KR102267101B1 - 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법 - Google Patents

해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법 Download PDF

Info

Publication number
KR102267101B1
KR102267101B1 KR1020200040124A KR20200040124A KR102267101B1 KR 102267101 B1 KR102267101 B1 KR 102267101B1 KR 1020200040124 A KR1020200040124 A KR 1020200040124A KR 20200040124 A KR20200040124 A KR 20200040124A KR 102267101 B1 KR102267101 B1 KR 102267101B1
Authority
KR
South Korea
Prior art keywords
blocking
overseas
security control
information
security
Prior art date
Application number
KR1020200040124A
Other languages
English (en)
Inventor
한충희
Original Assignee
한충희
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한충희 filed Critical 한충희
Priority to KR1020200040124A priority Critical patent/KR102267101B1/ko
Application granted granted Critical
Publication of KR102267101B1 publication Critical patent/KR102267101B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 해외 IP로부터의 사이버 위협 정도를 정성적으로 분석하고 이를 바탕으로 보안장비에 차단 설정을 변경함으로써 해외로부터의 사이버 위협에 효과적으로 대응할 수 있는 해외 사이버위협에 대응하기 위한 보안관제방법에 관한 것으로서, 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템은, 라우터, 방화벽, 침입탐지시스템, 침입방지시스템 및 LAN 스위칭을 포함하는 네트워크 및 보안 장비; 보호대상 정보자산을 식별하기 위한 자산 식별부와, 상기 자산 식별부로부터 식별된 보호대상 정보자산들을 대상으로 해외 사이버위협을 차단할 경우의 영향도를 나타내는 차단 영향도를 계산하여 상기 보호대상 정보자산들에 대한 차단 순위를 결정하는 차단 우선순위 결정부를 포함하여 구성되는 집중 보안관제 제어부; 및 상기 차단 우선순위 결정부로부터 상기 보호대상 정보자산들에 대한 차단 순위가 결정되면 상기 차단 영향도가 낮은 보호대상 정보자산부터 해외 IP대역의 차단을 시행하는 보안관제센터;를 포함하여 이루어지는 것을 특징으로 한다.

Description

해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법{Security control system for responding overseas cyber threat and method thereof}
본 발명은 보안관제시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는 해외 IP로부터의 사이버 위협 정도를 정성적으로 분석하고 이를 바탕으로 보안장비에 차단 설정을 변경함으로써 해외로부터의 사이버 위협에 효과적으로 대응할 수 있는 보안관제시스템 및 그 방법에 관한 것이다.
사이버 위협은 '새로운 유형의 테러리즘으로서 사이버공간을 통해 공격을 감행하는 것', '정보시스템의 취약한 부분을 공격하여 시스템 내부에 침입하거나 시스템을 마비, 파괴하는 등의 사고를 유발하게 하는 것' 또는 '컴퓨터해킹, 바이러스, 메일폭탄, 사이버 스토킹 등'과 같이 다양하게 정의된다.
이러한 사이버 위협은 물리적 테러 공격과는 다르게 고도화된 해킹 기술을 이용하여 비교적 적은 비용으로도 큰 피해 효과를 낼 수 있어 해커조직들이 의도적으로 주요 정보통신기반시설을 공격하는 사례가 늘고 있다.
그리고 이러한 사이버 위협에 대응하기 위하여 다양한 방법들이 제안되어 있다.
일예로, 스팸 호스트 IP 주소 목록을 유지 관리하는 방법이 있으나, 이는 많은 IP 주소가 동적으로 할당되므로 시간이 지남에 따라 다른 주소로 변경될 수 있는 한계가 있다.
또한, 패킷의 유입을 필터링하여 불법적인 IP 주소를 가진 패킷들을 라우터에서 차단하는 방법도 있으나, 패킷 필터링을 위해 많은 자원과 노력을 요구한다는 문제가 있다.
또한, 지속적으로 변화하는 악성코드들을 탐지하기 위해 Whitelist 기반의 악성코드 탐지기술과 가상환경을 활용하여 분석하는 방법도 있으나, 근본적으로 웹브라우저를 웹서버 애플리케이션이 통제할 수 없다는 웹의 근본적인 취약점으로 인해 공격자의 임의조작이나 훼손이 얼마든지 가능하다.
또한, 보안관제센터에서 보안장비들을 이용하여 보안이벤트가 발생하면 보안이벤트를 발생시킨 악성 IP를 차단함으로써 사이버 위협을 탐지하고 차단하고 있으나, 이는 불필요한 보안이벤트 탐지량을 발생시키고 그에 수반되는 불필요한 악성 IP 차단 업무량을 발생시키고 있으며, 보안이벤트 탐지량에 비해 실제 분석 및 차단하는 침해대응 활동은 극히 미미할 정도로 보안이벤트 발생량이 상당한 수준이어서 사이버 위협을 근본적으로 감소시키는 것은 매우 어려운 실정이다.
이에 본 발명자는 전력분야의 사이버 공격을 시도하는 악성 IP의 출발지를 국내와 해외로 나누어 볼 때 해외로부터의 사이버 위협이 전체 사이버 위협의 약 95%를 차지한다는 점에 주목하여 본 발명을 안출하게 되었다.
공개특허공보 제10-2012-0057066호(2012. 06. 05. 공개)
본 발명에서 해결하고자 하는 과제는, 해외 IP로부터의 사이버 위협 정도를 정성적으로 분석하고 이를 바탕으로 보안장비에 차단 설정을 변경함으로써 해외로부터의 사이버 위협에 효과적으로 대응할 수 있는 보안관제시스템 및 그 방법을 제공하는 것이다.
상기 과제를 해결하기 위하여 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템은, 라우터, 방화벽, 침입탐지시스템, 침입방지시스템 및 LAN 스위칭을 포함하는 네트워크 및 보안 장비; 보호대상 정보자산을 식별하기 위한 자산 식별부와, 상기 자산 식별부로부터 식별된 보호대상 정보자산들을 대상으로 해외 사이버위협을 차단할 경우의 영향도를 나타내는 차단 영향도를 계산하여 상기 보호대상 정보자산들에 대한 차단 순위를 결정하는 차단 우선순위 결정부를 포함하여 구성되는 집중 보안관제 제어부; 및 상기 차단 우선순위 결정부로부터 상기 보호대상 정보자산들에 대한 차단 순위가 결정되면 상기 차단 영향도가 낮은 보호대상 정보자산부터 해외 IP대역의 차단을 시행하는 보안관제센터;를 포함하여 이루어지는 것을 특징으로 한다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템은, 상기 자산 식별부는 관문방화벽을 포함하고, 상기 관문방화벽을 이용하여 HTTP, HTTPS 또는 SMTP 서비스를 제공하는 공인 IP를 가진 정보시스템들을 식별하여 상기 보호대상 정보자산을 식별하는 것을 특징으로 한다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템은, 상기 차단 영향도는 해당 정보시스템의 해외와의 업무적 연관성으로 정의되는 해외 연관도, 해외 정상 사용자의 정보시스템 사용 빈도로 정의되는 실제 접속도, 해외 IP 대역 차단으로 발생하는 일의 난이도로 정의되는 차단 복잡도, 정보시스템의 중단시 허용 가능성 정도로 정의되는 중단 허용도, 정보시스템과 연결된 외부 시스템 연계성으로 정의되는 외부 연계도 및 정보시스템 중지시 대외적 파급영향 정도로 정의되는 중지 파급도의 6가지 요소를 고려하되 그 총합으로 산정되는 것을 특징으로 한다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제방법은, 관문방화벽을 포함하는 자산 식별부를 통하여 네트워크 장비들과 보안장비들을 제외하고 외부와 연계된 서비스를 제공하는 공인 IP를 가진 정보시스템들을 식별해 내어 보호대상 정보자산을 식별해 내는 자산 식별 단계; 차단 우선순위 결정부를 통해 상기 보호대상 정보자산에 대한 차단 영향도를 부여하여 상기 차단 영향도가 낮은 보호대상 정보자산부터 단계적으로 차단할 수 있도록 차단 순위를 결정하는 차단 우선순위 결정 단계; 상기 차단 우선순위 결정 단계에서 결정된 차단 순위에 따라 보안관제센터에서 해당 보호대상 정보자산에 대하여 해외 IP대역의 차단을 실시하는 차단 시행 단계; 및 상기 차단 우선순위 결정 단계에서 집중 보안관제하는 것으로 결정된 보호대상 정보자산들을 보안관제센터에서 집중적으로 보안 관제하는 집중 보안관제 단계;를 포함하여 이루어지는 것을 특징으로 한다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제방법은, 상기 자산 식별 단계는 상기 관문방화벽을 이용하여 출발지가 "ANY 또는 외부 all"로 되어 있고 서비스가 HTTP, HTTPS 또는 SMTP로 설정된 목적지 내에 리스트업 되어 있는 정보시스템들을 상기 보호대상 정보자산으로 추출하는 것을 특징으로 한다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제방법은, 상기 차단 영향도는 해당 정보시스템의 해외와의 업무적 연관성으로 정의되는 해외 연관도, 해외 정상 사용자의 정보시스템 사용 빈도로 정의되는 실제 접속도, 해외 IP 대역 차단으로 발생하는 일의 난이도로 정의되는 차단 복잡도, 정보시스템의 중단시 허용 가능성 정도로 정의되는 중단 허용도, 정보시스템과 연결된 외부 시스템 연계성으로 정의되는 외부 연계도 및 정보시스템 중지시 대외적 파급영향 정도로 정의되는 중지 파급도의 6가지 요소를 고려하되 그 총합으로 산정되는 것을 특징으로 한다.
본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법에 의하면, 불필요한 해외 사이버 위협 이벤트의 발생을 원천적으로 감소시킬 수 있으므로 악성 해외 IP를 정보보안 설비에 지속적으로 등록하는 과정에서의 불필요한 시간과 노력의 낭비를 줄일 수 있게 된다.
또한 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법에 의하면, 정보시스템들에 대한 불필요한 보안관제 업무 부담을 줄여서 집중보안관제가 필요한 정보시스템에 대해서만 보안관제가 이루어지면 되므로 해외 사이버 위협에 보다 효과적으로 대응할 수 있는 환경을 구축할 수 있다.
도 1은 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템의 구성도이다.
도 2는 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템을 구성하는 차단 우선순위 결정부에서 차단 영향도를 계산하여 정성적으로 평가한 결과를 기록한 평가표의 예시를 보여주는 도면이다.
도 3은 본 발명의 해외 사이버위협에 대응하기 위한 보안관제방법의 구성도이다.
이하 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 해외 사이버위협에 대응하기 위한 보안관제시스템(1)의 구성도이다.
도 1을 참조하면, 본 발명의 해외 사이버위협에 대응하기 위한 보안관제시스템(1)은 네트워크 및 보안 장비(100), 집중 보안관제 제어부(200) 및 보안관제센터(300)를 포함하여 이루어진다.
이하, 상기의 구성 요소들을 중심으로 본 발명을 구체적으로 설명한다.
상기 네트워크 및 보안 장비(100)는 라우터(Router), 방화벽(Firewall), 침입탐지시스템(IDS; Intrusion Detection System), 침입방지시스템(IPS; Intrusion Protection System) 및 LAN 스위칭(LAN Switching)을 포함한다.
상기 라우터는 서로 다른 네트워크를 연결해주는 장치이다.
상기 방화벽은 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 외부에서의 불법적인 트래픽 유입을 막고, 허가되고 인증된 트래픽만을 허용함으로써 시스템 사용자의 외부 접속을 제한하거나 보안 상의 문제로 인하여 외부인의 사용을 제한하는 보안 장치이다.
상기 침입탐지시스템은 네트워크를 통한 사이버 공격을 탐지하기 위한 장비로서 방화벽이 차단하지 못한 내부의 해킹이나 악성코드의 활동을 탐지한다.
상기 침입방지시스템은 상기 침입 탐지 시스템과 방화벽의 조합된 형태라 할 수 있고, 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등 방어 조치를 취하는 보안 솔루션이다.
상기 랜 스위칭은 필요한 곳에 트래픽을 전송할 수 있도록 네트워크 설계를 결정하는 장비로서 본 발명에서는 L4 스위칭이 사용된다.
상기 집중 보안관제 제어부(200)는 자산 식별부(230) 및 차단 우선순위 결정부(250)를 포함하여 구성된다.
상기 자산 식별부(230)는 기업, 공공기관 및 기타 조직에서 보호하고자 하는 정보시스템을 선별하는 구성으로서, 네트워크 장비들과 보안장비들을 제외하고 HTTP(HyperText Transfer Protocol), HTTPS(HyperText Transfer Protocol Secure), SMTP(Simple Mail Transfer Protocol) 등 외부와 연계하여 서비스를 제공하는 공인 IP를 가진 정보시스템들을 보호대상 정보자산으로 식별해낸다.
또한, 상기 자산 식별부(230)는 위와 같이 보호대상 정보자산을 식별하기 위하여 본 발명에서는 관문방화벽(235)을 이용한다.
즉, 상기 관문방화벽(235)에는 출발지가 "ANY 또는 외부 all"로 설정되고 서비스가 HTTP, HTTPS 또는 SMTP로 설정되어 목적지에 있는 정보시스템들이 보호대상 정보자산으로 추가된다.
상기 차단 우선순위 결정부(250)는 상기 자산 식별부(230)로부터 식별된 보호대상 정보자산들을 대상으로 해외 사이버위협을 차단할 경우의 영향도를 나타내는 차단 영향도를 계산하여 보호대상 정보자산들에 대한 차단 순위를 결정한다.
상기 차단 영향도(BID, Blocking Impact Degree)는 해외 연관도(FR, Foreign Relation), 실제 접속도(RL, Real Login), 차단 복잡도(BC, Blocking Complexity), 중단 허용도(ST, Stop Tolerance), 외부 연계도(OR, Outer Relation) 및 중지 파급도(SI, Stop Impact)의 6가지 요소를 고려하되 그 총합으로 산정된다.
즉, 차단 영향도(BID)=해외 연관도(FR)+실제 접속도(RL)+차단 복잡도(BC)+중단 허용도(ST)+외부 연계도(OR)+중지 파급도(SI) 이다.
상기 해외 연관도(FR)는 해당 정보시스템의 해외와의 업무적 연관성으로 정의되고, 리커트(Likert) 3점 척도를 적용하여 최고 높은 수준일 경우 2점, 보통수준일 경우 1점, 최하 수준일 경우 0점을 부여한다.
구체적으로, 해외 사용자들에게도 정보제공을 할 목적을 가진 경우에 2점을 부여하고, 해외 사용자들의 접속이 간혹 발생할 수 있는 경우에 1점을 부여하며, 해외 사용자들의 접속이 전혀 필요하지 않은 경우에 0점을 부여한다.
상기 실제 접속도(RL)는 해외 정상 사용자의 정보시스템 사용 빈도로 정의되고, 리커트 3점 척도를 적용하여 최고 높은 수준일 경우 2점, 보통수준일 경우 1점, 최하 수준일 경우 0점을 부여한다.
구체적으로, 해외 정상 사용자들의 접속이 직전 6개월 동안 5회 이상 있는 경우 2점을 부여하고, 해외 정상 사용자들의 접속이 직전 6개월 동안 1∼4회 있는 경우 1점을 부여하며, 해외 정상 사용자들의 접속이 직전 6개월 동안 전혀 발생하지 않은 경우 0점을 부여한다.
상기 차단 복잡도(BC)는 해외 IP 대역 차단으로 발생하는 일의 난이도로 정의되고, 리커트 3점 척도를 적용하여 최고 높은 수준일 경우 2점, 보통수준일 경우 1점, 최하 수준일 경우 0점을 부여한다.
구체적으로, 해외 IP대역 차단 시 해제해 달라는 예외 처리 요청이 많을 경우 2점을 부여하고, 해외 IP대역 차단 시 해제해 달라는 예외 처리 요청이 일부 있을 경우 1점을 부여하며, 해외 IP대역 차단 시 해제해 달라는 예외 처리 요청이 전혀 없을 경우 0점을 부여한다.
상기 중단 허용도(ST)는 정보시스템의 중단시 허용 가능성 정도로 정의되고, 리커트 3점 척도를 적용하여 최고 높은 수준일 경우 2점, 보통수준일 경우 1점, 최하 수준일 경우 0점을 부여한다.
구체적으로, 1일 이상 정보시스템 중단 허용 시 2점을 부여하고, 1일∼4시간 정보시스템 중단 허용 시 1점을 부여하며, 4시간 이내 정보시스템 중단 허용 시 0점을 부여한다.
상기 외부 연계도(OR)는 정보시스템과 연결된 외부 시스템 연계성으로 정의되고, 리커트 3점 척도를 적용하여 최고 높은 수준일 경우 0점, 보통수준일 경우 1점, 최하 수준일 경우 2점을 부여한다.
구체적으로, 연계되는 정보시스템이 5개 이상일 경우 0점을 부여하고, 연계되는 정보시스템이 2∼4개일 경우 1점을 부여하며, 연계되는 정보시스템이 0∼1개일 경우 2점을 부여한다.
상기 중지 파급도(SI)는 정보시스템 중지시 대외적 파급영향 정도로 정의되고, 리커트 3점 척도를 적용하여 최고 높은 수준일 경우 0점, 보통수준일 경우 1점, 최하 수준일 경우 2점을 부여한다.
구체적으로, 해당 시스템의 서비스가 중지될 경우 파급효과가 대규모인 경우 0점을 부여하고, 해당 시스템의 서비스가 중지될 경우 파급효과가 중규모인 경우 1점을 부여하며, 해당 시스템의 서비스가 중지될 경우 파급효과가 소규모인 경우 2점을 부여한다.
도 2는 상기 차단 우선순위 결정부(250)에서 차단 영향도를 계산하여 정성적으로 평가한 결과를 기록한 평가표의 예시를 보여주는 도면이다.
여기서, 차단 영향도(BID)가 0 ~ 3점이면 1순위로 차단하고, 차단 영향도(BID)가 4 ~ 6점이면 2순위로 차단하며, 차단 영향도(BID)가 7 ~ 9점이면 3순위로 차단하고, 차단 영향도(BID)가 10 ~ 12점이면 집중 보안관제를 실시하도록 설정한다.
도 2를 참조하면, IT System 1 ~ 3, 5, 7 ~ 10은 1순위로 차단하고, IT System 4는 2순위로 차단하며, IT System 6은 3순위로 차단하고, IT System 11 ~ 14는 집중 보안관제를 실시하도록 한다.
상기 보안관제센터(300)는 상기 차단 우선순위 결정부(250)로부터 해당 보호대상 정보자산의 차단 순위가 결정되면 차단 영향도(BID)가 낮은 보호대상 정보자산부터 해외 IP대역의 차단을 시행한다.
그리고 상기 차단은 관문방화벽에 후행하여 배치되는 방화벽에서 진행하는 것이 바람직한바, 기존의 보안관제시스템이 방화벽 다음에 침입방지시스템의 보안장비가 구성되는 경우 기존의 방화벽을 이용하여 상기 차단 작업을 실시한다.
그러나 기존의 보안관제시스템이 방화벽에 선행하여 침입방지시스템의 보안장비가 구성되는 경우 침입방지시스템에도 추가적인 악성 IP 등록작업을 해주어야만 하는 비효율이 발생하므로 추가적인 방화벽장비를 침입방지시스템의 앞단에 구성하는 것이 효율적이다.
또한, 상기 보안관제센터(300)에서는 집중 보안관제하기로 결정된 보호대상 정보자산에 대하여 집중적인 보안관제를 실시한다.
이를 통해 불필요한 해외 사이버 위협 이벤트의 발생을 원천적으로 감소시킬 수 있으므로 악성 해외 IP를 정보보안 설비에 지속적으로 등록하는 과정에서의 불필요한 시간과 노력의 낭비를 줄일 수 있게 된다.
도 3은 본 발명의 해외 사이버위협에 대응하기 위한 보안관제방법의 절차 구성도이고, 자산 식별 단계(S1), 차단 우선순위 결정 단계(S2), 차단 시행 단계(S3) 및 집중 보안관제 단계(S4)를 포함하여 이루어진다.
상기 자산 식별 단계(S1)는 상기 자산 식별부(230)를 통하여 네트워크 장비들과 보안장비들을 제외하고 외부와 연계된 서비스를 제공하는 공인 IP를 가진 정보시스템들을 식별해 내는 과정이다.
이를 구성하는 이유는 기업, 공공기관 및 기타 조직 내에서 효율적인 보안관제를 위하여 보호대상 정보자산이 무엇인지를 명확하게 식별할 필요가 있기 때문이다.
상기 자산 식별 단계(S1)에서 보호대상 정보자산을 식별해 내기 위한 과정은 다음과 같다.
즉, 상기 과정은 상기 자산 식별부(230)의 관문방화벽(235)을 이용하여 출발지가 "ANY 또는 외부 all"로 되어 있고 서비스가 HTTP, HTTPS 또는 SMTP로 설정된 목적지 내에 리스트업 되어 있는 정보시스템들을 보호대상 정보자산으로 추출하는 것으로 이루어진다.
차단 우선순위 결정 단계(S2)는 상기 차단 우선순위 결정부(250)를 통해 보호대상 정보자산들에 대한 차단 영향도(BID)를 0 ~ 12점까지 부여하여 차단 영향도가 낮은 보호대상 정보자산부터 단계적으로 차단할 수 있도록 차단 순위를 결정하는 과정이다.
또한 이러한 영향도 평가는 영향도의 변동에 따라 자동적으로 실시되는 것이 바람직한바, 일정 주기 또는 수시로 개별 정보시스템들에 대한 해외 사이버 위협 영향도 평가가 이루어지도록 프로세스화하여 이를 자동적으로 실시하도록 한다.
상기 차단 시행 단계(S3)는 상기 차단 우선순위 결정단계()에서 결정된 차단 순위에 따라 해당 보호대상 정보자산에 대하여 해외 IP대역의 차단을 실시하는 단계이다.
상기 집중 보안관제 단계(S4)는 상기 차단 우선순위 결정 단계(S2)에서 결정된 차단 순위를 통해 집중 보안관제하는 것으로 결정된 보호대상 정보자산들을 집중적으로 보안 관제하는 과정이다.
본 발명은 이처럼 불필요한 보안이벤트 탐지량이 발생되고 그에 수반되는 불필요한 악성 IP 차단 업무량이 발생되는 기존의 보안관제시스템 및 그 방법과 달리 본 발명은 침입탐지시스템 및 침입방지시스템에서 대량으로 발생되는 보안이벤트들을 최소화할 수 있게 된다.
이를 통해 정보시스템들에 대한 불필요한 보안관제 업무 부담을 줄여서 집중보안관제가 필요한 정보시스템에 대해서만 보안관제가 이루어지면 되므로 해외 사이버 위협에 보다 효과적으로 대응할 수 있는 환경이 구축된다.
이상에서 본 발명의 바람직한 실시예를 설명하였으나, 본 발명의 권리범위는 이에 한정되지 아니하며 본 발명의 실시예와 실질적으로 균등한 범위에 있는 것까지 본 발명의 권리범위가 미치는 것으로 이해되어야 하며, 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능하다.
100: 네트워크 및 보안 장비
200: 집중 보안관제 제어부
230: 자산 식별부 250: 차단 우선순위 결정부
300: 보안관제센터

Claims (6)

  1. 라우터, 방화벽, 침입탐지시스템, 침입방지시스템 및 LAN 스위칭을 포함하는 네트워크 및 보안 장비(100);
    보호대상 정보자산을 식별하기 위한 자산 식별부(230)와, 상기 자산 식별부(230)로부터 식별된 보호대상 정보자산들을 대상으로 해외 사이버위협을 차단할 경우의 영향도를 나타내는 차단 영향도(BID)를 계산하여 상기 보호대상 정보자산들에 대한 차단 순위를 결정하는 차단 우선순위 결정부(250)를 포함하여 구성되는 집중 보안관제 제어부(200); 및
    상기 차단 우선순위 결정부(250)로부터 상기 보호대상 정보자산들에 대한 차단 순위가 결정되면 상기 차단 영향도(BID)가 낮은 보호대상 정보자산부터 해외 IP대역의 차단을 시행하는 보안관제센터(300);
    를 포함하여 이루어지며,
    상기 자산 식별부(230)는 관문방화벽(235)을 포함하고,
    상기 관문방화벽(235)을 이용하여 HTTP, HTTPS 또는 SMTP 서비스를 제공하는 공인 IP를 가진 정보시스템들을 식별하여 상기 보호대상 정보자산을 식별하며,
    상기 차단 영향도(BID)는 해당 정보시스템의 해외와의 업무적 연관성으로 정의되는 해외 연관도(FR), 해외 정상 사용자의 정보시스템 사용 빈도로 정의되는 실제 접속도(RL), 해외 IP 대역 차단으로 발생하는 일의 난이도로 정의되는 차단 복잡도(BC), 정보시스템의 중단시 허용 가능성 정도로 정의되는 중단 허용도(ST), 정보시스템과 연결된 외부 시스템 연계성으로 정의되는 외부 연계도(OR) 및 정보시스템 중지시 대외적 파급영향 정도로 정의되는 중지 파급도(SI)의 6가지 요소를 고려하되 그 총합으로 산정되는 것을 특징으로 하는 해외 사이버위협에 대응하기 위한 보안관제시스템.
  2. 삭제
  3. 삭제
  4. 제1항의 보안관제시스템을 이용한 보안관제방법으로서,
    관문방화벽(235)을 포함하는 자산 식별부(230)를 통하여 네트워크 장비들과 보안장비들을 제외하고 외부와 연계된 서비스를 제공하는 공인 IP를 가진 정보시스템들을 식별해 내어 보호대상 정보자산을 식별해 내는 자산 식별 단계(S1);
    차단 우선순위 결정부(250)를 통해 상기 보호대상 정보자산에 대한 차단 영향도(BID)를 부여하여 상기 차단 영향도(BID)가 낮은 보호대상 정보자산부터 단계적으로 차단할 수 있도록 차단 순위를 결정하는 차단 우선순위 결정 단계(S2);
    상기 차단 우선순위 결정 단계(S2)에서 결정된 차단 순위에 따라 보안관제센터(300)에서 해당 보호대상 정보자산에 대하여 해외 IP대역의 차단을 실시하는 차단 시행 단계(S3); 및
    상기 차단 우선순위 결정 단계(S2)에서 집중 보안관제하는 것으로 결정된 보호대상 정보자산들을 보안관제센터(300)에서 집중적으로 보안 관제하는 집중 보안관제 단계(S4);
    를 포함하여 이루어지고,
    상기 자산 식별 단계(S1)는 상기 관문방화벽(235)을 이용하여 출발지가 "ANY 또는 외부 all"로 되어 있고 서비스가 HTTP, HTTPS 또는 SMTP로 설정된 목적지 내에 리스트업 되어 있는 정보시스템들을 상기 보호대상 정보자산으로 추출하며,
    상기 차단 영향도(BID)는 해당 정보시스템의 해외와의 업무적 연관성으로 정의되는 해외 연관도(FR), 해외 정상 사용자의 정보시스템 사용 빈도로 정의되는 실제 접속도(RL), 해외 IP 대역 차단으로 발생하는 일의 난이도로 정의되는 차단 복잡도(BC), 정보시스템의 중단시 허용 가능성 정도로 정의되는 중단 허용도(ST), 정보시스템과 연결된 외부 시스템 연계성으로 정의되는 외부 연계도(OR) 및 정보시스템 중지시 대외적 파급영향 정도로 정의되는 중지 파급도(SI)의 6가지 요소를 고려하되 그 총합으로 산정되는 것을 특징으로 하는 해외 사이버위협에 대응하기 위한 보안관제방법.
  5. 삭제
  6. 삭제
KR1020200040124A 2020-04-02 2020-04-02 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법 KR102267101B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200040124A KR102267101B1 (ko) 2020-04-02 2020-04-02 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200040124A KR102267101B1 (ko) 2020-04-02 2020-04-02 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102267101B1 true KR102267101B1 (ko) 2021-06-18

Family

ID=76623179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200040124A KR102267101B1 (ko) 2020-04-02 2020-04-02 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102267101B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070058311A (ko) * 2005-12-02 2007-06-08 한국전자통신연구원 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및그 방법
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR20120057066A (ko) 2010-11-26 2012-06-05 한국전자통신연구원 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
KR20200007931A (ko) * 2017-05-18 2020-01-22 익스팬스 인코포레이티드 상관관계 중심 위협 평가 및 치료

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070058311A (ko) * 2005-12-02 2007-06-08 한국전자통신연구원 라우터 하드웨어 플랫폼에서의 침입차단 정책 적용 장치 및그 방법
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR20120057066A (ko) 2010-11-26 2012-06-05 한국전자통신연구원 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
KR20200007931A (ko) * 2017-05-18 2020-01-22 익스팬스 인코포레이티드 상관관계 중심 위협 평가 및 치료

Similar Documents

Publication Publication Date Title
US9628511B2 (en) System and method for identification and blocking of unwanted network traffic
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7962960B2 (en) Systems and methods for performing risk analysis
US7281270B2 (en) Attack impact prediction system
US7039950B2 (en) System and method for network quality of service protection on security breach detection
JP4768021B2 (ja) IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法
JP4768020B2 (ja) IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
WO2010091186A2 (en) Method and system for providing remote protection of web servers
EP2683130B1 (en) Social network protection system
WO2016191232A1 (en) Mitigation of computer network attacks
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
Fakeeh An overview of DDoS attacks detection and prevention in the cloud
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2000354034A (ja) 事業:ハッカー監視室
KR102267101B1 (ko) 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
Varma et al. A review of DDoS attacks and its countermeasures in cloud computing
Vukašinović Cyber security measures in companies
Xiao Research on computer network information security based on big data technology
WO2005065023A2 (en) Internal network security
Hussain Use of Firewall and Ids To Detect and Prevent Network Attacks
Mishra et al. A systematic survey on DDoS Attack and Data Confidentiality Issue on Cloud Servers
Kochar et al. INTRUSION DETECTION SYSTEM USING CLOUD COMPUTING
Hramcov et al. Ways to eliminate DDos attacks
UA132581U (uk) Спосіб виявлення кібернетичних атак на інформаційно-телекомунікаційні системи об'єктів критичної інфраструктури

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant