KR102690043B1 - 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 - Google Patents
사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 Download PDFInfo
- Publication number
- KR102690043B1 KR102690043B1 KR1020230157863A KR20230157863A KR102690043B1 KR 102690043 B1 KR102690043 B1 KR 102690043B1 KR 1020230157863 A KR1020230157863 A KR 1020230157863A KR 20230157863 A KR20230157863 A KR 20230157863A KR 102690043 B1 KR102690043 B1 KR 102690043B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- access
- score
- user
- status information
- Prior art date
Links
- 238000006243 chemical reaction Methods 0.000 claims abstract description 9
- 230000002155 anti-virotic effect Effects 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 7
- 238000005728 strengthening Methods 0.000 claims 1
- 238000000034 method Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 230000002093 peripheral effect Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 208000025721 COVID-19 Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템에 관련된 것으로서, 구체적으로는 사내 자원 관리 서버에 접근이 허여된 사용자가, 사용자 소유의 개인 장비를 이용하여 사내 자원 관리 서버로 접근을 시도할 경우, 개인 장비에 대한 실시간 상태 정보를 수집하도록 하는 실시간 상태 정보 수집부; 수집된 개인 장비의 실시간 상태 정보를 사내 자원 관리 서버에 배포된 보안 정책에 따라 보안 점수로 환산하는 보안 점수 환산부; 및, 개인 장비에 대해 환산된 보안 점수가 사내 자원 관리 서버에 설정된 접근 기준 점수를 충족하는지 여부를 판단하여, 사용자가 개인 장비를 이용하여 사내 자원 서버로 접근하는 행위를 제어하는 접근 제어부;를 포함하는 것을 특징으로 한다.
Description
본 발명은 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템에 관련된 것으로서, 구체적으로는 기 등록된 사용자가 사용자 소유의 개인 장비를 이용하여 사내 자원 서버로 접근할 시, 사용자 소유의 개인 장비에 대한 접속 환경 및 보안 상태를 보안 점수로 환산하고, 환산된 보안 점수에 따라 사내 자원 서버로의 접근을 허여할지 여부를 제어하도록 하는 기술과 관련된 것이다.
최근 코로나 19에 의한 팬데믹 등으로 인해 보다 유연한 근무 체계를 형성하기 위한 목적으로 기업체들의 원격 근무에 대한 수요가 증가하면서 근무 환경의 변화가 발생하고 있다.
일반적으로 원격 근무 시, VPN(Virtual Private Networks)을 통해 기업의 사내 망에 접속하게 되는데, VPN 이용률이 증가하면서 관련된 침해 사고 발생률이 증가하고 있는 것으로 나타났으며, 이러한 침해 사고 발생률의 증가는 기업체의 내부 네트워크를 통해서만 접근 가능했던 사내 자원을, 외부 네트웍을 통해 개인이 개인 단말로 접근하는 행위가 증가함에 따라 보안 위협에 노출되기 쉬운 환경이 조성되었기 때문으로 분석되고 있다.
한편 이러한 문제를 해결하고자 한국 등록특허 제10-1579486호에서는 스마트 기기 사용자가 원격지에서 외부 네트워크를 이용하여 애플리케이션을 검증할 수 있도록 하는 기술이 개시되어 있으나, 상술한 선행기술의 경우 단순히 스마트 기기에 설치된 원격 기능을 제공하는 애플리케이션에 대한 검증을 수행하는 기술이 개시되는 것에 불과하여, 실질적으로 사용자가 이용하는 개인 장비에 대한 보안성을 수치적으로 보안 점수화하고, 이렇게 얻어진 보안 점수로 하여금 외부 네트워크를 이용하는 사용자의 사내 망 접근을 제어하는 기술은 개시되어 있지 않기 때문에 이에 대한 기술의 필요성이 대두되고 있다.
이에 본 발명은 기 등록된 사용자가 사용자 소유의 개인 장비를 이용하여 사내 자원 서버로 접근할 시, 사용자 소유의 개인 장비에 대한 접속 환경 정보 및 보안 상태 정보를 토대로 보안 점수를 환산하고 환산된 보안 점수를 이용하여 사내 자원 서버로의 접근 제어를 수행하도록 하는 것에 제1 목적이 있다.
또한 본 발명은 외부 네트워크를 이용하여 사용자가 사내 자원 서버로 접근하더라도, 사내 자원 관리 서버의 보안성을 일정 수준으로 유지할 수 있게 함으로써, 원격지에서의 재택 근무가 활성화되도록 하는 것에 제2 목적이 있다.
상술한 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템은, 사내 자원 관리 서버에 접근이 허여된 사용자가, 사용자 소유의 개인 장비를 이용하여 사내 자원 관리 서버로 접근을 시도할 경우, 개인 장비에 대한 실시간 상태 정보를 수집하도록 하는 실시간 상태 정보 수집부; 수집된 개인 장비의 실시간 상태 정보를 사내 자원 관리 서버에 배포된 보안 정책에 따라 보안 점수로 환산하는 보안 점수 환산부; 및, 개인 장비에 대해 환산된 보안 점수가 사내 자원 관리 서버에 설정된 접근 기준 점수를 충족하는지 여부를 판단하여, 사용자가 개인 장비를 이용하여 사내 자원 서버로 접근하는 행위를 제어하는 접근 제어부;를 포함하는 것을 특징으로 한다.
이때 실시간 상태 정보 수집부는, 개인 장비에 대한 상태 정보로서 접속 환경 상태 정보 및, 보안 상태 정보를 수집하되, 접속 환경 상태 정보는, 개인 장비의 접근 위치 정보 및 접근 시도 시간 정보 중 적어도 어느 하나의 정보를 포함하고, 보안 상태 정보는, 개인 장비의 패치 정보, 백신 프로그램 설치 및 가동 정보, 실시간 멜웨어 감지 유무에 대한 정보 및, 로그인 암호 안전성에 대한 정보 중 적어도 어느 하나의 정보를 포함하는 것이 바람직하다.
또한 사내 자원 관리 서버에서 관리되는 자원들은 중요도에 따른 보안 등급이 설정되고, 자원의 속성에 따라 하나 이상의 그룹으로 분류되며, 보안 정책은, 일 그룹에 포함된 자원들의 보안 등급 평균 및, 보안 등급 편차를 계산하여, 각 그룹마다의 접근 기준 점수를 설정하되, 임계 기준보다 보안 등급 평균이 높을수록, 보안 등급의 편차가 작을수록 그룹에 설정되는 접근 기준 점수를 상향 설정하는 것이 바람직하다.
또한 상술한 보안 정책은, 실시간 상태 정보의 세부 수집 항목마다 배점과 반영 비율을 설정하고, 보안 점수 환산부는, 개인 장비에서 수집되는 실시간 상태 정보에 배점을 기준으로 하는 제1 보안 점수를 계산하고, 계산된 제1 보안 점수에 반영 비율을 적용하여 제1 보안 점수를 제2 보안 점수로 환산하도록 하는 것이 바람직하다.
또한 상술한 보안 정책은, 개인 장비가 사내 자원 관리 서버로 접근을 시도한 시점을 기준으로 과거 임계 기간 동안 보안 이슈의 존재 이력을 확인하고, 보안 이슈의 존재 이력이 확인될 시, 실시간 상태 정보의 세부 수집 항목들 중, 주요 수집 항목에 설정된 반영 비율은 상향 조정하고 주요 수집 항목에 미포함되는 나머지 수집 항목에 대한 반영 비율은 하향 조정하여, 사내 자원 관리 서버에서 관리되는 자원들의 보안성을 강화하는 것이 바람직하다.
또한 상술한 보안 정책은, 권한이 부여된 보안 관리자 계정에서, 개인 장비에서 수집할 실시간 상태 정보의 세부 수집 항목에 대한 추가, 변경 및, 삭제가 가능하고, 세부 수집 항목에 대한 기본 배점과 기본 반영 비율이 재설정될 수 있는 것이 바람직하다.
또한 상술한 접근 제어부는, 개인 장비에 대해 환산된 보안 점수가 접근 기준 점수 이상일 경우, 개인 장비가 사내 자원 서버로 접근하는 행위를 허여하고, 개인 장비에 대해 환산된 보안 점수가 접근 기준 점수 미만일 경우, 개인 장비가 사내 자원 서버로 접근하는 행위를 불허하는 것이 바람직하다.
본 발명의 일 실시 예에 따르면, 본 발명에서는 기 등록된 사용자가 사용자 소유의 개인 장비를 이용하여 사내 자원 서버로 접근할 시, 사용자 소유의 개인 장비에 대한 접속 환경 및 보안 상태를 보안 점수로 환산하고, 환산된 보안 점수에 따라 사내 자원 서버로의 접근을 허여할지 여부를 제어하도록 함으로써, 무분별한 사내 자원 서버의 접근을 방지할 수 있다.
또한 본 발명은 외부 네트워크를 이용하여 사용자가 사내 자원 서버로 접근하더라도, 사내 자원 관리 서버의 보안성을 일정 수준으로 유지할 수 있게 함으로써, 원격지에서의 재택 근무가 활성화되도록 하고, 재택 근무의 효율적 운영을 돕도록 하는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 사용자 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템의 구성도.
도 2 및 3은 본 발명의 일 실시 예에 따른 보안 점수 배점 및 보안 점수 반영 비율을 나타낸 예와 구체적인 실시 예.
도 4는 본 발명의 일 실시 예에 따라 자원이 속한 그룹에 대한 접근 제어 기준 점수가 가변적으로 설정되는 예.
도 5는 본 발명의 일 실시 예에 따라 보안성의 강화를 위하여 주요 세부 항목에 대한 점수 반영률이 조정되는 예.
도 6은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예.
도 2 및 3은 본 발명의 일 실시 예에 따른 보안 점수 배점 및 보안 점수 반영 비율을 나타낸 예와 구체적인 실시 예.
도 4는 본 발명의 일 실시 예에 따라 자원이 속한 그룹에 대한 접근 제어 기준 점수가 가변적으로 설정되는 예.
도 5는 본 발명의 일 실시 예에 따라 보안성의 강화를 위하여 주요 세부 항목에 대한 점수 반영률이 조정되는 예.
도 6은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예.
이하에서는, 다양한 실시 예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
본 명세서에서 사용되는 "실시 예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제 1, 제 2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시 예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시 예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명은 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템에 관련된 것으로서, 이하에서 설명할 본 발명은 기 등록된 사용자가 사용자 소유의 개인 장비를 이용하여 사내 자원 서버로 접근할 시, 사용자 소유의 개인 장비에 대한 접속 환경 정보 및 보안 상태 정보를 토대로 보안 점수를 환산하고 환산된 보안 점수를 이용하여 사내 자원 서버로의 접근 제어를 수행하도록 하는 것에 제1 목적이 있으며, 이를 통해 외부 네트워크를 이용하여 사용자가 사내 자원 서버로 접근하더라도, 사내 자원 관리 서버의 보안성을 일정 수준으로 유지할 수 있게 함으로써, 원격지에서의 재택 근무가 활성화되도록 하는 것에 제2 목적이 있다.
이하에서는 상기 목적들을 달성하기 위한 본 발명에 대한 구체적인 설명을 첨부된 도면을 참조하여 설명하기로 하며, 하나 이상의 기술적 특징 또는 발명을 구성하는 구성 요소를 설명하기 위하여 다수의 도면이 동시 참조될 수 있을 것이다.
먼저 도 1을 참조하여 보면, 도 1에는 본 발명의 일 실시 예에 따른 사용자의 개인 장비(30)에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템에 대한 구성도가 도시되어 있다.
도 1에 도시된 바와 같이 본 발명에서는 주요 구성으로서 사내 자원 관리 서버(40)에 접근이 허여된 사용자가, 사용자 소유의 개인 장비(30)를 이용하여 사내 자원 관리 서버(40)로 접근을 시도할 경우, 개인 장비(30)에 대한 실시간 상태 정보를 수집하도록 하는 실시간 상태 정보 수집부(11)를 포함한다.
이때 사내 자원 관리 서버(40)에 접근이 허여된 사용자는, 예를 들어, 사용자의 아이디(ID)와 패스워드(PW)가 사내 자원 관리 서버(40)의 사용자 데이터베이스에 등록되어, 사내 자원 관리 서버(40)의 접근 권한이 부여된 것으로 확인되는 사용자인 것으로 이해될 수 있을 것이다.
또한 사용자 소유의 개인 장비(30)라 함은, 사용자가 소유하고 있는 개인 컴퓨터, 태블릿 PC, 휴대폰 등의 개념으로 이해될 수 있을 것이고, 본 발명에서는 이러한 개인 장비(30)를 이용하여 외부 네트워크를 통해 사내 자원 관리 서버(40)로 접근하는 행위에 대한 제어를 수행하게 된다.
이때 상술한 실시간 상태 정보 수집부(11)에서는 외부 네트워크를 통해 사내 자원 서버로 접근하려는 개인 장비(30)에 대한 실시간 상태 정보를 수집하도록 기능하며, 일 실시 예로서, 상술한 실시간 상태 정보 수집부(11)는 개인 장비(30)에 대한 실시간 상태 정보로서, 접속 환경 상태 정보 및, 보안 상태 정보를 수집할 수 있다.
더욱 상세하게, 상술한 실시간 상태 정보 수집부(11)는, 접속 환경 상태 정보로서, 사용자의 개인 장비(30)에서 파악되는 물리적 위치를 포함하는 접근 위치 정보, 접근 시도 시간 정보 및, 구체적인 접근 시도 위치 정보(이를 테면 사내 자원 관리 서버(40)에서 관리되는 사내 자원들 중 어떤 자원에 접근하려고 하는지 등) 중 적어도 어느 하나를 포함하는 정보를 수집한다.
또한 상술한 실시간 상태 정보 수집부(11)는, 보안 상태 정보로서, 사용자의 개인 장비(30)에 대한 패치 정보, 백신 프로그램의 설치 및 가동 정보, 실시간 멀웨어(악성 소프트웨어) 감지 유무에 대한 정보 및 로그인 암호 안전성에 대한 정보 중 적어도 어느 하나의 정보를 포함하는 정보를 수집할 수 있다.
구체적으로 상술한 패치 정보는 사용자의 개인 장비(30)에 대한 운영체제 패치 상태, 백신 패치 상태, 한글프로그램의 패치 상태 중 적어도 어느 하나를 포함하는 정보일 수 있다.
또한 상술한 백신 프로그램의 설치 및 가동 정보는 바이러스 백신이 설치되었는지 여부를 확인하고, 바이러스 백신이 설치되었다면 최근 백신 프로그램을 가동한 것은 언제인지에 대한 정보를 확인하는 것일 수 있다.
또한 상술한 실시간 멀웨어 감지 유무에 대한 정보는, 개인 장비(30)에서 바이러스, 웜, 스파이웨어, 에드웨어, 트로이 목마 등을 비롯한 악성 소프트웨어가 탐지되는지 여부를 확인하는 것으로 이해될 수 있다.
또한 상술한 로그인 암호 안전성에 대한 정보는, 사용자 개인 장비(30)에 대한 암호가 해킹의 위험으로부터 안전한지 여부를 확인한다거나, 사용자 개인 장비(30)에 대한 암호 변경 주기를 확인하는 것일 수 있다. 이를 테면, 사용자 개인 장비(30)에 대한 암호가 너무 짧다거나(4자리 이하), 암호 설정이 되어 있지 않다거나, 사용자 개인 장비(30)에 대한 암호 변경 주기(예를 들어 분기에 1회 이상 변경되었는지 여부를 확인)를 확인하는 등의 프로세스가 수행되도록 하는 것이고, 이를 통해 사용자 개인 장비(30)에 대한 제3자의 해킹 위험이 있는지 여부를 판단할 수 있게 된다.
또한 다른 실시 예로서, 상술한 실시간 상태 정보 수집부(11)에서는, 전술한 사용자의 개인 장비(30)에 대한 패치 정보, 백신 프로그램의 설치 및 가동 정보, 실시간 멀웨어(악성 소프트웨어) 감지 유무에 대한 정보 및 로그인 암호 안전성에 대한 정보 이외에 추가적으로 화면 보호기의 설정 여부를 점검한다거나, 공유 폴더 설정 여부를 점검한다거나, USB 자동 실행 허용 여부를 점검한다거나 미사용 액티브엑스(ActiveX)가 존재하는지 여부를 확인하는 등 둘 이상의 점검 정보를 더 포함할 수도 있을 것이다.
이때, 화면 보호기의 설정 여부를 점검하는 것은, 구체적으로 화면 보호기의 사용이 설정이 되어 있는지를 확인한다. 이는 사용자가 개인 장비(30)를 이용하여 재택 근무 등을 수행할 때, 사용자의 개인 장비(30)에 대한 이용 시간이 없는 경우 화면 보호기가 동작하게 하여 유휴 시간을 산출하기 위해 수집되는 항목인 것으로 이해될 수 있다.
또한 상술한 USB 자동 실행 허용 여부의 점검은 USB 자동 실행을 방지하도록 하기 위한 것으로, USB를 이용하여 파일을 복사 또는 공유하여 사내 자원을 외부로 유출하는 행위를 방지하기 위해 수집되는 항목인 것으로 이해될 수 있다.
또한 미사용 액티브엑스의 존재 여부를 확인하는 것은 장기간 사용하지 않은 액티브엑스의 경우 해당 액티브엑스에 취약점이 존재할 때 악의적인 사용자가 이를 악용하여 시스템을 해킹하는 등의 보안 문제를 일으킬 우려가 있기 때문에 수집되는 항목인 것으로 이해될 수 있다.
한편 다음으로 본 발명의 사용자의 개인 장비(30)에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템은, 주요 구성으로서 전술한 실시간 상태 정보 수집부(11)에 의해 수집된 개인 장비(30)의 실시간 상태 정보를, 사내 자원 관리 서버(40)에 배포된 보안 정책(20)에 따라 보안 점수로 환산하는 보안 점수 환산부(12)를 포함한다.
이때 보안 정책(20)은 실시간 상태 정보의 세부 수집 항목마다 배점과, 배점의 반영 비율이 설정되어 있을 수 있으며, 본 발명의 보안 점수 환산부(12)는 개인 장비(30)에서 수집되는 실시간 상태 정보에 상술한 배점을 기준으로 하는 제1 보안 점수를 계산하고, 계산된 제1 보안 점수에 반영 비율을 적용하여 제1 보안 점수를 제2 보안 점수로 환산하도록 하는 프로세스가 처리될 수 있다.
한 실시 예로서, 도 2 및 3을 참조하여 보기로 한다. 먼저 도 2의 100을 참조하여 보면, 도 2의 100에서는 일 사용자의 개인 장비(30)에서 수집된 실시간 상태 정보의 세부 항목별 점수가 배점된 예와, 세부 항목별 반영 비율에 대한 예를 살펴볼 수 있다.
다음으로 도 3의 200을 참조하여 보면, 도 2의 100에서 설정된 배점과 반영 비율을 기초로, 일 사용자의 개인 장비(30)에 대한 제1 보안 점수가 계산되고 계산된 제1 보안 점수를 제2 보안 점수로 환산하는 실시 예가 도시되어 있는 것을 알 수 있다.
이때, 도 3의 200에서 제1 보안 점수가 0점으로 평가된 것은, 사용자의 개인 장비(30)에서 수집된 실시간 상태 정보가 본 발명의 평가 기준에 미치지 못한 경우인 것으로 이해될 수 있다. 이를테면, 도 3의 200에서는 로그인 암호 안전성 중 세부 항목 1에 대하여 제1 보안 점수가 0점으로 평가된 것을 알 수 있는데, 이때 로그인 암호 안전성의 세부 항목 1은 사용자의 개인 장비(30)에 대한 로그인 암호가 주기적으로 변경되었는지 여부를 확인하는 항목으로, 이 세부 항목에 대해 0점이 평가된 것은, 사용자 개인 장비(30)에서 로그인 암호가 변경된 이력이 없거나, 주기적으로 변경된 사항이 없기 때문에 0점으로 평가된 것일 수 있다.
또한 도 3의 200에서 로그인 암호 안전성에 대한 항목 중 세부 항목 2는 배점이 15점으로 설정되어 있으나, 사용자의 개인 장비(30)에 대해 평가된 제1 보안 점수는 10점인 예가 도시되어 있다. 즉 본 발명에서는 평가 항목에 대하여 사용자의 개인 장비(30)가 기준을 충족하는지 여부에 따라 0점 또는 배점으로 설정된 점수를 단순 부여하는 것 이외에도, 일부 충족하는 경우를 고려하여, 일 세부 항목 또는 일 항목에 설정된 배점 중 일부에 대한 점수를 부여(즉, 부분 점수 처리)처리하도록 기능할 수도 있는 것이며, 본 발명은 이에 제한하지 않는다.
한편 제2 보안 점수는 항목별 제1 보안 점수에 기 설정된 반영 비율을 곱한 값으로 환산된다.
도 3의 200의 실시 예를 예로 들면, 보안 점수를 환산하기 위한 항목은 로그인 암호 안전성, 패치 상태, 안티바이러스, 스크린 세이버, 공유폴더 설정 여부, USB 자동 실행 여부, 액티브엑스의 존재 여부로 총 7개의 항목으로 구성되어 있는 것을 알 수 있고, 이에 7가지 항목에 대한 제1 보안 점수에 항목별 반영 비율을 적용한 제2 보안 점수를 산출할 수 있는 것이다.
즉, 도 3의 200에서 일 사용자의 개인 장비(30)는 로그인 암호 안전성에 대한 제1 보안 점수로 총 10점을 획득하였고, 로그인 암호 안전성 항목에 대한 반영 비율은 20%이므로, 환산된 제2 보안 점수는 10*0.2로 계산하여 2점이 되고, 패치 상태에 대한 제1 보안 점수로 총 35점을 획득하였고, 패치 상태 항목에 대한 반영 비율은 30%이므로, 환산된 제2 보안 점수는 35*0.3으로 계산하여 10.5점이 된다. 또한 동일한 프로세스로 안티바이러스, 스크린 세이버, 공유폴더 설정여부, USB 자동 실행 여부, 액티브엑스 존재여부에 대한 각 항목별 제1 보안 점수로 하여금 산출된 제2 보안 점수는, 3점, 0점, 0점, 0.75점, 0점이며, 각 항목에 대한 제2 보안 점수를 합산한 16.25가 일 사용자의 개인 장비(30)에 대해 환산된 제2 보안 점수로 이용되는 것이다.
물론 전술한 실시 예에서는, 일 항목에 포함된 세부 항목의 합에 반영 비율을 적용하여 제2 보안 점수를 산출하였으나, 본 발명의 다른 실시 예에서는 세부 항목마다 서로 다른 반영 비율이 적용되어, 세부 항목에 대한 제2 보안 점수를 모두 산출하고 이에 대한 합산치를 제2 보안 점수로 이용할 수도 있을 것이며 본 발명은 이에 제한하지 않는다.
한편 본 발명의 바람직한 실시 예로서, 본 발명에서 언급하는 보안 정책(20)은 개인 장비(30)가 사내 자원 관리 서버(40)로 접근을 시도한 시점을 기준으로, 과거 임계 기간 동안(예를 들어, 지난 1주일, 지난 한 달 등)의 보안 이슈 이력이 존재하는지 여부를 확인하고, 보안 이슈의 존재 이력이 존재하였던 것으로 확인될 시, 실시간 상태 정보의 세부 수집 항목들 중, 주요 수집 항목에 설정된 반영 비율을 상향 조정하고, 주요 수집 항목에 미포함되는 나머지 수집 항목에 대한 반영 비율은 하향 조정하도록 할 수 있다.
한 실시 예로서 도 5를 동시 참조하여 보면, 도 5의 310은 초기 설정된 항목별 배점과 반영 비율이고, 도 5의 320은 보안 이슈가 존재하였음을 확인한 후의 배점과 반영 비율이고, 주요 수집 항목은 패치 상태, 안티 바이러스 항목이며, 로그인 암호 안전성, 스크린 세이버, 공유폴더 설정여부, USB 자동 실행 여부, 액티브엑스 존재여부는 주요 수집 항목에 포함되지 않는 나머지 수집항목인 것으로 이해될 수 있을 것이다.
도 5의 310 및 320에서 확인되는 바와 같이, 주요 수집 항목에 대한 반영 비율은 상향된 반면, 주요 수집 항목에 포함되지 않은 나머지 수집 항목은 반영 비율이 하향된 것을 알 수 있다. 이때, 주요 수집 항목과 나머지 항목에 대한 구분은, 보안 관리자에 의해 직접 설정되는 것일 수도 있을 것이나, 확인된 보안 이슈의 특성에 따라, 컴퓨팅 장치에 의해 주요 수집 항목이 자동 설정될 수도 있다.
일 실시 예로서, 과거 일 시점에 확인된 보안 이슈가 백신 프로그램의 최신 패치를 수행하지 않음에 따른 보안 이슈로 확인될 경우, 보안 정책(20)은 이 점을 고려하여, 안티바이러스 항목에 대한 배점의 반영 비율을 높임으로써 문제가 있던 항목에 대한 보안성이 강화되도록 할 수 있다는 것이다.
또한 다른 실시 예로서, 전술한 실시 예들에서는, 주요 수집 항목에 대한 배점의 반영 비율이 상향되면, 나머지 수집 항목들에 대한 배점의 반영 비율은 하향 조정되는 실시 예에 한정하여 설명하였으나, 전체적인 보안성을 강화하기 위하여 주요 수집 항목에 대한 배점의 반영 비율 상향과 함께 나머지 수집 항목들에 대한 배점의 반영 비율을 동시 상향하여 더욱 보수적인 보안이 이루어지도록 할 수도 있을 것이며 본 발명은 이에 제한하지 않는다.
또한 본 발명에서 언급하는 보안 정책(20)은 권한이 부여된 보안 관리자 계정에서 개인 장비(30)에서 수집할 실시간 상태 정보의 세부 수집 항목에 대한 추가, 변경 및 삭제가 가능한 것은 물론이고, 세부 수집 항목에 대한 기본 배점과, 기본 반영 비율이 재설정되도록 할 수도 있을 것이며 본 발명은 이에 제한하지 않는다.
다만, 기본 배점과 기본 반영 비율의 재설정 시, 기 설정된 임계 기준을 초과하는 수치 변경이 존재하는 것으로 감지될 시, 본 발명에서는 한 명 이상의 타 보안 관리자 계정 또는 보안 관리자 계정보다 상급자의 계정에 재설정에 대한 사전 결재가 이루어지도록 하여 일 보안 관리자의 일방적인 결정에 의하여 사내 자원 서버에 대한 보안성이 변경되는 일이 없도록 함이 바람직할 것이다.
다시 도 1로 돌아와서, 본 발명의 주요 구성 요소에 대한 설명을 이어가면, 본 발명에서는 전술한 실시간 상태 정보 수집부(11), 보안 점수 환산부(12)와 함께, 개인 장비(30)에 대해 환산된 보안 점수가 사내 자원 관리 서버(40)에 설정된 접근 기준 점수를 충족하는지 여부를 판단하여 사용자가 개인 장비(30)를 이용하여 사내 자원 서버로 접근하는 행위를 제어하도록 기능하는 접근 제어부(13)를 포함할 수 있다.
구체적으로 접근 제어부(13)는 개인 장비(30)에 대해 환산된 보안 점수(즉 제2 보안 점수)가 접근 기준 점수 이상일 경우, 개인 장비(30)가 사내 자원 서버로 접근하려는 행위를 허여하고, 개인 장비(30)에 대해 환산된 보안 점수가 접근 기준 점수 미만일 경우, 개인 장비(30)가 사내 자원 서버로 접근하려는 행위를 불허하도록 한다.
이때, 상술한 접근 기준 점수는, 사내 자원 서버 자체에 접근하기 위한 기준 점수일 수도 있을 것이나, 사용자가 개인 장비(30)를 이용하여 사내 자원 서버의 특정 자원에 접근하려는 요청이 있을 시, 해당 자원에 설정된 접근 기준 점수일 수도 있을 것이다.
더욱 상세하게, 사내 자원 관리 서버(40)에서 관리되는 자원들은 중요도에 따라 보안 등급이 설정되어 있을 수 있고, 자원의 속성에 따라 하나 이상의 그룹으로 분류되어 있을 수 있으며, 본 발명의 보안 정책(20)은 자원별 또는 자원이 속한 그룹별 접근 기준 점수를 부여하여, 이들을 통합적으로 관리할 수 있다.
먼저 자원별로 접근 기준 점수가 부여될 경우, 본 발명의 접근 제어부(13)는 일 사용자의 개인 장비(30)에 환산된 보안 점수가 특정 자원에 설정된 접근 기준 점수 이상일 경우에만 사용자의 개인 장비(30)가 특정 자원에 접근하는 것을 허여하도록 하는 제어가 수행되는 것으로 이해될 수 있다.
한편 그룹별로 접근 기준 점수가 부여될 경우, 하나의 그룹에는 다양한 보안 등급이 포함될 수 있기 때문에 그룹에 대한 접근 기준 점수를 설정하기 위한 공식이 요구된다.
이에 본 발명의 보안 정책(20)은, 일 그룹에 포함된 자원들의 보안 등급 평균 및 보안 등급 편차를 계산하여, 각 그룹마다의 접근 기준 점수가 설정되도록 한다.
일 실시 예로서, 기본적으로 설정된 접근 기준 점수가 환산된 보안 점수(즉 제2 보안 점수)로 30점이라고 가정할 때, 본 발명에서는 그룹마다 속한 자원의 보안 등급 평균 및 보안 등급 편차를 계산하여, 그룹별 접근 기준 점수의 우위를 정하고, 구체적인 그룹별 접근 기준 점수를 설정할 수 있다.
더욱 구체적인 설명을 위하여 도 4의 실시 예를 참조하여 보면, 도 4에서는 사내 자원 관리 서버(40)에서 취급되는 자원들이 그룹 A와 B로 분류되어 있다고 가정한 상황을 도시하였다.
이때, 그룹 A의 보안 등급 평균은 1.8이고 보안 등급 편차는 0.66이며, 그룹 B의 보안 등급 평균은 2.4이고, 보안 등급 편차는 0.99라고 가정할 때, 본 발명에서는 접근 기준 점수의 설정 시, 임계 기준 보다 보안 등급의 평균이 상대적으로 높고 보안 등급의 편차가 상대적으로 작은 그룹에 설정되는 접근 기준 점수를 상향 설정하도록 하여, 그룹 A가 그룹 B보다 높은 접근 기준 점수를 가질 수 있을 것이다. 즉 그룹 A와 그룹 B 중 그룹 A가 사용자 개인 장비(30)에 더 높은 보안 수준을 요구하여, 상대적으로 더 높은 보안 점수를 요구할 수 있는 것이다.
한편 본 발명에서 보안 등급의 평균이 높다는 것은, 그룹 내 자원들에 설정된 보안 등급이 전반적으로 높음을 의미하고, 보안 등급의 편차가 좁다는 것은 자원들 간의 보안 등급 차이가 크지 않음을 의미한다. 다시 말해, 보안 등급의 평균이 높고(제1 조건) 보안 등급들 간의 편차가 작은 것(제2 조건)은 해당 그룹 내에 저장된 자원들에 높은 보안성이 요구됨을 의미하는 것과 같기 때문에 본 발명에서는 두 조건을 만족하는 그룹의 경우 접근 기준 점수를 임계 기준 점수보다 상향하도록 하여, 해당 그룹에 대한 보안성을 높이도록 한다.
이때, 상술한 임계 기준은 사내 자원 관리 서버(40)에서 취급되는 모든 자원들에 대한 보안 등급 평균을 기준으로 하거나, 보안 관리자에 의해 설정된 기준일 수 있으며, 본 발명은 이에 제한하지 않는다.
아울러, 본 발명의 다른 실시 예에서는, 보안 등급의 평균이 임계 기준보다 높고 보안 등급의 편차가 임계 기준보다 작은 그룹의 경우, 임계 기준보다 보안 등급의 평균이 얼마나 높은지, 또 편차는 얼마나 작은지에 대한 구간을 세분화하여 접근 기준 점수에 대한 상향 정도에 대한 세부적인 제어가 수행되도록 할 수도 있을 것임이 당연하다.
종합적으로, 본 발명의 일 실시 예에 따르면, 본 발명에서는 기 등록된 사용자가 사용자 소유의 개인 장비(30)를 이용하여 사내 자원 서버로 접근할 시, 사용자 소유의 개인 장비(30)에 대한 접속 환경 및 보안 상태를 보안 점수로 환산하고, 환산된 보안 점수에 따라 사내 자원 서버로의 접근을 허여할지 여부를 제어하도록 함으로써, 무분별한 사내 자원 서버의 접근을 방지할 수 있다.
또한 본 발명은 외부 네트워크를 이용하여 사용자가 사내 자원 서버로 접근하더라도, 사내 자원 관리 서버(40)의 보안성을 일정 수준으로 유지할 수 있게 함으로써, 원격지에서의 재택 근무가 활성화되도록 하고, 재택 근무의 효율적 운영을 돕도록 하는 효과가 있다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다.
또 다른 한편, 도 6를 참조하여 보면, 도 6에서는 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예를 도시하였으며, 이하의 설명에 있어서, 상술한 도 1 내지 5에 대한 설명과 중복되는 불필요한 실시 예에 대한 설명은 생략하기로 한다.
도 6에 도시한 바와 같이, 컴퓨팅 장치(10000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅 장치(10000)은 촉각 인터페이스 장치에 연결된 유저 단말이기(A) 혹은 전술한 컴퓨팅 장치(B)에 해당될 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(10000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(10000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(10000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 6의 실시 예는, 컴퓨팅 장치(10000)의 일례일 뿐이고, 컴퓨팅 장치(11000)은 도 6에 도시된 일부 컴포넌트가 생략되거나, 도 6에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 6에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(1160)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(10000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시 예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다.
또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술 분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시 예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Claims (7)
- 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템에 있어서,
사내 자원 관리 서버에 접근이 허여된 사용자가, 사용자 소유의 개인 장비를 이용하여 사내 자원 관리 서버로 접근을 시도할 경우, 상기 개인 장비에 대한 실시간 상태 정보를 수집하도록 하는 실시간 상태 정보 수집부;
수집된 개인 장비의 실시간 상태 정보를 상기 사내 자원 관리 서버에 배포된 보안 정책에 따라 보안 점수로 환산하는 보안 점수 환산부; 및,
상기 개인 장비에 대해 환산된 보안 점수가 상기 사내 자원 관리 서버에 설정된 접근 기준 점수를 충족하는지 여부를 판단하여, 상기 사용자가 상기 개인 장비를 이용하여 상기 사내 자원 서버로 접근하는 행위를 제어하는 접근 제어부;를 포함하되,
상기 사내 자원 관리 서버에서 관리되는 자원들은 중요도에 따른 보안 등급이 설정되고, 자원의 속성에 따라 하나 이상의 그룹으로 분류되며,
상기 보안 정책은,
일 그룹에 포함된 자원들의 보안 등급 평균 및, 보안 등급 편차를 계산하여, 각 그룹마다의 접근 기준 점수를 설정하되,
임계 기준보다 상기 보안 등급 평균이 높을수록, 보안 등급의 편차가 작을수록 상기 그룹에 설정되는 접근 기준 점수를 상향 설정하는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템.
- 제1항에 있어서,
상기 실시간 상태 정보 수집부는,
상기 개인 장비에 대한 실시간 상태 정보로서 접속 환경 상태 정보 및, 보안 상태 정보를 수집하되,
상기 접속 환경 상태 정보는,
상기 개인 장비의 접근 위치 정보 및 접근 시도 시간 정보 중 적어도 어느 하나의 정보를 포함하고,
상기 보안 상태 정보는,
상기 개인 장비의 패치 정보, 백신 프로그램 설치 및 가동 정보, 실시간 멜웨어 감지 유무에 대한 정보 및, 로그인 암호 안전성에 대한 정보 중 적어도 어느 하나의 정보를 포함하는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템.
- 삭제
- 제1항에 있어서,
상기 보안 정책은,
상기 실시간 상태 정보의 세부 수집 항목마다 배점과 반영 비율을 설정하고,
상기 보안 점수 환산부는,
상기 개인 장비에서 수집되는 실시간 상태 정보에 상기 배점을 기준으로 하는 제1 보안 점수를 계산하고, 계산된 제1 보안 점수에 상기 반영 비율을 적용하여 상기 제1 보안 점수를 제2 보안 점수로 환산하도록 하는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템.
- 제4항에 있어서,
상기 보안 정책은,
상기 개인 장비가 상기 사내 자원 관리 서버로 접근을 시도한 시점을 기준으로 과거 임계 기간 동안 보안 이슈의 존재 이력을 확인하고, 상기 보안 이슈의 존재 이력이 확인될 시,
상기 실시간 상태 정보의 세부 수집 항목들 중, 주요 수집 항목에 설정된 반영 비율은 상향 조정하고 상기 주요 수집 항목에 미포함되는 나머지 수집 항목에 대한 반영 비율은 하향 조정하여, 상기 사내 자원 관리 서버에서 관리되는 자원들의 보안성을 강화하는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템. - 제1항에 있어서,
상기 보안 정책은,
권한이 부여된 보안 관리자 계정에서, 상기 개인 장비에서 수집할 실시간 상태 정보의 세부 수집 항목에 대한 추가, 변경 및, 삭제가 가능하고,
상기 세부 수집 항목에 대한 기본 배점과 기본 반영 비율이 재설정될 수 있는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템.
- 제4항에 있어서,
상기 접근 제어부는,
상기 개인 장비에 대해 환산된 보안 점수가 접근 기준 점수 이상일 경우, 상기 개인 장비가 상기 사내 자원 서버로 접근하는 행위를 허여하고, 상기 개인 장비에 대해 환산된 보안 점수가 접근 기준 점수 미만일 경우, 상기 개인 장비가 상기 사내 자원 서버로 접근하는 행위를 불허하는 것을 특징으로 하는 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230157863A KR102690043B1 (ko) | 2023-11-15 | 2023-11-15 | 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020230157863A KR102690043B1 (ko) | 2023-11-15 | 2023-11-15 | 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102690043B1 true KR102690043B1 (ko) | 2024-07-30 |
Family
ID=92145279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020230157863A KR102690043B1 (ko) | 2023-11-15 | 2023-11-15 | 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102690043B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102540097B1 (ko) * | 2022-11-18 | 2023-06-05 | 에스지에이솔루션즈 주식회사 | 디바이스 위험도 기반의 신뢰 디바이스 검증 및 원격 접속 처리 시스템 |
| KR102542720B1 (ko) * | 2022-10-27 | 2023-06-14 | 주식회사 이노티움 | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 |
| KR102576357B1 (ko) * | 2022-12-22 | 2023-09-11 | 건양대학교 산학협력단 | 제로 트러스트 보안인증 시스템 |
-
2023
- 2023-11-15 KR KR1020230157863A patent/KR102690043B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102542720B1 (ko) * | 2022-10-27 | 2023-06-14 | 주식회사 이노티움 | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 |
| KR102540097B1 (ko) * | 2022-11-18 | 2023-06-05 | 에스지에이솔루션즈 주식회사 | 디바이스 위험도 기반의 신뢰 디바이스 검증 및 원격 접속 처리 시스템 |
| KR102576357B1 (ko) * | 2022-12-22 | 2023-09-11 | 건양대학교 산학협력단 | 제로 트러스트 보안인증 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9774568B2 (en) | Computer security architecture and related computing method | |
| US9729579B1 (en) | Systems and methods for increasing security on computing systems that launch application containers | |
| US8850549B2 (en) | Methods and systems for controlling access to resources and privileges per process | |
| Jaeger et al. | Outlook: Cloudy with a chance of security challenges and improvements | |
| US20210019434A1 (en) | Cloud-based data access control | |
| US10101936B2 (en) | Memory access control | |
| US20100100929A1 (en) | Apparatus and method for security managing of information terminal | |
| CN104662517A (zh) | 安全漏洞检测技术 | |
| CN102710598A (zh) | 用于减小计算机网络中的安全风险的系统和方法 | |
| Bleikertz et al. | Secure cloud maintenance: protecting workloads against insider attacks | |
| Fall et al. | Toward quantified risk-adaptive access control for multi-tenant cloud computing | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| US11722526B1 (en) | Security policy validation | |
| CN102663313A (zh) | 一种实现计算机系统信息安全的方法 | |
| US11755374B2 (en) | Cloud resource audit system | |
| KR102690043B1 (ko) | 사용자의 개인 장비에 평가된 보안 점수에 따라 사내 자원으로의 접근을 제어하는 시스템 | |
| US11100238B2 (en) | Systems and methods for generating policy coverage information for security-enhanced information handling systems | |
| US10191680B2 (en) | Memory access control | |
| CN113544665A (zh) | 利用工作证明对资源受限环境中的可信代理的测量的执行 | |
| US9560028B1 (en) | Systems and methods for filtering interprocess communications | |
| KR102430882B1 (ko) | 클라우드 환경 내 이벤트 스트림 방식의 컨테이너 워크로드 실행 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| Osliak et al. | Towards Collaborative Cyber Threat Intelligence for Security Management. | |
| KR102690045B1 (ko) | 사용자의 접속 상태 및 개인 장비의 보안 상태에 따라 사내 자원으로의 접근을 제어하는 시스템 | |
| Ju et al. | Design scheme of a docker container file isolation against computer virus spreading | |
| KR102551891B1 (ko) | 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |