하고, 상기 계정에 관리자 권한을 부여하여 에이전트가 진단대상시스템(T)의 보안취약점 진단을 수행할 수 있도록 한다. 에이전트(Agent)는 진단대상시스템(T) 내에 설치되어 진단대상시스템 내에서 보안취약점 진단을 실시하거나, 보안취약점 진단을 위한 정보를 수집할 수 있다. 에이전트를 설치하기 어렵거나 따로 설치공간을 가지고 있지 않으며, 스크립트가 실행되지 않는 진단대상시스템(T)에 해당하는 네트워크 서버, 보안시스템 장비나 데이터베이스 시스템 등의 경우 에이전트리스 방식으로 보안취약점 점검을 실시하는 본 발명의 다른 실시예에서도, 관리자 권한(root) 계정이 아닌 계정을 등록하고 관리자 권한을 부여하고 명령을 전송하도록 함으로써 보안취약점 진단이 수행될 수 있다.
상기 계정설정부(10)는 진단대상시스템에 접속하여 에이전트를 설치 및 실행시키거나, 진단대상시스템이 에이전트리스 방식인 경우 명령어 등을 전송하기 위해 계정을 설정 또는 등록할 수 있다. 일반적으로 생성되는 계정은 관리자 권한이 없는 계정에 해당하는데, 본 발명에 따른 계정설정부(10)에서 등록되는 계정도 관리자 권한(root)이 없도록 한다. 그러나 진단대상시스템의 보안취약점을 진단하기 위해서는 관리자 권한이 필요하다. 관리자 계정의 점유를 최소화하여 원치 않은 명령어의 실행과 외부로부터의 침입을 차단하기 위해서, 본 발명에서는 계정설정부(10)가 진단대상시스템의 보안취약점 진단 수행에 따른 권한 요청을 수신하는 경우 상기 계정에 관리자 권한을 부여하도록 구비될 수 있다. 상기 계정설정부(10)는 계정생성모듈(11), 명령어 지정모듈(13) 및 권한부여모듈(15)을 포함한다.
상기 계정생성모듈(11)은 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하도록 구비된다. 상기 계정생성모듈(11)에서 생성된 계정은 관리자 권한을 가지는 계정이 아니고, 필요에 따라 관리자 권한을 부여받을 수 있다. 본 발명의 바람직한 일 실시예에 있어서는, 관리자 권한의 부여를 sudo 명령을 사용하여 부여할 수 있는데, 이를 위해서는 생성된 해당 계정에 관리자 권한을 부여할 수 있도록 지정해야 한다. 이를 위해, 본 발명의 바람직한 일 실시예에서는 /etc/sudoers에 생성된 계정을 등록하여 필요시 관리자 권한을 획득하도록 할 수 있다.
sudo 설정 파일 /etc/sudoers에서 지정하거나 직접 부여할 수 있으며, /etc/sudoers 파일을 cat 명령으로 확인할 수 있다. 여기서 설정된 내용에 따라 sudo 실행가능한 권한정보를 얻을 수 있다. 예를 들면, 관리자 권한을 가지는 root 계정은 아래와 같은 권한을 가지며, 모든 명령어에 대해 루트 권한을 가진다.
# User privilege specification
root ALL=(ALL:ALL) ALL
이와 같이, 계정을 생성하고 등록하여 명령에 대한 관리자 권한을 가지도록 할 수 있다.
상기 명령어 지정모듈(13)은 상기 계정생성모듈(11)에서 생성된 계정에 대해 관리자 권한을 허용할 명령어를 지정한다. 진단대상시스템에 접속하여 명령을 수행하는 계정에 모든 명령어에 대해서 관리자 권한을 부여하는 경우, 실행되어서는 안되는 명령어가 진단대상시스템에서 실행되는 등 종래의 기술과 같은 문제점이 발생할 수 있다. 따라서, 상기 명령어 지정모듈(13)은 상기 계정이 진단대상시스템에 접속하여 취약점 진단을 진행하는 것에 필요한 명령어만을 지정함으로써, 해당 명령어를 수행할 때만 sudo를 통해 관리자 권한을 얻도록 할 수 있다.
본 발명의 일 실시예로써, 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위, 사전, 추측 대입 공격) 시도 시 로그인을 차단하는지 진단할 수 있다. 이 경우 로그인 실패 임계값이란, 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값이다. 상기 임계값이 설정되어있지 않는 경우 반복되는 로그인 시도에 대한 차단이 일어나지 않아 각종 공격에 취약하여 비인가자에게 시스템의 계정정보를 탈취당할 수 있다. 상기 진단을 하기 위하여, 리눅스에서는 다음과 같은 명령어를 사용할 수 있다.
#cat /etc/pam.d/system-auth
auth required /lib security/pam)tally.so deny=5
unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root
reset
상기와 같은 실시예와 같이, 취약점 점검에 사용되는 명령어를 사용하는 경우에만 sudo를 통해 관리자 권한을 부여하도록 명령어 지정모듈(13)에서 명령어를 지정할 수 있다.
상기 권한부여모듈(15)은 계정에 관리자 권한을 부여하도록 구비된다. 진단대상시스템의 Agent에서 취약점진단을 위한 권한을 요청하는 경우, 상기 권한부여모듈(15)이 상기 계정에 관리자 권한을 부여하여 취약점 진단을 위한 명령을 수행할 수 있도록 한다. 취약점 진단을 위한 작업 또는 명령은 진단대상시스템의 시스템파일을 열람하거나 변경하기 때문에 관리자 권한이 필요하다. 상기 권한부여모듈(15)은 취약점 진단을 위한 계정에 영구적으로 관리자 권한을 부여하는 것이 아니라, 해당 명령을 전송하고 수행하는 경우에만 임시적으로 관리자 권한을 부여함으로써, 잘못된 명령이 수행되거나 해킹 등이 시도되어 잘못된 명령이 실행되는 것을 방지할 수 있다.
도 4는 관리자 권한을 가진 root 계정, 일반 사용자계정, 임시 권한부여 계정의 경우 진단대상시스템 내의 에이전트가 어떤 명령을 수행하는지를 도시한 도면이다. 도 4를 참고하면, root 계정의 경우 에이전트에 모든 명령을 보낼 수 있고, 진단대상시스템은 모든 명령을 수행할 수 있게 된다. 오류나 해킹 등으로 인해 진단대상시스템이 수행하면 안되는 명령어가 수행되는 경우 진단대상시스템에 큰 문제를 야기할 수 있기 때문에, 이러한 방식은 지양된다.
다음으로 일반 사용자 계정의 경우에는 시스템 파일을 변화시키거나 열람할 수는 없어 해킹이나 명령 오류 등의 문제에서는 비교적 안전하다고 볼 수 있으나, 일반적인 명령만 수행가능하므로 보안취약점 진단에는 적합하지 않다.
반면 임시로 계정에 관리자 권한을 부여하는 경우, 바람직하게는 sudo 명령을 통해 권한이 부여될 수 있는데, 이러한 경우에는 지정된 명령어 범위에서만 명령어 수행이 가능하고, 관리자 권한도 가지게 되며, 명령 수행 이후에는 관리자 권한이 회수되므로 진단대상시스템의 보안취약점 진단이 가능하면서도 해킹 등에 의한 보안문제를 방지할 수 있다.
도 5는 본 발명의 일 실시예에 따른 통신부(30)의 블록도이다. 도 5를 참고하면, 상기 통신부(30)는 보안 취약점 점검 대상이 되는 진단대상시스템에 명령을 전송하고 결과를 수신하도록 구비된다. 통신부(30)에서 명령어, 프로그램 또는 스크립트를 전송하고 진단대상시스템(T)의 응답인 결과를 수신함에 따라 후술하는 결과처리부(50)에서 진단대상시스템(T)을 분석하고 분류할 수 있다. 상기 통신부(30)는 접속모듈(31), 명령전송모듈(33), 수신모듈(35)을 포함한다.
상기 접속모듈(31)은 상기 진단대상시스템에 설정된 접근방법을 통해 접속할 수 있도록 구비된다. 점검 대상 시스템에 해당하는 진단대상시스템에 대한 IP 주소와 접근방법(Telnet, SSH 등), 접근 권한(ID, Password)이 지정되어 있는 경우 지정된 방법을 통해 접속할 수 있으며, 접근방법이나 접근 권한이 지정되어 있지 아니하는 경우에는 소정의 방식을 통해 접속방법을 탐지하여 접속을 시도할 수 있다. 여기서 소정의 방식이란 데이터베이스 상에서 유사한 IP주소 또는 Hostname 등 인식가능한 레이블을 통해 접근방법과 접근권한을 탐색하는 것으로, 적어도 하나 이상의 진단대상시스템(T)에 대한 데이터에서 접근방법과 접근권한을 추출하여 접속을 시도할 수 있다. 본 발명의 바람직한 일 실시예에서는 상기 접속모듈(31)은 계정설정부(10)에서 생성되고 지정된 계정을 통해 진단대상시스템에 접속하도록 구비될 수 있다.
상기 명령전송모듈(33)은 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 한다. 본 발명의 바람직한 일 실시예에 있어서, 상기 명령전송모듈(33)에서 전송되는 커맨드는 명령어나 스크립트 또는 프로그램일 수 있다. 도 6에서 볼 수 있는 바와 같이 명령어 또는 명령어 그룹, 스크립트를 전송하여 진단대상시스템의 진단관련정보를 수집하여 결과를 생성한다. 진단관련정보란 진단대상시스템(T)의 보안취약점의 점검을 위해서 수집되는 정보이다. 시스템의 운영체제(OS)나 소프트웨어, 네트워크 등에는 외부로부터의 사이버 공격의 기반이 되는 취약점이 존재하게 되는데, 시스템의 경우 시스템에 접근권한을 제어하는 계정 및 패스워드, 시스템 구성, 백도어 등이 보안취약점으로 존재하며, 네트워크의 경우 HTTP, SMTP, FTP 등의 경로를 통하여 사이버공격이 이루어질 수 있다. 이러한 사이버 공격을 방지하기 위하여 네트워크와 시스템에 공격이 용이하게 이루어질 수 있는지를 점검하게 되는데 이를 보안취약점 점검이라 하며, 여러 점검항목의 데이터를 분석하여야 한다. 바람직하게는 패스워드 관련 취약점, 패킷 관련 취약점, 포트 관련 취약점 등에 관한 정보들이 수집된다. 상기 결과는 수집된 진단관련정보를 포함하며, 텍스트 형식 또는 파이너리 형식의 파일로 생성될 수 있다.
상기 수신모듈(35)은 상기 진단대상시스템으로부터의 리턴 및 요청을 수신하도록 구비된다. 명령전송모듈(33)로부터 전송된 명령어에 따라 진단대상시스템(T)에서 명령 수행시 상기와 같은 결과가 발생하는데, 수신모듈(35)은 이 결과를 수신하여 후술하는 결과처리부(50)에서 이를 분석할 수 있도록 한다.
또한, 상기 수신모듈(35)은 진단대상시스템으로부터의 권한 요청을 수신하여 상기 계정설정부(10)로 전달할 수 있다. 에이전트가 설치된 진단대상시스템(T)에서는 에이전트의 보안취약점 진단을 수행할 때 진단 또는 진단관련정보 취합을 위한 관리자 권한을 요청할 수 있다. 이때 상기 수신모듈(35)은 에이전트로부터의 관리자 권한 요청을 수신하고, 계정설정부(10)로 이를 전달하여 상기 권한부여모듈(15)이 관리자 권한을 부여할 수 있도록 한다.
도 7은 본 발명의 일 실시예에 따른 결과처리부(50)의 블록도이다. 도 7을 참고하면, 상기 결과처리부(50)는 진단대상시스템으로부터 수신된 결과로부터 상기 진단대상시스템의 정보를 추출하고 진단대상시스템의 보안취약점을 진단하도록 구비된다. 상기 결과처리부(50)가 수신한 결과를 분석으로써, 진단대상시스템의 보안취약점을 분석할 수 있다. 상기 결과처리부(50)는 파싱모듈(51), 결과추출모듈(53) 및 취약점 판단모듈(55)을 포함한다.
상기 파싱모듈(51)은 진단대상시스템으로부터 수신한 결과를 파싱하도록 구비된다. 여기서, 전송되는 명령어 또는 스크립트에 따라 결과가 상이할 수 있으므로 상기 파싱모듈(51)은 데이터베이스(미도시)에 저장된 파싱기준 또는 입력되는 파싱기준에 따라 결과를 파싱하게 된다.
상기 결과추출모듈(53)은 상기 파싱모듈(51)에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하도록 구비된다. 파싱정보는 진단대상시스템의 보안취약점 점검항목에 관련된 정보를 포함하므로, 결과추출모듈(53)에 의해 추출되는 진단관련정보는 진단대상시스템의 패스워드 취약성, 패킷 취약성 등의 정보에 해당한다.
상기 취약점 판단모듈(55)은 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하도록 구비된다. 결과추출모듈(53)에서 추출된 진단관련정보는 수, 스트링, True of False 등 여러 유형의 값을 가지는데, 데이터베이스로부터 판단기준을 불러와 상기 진단관련정보와 비교하여 진단관련시스템의 취약성 여부를 판단한다. 판단결과는 데이터베이스(미도시)에 저장될 수 있다.
상술한 바에 따라 본 발명의 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단시스템(1)이 구현된다. 이하에서는 도면을 참고하여 임시 권한부여를 통한 보안취약점 진단방법(S)을 설명하도록 한다.
도 8은 본 발명의 일 실시예에 따른 임시 권한부여를 통한 보안취약점 진단방법(S)의 순서도이다. 도 8을 참고하면, 상기 임시 권한부여를 통한 보안취약점 진단방법(S)은 진단대상시스템에 접속하여 상기 진단대상시스템의 보안취약점을 진단하되, 상기 진단대상시스템에서 보안취약점 진단을 수행하는 경우에만 계정에 관리자 권한을 부여하여 명령을 전송하고 전송된 명령에 따라 진단대상시스템 내의 Agent에서 전송되는 보안취약점 진단 또는 보안취약점 정보에 해당하는 리턴을 수신하고, 결과파일을 파싱하여 보안취약점 진단을 수행함으로써 상기 계정에 대해 권한 요청에 따른 명령 수행 시에만 관리자 권한을 부여하여 프로그램이 지정된 명령어 실행만 가능하게 함으로써 외부에서 해킹 등을 통해 보안정책을 우회하여 시스템을 제어하는 것을 방지하고 원하지 않는 명령어 실행을 방지한다. 상기 임시 권한부여를 통한 보안취약점 진단방법(S)은 계정설정단계(S10), 통신단계(S30), 결과처리단계(S50)를 포함한다.
상기 계정설정단계(S10)는 시스템 또는 서버에 진단대상시스템(T) 내에서 에이전트를 설치하고 실행할 수 있는 계정을 등록하고, 상기 계정에 관리자 권한을 부여하여 에이전트가 진단대상시스템(T)의 보안취약점 진단을 수행할 수 있도록 하는 단계이다.
상기 노드 탐지단계(S11)는 네트워크에서 연결된 진단대상시스템을 스캔하도록 구비되며, 본 발명의 바람직한 일 실시예에 있어서는 포트스캔 방식으로 네트워크에 연결된 시스템을 탐지할 수 있다. 상기 계정설정단계(S10)는 진단대상시스템에 접속하여 에이전트를 설치 및 실행시키거나, 진단대상시스템이 에이전트리스 방식인 경우 명령어 등을 전송하기 위해 계정을 설정 또는 등록할 수 있다. 일반적으로 생성되는 계정은 관리자 권한이 없는 계정에 해당하는데, 본 발명에 따른 계정설정단계(S10)에서 등록되는 계정도 관리자 권한(root)이 없도록 한다. 그러나 진단대상시스템의 보안취약점을 진단하기 위해서는 관리자 권한이 필요하다. 관리자 계정의 점유를 최소화하여 원치 않은 명령어의 실행과 외부로부터의 침입을 차단하기 위해서, 본 발명에서는 계정설정단계(S10)에서 진단대상시스템의 보안취약점 진단 수행에 따른 권한 요청을 수신하는 경우 상기 계정에 관리자 권한을 부여하도록 구비될 수 있다. 상기 계정설정단계(S10)는 계정생성단계(S11), 명령어 지정단계(S13) 및 권한부여단계(S15)를 포함한다.
상기 계정생성단계(S11)는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성한다. 상기 계정생성단계(S11)에서 생성된 계정은 관리자 권한을 가지는 계정이 아니고, 필요에 따라 관리자 권한을 부여받을 수 있다. 본 발명의 바람직한 일 실시예에 있어서는, 관리자 권한의 부여를 sudo 명령을 사용하여 부여할 수 있는데, 이를 위해서는 생성된 해당 계정에 관리자 권한을 부여할 수 있도록 지정해야 한다.
상기 명령어 지정단계(S13)는 상기 계정생성단계(S11)에서 생성된 계정에 대해 관리자 권한을 허용할 명령어를 지정하는 단계이다. 진단대상시스템에 접속하여 명령을 수행하는 계정에 모든 명령어에 대해서 관리자 권한을 부여하는 경우, 실행되어서는 안되는 명령어가 진단대상시스템에서 실행되는 등 종래의 기술과 같은 문제점이 발생할 수 있다. 따라서, 상기 명령어 지정단계(S13)에서는 상기 계정이 진단대상시스템에 접속하여 취약점 진단을 진행하는 것에 필요한 명령어만을 지정함으로써, 해당 명령어를 수행할 때만 sudo를 통해 관리자 권한을 얻도록 할 수 있다. 전술한 실시예와 같이, 취약점 점검에 사용되는 명령어를 사용하는 경우에만 sudo를 통해 관리자 권한을 부여하도록 명령어 지정단계(S13)에서 명령어를 지정할 수 있다.
상기 권한부여단계(S15)는 계정에 관리자 권한을 부여한다. 진단대상시스템의 Agent에서 취약점진단을 위한 권한을 요청하는 경우, 상기 권한부여단계(S15)를 거쳐 상기 계정에 관리자 권한을 부여하여 취약점 진단을 위한 명령을 수행할 수 있도록 한다. 취약점 진단을 위한 작업 또는 명령은 진단대상시스템의 시스템파일을 열람하거나 변경하기 때문에 관리자 권한이 필요하다. 상기 권한부여단계(S15)에서는 취약점 진단을 위한 계정에 영구적으로 관리자 권한을 부여하는 것이 아니라, 해당 명령을 전송하고 수행하는 경우에만 임시적으로 관리자 권한을 부여함으로써, 잘못된 명령이 수행되거나 해킹 등이 시도되어 잘못된 명령이 실행되는 것을 방지할 수 있다. 상기 권한부여단계(S15)는 통신부(30)에서 권한요청을 전달하는 권한요청단계(S32) 이후에 시행되어 관리자 권한을 부여할 수 있다.
상기 통신단계(S30)는 통신부(30)에서 수행되며, 보안 취약점 점검 대상이 되는 진단대상시스템에 명령을 전송하고 결과를 수신하는 단계이다. 통신단계(S30)에서 명령어, 프로그램 또는 스크립트를 전송하고 진단대상시스템(T)의 응답인 결과를 수신함에 따라 후술하는 결과처리부(50)에서 진단대상시스템(T)을 분석하고 분류할 수 있다. 상기 통신단계(S30)는 접속단계(S31), 권한요청단계(S32), 명령전송단계(S33), 수신단계(S35)를 포함한다.
상기 접속단계(S31)는 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 단계이다. 점검 대상 시스템에 해당하는 진단대상시스템에 대한 IP 주소와 접근방법(Telnet, SSH 등), 접근 권한(ID, Password)이 지정되어 있는 경우 지정된 방법을 통해 접속할 수 있으며, 접근방법이나 접근 권한이 지정되어 있지 아니하는 경우에는 소정의 방식을 통해 접속방법을 탐지하여 접속을 시도할 수 있다. 여기서 소정의 방식이란 데이터베이스 상에서 유사한 IP주소 또는 Hostname 등 인식가능한 레이블을 통해 접근방법과 접근권한을 탐색하는 것으로, 적어도 하나 이상의 진단대상시스템(T)에 대한 데이터에서 접근방법과 접근권한을 추출하여 접속을 시도할 수 있다. 본 발명의 바람직한 일 실시예에서는 상기 접속단계(S31)는 계정설정단계(S10)에서 생성되고 지정된 계정을 통해 진단대상시스템에 접속하도록 구비될 수 있다.
상기 권한요청단계(S32)는 진단대상시스템(T)으로부터의 관리자 권한 요청을 수신하고, 계정이 관리자 권한을 받아 명령을 수행할 수 있도록 하기 위하여 계정설정부(10)에 관리자 권한 부여를 요청하는 단계이다. 수신모듈(35)에서 진단대상시스템의 에이전트로부터 보안취약점 진단을 위해 전송된 관리자 권한 요청은 통신부(30)를 거쳐 계정설정부(10)로 전해진다. 계정설정부(10)는 이에 응답하여 권한부여모듈(15)이 계정에 관리자 권한을 부여한다.
상기 명령전송단계(S33)는 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 한다. 본 발명의 바람직한 일 실시예에 있어서, 상기 명령전송단계(S33)에서 전송되는 커맨드는 명령어나 스크립트 또는 프로그램일 수 있다. 명령어 또는 명령어 그룹, 스크립트를 전송하여 진단대상시스템의 진단관련정보를 수집하여 결과를 생성한다. 상기 결과는 수집된 진단관련정보를 포함하며, 텍스트 형식 또는 파이너리 형식의 파일로 생성될 수 있다.
상기 결과수신단계(S35)는 상기 진단대상시스템으로부터의 결과를 수신하는 단계이다. 상기 명령전송단계(S33)에서 전송된 명령어에 따라 진단대상시스템(T)에서 명령 수행시 진단관련정보를 포함하는 결과가 발생하는데, 결과수신단계(S35)에서는 상기 결과를 수신하여 후술하는 결과처리부(50)에서 이를 분석할 수 있도록 한다.
상기 결과처리단계(S50)는 진단대상시스템으로부터 수신된 결과로부터 상기 진단대상시스템의 정보를 추출하고 진단대상시스템의 보안취약점을 진단하는 과정이다. 상기 결과처리단계(S50)에서 수신한 결과를 분석함으로써, 종국적으로 진단대상시스템의 보안취약점을 분석할 수 있다. 상기 결과처리단계(S50)는 파싱단계(S51), 결과추출단계(S53) 및 취약점 판단단계(S55)를 포함한다.
상기 파싱단계(S51)는 진단대상시스템으로부터 수신한 결과를 파싱하는 과정이다. 여기서, 전송되는 명령어 또는 스크립트에 따라 결과가 상이할 수 있으므로 상기 파싱단계(S51)에서는 데이터베이스(미도시)에 저장된 파싱기준 또는 입력되는 파싱기준에 따라 결과를 파싱하게 된다.
상기 결과추출단계(S53)는 상기 파싱단계(S51)에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 과정이다. 파싱정보는 진단대상시스템의 보안취약점 점검항목에 관련된 정보를 포함하므로, 결과추출단계(S53)에서 추출되는 진단관련정보는 진단대상시스템의 패스워드 취약성, 패킷 취약성 등의 정보에 해당한다.
상기 취약점 판단단계(S55)는 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 과정이다. 결과추출단계(S53)에서 추출된 진단관련정보는 수, 스트링, True of False 등 여러 유형의 값을 가지는데, 데이터베이스로부터 판단기준을 불러와 상기 진단관련정보와 비교하여 진단관련시스템의 취약성 여부를 판단한다. 판단결과는 데이터베이스(미도시)에 저장될 수 있다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한, 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
1: 임시 권한부여를 통한 보안취약점 진단시스템
10: 계정설정부 11: 계정생성모듈
13: 명령어 지정모듈 15: 권한부여모듈
30: 통신부 31: 접속모듈
33: 명령전송모듈 35: 수신모듈
50: 결과처리부 51: 파싱모듈
53: 결과추출모듈 55: 취약점 판단모듈
S: 보안취약점 점검 시 점검대상 자동인식 및 선별 방법
S10: 계정설정단계 S11: 계정생성단계
S13: 명령어 지정단계 S15: 권한부여단계
S30: 통신단계
S31: 접속단계 S32: 권한요청단계
S33: 명령전송단계 S35: 결과수신단계
S50: 결과처리단계 S51: 파싱단계
S53: 결과추출단계 S55: 취약점 판단단계

Claims (14)

  1. 계정에 관리자 권한을 부여하는 계정설정부 및 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신부를 포함하고,
    상기 계정설정부는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성모듈, 상기 계정에 관리자 권한을 부여하는 권한부여모듈 및 상기 계정에 관리자 권한 부여 시 실행가능한 명령어를 지정하는 명령어 지정모듈을 포함하되,
    상기 권한부여모듈은 상기 통신부가 진단대상시스템의 보안취약점 진단 수행에 따라 상기 계정에 대해 권한 요청을 수신하는 경우에만 상기 계정에 관리자 권한을 부여하며,
    상기 명령어 지정모듈은 보안취약점 진단을 수행하는 명령어만을 실행가능하도록 지정하고,
    상기 통신부는 상기 명령어 지정모듈에 의해 지정된 명령어 또는 명령어의 조합을 상기 진단대상시스템에 전송하여 보안취약점 점검을 수행하도록 하는 임시 권한부여를 통한 보안취약점 진단시스템.

  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 권한부여모듈은 상기 계정에 대해 sudo 명령을 통하여 관리자 권한을 부여하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단시스템.
  5. 삭제
  6. 제1항에 있어서, 상기 통신부는 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 접속모듈, 명령어나 스크립트 또는 프로그램을 전송하여 상기 진단대상시스템에서 명령을 수행하도록 하는 명령전송모듈 및 상기 진단대상시스템으로부터의 리턴 및 요청을 수신하는 수신모듈을 포함하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단시스템.
  7. 제1항, 제4항 또는 제6항에 있어서, 상기 임시 권한부여를 통한 보안취약점 진단시스템은 상기 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리부를 더 포함하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단시스템.
  8. 제7항에 있어서, 상기 결과처리부는 상기 진단대상시스템으로부터 수신한 리턴을 파싱하는 파싱모듈, 상기 파싱모듈에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 결과추출모듈 및 상기 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 취약점 판단모듈을 포함하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단시스템.
  9. 계정설정부에서 수행되며 계정을 서버에 등록하고 선택적으로 관리자 권한을 부여하는 계정설정단계 및 통신부에서 수행되며 보안취약점 진단의 대상인 진단대상시스템에 접속하여 요청 및 명령을 송수신하는 통신단계를 포함하고,
    상기 계정설정단계는 상기 진단대상시스템에 접속하여 명령을 수행하는 계정을 생성하는 계정생성단계, 상기 계정에 관리자 권한 부여 시 실행가능한 명령어를 지정하는 명령어 지정단계 및 상기 계정에 관리자 권한을 부여하는 권한부여단계을 포함하며,
    상기 명령어 지정단계는 보안취약점 진단을 수행하는 명령어만을 실행가능하도록 지정하고,
    상기 통신단계는 상기 진단대상시스템으로부터 보안취약점 진단 수행을 위한 관리자 권한요청을 전달하는 권한요청단계, 상기 명령어 지정단계에서 의해 지정된 명령어 또는 명령어의 조합을 전송하여 상기 진단대상시스템에 전송하여 보안취약점 점검을 수행하도록 하는 명령전송단계를 포함하고,
    상기 권한부여단계는 상기 권한요청단계에서 전달된 권한 요청을 수신하는 경우에만 상기 계정에 관리자 권한을 부여하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단방법.
  10. 삭제
  11. 제9항에 있어서, 통신단계는 상기 권한요청단계 이전에 상기 진단대상시스템에 설정된 접근방법을 통해 접속하는 접속단계, 상기 명령전송단계 이후에 상기 진단대상시스템으로부터의 리턴을 수신하는 결과수신단계를 포함하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단방법.
  12. 제9항에 있어서, 상기 권한부여단계는 상기 권한요청을 수신한 후 상기 계정에 대해 sudo 명령을 통하여 관리자 권한을 부여하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단방법.
  13. 삭제
  14. 제9항, 제11항 내지 제12항 중 어느 한 항에 있어서, 결과처리부에서 수행되며 상기 진단대상시스템으로부터의 리턴을 기반으로 하여 보안취약점을 진단하는 결과처리단계를 더 포함하고,
    상기 결과처리단계는 상기 진단대상시스템으로부터 수신한 리턴을 파싱하는 파싱단계, 상기 파싱단계에서 파싱된 파싱정보를 분석하여 상기 진단대상시스템의 진단관련정보를 추출하는 결과추출단계 및 상기 진단대상시스템의 진단관련정보와 보안취약점 판단기준을 비교하여 취약성 여부를 판단하는 취약점 판단단계를 포함하는 것을 특징으로 하는 임시 권한부여를 통한 보안취약점 진단방법.
KR1020200033692A 2020-03-19 2020-03-19 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법 KR102176324B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200033692A KR102176324B1 (ko) 2020-03-19 2020-03-19 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200033692A KR102176324B1 (ko) 2020-03-19 2020-03-19 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102176324B1 true KR102176324B1 (ko) 2020-11-10

Family

ID=73548936

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200033692A KR102176324B1 (ko) 2020-03-19 2020-03-19 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102176324B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102346480B1 (ko) * 2021-04-30 2022-01-03 주식회사 넷앤드 매크로 기반 어플리케이션 계정 관리 시스템
CN114707156A (zh) * 2022-04-14 2022-07-05 西安航空学院 一种通信软件安全性的自动化验证方法
WO2023158086A1 (ko) * 2022-02-18 2023-08-24 중부대학교 산학협력단 진단서버에 의해 제공되는 취약점 진단 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055114A (ko) * 2000-12-28 2002-07-08 구자홍 다중 사용자 컴퓨터 시스템에서의 계정 보호 장치 및방법
KR20100027213A (ko) * 2007-06-12 2010-03-10 캐논 가부시끼가이샤 정보 처리 장치, 정보 처리 방법 및 기억 매체
KR20100027556A (ko) * 2008-09-02 2010-03-11 주식회사 신한은행 로그인된 계정권한 제어를 이용한 프로그램 실행관리 방법 및 기록매체
KR101620601B1 (ko) 2015-03-04 2016-05-13 (주) 에스에스알 보안성 진단 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체
KR101883400B1 (ko) * 2017-11-20 2018-07-30 주식회사 투엘소프트 에이전트리스 방식의 보안취약점 점검 방법 및 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055114A (ko) * 2000-12-28 2002-07-08 구자홍 다중 사용자 컴퓨터 시스템에서의 계정 보호 장치 및방법
KR20100027213A (ko) * 2007-06-12 2010-03-10 캐논 가부시끼가이샤 정보 처리 장치, 정보 처리 방법 및 기억 매체
KR20100027556A (ko) * 2008-09-02 2010-03-11 주식회사 신한은행 로그인된 계정권한 제어를 이용한 프로그램 실행관리 방법 및 기록매체
KR101620601B1 (ko) 2015-03-04 2016-05-13 (주) 에스에스알 보안성 진단 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체
KR101883400B1 (ko) * 2017-11-20 2018-07-30 주식회사 투엘소프트 에이전트리스 방식의 보안취약점 점검 방법 및 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102346480B1 (ko) * 2021-04-30 2022-01-03 주식회사 넷앤드 매크로 기반 어플리케이션 계정 관리 시스템
WO2023158086A1 (ko) * 2022-02-18 2023-08-24 중부대학교 산학협력단 진단서버에 의해 제공되는 취약점 진단 방법
KR20230124189A (ko) * 2022-02-18 2023-08-25 중부대학교 산학협력단 진단서버에 의해 제공되는 취약점 진단 방법
KR102679203B1 (ko) * 2022-02-18 2024-06-26 중부대학교 산학협력단 진단서버에 의해 제공되는 취약점 진단 방법
CN114707156A (zh) * 2022-04-14 2022-07-05 西安航空学院 一种通信软件安全性的自动化验证方法
CN114707156B (zh) * 2022-04-14 2024-04-19 西安航空学院 一种通信软件安全性的自动化验证方法

Similar Documents

Publication Publication Date Title
KR102176324B1 (ko) 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법
EP3188436B1 (en) Platform for protecting small and medium enterprises from cyber security threats
Kruegel et al. Alert verification determining the success of intrusion attempts
US7162742B1 (en) Interoperability of vulnerability and intrusion detection systems
US20090271863A1 (en) Identifying unauthorized privilege escalations
US20070214504A1 (en) Method And System For Network Intrusion Detection, Related Network And Computer Program Product
CN111651757A (zh) 攻击行为的监测方法、装置、设备及存储介质
KR102160950B1 (ko) 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
KR102156379B1 (ko) 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법
Zeng et al. Full-stack vulnerability analysis of the cloud-native platform
KR20090044202A (ko) 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
Anderson Introduction to nessus
CN116318783B (zh) 基于安全指标的网络工控设备安全监测方法及装置
KR102156359B1 (ko) 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템
KR102176320B1 (ko) 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법
KR100906389B1 (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
US7734962B2 (en) Secure problem resolution techniques for complex data response networks
CN109543419B (zh) 检测资产安全的方法及装置
Chovancová et al. A clustered hybrid honeypot architecture
KR102155334B1 (ko) 다양한 진단기준을 적용한 통합 취약점 점검시스템 및 그 방법
KR102159292B1 (ko) 미식별자산 인식시스템 및 그 방법
KR102176336B1 (ko) 보안취약점 진단오류 분류방법 및 그 시스템
KR102159299B1 (ko) 보안취약점 점검 시 점검대상 자동인식 및 선별 시스템 및 그 방법
CN110399718B (zh) 一种针对工业控制系统的远程渗透取证的方法
Kim et al. A Study on Log Collection to Analyze Causes of Malware Infection in IoT Devices in Smart city Environments.

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant