KR102439817B1 - System and method for managing secure vulnerability, and recording medium storing program for executing the same - Google Patents
System and method for managing secure vulnerability, and recording medium storing program for executing the same Download PDFInfo
- Publication number
- KR102439817B1 KR102439817B1 KR1020200182566A KR20200182566A KR102439817B1 KR 102439817 B1 KR102439817 B1 KR 102439817B1 KR 1020200182566 A KR1020200182566 A KR 1020200182566A KR 20200182566 A KR20200182566 A KR 20200182566A KR 102439817 B1 KR102439817 B1 KR 102439817B1
- Authority
- KR
- South Korea
- Prior art keywords
- evaluation
- vulnerability
- asset
- security
- project
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Educational Administration (AREA)
- Marketing (AREA)
- Software Systems (AREA)
- Finance (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Computing Systems (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
본 발명에 따른 보안 취약점 관리 시스템은, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록 및 관리하는 컴플라이언스 관리부와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와, 상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함할 수 있다.The security vulnerability management system according to the present invention includes a compliance management unit that registers and manages evaluation criteria for security vulnerabilities and financial IT regulations for electronic financial infrastructure of financial-related institutions in an evaluation criteria DB, and a project for evaluating the security vulnerabilities. The project management unit that creates and registers and manages the asset to be inspected in the project DB, the asset management unit that creates and registers and manages the asset to be inspected in the asset DB, and the evaluation criterion of the project to which the asset to be inspected belongs from the evaluation criterion DB. Select the corresponding evaluation item, select an evaluation item suitable for the evaluation field of the asset to be inspected from among the pre-selected evaluation items, select an evaluation item that matches the attribute of the asset to be inspected from among the pre-selected evaluation items, and An evaluation item generation unit that registers evaluation items in the evaluation item DB, and an information security management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/ A vulnerability analysis unit that analyzes the security vulnerability by dividing the HTS application into 9 fields, an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected analyzed through the vulnerability analysis unit in the evaluation item DB; It may include a result generating unit that automatically calculates the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information.
Description
본 발명은 금융분야의 보안 취약점을 관리하는 기법에 관한 것으로, 더욱 상세하게는 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현할 수 있는 보안 취약점 관리 시스템과 방법 및 그 기록매체에 관한 것이다.The present invention relates to a technique for managing security vulnerabilities in the financial field, and more particularly, to a security vulnerability management system and method capable of implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services through systems and algorithms, and It is about the recording medium.
정보통신 기술의 발달과 그 보급이 확산됨에 따라, 정보 통신 시설을 이용하는 금융분야의 전자금융기반시설에 대한 보안 취약점을 점검 및 분석하고, 이러한 분석 결과를 토대로 내외부의 공격으로부터 전자금융기반시설의 점검 대상 자산(예컨대, 서버, 네트워크 장비 등)을 보호하는 것이 반드시 필요하다.With the development and spread of information and communication technology, the security vulnerabilities of electronic financial infrastructure in the financial field using information and communication facilities are checked and analyzed, and electronic financial infrastructure is inspected from internal and external attacks based on the analysis result. It is essential to protect the target assets (eg servers, network equipment, etc.).
종래에는 결정된 시간 스케줄에 따라 자동으로 서버의 보안 취약점을 분석해 주는 방법이 있는데, 이와 관련된 선행특허문헌으로는 한국공개특허 제2009-0038683호(이하, 선행특허라 함)가 있다.In the related art, there is a method of automatically analyzing a security vulnerability of a server according to a determined time schedule. As a related patent document, there is Korean Patent Application Laid-Open No. 2009-0038683 (hereinafter referred to as a prior patent).
선행특허에서는 스케줄 및 실행 명령에 따라 미리 저장된 취약점 검색 데이터베이스를 호출하고, 호출된 검색 데이터베이스에 포함된 취약점 데이터에 상응하여 관리 웹서버의 취약점 존재 가능성을 검색하며, 검색 결과를 최적화하여 취약점 정보를 도출한 후 그 도출 결과를 바탕으로 관리 웹서버의 취약점을 점검하는 기술을 개시하고 있다.In the prior patent, the vulnerability search database stored in advance is called according to the schedule and execution commands, the possibility of the existence of vulnerabilities in the management web server is searched according to the vulnerability data included in the called search database, and vulnerability information is derived by optimizing the search results. Then, based on the derived results, a technique for checking the vulnerabilities of the management web server is disclosed.
이때, IT 시스템의 보안 취약점을 점검하기 위해서는 서버 외에, 예컨대 정보보호 관리체계, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션과 같은 다양한 평가 분야에 대한 분석이 요망된다. At this time, in order to check the security vulnerabilities of the IT system, it is required to analyze various evaluation fields other than the server, for example, information protection management system, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS application. .
예컨대, 서버 외에 다른 평가 분야의 체계적인 보안 취약점 점검 및 관리를 위한 절차(예컨대, 평가기준 등록단계부터 결과서 생성단계까지)가 별도로 존재하지 않기 때문에 점검 시 절차가 누락되거나 불필요한 절차를 수행하는 등 항시 동일한 수준의 결과를 보장할 수 없는 문제가 있다.For example, since there is no separate procedure for systematic security vulnerability inspection and management in other evaluation fields (e.g., from the evaluation criteria registration stage to the result generation stage) other than the server, the inspection procedure is always the same, such as missing or unnecessary procedures. There is a problem that level results cannot be guaranteed.
본 발명은 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현할 수 있는 보안 취약점 관리 시스템과 방법을 제공하고자 한다.An object of the present invention is to provide a security vulnerability management system and method capable of implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services using systems and algorithms.
본 발명은 보안 취약점 관리 방법을 프로세서가 수행하도록 하는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 기록매체를 제공하고자 한다.An object of the present invention is to provide a computer-readable recording medium in which a computer program for causing a processor to perform a security vulnerability management method is stored.
본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the above-mentioned, and another problem to be solved that is not mentioned can be clearly understood by those of ordinary skill in the art to which the present invention belongs from the following description. will be.
본 발명은, 일 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록 및 관리하는 컴플라이언스 관리부와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와, 상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함하는 보안 취약점 관리 시스템을 제공할 수 있다.According to one aspect, the present invention includes a compliance management unit that registers and manages evaluation criteria for security vulnerabilities and financial IT regulations for electronic financial infrastructure of financial-related institutions in an evaluation criteria DB, and a project for evaluation of the security vulnerabilities. The project management unit that creates and registers and manages the project DB, the asset management unit that creates and registers and manages the asset to be inspected in the project DB, and the evaluation criteria of the project to which the asset to be inspected belongs from the evaluation criterion DB selects an evaluation item to be evaluated, selects an evaluation item suitable for the evaluation field of the asset to be inspected from among the pre-selected evaluation items, selects an evaluation item that matches the attribute of the asset to be inspected from among the pre-selected evaluation items, and selects the selected evaluation An evaluation item generation unit that registers the items in the evaluation item DB, and the asset to be inspected from which the evaluation items are selected is stored in an information security management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS A vulnerability analysis unit that analyzes the security vulnerability by dividing the application into nine fields, an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected analyzed through the vulnerability analysis unit in the evaluation item DB, and the evaluation It is possible to provide a security vulnerability management system including a result generator that automatically calculates the analysis result of the security vulnerability from the item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information.
본 발명의 상기 보안 취약점의 평가 기준은, 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있다.The evaluation criteria of the security vulnerability of the present invention may include at least one or more of an information protection management system, a server, a database, a network infrastructure, a network device, an information protection system device, and a web/mobile/HTS application.
본 발명의 상기 금융 IT 규제는, 전자금융거래법, 전자금융거래법시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.The financial IT regulation of the present invention may include at least one of the Electronic Financial Transactions Act, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulation Enforcement Rules.
본 발명의 상기 프로젝트는, 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간을 포함할 수 있다.The project of the present invention may include a project name, evaluation criteria, evaluation field, inspection target institution, and inspection execution period.
본 발명의 상기 점검 대상 자산은, 자산명, 프로젝트명, 평가 분야, 자산 속성을 포함할 수 있다.The check target asset of the present invention may include an asset name, a project name, an evaluation field, and an asset attribute.
본 발명의 상기 취약점 분석 결과는, 평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함할 수 있다.The vulnerability analysis result of the present invention may include an evaluation item ID, an item name, whether it is vulnerable, and a basis for determination.
본 발명의 상기 결과서는, 상기 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법의 취약점 관련 정보와 위험도별 통계 및 분야별 취약점 통계를 포함할 수 있다.The result sheet of the present invention may include the vulnerability check result for the security vulnerability, information about the vulnerability of the determination basis and the action method, and statistics for each risk level and vulnerability statistics for each field.
본 발명은, 다른 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 단계와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록하는 단계와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록하는 단계와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록하는 단계와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하고, 그 취약점 분석 결과를 상기 평가항목 DB에 등록하는 단계와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하는 단계와, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 단계를 포함하는 보안 취약점 관리 방법을 제공할 수 있다.According to another aspect, the present invention includes the steps of registering the evaluation criteria for security vulnerabilities for electronic financial infrastructure of financial-related institutions and financial IT regulations in the evaluation criteria DB, and creating a project for evaluating the security vulnerabilities. Registering in DB, generating and registering the asset to be inspected of the project in the asset DB, selecting an evaluation item corresponding to the evaluation criterion of the project to which the asset to be inspected belongs from the evaluation criterion DB, and selecting a pre-selection Selecting an evaluation item suitable for the evaluation field of the asset to be inspected from among the evaluation items, selecting an evaluation item suitable for the property of the asset to be inspected from among the previously selected evaluation items, and registering it in the evaluation item DB; The selected asset is divided into nine areas of information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application to analyze the security vulnerabilities, and the vulnerabilities The steps of registering the analysis result in the evaluation item DB, automatically calculating the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics; A security vulnerability management method including the step of creating may be provided.
본 발명은, 또 다른 관점에 따라, 보안 취약점 관리 방법을 프로세서가 수행하도록 하는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 기록매체로서, 상기 보안 취약점 관리 방법은, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 단계와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록하는 단계와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록하는 단계와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록하는 단계와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하고, 그 취약점 분석 결과를 상기 평가항목 DB에 등록하는 단계와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하는 단계와, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 단계를 포함하는 컴퓨터 판독 가능한 기록매체를 제공할 수 있다.According to another aspect, the present invention is a computer-readable recording medium storing a computer program for causing a processor to perform a security vulnerability management method, wherein the security vulnerability management method includes a security vulnerability for an electronic financial infrastructure of a financial institution. Registering the evaluation criteria and financial IT regulation of step, selecting an evaluation item corresponding to the evaluation criteria of the project to which the inspection target asset belongs from the evaluation criteria DB, selecting an evaluation item suitable for the evaluation field of the inspection target asset from among the pre-selected evaluation items, and selecting the pre-selection Selecting an evaluation item suitable for the properties of the asset to be inspected from among the evaluation items and registering it in the evaluation item DB; , information protection system equipment, performing the analysis of the security vulnerability by dividing it into 9 fields of web/mobile/HTS application, and registering the vulnerability analysis result in the evaluation item DB; It is possible to provide a computer-readable recording medium comprising the steps of automatically calculating the analysis result to generate vulnerability statistics, and generating a result sheet including the generated vulnerability statistics and security vulnerability-related information.
본 발명의 실시예에 따르면, 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현함으로써, 금융 IT 환경(금융 IT 규제 및 기술)에 기반한 보안 취약점에 대한 관리 기능을 제공할 수 있다.According to an embodiment of the present invention, the management function for security vulnerabilities based on the financial IT environment (financial IT regulation and technology) is implemented by implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services as a system and algorithm. can provide
본 발명의 실시예에 따르면, 보안 취약점의 점검을 위한 프로젝트에 대한 점검 진행 상황, 취약점 현황 등 평가 진행 상황을 실시간으로 공유함으로써, 프로젝트 관리의 용이성을 실현할 수 있다.According to an embodiment of the present invention, by sharing the evaluation progress, such as the inspection progress status and the vulnerability status, for a project for checking security vulnerabilities in real time, it is possible to realize the ease of project management.
도 1은 본 발명의 실시예에 따른 보안 취약점 관리 시스템의 블록 구성도이다.
도 2는 본 발명의 실시예에 따라 점검 대상 자산의 보안 취약점을 관리하는 주요 과정을 도시한 순서도이다.
도 3은 평가 기준 양식에 대한 사용자 인터페이스(UI)의 예시도이다.
도 4는 결과서 생성부를 통해 생성된 결과서를 분야별 요약 보고서 및 분야별 상세 보고서 형식으로 자동 생성한 것의 예시도이다.
도 5는 위험도별 통계, 통제 분야별 취약점 통계를 자동 계산하여 출력한 것의 예시도이다.
도 6은 2020년 전자금융기반시설의 취약점 평가와 2021년 전자금융기반시설의 취약점 평가 결과에 대한 통계 비교의 예시도이다.
도 7은 다수의 평가 분야에 대한 기존/신규의 평가 지수를 비교한 결과 및 그래프에 대한 예시도이다.1 is a block diagram of a security vulnerability management system according to an embodiment of the present invention.
2 is a flowchart illustrating a main process of managing security vulnerabilities of an inspection target asset according to an embodiment of the present invention.
3 is an exemplary diagram of a user interface (UI) for an evaluation criterion form.
4 is an exemplary view of automatically generating results generated through the result generating unit in the form of a summary report for each field and a detailed report for each field.
5 is an exemplary diagram of automatically calculating and outputting statistics for each risk level and vulnerability statistics for each control field.
6 is an exemplary view of statistical comparison of the vulnerability evaluation of the electronic financial infrastructure in 2020 and the vulnerability evaluation result of the electronic financial infrastructure in 2021.
7 is an exemplary view of a graph and a result of comparing existing/new evaluation indices for a plurality of evaluation fields.
먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어지는 실시예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.First, the advantages and features of the present invention, and a method for achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. Here, the present invention is not limited to the embodiments disclosed below, but may be implemented in a variety of different forms, and only the present embodiments allow the disclosure of the present invention to be complete, and are commonly used in the technical field to which the present invention pertains. Since it is provided by way of example so that those with knowledge of the present invention can clearly understand the scope of the invention, the technical scope of the present invention should be defined by the claims.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 발명의 설명 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.In addition, in the following description of the present invention, if it is determined that a detailed description of a well-known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, the terms described below are terms defined in consideration of functions in the present invention, which may vary depending on the intention or custom of a user, an operator, etc., of course. Therefore, the definition should be made based on the technical idea described throughout the description of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
알려진 바와 같이, 비금융권 회사의 정보통신 기반시설은, 예컨대 주요 정보통신 기반시설 취약점 평가기준, ISO-27001(ISMS), PIMS 등의 기준 및 인증으로 보안 취약점을 평가 및 관리할 수 있다.As is known, the information and communication infrastructure of non-financial companies can evaluate and manage security vulnerabilities with standards and certifications such as, for example, major information and communication infrastructure vulnerability evaluation standards, ISO-27001 (ISMS), and PIMS.
또한, 금융권(예컨대, 금융회사)은 전자금융 서비스에 특화된 전자금융기반시설 보안 취약점 평가 기준(예컨대, 금융보안원)을 기반으로 보안 취약점을 평가 및 관리할 수 있는데, 본 발명에서는 이를 시스템 및 알고리즘으로 구현하고자 한다.In addition, the financial sector (eg, a financial company) can evaluate and manage security vulnerabilities based on the evaluation criteria for security vulnerabilities in electronic financial infrastructure specialized for electronic financial services (eg, the Financial Security Agency). In the present invention, the system and algorithm want to implement it.
도 1은 본 발명의 실시예에 따른 보안 취약점 관리 시스템의 블록 구성도로서, 크게 구분해 볼 때, 보안 취약점 관리 모듈(110) 및 데이터베이스 모듈(120) 등을 포함할 수 있다.1 is a block diagram of a security vulnerability management system according to an embodiment of the present invention, and may include a security
도 1을 참조하면, 보안 취약점 관리 모듈(110)은, 컴플라이언스 관리부(111), 프로젝트 관리부(112), 자산 관리부(113), 평가 항목 생성부(114), 취약점 분석부(115), 분석 결과 등록부(116) 및 결과서 생성부(117) 등을 포함할 수 있고, 데이터베이스 모듈(120)은, 평가 기준 DB(122), 프로젝트 DB(124), 자산 DB(126) 및 평가항목 DB(128) 등을 포함할 수 있다.Referring to FIG. 1 , the security
보안 취약점 관리 모듈(110) 내의 컴플라이언스 관리부(111)는 금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제(예컨대, 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정 등)를 평가 기준 DB(122)에 등록 및 관리하는 등의 기능을 제공할 수 있다.The
일례로서 도 3에 도시된 바와 같이, 평가기준(예컨대, 엑셀(Excel) 등) 양식에 대한 사용자 인터페이스(UI)를 통해 평가 기준 DB(122)에 보안 취약점의 평가 기준 및 금융 IT 규제 등의 데이터를 등록 및 관리(예컨대, 추가, 수정, 삭제 등)할 수 있다.As an example, as shown in FIG. 3 , data such as evaluation criteria for security vulnerabilities and financial IT regulations in the
보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있으며, 수백 내지 수천 개의 평가 항목(예컨대, 720개의 평가 항목)으로 구성될 수 있다.The evaluation criteria for security vulnerabilities may include, for example, at least one or more of information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS application, and hundreds to thousands of evaluation items (eg, 720 evaluation items).
금융 IT 규제는, 예컨대 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.Financial IT regulations may include, for example, at least one of the Electronic Financial Transactions Act of the Republic of Korea, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulations Enforcement Rules.
이를 위해, 컴플라이언스 관리부(111)는 보안 취약점의 평가 기준, 금융 IT 규제, 평가 분야(예컨대, 정보보호 관리체계 등) 및 평가 항목 ID(예컨대, FISM-001 등) 등의 정보들을 평가 기준 DB(122)에 등록 및 관리하는 등의 기능을 제공할 수 있다.To this end, the
프로젝트 관리부(112)는 프로젝트(점검 대상에 대한 보안 취약점의 평가를 위한 프로젝트), 예컨대 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간 등을 포함하는 프로젝트를 생성하여 프로젝트 DB(124)에 등록하고, 프로젝트의 진행상황 모니터링 및 백업,복원 등 프로젝트를 관리하는 기능을 제공할 수 있다.The
이를 위해, 프로젝트 DB(124)에는, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 20년 전자금융기반시설의 취약점 평가 기준 등과 같은 평가 기준, 예컨대 00 은행 등과 같은 점검 대상 기관, 점검 수행 기간 등의 정보들이 저장될 수 있다.To this end, in the project DB 124, for example, the project name such as the vulnerability check of electronic financial infrastructure, for example, evaluation criteria such as the vulnerability evaluation standard of the electronic financial infrastructure for 20 years, for example, the inspection target institution such as 00 bank, the inspection is performed Information such as a period may be stored.
자산 관리부(113)는 보안 취약점의 평가를 위한 점검 대상 자산, 예컨대 자산명, 프로젝트명, 평가 분야, 자산 속성 등을 포함하는 평가 분야별 자산을 생성하여 자산 DB(126)에 등록 및 관리하는 등의 기능을 제공할 수 있다.The
이를 위해, 자산 DB(126)에는, 예컨대 인터넷 뱅킹 웹서버 등과 같은 자산명, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 서버 등과 같은 평가 분야, 예컨대 AIX/7.1 등과 같은 자산 속성이 저장될 수 있다.To this end, the asset DB 126 stores, for example, an asset name such as an Internet banking web server, for example, a project name such as a vulnerability check of an electronic financial infrastructure, an evaluation field such as a server, for example, an asset attribute such as AIX/7.1, etc. can be
평가 항목 생성부(114)는 평가 기준 DB(122)로부터 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 자산 DB(126)로부터 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 기 선정된 평가 항목 중 점검 대상 자산의 속성(일례로서 제시된 아래의 표 1의 평가 분야별 자산 속성 참조)에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB(128)에 등록(저장)하는 등의 기능을 제공할 수 있다.The evaluation
-장비 종류 : 라우터, 스위치- Manufacturer/Product Name: Cisco Systems/All Routers and Switches, A10 Networks/All Routers and Switches, BROADCOM/Brocade, Radware/Alteon, Nortel Networks/All Routers and Switches, F5 Networks/BIG-IP, Citrix/All Router and Switch Products, PIOLINK/All Routers and Switches, 3COM/All Routers and Switches, Juniper Networks/All Routers and Switches, Other Manufacturers/Products
-Equipment type: router, switch
어플리케이션web
application
- 전자금융기반시설 여부: 전자금융기반시설, 非 전자금융기반시설- Protocol type: HTTP, HTTPS
- Electronic financial infrastructure: Electronic financial infrastructure, non-electronic financial infrastructure
어플리케이션mobile
application
- 전자금융기반시설 여부: 전자금융기반시설, 非 전자금융기반시설- OS type: IOS, Android, other OS
- Electronic financial infrastructure: Electronic financial infrastructure, non-electronic financial infrastructure
취약점 분석부(115)는, 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 보안 취약점의 분석(자동 분석 또는 수동 분석)을 수행할 수 있는 기능을 제공할 수 있다.The
예컨대, 취약점 분석부(115)는 취약점 자동 분석이 가능한 서버 및 네트워크 장비 분야의 자산 속성(예컨대, 서버의 OS 종류, 네트워크 장비의 제조사/제품명 등)별로 취약 여부를 판단하기 위한 보안 설정값(명령 및 인자값) 및 판단 규칙이 시스템 소스코드 내에 사전 정의되어 있으므로, 이후 절차에 따라 취약점을 자동으로 분석할 수 있고, 사용자 인터페이스를 통해 점검 대상 자산에서 보안설정 정보를 수집할 수 있는 명령을 수행하여 결과를 파일로 저장할 수 있으며, 사용자 인터페이스를 통해 자산의 보안설정 정보수집 결과(파일)를 시스템에 입력하고, 시스템이 자산의 보안설정 정보수집 결과와 사전에 소스코드 내에 정의된 보안 설정값 및 판단 규칙을 비교하여 취약점을 자동으로 분석하는 등의 기능을 제공할 수 있다.For example, the
또한, 취약점 분석부(115)는, 평가분야 및 자산 속성에 따라, 점검 대상 자산에 대해 선정된 평가 항목별로 보안 취약점을 수동 분석(점검)할 수 있는데, 이를 위한 수동 점검 방법은 아래의 표 2에 도시된 바와 같다.In addition, the
관리체계information protection
management system
분석 결과 등록부(116)는 취약점 분석부(115)를 통해 분석된 점검 대상 자산의 보안 취약점 분석 결과(취약점 자동 분석 결과 또는 취약점 수동 분석 결과)를 평가항목 DB(128)에 등록하는 등의 기능을 제공할 수 있다.The analysis
이를 위해, 평가항목 DB(128)에는, 예컨대 SRV-069 등과 같은 평가 항목 ID, 예컨대 비밀번호, 관리 정책 설정 미비 등과 같은 항목명, 예컨대 취약 또는 미취약 등과 같은 취약 여부, 예컨대 비밀번호 관리 정책 설정 내용 부적절 등과 같은 판단 근거 등이 저장될 수 있다.To this end, the
결과서 생성부(117)는 평가항목 DB(128)로부터 보안 취약점의 분석 결과를 자동 계산하여 다양한 취약점 통계를 생성하고, 생성된 취약점 통계 및 보안 취약점 관련 정보(예컨대, 판단 근거 등)가 포함된 결과서를 자동으로 생성하는 등의 기능을 제공할 수 있다.The
예컨대, 결과서 생성부(117)는 평가항목 DB(128)에 등록된 보안 취약점 분석 결과를 기반으로 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등의 통계를 자동 계산하여 결과서 파일을 생성할 수 있으며, 또한 연도별, 프로젝트별로 보안 취약점 통계를 비교하여 도시 생략된 모니터 등을 통해 시각적으로 표출(디스플레이)해 주는 기능을 제공할 수 있다.For example, the
여기에서, 결과서 생성부(117)를 통해 생성되는 결과서에는, 예컨대 발견된 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법 등의 취약점 관련 정보와 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등이 포함될 수 있으며, 결과서 파일은 다양한 전자문서 형식, 예컨대 MS-EXCEL, MS-WORD, HTML 등의 전자문서 형식을 지원할 수 있다.Here, in the result generated by the
도 2는 본 발명의 실시예에 따라 점검 대상 자산의 보안 취약점을 관리하는 주요 과정을 도시한 순서도이다.2 is a flowchart illustrating a main process of managing security vulnerabilities of an inspection target asset according to an embodiment of the present invention.
도 2를 참조하면, 컴플라이언스 관리부(111)에서는 금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제(예컨대, 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정 등)를 평가 기준 DB(122)에 등록하여 관리할 수 있다(단계 202).Referring to FIG. 2 , in the
여기에서, 보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있으며, 수백 내지 수천 개의 평가 항목(예컨대, 720개의 평가 항목)으로 구성될 수 있고, 금융 IT 규제는, 예컨대 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.Here, the evaluation criteria for security vulnerabilities may include, for example, at least one or more of an information protection management system, a server, a database, a network infrastructure, a network device, an information protection system device, and a web/mobile/HTS application, and hundreds to thousands It may consist of evaluation items (for example, 720 evaluation items), and financial IT regulations, for example, comply with at least one or more of the Electronic Financial Transactions Act of the Republic of Korea, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulations Enforcement Rules. may include
프로젝트 관리부(112)에서는 프로젝트(점검 대상에 대한 보안 취약점의 평가를 위한 프로젝트), 예컨대 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간 등을 포함하는 프로젝트를 생성하여 프로젝트 DB(124)에 등록한다(단계 204).The
프로젝트 DB(124)에는, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 20년 전자금융기반시설의 취약점 평가 기준 등과 같은 평가 기준, 예컨대 00 은행 등과 같은 점검 대상 기관, 점검 수행 기간 등의 정보들이 저장될 수 있다.In the
자산 관리부(113)에서는 보안 취약점의 평가를 위한 점검 대상 자산, 예컨대 자산명, 프로젝트명, 평가 분야, 자산 속성 등을 포함하는 평가 분야별 자산을 생성하여 자산 DB(126)에 등록한다(단계 206).The
자산 DB(126)에는, 예컨대 인터넷 뱅킹 웹서버 등과 같은 자산명, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 서버 등과 같은 평가 분야, 예컨대 AIX/7.1 등과 같은 자산 속성이 저장될 수 있다.In the
평가 항목 생성부(114)에서는 평가 기준 DB(122)로부터 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 기 선정된 평가 항목 중 점검 대상 자산의 속성(일례로서 앞에 제시된 표 1의 평가 분야별 자산 속성 참조)에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록한다(단계 208).The evaluation
취약점 분석부(115)에서는 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 보안 취약점의 분석(자동 분석 또는 수동 분석)을 수행한다(단계 210).The
즉, 취약점 분석부(115)에서는 취약점 자동 분석이 가능한 서버 및 네트워크 장비 분야의 자산 속성(서버의 OS종류, 네트워크 장비의 제조사/제품명)별로 취약 여부를 판단하기 위한 보안 설정값(명령 및 인자값) 및 판단 규칙이 시스템 소스코드 내에 사전 정의되어 있으므로, 이후 절차에 따라 취약점을 자동 분석하고, 사용자 인터페이스를 통해 점검 대상 자산에서 보안설정 정보를 수집할 수 있는 명령을 수행하여 결과를 파일로 저장하며, 사용자 인터페이스를 통해 자산의 보안설정 정보수집 결과(파일)를 시스템에 입력하고, 시스템이 자산의 보안설정 정보수집 결과와 사전에 소스코드 내에 정의된 보안 설정값 및 판단 규칙을 비교하여 취약점을 자동 분석한다.That is, in the
분석 결과 등록부(116)에서는 취약점 분석부(115)를 통해 분석된 점검 대상 자산의 보안 취약점 분석 결과(취약점 자동 분석 결과 또는 취약점 수동 분석 결과)를 평가항목 DB(128)에 등록한다.The analysis
결과서 생성부(117)에서는 평가항목 DB(128)로부터 보안 취약점의 분석 결과를 자동 계산하여 다양한 취약점 통계를 생성하고(단계 212), 생성된 취약점 통계 및 보안 취약점 관련 정보(예컨대, 판단 근거 등)가 포함된 결과서를 자동 생성한다(단계 214).The
즉, 결과서 생성부(117)에서는 평가항목 DB(128)에 등록된 보안 취약점 분석 결과를 기반으로 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등의 통계를 자동 계산하여 결과서 파일을 생성한다.That is, the
결과서 생성부(117)를 통해 생성되는 결과서에는, 예컨대 발견된 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법 등의 취약점 관련 정보와 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등이 포함될 수 있으며, 결과서 파일은 다양한 전자문서 형식, 예컨대 MS-EXCEL, MS-WORD, HTML 등의 전자문서 형식을 지원할 수 있다.The result generated by the
도 4는 본 발명의 실시 예에 따라 결과서 생성부를 통해 생성된 결과서를 분야별 요약 보고서 및 분야별 상세 보고서 형식으로 자동 생성한 것의 예시를 보여준다.4 shows an example of automatically generating results generated through the result generating unit in the form of a summary report for each field and a detailed report by field according to an embodiment of the present invention.
도 5는 본 발명의 실시 예에 따라 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등을 자동 계산하여 출력(표출)한 것의 예시를 보여준다.5 shows an example of automatically calculating and outputting (expressing) vulnerability statistics by risk level and control field for each evaluation field according to an embodiment of the present invention.
도 6은 연도별/프로젝트별 취약점 통계의 비교를 나타내는 것으로, 2020년 전자금융기반시설의 취약점 평가 결과와 2021년 전자금융기반시설의 취약점 평가 결과에 대한 통계 비교의 예시를 보여준다.6 shows a comparison of vulnerability statistics by year/project, and shows an example of statistical comparison of the vulnerability evaluation result of the electronic financial infrastructure in 2020 and the vulnerability evaluation result of the electronic financial infrastructure in 2021.
도 7은 다수의 평가 분야에 대한 기존/신규의 평가 지수를 비교한 결과 및 그래프에 대한 예시를 보여준다.7 shows an example of a graph and a result of comparing existing/new evaluation indices for a number of evaluation fields.
한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.Meanwhile, combinations of each block in the accompanying block diagram and each step in the flowchart may be performed by computer program instructions. These computer program instructions may be embodied in a processor of a general-purpose computer, special-purpose computer, or other programmable data processing equipment, such that the instructions executed by the processor of the computer or other programmable data processing equipment correspond to each block in the block diagram or in the flowchart. Each step creates a means for performing the described functions.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.These computer program instructions may also be stored in a computer-usable or computer-readable memory, etc., which may be directed to a computer or other programmable data processing equipment to implement a function in a particular manner, and thus the computer-usable or computer-readable memory. The instructions stored in the block diagram may produce an article of manufacture containing instruction means for performing the functions described in each block in the block diagram or in each step in the flowchart.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.And, since the computer program instructions may be mounted on a computer or other programmable data processing equipment, a series of operating steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to create a computer or other program It is also possible that instructions for performing the possible data processing equipment provide steps for carrying out the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or each step may represent a module, segment, or part of code including at least one or more executable instructions for executing specified logical function(s). It should also be noted that in some alternative embodiments it is also possible for the functions recited in blocks or steps to occur out of order. For example, it is possible that two blocks or steps shown one after another may in fact be performed substantially simultaneously, or that the blocks or steps may sometimes be performed in the reverse order according to the corresponding function.
이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.The above description is merely illustrative of the technical idea of the present invention, and those of ordinary skill in the art to which the present invention pertains may make various substitutions, modifications, and changes within the scope not departing from the essential characteristics of the present invention. It will be easy to see that this is possible. That is, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments.
따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Therefore, the protection scope of the present invention should be interpreted by the claims described below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.
110 : 보안 취약점 관리 모듈
111 : 컴플라이언스 관리부
112 : 프로젝트 관리부
113 : 자산 관리부
114 : 평가 항목 생성부
115 : 취약점 분석부
116 : 분석 결과 등록부
117 : 결과서 생성부
120 : 데이터베이스 모듈
122 : 평가 기준 DB
124 : 프로젝트 DB
126 : 자산 DB
128 : 평가항목 DB110: security vulnerability management module
111: Compliance Management Department
112: project management department
113: asset management department
114: evaluation item generation unit
115: vulnerability analysis unit
116: analysis result register
117: result generating unit
120: database module
122: evaluation criteria DB
124 : Project DB
126 : Asset DB
128: evaluation item DB
Claims (7)
상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와,
상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와,
상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산을 동일한 종류의 자산별로 분류한 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 종류인 자산 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와,
상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와,
상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와,
상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함하는
보안 취약점 관리 시스템.A compliance management department that registers and manages the evaluation criteria for security vulnerabilities and financial IT regulations of financial institutions' electronic financial infrastructure in the evaluation criteria DB;
A project management unit that creates a project for evaluation of the security vulnerability, registers it in the project DB, and manages it;
An asset management unit that creates an asset to be inspected for the project, registers it in the asset DB, and manages it;
Selecting an evaluation item corresponding to the evaluation standard of the project to which the inspection target asset belongs from the evaluation criteria DB, and selecting an evaluation item suitable for the evaluation field in which the inspection target asset is classified by asset of the same type among the selected evaluation items; , an evaluation item generation unit that selects an evaluation item suitable for an asset attribute, which is a type of asset to be inspected, from among the previously selected evaluation items, and registers the selected evaluation item in the evaluation item DB;
Analysis of the security vulnerability is performed by dividing the asset to be inspected for which the evaluation items are selected into nine fields: information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application a vulnerability analysis unit that
an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected, analyzed through the vulnerability analysis unit, in the evaluation item DB;
Comprising a result generating unit that automatically calculates the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information
Security Vulnerability Management System.
상기 보안 취약점의 평가 기준은,
정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The evaluation criteria of the security vulnerability are,
Information security management system, server, database, network infrastructure, network equipment, information security system equipment, including at least one of web / mobile / HTS application
Security Vulnerability Management System.
상기 금융 IT 규제는,
전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함하는 보안 취약점 관리 시스템.The method of claim 1,
The financial IT regulation is,
A security vulnerability management system including at least one of the Electronic Financial Transactions Act, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulation Enforcement Rules.
상기 프로젝트는,
프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The project is
Project name, evaluation criteria, evaluation field, inspection target institution, inspection period
Security Vulnerability Management System.
상기 점검 대상 자산은,
자산명, 프로젝트명, 평가 분야, 자산 속성을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The assets to be inspected are:
Asset name, project name, evaluation field, asset attribute including
Security Vulnerability Management System.
상기 취약점 분석 결과는,
평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The vulnerability analysis result is,
evaluation item ID, item name, vulnerability, and
Security Vulnerability Management System.
상기 결과서는,
상기 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법의 취약점 관련 정보와 위험도별 통계 및 분야별 취약점 통계를 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The result is
The vulnerability check result for the above security vulnerability, including information on the vulnerability of the basis for judgment and action method, statistics by risk level, and vulnerability statistics by field
Security Vulnerability Management System.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200182566A KR102439817B1 (en) | 2020-12-23 | 2020-12-23 | System and method for managing secure vulnerability, and recording medium storing program for executing the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200182566A KR102439817B1 (en) | 2020-12-23 | 2020-12-23 | System and method for managing secure vulnerability, and recording medium storing program for executing the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220091248A KR20220091248A (en) | 2022-06-30 |
KR102439817B1 true KR102439817B1 (en) | 2022-09-02 |
Family
ID=82215571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200182566A KR102439817B1 (en) | 2020-12-23 | 2020-12-23 | System and method for managing secure vulnerability, and recording medium storing program for executing the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102439817B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011018361A (en) | 2006-04-19 | 2011-01-27 | Metarisk Inc | Information technology risk management system and method therefor |
JP2020527798A (en) | 2017-07-19 | 2020-09-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Runtime generation that recognizes compliance based on application patterns and risk assessments |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090038683A (en) | 2007-10-16 | 2009-04-21 | 한국전자통신연구원 | Web firewall with automatic checking function of web server vulnerability and vulnerability checking method for using the same |
-
2020
- 2020-12-23 KR KR1020200182566A patent/KR102439817B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011018361A (en) | 2006-04-19 | 2011-01-27 | Metarisk Inc | Information technology risk management system and method therefor |
JP2020527798A (en) | 2017-07-19 | 2020-09-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Runtime generation that recognizes compliance based on application patterns and risk assessments |
Non-Patent Citations (2)
Title |
---|
김광배, ‘금융회사 전자 금융기반 시설 취약점 분석 평가 점검기준의 합리적 개선방안’, 고려대학교정보보호대학원 석사학위논문, 2017.12.08. |
윤일한 외 1인, ‘정보보안 컴플라이언스와 위기대응이 정보보안 신뢰에 미치는 영향에 관한 연구’, Information System Review, Vol.17,No.1, 2015.04. |
Also Published As
Publication number | Publication date |
---|---|
KR20220091248A (en) | 2022-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10438001B1 (en) | Identification, prediction, and assessment of cyber security risk | |
US9930061B2 (en) | System and method for cyber attacks analysis and decision support | |
US10757127B2 (en) | Probabilistic model for cyber risk forecasting | |
US9690937B1 (en) | Recommending a set of malicious activity detection rules in an automated, data-driven manner | |
US9172720B2 (en) | Detecting malware using revision control logs | |
US20160210631A1 (en) | Systems and methods for flagging potential fraudulent activities in an organization | |
KR102295654B1 (en) | Method and apparatus for predicting attack target based on attack graph | |
KR100755000B1 (en) | Security risk management system and method | |
Maheshwari et al. | Integrating risk assessment and threat modeling within SDLC process | |
US11507674B2 (en) | Quantifying privacy impact | |
US20220278993A1 (en) | An organizational cyber security system and method | |
CN117769706A (en) | Network risk management system and method for automatically detecting and analyzing network security in network | |
Bahşi et al. | Impact assessment of cyber actions on missions or business processes: A systematic literature review | |
CN109388949B (en) | Data security centralized management and control method and system | |
Abbass et al. | Using EBIOS for risk management in critical information infrastructure | |
KR100524649B1 (en) | Risk analysis system for information assets | |
KR102439817B1 (en) | System and method for managing secure vulnerability, and recording medium storing program for executing the same | |
KR100891345B1 (en) | Information security managment system supporting inter-mapping between each different information security index and method thereof | |
Kaushik | A systematic approach to develop an advanced insider attacks detection module | |
KR101081875B1 (en) | Prealarm system and method for danger of information system | |
KR20140081071A (en) | Method and system for real-time security performance and measurement management | |
KR20180130630A (en) | Vulnerability diagnosing and managing system and method of information system using automatic diagnosis tool | |
Safarzadeh et al. | A novel and comprehensive evaluation methodology for SIEM | |
US20200389482A1 (en) | Software application for continually assessing, processing, and remediating cyber-risk in real time | |
WO2021059471A1 (en) | Security risk analysis assistance device, method, and computer-readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |