KR102590082B1 - 보안 규제 준수 자동화 장치 - Google Patents

보안 규제 준수 자동화 장치 Download PDF

Info

Publication number
KR102590082B1
KR102590082B1 KR1020220100533A KR20220100533A KR102590082B1 KR 102590082 B1 KR102590082 B1 KR 102590082B1 KR 1020220100533 A KR1020220100533 A KR 1020220100533A KR 20220100533 A KR20220100533 A KR 20220100533A KR 102590082 B1 KR102590082 B1 KR 102590082B1
Authority
KR
South Korea
Prior art keywords
unit
security
regulations
regulation
status
Prior art date
Application number
KR1020220100533A
Other languages
English (en)
Other versions
KR20220116411A (ko
Inventor
최인지
박민하
임용훈
주성호
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020220100533A priority Critical patent/KR102590082B1/ko
Publication of KR20220116411A publication Critical patent/KR20220116411A/ko
Application granted granted Critical
Publication of KR102590082B1 publication Critical patent/KR102590082B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0633Workflow analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Operations Research (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

보안 규제 준수 자동화 장치가 개시된다. 본 발명의 보안 규제 준수 자동화 장치는 복수 개의 규제와 규제의 기준값을 입력받는 규제 입력부; 규제 입력부로부터 입력된 규제를 비교하여 매핑 테이블을 생성하는 규제 매핑 테이블부; 규제 매핑 테이블부에 의해 그룹핑된 규제들을 레퍼런스 모델링하여 규제의 대표 기준점을 검출하는 레퍼런스 모델링부; 및 레퍼런스 모델링에 의해 검출된 대표 기준점에 토대로 보호대상장비의 규제 만족 여부를 판단하는 워크플로우 엔진부를 포함하는 것을 특징으로 한다.

Description

보안 규제 준수 자동화 장치{SECURITY COMPLIANCE AUTOMATION METHOD}
본 발명은 보안 규제 준수 자동화 장치에 관한 것으로서, 더욱 상세하게는 복수 보안 규제를 비교하여 대표 기준점을 검색하고 검색된 대표 기준점을 토대로 보호대상장비의 보안 규제 만족 여부를 판단하는 보안 규제 준수 자동화 장치에 관한 것이다.
전력산업은 정보통신기반시설 보호법에 의해 엄격하게 구분, 관리, 보호되어야 한다. 이를 보안 규제 준수(Security Compliance)라 부른다.
국민의 안전과 기본 생활을 위해 국가에서 지정된 기반시설을 보유한 기관에서는 보안 규제를 필히 준수해야 한다.
전력산업 및 기간산업에 대한 보안은 크게 관리적, 물리적, 기술적으로 세 가지 영역으로 구분된다. 즉, 해당 설비에 대한 보안 정책, 처치, 절차 등이 관리적, 물리적, 기술적으로 구현되어야 설비에 대한 보안 규제를 만족시킬 수 있다. 예를 들면, 인적관리, 협력업체관리 사항은 관리적 보안 영역으로 구분되고, 비밀번호, CCTV 감시 등은 물리적 보안 영역으로 구분되며, 시스템이나 네트워크 장비 등을 통한 전자적 보안 장치들은 기술적 보안 영역으로 구분될 수 있다.
기존에는 전력산업에 적용된 관리적, 물리적, 기술적 보안 기술의 종류가 다양하다. 그 결과, 종래에는 전력설비 보호를 목적으로 설치된 많은 보안 장비들에 대한 관리가 실질적으로 어려우며, 개별 관리가 비용, 인력, 시간적 측면에서 비효율적으로 이루어지는 문제점이 있었다.
또한, 기술적으로는 보안 장비 간 서로 다른 프로토콜 및 통신 기술을 사용하여 호환이 어렵고, 보안장비로 인해 기존 설비 운영에 영향을 미치는 문제점이 있다. 예를 들어, 주요기반시설인 SCADA(Supervisory Control And Data Acquisition) 시스템의 경우 기술적 보안에 해당하는 정보보안설비 구축 현황으로 침입방지 시스템, 통합위협관리 장치 등 하드웨어와 보안운영 체제, 바이러스 백신 등 소프트웨어가 수천 개에 이른다. 또한, 최근에는 물리보안 장비와 함께 IoT(Internet Of Things) 센서 등의 신규 장치가 추가되고 있어 이를 통합 관리할 시스템이 필요하다.
본 발명의 배경기술은 대한민국 공개특허공보 10-2018-0128120호(2018.12.03)의 '환경 안전 통합 관리 시스템 및 그 진단 평가 방법'에 개시되어 있다.
본 발명은 전술한 문제점을 개선하기 위해 창안된 것으로서, 본 발명의 일 측면에 따른 목적은 복수 개의 보안 규제를 비교하여 대표 기준점을 검색하고 검색된 대표 기준점을 토대로 보호대상장비의 보안 규제 만족 여부를 판단하는 보안 규제 준수 자동화 장치를 제공하는 데 있다.
본 발명의 일 측면에 따른 보안 규제 준수 자동화 장치는 복수 개의 규제와 상기 규제의 기준값을 입력받는 규제 입력부; 상기 규제 입력부로부터 입력된 상기 규제를 비교하여 매핑 테이블을 생성하는 규제 매핑 테이블부; 상기 규제 매핑 테이블부에 의해 그룹핑된 상기 규제들을 레퍼런스 모델링하여 상기 규제의 대표 기준점을 검출하는 레퍼런스 모델링부; 및 상기 레퍼런스 모델링에 의해 검출된 상기 대표 기준점에 토대로 보호대상장비의 규제 만족 여부를 판단하는 워크플로우 엔진부를 포함하고, 상기 워크플로우 엔진부는 보호대상 장비의 자산을 식별하고, 보호 대상 장비의 자산이 식별되면 보호대상 장비의 위험도를 평가한 위험도 지표를 검출하는 자산관리 및 위험도 평가부; 보안 시스템 입력부를 통해 보안대상장비의 데이터를 수신하는 보안관리 데이터 연계부; 상기 보안관리 데이터 연계부와 연계하여 상기 보안관리 데이터 연계부로부터 입력된 데이터의 취약점을 위험도 평가를 거친 기준값을 토대로 점검 및 조치하여 상태 레이팅(rating) 정보를 출력하는 모니터링부; 및 상기 모니터링부로부터 출력된 상기 상태 레이팅 정보를 이용하여 규정에 따라 보호대상장비의 보안 관리 상태를 추적하는 상태 추적부를 포함하며, 상기 모니터링부는 상기 보안관리 데이터 연계부로부터 전달받은 점검 명령어에서 보안데이터를 검출하고 상기 보안 데이터와 상기 대표 기준점을 매칭하여 상기 보안 데이터와 상기 대표 기준점이 상이하면 상기 보안관리 데이터 연계부로 점검 조치를 피드백하며, 상기 워크플로우 엔진부는 상기 자산식별 및 위험도 평가부, 상기 보안관리 데이터 연계부, 상기 모니터링, 상기 상태 추적부 각각의 동작 상황을 도식화하고, 컴플라이언스와 자산 현황에 대한 통계 및 레포팅 기능을 수행하는 출력부를 더 포함하는 것을 특징으로 한다.
본 발명의 일 측면에 따른 보안 규제 준수 자동화 장치는 복수 개의 보안 규제를 비교하여 대표 기준점을 검색하고 검색된 대표 기준점을 토대로 보호대상장비의 보안 규제 만족 여부를 판단할 수 있다.
본 발명의 다른 측면에 따른 보안 규제 준수 자동화 장치는 레퍼런스 모델링을 통해 모호한 법규에 대한 명확한 기준 및 대표 기준점을 제공하고, 보안 규제(Standard)와 기준(Criteria)으로 구성된 규제 세트를 확장하여 법규와 규제 간의 일대일 매핑을 통해 보안 컴플라이언스의 개념을 기술적으로 구현 가능하도록 한다.
도 1 은 본 발명의 일 실시예에 따른 보안 구제 준수 자동화 장치의 블럭 구성도이다.
도 2 는 본 발명의 일 실시예에 따른 규제 세트를 나타낸 도면이다.
도 3 은 본 발명의 일 실시예에 따른 규제 매핑부의 블럭 구성도이다.
도 4 는 본 발명의 일 실시예에 따른 규제 매핑 테이블을 나타낸 도면이다.
도 5 는 본 발명의 일 실시예에 따른 레퍼런스 모델링부의 블럭 구성도이다.
도 6 은 본 발명의 일 실시예에 따른 워크플로우 엔진부의 블럭 구성도이다.
도 7 은 본 발명의 일 실시예에 따른 보안관리 데이터 연계부의 동작 과정을 나타낸 도면이다.
도 8 은 본 발명의 일 실시예에 따른 보안관리 데이터 연계부의 동작 예를 나타낸 도면이다.
도 9 는 본 발명의 일 실시예에 따른 모니터링부의 동작 과정을 나타낸 도면이다.
도 10 은 본 발명의 일 실시예에 따른 모니터링부의 동작 예를 나타낸 도면이다.
도 11 은 본 발명의 일 실시예에 따른 상태 추적부의 동작 과정을 나타낸 도면이다.
도 12 는 본 발명의 일 실시예에 따른 상태 추적부의 동작 예를 나타낸 도면이다.
도 13 은 본 발명의 일 실시예에 따른 출력부의 동작 예를 나타낸 도면이다.
도 14 는 본 발명의 일 실시예에 따른 관리적 분야의 예를 나타낸 도면이다.
도 15 는 본 발명의 일 실시예에 따른 물리적 분야의 예를 나타낸 도면이다.
도 16 은 본 발명의 일 실시예에 따른 기술적 분야의 예를 나타낸 도면이다.
도 17 은 본 발명의 일 실시예에 따른 NERC-CIP-007 R.5를 나타낸 도면이다.
도 18 은 본 발명의 일 실시예에 따른 북미 규제(예, NERC-CIP 007 R.5)를 KISA에서 제공해주는 기준(W-01)을 기준으로 매핑함으로 해당 시스템이 지켜야할 법규를 시스템적으로 레퍼런스 모델링하는 예를 나타낸 도면이다.
도 19 는 본 발명의 일 실시예에 따른 규제 내용을 룰을 대표 기준점에 대응하는 예를 나타낸 도면이다.
이하에서는 본 발명의 일 실시예에 따른 보안 규제 준수 자동화 장치 및 방법을 첨부된 도면들을 참조하여 상세하게 설명한다. 이러한 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. 또한 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 이용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1 은 본 발명의 일 실시예에 따른 보안 규제 준수 자동화 장치의 블럭 구성도이고, 도 2 는 본 발명의 일 실시예에 따른 규제 세트를 나타낸 도면이며, 도 3 은 본 발명의 일 실시예에 따른 규제 매핑부의 블럭 구성도이며, 도 4 는 본 발명의 일 실시예에 따른 규제 매핑 테이블을 나타낸 도면이며, 도 5 는 본 발명의 일 실시예에 따른 레퍼런스 모델링부의 블럭 구성도이며, 도 6 은 본 발명의 일 실시예에 따른 워크플로우 엔진부의 블럭 구성도이며, 도 7 은 본 발명의 일 실시예에 따른 보안관리 데이터 연계부의 동작 과정을 나타낸 도면이며, 도 8 은 본 발명의 일 실시예에 따른 보안관리 데이터 연계부의 동작 예를 나타낸 도면이며, 도 9 는 본 발명의 일 실시예에 따른 모니터링부의 동작 과정을 나타낸 도면이며, 도 10 은 본 발명의 일 실시예에 따른 모니터링부의 동작 예를 나타낸 도면이며, 도 11 은 본 발명의 일 실시예에 따른 상태 추적부의 동작 과정을 나타낸 도면이며, 도 12 는 본 발명의 일 실시예에 따른 상태 추적부의 동작 예를 나타낸 도면이며, 도 13 은 본 발명의 일 실시예에 따른 대쉬보드 동작 예를 나타낸 도면이다.
도 1 을 참조하면, 본 발명의 일 실시예에 따른 보안 규제 준수 자동화 장치는 규제 입력부(10), 규제 매핑부(20), 레퍼런스 모델링부(30), 및 워크플로우 엔진부(40)를 포함한다.
규제 입력부(10)는 개별 규제와 개별 규제 각각의 기준값을 입력받는다.
일반적으로 규제에는 국내법, 국외법, IEC와 같은 국제 표준, 업체간 표준(DE FACTO) 등이 있을 수 있다. 국내법에도 상위법과 지침, 가이드와 같은 하위법이 있으며, 상위법과 지침, 가이드와 같은 하위법에 의해, 규제의 종류와 기준값이 달라질 수 있다.
도 2 를 참조하면, 규제 입력부(10)는 규제와 각 규제별 준수 여부를 판가름하는 기준값을 입력받는다. 이하 각 보안 규제와 이들에 대한 기준값을 규제 세트라 한다.
규제 매핑부(20)는 규제 입력부(10)로부터 입력된 복수 개의 규제를 비교하여 매핑 테이블을 생성한다. 규제 매핑부(20)는 규제 비교부(21) 및 매핑 테이블부(22)를 포함한다.
서로 다른 규제는 서로 다른 지역, 기관, 국가 등의 규제이며, 규제가 서로 다른 것이라면 특별히 한정되는 것은 아니다.
규제 비교부(21)는 규제 입력부(10)로부터 입력된 복수 개, 예를 들어 2개의 규제를 비교하여 유사도에 따라 그룹핑한다.
그룹핑은 물리적(Physical) 그룹, 기술적(Technical) 그룹, 관리적(Administrative) 그룹으로 구분될 수 있다.
규제를 물리적 그룹, 기술적 그룹, 관리적 그룹으로 구분하는 이유는 대부분의 보안적 요구 사항이 세 가지 범주(물리적, 기술적, 관리적) 내에 해당되기 때문이다. 그러나, 그룹핑 방식은 상기한 실시예에 한정되는 규제의 특성이나 범주 등에 따라 다양하게 구분될 수 있다.
매핑 테이블부(22)는 각 그룹핑된 규제 각각의 대표되는 규제를 룰(Rule) 항목에 정의하고, 각 룰별로 입력된 모든 규제의 항목과 기준값을 매핑한다. 여기서, 룰은 각 그룹핑된 규제 각각의 대표되는 규제보다 더욱 상세하고 실행적인 규칙이다.
*도 4 를 참조하면, 매핑 테이블의 Row에는 세 가지 범주의 룰이 입력되고, column에는 규제별 기준값을 입력될 수 있으며, 이들 column은 한 세트가 정의된 후 확장될 수 있다. 즉, 규제 입력부(10)의 규제 세트는 칼럼으로 확장 가능하다.
레퍼런스 모델링부(30)는 상기한 바와 같이 그룹핑된 각 규제들을 레퍼런스 모델링하여 규제의 대표 기준점(Criteria of Criteria)을 검출한다. 레퍼런스 모델링부(30)는 레퍼런스 정보 모델링부(31) 및 스케쥴러(32)를 포함한다.
통상적으로, 입력된 모든 규제들은 각자 정해진 기준점이 있다. 이에, 레퍼런스 정보 모델링부(31)는 대표되는 기준점, 즉 대표 기준점(Criteria of Criteria)을 찾기 위해 레퍼런스 모델링을 한다.
도 5 를 참조하면, 레퍼런스 정보 모델링부(31)는 레퍼런스 모델링을 하기 위해서, 우선 상위 법규보다 상세하고 실행적인 규칙(Rule)으로 정해진 대표 기준점을 검출한다.
예를 들면, 규칙에는 한국의 인터넷 진흥원(KISA)의 보안 취약점 가이드나 정보보호인증제도(ISMS), 미국 표준 기술 협회(NIST)에서 제공하는 규칙 등이 있다.
레퍼런스 정보 모델링부(31)는 이들 규칙으로부터 데이터 모델링을 위한 오브젝트(Object)를 제공받고, 해당 입력된 규제 세트가 규칙에 부합하는지 확인하는 룰 매칭 과정(Rule matched)을 거친다.
실행 규칙을 제공하는 기준은 환경 변화에 의해 주기적이든 비주기적이든 업데이트될 수 있다.
이에, 스케쥴러(32)는 실행 규칙을 제공하는 기준을 반영하여 실행 규칙을 제공하는 기준을 업데이트한다.
워크플로우 엔진부(40)는 레퍼런스 모델링부(31)에 의해 모델링된 대표 기준점을 토대로 보호대상장비의 규제 만족 여부를 판단한다.
워크플로우 엔진부(40)는 보호대상장비가 보안 규제에 적합한지 여부를 판단하기 위한 것으로서, 도 6 에 도시된 바와 같이 자산관리 및 위험도 평가부(41), 보안관리 데이터 연계부(42), 자산 식별 및 위험도 평가부(41), 모니터링부(43), 상태 추적부(44) 및 출력부(45)를 포함한다.
보안관리 데이터 입력부(42)는 보안시스템 연계부와 인터페이싱을 수행하여 보호대상장비(전력설비, 예를 들어 SCADA)의 보안시스템으로부터 데이터를 받는다. 이는 규제 매핑부(20)의 기술적, 관리적, 물리적 보안 구분과 일맥 상통할 수 있다. 즉, 기반시설을 보호하는 보안 시스템은 크게 세 종류의 인터페이스(IF 1, 2, 3)로 워크플로우 엔진부(40)와 연계될 수 있다.
한편, 보호대상인 기반시설을 관리하기 위한 별도의 자산관리 시스템이 존재하는데, 이러한 자산관리 시스템도 보안관리 데이터 연계부(42)와 연계된다.
즉, 자산관리 및 위험도 평가부(41)는 보안 시스템 데이터 연계를 기반으로 보호대상장비의 자산을 식별하고, 보호대상장비의 자산이 식별되면 보호대상장비의 위험도를 평가한다.
위험도 평가에 있어서, 자산관리 및 위험도 평가부(41)는 보호대상장비의 중요도, 취약도, 위협도로 구성된 인자를 곱하여 위험도를 계산하여 위험도 지표로 나타낸다.
위험도는 모니터링부(43)와 상태 추적부(44)로 제공되어 보호대상장비의 보호 조치 수준과 우선 순위를 결정하는 데 활용될 수 있다. 이하 좀 더 상세하게 설명한다.
보안관리 데이터 연계부(42)는 기술적, 관리적, 물리적 보안 시스템과 인터페이싱을 수행하여 보안대상장비로부터 모든 종류의 데이터를 수신받을 수 있다.
도 7 및 도 8 을 참조하면, 데이터 연계방안은 크게 두 가지로 Agentless 방식, agent 방식으로 구분된다.
Agentless 방식은 SNMP 프로토콜이나 시스템 로그파일인 Syslog 등을 수신하는 방법이다. Agentless 방식은 보안시스템으로부터 해당 표준 프로토콜로 통신 가능한 장비의 경우에만 가능하다. Agentless 방식의 경우, 내부의 프로토콜 처리기가 SNMP 프로토콜이나 시스템 로그파일인 Syslog를 분석하여 보안이벤트에 대한 메시지를 내부의 Agent 프로세서에 전달한다.
Agent 방식은 자체 제작한 프로토콜에 의한 방법으로서 보호대상장비 내에 Agent(S/W)를 설치하여 직접 데이터를 수집한다. 수집한 데이터는 모니터링부(43)에 제공되어 취약점이 점검된다. 한편, 모니터링부(43)로부터 전달된 조치 명령은 규제 만족(컴플라이언스)을 위해 보안 조치를 시행하기 위해 Agent 프로세서에 입력된다.
Agent 프로세서는 보호대상 장비에 설치된 agent로부터 직접 통신하여 보안관리 메시지를 수신하는 에이전트 매니저(agent manager), 및 표준 통신 프로토콜(SNMP, Syslog) 분석기로부터 보안 이벤트 메시지를 수신하는 이벤트 매니저(Event manager)를 구비한다. 이벤트 매니저는 모니터링부(43)에 점검 명령을 내리고 조치명령을 받는다.
도 9 및 도 10 을 참조하면, 모니터링부(43)는 보안관리 데이터 연계부(42)와 연계하여 데이터의 취약점을 점검하고 조치한다. 이를 위해 모니터링부(43)는 보안관리 데이터 연계부(42)와 점검 명령어 및 조치 명령어를 송수신한다. 여기서, 조치 명령의 근거는 자산식별 후 위험도 평가를 거친 기준값들이다.
이를 위해, 모니터링부(43)는 보안관리 데이터 연계부(42)로부터 전달받은 점검 명령어에서 보안데이터를 검출하고 검출된 보안 데이터와 레퍼런스 모델링부(30)의 대표 기준점을 매칭한다.
이 경우, 모니터링부(43)는 보안 데이터와 레퍼런스 모델링부(30)의 대표 기준점이 상이하면 보안관리 데이터 연계부(42)로 점검 조치를 피드백한다. 점검 조치란 해당 룰과 보안 데이터가 일치하지 않을 경우 해당 룰대로 자산(보호대상)의 상태를 변화시켜주는 것을 의미한다. 예를 들어 'rule : 불필요 계정 발견'의 경우, '조치 : 불필요한 계정 삭제' 명령어를 생성하여 보낸다.
이후, 모니터링부(43)는 해당 자산정보, 자산 식별 및 위험도 평가부(41)에 의해 검출된 위험도평가 점수와 컴플라이언스 점수를 종합하여 상태 추적부(44)로 상태 레이팅(rating) 정보를 출력한다.
상태 추적부(44)는 규정에 따라 해당 보호대상장비의 보안 관리 상태를 추적한다.
상태 추적부(44)는 보안관리 데이터 연계부(42)와 모니터링부(43)를 거쳐 점검, 조치 완료, 미완료된 보호대상장비의 상태 레이팅 정보를 활용한다.
상태 추적부(44)는 관리하고 있는 모든 자산들의 상태 레이팅 정보를 종합하여 컴플라이언스 스코어링(Compliance Scoring)을 분류한다.
컴플라이언스 스코어링 계산식은 다음과 같다.
Compliance Score = {∑Asseti×Riski×(number of rule matched/number of total requirements)}/number of total assets
여기서, Asseti는 자산정보이고, Riski는 위험도평가 점수이다.
출력부(45)는 도 13 에 도시된 바와 같이 워크플로우 엔진부(40)의 자산식별 및 위험도 평가부(41), 보안관리 데이터 연계부(42), 모니터링부(43), 상태 추적부(44) 각각의 동작 상황을 도식화하고, 컴플라이언스와 자산 현황에 대한 통계 및 레포팅 기능을 수행한다.
도 14 는 본 발명의 일 실시예에 따른 관리적 분야의 예를 나타낸 도면이고, 도 15 는 본 발명의 일 실시예에 따른 물리적 분야의 예를 나타낸 도면이며, 도 16 은 본 발명의 일 실시예에 따른 기술적 분야의 예를 나타낸 도면이며, 도 17 은 본 발명의 일 실시예에 따른 NERC-CIP-007 R.5를 나타낸 도면이며, 도 18 은 본 발명의 일 실시예에 따른 북미 규제(예, NERC-CIP 007 R.5)를 KISA에서 제공해주는 기준(W-01)을 기준으로 매핑함으로 해당 시스템이 지켜야할 법규를 시스템적으로 레퍼런스 모델링하는 예를 나타낸 도면이며, 도 19 는 본 발명의 일 실시예에 따른 규제 내용을 룰을 대표 기준값에 대응하는 예를 나타낸 도면이다.
규제 매핑 및 레퍼런스 모델링의 실시 예를 들면, KISA(한국인터넷진흥회)에서는 취약점 분석, 평가를 위한 항목으로서 관리적 분야, 물리적 분야, 기술적 분야로 나누어 도 14 내지 도 16 에 도시된 테이블과 같이 제시될 수 있다.
아울러, 도 17 에 도시된 북미의 대표적인 규격인 NERC-CIP-007 R.5에서는, 'Change known default passwords의 경우 구체적인 기준은 제시하지 못하고 있다.
이런 경우 대표 모델링하기 위해서 레퍼런스가 되는 관리 기관(KISA)에서 제공해주는 취약점 점검 항목을 코드화(Administrative_01, Physical_01, Technical_01, ...)하여 레퍼런스 모델링을 한다.
좀 더 상세한 설명으로는 도 18 에 도시된 테이블은 북미 규제(예, NERC-CIP 007 R.5)를 KISA에서 제공해주는 기준(W-01)을 기준으로 매핑함으로 해당 시스템이 지켜야할 법규를 시스템적으로 레퍼런스 모델링한 결과이다.
W-01에 의하면 시스템 관리자는 계정명을 Administrative에서 다른 것으로 바꾸도록 유도하고 있다.
NERC-CIP의 경우 추상적이지만, 대표 기준점(Criteria of Criteria)은 ‘≠Administrative’ 라는 명확한 기준을 제시하고 있다.
한편, 룰의 상세 예로는 상기한 KISA 테이블에서 점검 항목에 대응하는 내용을 코드화하는 것이다.
대부분의 IT 작업자들이 선호하는 계정명인 ‘Adminstrator'를 보안 측면에서 제거하도록 규제를 하고 있다. 이와 같이 다소 추상적인 규제내용을 매핑 테이블에서는 Rule (Account.change)로 코드화한다.
해당 Rule은 도 19 에 도시된 바와 같이 여러 규제를 비교하여 대표 기준값(C of C)에 1:1로 대응된다.
이와 같은 레퍼런스 모델링은 모호한 법규에 대한 명확한 기준을 제공해줄 수 있다는 점과 규제와 기준으로 구성된 규제 세트를 확장함으로써, 법규, 규제 간의 1:1 매핑을 통해 보안 컴플라이언스의 개념이 기술적으로 구현 가능하다는 점이다.
이와 같이, 본 발명의 일 실시예에 따른 보안 규제 준수 자동화 장치 및 방법은 2개의 보안 규제를 비교하여 대표 기준점을 검색하고 검색된 대표 기준점을 토대로 보호대상장비의 보안 규제 만족 여부를 판단할 수 있다.
또한, 본 발명의 일 실시예에 따른 보안 규제 준수 자동화 장치 및 방법은 레퍼런스 모델링을 통해 모호한 법규에 대한 명확한 기준 및 대표 기준점을 제공하고, 보안 규제(Standard)와 기준(Criteria)으로 구성된 규제 세트를 확장하여 법규와 규제 간의 일대일 매핑을 통해 보안 컴플라이언스의 개념을 기술적으로 구현 가능하도록 한다.
본 명세서에서 설명된 구현은, 예컨대, 방법 또는 프로세스, 장치, 소프트웨어 프로그램, 데이터 스트림 또는 신호로 구현될 수 있다. 단일 형태의 구현의 맥락에서만 논의(예컨대, 방법으로서만 논의)되었더라도, 논의된 특징의 구현은 또한 다른 형태(예컨대, 장치 또는 프로그램)로도 구현될 수 있다. 장치는 적절한 하드웨어, 소프트웨어 및 펌웨어 등으로 구현될 수 있다. 방법은, 예컨대, 컴퓨터, 마이크로프로세서, 집적 회로 또는 프로그래밍가능한 로직 디바이스 등을 포함하는 프로세싱 디바이스를 일반적으로 지칭하는 프로세서 등과 같은 장치에서 구현될 수 있다. 프로세서는 또한 최종-사용자 사이에 정보의 통신을 용이하게 하는 컴퓨터, 셀 폰, 휴대용/개인용 정보 단말기(personal digital assistant: "PDA") 및 다른 디바이스 등과 같은 통신 디바이스를 포함한다.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며 당해 기술이 속하는 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의하여 정해져야할 것이다.
10: 규제 입력부 20: 규제 매핑부
21: 규제 비교부 22: 매핑 테이블부
30: 레퍼런스 모델링부 31: 레퍼런스 정보 모델링부
32: 스케쥴러 40: 워크플로우 엔진부
41: 자산 식별 및 위험도 평가부
42: 보안관리 데이터 연계부 43: 모니터링부
44: 상태 추적부 45: 출력부

Claims (1)

  1. 복수 개의 규제와 상기 규제의 기준값을 입력받는 규제 입력부;
    상기 규제 입력부로부터 입력된 상기 규제를 비교하여 매핑 테이블을 생성하는 규제 매핑 테이블부;
    상기 규제 매핑 테이블부에 의해 그룹핑된 상기 규제들을 레퍼런스 모델링하여 상기 규제의 대표 기준점을 검출하는 레퍼런스 모델링부; 및
    상기 레퍼런스 모델링에 의해 검출된 상기 대표 기준점에 토대로 보호대상장비의 규제 만족 여부를 판단하는 워크플로우 엔진부를 포함하고,
    상기 워크플로우 엔진부는 보호대상 장비의 자산을 식별하고, 보호 대상 장비의 자산이 식별되면 보호대상 장비의 위험도를 평가한 위험도 지표를 검출하는 자산관리 및 위험도 평가부; 보안 시스템 입력부를 통해 보안대상장비의 데이터를 수신하는 보안관리 데이터 연계부; 상기 보안관리 데이터 연계부와 연계하여 상기 보안관리 데이터 연계부로부터 입력된 데이터의 취약점을 위험도 평가를 거친 기준값을 토대로 점검 및 조치하여 상태 레이팅(rating) 정보를 출력하는 모니터링부; 및 상기 모니터링부로부터 출력된 상기 상태 레이팅 정보를 이용하여 규정에 따라 보호대상장비의 보안 관리 상태를 추적하는 상태 추적부를 포함하며,
    상기 모니터링부는 상기 보안관리 데이터 연계부로부터 전달받은 점검 명령어에서 보안데이터를 검출하고 상기 보안 데이터와 상기 대표 기준점을 매칭하여 상기 보안 데이터와 상기 대표 기준점이 상이하면 상기 보안관리 데이터 연계부로 점검 조치를 피드백하며,
    상기 워크플로우 엔진부는 상기 자산관리 및 위험도 평가부, 상기 보안관리 데이터 연계부, 상기 모니터링부, 상기 상태 추적부 각각의 동작 상황을 도식화하고, 컴플라이언스와 자산 현황에 대한 통계 및 레포팅 기능을 수행하는 출력부를 더 포함하는 것을 특징으로 하는 보안 규제 준수 자동화 장치.
KR1020220100533A 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치 KR102590082B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220100533A KR102590082B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200158066A KR102433233B1 (ko) 2020-11-23 2020-11-23 보안 규제 준수 자동화 장치
KR1020220100533A KR102590082B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020200158066A Division KR102433233B1 (ko) 2020-11-23 2020-11-23 보안 규제 준수 자동화 장치

Publications (2)

Publication Number Publication Date
KR20220116411A KR20220116411A (ko) 2022-08-23
KR102590082B1 true KR102590082B1 (ko) 2023-10-19

Family

ID=81786317

Family Applications (8)

Application Number Title Priority Date Filing Date
KR1020200158066A KR102433233B1 (ko) 2020-11-23 2020-11-23 보안 규제 준수 자동화 장치
KR1020220100528A KR102578290B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100529A KR102578291B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100533A KR102590082B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100531A KR102594207B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100530A KR102590081B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100527A KR102578289B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100532A KR102594208B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치

Family Applications Before (3)

Application Number Title Priority Date Filing Date
KR1020200158066A KR102433233B1 (ko) 2020-11-23 2020-11-23 보안 규제 준수 자동화 장치
KR1020220100528A KR102578290B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100529A KR102578291B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치

Family Applications After (4)

Application Number Title Priority Date Filing Date
KR1020220100531A KR102594207B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100530A KR102590081B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100527A KR102578289B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치
KR1020220100532A KR102594208B1 (ko) 2020-11-23 2022-08-11 보안 규제 준수 자동화 장치

Country Status (1)

Country Link
KR (8) KR102433233B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230177435A1 (en) * 2021-12-03 2023-06-08 International Business Machines Corporation Modularized governance of continuous compliance

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100891345B1 (ko) * 2008-10-27 2009-03-31 주식회사 이글루시큐리티 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법
KR20180128120A (ko) * 2017-05-22 2018-12-03 주식회사 에코앤파트너스 환경 안전 통합 관리 시스템 및 그 진단 평가 방법
KR102213465B1 (ko) * 2018-09-28 2021-02-09 주식회사 엘지씨엔에스 통합보안업무관리장치 및 통합보안업무관리방법

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
'에머슨, 제어시스템 사용자를 위해 전력산업 중심 사이버보안 서비스 확대', 한국에머슨, 2015.05.18.
이경복 외 4인, '스마트 그리드에서의 소비자 참여와 보안 이슈', 정보보호학회지 제19권제4호, 2009.08.
'이글루시큐리티, 자산 위협 관리·보안 진단 자동화 솔루션 ‘스마트가드 3.1’ 버전 출시', ITWORLD, 2021.02.02.

Also Published As

Publication number Publication date
KR102578290B1 (ko) 2023-09-15
KR102433233B1 (ko) 2022-08-18
KR20220117866A (ko) 2022-08-24
KR102590081B1 (ko) 2023-10-19
KR20220116410A (ko) 2022-08-23
KR20220117187A (ko) 2022-08-23
KR20220117865A (ko) 2022-08-24
KR102594208B1 (ko) 2023-10-30
KR20220117189A (ko) 2022-08-23
KR20220070958A (ko) 2022-05-31
KR20220116411A (ko) 2022-08-23
KR102594207B1 (ko) 2023-10-30
KR20220117188A (ko) 2022-08-23
KR102578289B1 (ko) 2023-09-15
KR102578291B1 (ko) 2023-09-15

Similar Documents

Publication Publication Date Title
US20210288995A1 (en) Operational Network Risk Mitigation System And Method
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US11036867B2 (en) Advanced rule analyzer to identify similarities in security rules, deduplicate rules, and generate new rules
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US7530105B2 (en) Tactical and strategic attack detection and prediction
Xiao et al. From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild
CN113434866B (zh) 仪表功能安全和信息安全策略的统一风险量化评估方法
CN110598411A (zh) 敏感信息检测方法、装置、存储介质和计算机设备
CN109379373A (zh) 一种云安全评估系统及方法
WO2018088383A1 (ja) セキュリティルール評価装置およびセキュリティルール評価システム
KR102590082B1 (ko) 보안 규제 준수 자동화 장치
WO2021247913A1 (en) Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement
CN116112194A (zh) 用户行为分析方法、装置、电子设备及计算机存储介质
CN117478433B (zh) 一种网络与信息安全动态预警系统
Ghorbanian et al. Signature-based hybrid Intrusion detection system (HIDS) for android devices
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
AU2021105619A4 (en) A method for identification of duplicate security vulnerabilities using machine learning
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
Kai et al. Development of qualification of security status suitable for cloud computing system
CN113378159A (zh) 一种基于集中管控的威胁情报的评估方法
Kersten et al. 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center
Setiawan et al. Designing a Cybersecurity Risk Assessment Framework for Local Government Web-Based Applications
Kisarina et al. The Algorithm of Semantic Analysis in Disruptive Information Security Systems
CN115065547A (zh) 一种物联网终端风险评估的方法及装置

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right