KR102209774B1 - 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템 - Google Patents

개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템 Download PDF

Info

Publication number
KR102209774B1
KR102209774B1 KR1020190069881A KR20190069881A KR102209774B1 KR 102209774 B1 KR102209774 B1 KR 102209774B1 KR 1020190069881 A KR1020190069881 A KR 1020190069881A KR 20190069881 A KR20190069881 A KR 20190069881A KR 102209774 B1 KR102209774 B1 KR 102209774B1
Authority
KR
South Korea
Prior art keywords
log
inspection
check
detailed information
period
Prior art date
Application number
KR1020190069881A
Other languages
English (en)
Other versions
KR20200142717A (ko
Inventor
김국영
Original Assignee
(주)에스지시큐리티컨설팅
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에스지시큐리티컨설팅 filed Critical (주)에스지시큐리티컨설팅
Priority to KR1020190069881A priority Critical patent/KR102209774B1/ko
Publication of KR20200142717A publication Critical patent/KR20200142717A/ko
Application granted granted Critical
Publication of KR102209774B1 publication Critical patent/KR102209774B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템에 관한 것으로, 본 발명이 해결하고자 하는 과제는 개인정보취급자가 개인정보처리시스템을 이용하는 과정에서 발생할 수 있는 의도적이거나 비의도적인 권한 오남용을 방지하고, 그에 따른 개인정보 유출사고 위험을 최소화하는데 있다.
일례로, 개인정보취급자가 소속된 부서를 계층화하여 등록하고, 부서 내 개인정보취급자를 개별 부서원으로 등록하고, 등록된 부서 및 부서원 정보를 수정 및 편집하고, 등록 부서원의 직책, ID 및 IP를 등록 및 삭제하기 위한 부서 관리부; 로그 데이터 원본이 저장되어 있는 데이터베이스의 연결 및 연결해제를 위한 데이터베이스 연결 관리부; 상기 데이터베이스에 등록된 로그의 포맷 등록, 수정, 자동/수동 백업 및 검색 기능을 제공하는 로그 관리부; 시스템에 저장되어 있는 백업파일의 로그 목록을 검색하기 위한 백업 로그 통합 검색부; 및 점검 대상 로그에 대한 비업무시간 접근 점검, 전기 대비 활동량 점검, 부서 평균 대비 활동량 점검, 전기 대비 URL 접근량 점검, 전기 대비 파일 다운로드량 점검, 로그인 실패율 점검, 무차별 대입 공격 점검, 세션 탈취 점검 기능, 공용계정 사용빈도 점검, 중요 URL 미인가 IP 접근 점검, 중요 파일 미인가 IP 접근 점검, 중요 URL 미인가 ID 접근 점검, 중요 파일 미인가 ID 접근 점검, 위험 쿼리문 점검, 백업 로그 위변조 점검, DDoS 점검, 및 사용자 등록 점검 기능을 제공하는 점검 룰셋 관리부를 포함하는 로그 점검 시스템을 개시한다.

Description

개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템{PERSONAL INFORMATION PROCESSING LOG SYSTEM FOR PREVENTING ABUSE OF AURTHORITY OF PERSONAL INFORMATION}
본 발명의 실시례는 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템에 관한 것이다.
로그(Log)는 사용자가 시스템에 접속하여 수행한 행위 내역에 대해 식별자, 접속일시, 접속지 등을 알 수 있는 정보와 수행 행위 등 접속한 사실을 전자적으로 기록한 것을 말한다. 예를 들어, 접속지를 알 수 있는 정보에는 IP(Internet Protocol) 등이 있다.
이러한 로그 생성의 목적은 시스템 장애나 침해사고가 발생한 경우 원인 분석을 위한 사후 책임 추적성 확보에 있다.
시스템 장애 또는 침해사고 발생 원인 분석을 위한 다양한 종류의 로그 분석 시스템이 존재하지만, 개인정보 라이프 사이클(개인정보 수집, 저장, 이용, 제공, 파기)에 기반하여 개인정보 취급자의 업무 처리 과정에서의 권한 오남용 징후를 점검하고, 그 결과를 일목요연하게 보고하는 로그 분석 시스템은 존재하지 않는다.
따라서, 개인정보 취급자의 업무 처리 과정에서 발생할 수 있는 권한 오남용 징후를 점검하고, 그 결과 보고를 통하여 개인정보취급자의 권한 오남용을 방지할 수 있는 개인정보 로그 점검 시스템의 개발이 필요한 실정이다.
등록특허공보 제10-1640870호(등록일자: 2016년07월13일)
본 발명의 실시례는, 개인정보취급자가 개인정보처리시스템을 이용하는 과정에서 발생할 수 있는 의도적이거나 비의도적인 권한 오남용을 방지하고, 그에 따른 개인정보 유출사고 위험을 최소화할 수 있는 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템을 제공한다.
본 발명의 실시례에 따른 로그 점검 시스템은, 개인정보취급자가 소속된 부서를 계층화하여 등록하고, 부서 내 개인정보취급자를 개별 부서원으로 등록하고, 등록된 부서 및 부서원 정보를 수정 및 편집하고, 등록 부서원의 직책, ID 및 IP를 등록 및 삭제하기 위한 부서 관리부; 로그 데이터 원본이 저장되어 있는 데이터베이스의 연결 및 연결 해제를 위한 데이터베이스 연결 관리부; 상기 데이터베이스에 등록된 로그의 포맷 등록, 수정, 자동/수동 백업 및 검색 기능을 제공하는 로그 관리부; 시스템에 저장되어 있는 백업파일의 로그 목록을 검색하기 위한 백업 로그 통합 검색부; 및 점검 대상 로그에 대한 비업무시간 접근 점검, 전기 대비 활동량 점검, 부서 평균 대비 활동량 점검, 전기 대비 URL 접근량 점검, 전기 대비 파일 다운로드량 점검, 로그인 실패율 점검, 무차별 대입 공격 점검, 세션 탈취 점검 기능, 공용계정 사용빈도 점검, 중요 URL 미인가 IP 접근 점검, 중요 파일 미인가 IP 접근 점검, 중요 URL 미인가 ID 접근 점검, 중요 파일 미인가 ID 접근 점검, 위험 쿼리문 점검, 백업 로그 위변조 점검, DDoS 점검, 및 사용자 등록 점검 기능을 제공하는 점검 룰셋 관리부를 포함한다.
또한, 상기 점검 룰셋 관리부는, 점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 로딩한 상세정보를 기반으로 비업무시간의 개인정보 대량 조회를 비롯한 이상 징후를 검출하고, 검출 결과를 저장하는 비업무시간 접근 점검부; 로그 점검 기간과 직전 동일 점검 기간의 점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 로그량을 대조하여 점검 기간 중의 총 로그량의 증가율이 상세정보의 임계값 이상인 경우 해당 로그에 대한 ID를 검출하고, 검출 결과를 저장하는 전기 대비 활동량 점검부; 로그 점검 기간 중의 점검 대상 로그와 점검 룰셋의 상세정보 및 상기 부서 관리부에 등록된 부서 및 부서원 정보를 각각 로딩하고, 상기 부서 관리부에 등록된 ID 및 IP 관리정보로 각 점검 대상 로그의 인원을 식별하고, 해당 점검 기간 중 총 로그량과 소속 부서의 평균 로그량을 대조하여 그 비율이 해당 상세정보의 임계값 이상인 인원을 검출하고, 검출 결과를 저장하는 부서 평균 대비 활동량 점검부; 점검 대상 URL 접근 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 URL을 검출하고, 검출 결과를 저장하는 전기 대비 URL 접근량 점검부; 점검 대상 파일 다운로드 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 파일을 검출하고, 검출 결과를 저장하는 전기 대비 파일 다운로드량 점검부; 점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로그인 실패율이 상세정보의 임계값 이상인 경우 ID를 검출하고, 검출 결과를 저장하는 로그인 실패율 점검부; 점검 대상 로그인 시도 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 일정시간 이내에 상세정보의 임계값 이상으로 실패한 경우 해당 ID를 검출하고, 검출 시 검출된 대상의 로그인 성공 기록 존재여부를 검출하여 검출결과를 저장하는 무차별 대입 공격 점검부; 점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 성공 로그 및 점검 룰셋의 상세정보를 로딩하고, 점검 대상 활동로그의 점검 기간 중 로그를 로딩하며, 로그인 성공 로그가 존재하지 않거나 로그인 성공 이후 해당 점검 상세정보의 세션 타임아웃 시간 이상이 지난 후의 활동로그를 검출하고, 검출 결과를 저장하는 세션 탈취 점검부; 점검 대상 활동로그의 점검 기간과 직전 동일 기간의 로그 및 점검 룰셋의 상세정보를 로딩하고, 상세정보에 등록된 ID 중 점검 기간 중의 총 로그량과 직전 기간의 로그량을 대조하여 증가율이 점검 룰셋의 상세정보의 임계값 이상인 경우 해당 ID를 검출하고, 검출 결과를 저장하는 공용계정 사용빈도 점검부; 점검 대상 URL 접근 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 상세정보의 중요 URL 목록을 대조하여 검출 결과가 있는 경우 각 로그의 IP와 상세정보의 허용 IP를 대조하고, 대조 결과 각 로그의 IP가 상세정보의 허용 IP에 포함된 경우 검출 결과 미검출로 저장하고, 각 로그의 IP가 상세정보의 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 URL 미인가 IP 접근 점검부; 점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 상세정보의 중요파일명 목록을 대조하고, 검출 결과가 있는 경우 각 로그의 IP와 상세정보의 허용 IP를 대조한 후, 각 로그의 IP가 미리 설정된 허용 IP에 포함된 경우 결과 미검출로 저장하고, 각 로그의 IP가 상세정보의 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 파일 미인가 IP 접근 점검부; 점검 대상 URL 접근 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 미리 설정된 중요 URL 목록을 대조하여 검출 결과가 있는 경우 각 로그의 ID와 미리 설정된 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장하고, 각 로그의 ID가 상세정보의 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 URL 미인가 ID 접근 점검부; 점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 미리 설정된 중요파일 목록을 대조하여 검출 결과가 있는 경우 각 로그의 ID와 해당 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장하고, 각 로그의 ID가 해당 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 파일 미인가 ID 접근 점검부; 점검 대상 쿼리 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 점검 대상 쿼리 로그의 쿼리문에 로딩된 상세정보의 점검 대상의 테이블에 대한 insert문, update문과 delete문이 있는지 여부를 확인하고, insert문, update문과 delete문이 검출되는 경우 검출 결과를 저장하고, insert문, update문과 delete문이 검출되지 않은 경우 점검 대상 쿼리 로그의 쿼리문이 조건문이 없는 전체 조회 쿼리인지와 항상 참/거짓이 되는 조건문이 포함되는지를 각각 검출하고, 각각의 검출 결과를 저장하는 위험 쿼리문 점검부; 로그 점검 기간 중의 권한조작 로그를 로딩하고, 로딩한 로그의 수정 대상을 확인하여 로그 점검 기간 중 2회 이상 수정된 로그가 검출되지 않을 경우 미 검출로 저장한 후 다음 로그 대상을 점검하고, 2회 이상 수정된 로그가 검출될 경우 검출 결과를 저장한 후 검출된 권한조작 로그의 시간 사이에 활동 로그를 검출하고, 검출 결과를 저장하는 접근권한 이상 조작 점검부; 로그 수동 점검인 경우, 점검 대상 로그의 점검 기간 중에 백업한 파일들을 로딩하고, 로그 자동 점검 기간인 경우 점검 대상 로그의 모든 백업 파일들을 로딩하고, 점검 대상 파일의 백업 시 미리 저장된 해시값을 로딩하여 로딩된 해시값에 대한 검증을 수행하고, 해시값이 서로 불일치할 경우 해당 검출결과를 저장하고, 해시값이 서로 일치하는 경우 점검 대상 로그의 원본 로그 정보를 로딩하여 원본 로그에 대한 일치 여부를 확인하는 백업 로그 위변조 점검부; 점검 대상 패킷 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 수신지가 동일한 로그가 1초 이내에 상세정보의 임계값 수치 이상의 개수가 존재할 경우 해당 패킷 로그를 검출하고, 검출 결과를 저장하는 DDoS 점검부; 및 점검 대상 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로딩된 각 로그와 상세정보의 사용자 등록 점검 규칙을 대조하여 일치하는 로그의 수가 상세정보의 임계값 이상일 경우를 검출하고, 검출 결과를 저장하는 사용자 등록 점검부를 포함한다.
또한, 메일링 설정, 메일링 설정 검색 및 메일링 진행을 위한 메일링 관리부; 검출 로그 검색, 검출 로그 검색 결과 처리, 및 검출 로그 검색 결과 엑셀 파일 다운로드를 진행하기 위한 로그 점검결과 전체 보기부; 점검 대상 로그에 대하여 검출된 로그를 확인하여 해당 로그 점검 결과에 대한 정보를 제공하는 점검 결과 확인부; 점검 대상 로그에 대한 전체 점검 결과 및 백업 상태, 실시간 점검 결과, 미확인 점검 결과, 로그 상태 및 데이터베이스 연결 상태에 대한 정보를 제공하는 대시보드부; 및 시스템 로그 확인을 위한 시스템 로그부를 더 포함할 수 있다.
본 발명에 따르면, 개인정보취급자가 개인정보처리시스템을 이용하는 과정에서 발생할 수 있는 의도적이거나 비의도적인 권한 오남용을 방지하고, 그에 따른 개인정보 유출사고 위험을 최소화할 수 있다.
도 1은 본 발명의 실시례에 따른 로그 점검 시스템의 전체 구성을 나타낸 블록도이다.
도 2는 본 발명의 실시례에 따른 부서 관리부의 동작을 나타낸 흐름도이다.
도 3은 본 발명의 실시례에 따른 DB 연결 관리부의 동작을 나타낸 흐름도이다.
도 4는 본 발명의 실시례에 따른 로그 관리부의 동작을 나타낸 흐름도이다.
도 5는 본 발명의 실시례에 따른 백업 로그 통합 관리부의 동작을 나타낸 흐름도이다.
도 6은 본 발명의 실시례에 따른 점검 룰셋 관리부의 동작을 나타낸 흐름도이다.
도 7은 본 발명의 실시례에 따른 점검 룰셋 관리부의 세부 구성을 나타낸 블록도이다.
도 8은 본 발명의 실시례에 따른 비업무시간 접근 점검부의 동작을 나타낸 흐름도이다.
도 9는 본 발명의 실시례에 따른 전기 대비 활동량 점검부의 동작을 나타낸 흐름도이다.
도 10은 본 발명의 실시례에 따른 부서 평균 대비 활동량 점검부의 동작을 나타낸 흐름도이다.
도 11은 본 발명의 실시례에 따른 URL 접근량 점검부의 동작을 나타낸 흐름도이다.
도 12는 본 발명의 실시례에 따른 전기 대비 파일 다운로드량 점검부의 동작을 나타낸 흐름도이다.
도 13은 본 발명의 실시례에 따른 로그인 실패율 점검부의 동작을 나타낸 흐름도이다.
도 14는 본 발명의 실시례에 따른 무차별 대입 공격 점검부의 동작을 나타낸 흐름도이다.
도 15는 본 발명의 실시례에 따른 세션 탈취 점검부의 동작을 나타낸 흐름도이다.
도 16은 본 발명의 실시례에 따른 공용계정 사용빈도 점검부의 동작을 나타낸 흐름도이다.
도 17은 본 발명의 실시례에 따른 중요 URL 미인가 IP 접근 점검부의 동작을 나타낸 흐름도이다.
도 18은 본 발명의 실시례에 따른 중요 파일 미인가 IP 접근 점검부의 동작을 나타낸 흐름도이다.
도 19는 본 발명의 실시례에 따른 중요 URL 미인가 ID 접근 점검부의 동작을 나타낸 흐름도이다.
도 20은 본 발명의 실시례에 따른 중요 파일 미인가 ID 접근 점검부의 동작을 나타낸 흐름도이다.
도 21은 본 발명의 실시례에 따른 쿼리문 점검부의 동작을 나타낸 흐름도이다.
도 22는 본 발명의 실시례에 따른 접근권한 이상 조작 점검부의 동작을 나타낸 흐름도이다.
도 23은 본 발명의 실시례에 따른 백업 로그 위변조 점검부의 동작을 나타낸 흐름도이다.
도 24는 본 발명의 실시례에 따른 DDoS 점검부의 동작을 나타낸 흐름도이다.
도 25는 본 발명의 실시례에 따른 사용자 등록 점검부의 동작을 나타낸 흐름도이다.
도 26은 본 발명의 실시례에 따른 메일링 관리부의 동작을 나타낸 흐름도이다.
도 27은 본 발명의 실시례에 따른 로그 점검결과 전체 보기부의 동작을 나타낸 흐름도이다.
도 28은 본 발명의 실시례에 따른 점검 결과 확인부의 동작을 나타낸 블록도이다.
도 29는 본 발명의 실시례에 따른 대시보드부의 동작을 나타낸 블록도이다.
도 30은 본 발명의 실시례에 따른 시스템 로그부의 동작을 나타낸 블록도이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 발명에 대해 구체적으로 설명하기로 한다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
아래에서는 첨부한 도면을 참고하여 본 발명의 실시례에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시례에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
도 1은 본 발명의 실시례에 따른 로그 점검 시스템의 전체 구성을 나타낸 블록도이고, 도 2는 본 발명의 실시례에 따른 부서 관리부의 동작을 나타낸 흐름도이고, 도 3은 본 발명의 실시례에 따른 DB 연결 관리부의 동작을 나타낸 흐름도이고, 도 4는 본 발명의 실시례에 따른 로그 관리부의 동작을 나타낸 흐름도이고, 도 5는 본 발명의 실시례에 따른 백업 로그 통합 관리부의 동작을 나타낸 흐름도이고, 도 6은 본 발명의 실시례에 따른 점검 룰셋 관리부의 동작을 나타낸 흐름도이고, 도 7은 본 발명의 실시례에 따른 점검 룰셋 관리부의 세부 구성을 나타낸 블록도이고, 도 8은 본 발명의 실시례에 따른 비업무시간 접근 점검부의 동작을 나타낸 흐름도이고, 도 9는 본 발명의 실시례에 따른 전기 대비 활동량 점검부의 동작을 나타낸 흐름도이고, 도 10은 본 발명의 실시례에 따른 부서 평균 대비 활동량 점검부의 동작을 나타낸 흐름도이고, 도 11은 본 발명의 실시례에 따른 URL 접근량 점검부의 동작을 나타낸 흐름도이고, 도 12는 본 발명의 실시례에 따른 전기 대비 파일 다운로드량 점검부의 동작을 나타낸 흐름도이고, 도 13은 본 발명의 실시례에 따른 로그인 실패율 점검부의 동작을 나타낸 흐름도이고, 도 14는 본 발명의 실시례에 따른 무차별 대입 공격 점검부의 동작을 나타낸 흐름도이고, 도 15는 본 발명의 실시례에 따른 세션 탈취 점검부의 동작을 나타낸 흐름도이고, 도 16은 본 발명의 실시례에 따른 공용계정 사용빈도 점검부의 동작을 나타낸 흐름도이고, 도 17은 본 발명의 실시례에 따른 중요 URL 미인가 IP 접근 점검부의 동작을 나타낸 흐름도이고, 도 18은 본 발명의 실시례에 따른 중요 파일 미인가 IP 접근 점검부의 동작을 나타낸 흐름도이고, 도 19는 본 발명의 실시례에 따른 중요 URL 미인가 ID 접근 점검부의 동작을 나타낸 흐름도이고, 도 20은 본 발명의 실시례에 따른 중요 파일 미인가 ID 접근 점검부의 동작을 나타낸 흐름도이고, 도 21은 본 발명의 실시례에 따른 쿼리문 점검부의 동작을 나타낸 흐름도이고, 도 22는 본 발명의 실시례에 따른 접근권한 이상 조작 점검부의 동작을 나타낸 흐름도이고, 도 23은 본 발명의 실시례에 따른 백업 로그 위변조 점검부의 동작을 나타낸 흐름도이고, 도 24는 본 발명의 실시례에 따른 DDoS 점검부의 동작을 나타낸 흐름도이고, 도 25는 본 발명의 실시례에 따른 사용자 등록 점검부의 동작을 나타낸 흐름도이고, 도 26은 본 발명의 실시례에 따른 메일링 관리부의 동작을 나타낸 흐름도이고, 도 27은 본 발명의 실시례에 따른 로그 점검결과 전체 보기부의 동작을 나타낸 흐름도이고, 도 28은 본 발명의 실시례에 따른 점검 결과 확인부의 동작을 나타낸 블록도이고, 도 29는 본 발명의 실시례에 따른 대시보드부의 동작을 나타낸 블록도이고, 도 30은 본 발명의 실시례에 따른 시스템 로그부의 동작을 나타낸 블록도이다.
도 1 내지 도 30을 참조하면, 본 발명의 실시례에 따른 로그 점검 시스템(10)은 부서 관리부(100), DB 연결 관리부(200), 로그 관리부(300), 백업 로그 통합 관리부(400), 점검 룰셋 관리부(500), 메일링 관리부(600), 로그 점검 결과 전체 보기부(700), 대시보드부(900) 및 시스템 로그부(1000) 중 적어도 하나를 포함할 수 있다.
상기 부서 관리부(100)는 개인정보취급자가 소속된 부서를 계층화하여 등록하고, 부서 내 개인정보취급자를 개별 부서원으로 등록하며, 등록된 부서 및 부서원 정보를 수정 및 편집할 수 있다.
좀 더 구체적으로, 도 2에 도시된 바와 같이 부서 관리부(100)는 부서 관리, 직책 관리, 부서원 등록, 부서/부서원 수정, 삭제 기능 및 ID/IP 등의 등록과 삭제 관리 기능을 제공할 수 있다.
상기 부서 관리 기능은 우선 부서 계층을 확인한 후, 하위 계층인 경우 상위 부서를 선택하고, 최상위 계층인 경우 부서명을 입력한 후 등록 버튼을 클릭하여 해당 정보를 저장하는 기능을 제공할 수 있다.
상기 직책 관리 기능은 크게 직책 등록과 직책 삭제 기능을 제공하며, 직책 등록 기능의 경우 추가 버튼을 클릭하면 직책명을 입력할 수 있으며, 필요한 직책명을 입력한 후 등록하여 저장할 수 있다. 직책 삭제는 대상에 대한 삭제버튼을 클릭하여 해당 정보를 삭제할 수 있다.
상기 부서원 등록 기능은 목록에서 부서원을 선택한 후 인원 등록버튼을 클릭하여 부서 선택 시 해당 정보를 저장할 수 있다.
상기 부서/부서원 수정 기능은 수정 버튼 클릭 후 수정 대상을 클릭하고, 수정할 정보를 입력한 후 등록 버튼을 클릭하여 해당 정보를 수정한다. 부서/부서원 삭제는 삭제 버튼 클릭 후 삭제 대상을 클릭하고, 해당 정보를 삭제할 수 있다.
상기 ID/IP 관리 기능은 ID/IP 등록과 ID/IP 삭제 기능을 구비하며, ID/IP 등록은 추가 버튼 클릭 후 추가하고자 하는 ID/IP를 입력한 후 적용 버튼을 클릭하여 해당 정보를 저장할 수 있으며, ID/IP 삭제 기능은 삭제하고자 하는 대상의 삭제 버튼을 클릭한 후 적용 버튼을 클릭하여 해당 정보를 삭제할 수 있다.
상기 DB 연결 관리부(200)는 로그 데이터 원본이 저장되어 있는 데이터베이스와 연결하거나 연결 해제할 수 있다.
좀 더 구체적으로, 도 3에 도시된 바와 같이, DB 연결 시 관리용 명칭 및 DB 정보를 입력하고, 연결하기 버튼을 클릭하고, 사용자 인증을 위한 연결 계정정보를 입력한 후 연결 클릭을 실행한다. DB 수정의 경우 연결 해제를 클릭하여 DB 연결을 해제하고, 정보 수정 후 연결하기를 클릭할 수 있다. 이후, 연결 계정정보를 입력한 후 연결 클릭을 실행하여 해당 정보를 저장하고 입력된 정보로 접속을 시도할 수 있다. 한편, DB 삭제의 경우 대상의 삭제버튼을 클릭하고 DB 연결을 해제한 후 해당 정보를 삭제할 수 있다.
상기 로그 관리부(300)는 DB 연결 관리부(200)를 통해 데이터베이스에 등록된 로그의 포맷을 등록, 수정, 자동/수동 백업 및 검색 기능을 제공할 수 있다.
좀 더 구체적으로, 도 4에 도시된 바와 같이, 데이터베이스에 로그를 등록하는 경우 관리용 정보와 로그 테이블 정보를 각각 입력하고, 등록하기 버튼을 클릭하여 해당 정보를 저장할 수 있다.
상기 로그 수정의 경우 목록에서 로그를 선택하고, 정보 수정 후 수정버튼을 클릭하여 해당 정보를 수정할 수 있다.
상기 자동 백업의 경우 자동 백업 지정 일시 도래 시 자동 백업을 진행하여 해당 백업정보를 저장할 수 있다.
상기 수동 백업의 경우 목록에서 로그를 선택하고, 백업하기 버튼을 클릭한 후 백업 기간을 선택하고, 백업 진행 후 백업 정보가 저장될 수 있다.
상기 로그 검색의 경우 목록에서 로그를 선택하고 백업 기간을 선택한 후 검색하기 클릭 후 해당 백업파일의 로그 목록을 확인하여 검색정보를 입력한다.
상기 백업 로그 통합 검색부(400)는 시스템에 저장되어 있는 백업파일에 대한 로그 목록을 검색하고, 그 검색 결과를 확인할 수 있다.
상기 점검 룰셋 관리부(500)는 점검 대상 로그에 대한 비업무시간 접근 점검, 전기 대비 활동량 점검, 부서 평균 대비 활동량 점검, 전기 대비 URL 접근량 점검, 전기 대비 파일 다운로드량 점검, 로그인 실패율 점검, 무차별 대입 공격 점검, 세션 탈취 점검 기능, 공용계정 사용빈도 점검, 중요 URL 미인가 IP 접근 점검, 중요 파일 미인가 IP 접근 점검, 중요 URL 미인가 ID 접근 점검, 중요 파일 미인가 ID 접근 점검, 위험 쿼리문 점검, 백업 로그 위변조 점검, DDoS 점검, 및 사용자 등록 점검 기능을 제공할 수 있으며, 사용자 인터페이스를 이용하여 도 6에 도시된 바와 같이 점검 룰셋 등록, 점검 룰셋 수정, 자동 점검, 수동 점검, 점검 룰셋 삭제를 실시할 수 있다.
좀 더 구체적으로, 점검 룰셋 관리부(500)는 도 7에 도시된 바와 같이, 비업무시간 접근 점검부(501), 전기 대비 활동량 점검부(502), 부서 평균 대비 활동량 점검부(503), 전기 대비 URL 접근량 점검부(504), 전기 대비 파일 다운로드량 점검부(505), 로그인 실패율 점검부(506), 무차별 대입 공격 점검부(507), 세션 탈취 점검부(508), 공용계정 사용빈도 점검부(509), 중요 URL 미인가 IP 접근 점검부(510), 중요 파일 미인가 IP 접근 점검부(511), 중요 URL 미인가 ID 접근 점검부(512), 중요 파일 미인가 ID 접근 점검부(513), 쿼리문 점검부(514), 접근 조작 이상 점검부(515), 백업 로그 위변조 점검부(516), DDoS 점검부(517) 및 사용자 등록 점검부(518) 중 적어도 하나를 포함할 수 있다.
상기 비업무시간 접근 점검부(501)는 도 8에 도시된 바와 같이 점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 로딩한 상세정보를 기반으로 비업무시간의 개인정보 대량 조회를 포함하는 이상 징후를 검출하고, 검출 결과를 저장한 후 다음 대상을 점검할 수 있다.
상기 전기 대비 활동량 점검부(502)는 도 9에 도시된 바와 같이 로그 점검 기간과직전 동일 점검 기간의 점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 로그량을 대조하여 점검 기간 중의 총 로그량의 증가율이 상세정보의 임계값 이상인 경우 해당 로그에 대한 ID를 검출하고, 검출 결과를 저장한 후 다음 대상을 점검할 수 있고, 미 검출 시 해당 결과를 미 검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 부서 평균 대비 활동량 점검부(503)는 도 10에 도시된 바와 같이 로그 점검 기간 중의 점검 대상 로그와 점검 룰셋의 상세정보 및 부서 관리부(100)에 등록된 부서 및 부서원 정보를 각각 로딩하고, 부서 관리부(100)에 등록된 ID 및 IP 관리정보로 각 점검 대상 로그의 인원을 식별하고, 해당 점검 기간 중 총 로그량과 소속 부서의 평균 로그량을 대조하여 그 비율이 해당 상세정보의 임계값 이상인 인원을 검출할 수 있으며, 해당 로그에 대한 인원 검출 시 검출 결과를 저장한 후 다음 대상을 점검할 수 있고, 미 검출 시 해당 결과를 미 검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 전기 대비 URL 접근량 점검부(504)는 도 11에 도시된 바와 같이 점검 대상 URL 접근 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 URL을 검출하고, 해당 URL 검출 시 검출 결과를 저장한 후 다음 대상을 점검할 수 있고, 미 검출 시 해당 결과를 미 검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 전기 대비 파일 다운로드량 점검부(505)는 도 12에 도시된 바와 같이 점검 대상 파일 다운로드 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 파일을 검출하여 검출 결과를 저장하고, 미검출 시 해당 결과를 미검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 로그인 실패율 점검부(506)는 도 13에 도시된 바와 같이 점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로그인 실패율이 상세정보의 임계값 이상인 경우 ID를 검출하고, 검출 결과를 저장하며, 미검출 시 해당 결과를 미검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 무차별 대입 공격 점검부(507)는 도 14에 도시된 바와 같이 점검 대상 로그인 시도 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 일정시간(대략 1분) 이내에 상세정보의 임계값 이상으로 실패한 경우 해당 ID를 검출하고, 검출 시 검출된 대상의 로그인 성공 기록 존재여부를 검출하여 검출결과를 저장한 후 다음 대상을 점검하고, 상세정보의 임계값 이상으로 실패하지 않은 경우 해당 결과를 미검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 세션 탈취 점검부(508)는 도 15에 도시된 바와 같이 점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 성공 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 점검 대상 활동로그의 점검 기간 중 로그를 로딩하며, 로그인 성공 로그가 존재하지 않거나 로그인 성공 이후 해당 점검 상세정보의 세션 타임아웃 시간 이상이 지난 후의 활동로그를 검출하고, 검출 시 해당 검출결과를 저장한 후 다음 대상을 점검하고, 미검출 시 검출결과를 미검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 공용계정 사용빈도 점검부(509)는 도 16에 도시된 바와 같이 점검 대상 활동로그의 점검 기간 중과 직전 동일 기간의 로그 및 점검 룰셋의 상세정보를 로딩하고, 해당 상세정보에 등록된 ID 중 점검 기간 중의 총 로그량과 직전 기간의 로그량을 대조하여 증가율이 미리 설정된 임계값 이상인 경우 해당 ID를 검출하여 검출 결과를 저장한 후 다음 대상을 점검할 수 있으며, 미검출 시 검출결과를 미검출로 저장하여 다음 대상을 점검할 수 있다. 여기서, 직전 동일 기간은, 예를 들어 점검 대상 기간이 일주일일 경우 그 전 주가 이에 해당되며, 점검 대상 기간이 1개월일 경우 그 직전 달 동안의 기간을 의미할 수 있다.
상기 중요 URL 미인가 IP 접근 점검부(510)는 도 17에 도시된 바와 같이 점검 대상 URL 접근 로그의 점검 기간 중의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 상세정보의 중요 URL 목록을 대조하여 검출 결과가 있는 경우(즉, 서로 일치하는 URL일 존재하는 경우) 각 로그의 IP와 해당 상세정보의 허용 IP를 대조하고, 대조 결과 각 로그의 IP가 해당 상세정보의 허용 IP에 포함된 경우 검출 결과 미검출로 저장하고, 각 로그의 IP가 해당 상세정보의 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장할 수 있다.
상기 중요 파일 미인가 IP 접근 점검부(511)는 도 18에 도시된 바와 같이 점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 해당 상세정보의 중요파일명 목록을 대조하고, 검출 결과가 있는 경우(즉, 서로 일치하는 파일명이 존재하는 경우) 각 로그의 IP와 미리 설정된 허용 IP를 대조한 후, 각 로그의 IP가 해당 허용 IP에 포함된 경우 검출결과를 미검출로 저장한 후 다음 대상을 점검하고, 각 로그의 IP가 해당 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장한 후 다음 대상을 점검할 수 있다.
상기 중요 URL 미인가 ID 접근 점검부(512)는 도 19에 도시된 바와 같이 점검 대상 URL 접근 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 미리 설정된 중요 URL 목록을 대조하여 검출 결과가 있는 경우 각 로그의 ID와 미리 설정된 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장한 후 다음 대상을 점검하고, 각 로그의 ID가 해당 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장한 후 다음 대상을 점검할 수 있다.
상기 중요 파일 미인가 ID 접근 점검부(513)는 도 20에 도시된 바와 같이 점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 해당 상세정보의 중요파일 목록을 대조하고, 검출 결과가 있는 경우 각 로그의 ID와 미리 설정된 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장한 후 다음 대상을 점검하고, 각 로그의 ID가 해당 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장한 후 다음 대상을 점검할 수 있다.
상기 쿼리문 점검부(514)는 도 21에 도시된 바와 같이 점검 대상 쿼리 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 점검 대상 쿼리 로그의 쿼리문에 로딩된 해당 상세정보의 점검 대상의 테이블에 대한 insert문, update문과 delete문이 있는지 여부를 확인하고, insert문, update문과 delete문이 검출되는 경우 검출 결과를 저장한 후 다음 대상을 검점하고, insert문, update문과 delete문이 검출되지 않은 경우 점검 대상 쿼리 로그의 쿼리문이 조건문이 없는 전체 조회 쿼리인지와 항상 참/거짓이 되는 조건문이 포함되는지를 각각 검출하고, 검출 결과, 각각이 검출되는 경우 해당 검출결과를 저장한 후 다음 대상을 점검하고, 검출되지 않는 경우 미검출로 결과를 저장한 후 다음 대상을 점검할 수 있다.
상기 접근권한 이상 조작 점검부(515)는 도 22에 도시된 바와 같이 로그 점검 기간 중의 권한조작 로그를 로딩하고, 로딩한 로그의 수정 대상을 확인하여 로그 점검 기간 중 2회 이상 수정된 로그가 검출되지 않을 경우 미검출로 저장한 후 다음 로그 대상을 점검하고, 2회 이상 수정된 로그가 검출될 경우 검출 결과를 저장한 후 검출된 권한조작 로그의 시간 사이에 활동 로그를 검출하고, 검출되지 않을 경우 다음 로그 대상을 점검하고, 활동 로그가 검출될 경우 검출 결과를 저장한 후 다음 로그 대상을 점검할 수 있다.
상기 백업 로그 위변조 점검부(516)는 도 23에 도시된 바와 같이 로그 수동 점검인 경우, 점검 대상 로그의 점검 기간 중에 백업한 파일들을 로딩할 수 있다. 그리고, 로그 자동 점검 기간인 경우 점검 대상 로그의 모든 백업 파일들을 로딩하고, 점검 대상 파일의 백업 시 미리 저장된 해시값을 로딩하여 로딩된 해시값에 대한 검증을 수행할 수 있다. 여기서, 해시값의 검증 방법은 백업된 대상 파일의 해시값과 미리 저장된 해시값 간의 일치 여부를 확인하는 것을 의미할 수 있으며, 해시값이 서로 불일치할 경우 해당 검출결과를 저장하고, 해시값이 서로 일치하는 경우 데이터베이스에 저장된 점검 대상 로그의 원본 로그 정보를 로딩하여 원본 로그에 대한 일치 여부를 확인할 수 있다.
좀 더 구체적으로, 처음에 로딩한 백업 파일들에 기록되어 있는 로그들과 원본 로그 간의 일치 여부를 확인할 수 있으며, 이때 원본 로그에 대한 일치 여부에 대한 확인 결과를 각각 저장하고 다음 대상을 점검할 수 있다.
상기 DDoS 점검부(517)는 도 24에 도시된 바와 같이 점검 대상 패킷 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 수신지가 동일한 로그의 수가 초당 상세정보의 임계값 이상인 패킷 로그를 검출하고, 검출 결과가 존재하는 경우 해당 검출 결과를 저장한 후 다음 대상을 점검하고, 검출 결과가 존재하지 않은 경우 미검출로 해당 검출결과를 저장한 후 다음 대상을 점검할 수 있다. 여기서, 수신지가 동일한 로그의 수가 초당 상세정보의 임계값 이상인 패킷 로그를 검출하는 것은, 수신지가 동일한 로그가 1초 이내에 상세정보의 임계값 수치 이상의 개수가 존재할 경우 해당 패킷 로그를 검출하는 것을 의미할 수 있다.
상기 사용자 등록 점검부(518)는 도 25에 도시된 바와 같이 점검 대상 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로딩된 각 로그와 해당 상세정보의 사용자 등록 점검 규칙을 대조하여 일치하는 로그의 수가 해당 상세정보의 임계값 이상인지를 검출하고, 검출되는 경우 결과를 검출로 저장한 후 다음 대상을 점검하고, 검출되지 않은 경우 해당 결과를 미검출로 저장한 후 다음 대상을 점검할 수 있다.
상기 메일링 관리부(600)는 메일링 설정, 메일링 설정 검색 및 메일링 진행할 수 있다. 좀 더 구체적으로, 도 26에 도시된 바와 같이 메일링 설정의 경우 점검 정보를 선택한 후 개별 및 전체 결과 메일링 대상을 설정하고, 설정 완료 버튼을 클릭하여 해당 정보를 저장할 수 있다. 메일링 설정 검색의 경우 메일링 목록을 확인한 후 검색정보를 입력할 수 있다. 메일링 진행의 경우 메일링 기록이 없는 검출정보가 있는 경우 해당 부서관리의 정보를 통해 검출 대상을 식별한 후 대상 검출정보의 로그 파일을 생성한 후 메일을 발송할 수 있다.
상기 로그 점검결과 전체 보기부(700)는 검출 로그 검색, 검출 로그 검색 결과 처리, 및 검출 로그 검색 결과 엑셀 파일 다운로드를 진행할 수 있다. 좀 더 구체적으로, 도 27에 도시된 바와 같이 검출 로그 검색의 경우 검출하고자 하는 로그 목록을 확인한 후 검색 정보를 입력할 수 있으며, 로그 검색 처리 결과의 경우 선택된 행이 있는 경우 선택된 해당 행을 대상으로 결과처리 사유를 입력한 후 해당 정보를 저장하고, 선택된 행이 없는 경우 페이지 내 전체 행을 대상으로 결과처리 사유를 입력 받아 해당 정보를 저장할 수 있다. 검출 로그 검색 결과의 엑셀파일 다운로드의 경우 검색정보에 맞는 모든 검출로그에 대한 엑셀파일을 생성한 후 다운로드할 수 있다.
상기 점검 결과 확인부(800)는 점검 대상 로그에 대하여 검출된 로그를 확인하여 해당 로그 점검 결과에 대한 정보를 제공할 수 있다. 좀 더 구체적으로, 도 28에 도시된 바와 같이 점검 결과 확인 시 점검결과를 선택한 후 차트와 검출 항목을 각각 확인할 수 있으며, 검출 항목 확인 시 검출 로그를 검색하여 해당 목록을 확인한 후 검색정보를 입력할 수 있다. 검출 로그에 대한 결과 처리 시 선택된 행이 있는지 확인한 후, 선택된 행이 있는 경우 선택된 행을 대상으로 결과처리 사유를 입력한 후 해당 정보를 저장하고, 선택된 행이 없는 경우 해당 페이지 내 전체 행을 대상으로 결과처리 사유를 입력한 후 해당 정보를 저장할 수 있다. 엑셀파일로 다운로드하고자 할 경우, 검색정보에 맞는 모든 검출로그를 엑셀파일로 생성하여 생성된 해당 파일을 다운로드할 수 있다.
상기 대시보드부(900)는 도 29에 도시된 바와 같이 점검 대상 로그에 대한 전체 점검 결과 및 백업 상태, 실시간 점검 결과, 미확인 점검 결과, 로그 상태 및 데이터베이스 연결 상태에 대한 정보를 제공할 수 있다.
상기 시스템 로그부(1000)는 시스템 로그 확인을 위해 검색정보를 입력하여 해당 시스템의 로그를 각각 확인할 수 있다.
이상에서 설명한 점검 룰셋의 상세정보는 데이터베이스에 저장될 수 있고, 로그 점검 시 로딩되어 제공될 수 있으며, 각각의 상세정보에는 본 실시예의 점검과 검증에 기준이 되는 임계값, 해시값 등이 미리 저장 또는 설정되어 있다.
한편, 운영자의 개인휴대단말에는 본 실시례의 로그 점검 시스템(10)과 연동하는 어플리케이션이 설치될 수 있으며, 해당 어플리케이션은 운영자의 개인휴대단말의 배경화면 상에 위젯 형태로 제공될 수 있다. 이러한 위젯은 대시보드부(900)를 통해 제공되는 각각의 정보들이 표시되며, 로그 점검 시스템(10)과의 통신을 통해 점검 시 동기화되어 점검 결과를 어플리케이션을 실행시키지 않고도 원하는 정보를 실시간으로 즉시 확인할 수 있다. 그리고, 위젯의 개수는 점검 카테고리 별로 구성되어 운영자가 원하지 않은 정보에 대한 위젯은 오프시켜 표시되지 않도록 할 수 있으며, 이후 환경설정을 통해 위젯을 구동시켜 바탕화면 상에 표시되도록 할 수 있다.
또한, 이러한 위젯은 운영자의 개인휴대단말을 슬립모드로 전환시키더라도 잠금화면 상에서 표시될 수 있는데, 이는 해당 위젯에 개인휴대단말의 슬립모드를 별도로 제어하는 것으로, 개인휴대단말의 종료 버튼을 통해 잠금모드로 진입하는 것이 아니라, 위젯 중 어느 하나의 잠금버튼을 누르게 되면 개인휴대단말이 잠기면서 미리 설정된 중요도에 따른 점검 카테고리의 위젯이 잠금화면 상에 표시될 수 있다. 이때, 위젯의 단순한 캡쳐 장면이 표시되는 것이 아니라, 점검 결과의 업데이트 내용이 실시간 반영된 상태로 표시되어 운영자가 어디에서든 점검 결과를 쉽고 편하게 확인할 수 있도록 한다. 그리고, 위젯을 이용한 개인휴대단말의 잠금모드는 잠금해제, 다음 위젯내용표시 등의 사용자 인터페이스를 제공하여 해당 기능을 수행할 수 있다.
이상에서 설명한 것은 본 발명에 의한 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템을 실시하기 위한 하나의 실시례에 불과한 것으로서, 본 발명은 상기 실시례에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.
10: 로그 점검 시스템
100: 부서 관리부
200: 데이터베이스 연결 관리부
300: 로그 관리부
400: 백업 로그 통합 관리부
500: 점검 룰셋 관리부
501: 비업무시간 접근 점검부
502: 전기 대비 활동량 점검부
503: 부서 평균 대비 활동량 점검부
504: URL 접근량 점검부
505: 전기 대비 파일 다운로드량 점검부
506: 로그인 실패율 점검부
507: 무차별 대입 공격 점검부
508: 세션 탈취 점검부
509: 공용계정 사용빈도 점검부
510: 중요 URL 미인가 IP 접근 점검부
511: 중요 파일 미인가 IP 접근 점검부
512: 중요 URL 미인가 ID 접근 점검부
513: 중요 파일 미인가 ID 접근 점검부
514: 쿼리문 점검부
515: 접근권한 이상 조작 점검부
516: 백업 로그 위변조 점검부
517: DDoS 점검부
518: 사용자 등록 점검부
600: 메일링 관리부
700: 로그 점검결과 전체 보기부
800: 점검 결과 확인부
900: 대시보드부
1000: 시스템 로그부

Claims (3)

  1. 개인정보취급자가 소속된 부서를 계층화하여 등록하고, 부서 내 개인정보취급자를 개별 부서원으로 등록하고, 등록된 부서 및 부서원 정보를 수정 및 편집하고, 등록 부서원의 직책, ID 및 IP를 등록 및 삭제하기 위한 부서 관리부;
    로그 데이터 원본이 저장되어 있는 데이터베이스의 연결 및 연결해제를 위한 데이터베이스 연결 관리부;
    상기 데이터베이스에 등록된 로그의 포맷 등록, 수정, 자동/수동 백업 및 검색 기능을 제공하는 로그 관리부;
    시스템에 저장되어 있는 백업파일의 로그 목록을 검색하기 위한 백업 로그 통합 검색부;
    점검 대상 로그에 대한 비업무시간 접근 점검, 전기 대비 활동량 점검, 부서 평균 대비 활동량 점검, 전기 대비 URL 접근량 점검, 전기 대비 파일 다운로드량 점검, 로그인 실패율 점검, 무차별 대입 공격 점검, 세션 탈취 점검 기능, 공용계정 사용빈도 점검, 중요 URL 미인가 IP 접근 점검, 중요 파일 미인가 IP 접근 점검, 중요 URL 미인가 ID 접근 점검, 중요 파일 미인가 ID 접근 점검, 위험 쿼리문 점검, 백업 로그 위변조 점검, DDoS 점검, 및 사용자 등록 점검 기능을 제공하는 점검 룰셋 관리부;
    메일링 설정, 메일링 설정 검색 및 메일링 진행을 위한 메일링 관리부;
    검출 로그 검색, 검출 로그 검색 결과 처리, 및 검출 로그 검색 결과 엑셀 파일 다운로드를 진행하기 위한 로그 점검결과 전체 보기부;
    점검 대상 로그에 대하여 검출된 로그를 확인하여 해당 로그 점검 결과에 대한 정보를 제공하는 점검 결과 확인부;
    점검 대상 로그에 대한 전체 점검 결과 및 백업 상태, 실시간 점검 결과, 미확인 점검 결과, 로그 상태 및 데이터베이스 연결 상태에 대한 정보를 제공하는 대시보드부; 및
    시스템 로그 확인을 위한 시스템 로그부를 포함하는 것을 특징으로 하는 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템.
  2. 제1 항에 있어서,
    상기 점검 룰셋 관리부는,
    점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 로딩한 상세정보를 기반으로 비업무시간의 개인정보 대량 조회를 비롯한 이상 징후를 검출하고, 검출 결과를 저장하는 비업무시간 접근 점검부;
    로그 점검 기간과직전 동일 점검 기간의 점검 대상 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 로그량을 대조하여 점검 기간 중의 총 로그량의 증가율이 상세정보의 임계값 이상인 경우 해당 로그에 대한 ID를 검출하고, 검출 결과를 저장하는 전기 대비 활동량 점검부;
    로그 점검 기간 중의 점검 대상 로그와 점검 룰셋의 상세정보 및 상기 부서 관리부에 등록된 부서 및 부서원 정보를 각각 로딩하고, 상기 부서 관리부에 등록된 ID 및 IP 관리정보로 각 점검 대상 로그의 인원을 식별하고, 해당 점검 기간 중 총 로그량과 소속 부서의 평균 로그량을 대조하여 그 비율이 해당 상세정보의 임계값 이상인 인원을 검출하고, 검출 결과를 저장하는 부서 평균 대비 활동량 점검부;
    점검 대상 URL 접근 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 URL을 검출하고, 검출 결과를 저장하는 전기 대비 URL 접근량 점검부;
    점검 대상 파일 다운로드 로그의 점검 기간 중 및 직전 동일 기간의 로그와 점검 룰셋의 상세정보를 각각 로딩하고, 점검 기간 중의 총 로그량과 직전 동일 기간의 총 로그량을 대조하여 증가율이 상세정보의 임계값 이상인 경우 해당 파일을 검출하고, 검출 결과를 저장하는 전기 대비 파일 다운로드량 점검부;
    점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로그인 실패율이 상세정보의 임계값 이상인 경우 ID를 검출하고, 검출 결과를 저장하는 로그인 실패율 점검부;
    점검 대상 로그인 시도 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 일정시간 이내에 상세정보의 임계값 이상으로 실패한 경우 해당 ID를 검출하고, 검출 시 검출된 대상의 로그인 성공 기록 존재여부를 검출하여 검출결과를 저장하는 무차별 대입 공격 점검부;
    점검 대상 로그인 시도 로그의 점검 기간 중의 로그인 성공 로그 및 점검 룰셋의 상세정보를 로딩하고, 점검 대상 활동로그의 점검 기간 중 로그를 로딩하며, 로그인 성공 로그가 존재하지 않거나 로그인 성공 이후 해당 점검 상세정보의 세션 타임아웃 시간 이상이 지난 후의 활동로그를 검출하고, 검출 결과를 저장하는 세션 탈취 점검부;
    점검 대상 활동로그의 점검 기간과 직전 동일 기간의 로그 및 점검 룰셋의 상세정보를 로딩하고, 상세정보에 등록된 ID 중 점검 기간 중의 총 로그량과 직전 기간의 로그량을 대조하여 증가율이 점검 룰셋의 상세정보의 임계값 이상인 경우 해당 ID를 검출하고, 검출 결과를 저장하는 공용계정 사용빈도 점검부;
    점검 대상 URL 접근 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 상세정보의 중요 URL 목록을 대조하여 검출 결과가 있는 경우 각 로그의 IP와 상세정보의 허용 IP를 대조하고, 대조 결과 각 로그의 IP가 상세정보의 허용 IP에 포함된 경우 검출 결과 미검출로 저장하고, 각 로그의 IP가 상세정보의 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 URL 미인가 IP 접근 점검부;
    점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 상세정보의 중요파일명 목록을 대조하고, 검출 결과가 있는 경우 각 로그의 IP와 상세정보의 허용 IP를 대조한 후, 각 로그의 IP가 미리 설정된 허용 IP에 포함된 경우 결과 미검출로 저장하고, 각 로그의 IP가 상세정보의 허용 IP에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 파일 미인가 IP 접근 점검부;
    점검 대상 URL 접근 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 URL과 미리 설정된 중요 URL 목록을 대조하여 검출 결과가 있는 경우 각 로그의 ID와 미리 설정된 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장하고, 각 로그의 ID가 상세정보의 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 URL 미인가 ID 접근 점검부;
    점검 대상 파일 다운로드 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 각 로그의 파일명과 미리 설정된 중요파일 목록을 대조하여 검출 결과가 있는 경우 각 로그의 ID와 해당 허용 ID를 대조한 후, 각 로그의 ID가 해당 허용 ID에 포함된 경우 결과 미검출로 저장하고, 각 로그의 ID가 해당 허용 ID에 포함되지 않은 경우 해당 검출 결과를 저장하는 중요 파일 미인가 ID 접근 점검부;
    점검 대상 쿼리 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 점검 대상 쿼리 로그의 쿼리문에 로딩된 상세정보의 점검 대상의 테이블에 대한 insert문, update문과 delete문이 있는지 여부를 확인하고, insert문, update문과 delete문이 검출되는 경우 검출 결과를 저장하고, insert문, update문과 delete문이 검출되지 않은 경우 점검 대상 쿼리 로그의 쿼리문이 조건문이 없는 전체 조회 쿼리인지와 항상 참/거짓이 되는 조건문이 포함되는지를 각각 검출하고, 각각의 검출 결과를 저장하는 위험 쿼리문 점검부;
    로그 점검 기간 중의 권한조작 로그를 로딩하고, 로딩한 로그의 수정 대상을 확인하여 로그 점검 기간 중 2회 이상 수정된 로그가 검출되지 않을 경우 미 검출로 저장한 후 다음 로그 대상을 점검하고, 2회 이상 수정된 로그가 검출될 경우 검출 결과를 저장한 후 검출된 권한조작 로그의 시간 사이에 활동 로그를 검출하고, 검출 결과를 저장하는 접근권한 이상 조작 점검부;
    로그 수동 점검인 경우, 점검 대상 로그의 점검 기간 중에 백업한 파일들을 로딩하고, 로그 자동 점검 기간인 경우 점검 대상 로그의 모든 백업 파일들을 로딩하고, 점검 대상 파일의 백업 시 미리 저장된 해시값을 로딩하여 로딩된 해시값에 대한 검증을 수행하고, 해시값이 서로 불일치할 경우 해당 검출결과를 저장하고, 해시값이 서로 일치하는 경우 점검 대상 로그의 원본 로그 정보를 로딩하여 원본 로그에 대한 일치 여부를 확인하는 백업 로그 위변조 점검부;
    점검 대상 패킷 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 수신지가 동일한 로그가 1초 이내에 상세정보의 임계값 수치 이상의 개수가 존재할 경우 해당 패킷 로그를 검출하고, 검출 결과를 저장하는 DDoS 점검부; 및
    점검 대상 로그의 점검 기간 중의 로그 및 점검 룰셋의 상세정보를 각각 로딩하고, 로딩된 각 로그와 상세정보의 사용자 등록 점검 규칙을 대조하여 일치하는 로그의 수가 상세정보의 임계값 이상일 경우를 검출하고, 검출 결과를 저장하는 사용자 등록 점검부를 포함하는 것을 특징으로 하는 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템.
  3. 삭제
KR1020190069881A 2019-06-13 2019-06-13 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템 KR102209774B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190069881A KR102209774B1 (ko) 2019-06-13 2019-06-13 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190069881A KR102209774B1 (ko) 2019-06-13 2019-06-13 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템

Publications (2)

Publication Number Publication Date
KR20200142717A KR20200142717A (ko) 2020-12-23
KR102209774B1 true KR102209774B1 (ko) 2021-01-29

Family

ID=74089219

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190069881A KR102209774B1 (ko) 2019-06-13 2019-06-13 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템

Country Status (1)

Country Link
KR (1) KR102209774B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473452B1 (ko) * 2013-09-04 2014-12-18 주식회사 마크애니 기업 내부 정보 보안을 강화하기 위한 방법, 시스템 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101444250B1 (ko) * 2013-01-03 2014-09-26 (주)엔소프테크놀러지 개인정보 접근감시 시스템 및 그 방법
KR101640870B1 (ko) 2013-05-29 2016-07-19 김기배 업무이력 로그 관리 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473452B1 (ko) * 2013-09-04 2014-12-18 주식회사 마크애니 기업 내부 정보 보안을 강화하기 위한 방법, 시스템 및 장치

Also Published As

Publication number Publication date
KR20200142717A (ko) 2020-12-23

Similar Documents

Publication Publication Date Title
US8250045B2 (en) Non-invasive usage tracking, access control, policy enforcement, audit logging, and user action automation on software applications
KR100732789B1 (ko) 데이터 베이스 시스템을 모니터링하기 위한 방법 및 장치
US9256841B2 (en) Information technology governance and controls methods and apparatuses
US7979494B1 (en) Systems and methods for monitoring messaging systems
US7805419B2 (en) System for tracking and analyzing the integrity of an application
US20040102922A1 (en) Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing robust risk assessment model
JP2003216576A (ja) 脆弱点監視方法及びシステム
WO2004051408A2 (en) Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing threat vulnerability feed
US11765171B2 (en) Monitoring security configurations of cloud-based services
CN104135483B (zh) 一种网络安全自动配置管理系统
CN109684863A (zh) 数据防泄漏方法、装置、设备及存储介质
Fonseca et al. Online detection of malicious data access using dbms auditing
US20090048894A1 (en) Techniques for propagating changes in projects
KR102209774B1 (ko) 개인정보취급자의 권한 오남용 방지를 위한 개인정보 로그 점검 시스템
CN106407836B (zh) 一种数据非法修改行为自动检测的方法及装置
KR101973728B1 (ko) 통합 보안 이상징후 모니터링 시스템
Kossakowski et al. Responding to intrusions
Kersten et al. 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center
CN112163198A (zh) 一种主机登录安全检测方法、系统、装置及存储介质
JP2009116616A (ja) 電子メール監視システム
Wang et al. Research on Operating Data Analysis for Enterprise Intranet Information Security Risk Assessment
Holbrook et al. RFC1244: Site Security Handbook
EP3591556A1 (en) Automated security assessment of information systems
Mateus Handling Cybersecurity Related Incidents in the Security Operation Center of the Polytechnic of Leiria
McBride et al. Data Integrity

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant