KR102286719B1 - IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 - Google Patents
IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 Download PDFInfo
- Publication number
- KR102286719B1 KR102286719B1 KR1020190177380A KR20190177380A KR102286719B1 KR 102286719 B1 KR102286719 B1 KR 102286719B1 KR 1020190177380 A KR1020190177380 A KR 1020190177380A KR 20190177380 A KR20190177380 A KR 20190177380A KR 102286719 B1 KR102286719 B1 KR 102286719B1
- Authority
- KR
- South Korea
- Prior art keywords
- event
- information
- analysis
- security
- event information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
정보 보안 영역, 물리 보안 영역, 산업보안 영역 및 IoT 보안 영역을 통합관제할 수 있는 IoT 기반의 융합보안 관제 서비스를 제공하는 방법 및 시스템이 제공된다. 본 발명의 일 실시예에 따른, IoT 기반 융합보안 관제 서비스 제공 방법은, 수집부가, 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집 단계; 분석부가, 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하는 정규화 단계; 및 분석부가, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석 단계;를 포함한다. 이에 의해, 물리 보안 영역에서의 발생되는 이벤트와 정보 보안 영역에서의 발생되는 이벤트 간의 상관관계를 분석하여, 다각적 위험에 대한 예측이 가능하고, 정확한 사고 징후를 탐지하며, 영역 간의 보안 공백이 발생하는 것을 방지하고, 알람의 오탐 발생률을 낮출 수 있다.
Description
본 발명은 보안 관제 서비스 제공 방법 및 시스템에 관한 것으로, 더욱 상세하게는 정보 보안 영역, 물리 보안 영역, 산업보안 영역 및 IoT 보안 영역을 통합관제할 수 있는 IoT 기반의 융합보안 관제 서비스를 제공하는 방법 및 시스템에 관한 것이다.
기존 보안 관리는 물리 보안 영역에서의 이벤트, 정보 보안 영역에서의 이벤트 및 IoT 센서를 통해 감지되는 이벤트가 각각 단절된 형태의 관제 서비스로 구성되어 있었기 때문에, 보안 공백이 발생하거나 또는 문제가 발생하기 전 예방이 어려운 단점을 가지고 있으며, 영역별로 분류하여 관제하기 때문에 인력 자원을 효율적으로 운영할 수 없다는 한계점을 가지고 있다.
구체적으로, CCTV, 출입 제어기, 동작 감지기 등을 이용하는 물리 보안 영역과 데이터의 외부 유출을 방지하는 정보 보안 영역 간의 보안 공백이 발생하는 경우, 이에 대한 대응이 효과적으로 이뤄질 수 없다는 문제점을 가지고 있다.
삭제
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 물리 보안 영역에서의 발생되는 이벤트와 정보 보안 영역에서의 발생되는 이벤트 간의 상관관계를 분석하여, 다각적 위험에 대한 예측이 가능하고, 정확한 사고 징후를 탐지하며, 영역 간의 보안 공백이 발생하는 것을 방지하고, 알람의 오탐 발생률을 낮춤으로써, 높은 신뢰도의 IoT 기반 융합보안 관제 서비스 방법 및 시스템을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, IoT 기반 융합보안 관제 서비스 제공 방법은, 수집부가, 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집 단계; 분석부가, 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하는 정규화 단계; 및 분석부가, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석 단계;를 포함한다.
또한, 분석 단계는, 서로 다른 영역의 기본 이벤트 정보들 간의 상관관계를 분석하여, 분석 이벤트 정보를 생성하고, 생성된 분석 이벤트 정보를 기반으로 알람 발생 여부를 결정할 수 있다.
그리고 기본 이벤트 정보는, 발생되는 이벤트의 주체, 발생 시간, 발생 장소 및 발생 내용에 대한 정보가 포함되며, 이때, 분석 단계는, 하나 이상의 정보 보안 영역의 기본 이벤트 정보와 하나 이상의 물리 보안 영역의 기본 이벤트 정보 간의 상관관계를 분석할 수 있다.
또한, 분석 단계는, 물리 보안 영역의 위반 사항 또는 감시 범위에 해당하는 제1 이벤트가 발생하면, 제1 이벤트와의 상관관계가 등록된 정보 보안 영역의 위반 사항에 해당하는 제2 이벤트의 발생 여부를 판단하여, 분석 이벤트 정보를 생성하고, 제1 이벤트와 제2 이벤트의 연속적인 발생 시, 생성된 분석 이벤트 정보에 대응되는 보안 위협 시나리오에 따라 누적 건수, 접근 또는 유출 시도된 정보의 인가 등급, 제2 이벤트의 발생 장소의 인가 등급에 대한 임계값을 고려하여, 알람 발생 여부를 결정할 수 있다.
그리고 분석 단계는, 단일 위협 사항에 해당하는 제1 이벤트 또는 제2 이벤트가 발생하면, 상관관계가 등록된 제2 이벤트 또는 제1 이벤트의 발생 여부와 상관없이, 분석 이벤트 정보를 생성하여, 알람 발생 여부를 결정할 수 있다.
또한, 분석 단계는, 중점 관리 대상에 해당하는 특정인의 경우, 알람 발생 여부를 결정하는 임계값이 중점 관리 대상이 아닌 사람의 경우보다 낮게 조정될 수 있다.
그리고 분석 단계는, 중점 관리 시간에 해당하는 경우, 알람 발생 여부를 결정하는 임계값이 중점 관리 시간이 아닌 경우보다 낮게 조정될 수 있다.
또한, 본 발명의 일 실시예에 따른, IoT 기반 융합보안 관제 서비스 제공 방법은, 분석 이벤트 정보가 생성되면, 저장부가 생성된 분석 이벤트 정보 및 알람 발생 여부에 대한 결과를 저장하는 저장 단계;를 더 포함하고, 이때, 저장 단계는, 알람이 발생된 분석 이벤트 정보만 선별하여 저장할 수 있다.
그리고 분석 단계는, 분석 이벤트 정보가 생성되면, 이전에 선별 저장된 분석 이벤트 정보를 기반으로, 특정인, 특정 장소 또는 특정 정보와 관련된 이벤트 중 기설정된 시간간격 동안의 발생 빈도가 이전 시간간격 동안의 발생 빈도보다 임계값 이상 증가되는 누적 이벤트의 발생 여부를 판단하고, 누적 이벤트 발생 시, 누적 이벤트와 관련된 특정인, 특정 장소 또는 특정 정보가 중점 관리 대상에 포함되도록 할 수 있다.
한편, 본 발명의 다른 실시예에 따른, IoT 기반 융합보안 관제 시스템은, 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집부; 및 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하고, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석부를 포함한다.
이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 물리 보안 영역에서의 발생되는 이벤트와 정보 보안 영역에서의 발생되는 이벤트 간의 상관관계를 분석하여, 다각적 위험에 대한 예측이 가능하고, 정확한 사고 징후를 탐지하며, 영역 간의 보안 공백이 발생하는 것을 방지하고, 알람의 오탐 발생률을 낮출 수 있다.
도 1은, 본 발명의 일 실시예에 따른 IoT 기반 융합보안 관제 시스템의 설명에 제공된 도면,
도 2는 본 발명의 일 실시예에 따른 IoT 기반 융합보안 관제 시스템 구성의 설명에 제공된 도면,
도 3은 물리 보안 영역 및 물리 보안 영역의 영역별 카테고리가 예시된 도면,
도 4는 유형별 단일 위협 시나리오가 예시된 도면, 그리고
도 5는 본 발명의 다른 실시예에 따른 IoT 기반 융합보안 관제 서비스 제공 방법의 설명에 제공된 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 IoT 기반 융합보안 관제 시스템 구성의 설명에 제공된 도면,
도 3은 물리 보안 영역 및 물리 보안 영역의 영역별 카테고리가 예시된 도면,
도 4는 유형별 단일 위협 시나리오가 예시된 도면, 그리고
도 5는 본 발명의 다른 실시예에 따른 IoT 기반 융합보안 관제 서비스 제공 방법의 설명에 제공된 흐름도이다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
도 1은, 본 발명의 일 실시예에 따른 IoT 기반 융합보안 관제 시스템의 설명에 제공된 도면이다.
본 실시예에 따른 IoT 기반 융합보안 관제 시스템(100)은, 물리 보안 영역에서의 발생되는 이벤트와 정보 보안 영역에서의 발생되는 이벤트 간의 상관관계를 분석하기 위해 마련된다.
이를 위해, 본 IoT 기반 융합보안 관제 시스템(100)은, 비콘(iBeacon), 초광대역통신(UWB), LTE(Long Term Evolution), 5세대 이동통신 등을 통해, 네트워크로 연결된 물리 보안 디바이스(10), 정보 보안 서버(20) 및 IoT 플랫폼(30)을 통해, 로그 정보 및 로우 이벤트 정보(Raw Event)를 수집하고, 이를 분석하여, 영역별 이벤트들 간의 상관관계를 분석하고, 분석 결과를 기반으로 알람 발생 여부를 결정할 수 있다.
구체적으로, 예를 들면, IoT 기반 융합보안 관제 시스템(100)은, 보안 이벤트 통합 관제를 통한 시나리오 기반의 내부 데이터 유출을 예측을 가능하게 하며, 무단 침입자의 출입 로그를 확인하고 정보 시스템 접근 행위의 이벤트 로그를 수집하여 이상 징후 시나리오를 비교 분석할 수 있으며, 위규/위반 이벤트를 수집 분석하고 중점관리 대상자의 이상 징후를 사전에 탐지하여 차단할 수 있다.
여기서, 물리 보안 디바이스(10)는, CCTV와 같은 영상 보안 디바이스, 전화출입 제어기, 영상 출입 제어기, 얼굴 인식기, 지문 인식기, 카드 인식기, 개폐 감지기, 열선동작 감지기, 금고 감지기, 충격/음향 감지기, 셔터 감지기, 적외선 침입 감지기 등을 의미한다.
도 2는 본 발명의 일 실시예에 따른 IoT 기반 융합보안 관제 시스템(100) 구성의 설명에 제공된 도면이고, 도 3은 물리 보안 영역 및 물리 보안 영역의 영역별 카테고리가 예시된 도면이며, 도 4는 유형별 단일 위협 시나리오가 예시된 도면이다.
도 2를 참조하면, 본 IoT 기반 융합보안 관제 시스템(100)은, 수집부(110), 분석부(120) 및 저장부(130)를 포함한다.
수집부(110)는, 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼에 네트워크로 연결될 수 있는 통신 수단이 구비되어, 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼으로부터 로그 정보 및 로우 이벤트 정보를 수집할 수 있다.
분석부(120)는, 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하고, 생성된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성할 수 있다.
즉, 분석부(120)는, 서로 다른 영역의 기본 이벤트 정보들 간의 상관관계를 분석하여, 분석 이벤트 정보를 생성하고, 생성된 분석 이벤트 정보를 기반으로 알람 발생 여부를 결정할 수 있다.
예를 들면, 분석부(120)는, 무단 침입자의 출입 로그를 확인하고 정보 시스템 접근 행위의 이벤트 로그를 수집하여 이상 징후 시나리오를 비교 분석할 수 있다. 이때, 기본 이벤트 정보 및 분석 이벤트 정보는, 발생되는 이벤트의 주체, 발생 시간, 발생 장소 및 발생 내용에 대한 정보가 포함될 수 있다.
분석부(120)는, 하나 이상의 정보 보안 영역의 기본 이벤트 정보와 하나 이상의 물리 보안 영역의 기본 이벤트 정보 간의 상관관계를 분석할 수 있으며, 이때, 정보 보안 영역 및 물리 보안 영역에는 도 3에 예시된 바와 같이 복수의 카테고리가 형성될 수 있다.
예를 들면, 분석부(120)는, 업무시간 외, 주말 또는 공휴일에 특정인의 출입 로그를 확인되는 물리 보안 영역의 기본 이벤트와 PC를 보안 경계 해제 상태로 변경된 후 USB를 이용하여 내부 데이터 유출하거나 또는 보안 경계 상태가 적용되어 있지만 업무용 PC에서 대용량 파일 첨부 된 이메일의 발송 시도 또는 발송되는 정보 보안 영역의 기본 이벤트 간의 상관관계를 분석하여, 특정인의 고의적인 정보 유출 사안으로 판단하여, 해당 정보 유출 사안의 주체, 발생 시간, 발생 장소 및 발생 내용이 포함된 분석 이벤트(Analyzed Event) 정보를 생성하고, 관리자 또는 관제실 직원들의 즉각적인 대응이 가능하도록, 알람을 발생시킬 수 있다.
이를 위해, 분석부(120)는, 물리 보안 영역의 위반 사항 또는 감시 범위에 해당하는 제1 이벤트가 발생하면, 제1 이벤트와의 상관관계가 등록된 정보 보안 영역의 위반 사항에 해당하는 제2 이벤트의 발생 여부를 판단하여, 분석 이벤트 정보를 생성하고, 제1 이벤트와 제2 이벤트의 연속적인 발생 시, 생성된 분석 이벤트 정보에 대응되는 보안 위협 시나리오에 따라 누적 건수, 접근 또는 유출 시도된 정보의 인가 등급, 제2 이벤트의 발생 장소의 인가 등급에 대한 임계값을 고려하여, 알람 발생 여부를 결정할 수 있다.
이러한 보안 위협 시나리오에 해당하는 이벤트는, 1)권한이 없는 임/직원 및 협력업체 직원이 주말 출근하여 하나의 문서에 연속적으로 암호화 해지를 시도하거나 또는 2)기밀정보에 접근 가능한 임/직원이 기밀정보 문서 암호화 해지 후 첨부파일이 포함 된 메일을 발송하는 경우, 3)임/직원, 협력직원, 퇴직 예정자가 업무 시간 외에 개인정보를 대량으로 문서 암호화 해지 후 첨부파일이 포함 된 메일을 발송하는 경우, 4)임/직원이 업무 외 시간에 외부에서 원격으로 사내망에 접속하여 기술 정보를 최근 3개월 이내 평균 발송량을 초과하여 이메일로 발송한 경우, 5)임/직원 및 협력업체 직원이 주말 출근하여 짧은 시간동안 고객정보 DB에 Access하는 횟수가 급증하는 경우, 6)임/직원 및 협력업체 직원이 주말 출근하여 문서 관리 시스템으로부터 다운로드 받은 파일의 용량이 과다한 경우, 7)휴직, 장기 출장, 파견중인 구성원이 출입(무단출입)하여 문서 출력하는 경우, 8)퇴직 예정자가 근무시간 외 또는 휴무일 심야시간에 출입하여 대량의 파일을 복호화를 하는 경우 중 적어도 하나일 수 있다.
한편, 분석부(120)는, 다른 보안 영역의 이벤트 발생 여부와 상관없이 단일 위협 사항에 해당하는 이벤트가 발생하면, 즉각적으로 알람 발생 여부를 결정할 수 있다.
즉, 분석부(120)는, 단일 위협 사항에 해당하는 제1 이벤트 또는 제2 이벤트가 발생하면, 상관관계가 등록된 제2 이벤트 또는 제1 이벤트의 발생 여부와 상관없이, 분석 이벤트 정보를 생성하여, 알람 발생 여부를 결정할 수 있다.
이러한 단일 위협 사항은 정보 보안 단일 위협 사항 및 물리 보안 단일 위협 사항으로 나눌 수 있다.
구체적으로, 정보 보안 단일 위협 사항에 해당하는 이벤트는, 1)이동저장장치에 N개의 파일을 복호화하는 경우, 2)임/직원 및 외주인력이 업무 PC에서 미승인 공유폴더 사용을 시도하거나 또는 미승인 USB, DVD/CD-RW 등을 사용을 시도하는 경우, 3)매체 승인된 사용자가 특정(보안) 확장자 또는 파일명에 대해 복사한 이력이 있는 경우, 4)매체 승인된 사용자가 일정건수 또는 일정용량 이상 사용 이력이 있는 경우, 5)임/직원 및 외주인력이 업무 PC(노트북 포함)에 Agent를 설치하지 않거나 또는 Agent에 로그인 하지 않은 경우, 6)임/직원 및 외주인력이 개인 정보/중요정보를 열람용 또는 출력용 파일로 변경시도 및 변경한 경우, 7)받는 사람이 자사 도메인이 아니고 대용량 첨부파일이 있는 경우, 8)임/직원 및 외주인력이 휴일/공휴일에 PC 접속하여 비인가 자료 접근 후 프린트 사용한 경우 중 적어도 하나일 수 있다.
그리고 물리 보안 단일 위협 사항에 해당하는 이벤트는, 출입 권한이 제거되지 않은 퇴직자의 카드키를 이용하여 내부에 출입 또는 가자의 대리 태깅으로 비인가자 출입과 같은 무단침입 또는 무단 침입의 시도가 감지되는 경우, 비정상적인 출입(우회 출입) 또는 우회 출입의 시도도 감지되는 경우, 카메라 화면 차단 및 감시 방향 변경을 시도하는 경우 중 적어도 하나일 수 있다.
또한, 분석부(120)는, 중점 관리 대상 또는 중점 관리 시간에 해당하는 경우, 알람 발생 여부를 결정하는 임계값을 중점 관리 대상 또는 중점 관리 시간이 아닌 경우보다 낮게 조정함으로써, 중점 관리 대상 또는 중점 관리 시간에 더욱 높은 보안 수준의 보안 관제 서비스를 제공할 수 있다.
예를 들면, 분석부(120)는, 중점 관리 대상에 해당하는 특정인에 의해, 제1 이벤트가 발생되면, 발생된 제1 이벤트와 상관관계가 등록된 제2 이벤트의 발생되면, 제2 이벤트의 누적 건수가 적거나, 접근 또는 유출 시도된 정보의 인가 등급이나 제2 이벤트의 발생 장소의 인가 등급이 더 낮은 경우에도, 알람이 발생되도록 할 수 있다.
또한, 분석부(120)는, 알람이 발생된 분석 이벤트 정보만 선별하여 누적 저장하여, 특정인, 특정 장소 또는 특정 시간에 대한 이벤트 누적 건수를 쉽고 빠르게 산출할 수 있으며, 누적된 이벤트 정보에 따라 임계값을 조정할 수 있다.
즉, 분석부(120)는, 분석 이벤트 정보가 생성되면, 이전에 누적된 분석 이벤트 정보를 기반으로, 특정인, 특정 장소 또는 특정 정보와 관련된 이벤트 중 기설정된 시간간격 동안의 발생 빈도가 이전 시간간격 동안의 발생 빈도보다 임계값 이상 증가되는 누적 이벤트의 발생 여부를 판단하고, 누적 이벤트 발생 시, 누적 이벤트와 관련된 특정인, 특정 장소 또는 특정 정보가 중점 관리 대상에 포함되도록 할 수 있다.
첨언하면, 분석부(120)는, 분석 작업의 리소스 부담을 경감시키고, 분석 작업을 효과적으로 수행하기 위해, 클라우드 시스템을 이용할 수 있다.
저장부(130)는, 분석부(120)가 동작함에 있어 필요한 프로그램 및 데이터를 저장하는 저장매체이다. 구체적으로, 저장부(130)는, 분석 이벤트 정보가 생성되면, 생성된 분석 이벤트 정보 및 알람 발생 여부에 대한 결과를 저장할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 IoT 기반 융합보안 관제 서비스 제공 방법의 설명에 제공된 흐름도이다.
본 실시예에 따른 IoT 기반 융합보안 관제 서비스 제공 방법은 수집부(110)가, 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집 단계(S510), 분석부(120)가, 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하는 정규화 단계(S520), 분석부(120)가, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석 단계(S530) 및 분석 이벤트 정보가 생성되면, 저장부(130)가 생성된 분석 이벤트 정보 및 알람 발생 여부에 대한 결과를 저장하는 저장 단계(S540)로 구성될 수 있다.
이를 통해, 물리 보안 영역에서의 발생되는 이벤트와 정보 보안 영역에서의 발생되는 이벤트 간의 상관관계를 분석하여, 다각적 위험에 대한 예측이 가능하고, 정확한 사고 징후를 탐지하며, 영역 간의 보안 공백이 발생하는 것을 방지하고, 알람의 오탐 발생률을 낮출 수 있다.
한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100 : 융합보안 관제 시스템
110 : 수집부
120 : 분석부
130 : 저장부
110 : 수집부
120 : 분석부
130 : 저장부
Claims (10)
- 수집부가, 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집 단계;
분석부가, 수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하는 정규화 단계; 및
분석부가, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석 단계;를 포함하고,
분석 단계는,
서로 다른 영역의 기본 이벤트 정보들 간의 상관관계를 분석하여, 분석 이벤트 정보를 생성하고, 생성된 분석 이벤트 정보를 기반으로 알람 발생 여부를 결정하며,
기본 이벤트 정보는,
발생되는 이벤트의 주체, 발생 시간, 발생 장소 및 발생 내용에 대한 정보가 포함되며,
분석 단계는,
하나 이상의 정보 보안 영역의 기본 이벤트 정보와 하나 이상의 물리 보안 영역의 기본 이벤트 정보 간의 상관관계를 분석하고,
분석 단계는,
물리 보안 영역의 위반 사항 또는 감시 범위에 해당하는 제1 이벤트가 발생하면, 제1 이벤트와의 상관관계가 등록된 정보 보안 영역의 위반 사항에 해당하는 제2 이벤트의 발생 여부를 판단하여, 분석 이벤트 정보를 생성하고,
제1 이벤트와 제2 이벤트의 연속적인 발생 시, 생성된 분석 이벤트 정보에 대응되는 보안 위협 시나리오에 따라 누적 건수, 접근 또는 유출 시도된 정보의 인가 등급, 제2 이벤트의 발생 장소의 인가 등급에 대한 임계값을 고려하여, 알람 발생 여부를 결정하고,
분석 단계는,
단일 위협 사항에 해당하는 제1 이벤트 또는 제2 이벤트가 발생하면, 상관관계가 등록된 제2 이벤트 또는 제1 이벤트의 발생 여부와 상관없이, 분석 이벤트 정보를 생성하여, 알람 발생 여부를 결정하며,
단일 위협 사항에 해당하는 제1 이벤트는,
출입 권한이 제거되지 않은 퇴직자의 카드키를 이용하여 내부에 출입하는 경우, 비인가자의 무단 침입 또는 무단 침입의 시도가 감지되는 경우, 비정상적인 우회 출입 또는 우회 출입의 시도도 감지되는 경우, 또는 카메라 화면 차단 및 감시 방향 변경을 시도하는 경우 중 적어도 하나이고,
단일 위협 사항에 해당하는 제2 이벤트는,
1)이동저장장치의 파일을 복호화하는 경우, 2)임/직원 및 외주인력이 업무 PC에서 미승인 공유폴더 사용을 시도하거나 또는 미승인 USB, DVD/CD-RW의 사용을 시도하는 경우, 3)매체 승인된 사용자가 보안 확장자 또는 파일명에 대해 복사한 이력이 있는 경우, 4)매체 승인된 사용자가 일정건수 또는 일정용량 이상 사용 이력이 있는 경우, 5)임/직원 및 외주인력이 업무용 PC에 에이전트(Agent)를 설치하지 않거나 또는 Agent에 로그인 하지 않은 경우, 6)임/직원 및 외주인력이 개인 정보/중요정보를 열람용 또는 출력용 파일로 변경시도 및 변경한 경우, 7)받는 사람이 자사 도메인이 아니고 대용량 첨부파일이 있는 경우, 8)임/직원 및 외주인력이 휴일/공휴일에 PC 접속하여 비인가 자료 접근 후 프린트 사용한 경우 중 적어도 하나이며,
IoT 기반 융합보안 관제 서비스 제공 방법은,
분석 이벤트 정보가 생성되면, 저장부가 생성된 분석 이벤트 정보 및 알람 발생 여부에 대한 결과를 저장하는 저장 단계;를 더 포함하고,
저장 단계는,
알람이 발생된 분석 이벤트 정보만 선별하여 저장하며,
분석 단계는,
분석 이벤트 정보가 생성되면, 이전에 선별 저장된 분석 이벤트 정보를 기반으로, 특정인, 특정 장소 또는 특정 정보와 관련된 이벤트 중 기설정된 시간간격 동안의 발생 빈도가 이전 시간간격 동안의 발생 빈도보다 임계값 이상 증가되는 누적 이벤트의 발생 여부를 판단하고,
누적 이벤트 발생 시, 누적 이벤트와 관련된 특정인, 특정 장소 또는 특정 정보가 중점 관리 대상에 포함되도록 하는 것을 특징으로 하는 IoT 기반 융합보안 관제 서비스 제공 방법.
- 삭제
- 삭제
- 삭제
- 삭제
- 청구항 1에 있어서,
분석 단계는,
중점 관리 대상에 해당하는 특정인의 경우, 알람 발생 여부를 결정하는 임계값이 중점 관리 대상이 아닌 사람의 경우보다 낮게 조정되는 것을 특징으로 하는 IoT 기반 융합보안 관제 서비스 제공 방법.
- 청구항 1에 있어서,
분석 단계는,
중점 관리 시간에 해당하는 경우, 알람 발생 여부를 결정하는 임계값이 중점 관리 시간이 아닌 경우보다 낮게 조정되는 것을 특징으로 하는 IoT 기반 융합보안 관제 서비스 제공 방법.
- 삭제
- 삭제
- 네트워크로 연결된 물리 보안 디바이스, 정보 보안 서버 및 IoT 플랫폼을 통해 로그 정보 및 로우 이벤트(Raw Event) 정보를 수집하는 수집부; 및
수집된 정보들을 기반으로 분석 가능한 형태인 기본 이벤트(Base Event) 정보를 생성하고, 정규화된 기본 이벤트 정보를 분석하여, 분석 이벤트(Analyzed Event) 정보를 생성하는 분석부를 포함하며,
분석부는,
서로 다른 영역의 기본 이벤트 정보들 간의 상관관계를 분석하여, 분석 이벤트 정보를 생성하고, 생성된 분석 이벤트 정보를 기반으로 알람 발생 여부를 결정하며,
기본 이벤트 정보는,
발생되는 이벤트의 주체, 발생 시간, 발생 장소 및 발생 내용에 대한 정보가 포함되며,
분석부는,
하나 이상의 정보 보안 영역의 기본 이벤트 정보와 하나 이상의 물리 보안 영역의 기본 이벤트 정보 간의 상관관계를 분석하고,
분석부는,
물리 보안 영역의 위반 사항 또는 감시 범위에 해당하는 제1 이벤트가 발생하면, 제1 이벤트와의 상관관계가 등록된 정보 보안 영역의 위반 사항에 해당하는 제2 이벤트의 발생 여부를 판단하여, 분석 이벤트 정보를 생성하고,
제1 이벤트와 제2 이벤트의 연속적인 발생 시, 생성된 분석 이벤트 정보에 대응되는 보안 위협 시나리오에 따라 누적 건수, 접근 또는 유출 시도된 정보의 인가 등급, 제2 이벤트의 발생 장소의 인가 등급에 대한 임계값을 고려하여, 알람 발생 여부를 결정하고,
분석부는,
단일 위협 사항에 해당하는 제1 이벤트 또는 제2 이벤트가 발생하면, 상관관계가 등록된 제2 이벤트 또는 제1 이벤트의 발생 여부와 상관없이, 분석 이벤트 정보를 생성하여, 알람 발생 여부를 결정하며,
단일 위협 사항에 해당하는 제1 이벤트는,
출입 권한이 제거되지 않은 퇴직자의 카드키를 이용하여 내부에 출입하는 경우, 비인가자의 무단 침입 또는 무단 침입의 시도가 감지되는 경우, 비정상적인 우회 출입 또는 우회 출입의 시도도 감지되는 경우, 또는 카메라 화면 차단 및 감시 방향 변경을 시도하는 경우 중 적어도 하나이고,
단일 위협 사항에 해당하는 제2 이벤트는,
1)이동저장장치의 파일을 복호화하는 경우, 2)임/직원 및 외주인력이 업무 PC에서 미승인 공유폴더 사용을 시도하거나 또는 미승인 USB, DVD/CD-RW의 사용을 시도하는 경우, 3)매체 승인된 사용자가 보안 확장자 또는 파일명에 대해 복사한 이력이 있는 경우, 4)매체 승인된 사용자가 일정건수 또는 일정용량 이상 사용 이력이 있는 경우, 5)임/직원 및 외주인력이 업무용 PC에 에이전트(Agent)를 설치하지 않거나 또는 Agent에 로그인 하지 않은 경우, 6)임/직원 및 외주인력이 개인 정보/중요정보를 열람용 또는 출력용 파일로 변경시도 및 변경한 경우, 7)받는 사람이 자사 도메인이 아니고 대용량 첨부파일이 있는 경우, 8)임/직원 및 외주인력이 휴일/공휴일에 PC 접속하여 비인가 자료 접근 후 프린트 사용한 경우 중 적어도 하나이며,
IoT 기반 융합보안 관제 시스템은,
분석 이벤트 정보가 생성되면, 생성된 분석 이벤트 정보 및 알람 발생 여부에 대한 결과를 저장하는 저장부;를 더 포함하고,
저장부는,
알람이 발생된 분석 이벤트 정보만 선별하여 저장하며,
분석부는,
분석 이벤트 정보가 생성되면, 이전에 선별 저장된 분석 이벤트 정보를 기반으로, 특정인, 특정 장소 또는 특정 정보와 관련된 이벤트 중 기설정된 시간간격 동안의 발생 빈도가 이전 시간간격 동안의 발생 빈도보다 임계값 이상 증가되는 누적 이벤트의 발생 여부를 판단하고,
누적 이벤트 발생 시, 누적 이벤트와 관련된 특정인, 특정 장소 또는 특정 정보가 중점 관리 대상에 포함되도록 하는 것을 특징으로 하는 IoT 기반 융합보안 관제 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190177380A KR102286719B1 (ko) | 2019-12-30 | 2019-12-30 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190177380A KR102286719B1 (ko) | 2019-12-30 | 2019-12-30 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210084884A KR20210084884A (ko) | 2021-07-08 |
| KR102286719B1 true KR102286719B1 (ko) | 2021-08-05 |
Family
ID=76893282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190177380A KR102286719B1 (ko) | 2019-12-30 | 2019-12-30 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102286719B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101498647B1 (ko) * | 2014-01-21 | 2015-03-11 | (주)우산씨앤씨 | 보안관리 시스템 및 이를 이용한 보안 관리 방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030035143A (ko) | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | 통합보안관리 시스템 |
| KR20030035142A (ko) * | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | 통합보안관리 서비스 방법 |
| KR101011223B1 (ko) | 2008-12-03 | 2011-01-28 | 한국인터넷진흥원 | 에스아이피(sip) 기반의 통합보안 관리시스템 |
| KR20120068611A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 |
| KR101593910B1 (ko) * | 2013-07-17 | 2016-02-29 | 박지은 | 개인 정보 상시 감시 시스템 및 그 상시 감시 방법 |
-
2019
- 2019-12-30 KR KR1020190177380A patent/KR102286719B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101498647B1 (ko) * | 2014-01-21 | 2015-03-11 | (주)우산씨앤씨 | 보안관리 시스템 및 이를 이용한 보안 관리 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20210084884A (ko) | 2021-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11106768B2 (en) | Methods and systems for generating history data of system use and replay mode for identifying security events showing data and user bindings | |
| CN103430518B (zh) | 用于管理与移动设备的数据交换的系统和方法 | |
| US20110050876A1 (en) | Method and apparatus for detecting behavior in a monitoring system | |
| KR101011456B1 (ko) | 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템 | |
| KR101058592B1 (ko) | 영상정보 오남용 감사 시스템 | |
| Pfleeger | Reflections on the insider threat | |
| RU2759210C1 (ru) | Система и способ защиты электронных документов, содержащих конфиденциальную информацию, от несанкционированного доступа | |
| CN113516337A (zh) | 数据安全运营的监控方法及装置 | |
| KR101946691B1 (ko) | 정보 유출 탐지 장치 및 방법, 이를 수행하기 위한 기록 매체 | |
| Barlow et al. | Employee “spy” software: Should you use it? | |
| JP2008181359A (ja) | 機密情報保護システム | |
| Choi et al. | A study on strengthening security awareness programs based on an RFID access control system for inside information leakage prevention | |
| KR102286719B1 (ko) | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 | |
| Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
| KR102225032B1 (ko) | 집합건물 운영 플랫폼 시스템, 이를 이용한 집합건물 운영 방법 및 이를 위한 컴퓨터 프로그램 | |
| Levonevskiy et al. | Approach to physical access management, control and analytics using multimodal and heterogeneous data | |
| CN113360354A (zh) | 用户操作行为监控方法、装置、设备及可读存储介质 | |
| JP2009116512A (ja) | 機密情報保護システム | |
| JP4788636B2 (ja) | 情報管理装置および方法 | |
| Stallings | Data loss prevention as a privacy-enhancing technology | |
| US20230044156A1 (en) | Artificial intelligence-based system and method for facilitating management of threats for an organizaton | |
| CN102483838A (zh) | 使用社会网络的安全管理 | |
| KR102488337B1 (ko) | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 | |
| KR102127183B1 (ko) | 통합모니터링 관리시스템의 악의적인 사용자에 의한 정보 유출을 사전에 예측 분석방법 | |
| Dariusz | СHAPTER 3 Auditing under uncertainty and risk: global aspects |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |