KR102439817B1 - System and method for managing secure vulnerability, and recording medium storing program for executing the same - Google Patents

System and method for managing secure vulnerability, and recording medium storing program for executing the same Download PDF

Info

Publication number
KR102439817B1
KR102439817B1 KR1020200182566A KR20200182566A KR102439817B1 KR 102439817 B1 KR102439817 B1 KR 102439817B1 KR 1020200182566 A KR1020200182566 A KR 1020200182566A KR 20200182566 A KR20200182566 A KR 20200182566A KR 102439817 B1 KR102439817 B1 KR 102439817B1
Authority
KR
South Korea
Prior art keywords
evaluation
vulnerability
asset
security
project
Prior art date
Application number
KR1020200182566A
Other languages
Korean (ko)
Other versions
KR20220091248A (en
Inventor
이수미
김민성
이여름
박상현
Original Assignee
사단법인 금융보안원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융보안원 filed Critical 사단법인 금융보안원
Priority to KR1020200182566A priority Critical patent/KR102439817B1/en
Publication of KR20220091248A publication Critical patent/KR20220091248A/en
Application granted granted Critical
Publication of KR102439817B1 publication Critical patent/KR102439817B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Educational Administration (AREA)
  • Marketing (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Computing Systems (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 따른 보안 취약점 관리 시스템은, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록 및 관리하는 컴플라이언스 관리부와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와, 상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함할 수 있다.The security vulnerability management system according to the present invention includes a compliance management unit that registers and manages evaluation criteria for security vulnerabilities and financial IT regulations for electronic financial infrastructure of financial-related institutions in an evaluation criteria DB, and a project for evaluating the security vulnerabilities. The project management unit that creates and registers and manages the asset to be inspected in the project DB, the asset management unit that creates and registers and manages the asset to be inspected in the asset DB, and the evaluation criterion of the project to which the asset to be inspected belongs from the evaluation criterion DB. Select the corresponding evaluation item, select an evaluation item suitable for the evaluation field of the asset to be inspected from among the pre-selected evaluation items, select an evaluation item that matches the attribute of the asset to be inspected from among the pre-selected evaluation items, and An evaluation item generation unit that registers evaluation items in the evaluation item DB, and an information security management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/ A vulnerability analysis unit that analyzes the security vulnerability by dividing the HTS application into 9 fields, an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected analyzed through the vulnerability analysis unit in the evaluation item DB; It may include a result generating unit that automatically calculates the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information.

Description

보안 취약점 관리 시스템과 방법 및 그 기록매체{SYSTEM AND METHOD FOR MANAGING SECURE VULNERABILITY, AND RECORDING MEDIUM STORING PROGRAM FOR EXECUTING THE SAME}SYSTEM AND METHOD FOR MANAGING SECURE VULNERABILITY, AND RECORDING MEDIUM STORING PROGRAM FOR EXECUTING THE SAME

본 발명은 금융분야의 보안 취약점을 관리하는 기법에 관한 것으로, 더욱 상세하게는 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현할 수 있는 보안 취약점 관리 시스템과 방법 및 그 기록매체에 관한 것이다.The present invention relates to a technique for managing security vulnerabilities in the financial field, and more particularly, to a security vulnerability management system and method capable of implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services through systems and algorithms, and It is about the recording medium.

정보통신 기술의 발달과 그 보급이 확산됨에 따라, 정보 통신 시설을 이용하는 금융분야의 전자금융기반시설에 대한 보안 취약점을 점검 및 분석하고, 이러한 분석 결과를 토대로 내외부의 공격으로부터 전자금융기반시설의 점검 대상 자산(예컨대, 서버, 네트워크 장비 등)을 보호하는 것이 반드시 필요하다.With the development and spread of information and communication technology, the security vulnerabilities of electronic financial infrastructure in the financial field using information and communication facilities are checked and analyzed, and electronic financial infrastructure is inspected from internal and external attacks based on the analysis result. It is essential to protect the target assets (eg servers, network equipment, etc.).

종래에는 결정된 시간 스케줄에 따라 자동으로 서버의 보안 취약점을 분석해 주는 방법이 있는데, 이와 관련된 선행특허문헌으로는 한국공개특허 제2009-0038683호(이하, 선행특허라 함)가 있다.In the related art, there is a method of automatically analyzing a security vulnerability of a server according to a determined time schedule. As a related patent document, there is Korean Patent Application Laid-Open No. 2009-0038683 (hereinafter referred to as a prior patent).

선행특허에서는 스케줄 및 실행 명령에 따라 미리 저장된 취약점 검색 데이터베이스를 호출하고, 호출된 검색 데이터베이스에 포함된 취약점 데이터에 상응하여 관리 웹서버의 취약점 존재 가능성을 검색하며, 검색 결과를 최적화하여 취약점 정보를 도출한 후 그 도출 결과를 바탕으로 관리 웹서버의 취약점을 점검하는 기술을 개시하고 있다.In the prior patent, the vulnerability search database stored in advance is called according to the schedule and execution commands, the possibility of the existence of vulnerabilities in the management web server is searched according to the vulnerability data included in the called search database, and vulnerability information is derived by optimizing the search results. Then, based on the derived results, a technique for checking the vulnerabilities of the management web server is disclosed.

이때, IT 시스템의 보안 취약점을 점검하기 위해서는 서버 외에, 예컨대 정보보호 관리체계, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션과 같은 다양한 평가 분야에 대한 분석이 요망된다. At this time, in order to check the security vulnerabilities of the IT system, it is required to analyze various evaluation fields other than the server, for example, information protection management system, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS application. .

예컨대, 서버 외에 다른 평가 분야의 체계적인 보안 취약점 점검 및 관리를 위한 절차(예컨대, 평가기준 등록단계부터 결과서 생성단계까지)가 별도로 존재하지 않기 때문에 점검 시 절차가 누락되거나 불필요한 절차를 수행하는 등 항시 동일한 수준의 결과를 보장할 수 없는 문제가 있다.For example, since there is no separate procedure for systematic security vulnerability inspection and management in other evaluation fields (e.g., from the evaluation criteria registration stage to the result generation stage) other than the server, the inspection procedure is always the same, such as missing or unnecessary procedures. There is a problem that level results cannot be guaranteed.

한국공개특허 제2009-0038683호(공개일 : 2009. 04. 21.)Korea Patent Publication No. 2009-0038683 (published date: 2009. 04. 21.)

본 발명은 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현할 수 있는 보안 취약점 관리 시스템과 방법을 제공하고자 한다.An object of the present invention is to provide a security vulnerability management system and method capable of implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services using systems and algorithms.

본 발명은 보안 취약점 관리 방법을 프로세서가 수행하도록 하는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 기록매체를 제공하고자 한다.An object of the present invention is to provide a computer-readable recording medium in which a computer program for causing a processor to perform a security vulnerability management method is stored.

본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the above-mentioned, and another problem to be solved that is not mentioned can be clearly understood by those of ordinary skill in the art to which the present invention belongs from the following description. will be.

본 발명은, 일 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록 및 관리하는 컴플라이언스 관리부와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와, 상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함하는 보안 취약점 관리 시스템을 제공할 수 있다.According to one aspect, the present invention includes a compliance management unit that registers and manages evaluation criteria for security vulnerabilities and financial IT regulations for electronic financial infrastructure of financial-related institutions in an evaluation criteria DB, and a project for evaluation of the security vulnerabilities. The project management unit that creates and registers and manages the project DB, the asset management unit that creates and registers and manages the asset to be inspected in the project DB, and the evaluation criteria of the project to which the asset to be inspected belongs from the evaluation criterion DB selects an evaluation item to be evaluated, selects an evaluation item suitable for the evaluation field of the asset to be inspected from among the pre-selected evaluation items, selects an evaluation item that matches the attribute of the asset to be inspected from among the pre-selected evaluation items, and selects the selected evaluation An evaluation item generation unit that registers the items in the evaluation item DB, and the asset to be inspected from which the evaluation items are selected is stored in an information security management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS A vulnerability analysis unit that analyzes the security vulnerability by dividing the application into nine fields, an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected analyzed through the vulnerability analysis unit in the evaluation item DB, and the evaluation It is possible to provide a security vulnerability management system including a result generator that automatically calculates the analysis result of the security vulnerability from the item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information.

본 발명의 상기 보안 취약점의 평가 기준은, 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있다.The evaluation criteria of the security vulnerability of the present invention may include at least one or more of an information protection management system, a server, a database, a network infrastructure, a network device, an information protection system device, and a web/mobile/HTS application.

본 발명의 상기 금융 IT 규제는, 전자금융거래법, 전자금융거래법시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.The financial IT regulation of the present invention may include at least one of the Electronic Financial Transactions Act, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulation Enforcement Rules.

본 발명의 상기 프로젝트는, 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간을 포함할 수 있다.The project of the present invention may include a project name, evaluation criteria, evaluation field, inspection target institution, and inspection execution period.

본 발명의 상기 점검 대상 자산은, 자산명, 프로젝트명, 평가 분야, 자산 속성을 포함할 수 있다.The check target asset of the present invention may include an asset name, a project name, an evaluation field, and an asset attribute.

본 발명의 상기 취약점 분석 결과는, 평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함할 수 있다.The vulnerability analysis result of the present invention may include an evaluation item ID, an item name, whether it is vulnerable, and a basis for determination.

본 발명의 상기 결과서는, 상기 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법의 취약점 관련 정보와 위험도별 통계 및 분야별 취약점 통계를 포함할 수 있다.The result sheet of the present invention may include the vulnerability check result for the security vulnerability, information about the vulnerability of the determination basis and the action method, and statistics for each risk level and vulnerability statistics for each field.

본 발명은, 다른 관점에 따라, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 단계와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록하는 단계와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록하는 단계와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록하는 단계와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하고, 그 취약점 분석 결과를 상기 평가항목 DB에 등록하는 단계와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하는 단계와, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 단계를 포함하는 보안 취약점 관리 방법을 제공할 수 있다.According to another aspect, the present invention includes the steps of registering the evaluation criteria for security vulnerabilities for electronic financial infrastructure of financial-related institutions and financial IT regulations in the evaluation criteria DB, and creating a project for evaluating the security vulnerabilities. Registering in DB, generating and registering the asset to be inspected of the project in the asset DB, selecting an evaluation item corresponding to the evaluation criterion of the project to which the asset to be inspected belongs from the evaluation criterion DB, and selecting a pre-selection Selecting an evaluation item suitable for the evaluation field of the asset to be inspected from among the evaluation items, selecting an evaluation item suitable for the property of the asset to be inspected from among the previously selected evaluation items, and registering it in the evaluation item DB; The selected asset is divided into nine areas of information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application to analyze the security vulnerabilities, and the vulnerabilities The steps of registering the analysis result in the evaluation item DB, automatically calculating the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics; A security vulnerability management method including the step of creating may be provided.

본 발명은, 또 다른 관점에 따라, 보안 취약점 관리 방법을 프로세서가 수행하도록 하는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 기록매체로서, 상기 보안 취약점 관리 방법은, 금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록하는 단계와, 상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록하는 단계와, 상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록하는 단계와, 상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 속성에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록하는 단계와, 상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하고, 그 취약점 분석 결과를 상기 평가항목 DB에 등록하는 단계와, 상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하는 단계와, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 단계를 포함하는 컴퓨터 판독 가능한 기록매체를 제공할 수 있다.According to another aspect, the present invention is a computer-readable recording medium storing a computer program for causing a processor to perform a security vulnerability management method, wherein the security vulnerability management method includes a security vulnerability for an electronic financial infrastructure of a financial institution. Registering the evaluation criteria and financial IT regulation of step, selecting an evaluation item corresponding to the evaluation criteria of the project to which the inspection target asset belongs from the evaluation criteria DB, selecting an evaluation item suitable for the evaluation field of the inspection target asset from among the pre-selected evaluation items, and selecting the pre-selection Selecting an evaluation item suitable for the properties of the asset to be inspected from among the evaluation items and registering it in the evaluation item DB; , information protection system equipment, performing the analysis of the security vulnerability by dividing it into 9 fields of web/mobile/HTS application, and registering the vulnerability analysis result in the evaluation item DB; It is possible to provide a computer-readable recording medium comprising the steps of automatically calculating the analysis result to generate vulnerability statistics, and generating a result sheet including the generated vulnerability statistics and security vulnerability-related information.

본 발명의 실시예에 따르면, 전자금융 서비스에 특화된 전자금융기반시설의 보안 취약점에 대한 관리를 시스템 및 알고리즘으로 구현함으로써, 금융 IT 환경(금융 IT 규제 및 기술)에 기반한 보안 취약점에 대한 관리 기능을 제공할 수 있다.According to an embodiment of the present invention, the management function for security vulnerabilities based on the financial IT environment (financial IT regulation and technology) is implemented by implementing the management of security vulnerabilities in electronic financial infrastructure specialized for electronic financial services as a system and algorithm. can provide

본 발명의 실시예에 따르면, 보안 취약점의 점검을 위한 프로젝트에 대한 점검 진행 상황, 취약점 현황 등 평가 진행 상황을 실시간으로 공유함으로써, 프로젝트 관리의 용이성을 실현할 수 있다.According to an embodiment of the present invention, by sharing the evaluation progress, such as the inspection progress status and the vulnerability status, for a project for checking security vulnerabilities in real time, it is possible to realize the ease of project management.

도 1은 본 발명의 실시예에 따른 보안 취약점 관리 시스템의 블록 구성도이다.
도 2는 본 발명의 실시예에 따라 점검 대상 자산의 보안 취약점을 관리하는 주요 과정을 도시한 순서도이다.
도 3은 평가 기준 양식에 대한 사용자 인터페이스(UI)의 예시도이다.
도 4는 결과서 생성부를 통해 생성된 결과서를 분야별 요약 보고서 및 분야별 상세 보고서 형식으로 자동 생성한 것의 예시도이다.
도 5는 위험도별 통계, 통제 분야별 취약점 통계를 자동 계산하여 출력한 것의 예시도이다.
도 6은 2020년 전자금융기반시설의 취약점 평가와 2021년 전자금융기반시설의 취약점 평가 결과에 대한 통계 비교의 예시도이다.
도 7은 다수의 평가 분야에 대한 기존/신규의 평가 지수를 비교한 결과 및 그래프에 대한 예시도이다.1 is a block diagram of a security vulnerability management system according to an embodiment of the present invention.
2 is a flowchart illustrating a main process of managing security vulnerabilities of an inspection target asset according to an embodiment of the present invention.
3 is an exemplary diagram of a user interface (UI) for an evaluation criterion form.
4 is an exemplary view of automatically generating results generated through the result generating unit in the form of a summary report for each field and a detailed report for each field.
5 is an exemplary diagram of automatically calculating and outputting statistics for each risk level and vulnerability statistics for each control field.
6 is an exemplary view of statistical comparison of the vulnerability evaluation of the electronic financial infrastructure in 2020 and the vulnerability evaluation result of the electronic financial infrastructure in 2021.
7 is an exemplary view of a graph and a result of comparing existing/new evaluation indices for a plurality of evaluation fields.

먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어지는 실시예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.First, the advantages and features of the present invention, and a method for achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. Here, the present invention is not limited to the embodiments disclosed below, but may be implemented in a variety of different forms, and only the present embodiments allow the disclosure of the present invention to be complete, and are commonly used in the technical field to which the present invention pertains. Since it is provided by way of example so that those with knowledge of the present invention can clearly understand the scope of the invention, the technical scope of the present invention should be defined by the claims.

아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 발명의 설명 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.In addition, in the following description of the present invention, if it is determined that a detailed description of a well-known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, the terms described below are terms defined in consideration of functions in the present invention, which may vary depending on the intention or custom of a user, an operator, etc., of course. Therefore, the definition should be made based on the technical idea described throughout the description of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

알려진 바와 같이, 비금융권 회사의 정보통신 기반시설은, 예컨대 주요 정보통신 기반시설 취약점 평가기준, ISO-27001(ISMS), PIMS 등의 기준 및 인증으로 보안 취약점을 평가 및 관리할 수 있다.As is known, the information and communication infrastructure of non-financial companies can evaluate and manage security vulnerabilities with standards and certifications such as, for example, major information and communication infrastructure vulnerability evaluation standards, ISO-27001 (ISMS), and PIMS.

또한, 금융권(예컨대, 금융회사)은 전자금융 서비스에 특화된 전자금융기반시설 보안 취약점 평가 기준(예컨대, 금융보안원)을 기반으로 보안 취약점을 평가 및 관리할 수 있는데, 본 발명에서는 이를 시스템 및 알고리즘으로 구현하고자 한다.In addition, the financial sector (eg, a financial company) can evaluate and manage security vulnerabilities based on the evaluation criteria for security vulnerabilities in electronic financial infrastructure specialized for electronic financial services (eg, the Financial Security Agency). In the present invention, the system and algorithm want to implement it.

도 1은 본 발명의 실시예에 따른 보안 취약점 관리 시스템의 블록 구성도로서, 크게 구분해 볼 때, 보안 취약점 관리 모듈(110) 및 데이터베이스 모듈(120) 등을 포함할 수 있다.1 is a block diagram of a security vulnerability management system according to an embodiment of the present invention, and may include a security vulnerability management module 110 , a database module 120 , and the like when broadly divided.

도 1을 참조하면, 보안 취약점 관리 모듈(110)은, 컴플라이언스 관리부(111), 프로젝트 관리부(112), 자산 관리부(113), 평가 항목 생성부(114), 취약점 분석부(115), 분석 결과 등록부(116) 및 결과서 생성부(117) 등을 포함할 수 있고, 데이터베이스 모듈(120)은, 평가 기준 DB(122), 프로젝트 DB(124), 자산 DB(126) 및 평가항목 DB(128) 등을 포함할 수 있다.Referring to FIG. 1 , the security vulnerability management module 110 includes a compliance management unit 111 , a project management unit 112 , an asset management unit 113 , an evaluation item generation unit 114 , a vulnerability analysis unit 115 , and an analysis result. It may include a register 116 and a result generator 117, and the like, and the database module 120 includes an evaluation standard DB 122, a project DB 124, an asset DB 126, and an evaluation item DB 128. and the like.

보안 취약점 관리 모듈(110) 내의 컴플라이언스 관리부(111)는 금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제(예컨대, 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정 등)를 평가 기준 DB(122)에 등록 및 관리하는 등의 기능을 제공할 수 있다.The compliance management unit 111 in the security vulnerability management module 110 provides evaluation criteria for security vulnerabilities for electronic financial infrastructure of financial-related institutions (eg, Financial Security Agency, etc.) and financial IT regulations (eg, Electronic Financial Transactions Act, electronic finance). It is possible to provide functions such as registering and managing the Enforcement Decree of the Transaction Act, the Electronic Financial Supervision Regulations, etc.) in the evaluation standard DB 122 .

일례로서 도 3에 도시된 바와 같이, 평가기준(예컨대, 엑셀(Excel) 등) 양식에 대한 사용자 인터페이스(UI)를 통해 평가 기준 DB(122)에 보안 취약점의 평가 기준 및 금융 IT 규제 등의 데이터를 등록 및 관리(예컨대, 추가, 수정, 삭제 등)할 수 있다.As an example, as shown in FIG. 3 , data such as evaluation criteria for security vulnerabilities and financial IT regulations in the evaluation criteria DB 122 through the user interface (UI) for the evaluation criteria (eg, Excel, etc.) form can be registered and managed (eg, added, modified, deleted, etc.).

보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있으며, 수백 내지 수천 개의 평가 항목(예컨대, 720개의 평가 항목)으로 구성될 수 있다.The evaluation criteria for security vulnerabilities may include, for example, at least one or more of information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, web/mobile/HTS application, and hundreds to thousands of evaluation items (eg, 720 evaluation items).

금융 IT 규제는, 예컨대 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.Financial IT regulations may include, for example, at least one of the Electronic Financial Transactions Act of the Republic of Korea, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulations Enforcement Rules.

이를 위해, 컴플라이언스 관리부(111)는 보안 취약점의 평가 기준, 금융 IT 규제, 평가 분야(예컨대, 정보보호 관리체계 등) 및 평가 항목 ID(예컨대, FISM-001 등) 등의 정보들을 평가 기준 DB(122)에 등록 및 관리하는 등의 기능을 제공할 수 있다.To this end, the compliance management unit 111 collects information such as evaluation criteria for security vulnerabilities, financial IT regulations, evaluation fields (eg, information security management system, etc.) and evaluation item IDs (eg, FISM-001, etc.) in the evaluation criteria DB ( 122) can provide functions such as registration and management.

프로젝트 관리부(112)는 프로젝트(점검 대상에 대한 보안 취약점의 평가를 위한 프로젝트), 예컨대 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간 등을 포함하는 프로젝트를 생성하여 프로젝트 DB(124)에 등록하고, 프로젝트의 진행상황 모니터링 및 백업,복원 등 프로젝트를 관리하는 기능을 제공할 수 있다.The project management unit 112 creates a project (project for evaluation of security vulnerabilities for inspection targets), for example, a project name, evaluation criteria, evaluation field, inspection target institution, inspection execution period, etc. to create a project including the project DB (124) ) and can provide a function to manage the project, such as monitoring the progress of the project, and backing up and restoring it.

이를 위해, 프로젝트 DB(124)에는, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 20년 전자금융기반시설의 취약점 평가 기준 등과 같은 평가 기준, 예컨대 00 은행 등과 같은 점검 대상 기관, 점검 수행 기간 등의 정보들이 저장될 수 있다.To this end, in the project DB 124, for example, the project name such as the vulnerability check of electronic financial infrastructure, for example, evaluation criteria such as the vulnerability evaluation standard of the electronic financial infrastructure for 20 years, for example, the inspection target institution such as 00 bank, the inspection is performed Information such as a period may be stored.

자산 관리부(113)는 보안 취약점의 평가를 위한 점검 대상 자산, 예컨대 자산명, 프로젝트명, 평가 분야, 자산 속성 등을 포함하는 평가 분야별 자산을 생성하여 자산 DB(126)에 등록 및 관리하는 등의 기능을 제공할 수 있다.The asset management unit 113 creates an asset to be inspected for the evaluation of security vulnerabilities, for example, an asset for each evaluation field including an asset name, a project name, an evaluation field, an asset attribute, etc., registers and manages it in the asset DB 126 , etc. function can be provided.

이를 위해, 자산 DB(126)에는, 예컨대 인터넷 뱅킹 웹서버 등과 같은 자산명, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 서버 등과 같은 평가 분야, 예컨대 AIX/7.1 등과 같은 자산 속성이 저장될 수 있다.To this end, the asset DB 126 stores, for example, an asset name such as an Internet banking web server, for example, a project name such as a vulnerability check of an electronic financial infrastructure, an evaluation field such as a server, for example, an asset attribute such as AIX/7.1, etc. can be

평가 항목 생성부(114)는 평가 기준 DB(122)로부터 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 자산 DB(126)로부터 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 기 선정된 평가 항목 중 점검 대상 자산의 속성(일례로서 제시된 아래의 표 1의 평가 분야별 자산 속성 참조)에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB(128)에 등록(저장)하는 등의 기능을 제공할 수 있다.The evaluation item generation unit 114 selects an evaluation item corresponding to the evaluation criterion of the project to which the asset belongs from the evaluation criterion DB 122, and selects an evaluation item from the asset DB 126 in the evaluation field of the asset to be inspected among the evaluation items previously selected. Appropriate evaluation items are selected, and among the previously selected evaluation items, an evaluation item that matches the properties of the asset to be inspected (refer to the asset properties for each evaluation field in Table 1 below as an example) is selected, and the selected evaluation items are stored in the evaluation item DB ( 128) may provide functions such as registering (saving).

평가 분야evaluation field 자산 속성(종류)Asset property (type) 정보보호 관리체계Information Security Management System - 금융회사의 정보보호 관리체계 전체를 1개의 자산으로 정의하고 있어, 자산을 구분하기 위한 속성이 없음- Since the entire information protection management system of a financial company is defined as one asset, there is no attribute to classify the assets. 서버server - OS 종류 : AIX, HP-UX, Linux Solaris, Windows, 기타 OS- OS type: AIX, HP-UX, Linux Solaris, Windows, other OS 데이터베이스database - DBMS 종류 : ORACLE, MS-SQL, MySQL, PostgreSQL, MariaDB, 기타 DBMS- DBMS type: ORACLE, MS-SQL, MySQL, PostgreSQL, MariaDB, other DBMS 네트워크 인프라network infrastructure - 금융회사의 네트워크 인프라 전체를 1개의 자산으로 정의하고 있어, 자산을 구분하기 위한 속성이 없음- Since the entire network infrastructure of a financial company is defined as one asset, there is no attribute to classify assets 네트워크 장비network equipment - 제조사/제품명 : Cisco Systems/모든 라우터 및 스위치 제품, A10 Networks/모든 라우터 및 스위치 제품, BROADCOM/Brocade, Radware/Alteon, Nortel Networks/모든 라우터 및 스위치 제품, F5 Networks/BIG-IP, Citrix/모든 라우터 및 스위치 제품, PIOLINK/모든 라우터 및 스위치 제품, 3COM/모든 라우터 및 스위치 제품, Juniper Networks/모든 라우터 및 스위치 제품, 기타 제조사/제품명
-장비 종류 : 라우터, 스위치- Manufacturer/Product Name: Cisco Systems/All Routers and Switches, A10 Networks/All Routers and Switches, BROADCOM/Brocade, Radware/Alteon, Nortel Networks/All Routers and Switches, F5 Networks/BIG-IP, Citrix/All Router and Switch Products, PIOLINK/All Routers and Switches, 3COM/All Routers and Switches, Juniper Networks/All Routers and Switches, Other Manufacturers/Products
-Equipment type: router, switch 정보보호시스템 장비Information protection system equipment - 장비 종류 : DDOS, 침입차단 시스템, 침입방지 시스템, 침입탐지 시스템, VPN, 웹 방화벽, 기타 장비- Equipment type: DDOS, intrusion prevention system, intrusion prevention system, intrusion detection system, VPN, web firewall, other equipment
어플리케이션web
application - 프로토콜 종류: HTTP, HTTPS
- 전자금융기반시설 여부: 전자금융기반시설, 非 전자금융기반시설- Protocol type: HTTP, HTTPS
- Electronic financial infrastructure: Electronic financial infrastructure, non-electronic financial infrastructure 모바일
어플리케이션mobile
application - OS종류 : IOS, Android, 기타 OS
- 전자금융기반시설 여부: 전자금융기반시설, 非 전자금융기반시설- OS type: IOS, Android, other OS
- Electronic financial infrastructure: Electronic financial infrastructure, non-electronic financial infrastructure HTSHTS - 전자금융기반시설 여부: 전자금융기반시설, 非 전자금융기반시설- Electronic financial infrastructure: Electronic financial infrastructure, non-electronic financial infrastructure

취약점 분석부(115)는, 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 보안 취약점의 분석(자동 분석 또는 수동 분석)을 수행할 수 있는 기능을 제공할 수 있다.The vulnerability analysis unit 115 divides the inspection target asset into nine fields of information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application to analyze security vulnerabilities (automatic analysis or manual analysis).

예컨대, 취약점 분석부(115)는 취약점 자동 분석이 가능한 서버 및 네트워크 장비 분야의 자산 속성(예컨대, 서버의 OS 종류, 네트워크 장비의 제조사/제품명 등)별로 취약 여부를 판단하기 위한 보안 설정값(명령 및 인자값) 및 판단 규칙이 시스템 소스코드 내에 사전 정의되어 있으므로, 이후 절차에 따라 취약점을 자동으로 분석할 수 있고, 사용자 인터페이스를 통해 점검 대상 자산에서 보안설정 정보를 수집할 수 있는 명령을 수행하여 결과를 파일로 저장할 수 있으며, 사용자 인터페이스를 통해 자산의 보안설정 정보수집 결과(파일)를 시스템에 입력하고, 시스템이 자산의 보안설정 정보수집 결과와 사전에 소스코드 내에 정의된 보안 설정값 및 판단 규칙을 비교하여 취약점을 자동으로 분석하는 등의 기능을 제공할 수 있다.For example, the vulnerability analysis unit 115 is a security setting value (command and factor values) and decision rules are predefined in the system source code, so vulnerabilities can be automatically analyzed according to subsequent procedures, and security setting information can be collected from the asset to be inspected through the user interface The result can be saved as a file, and the security setting information collection result (file) of the asset is entered into the system through the user interface, and the system determines the asset security setting information collection result and the security setting value and judgment defined in the source code in advance. It can provide functions such as automatically analyzing vulnerabilities by comparing rules.

또한, 취약점 분석부(115)는, 평가분야 및 자산 속성에 따라, 점검 대상 자산에 대해 선정된 평가 항목별로 보안 취약점을 수동 분석(점검)할 수 있는데, 이를 위한 수동 점검 방법은 아래의 표 2에 도시된 바와 같다.In addition, the vulnerability analysis unit 115 may manually analyze (check) security vulnerabilities for each evaluation item selected for the asset to be inspected according to the evaluation field and asset properties. The manual inspection method for this is shown in Table 2 below. as shown in

평가 분야evaluation field 점검 방법How to check 정보보호
관리체계information protection
management system - 취약점 평가 항목별 점검 방법 및 판단 규칙에 따라, 금융회사 전자금융기반시설의 보안 관리 현황 및 내부 보안 규정, 지침 등을 분석하여 취약 여부를 점검- In accordance with the inspection methods and judgment rules for each vulnerability evaluation item, the security management status of financial companies' electronic financial infrastructure and internal security regulations and guidelines are analyzed to check for vulnerabilities. 서버server - 취약점 평가 항목별 점검 방법 및 판단 규칙에 따라, 각 자산의 보안설정 현황 및 운영환경을 분석하여 취약 여부를 점검- In accordance with the inspection method and judgment rule for each vulnerability evaluation item, the security setting status and operating environment of each asset are analyzed to check whether there is a vulnerability. 데이터베이스database 네트워크 장비network equipment 정보보호시스템 장비Information protection system equipment - 취약점 평가 항목별 점검 방법 및 판단 규칙에 따라, 각 자산의 접근제어정책(Access List), 보안설정 현황 및 운영환경을 분석하여 취약 여부를 점검- In accordance with the inspection method and judgment rule for each vulnerability evaluation item, the vulnerability is checked by analyzing the access control policy (Access List), security setting status, and operating environment of each asset. 네트워크 인프라network infrastructure - 취약점 평가 항목별 점검 방법 및 판단 규칙에 따라, 금융회사의 네트워크 구성, 접근제어(Access List) 현황 및 전자금융기반시설 운영환경을 분석하여 취약 여부를 점검- Vulnerability is checked by analyzing the network configuration, access list status, and electronic financial infrastructure operating environment of financial companies according to the inspection method and judgment rules for each vulnerability evaluation item. 웹 애플리케이션web application - 취약점 평가 항목별 점검 방법 및 판단 규칙에 따라, 각 자산의 서버 운영환경 분석 및 서버 및 클라이언트 프로그램의 취약 여부를 점검- Analyze the server operating environment of each asset and check whether the server and client programs are vulnerable according to the inspection methods and judgment rules for each vulnerability evaluation item 모바일 애플리케이션mobile application HTSHTS

분석 결과 등록부(116)는 취약점 분석부(115)를 통해 분석된 점검 대상 자산의 보안 취약점 분석 결과(취약점 자동 분석 결과 또는 취약점 수동 분석 결과)를 평가항목 DB(128)에 등록하는 등의 기능을 제공할 수 있다.The analysis result registration unit 116 registers the security vulnerability analysis result (vulnerability automatic analysis result or vulnerability manual analysis result) of the asset to be inspected analyzed through the vulnerability analysis unit 115 in the evaluation item DB 128 . can provide

이를 위해, 평가항목 DB(128)에는, 예컨대 SRV-069 등과 같은 평가 항목 ID, 예컨대 비밀번호, 관리 정책 설정 미비 등과 같은 항목명, 예컨대 취약 또는 미취약 등과 같은 취약 여부, 예컨대 비밀번호 관리 정책 설정 내용 부적절 등과 같은 판단 근거 등이 저장될 수 있다.To this end, the evaluation item DB 128 includes, for example, an evaluation item ID such as SRV-069, for example, a password, an item name such as insufficient management policy setting, for example, whether weak or weak, such as inappropriate password management policy setting content, etc. The same judgment basis may be stored.

결과서 생성부(117)는 평가항목 DB(128)로부터 보안 취약점의 분석 결과를 자동 계산하여 다양한 취약점 통계를 생성하고, 생성된 취약점 통계 및 보안 취약점 관련 정보(예컨대, 판단 근거 등)가 포함된 결과서를 자동으로 생성하는 등의 기능을 제공할 수 있다.The result generating unit 117 automatically calculates the analysis result of the security vulnerability from the evaluation item DB 128 to generate various vulnerability statistics, and the result containing the generated vulnerability statistics and security vulnerability related information (eg, judgment basis, etc.) It can provide functions such as automatically generating

예컨대, 결과서 생성부(117)는 평가항목 DB(128)에 등록된 보안 취약점 분석 결과를 기반으로 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등의 통계를 자동 계산하여 결과서 파일을 생성할 수 있으며, 또한 연도별, 프로젝트별로 보안 취약점 통계를 비교하여 도시 생략된 모니터 등을 통해 시각적으로 표출(디스플레이)해 주는 기능을 제공할 수 있다.For example, the result generating unit 117 can generate a result file by automatically calculating statistics such as vulnerability statistics by risk level and control field for each evaluation field based on the security vulnerability analysis result registered in the evaluation item DB 128, In addition, it is possible to provide a function of visually expressing (displaying) statistics through a monitor not shown by comparing security vulnerability statistics by year and by project.

여기에서, 결과서 생성부(117)를 통해 생성되는 결과서에는, 예컨대 발견된 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법 등의 취약점 관련 정보와 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등이 포함될 수 있으며, 결과서 파일은 다양한 전자문서 형식, 예컨대 MS-EXCEL, MS-WORD, HTML 등의 전자문서 형식을 지원할 수 있다.Here, in the result generated by the result generating unit 117, for example, vulnerability information such as a vulnerability check result, judgment basis and action method for the found security vulnerability, and vulnerability statistics by risk level and control field for each evaluation field are included. may be included, and the result file may support various electronic document formats, for example, electronic document formats such as MS-EXCEL, MS-WORD, and HTML.

도 2는 본 발명의 실시예에 따라 점검 대상 자산의 보안 취약점을 관리하는 주요 과정을 도시한 순서도이다.2 is a flowchart illustrating a main process of managing security vulnerabilities of an inspection target asset according to an embodiment of the present invention.

도 2를 참조하면, 컴플라이언스 관리부(111)에서는 금융 관련 기관(예컨대, 금융보안원 등)의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제(예컨대, 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정 등)를 평가 기준 DB(122)에 등록하여 관리할 수 있다(단계 202).Referring to FIG. 2 , in the compliance management unit 111 , evaluation standards for security vulnerabilities for electronic financial infrastructure of financial-related institutions (eg, Financial Security Agency, etc.) and financial IT regulations (eg, Electronic Financial Transactions Act, Electronic Financial Transactions Act Enforcement Decree) , electronic financial supervision regulations, etc.) can be registered and managed in the evaluation standard DB 122 (step 202).

여기에서, 보안 취약점의 평가 기준은, 예컨대 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함할 수 있으며, 수백 내지 수천 개의 평가 항목(예컨대, 720개의 평가 항목)으로 구성될 수 있고, 금융 IT 규제는, 예컨대 대한민국의 전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함할 수 있다.Here, the evaluation criteria for security vulnerabilities may include, for example, at least one or more of an information protection management system, a server, a database, a network infrastructure, a network device, an information protection system device, and a web/mobile/HTS application, and hundreds to thousands It may consist of evaluation items (for example, 720 evaluation items), and financial IT regulations, for example, comply with at least one or more of the Electronic Financial Transactions Act of the Republic of Korea, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulations Enforcement Rules. may include

프로젝트 관리부(112)에서는 프로젝트(점검 대상에 대한 보안 취약점의 평가를 위한 프로젝트), 예컨대 프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간 등을 포함하는 프로젝트를 생성하여 프로젝트 DB(124)에 등록한다(단계 204).The project management unit 112 creates a project (project for evaluation of security vulnerabilities for inspection targets), for example, a project name, evaluation criteria, evaluation field, inspection target institution, inspection execution period, etc. ) (step 204).

프로젝트 DB(124)에는, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 20년 전자금융기반시설의 취약점 평가 기준 등과 같은 평가 기준, 예컨대 00 은행 등과 같은 점검 대상 기관, 점검 수행 기간 등의 정보들이 저장될 수 있다.In the project DB 124, for example, the project name, such as the vulnerability check of electronic financial infrastructure, etc., for example, evaluation criteria such as the vulnerability evaluation standard of the electronic financial infrastructure for 20 years, for example, inspection target institutions such as 00 bank, inspection execution period, etc. Information may be stored.

자산 관리부(113)에서는 보안 취약점의 평가를 위한 점검 대상 자산, 예컨대 자산명, 프로젝트명, 평가 분야, 자산 속성 등을 포함하는 평가 분야별 자산을 생성하여 자산 DB(126)에 등록한다(단계 206).The asset management unit 113 creates an asset to be inspected for the evaluation of security vulnerabilities, for example, an asset for each evaluation field including an asset name, a project name, an evaluation field, an asset attribute, and the like, and registers it in the asset DB 126 (step 206). .

자산 DB(126)에는, 예컨대 인터넷 뱅킹 웹서버 등과 같은 자산명, 예컨대 전자금융기반시설의 취약점 점검 등과 같은 프로젝트명, 예컨대 서버 등과 같은 평가 분야, 예컨대 AIX/7.1 등과 같은 자산 속성이 저장될 수 있다.In the asset DB 126, asset names such as, for example, Internet banking web server, for example, project names such as vulnerability check of electronic financial infrastructure, etc., for example, evaluation fields such as servers, for example, asset properties such as AIX/7.1, etc. may be stored. .

평가 항목 생성부(114)에서는 평가 기준 DB(122)로부터 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산의 평가 분야에 맞는 평가 항목을 선정하며, 기 선정된 평가 항목 중 점검 대상 자산의 속성(일례로서 앞에 제시된 표 1의 평가 분야별 자산 속성 참조)에 맞는 평가 항목을 선정한 후 평가항목 DB에 등록한다(단계 208).The evaluation item generating unit 114 selects an evaluation item corresponding to the evaluation criterion of the project to which the asset belongs from the evaluation criterion DB 122, and selects an evaluation item suitable for the evaluation field of the asset to be inspected from among the selected evaluation items, , from among the previously selected evaluation items, select an evaluation item that matches the property of the asset to be inspected (refer to the property attribute for each evaluation field in Table 1 presented above as an example), and then register it in the evaluation item DB (step 208).

취약점 분석부(115)에서는 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 보안 취약점의 분석(자동 분석 또는 수동 분석)을 수행한다(단계 210).The vulnerability analysis unit 115 divides the asset to be inspected into nine fields: information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application to analyze security vulnerabilities (automatic analysis). or manual analysis) (step 210).

즉, 취약점 분석부(115)에서는 취약점 자동 분석이 가능한 서버 및 네트워크 장비 분야의 자산 속성(서버의 OS종류, 네트워크 장비의 제조사/제품명)별로 취약 여부를 판단하기 위한 보안 설정값(명령 및 인자값) 및 판단 규칙이 시스템 소스코드 내에 사전 정의되어 있으므로, 이후 절차에 따라 취약점을 자동 분석하고, 사용자 인터페이스를 통해 점검 대상 자산에서 보안설정 정보를 수집할 수 있는 명령을 수행하여 결과를 파일로 저장하며, 사용자 인터페이스를 통해 자산의 보안설정 정보수집 결과(파일)를 시스템에 입력하고, 시스템이 자산의 보안설정 정보수집 결과와 사전에 소스코드 내에 정의된 보안 설정값 및 판단 규칙을 비교하여 취약점을 자동 분석한다.That is, in the vulnerability analysis unit 115, security setting values (commands and parameter values) for determining whether vulnerabilities are vulnerable by asset properties (OS type of server, manufacturer/product name of network equipment) in the field of server and network equipment capable of automatic vulnerability analysis ) and judgment rules are predefined in the system source code, so the vulnerability is automatically analyzed according to the subsequent procedure, and the command to collect security setting information from the asset to be inspected is executed through the user interface, and the result is saved as a file. , input the security setting information collection result (file) of the asset into the system through the user interface, and the system compares the security setting information collection result of the asset with the security setting value and judgment rule defined in the source code in advance to automatically detect vulnerabilities Analyze.

분석 결과 등록부(116)에서는 취약점 분석부(115)를 통해 분석된 점검 대상 자산의 보안 취약점 분석 결과(취약점 자동 분석 결과 또는 취약점 수동 분석 결과)를 평가항목 DB(128)에 등록한다.The analysis result registration unit 116 registers the security vulnerability analysis result (automatic vulnerability analysis result or manual vulnerability analysis result) of the asset to be inspected analyzed through the vulnerability analysis unit 115 in the evaluation item DB 128 .

결과서 생성부(117)에서는 평가항목 DB(128)로부터 보안 취약점의 분석 결과를 자동 계산하여 다양한 취약점 통계를 생성하고(단계 212), 생성된 취약점 통계 및 보안 취약점 관련 정보(예컨대, 판단 근거 등)가 포함된 결과서를 자동 생성한다(단계 214).The result generator 117 automatically calculates the analysis result of the security vulnerability from the evaluation item DB 128 to generate various vulnerability statistics (step 212), and the generated vulnerability statistics and security vulnerability related information (eg, judgment basis, etc.) A result sheet including is automatically generated (step 214).

즉, 결과서 생성부(117)에서는 평가항목 DB(128)에 등록된 보안 취약점 분석 결과를 기반으로 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등의 통계를 자동 계산하여 결과서 파일을 생성한다.That is, the result generating unit 117 automatically calculates statistics such as vulnerability statistics by risk level and control field for each evaluation field based on the security vulnerability analysis result registered in the evaluation item DB 128 to generate a result file.

결과서 생성부(117)를 통해 생성되는 결과서에는, 예컨대 발견된 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법 등의 취약점 관련 정보와 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등이 포함될 수 있으며, 결과서 파일은 다양한 전자문서 형식, 예컨대 MS-EXCEL, MS-WORD, HTML 등의 전자문서 형식을 지원할 수 있다.The result generated by the result generating unit 117 may include, for example, vulnerability-related information such as the vulnerability check result for the discovered security vulnerability, the basis for judgment and the action method, and the vulnerability statistics by risk level and control field for each evaluation field, and the like. , the result file may support various electronic document formats, such as MS-EXCEL, MS-WORD, HTML, and the like.

도 4는 본 발명의 실시 예에 따라 결과서 생성부를 통해 생성된 결과서를 분야별 요약 보고서 및 분야별 상세 보고서 형식으로 자동 생성한 것의 예시를 보여준다.4 shows an example of automatically generating results generated through the result generating unit in the form of a summary report for each field and a detailed report by field according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따라 평가 분야별로 위험도별, 통제 분야별 취약점 통계 등을 자동 계산하여 출력(표출)한 것의 예시를 보여준다.5 shows an example of automatically calculating and outputting (expressing) vulnerability statistics by risk level and control field for each evaluation field according to an embodiment of the present invention.

도 6은 연도별/프로젝트별 취약점 통계의 비교를 나타내는 것으로, 2020년 전자금융기반시설의 취약점 평가 결과와 2021년 전자금융기반시설의 취약점 평가 결과에 대한 통계 비교의 예시를 보여준다.6 shows a comparison of vulnerability statistics by year/project, and shows an example of statistical comparison of the vulnerability evaluation result of the electronic financial infrastructure in 2020 and the vulnerability evaluation result of the electronic financial infrastructure in 2021.

도 7은 다수의 평가 분야에 대한 기존/신규의 평가 지수를 비교한 결과 및 그래프에 대한 예시를 보여준다.7 shows an example of a graph and a result of comparing existing/new evaluation indices for a number of evaluation fields.

한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.Meanwhile, combinations of each block in the accompanying block diagram and each step in the flowchart may be performed by computer program instructions. These computer program instructions may be embodied in a processor of a general-purpose computer, special-purpose computer, or other programmable data processing equipment, such that the instructions executed by the processor of the computer or other programmable data processing equipment correspond to each block in the block diagram or in the flowchart. Each step creates a means for performing the described functions.

이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.These computer program instructions may also be stored in a computer-usable or computer-readable memory, etc., which may be directed to a computer or other programmable data processing equipment to implement a function in a particular manner, and thus the computer-usable or computer-readable memory. The instructions stored in the block diagram may produce an article of manufacture containing instruction means for performing the functions described in each block in the block diagram or in each step in the flowchart.

그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.And, since the computer program instructions may be mounted on a computer or other programmable data processing equipment, a series of operating steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to create a computer or other program It is also possible that instructions for performing the possible data processing equipment provide steps for carrying out the functions described in each block of the block diagram and in each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or each step may represent a module, segment, or part of code including at least one or more executable instructions for executing specified logical function(s). It should also be noted that in some alternative embodiments it is also possible for the functions recited in blocks or steps to occur out of order. For example, it is possible that two blocks or steps shown one after another may in fact be performed substantially simultaneously, or that the blocks or steps may sometimes be performed in the reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.The above description is merely illustrative of the technical idea of the present invention, and those of ordinary skill in the art to which the present invention pertains may make various substitutions, modifications, and changes within the scope not departing from the essential characteristics of the present invention. It will be easy to see that this is possible. That is, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments.

따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Therefore, the protection scope of the present invention should be interpreted by the claims described below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

110 : 보안 취약점 관리 모듈
111 : 컴플라이언스 관리부
112 : 프로젝트 관리부
113 : 자산 관리부
114 : 평가 항목 생성부
115 : 취약점 분석부
116 : 분석 결과 등록부
117 : 결과서 생성부
120 : 데이터베이스 모듈
122 : 평가 기준 DB
124 : 프로젝트 DB
126 : 자산 DB
128 : 평가항목 DB110: security vulnerability management module
111: Compliance Management Department
112: project management department
113: asset management department
114: evaluation item generation unit
115: vulnerability analysis unit
116: analysis result register
117: result generating unit
120: database module
122: evaluation criteria DB
124 : Project DB
126 : Asset DB
128: evaluation item DB

Claims (7)

금융 관련 기관의 전자금융기반시설에 대한 보안 취약점의 평가 기준 및 금융 IT 규제를 평가 기준 DB에 등록 및 관리하는 컴플라이언스 관리부와,
상기 보안 취약점의 평가를 위한 프로젝트를 생성하여 프로젝트 DB에 등록 및 관리하는 프로젝트 관리부와,
상기 프로젝트의 점검 대상 자산을 생성하여 자산 DB에 등록 및 관리하는 자산 관리부와,
상기 평가 기준 DB로부터 상기 점검 대상 자산이 속한 프로젝트의 평가 기준에 해당하는 평가 항목을 선정하고, 기 선정된 평가 항목 중 점검 대상 자산을 동일한 종류의 자산별로 분류한 평가 분야에 맞는 평가 항목을 선정하며, 상기 기 선정된 평가 항목 중 점검 대상 자산의 종류인 자산 속성에 맞는 평가 항목을 선정하고, 선정된 평가 항목을 평가항목 DB에 등록하는 평가 항목 생성부와,
상기 평가 항목이 선정된 상기 점검 대상 자산을 정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션의 9개 분야로 나누어서 상기 보안 취약점의 분석을 수행하는 취약점 분석부와,
상기 취약점 분석부를 통해 분석된 상기 점검 대상 자산의 취약점 분석 결과를 상기 평가항목 DB에 등록하는 분석 결과 등록부와,
상기 평가항목 DB로부터 보안 취약점의 분석 결과를 자동 계산하여 취약점 통계를 생성하고, 생성된 상기 취약점 통계 및 보안 취약점 관련 정보가 포함된 결과서를 생성하는 결과서 생성부를 포함하는
보안 취약점 관리 시스템.A compliance management department that registers and manages the evaluation criteria for security vulnerabilities and financial IT regulations of financial institutions' electronic financial infrastructure in the evaluation criteria DB;
A project management unit that creates a project for evaluation of the security vulnerability, registers it in the project DB, and manages it;
An asset management unit that creates an asset to be inspected for the project, registers it in the asset DB, and manages it;
Selecting an evaluation item corresponding to the evaluation standard of the project to which the inspection target asset belongs from the evaluation criteria DB, and selecting an evaluation item suitable for the evaluation field in which the inspection target asset is classified by asset of the same type among the selected evaluation items; , an evaluation item generation unit that selects an evaluation item suitable for an asset attribute, which is a type of asset to be inspected, from among the previously selected evaluation items, and registers the selected evaluation item in the evaluation item DB;
Analysis of the security vulnerability is performed by dividing the asset to be inspected for which the evaluation items are selected into nine fields: information protection management system, server, database, network infrastructure, network equipment, information protection system equipment, and web/mobile/HTS application a vulnerability analysis unit that
an analysis result registration unit that registers the vulnerability analysis result of the asset to be inspected, analyzed through the vulnerability analysis unit, in the evaluation item DB;
Comprising a result generating unit that automatically calculates the analysis result of the security vulnerability from the evaluation item DB to generate vulnerability statistics, and generates a result sheet including the generated vulnerability statistics and security vulnerability related information
Security Vulnerability Management System. 제 1 항에 있어서,
상기 보안 취약점의 평가 기준은,
정보보호 관리체계, 서버, 데이터베이스, 네트워크 인프라, 네트워크 장비, 정보보호시스템 장비, 웹/모바일/HTS 애플리케이션 중 적어도 하나 이상을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The evaluation criteria of the security vulnerability are,
Information security management system, server, database, network infrastructure, network equipment, information security system equipment, including at least one of web / mobile / HTS application
Security Vulnerability Management System. 제 1 항에 있어서,
상기 금융 IT 규제는,
전자금융거래법, 전자금융거래법 시행령, 전자금융감독규정, 전자금융감독규정시행세칙 중 적어도 하나 이상을 포함하는 보안 취약점 관리 시스템.The method of claim 1,
The financial IT regulation is,
A security vulnerability management system including at least one of the Electronic Financial Transactions Act, the Electronic Financial Transactions Act Enforcement Decree, the Electronic Financial Supervision Regulations, and the Electronic Financial Supervision Regulation Enforcement Rules. 제 1 항에 있어서,
상기 프로젝트는,
프로젝트명, 평가 기준, 평가 분야, 점검 대상 기관, 점검 수행기간을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The project is
Project name, evaluation criteria, evaluation field, inspection target institution, inspection period
Security Vulnerability Management System. 제 1 항에 있어서,
상기 점검 대상 자산은,
자산명, 프로젝트명, 평가 분야, 자산 속성을 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The assets to be inspected are:
Asset name, project name, evaluation field, asset attribute including
Security Vulnerability Management System. 제 1 항에 있어서,
상기 취약점 분석 결과는,
평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The vulnerability analysis result is,
evaluation item ID, item name, vulnerability, and
Security Vulnerability Management System. 제 1 항에 있어서,
상기 결과서는,
상기 보안 취약점에 대한 취약점 점검 결과, 판단 근거 및 조치 방법의 취약점 관련 정보와 위험도별 통계 및 분야별 취약점 통계를 포함하는
보안 취약점 관리 시스템.The method of claim 1,
The result is
The vulnerability check result for the above security vulnerability, including information on the vulnerability of the basis for judgment and action method, statistics by risk level, and vulnerability statistics by field
Security Vulnerability Management System.
KR1020200182566A 2020-12-23 2020-12-23 System and method for managing secure vulnerability, and recording medium storing program for executing the same KR102439817B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200182566A KR102439817B1 (en) 2020-12-23 2020-12-23 System and method for managing secure vulnerability, and recording medium storing program for executing the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200182566A KR102439817B1 (en) 2020-12-23 2020-12-23 System and method for managing secure vulnerability, and recording medium storing program for executing the same

Publications (2)

Publication Number Publication Date
KR20220091248A KR20220091248A (en) 2022-06-30
KR102439817B1 true KR102439817B1 (en) 2022-09-02

Family

ID=82215571

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200182566A KR102439817B1 (en) 2020-12-23 2020-12-23 System and method for managing secure vulnerability, and recording medium storing program for executing the same

Country Status (1)

Country Link
KR (1) KR102439817B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011018361A (en) 2006-04-19 2011-01-27 Metarisk Inc Information technology risk management system and method therefor
JP2020527798A (en) 2017-07-19 2020-09-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Runtime generation that recognizes compliance based on application patterns and risk assessments

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090038683A (en) 2007-10-16 2009-04-21 한국전자통신연구원 Web firewall with automatic checking function of web server vulnerability and vulnerability checking method for using the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011018361A (en) 2006-04-19 2011-01-27 Metarisk Inc Information technology risk management system and method therefor
JP2020527798A (en) 2017-07-19 2020-09-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Runtime generation that recognizes compliance based on application patterns and risk assessments

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
김광배, ‘금융회사 전자 금융기반 시설 취약점 분석 평가 점검기준의 합리적 개선방안’, 고려대학교정보보호대학원 석사학위논문, 2017.12.08.
윤일한 외 1인, ‘정보보안 컴플라이언스와 위기대응이 정보보안 신뢰에 미치는 영향에 관한 연구’, Information System Review, Vol.17,No.1, 2015.04.

Also Published As

Publication number Publication date
KR20220091248A (en) 2022-06-30

Similar Documents

Publication Publication Date Title
US10438001B1 (en) Identification, prediction, and assessment of cyber security risk
US9930061B2 (en) System and method for cyber attacks analysis and decision support
US10757127B2 (en) Probabilistic model for cyber risk forecasting
US9690937B1 (en) Recommending a set of malicious activity detection rules in an automated, data-driven manner
US9172720B2 (en) Detecting malware using revision control logs
US20160210631A1 (en) Systems and methods for flagging potential fraudulent activities in an organization
KR102295654B1 (en) Method and apparatus for predicting attack target based on attack graph
KR100755000B1 (en) Security risk management system and method
Maheshwari et al. Integrating risk assessment and threat modeling within SDLC process
US11507674B2 (en) Quantifying privacy impact
US20220278993A1 (en) An organizational cyber security system and method
CN117769706A (en) Network risk management system and method for automatically detecting and analyzing network security in network
Bahşi et al. Impact assessment of cyber actions on missions or business processes: A systematic literature review
CN109388949B (en) Data security centralized management and control method and system
Abbass et al. Using EBIOS for risk management in critical information infrastructure
KR100524649B1 (en) Risk analysis system for information assets
KR102439817B1 (en) System and method for managing secure vulnerability, and recording medium storing program for executing the same
KR100891345B1 (en) Information security managment system supporting inter-mapping between each different information security index and method thereof
Kaushik A systematic approach to develop an advanced insider attacks detection module
KR101081875B1 (en) Prealarm system and method for danger of information system
KR20140081071A (en) Method and system for real-time security performance and measurement management
KR20180130630A (en) Vulnerability diagnosing and managing system and method of information system using automatic diagnosis tool
Safarzadeh et al. A novel and comprehensive evaluation methodology for SIEM
US20200389482A1 (en) Software application for continually assessing, processing, and remediating cyber-risk in real time
WO2021059471A1 (en) Security risk analysis assistance device, method, and computer-readable medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant