KR102542720B1

KR102542720B1 - 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템

Info

Publication number: KR102542720B1
Application number: KR1020220140169A
Authority: KR
Inventors: 이형택; 김성완
Original assignee: 주식회사 이노티움
Priority date: 2022-10-27
Filing date: 2022-10-27
Publication date: 2023-06-14

Abstract

제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템이 제공되며, 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위가 사용자 파일 행위 로그(Log)로 수집 및 모니터링되는 사용자 단말 및 사용자 단말로부터 사용자 파일 행위 로그를 시간, 크기, 파일명 및 확장자를 포함하여 로그로 수집하는 모니터링부, 사용자 파일 행위 로그를 정규화하고 병합하고 기 설정된 이상징후와의 연관을 분석하는 연관분석을 수행하는 위협분석부, 연관분석 결과 이상징후가 탐지 및 예측된 경우 경계 보안(Perimeter Security Model)을 강화하는 경계보안부를 포함하는 플랫폼 서비스 제공 서버를 포함한다.

Description

제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템{SYSTEM FOR PROVIDING INTERNET OF BEHAVIOR BASED INTELLIGENT DATA SECURITY PLATFORM SERVICE FOR ZERO TRUST SECURITY}

본 발명은 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템에 관한 것으로, 제로 트러스트 보안을 위하여 행동 인터넷 기반으로 파일 유출의 이상징후를 탐지하고 예측하는 솔루션을 제공한다.

최근 네트워크 확장 및 클라우드 인프라 확장, 자택근무로 인한 원격접속의 증가로 외부의 접근뿐만이 아니라 내부에서의 접근을 경계해야 할 필요성이 증가하고 있다. 이로 인해 제로 트러스트(Zero-Trust)라는 새로운 네트워크 보안 모델이 주목받고 있는데, 제로 트러스트란 엄격한 ID 확인 프로세스 기반 네트워크 보안 모델이다. 제로 트러스트는 신뢰할 수 있는 네트워크는 존재하지 않는다는 핵심원칙을 가지고 있으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 하며 인증되고, 권한이 부여된 사용자와 장치만을 애플리케이션 및 데이터에 접속을 허용한다. 경계를 지키는 것이 아닌, 데이터를 보호하는 것에 초점을 둔 새로운 보안 아키텍처이며, 데이터에 대한 접근이 발생했을시 어떤 사용자도 절대적으로 신뢰하지 않고, 지속적으로 사용자가 누구인지, 어떤 용도로, 어떤 데이터에 접근하는 것인지를 계속 확인하여 사용자에게 꼭 필요한 최소한의 권한만 부여하여 다른 데이터에 대한 불필요한 접근을 제한하는 모델이다.

이때, 제로 트러스트 모델을 기반으로 보안을 강화하는 방법이 연구 및 개발되었는데, 이와 관련하여, 선행기술인 한국등록특허 제10-2402705호(2022년05월30일 공고) 및 한국등록특허 제10-2062823호(2020년01월07일 공고)에는, 망분리 환경에서 모바일 원격관제를 위하여 멀티팩터(Multi-Factor) 보안인증을 적어도 하나의 시나리오에 따라 검증모듈의 검증 프로세스를 실시하는 구성과, P2P 연결에서 신원정보를 트러스트 플랫폼의 보증키, 신원키 및 플랫폼 제어 레지스터 중 하나를 검증하고, 서명검증에 기반하여 통신채널 및 신원정보를 인증하는 구성이 각각 개시되어 있다.

다만, 전자의 경우 모바일 디바이스에 접속하는 사용자가 일단 인증을 뚫고나면 그 다음 사용자의 행위기반 이상징후를 모니터링하거나 불법유출하는 것을 막을 수 없고, 후자의 경우에도 신원정보를 인증하는 구성만을 개시하고 있기 때문에 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 행위를 모니터링할 수 없다. 이에, 제로 트러스트 모델의 인증, 통합관리, 모니터링 및 업무데이터의 보안의 각각의 구성을 하나로 통합하면서도, 재택근무 및 스마트 워크 환경에 적합한 지능형 데이터 보안 플랫폼의 연구 및 개발이 요구된다.

본 발명의 일 실시예는, VDI(Virtual Desktop Infrastructure) 기반의 재택근무 및 스마트 워크 환경을 구축하고, 문서중앙화로 기밀정보의 탐지 및 격리를 수행하고, 외부반출 기밀정보의 추적보안을 수행하며, 출력물 워터마크 처리로 출력물을 통제하고, 화면 워터마크로 화면의 캡쳐나 카메라 촬영을 방지하며, 기밀정보의 열람, 승인 및 결재를 관리하고 모니터링하며, 각 사용자 단말의 저장을 통제하고 유출을 방지하고, 랜섬웨어를 다계층으로 방어하도록 1차적으로 랜섬웨어에 감염 전 파일을 즉시 백업하고, 2차적으로 랜섬웨어에 감염된 파일은 복구처리를 수행하고 복구로그를 관리함으로써 제로 트러스트 기반의 사용자 파일 행위 모니터링 및 위협 분석을 통합적으로 수행할 수 있는, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위가 사용자 파일 행위 로그(Log)로 수집 및 모니터링되는 사용자 단말 및 사용자 단말로부터 사용자 파일 행위 로그를 시간, 크기, 파일명 및 확장자를 포함하여 로그로 수집하는 모니터링부, 사용자 파일 행위 로그를 정규화하고 병합하고 기 설정된 이상징후와의 연관을 분석하는 연관분석을 수행하는 위협분석부, 연관분석 결과 이상징후가 탐지 및 예측된 경우 경계 보안(Perimeter Security Model)을 강화하는 경계보안부를 포함하는 플랫폼 서비스 제공 서버를 포함한다.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, VDI(Virtual Desktop Infrastructure) 기반의 재택근무 및 스마트 워크 환경을 구축하고, 문서중앙화로 기밀정보의 탐지 및 격리를 수행하고, 외부반출 기밀정보의 추적보안을 수행하며, 출력물 워터마크 처리로 출력물을 통제하고, 화면 워터마크로 화면의 캡쳐나 카메라 촬영을 방지하며, 기밀정보의 열람, 승인 및 결재를 관리하고 모니터링하며, 각 사용자 단말의 저장을 통제하고 유출을 방지하고, 랜섬웨어를 다계층으로 방어하도록 1차적으로 랜섬웨어에 감염 전 파일을 즉시 백업하고, 2차적으로 랜섬웨어에 감염된 파일은 복구처리를 수행하고 복구로그를 관리함으로써 제로 트러스트 기반의 사용자 파일 행위 모니터링 및 위협 분석을 통합적으로 수행할 수 있다.

도 1은 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 플랫폼 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.

본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.

본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.

이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.

도 1은 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 플랫폼 서비스 제공 서버(300), 적어도 하나의 관리자 단말(400)을 포함할 수 있다. 다만, 이러한 도 1의 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.

이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 플랫폼 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 플랫폼 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 관리자 단말(400)과 연결될 수 있다. 또한, 적어도 하나의 관리자 단말(400)은, 네트워크(200)를 통하여 플랫폼 서비스 제공 서버(300)와 연결될 수 있다.

여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.

하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.

적어도 하나의 사용자 단말(100)은, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위가 사용자 파일 행위 로그(Log)로 수집 및 모니터링되는 단말일 수 있다.

여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.

플랫폼 서비스 제공 서버(300)는, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 플랫폼 서비스 제공 서버(300)는, 관리자 단말(400)로부터 각 플랫폼 서비스의 기능, 권한 등을 설정받고, 사용자 단말(100)에서 발생하는 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위를 사용자 파일 행위 로그(Log)로 수집 및 모니터링하는 서버일 수 있다. 또, 플랫폼 서비스 제공 서버(300)는 이상징후나 위협을 감지 및 분석한 경우 이를 차단한 후 관리자 단말(400)로 알림을 전송하는 서버일 수 있다.

여기서, 플랫폼 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.

적어도 하나의 관리자 단말(400)은, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하는 관리자의 단말일 수 있다.

여기서, 적어도 하나의 관리자 단말(400)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 관리자 단말(400)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 관리자 단말(400)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.

도 2는 도 1의 시스템에 포함된 플랫폼 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.

도 2를 참조하면, 플랫폼 서비스 제공 서버(300)는, 모니터링부(310), 위협분석부(320), 경계보안부(330), 문서중앙화부(340), 저장통제유출방지부(350), 워터마크부(360), 랜섬웨어방어부(370) 및 리모트보안부(380)를 포함할 수 있다.

본 발명의 일 실시예에 따른 플랫폼 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)로 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)은, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(Chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.

도 2를 설명하기 이전에 제로 트러스트에 대한 기본개념을 이하에서 설명한다. 이하에서 설명된 내용은 도 2에서 중복하여 설명하지 않는다.

<제로 트러스트 모델>

경계 없는 보안을 의미하는 제로 트러스트 모델은 외부 네트워크만이 아닌 확인된 내부 네트워크에도 공격자가 있다고 가정하여 모든 상황에서 정보보안의 목표를 달성하고자 하는 모델이다. 기존의 경계를 기반으로 하는 보안 모델은 강력한 방화벽 및 게이트웨이 탐지를 구현하기 때문에 내부 네트워크에 대한 외부의 공격자를 효과적으로 차단할 수 있지만, 재택근무자와 같은 외부의 원격작업자, 클라우드 기반 서비스 등은 상대적으로 위협에 노출되어 있기에 안전하지 못하다.제로 트러스트 모델은 그 무엇도 신뢰하지 않으며, 내부 네트워크에 위치한 사용자도 침입자가 될 수 있다고 여긴다. 경계를 지키는 것이 아닌, 데이터를 보호하는 것에 초점을 둔 새로운 보안 아키텍처이며, 데이터에 대한 접근이 발생했을시 어떤 사용자도 절대적으로 신뢰하지 않고, 지속적으로 사용자가 누구인지, 어떤 용도로, 어떤 데이터에 접근하는 것인지를 계속 확인하여 사용자에게 꼭 필요한 최소한의 권한만 부여하여 다른 데이터에 대한 불필요한 접근을 제한하는 모델이다.

<제로 트러스트 아키텍처 정의>

NIST에서는 제로 트러스트를 [Never Trust, Always Verify]의 문구로 소개한다. 이를 해석해 보면 그 무엇도 신뢰하지 말고 항상 확인하라는 의미이다. 즉, 제로 트러스트는 이 원칙을 바탕으로 조직의 자원 보호를 가장 중요하게 생각하는 새로운 사이버 보안 패러다임이다. 제로 트러스트는 전통적인 보안 모델인 네트워크 경계를 중점적으로 감시하는 개념에서 탈피해서 서비스를 이용하려는 사용자가 누구인지, 액세스 되는 데이터가 무엇인지와 같은 개체(사용자, 데이터, 전산장비 등) 사이의 개별적 상호작용에 초점을 둔다. 따라서, 제로 트러스트 모델의 보호 대상에는 조직의 네트워크 경계의 밖에 있는 원격 사용자와 네트워크 접속에 사용하는 조직의 소유가 아닌 개인소유의 PC와 모바일 기기까지 포함한다.

제로 트러스트 모델은 어떤 사용자도 절대적으로 신뢰하지 않는다. 각 사용자는 작업에 필요한 최소한의 권한만을 부여받게 되고, 그 부여받은 권한도 지속적으로 검사하여 권한 밖의 데이터는 접근을 제한한다. 사용자가 데이터에 접근하려고 하면, 사용자가 누구인지 신원을 확인하고, 작업에 필요한 최소한의 권한을 부여하며, 주기적으로 접근 권한에 대해 검사를 수행한다. 제로 트러스트 모델을 구현하기 위해서는 건물을 짓는 것처럼 그 구조를 설계해야 한다. 정보보호 장비의 위치, 서버들의 위치와 같은 네트워크 구조로부터, 장비와 사용자에 대한 인증 방법과 절차, 접근제어 방법과 같은 구체적인 보안 정책까지 전체 조직 네트워크의 세부적인 구성과 보안 관련 요소의 동작 및 상호작용을 모두 설계해야 한다. 이러한 보안 구조 설계를 보안 아키텍처라고 한다.

제로 트러스트 아키텍처(Zero-Trust Architecture, ZTA)는 제로 트러스트 모델 구현을 위한 7가지 원칙을 정의했다. 제로 트러스트 모델은 이 7가지 원칙에 따라서 조직의 인프라와 비즈니스 프로세스를 설계 및 구현되어야 한다. ZTA의 7가지 원칙은 다음과 같다. ① 모든 데이터 자원 및 컴퓨팅 서비스를 지켜야 할 자산으로 간주한다. 이 원칙은 조직의 네트워크에 존재하는 모든 요소를 자산으로 간주한다는 의미이다. 조직의 네트워크는 다양한 종류의 장비들로 구성되어 있다. 데이터, 서비스, 데이터 수집·저장 장치, SaaS(Software as a Service)들은 모두 보호해야 할 자산으로 간주하며, 원격근무자의 개인소유 노트북, 태블릿과 같은 장비까지도 조직의 네트워크에 접속할 수 있다면 보호해야 할 자산으로 간주해야 한다.

② 네트워크에서의 위치와 상관없이 모든 통신은 보호된다. 이 원칙은 네트워크에 접속하는 위치로 자산에 대한 신뢰도를 평가하지 않겠다는 것이다. 네트워크 내부에서 접근할 때와 외부에서 접근할 때 모두 동일한 절차에 따라서 보안 요구사항을 만족해야 한다. 모든 통신은 가장 안전한 방식으로 이루어져야 하며, 기밀성과 무결성을 만족해야 하고, 장비나 사용자와 같은 접속 출처를 인증해야 한다. ③ 조직의 자산에 대한 접근 권한은 각각의 세션 단위로 부여한다. 사용자가 자산에 접근할 때, 어떤 작업에 어떤 권한이 필요한지 미리 파악하여 요청된 작업에 필요한 최소의 권한만을 해당 세션에 부여한다. 세션이 만료되거나 다른 작업을 요청하면 항상 인증절차 등을 다시 거쳐 그에 해당하는 최소한의 권한을 부여해야 한다. 이 원칙을 구현하기 위해서는 초기 설계단계에서 존재하는 작업의 분류와 필요한 권한을 세밀하게 정의해야 한다.

④ 자산에 대한 접근은 사용자 신원정보, 애플리케이션, 서비스 및 요청 자산의 상태 등 다양한 정보를 고려하여 판단하는 동적 정책에 의해 결정되어야 하며, 다른 동작이나 환경적인 요건도 고려해야 한다. 제로 트러스트 구현을 위해서는 조직이 보유한 자산, 조직의 구성원, 각 구성원에게 필요한 자산의 접근 권한 등이 정의되어 있어야 하며, 다양한 정보들을 취합하고 고려하여 필요한 권한을 부여하는 동적 정책을 적용해야 한다. 이때, 수집할 수 있는 정보에는 사용자 신원정보, 자산 정보, 동작 정보, 환경 정보 등이 있고 이는 표 1과 같이 정리될 수 있다.

사용자 신원정보	사용자 신원정보에는 계정과 관련된 특성정보, MAC이나 IP 주소, 지문이나 OTP 등의 인증 요소들이 포함 될 수 있다.
자산 정보	자산 정보에는 모든 자산에 설치된 소프트웨어 및 버전 정보, 네트워크 위치, 요청받은 시간 정보, 이전의 동작 정보, 설치된 인증정보(인증서 혹은 세션 정보) 등의 특성이 포함될 수 있다.
동작 정보	동작 정보는 자동화된 사용자 및 장비분석과 사용된 패턴들에 대한 측정 정보가 포함될 수 있다
환경 정보	환경 정보는 요청자의 네트워크 위치, 접속 및 작업 요청시간, 탐지된 공격 등의 정보를 포함한다.
정책	정책은 사용자, 자산, 프로그램 등에 포함된 정보를 기반으로 만들어진 접근 규칙들의 집합을 말하는데, 이는 조직의 비즈니스 프로세스의 요구사항과 조직에서 허용하는 위험 수준을 만족할 수 있도록 개발되어야 한다. 항상 필요한 최소한의 권한만 부여하는 최소 권한의 원칙은 접근 및 확인 권한을 적절히 제한하기 위해 적용된다.

⑤ 조직은 어떤 자산도 신뢰하지 않고, 자산의 무결성 및 보안상태를 모니터링하고 측정해야 한다. 조직은 자산에 대한 요청을 평가할 때 자산에 대한 보안상태도 평가해야 한다. 지속적으로 자산의 상태를 진단하고 위험을 완화하는 시스템(Continuous Diagnostics and Mitigation, CDM)을 수립해야 한다. 만약, 일부 자산이 이미 공격을 받았거나 알려진 취약점을 가지고 있다면 다른 안전한 자산들과는 다른 권한을 받을 수 있다. 예를 들면, 악성코드가 설치된 것으로 평가된 개인 디바이스는 네트워크에 접근하는 것을 거부당할 수 있다. ⑥ 자산에 대한 접근을 허용하기 전에, 사용자 및 장비의 인증 및 접근 권한 소지 여부를 동적으로 엄격하게 확인해야 한다. ⑦ 조직은 자산의 보안상태, 네트워크 트래픽 및 액세스 요청 정보, 통신상태 등의 최대한 많은 정보를 수집하여 보안 개선에 사용해야 한다. 제로 트러스트 아키텍처에서는 이 원칙들을 각각 특정 기술에 한정하지 않는다. 조직의 상황에 따라 다양한 요소들로 설계 및 구현해서 7 가지 원칙을 충족시키면 된다.

제로 트러스트 모델의 대표적인 모델 중 하나는, 제로 트러스트의 구성요소와 그 구성요소들의 상호작용 관계를 보여준다. 제어 모델에 정책 결정 지점(Policy Decision Point, PDP)과 정책 실행 지점(Policy Enforcement Point, PEP)에서 정책을 결정 및 적용할 수 있다. 여기서 정책 결정지점(PDP)은 정책 엔진(Policy Engine, PE)과 정책 관리부(Policy Administrator, PA)로 다시 나누어지는데, 정책 엔진은 자산에 대한 접근요청에 관해 결정을 내린다. 또한 조직의 정책들과 수집한 정보를 이용하여 동적으로 받은 요청에 대해 승인 또는 거부 결정을 내린다. PA는 PE의 결정을 이행한다. PE가 승인 결정을 내리면 요청자와 자산 사이에 세션을 열어서 통신을 연결해 주고, 거부 결정을 내리면 세션을 닫아서 통신을 차단하여 사용자들의 세션과 인증 여부 등 부여된 권한과 같은 정책의 적용을 관리한다. 즉, PDP는 정책을 결정하고 그 정책의 적용을 관리하는 부분이다. PEP는 정책을 관리하는 PA로부터 지침을 받아 통신을 열고 닫는 역할을 하는 문지기이자, 출입을 기록하는 기록자(Logger)로 볼 수 있다.

예시모델에서 구현된 ZTA는 이 3가지 구성요소를 이용해 인증, 권한관리, 기록을 가능하게 한다. 조직이 조직의 워크플로우에 대해서 ZTA를 구현하는 방법에는 여러 가지가 있는데, 기본적으로 ZTA의 7가지 원칙을 충족하도록 구현되지만 각 조직의 특성에 따라 ZTA를 다양한 방법으로 다르게 구현할 수 있다. 예를 들어, 행위자의 ID를 정책 생성의 핵심 구성요소로 사용할 수도 있으며, 이런 경우에는 ID 및 ID에 부여된 속성에 따라 조직의 데이터에 대한 접근을 감시하여 승인/거부하도록 할 수 있다. 지능형 스위치/라우터, 차세대 방화벽, 특수목적 게이트웨이 장치와 같은 특별한 네트워크 장치에 개인데이터를 배치하여 이들을 논리, 물리적으로 분리하여 각 개인데이터를 보호하도록 할 수도 있다. SDP 방식을 사용하여 PE가 어떻게 네트워크를 구성할지를 결정하면 PA가 이를 재구성하고, 클라이언트는 PA가 구성한 PEP에게 액세스를 요청, 승인하도록 할 수도 있다. 결론적으로, 어떠한 한정적인 방법에만 얽매일 필요 없이 특성에 따라 각 조직에 적합하도록 7가지 원칙을 충족하게 구현하면 되는 것이다.

<신뢰도 알고리즘>

ZTA에서 정책 엔진(PE)은 정책의 적용 여부를 결정하는 역할을 한다. PE가 결정할 때는 자산에 접근하는 사용자 혹은 자산의 신뢰도를 평가해야 한다. 그리고 평가한 신뢰도에 따라서 PE가 적용하는 정책이 달라진다. 신뢰도 평가 알고리즘은 이하 표 2의 요소들을 평가한다.

접근요청	접근요청 그 자체에 대해 주요 정보를 평가하여 신뢰도에 반영한다. OS 정보, 접근을 요청한 SW의 정보, 보안 패치 수준 등의 접근을 요청한 환경에 대한 정보 또한 평가할 수 있다.
접근 주체 데이터베이스	자산에 접근을 요청한 사용자 또는 프로그램과 같은 주체가 조직에서 유지하고 있는 접근 주체에 대한 데이터베이스에 존재하는지 그리고 적절한 권한을 가졌는지에 대한 정보를 비교하여 신뢰도를 평가한다.
자산 데이터베이스	조직 소유 혹은 개인소유 장비들의 OS 정보, 설치된 SW 정보, 보안 패치 수준, 무결성, 네트워크상의 위치, 지정학적 위치 등의 정보를 자산에 대한 정보를 유지하고 있는 데이터베이스와 대조하여 신뢰도를 평가한다.
자산 요구사항	자산이 가지고 있는 데이터와 자산이 조직 업무 프로세스에서 가지고 있는 역할에 따라 해당 자산에 접근하는데 필요한 요구사항이 결정된다. 이 요구사항은 신뢰도에 따라 해당 자산에 접근할 수 있는지 없는지를 결정짓는 요소가 된다.
위협정보	일반적인 위협과 활성화된 악성코드 위협에 대한 정보를 이용해서 현재 접근요청 주체의 통신 기록이나 행동에서 그리고 자산에 저장된 특정 파일로부터 위협정보를 수집하고 그 위협 수준을 평가하여 신뢰도에 반영한다.

PE는 위 5가지 요소를 고려하여 신뢰도를 평가하고 접근 주체가 자산에 접근할 수 있는지를 결정하게 된다. 이 신뢰도 알고리즘 또한 다양한 방식으로 구현할 수 있다. 대표적으로 기준 중심 방식 또는 점수 중심 방식 그리고 단일 신뢰도 알고리즘 방식 또는 다원 신뢰도 알고리즘 방식이 있다. 기준 중심 방식은 접근 주체가 특정 기준을 넘는지 아닌지를 기준으로 신뢰도를 평가하고, 점수 중심 방식은 접근 주체의 신뢰도를 점수방식으로 산정하여 신뢰도를 평가한다. 단일 신뢰도 알고리즘 방식은 각 요청의 신뢰도를 개별적으로 평가하는 방식이고, 다원 신뢰도 알고리즘 방식은 요청 주체의 통신 기록과 평가 기록을 고려하여 신뢰도를 평가하는 방식이다. 신뢰도 알고리즘을 결정하는데 정답은 없다. 모든 조직이 갖추고 있는 환경이 모두 다르므로 ZTA의 논리적 핵심 구성요소를 설계하는 것처럼 해당 환경에서 가장 알맞은 방식을 선택하여 구현하면 된다.

정리하면, 제로 트러스트는 네트워크에 존재하는 모든 구성요소를 신뢰하지 않음으로써 조직의 모든 데이터 자원 및 컴퓨터 서비스를 보호한다. 여기서, 구성요소란 네트워크에 접속하는 사용자와 장비, 내부 네트워크에 위치해 있는 서버, 네트워크 장비, 정보보호 장비, 각 장비에서 실행되고 있는 프로그램 등 네트워크에 존재하는 모든 요소를 의미한다. 즉, 네트워크 내부의 구성요소들도 신뢰하지 않는 것이다. 제로 트러스트 아키텍처는 이렇게 네트워크접속 위치로 신뢰도를 판단하지 않으며, 각 데이터 및 자산에 대한 접근이 발생했을 때 접근자의 신원과 권한을 확인하고, 요청받은 작업에 필요한 최소한의 권한만 부여하여 작업마다 각각의 세션 단위로 접근을 관리한다. 그 후 작업이 종료됐을 때에는 해당하는 세션을 종료시키고, 다른 작업이 필요하다면 다시 인증을 받아야만 권한을 부여한다. 제로 트러스트의 이러한 개념을 구현하기 위해서는 모든 자산에 대하여 무결성 검사, 감염 여부 등의 상태를 주기적으로 모니터링·측정해야 하며, 사용자 신원, 서비스요청정보, 자산상태 등 다양한 정보와 네트워크 트래픽 및 통신상태 등의 최대한 많은 정보를 수집하여 보안 개선에 사용하도록 해야 한다.

상술한 기본개념을 기반으로 도 2를 참조하면, 모니터링부(310)는, 사용자 단말(100)로부터 사용자 파일 행위 로그를 시간, 크기, 파일명 및 확장자를 포함하여 로그로 수집할 수 있다. 사용자 단말(100)은, 콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위가 사용자 파일 행위 로그(Log)로 수집 및 모니터링될 수 있다. 이때, 각 사용자 단말(100)을 분석할 때 필요한 다기종 및 이기종 장비에 대한 로그분석을 통합처리할 수 있는 시스템을 구축할 수 있는데, 도커(Docker)를 이용하여 장비별 처리 분리를 수행하면서, 도커 스웜(Docker Swarm)으로 장애 처리를 수행하며 데이터 변화에 유연하게 반응할 수 있도록 설정할 수 있다. 이때, 도커에 대한 상세한 설명은 리모트보안부(380)에서 후술한다.

<데이터 변화에 따른 오토스케일>

트래픽이 증가하면 보안 장비에서 처리하는 데이터양이 증가하고, 전체 보안 데이터가 증가하게 된다. 이에, 한정된 자원 내에서 처리해야 하는 보안 로그(Log)양이 기하급수적으로 늘어나게 되므로 보안 효율성을 고려해야 한다. 도커 스웜과 모니터링 시스템을 추가하여 큐(Queue)에 누적되는 누적 데이터값에 기초하여, 누적 데이터가 적은 보안 장비에는 처리모듈을 줄이고, 누적 데이터가 많은 보안 장비에는 처리모듈을 늘리도록 제어하는 오토스케일(AutoScale)을 이용할 수 있다.

<데이터 규격 통일>

보안 장비마다 이기종 및 다기종으로 데이터 분석 규격이 통일되어 있지 않으면, 분석한 결과를 해석하는데 추가적인 시간과 인력을 써야 한다. 이에 따라, 데이터를 기 설정된 카테고리로 나누고, 큰 카테고리에 필드(Field)를 통일시킴으로써 처리에 대한 예외를 줄이고, 새로운 보안 장비에서 출력한 데이터를 분석하는데 효율성을 높일 수 있도록 한다.

위협분석부(320)는, 사용자 파일 행위 로그를 정규화하고 병합하고 기 설정된 이상징후와의 연관을 분석하는 연관분석을 수행할 수 있다. 이때, GDB(Graph DataBase)를 이용할 수 있는데, GDB는 비정형 데이터를 통계분석 뿐만 아니라 위협 패턴을 추출 및 예측할 수 있다. 또 현실 모형에 가까운 직관적인 형태의 데이터 모형은 개발에 큰 업무 증가율과 시스템의 이해가 빠르다는 큰 장점이 있다. 또한 데이터(Data)를 활용하는 주체인 실무진들이 폭넓게 참여할 수 있다는 가능성을 제시한다. 이를 위하여, 지도 학습 수준에서 발전된 비지도 학습을 수행하는 딥러닝 머신러닝(Machine Lerarning) 알고리즘들을 조합 및 활용할 수 있다.

<이상징후 탐지 및 분석>

정보 수집기(Indicator)는 실제 외부 경로로부터 API, 동기화, Crawing, DNS 쿼리 등 수집할 수 있는 모든 정보 유형들을 의미한다. 이미 알려진 악성코드, 봇넷, 취약점 DB, 악성코드 유사도 정보 등이 있다. 위협 감시 플랫폼은 실시간으로 수집된 데이터 1차 가공(정형화)을 위한 추가 정보를 검색한다. 정보 수집기 관리자는 하위에 존재하는 일반적인 RDB(Relational DataBase) 기반의 SQL 엔진과 함께 NoSQL 계열의 그래프 저장소를 독립적으로 저장 및 실행할 수 있다. 내부 저장 플랫폼은 실제 악성코드나 스크립트를 저장하는 공간으로 독립적으로 가상화된 공간을 생성할 수 있다. 정보 수집기와 연계되는 이상징후 분석 플랫폼에서는 수집된 정보 유형마다 위협 패턴(Threat)을 검사를 수행할 수 있다. 다양한 조합의 위협 시나리오(Intrusion Set)를 설정하여 결과를 도출하고, 위험 수준이 높은 위험들을 예측한다. 하위 구조에는 이상 행위에 대한 위협 수준(Risk)과 우회 기법(Evasion)들을 분석하는 엔진들로 구성될 수 있다.

일반적인 RDB 기반 정보수집으로 분석할 수 있는 항목은, 관측데이터, 공격패턴, 악성 도구, 캠페인 테이블 등일 수 있는데, XML/JSON 기반 STIX(Structured Threat Information eXpression) 스키마를 지원한다. 내부 GDB 형태로 생성하기 위한 식별 정보(ID)와 타임스탬프(Timestamp) 등 기본 데이터를 포함한다. 실제 정보를 연동하는 공격패턴, 생명주기 등은 JSON 형태로 RDB 관계를 형성한다. 정보 수집기(indicator)로부터 다양한 정보들의 속성들이 연계되고, 관계 분석을 통해 위협대상으로부터 악성코드를 식별하고 악성코드의 종류와 위협 수준을 판단한다. GDB 기반으로 변환되어 노드가 연결된 테이블, 즉 초기 테이블 생성 이후 내부 정보가 실시간으로 갱신된다. 분석 결과들은 정보 수집기 관리자를 통해 내부 데이터베이스에 저장된다.

<이상징후 탐지 방법>

① 순위분석(Ranking), ② 패턴인식(Pattern Detection), ③ 군집분석(Clustering), ④ 경로추출(Path Analysis), ⑤ 핵심 추출(Extract Framework) 알고리즘을 적용할 수 있다. ① 순위분석 알고리즘은, 그래프 노드 사이의 중심성 척도를 분석한다. 각 노드에서 연관 관계에 대한 임계치를 설정하고, 연결된 우선순위를 추가로 측정한다. 위협대상에서 비교적 집중되는 위협 항목에 대해 파악할 수 있다. ② 패턴인식 알고리즘은, 지도 학습(정형 패턴)에서 특징을 추출할 수 있는데, GDB 기반 알고리즘 분석에 필요한 바이러스 패턴 정보를 사전 학습에 이용할 수 있다. ③ 군집 분석 알고리즘은, 이상징후에 대한 유사성 있는 데이터를 묶고, 작은 그룹들로 세분화하여 연관 노드에 대한 특정 그룹을 유추한다. 일반적으로 새로운 데이터가 인접 데이터들과 비교하여 어느 분류에 속할지 과반수로 결정하는 알고리즘을 사용할 수 있다. ④ 경로분석 및 ⑤ 핵심추출 알고리즘은, 군집화 알고리즘에서 나타난 노드의 시작과 끝의 거리 척도와 최적화 알고리즘을 통해 모든 이상징후 경로들을 예측하고, 이상징후 위협 수준이 높은 요소(강조된 노드)를 추출한다. 이상징후 탐지 및 분석의 결과로는 위협대상, 악성코드, 위협의 종류, 시나리오(유사성)를 중요 위협의 세부 요인으로 추출할 수 있다.

<모델 검증>

이상징후 탐지 및 분석을 검증하기 위하여, 알려진 공격 패턴(Attack Pattern)과 침입 시나리오(Intrusion Set)의 유사도와 상호관계를 예측 분석한다. 특정 대상(Threat Actor)으로 유입되는 트래픽에서 정보들을 위협을 식별(Identity)하고, 위협(Treatment)으로 분류된 새로운 패턴들을 추출한다.

① 순위 분석을 위해 정보 수집기(ID)에서 연결된 전체 노드를 나타낸다. 입출력 노드 사이에 존재하는 속성을 하나의 계층으로 구분하고, 접근성(Tension)이 높은 속성들은 접근 경로나 정규식 필터링 검사 등 결과에 따라 임계치 한계의 강도를 결정한다. 키워드와 핵심문장을 추출한 결과 노드 연관성이 순위(Ranking)가 가장 높은 노드를 강조하는 방식으로 순위를 분석할 수 있다.

② 패턴 탐지는 새로운 위협 패턴을 추출하는 과정인데, 정상 패턴 노드는 제외하고 가장 위험성이 높은 위협 패턴을 추출할 수 있다. 예를 들어, [노드-연결-의심패턴]으로 정의한 후 학습된 데이터베이스로부터 위협 패턴으로 의심되는 노드 연결들을 검사할 수있다. 각 계층에 존재하는 속성들은 GDB 테이블에 새로 시그니처(Signature)로 저장한다. ③ 클러스터링 및 군집화 분석은 위협 패턴을 클러스터링(Clustering)할 수 있는데, 추출된 수 만 개의 노드를 모두 분석하는 것은 비효율적이다. 이에, 순위 분석과 패턴 탐지 결과 추출된 특정 시나리오를 재분류하는 방법을 이용할 수 있고, 이는 특정 패턴의 대표적인 특징을 추출하고, 명확한 분류 기준이 존재하지 않는 위협 패턴에 대해 유사성(근접한 분포)을 분석하는 작업이다. ④ 경로 및 ⑤ 핵심추출은, GDB 연결 노드 그룹과 유사도를 검사하고, 가능성 있는 전체 경로를 위협에 대한 핵심 그룹으로 묶는다. 위험도가 비교적 높은 패턴의 경로를 위협 패턴으로 묶어 예측 분석을 수행할 수 있다.

상술한 GDB 모델 외에도 딥러닝을 이용할 수 있는데, 내부자에 의한 데이터 유출 징후 탐지를 위하여 LSTM(Long Short-Term Memory)을 이용할 수 있다. LSTM은 시계열 데이터 분석에 특화된 알고리즘으로, 긴 시간 동안 정보를 기억하여 시계열과 시퀀스 데이터 처리에 용이하다. 이때, 오토인코더(AutoEncoder)를 LSTM에 결합시킨 LSTM 오토인코더에 내부자의 직급과 5가지 성격 특성 요소에 따라 패널티를 부가하여 탐지율을 향상시킨 모델을 이용할 수 있다.

<LSTM>

LSTM은 인공 신경망 알고리즘의 한 종류로 유닛간의 연결이 순환적인 구조를 갖고 있는 RNN 기법의 하나이다. RNN의 그레이언트 소실(Vanishing Gradient) 문제를 해결하기 위해 셀 상태(Cell State) 개념을 도입하여 과거의 데이터를 유지하면서 장기 의존 기간을 필요로 하는 학습을 수행하는 능력이 있다. LSTM은 긴 시간 동안의 정보를 기억하여 시계열 및 시퀀스 데이터 처리에 용이하다는 장점을 가지고 있지만, 연산 속도가 느리다는 단점이 존재한다. LSTM은 RNN처럼 체인과 같은 구조를 가지고 있지만 은닉 상태(Hidden State)만을 사용하는 것과 달리 셀 상태라는 특별한 방식으로 정보를 주고받도록 설계되어 있다. 셀 상태에는 이전 셀에서 넘어온 입력 데이터에 대해 과거의 정보 중 어느 것을 반영할 것인지 결정하는 망각 게이트(Forget Gate), 현재 입력된 정보를 얼마나 반영할 것인지 결정하는 입력 게이트(Input Gate), 다음 셀에 전달할 데이터에 얼마나 반영할 것인지 결정하는 출력(Output Gate)로 구성된다.

<오토인코더>

입력과 출력을 동일하게 하며 답이 주어지지 않은 상태에서 스스로 학습하게 하는 비지도 학습 방법 중 하나이다. 정상 데이터를 오토인코더를 통해 원래의 데이터보다 작은 차원의 공간으로 압축하고 원래 데이터로 복구하는 과정을 통해 학습시킨다. 오토인코더는 입력 데이터가 인코더(Encoder)를 거쳐 차원이 축소되고, 축소된 입력 데이터가 디코더(Decoder)를 거쳐 기존 입력 데이터와 동일한 출력 데이터로 변환 시킨다. 이와 같이 오토인코더의 가장 큰 특징은 입력 데이터와 출력 데이터가 같아야 하는 형태로 입력 데이터와 출력 데이터의 거리인 손실함수(Loss Function)를 최소화하는 것이다. 이러한 특징을 이용하여 이상 탐지, 이미지 복구, 압축 등의 다양한 영역에서 활용되고 있다.

<5가지 성격 특성>

5가지 성격 특성(Big Five Personality Traits)는, 심리학에서 경험적인 조사와 연구를 통해 정립한 성격 특성의 5가지 주요한 요소를 말하며 경험에 대한 개방성(Openness to Experience), 성실성(Conscientiousness), 외향성(Extraversion), 우호성(Agreeableness), 신경성(Neuroticism)으로 구성되어 있다. 경험에 대한 개방성은 호기심이 많고 새로운 경험에 대한 열린 자세를 말한다. 성실성은 목표를 성취하기 위해 성실하게 노력하는 성향으로 높을수록 책임감 있고 자기통제와 조절을 잘한다. 외향성은 다른 사람과의 사교적인 활력을 추구하는 성향으로 낯선 사람에게도 스스럼없이 다가간다. 우호성은 타인에게 반항적이지 않고 협조적인 태도를 보이는 성향으로 따듯하고 공감적인 성격을 가진다. 신경성은 분노, 우울함, 불안감과 같은 불쾌한 정서를 쉽게 느끼는 성향으로 정서적으로 예민하고 불안정하다.

<데이터 유출 징후 탐지 모델>

조직에서는 강제 접근 통제(Mandatory Access Control, MAC)를 통해 정해진 직급에 따라 접근 할 수 있는 데이터의 범위가 한정되어 있다. 높은 직급의 경우 높은 보안 등급을 가지고 있어 많은 데이터를 접근 할 수 있는 대신 데이터 유출 징후에 관심을 두어야 하는 대상이다. 국가 사이버 보안 및 통신 통합 센터(National Cybersecurity and Communications Integraion Center, NCCIC)에서 발표한 내부자 위협 관련 보고서에 따르면 내부자는 데이터 유출 전에 몇 가지 행동지표를 나타낸다고 한다. 휴가, 병가와 같이 부재중에 조직 네트워크에 원격으로 접근하거나 승인 없이 업무 시간 외 근무를 하고 시간 외 근무, 주말 근무 등 비정상적인 업무 일정에 적극적이게 된다. 또한, 약물, 알코올 중독, 재정적 어려움, 도박 등 열악한 정신건강이나 적대적인 행동과 같은 취약성 징후를 유발하고 갑작스런 해외여행을 가거나 결근을 하는 등 경고 신호를 발생하기도 한다.

이러한 행동지표는 내부자들의 5가지 성격 특성 요소를 통해 확인 할 수 있다. 내부자가 데이터 유출을 하게 되는 상황이 발생하면 일에 대한 목표가 사라지게 돼서 성실성이 낮아지게 되고 다른 사람들과의 사교성이 떨어져 외향성이 낮아지게 되며 다른 사람들에게 비협조적이게 돼서 우호성이 낮아진다. 또한, 불안감이 상승하여 신경성이 높아지게 된다. 본 발명의 일 실시예에서는, 긴 시간 동안의 정보를 기억하여 시계열과 시퀀스 데이터 처리에 용이한 LSTM 알고리즘과, 입력 값과 출력값의 손실(Loss) 값을 비교하여 이상탐지를 할 수 있는 오토인코더를 결합하여 데이터 유출 징후 탐지를 위한 LSTM 오토인코더 모델을 구현하고, 내부자의 직급과 5가지 성격 특성 요소에 따른 패널티를 부가하여 탐지율을 향상시킨 내부자에 의한 데이터 유출 징후 탐지 모델을 이용할 수 있다.

<데이터 전처리>

모델링 작업에서 반드시 거쳐야 하는 과정이며, 모델 성능에 직접적인 영향을 주는 과정이기 때문에 매우 중요하다. 본격적인 학습 및 검증에 앞서 Insider Threat Test Dataset을 전처리 과정을 통해 데이터 유출 징후 탐지 모델에 적합한 데이터로 변환시킨다. 첫 번째로 Insider Threat Test Dataset 내 행위별로 구분되어 있는 로그 파일을 내부자(User ID)별로 재분류하여 내부자 행위 로그 파일을 만든다. 이 과정에서 불필요한 데이터는 제거하고 시간정보, 내부자 ID, PC ID, 행위정보만 보존할 수도 있다. 두 번째로 생성된 내부자 행위 로그 파일에서 누락된 값을 다른 값으로 대체하거나 삭제하는 결측치 처리, 부적절한 값과 이상 값을 제거하는 이상치(Outlier) 제거를 통해 정확성을 높인다. 세 번째로 문자열로 구성되어 있는 행위정보(Activity)를 모델 학습 시 용이한 데이터 타입인 숫자 형태로 치환한다.

<학습 및 검증 방법>

딥러닝 모델을 구현하고 학습과 평가하기 위해서는 데이터를 학습데이터와 검증데이터로 분류하는 과정이 필요하다. 각 데이터셋(DataSet)의 내부자별 행위로그 양이 다르기 때문에 특정 로그 양이 아닌 각 로그 파일의 N %에 해당하는 업무 데이터를 정상업무행위라고 가정하고 학습데이터를 구성한다. 내부자의 행위 로그 파일을 하루 단위의 업무 패턴으로 분류하고 나올 수 있는 최소의 업무 패턴을 추출한다. 최소의 업무 패턴은 한 업무를 수행하는데 필요한 행위들의 집합으로 컴퓨터를 켜고 업무를 수행한 뒤 컴퓨터를 끄는 로그인, 연결, 연결해제, 로그아웃, 인터넷, 이메일 등의 동작으로 이루어진다. 검증데이터는 학습데이터를 통해 학습 한 모델의 성능을 평가하기 위한 데이터로 학습데이터를 포함한 전체 데이터로 구성한다.

LSTM 오토인코더 학습 과정은 각각의 내부자 업무데이터로 만들어진 학습데이터를 이용하여 LSTM 오토인코더 모델을 학습시키고, 검증데이터를 학습된 모델의 입력 데이터로 넣어 인코딩 및 디코딩의 과정을 거쳐 결과값을 출력 시킨다. 각 모델의 입력 데이터와 출력 데이터 사이의 손실 값에 각 내부자별 직급 및 5 가지 성격 특성 요소가 저장되어 있는 데이터베이스를 통해 패널티를 부여하여 최종적인 손실 값을 구해낸다. 최종 손실 값이 임계치보다 큰 값을 가지는 날을 데이터 유출 징후로 탐지한다.

<테스트>

LSTM를 이용하여 구현한 오토인코더를 이용하여 내부자의 정상 업무 행위를 학습하고, 정상 업무 행위에 벗어나는 데이터 유출 징후를 탐지하도록 할 수 있다. 사전에 준비한 내부자의 초기 N %의 업무 패턴을 학습 데이터로 구성하고 모델을 학습시킨다. 학습과정은 이하의 수학식 1 내지 수학식 3을 이용할 수 있다.

수학식 1은 오토인코더의 인코더에 대응하고, 입력 데이터 x를 이용하여 숨겨진 y 값을 출력하게 된다. 수학식 2는 오토인코더의 디코더에 대응하고, 수학식 2에 수학식 1에서 출력된 y 값을 대입하여 최종 출력 데이터 x’을 출력한다. 수학식 3은 수학식 1의 입력 데이터 x와 수학식 2의 출력 데이터 x’간 같고 다른 정도를 비교하여 같아질수록 0에 가까운 수를 출력하고, 다른 경우 다른 정도에 따라 큰 수가 출력되는 수학식이다.

학습과정을 통해 내부자들의 정상 업무 행위를 학습한 LSTM 오토인코더를 구할 수 있다. 그 다음으로 검증데이터인 전체 업무 패턴을 통해 얻은 손실 값과 임의의 임계값(Threshold)을 비교한 후, 임계값 보다 손실 값이 크면 데이터 유출 징후로 탐지한다. 임의로 정해진 임계값은 데이터 유출 징후를 결정하는데 가장 중요한 값이기 때문에 검증에 알맞은 값을 찾기 위해 반복실험을 통하여 실험적으로 구해야 한다. 본 발명의 일 실시예에 따른 모델의 성능평가를 할 때는 성능 평가 지표 중 오차행렬을 활용하여 평가할 수 있다. 정확도(Accuracy)는 전체 데이터에서 예측 데이터가 얼마나 같은지를 판단하는 지표로 예측한 유출 징후 중 실제 유출 징후와 예측한 정상 업무 중 실제 정상 업무의 비율을 나타낸다. 정밀도(Precision)는 데이터 유출이 발생한 날이라고 예측한 날 중에 실제 데이터 유출이 발생한 날의 비율을 나타낸다. 민감도(Sensitivity)는 실제 데이터 유출이 발생한 날 중에 데이터 유출이 발생했다고 예측한 비율을 나타낸다. 특이도(Specificity)는 실제 정상 업무가 이뤄진 날을 데이터 유출이 발생한 날로 예측한 비율을 나타낸다.

또, 직급이 높을수록 접근 가능한 중요 데이터가 많아짐으로 데이터 유출 시 더 큰 피해가 발생 할 수 있기 때문에 직급별로 추가 패널티를 부가할 수 있다. 예를 들어, 사장, 부사장, 부서장, 팀장, 팀원 등으로 구성된 경우에는, 추가 패널티는 순서대로 큰 수에서 작은 수 순으로 부여될 수 있다.

데이터 유출을 계획하고 실행하려는 내부자는 5가지 성격 특성 요소 중 성실성, 외향성, 우호성이 낮아지고 신경성이 높아지는 변화가 생긴다는 것을 가정하고 내부자별 5 가지 성격 특성 요소에 따라서도 패널티를 부가할 수 있다. 내부자 위협 테스트 데이터셋(Insider Threat Test Dataset)에는 내부자별 5가지 성격 특성 요소를 측정하여 수치로 표현한 psychometric.csv 파일이 존재한다. 성실성, 외향성, 우호성 항목이 X 이하로 낮으면 Y의 패널티를 부가하고, 신경성은 Z 이상일 때 W의 패널티를 부가한다. 성실성, 외향성, 우호성은 성격에 따라 쉽게 변화할 수 있지만, 신경성의 변화에는 외부적인 요인이 필요하기 때문에 패널티 부가를 다르게 설정할 수 있다. LSTM Autoencoder 모델에 직급과 5가지 성격 특성 요소에 따른 패널티를 부가하여 내부자의 데이터 유출 징후를 탐지하는 경우, 탐지율이 더 높아질 수 있다.

경계보안부(330)는, 연관분석 결과 이상징후가 탐지 및 예측된 경우 경계 보안(Perimeter Security Model)을 강화할 수 있다. 내외부 업무망 연계에 따른 보안 문제점을 해결하기 위해, 일반적인 경계 보안으로 방화벽(Firewall)과 DMZ(DeMilitarized Zone) 구성을 이용하지만, 방화벽에 대한 우회 공격, 방화벽 정책 설정 오류, 관리자 오남용 등으로 인하여 내부망이 해킹되는 경우가 종종 발생하여 이를 신뢰하지 못하는 경우가 많다. 국내의 경우 인터넷망과 업무망을 논리적 또는 물리적으로 분리하며 두 영역 간 자료 교환을 위해 망연계솔루션을 적용하며 방화벽과 DMZ 구성은 신뢰하지 않는다. 주요 정보통신 기반시설에서 제어망과 업무망을 물리적으로 분리하며 제어망에서 업무망으로 자료 전달을 위해 데이터 다이오드(Data Diode)를 적용하며 망연계솔루션이나 방화벽은 신뢰하지 않는다.

이에, 본 발명의 일 실시예에서는, 보안 사고와 보안 비효율성의 근본 원인을 경계부 보안 모델이 신뢰구간과 비신뢰 구간으로 나누고 네트워크에 임의의 권한을 암묵적으로 부여한 것을 전제하고, 첫째, 모든 자원 접근에 대한 검증 및 보호. 둘째, 최소 권한 부여 전략의 적용 및 엄격한 접근통제 정책. 셋째, 모든 트래픽에 대한 모니터링과 로깅을 실시하는 경계 보안 강화를 수행할 수 있다. 이에 따라, Cloud Security Alliance의 소프트웨어 정의 경계(Software Defined Perimeter, SDP) Spec 1.0을 이용할 수 있다. SDP는 첫 번째로, 서비스를 네트워크로부터 격리하고, 두 번째로, 애플리케이션 오너에게 논리적 접근 통제 권한을 제공하며, 세 번째, 장치 및 사용자에 대한 신원 확인 후 네트워크에 접근허용하고, 네 번째 모든 트래픽의 암호화를 수행할 수 있다.

SDP는 SDP 클라이언트, SDP 컨트롤러, SDP 게이트웨이로 구성된다. SDP 프로세스는 일반적인 네트워크 접근 통제 방법과 완전히 다른 방식을 취할 수 있는데, SDP는 장치의 인증을 수행 후에 자원에 대한 네트워크 연결을 허용함으로써 공격자에게 네트워크의 공격 대상을 감춘다. 이를 위하여, 단일 패킷 인증(Single Packet Authorization, SPA)를 이용하는데, 장치에 대한 인증 기능을 제공한다. 각 구성요소 간 모든 통신은 먼저 인증 단계를 거치게 되는데, SDP의 인증은 SPA 방식을 사용하여 수행된다. SPA 프로토콜은 RFC 4226에 정의된 HOTP(HMAC-Based One-Time Password Algorithm) 프로토콜을 기반으로 할 수 있다. SPA에서 통신 당사자는 비밀 시드를 공유하게 되는데, 비밀 시드는 카운터와 함께 일회용 암호(OTP)를 만드는 데 사용된다. 접속을 원하는 SPA 클라이언트는 SPA 서버와 통신하기를 필요할 때마다 카운터, OTP을 패킷에 포함하여 단일 패킷으로 전송한다. SPA 서버는 전송된 OTP를 검증하고 성공적이면 응답한다. SDP에서도 SPA 패킷의 동작원리는 앞서와 동일하며, SPA 패킷은 클라이언트에서 컨트롤러 또는 AH로 전송되는데 패킷 포맷은 이하 표 3과 같을 수 있다.

IP

TCP

AID(32-bit)

Password(32-bit)

Counter(64-bit)

문서중앙화부(340)는, 사용자 단말(100)로부터 생성된 문서를 개인폴더에 저장하면, 개인폴더 내 문서를 백업폴더로 백업하고, 개인폴더 내 문서를 부서폴더에 입력하여 보안 및 암호화를 수행하며, 접근 및 권한을 통제하고, 모니터링 및 리포지토리(Repository) 관리를 통하여 생성, 유통, 보관, 이용, 이관 및 폐기를 관리할 수 있다.저장통제유출방지부(350)는, 사용자 단말(100)의 로컬 디스크에 보안영역 및 반출영역을 생성하고, 보안영역에 저장된 데이터는 보안영역 내에서만 사용되고 적어도 하나의 매체(Medium)로 저장, 복사, 이동, 화면캡쳐 및 전송에 대한 처리를 방지하도록 구성되고, 반출영역에 저장된 데이터는 DRM(Digital Rights Management) 패키징(Packing)을 수행하도록 할 수 있다. 저장통제유출방지부(350)는, DRM 패키징을 할 때 엔파우치(nPouch)를 이용하여 GPS 기반 위치추적, ARIA(Academy, Research, Institute, Agency)256 및 AES(Advanced Encryption Standard)256으로 다계층 암호화를 수행하며, 화면캡쳐, 출력물 및 클립보드를 차단하여 유출을 방지할 수 있다.

워터마크부(360)는, 사용자 단말(100)에서 생성하는 문서에 사용자 정보 및 PC 정보 화면을 워터마크로 설정하고, 워터마크를 사번, 사용자 이름, IP(Internet Protocol) 주소 및 MAC(Media Access Control) 주소 중 적어도 하나 또는 적어도 하나의 조합을 포함하는 고유식별코드로 설정하며, 필터레이어(Filter-Layer) 화면 워터마킹을 이용하여 카메라 촬영을 방지할 수 있다.

랜섬웨어방어부(370)는, 사용자 단말(100)에서 사용자 인증을 수행하도록 하는 ① 소프트웨어 인증 알고리즘을 수행하고, 사용자 단말(100)에서 생성되는 사용자 파일 행위 로그를 분석하여 이상행위 프로세스를 탐지하는 ② 행위기반 방어 알고리즘을 수행하며, 실시간 암호화 백업으로 ③ 실시간 보안백업 알고리즘을 수행함으로써 EDR(Endpoint Detection and Response) 기반으로 다계층 랜섬웨어 방어를 수행할 수 있다. 이때, 행위기반 방어 알고리즘의 행동 인터넷(Internet of Behaviors, IoB)는 인간의 심리적 요소와 기술과의 관계를 복합적으로 다루어 인간 행동을 체계적으로 규명하려는 행동과학(Behavioral Science)에 기반한다.

① 소프트웨어 인증 알고리즘은, 사용자 단말(100)에서 디지털 서명으로 소프트웨어 인증을 수행하면, 지능형 화이트리스트(White-List) 및 블랙리스트(Black-List)의 소프트웨어 인증을 거쳐 랜섬웨어 공격루트를 차단하고, 인증이 되지 않은 소프트웨어를 탐지, 분석, 차단 및 로그를 관리할 수 있다. ② 행위기반 방어 알고리즘은, 사용자 단말(100)에서 발생하는 이상행위 프로세스를 탐지하고, 행위 기반 분석, 차단 및 확산방지 프로세스를 실행하며, 파일 암호화시 실시간 백업 및 자동복구를 수행하고, 이상행위 프로세스의 탐지, 분석, 차단 및 로그를 관리할 수 있다. ③ 실시간 보안백업 알고리즘은, 사용자 단말(100)에서 생성된 문서의 정합성을 증명하여 실시간 암호화 백업을 수행할 때, 랜섬웨어의 감염여부를 확인하고 감염파일을 백업에서 제외시키고, 랜섬웨어가 감염된 경우 즉시 복원을 수행하여 업무 연속성을 확보하도록 하며, 백업 현황 및 복구 로그를 관리할 수 있다.

리모트(Remote)보안부(380)는, 사용자 단말(100)의 사용자가 재택근무 또는 원격근무를 수행하는 경우, 파일저장통제 보안, 화면 및 원격접속 보안, 악성코드 방어를 수행하여 보안 프로세스를 실행할 수 있다. 이를 위하여 가상화(Virtual Desktop Infrastructure)를 수행할 수 있는데, 사용자 단말(100)의 디바이스를 가상화함으로써, 가상 데스크탑 환경을 각 사용자별로 클라우드를 통하여 맞춤형으로 제공할 수 있다.

VDI로 제공되는 개별의 가상화 데스크탑은 OS(Operating System)를 포함하여 모든 프로그램과 애플리케이션 기반 작업환경을 구현하면서, 프로세스와 데이터는 클라우드 서버 내에서 처리한다. 사용자는 단지 클라우드 서버에 원격 접속하여 사용자 단말(100)를 통해 입력을 전송하고 처리결과를 사용자 단말(100)의 디스플레이 장치에 구현한다. 주요 작업과 연산 처리가 클라우드 서버에서 이루어지기 때문에 사용자별 사용자 단말(100)에선 고사양의 성능이 불필요해지며, 각 사용자의 개인별 작업 및 저장공간이 데이터 센터의 클라우드 시스템을 통하여 구현되어있어, 모든 데이터가 사용자 단말(100)에 저장될 필요가 없다. 사용자 단말(100)은 단지 원격접속을 위한 터미널(Terminal) 역할만 함으로써 사용자 단말(100)의 패치(Patch), 유지 및 복구에 대한 안정성을 보장하고, 기존 PC 통합관리에 대한 시간과 노력이 대폭 감소한다. 중앙통제가 강화되어 통합 인증과 접근관리가 가능하고 모든 로그 추적이 실시간으로 가능할 뿐만 아니라 사용자 단말(100)에 데이터가 저장되지 않아 높은 보안성을 요구되는 환경에 매우 적합하다.

<도커>

도커(Docker)는 리눅스 기반의 Container Runtime 오픈소스로, 가상머신과 유사한 기능을 가지면서, 훨씬 가벼운 형태로 배포가 가능하다. 가상머신은 호스트 운영체제가 설치되고, 그 위에 하이퍼바이저(VMWare, Hyper-V, Xen 등)가 설치된 후, 그 위에 가상머신이 만들어지게 된다. 그래서, 가상머신 위에는 다양한 종류의 OS(Linux, Window)를 설치해서 사용할 수 있게 된다. Docker의 Container는 컨셉은 비슷하지만, 가상머신과 약간 다르다. 도커 컨테이너도 가상머신처럼 호스트 OS 위에 도커 엔진이 설치되고 그 위에 컨테이너가 올라가게 되는데 이때, 컨테이너는 리눅스 기반의 OS만 수행이 가능하다.

도커는 가상머신처럼 하드웨어를 가상화해주는 것이 아니라 Guest OS를 격리(Isolation)해준다. 컨테이너는 기본적으로 리눅스 OS만 지원하는데 컨테이너 자체에는 커널 등의 OS 이미지가 들어가 있지 않다. 리눅스 커널은 Host OS를 그대로 사용하며, Host OS와 컨테이너 OS의 다른 부분만 컨테이너 내에 같이 Packing이 되게 된다. 따라서, Host OS가 Ubuntu이고 컨테이너 OS가 CentOS라고 했을 때 컨테이너에는 CentOS의 이미지 전체가 들어가는 것이 아니라, Ubuntu 와 CentOS의 차이가 되는 부분만 들어가 있게 된다. 컨테이너 내에서 명령을 수행하게 되면 실제로는 Host OS에서 명령어가 수행되는 방식으로 컨테이너는 Host OS의 프로세스 공간을 공유하게 된다.

GPU 자원을 가상화하게 되면 필요한 만큼만 자원을 최적화하여 활용할 수 있기 때문에 자원의 비효율적인 낭비 또는 부족 현상을 최소화할 수 있게 된다. GPU 가상화는 제품 제조업체의 하드웨어 및 소프트웨어 지원이 없어서 어려운 문제로 야기되고 있었다. 가상화는 소프트웨어적으로 구현되고 동작하는 경우가 대부분인데, 하드웨어 차원의 호환이 없다면 구현이 어렵기 때문이다. 하지만, 현재는 AI의 수요가 증가하고 있어 GPU 제조업체들은 가상화를 지원하기 시작했다. GPU 가상화 기술은 가상화를 어느 관점에서 구현하느냐에 따라 ① Direct Pass-Through, ② Para & Full Virtualization 그리고 ③ API 리모팅으로 구분되게 된다.

① Direct Pass-Through 방식은 가상머신이 하이퍼바이저 중재 없이 직접 GPU 자원을 사용할 수 있도록 하는 방식이다. NVIDIA에서 클라우드 서비스를 위해 하드웨어 단계에서 가상화를 진행한 NVIDIA GRID를 공개하였다. 하지만, 특정 하드웨어 제품군에서만 사용할 수 있으며, 여러 개의 가상머신이 하나의 GPU 하드웨어에 접근할 수 없는 문제가 있다. ② Para & Full Virtualization 방식은 하이퍼바이저를 통해 가상머신 별로 GPU 자원을 할당할 수 있지만, 하이퍼바이저 통신으로 인한 오버헤드가 발생할 수 있고, GPU 하드웨어에 대한 정보와 드라이버 레벨의 소스 코드를 기반으로 구현해야 한다. 하드웨어 드라이버가 업데이트될 때마다 수정이 필요한 문제가 있다.

③ API 리모팅은, GPU 벤더가 가상화를 지원하지 않을 때 가상화를 구현하는 방법으로 Guest OS에 Host OS에서 쓰이는 GPU 라이브러리와 동일한 API를 가진 래퍼 라이브러리를 제공하는 것을 의미한다. 래퍼 라이브러리는 GPU 응용프로그램이 GPU에 대한 연산 함수를 호출할 때, 그 호출이 직접 GPU 드라이버에 도달하기 전에 가로채게 되는데, 이렇게 가로채어진 호출은 공유 메모리를 통해서 같은 시스템 내의 Host OS로 전달되게 된다. Host OS로 전달된 호출은 원격으로 처리되므로 API 리모팅 이름이라는 이름이 붙여졌다. 원격에서 GPU호출이 처리된 후 호출의 결괏값만 다시 래퍼 라이브러리로 전달되게 되게 된다. 다만 이러한 방식은 기존의 가상화 환경에서 Guest OS의 프로그램들을 수행하는 데 있어 성능 저하를 유발시키게 된다. Guest OS의 응용프로그램은 하드웨어를 활용할 때, 반드시 Host OS를 거쳐서 접근 및 실행할 수 있도록 되어 있는데, 가상화가 없는 상태의 GPU를 활용하는 것에 비해 백엔드-프론트엔드(Backend-Frontend) 통신이 추가되게 되므로, 성능 저하로 이어지기 때문이다. API 리모팅 기법을 사용한 방식으로는 GViM, vCUDA, rCUDA, GVirtuS가 있다

<도커 컨테이너 기반 GPU 가상화>

다수의 사용자가 문서를 생성, 저장, 복사 등을 수행하면서 플랫폼 서비스 제공 서버(300)에 업로드할 때 사용해야 하는 서비스이므로 간단한 사용 방법을 통하여 쉽게 사용할 수 있는 서비스가 제공되어야 한다. 본 발명의 일 실시예에서는 도커 컨테이너 기반 GPU 가상화 시스템을 제공하기 위해서 웹 인터페이스를 이용하여 서비스를 제공할 수 있다. 우선, 도커 컨테이너를 생성하기 위해서는 컨테이너 이름, 포트 정보, 도커 이미지 정보, 데이터 마운트 경로 위치, 할당 요청할 GPU ID 리스트가 필요하다. 현재 포트가 할당되어 있는지, 도커 이미지가 플랫폼 서비스 제공 서버(300)에 다운로드 되어 있는지, GPU가 이미 할당되어 있는지 등을 파악한 후에 컨테이너를 생성해주고 컨테이너에 접속할 수 있는 패스워드를 반환값으로 리턴 해준다. 도커 컨테이너를 삭제하기 위해서는 서버 아이디, 컨테이너 아이디가 필요하다. 현재 플랫폼 서비스 제공 서버(300)의 접속 상태를 확인하고, 플랫폼 서비스 제공 서버(300)가 연결되어 있으면 컨테이너를 삭제 요청한다. 성공적으로 삭제가 완료되면 데이터베이스에 할당된 GPU를 할당할 수 있는 상태로 변경해준다.

플랫폼 서비스 제공 서버(300)의 자원이 낭비되지 않고 최적의 효율을 달성기 위해 서버의 활용률을 알아야 자원 배분을 효율적으로 할 수 있게 된다. 플랫폼 서비스 제공 서버(300)의 활용률은 이하 수학식 4를 통하여 계산될 수 있다.

여기서 CU는 CPU의 사용률을 나타내며, NC는 서버의 코어 개수를 나타낸다. GU는 GPU의 사용률을 나타내며, NG는 연결된 GPU의 개수를 나타낸다. UCU는 서버 코어의 개수가 반영된 최종 CPU 사용률을 나타내며, UGU는 GPU의 개수가 반영된 최종 GPU 사용률을 나타낸다. 여기서 i는 각 서버의 번호를 의미한다. 서버 코어의 개수와 GPU의 개수는 연결된 서버별로 CPU가 다를 수 있고, 연결된 GPU의 개수가 다를 수 있기 때문에 활용률에 반영할 수 있다. 최종 서버의 사용률은 이하 수학식 5를 통하여 계산할 수 있다.

여기서 ANC는 전체 서버 코어의 개수를 나타내고, ANG는 전체 서버의 GPU 개수를 나타낸다. SU는 서버의 사용률을 나타낸다.

이하, 상술한 도 2의 플랫폼 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.

도 3a를 참조하면, 본 발명의 플랫폼은 DRM, DLP, 매체제어, 출력물 보안, 화면 보안, 랜섬웨어 탐지 및 차단, 보안 백업, 문서 중앙화, 외부반출 문서보안, 개인정보보호 및 결재와 승인 모듈 등을 하나로 통합하고, 도 3b 및 도 3c의 문제점을 해결하기 위하여, 도 3d와 같이 엔드 포인트(End Point) 지능형 통합 데이터 보안 플랫폼을 구성한다. 도 3e와 같이 플랫폼 아키텍처를 구축하고, 도 3f와 같이 사용목적별 및 시나리오별로 개체(Object) 단위로 제품을 구성한다. 도 3g와 같이 통합 플랫폼 아키텍처를 구축하고, 도 3h와 같이 VDI를 이용하여 데스크톱을 가상화한다. 도 3i와 같이 VDI 기반의 재택 및 스마트워크 환경을 구축하고, 도 3j와 같이 재택근무 및 원격근무를 위한 단말 보안을, 파일 저장통제, 화면 및 원격접속 보안, 악성코드 방어를 수행한다.

도 3k와 같이 화면 워터마크를 통하여 해킹 차단 및 유출 방지를 수행하고, 도 3l 내지 도 3n과 같이 카메라 렌즈를 감지하는 기능으로 촬영을 방지하며, 도 3o와 같이 문서중앙화를 구축하기 위해 도 3p와 같은 시스템을 구축할 수 있다. 또 도 3q와 같이 EDR 기반 다계층 랜섬웨어 방어 시스템을 구축하고, 도 3r과 같이 랜섬웨어를 탐지 및 차단한다. 또 도 3s와 같이 원소스(One-Source) 멀티 타겟(Multi-Target) 백업을 설계하고, 도 3t와 같이 VDI 시스템으로 문서를 이관시킨다. 또 도 3u와 같이 파일의 유출을 탐지하는 것 뿐만 아니라 위치를 추적할 수 있도록 하고, 도 3v와 같이 정상 및 비정상 열람 통계와 시계열 데이터 이동경로를 추적하여 통계를 제공할 수도 있다. 도 3w와 같이 기밀문서를 반출하는 것을 통제하고, 도 3x와 같이 추적정보를 제공하며, 도 3y와 같이 기밀유출 모니터링을 수행하고, 도 3z와 같이 간편하고 쉬운 인증방식을 이용할 수 있다.

도 4a와 같이 사용자 파일 행위를 모니터링할 수 있는데, 도 4b와 같은 파일 유출 경로를 분석하고, 도 4c 및 도 4d와 같은 유출징후의 평가지표를 구성한 다음, 도 4e와 같이 파일 유출 단계를 분석함으로써, 도 4f와 같이 제로 트러스트 모델을 기반으로, 실시간 파일 행위 로그를 수집하고, 파일 행위 로그를 정규화한 후, 실시간 파일 행위 로그와 기 구축된 이상징후 파일 행위 로그 간 연관관계를 연관(Association)분석을 통하여 분석하고, 이상행위를 탐지 및 예측한다. 또, 경계선 보안 강화 및 업무 행위 예측 보안을 수행할 수 있다.

이와 같은 도 2 내지 도 4의 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.

도 5는 본 발명의 일 실시예에 따른 도 1의 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.

도 5를 참조하면, 플랫폼 서비스 제공 서버는, 사용자 단말로부터 사용자 파일 행위 로그를 시간, 크기, 파일명 및 확장자를 포함하여 로그로 수집하고(S5100), 용자 파일 행위 로그를 정규화하고 병합하고 기 설정된 이상징후와의 연관을 분석하는 연관분석을 수행한다(S5200). 이때, 플랫폼 서비스 제공 서버는, 연관분석 결과 이상징후가 탐지 및 예측된 경우 경계 보안(Perimeter Security Model)을 강화한다(S5300).

상술한 단계들(S5100~S5300)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5300)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.

이와 같은 도 5의 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.

도 5를 통해 설명된 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.

전술한 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims

콘텐츠의 생성, 수정, 복사, 조회, 삭제, 출력 및 이동을 포함하는 파일 행위가 사용자 파일 행위 로그(Log)로 수집 및 모니터링되는 사용자 단말; 및
상기 사용자 단말로부터 사용자 파일 행위 로그를 시간, 크기, 파일명 및 확장자를 포함하여 로그로 수집하는 모니터링부, 상기 사용자 파일 행위 로그를 정규화하고 병합하고 기 설정된 이상징후와의 연관을 분석하는 연관분석을 수행하는 위협분석부, 상기 연관분석 결과 이상징후가 탐지 및 예측된 경우 경계 보안(Perimeter Security Model)을 강화하는 경계보안부를 포함하는 플랫폼 서비스 제공 서버를 포함하고,
상기 모니터링부는,
각 사용자 단말의 분석시 필요한 다기종 및 이기종 장비에 대한 로그분석을 통합처리할 수 있는 시스템을 구축하되, 데이터 변화에 유연하게 반응 가능하도록 하기 위해, 리눅스 기반의 Container Runtime 오픈소스인 도커(Docker)를 이용하여 장비별 처리 분리를 수행하면서, 도커 스웜(Docker Swarm)으로 장애 처리를 수행하고, 상기 도커 스웜과 상기 구축된 시스템의 추가로 큐(Queue)에 누적되는 누적 데이터값에 기초하여, 누적 데이터가 적은 보안 장비에는 처리모듈을 줄이고, 누적 데이터가 많은 보안 장비에는 처리모듈을 늘리도록 제어하는 오토스케일(AutoScale)을 이용하고,
보안 장비마다 이기종 및 다기종으로 데이터 분석 규격이 통일되어 있지 않을 경우 분석한 결과를 해석하는데 추가적인 시간과 인력이 소요됨에 따라, 데이터를 기 설정된 카테고리로 나누고 카테고리에 필드(Field)를 통일시키는 데이터 규격 통일을 수행하고,
상기 위협분석부는,
이상징후와의 연관분석을 수행하기 위해, 비정형 데이터에 대한 통계분석 및 위협 패턴의 추출과 예측이 가능한 GDB(Graph DataBase)를 이용하고, 외부 경로로부터 API, 동기화, 크롤링(Crawing), 및 DNS 쿼리의 수집이 가능한 정보 수집기와의 연계를 통해, 수집되는 정보 유형마다 위협 패턴의 검사를 수행하고, 복수의 위협 시나리오를 설정하여 결과를 도출하고 위험 예측을 수행하고, 상기 정보 수집기로부터 수집된 정보들의 속성들이 연계를 토대로 관계 분석을 통해 위협대상으로부터 악성코드를 식별하고 악성코드의 종류와 위협 수준을 판단하고, GDB 기반으로 변환되어 노드가 연결된 테이블인 초기 테이블의 생성 이후 내부 정보가 실시간으로 갱신되도록 하고, 분석 결과들이 정보 수집기 관리자를 통해 내부 데이터베이스에 저장되도록 하고,
이상징후의 탐지시 순위분석, 패턴인식, 군집분석, 경로분석 및 핵심추출 과정을 적용함으로써, 알려진 공격 패턴(Attack Pattern)과 침입 시나리오(Intrusion Set)의 유사도와 상호관계를 예측 분석하고, 특정 대상(Threat Actor)으로 유입되는 트래픽에서 위협을 식별하고, 식별된 위협으로 분류된 신규 패턴을 추출하고, 상기 이상징후의 탐지 및 분석 결과로서 위협대상, 악성코드, 위협의 종류, 및 시나리오를 중요 위협의 세부 요인으로서 추출하고,
상기 순위분석을 위해, 정보 수집기에서 연결된 전체 노드에서 입출력 노드 사이에 존재하는 속성을 하나의 계층으로 구분하고, 각 노드에서 연관 관계에 대한 임계치를 설정하고, 키워드와 핵심문장을 추출한 결과 노드 연관성이 순위(Ranking)가 가장 높은 노드를 강조하는 방식으로 순위 분석을 수행하여 위협 항목을 파악하고,
새로운 위협 패턴을 추출하는 상기 패턴인식을 위해, 지도 학습에서 특징을 추출하고 GDB 기반 알고리즘 분석에 필요한 바이러스 패턴 정보를 사전 학습에 이용함으로써, 학습된 데이터베이스로부터 위협 패턴으로 의심되는 노드 연결들을 검사하고, 각 계층에 존재하는 속성들을 GDB 테이블에 새로 시그니처(Signature)로 저장하여 정상 패턴 노드를 제외한 위협 패턴을 추출하고,
상기 군집분석을 위해, 위협 패턴을 클러스터링하되, 상기 순위분석과 상기 패턴인식의 결과로 추출된 시나리오를 재분류하여 임의 패턴의 대표 특징을 추출하고 분류 기준이 존재하지 않는 위협 패턴에 대한 유사성 분석을 수행하고,
상기 경로분석 및 핵심추출을 위해, 상기 군집분석을 통해 도출된 노드의 시작점과 끝점의 거리 척도와 이상징후 경로들의 예측을 수행하되, GDB 연결 노드 그룹과의 유사도를 검사하고, 가능성 있는 경로를 위협에 대한 핵심 그룹으로 묶고, 위험도 높은 패턴의 경로를 위협 패턴으로 묶어 예측 분석을 수행하며,
내부자에 의한 데이터 유출 징후의 탐지를 위해, 입력 데이터가 인코더(Encoder)를 거쳐 차원이 축소되고 축소된 입력 데이터가 디코더(Decoder)를 거쳐 기존 입력 데이터와 동일한 출력 데이터로 변환시키는 비지도 학습법인 오토인코더(AutoEncoder)와 유닛 간 연결이 순환적 구조를 갖는 인공 신경망 알고리즘인 LSTM(Long Short-Term Memory)를 결합시켜 LSTM 오토인코더 모델을 구현하고, 상기 구현된 LSTM 오토인코더 모델에 경험에 대한 개방성, 성실성, 외향성, 우호성 및 신경성을 포함한 5가지 성격 특성 요소와 내부자의 직급에 따른 패널티를 부가함으로써 생성된 탐지율이 향상된 데이터 유출 징후 탐지 모델을 이용하고,
상기 내부자의 직급에 따른 패널티의 부가시, 직급이 높을수록 접근 가능한 중요 데이터의 수가 많아지고 데이터 유출시 피해 크기가 큼에 따라, 직급이 높을수록 패널티를 크게 부여하고,
상기 5가지 성격 특성 요소에 따른 패널티의 부가시, 데이터 유출을 계획하고 실행하려는 내부자의 경우 성실성, 외향성 및 우호성이 낮아지고 신경성이 높아지는 변화가 생긴다는 가정하에, 내부자 위협 테스트 데이터셋(Insider Threat Test Dataset) 내 내부자별 5가지 성격 특성 요소를 측정하여 수치로 표현한 파일을 기반으로, 성격에 따라 변화되는 성실성, 외향성 및 우호성 항목이 제1 값 이하이면 제1 패널티를 부가하고, 신경성 항목이 제2 값 이상이면 외부적 요인에 의한 영향을 고려해 제1 패널티와는 다른 제2 패널티를 부가하며,
상기 데이터 유출 징후 탐지 모델을 이용하기 위해, 데이터 전처리로서, 상기 내부자 위협 테스트 데이터셋 내 행위별로 구분되어 있는 로그 파일을 내부자별로 재분류하여 내부자 행위 로그 파일을 생성하는 제1 과정, 상기 생성된 내부자 행위 로그 파일에서 누락된 값을 다른 값으로 대체하거나 삭제하는 결측치 처리와 이상 값을 제거하는 이상치(Outlier) 제거를 수행하는 제2 과정, 및 문자열로 구성되어 있는 행위정보(Activity)를 모델 학습에 맞는 데이터 타입인 숫자 형태로 치환하는 제3 과정을 수행하고,
이후, LSTM 오토인코더 모델의 학습을 위해, 데이터를 학습데이터와 검증데이터로 분류하되, 각 데이터셋의 내부자별 행위로그 파일 중 일부 행위로그 파일에 해당하는 업무데이터를 정상업무행위로 가정하여 학습데이터를 구성하고, 내부자의 행위로그 파일을 하루 단위의 업무 패턴으로 분류하고 최소 업무 패턴을 추출하고, 상기 학습데이터를 포함한 전체 데이터로 검증데이터를 구성하고,
이후 상기 구성된 학습데이터를 이용해 상기 LSTM 오토인코더 모델을 학습시키고, 상기 구성된 검증데이터를 학습된 상기 LSTM 오토인코더 모델의 입력 데이터로 넣어 인코딩 및 디코딩의 과정을 거쳐 결과값을 출력시키며, LSTM 오토인코더 모델의 입력 데이터와 출력 데이터 사이의 손실 값에 각 내부자별 직급과 상기 5가지 성격 특성 요소가 저장되어 있는 데이터베이스를 통해 패털티를 부여하여 최종 손실값을 도출하고, 도출된 최종 손실 값이 임계치보다 큰 값을 가지는 날을 데이터 유출 징후로 탐지하며,
내부자에 의한 데이터 유출 징후로서 7가지의 유출 징후를 탐지하되,
상기 7가지의 유출 징후는, 운영체제 설정 환경의 변경, 내부 IP 주소의 변경, 보안프로그램 강제 종료, 불법 소프트웨어 설치를 포함한 PC단말의 조작을 통한 유출 징후, 중요문서의 암호화 해제, 워터마트 해제, 복사, 조회, 출력, 파일명 변경, 확장자 변경 및 삭제를 포함한 중요문서의 조작을 통한 유출 징후, 카메라에 의한 중요문서를 촬영하는 카메라 촬영에 의한 유출 징후, 외부 메신저 사용, 다른 사용자 컴퓨터에서의 전자메일 송부, 메일내용 중 중요단어의 사용, 중요파일의 첨부, 기준크기 이상의 파일 전송, 파일의 분할 첨부, 및 외부메일을 통한 내부 직원에게로 메일 발송을 포함한 전자 메일을 통한 유출 징후, 비허가 사이트의 접속, 외부 저장공간의 접속, 및 외부 취업사이트의 접속을 포함한 불법 접속을 통한 유출 징후, 허가되지 않은 이동형 저장장치의 연결, 스마트폰을 저장장치로 연결 및 기기의 임의 반출을 포함한 저장 매체를 통한 유출 징후, 및 허가되지 않은 외부에서 내부서버로의 접속을 포함한 외부로부터의 접속을 통한 유출 징후를 포함하고,
상기 최소 업무 패턴은 업무를 수행하는데 필요한 행위들의 집합으로서 컴퓨터를 켜고 업무를 수행한 뒤 컴퓨터를 끄는 로그인, 연결, 연결해제, 로그아웃, 인터넷, 및 이메일 동작을 포함하는 것인, 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 1 항에 있어서,
상기 플랫폼 서비스 제공 서버는,
상기 사용자 단말로부터 생성된 문서를 개인폴더에 저장하면, 상기 개인폴더 내 문서를 백업폴더로 백업하고, 상기 개인폴더 내 문서를 부서폴더에 입력하여 보안 및 암호화를 수행하며, 접근 및 권한을 통제하고, 모니터링 및 리포지토리(Repository) 관리를 통하여 생성, 유통, 보관, 이용, 이관 및 폐기를 관리하는 문서중앙화부;
를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 1 항에 있어서,
상기 플랫폼 서비스 제공 서버는,
상기 사용자 단말의 로컬 디스크에 보안영역 및 반출영역을 생성하고, 상기 보안영역에 저장된 데이터는 상기 보안영역 내에서만 사용되고 적어도 하나의 매체(Medium)로 저장, 복사, 이동, 화면캡쳐 및 전송에 대한 처리를 방지하도록 구성되고, 상기 반출영역에 저장된 데이터는 DRM(Digital Rights Management) 패키징(Packing)을 수행하도록 하는 저장통제유출방지부;
를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 3 항에 있어서,
상기 저장통제유출방지부는,
상기 DRM 패키징을 할 때 엔파우치(nPouch)를 이용하여 GPS 기반 위치추적, ARIA(Academy, Research, Institute, Agency)256 및 AES(Advanced Encryption Standard)256으로 다계층 암호화를 수행하며, 화면캡쳐, 출력물 및 클립보드를 차단하여 유출을 방지하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 1 항에 있어서,
상기 플랫폼 서비스 제공 서버는,
상기 사용자 단말에서 생성하는 문서에 사용자 정보 및 PC 정보 화면을 워터마크로 설정하고, 상기 워터마크를 사번, 사용자 이름, IP(Internet Protocol) 주소 및 MAC(Media Access Control) 주소 중 적어도 하나 또는 적어도 하나의 조합을 포함하는 고유식별코드로 설정하며, 필터레이어(Filter-Layer) 화면 워터마킹을 이용하여 카메라 촬영을 방지하는 워터마크부;
를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 1 항에 있어서,
상기 플랫폼 서비스 제공 서버는,
상기 사용자 단말에서 사용자 인증을 수행하도록 하는 소프트웨어 인증 알고리즘을 수행하고, 상기 사용자 단말에서 생성되는 사용자 파일 행위 로그를 분석하여 이상행위 프로세스를 탐지하는 행위기반 방어 알고리즘을 수행하며, 실시간 암호화 백업으로 실시간 보안백업 알고리즘을 수행함으로써 EDR(Endpoint Detection and Response) 기반으로 다계층 랜섬웨어 방어를 수행하는 랜섬웨어방어부;
를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 6 항에 있어서,
상기 소프트웨어 인증 알고리즘은,
상기 사용자 단말에서 디지털 서명으로 소프트웨어 인증을 수행하면, 지능형 화이트리스트(White-List) 및 블랙리스트(Black-List)의 소프트웨어 인증을 거쳐 랜섬웨어 공격루트를 차단하고, 인증이 되지 않은 소프트웨어를 탐지, 분석, 차단 및 로그를 관리하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 6 항에 있어서,
상기 행위기반 방어 알고리즘은,
상기 사용자 단말에서 발생하는 이상행위 프로세스를 탐지하고, 행위 기반 분석, 차단 및 확산방지 프로세스를 실행하며, 파일 암호화시 실시간 백업 및 자동복구를 수행하고, 이상행위 프로세스의 탐지, 분석, 차단 및 로그를 관리하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 6 항에 있어서,
상기 실시간 보안백업 알고리즘은,
상기 사용자 단말에서 생성된 문서의 정합성을 증명하여 실시간 암호화 백업을 수행할 때, 랜섬웨어의 감염여부를 확인하고 감염파일을 백업에서 제외시키고, 랜섬웨어가 감염된 경우 즉시 복원을 수행하여 업무 연속성을 확보하도록 하며, 백업 현황 및 복구 로그를 관리하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.
제 1 항에 있어서,
상기 플랫폼 서비스 제공 서버는,
상기 사용자 단말의 사용자가 재택근무 또는 원격근무를 수행하는 경우, 파일저장통제 보안, 화면 및 원격접속 보안, 악성코드 방어를 수행하여 보안 프로세스를 실행하는 리모트(Remote)보안부;
를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템.