KR20140035146A - 정보보안 장치 및 방법 - Google Patents
정보보안 장치 및 방법 Download PDFInfo
- Publication number
- KR20140035146A KR20140035146A KR1020120101648A KR20120101648A KR20140035146A KR 20140035146 A KR20140035146 A KR 20140035146A KR 1020120101648 A KR1020120101648 A KR 1020120101648A KR 20120101648 A KR20120101648 A KR 20120101648A KR 20140035146 A KR20140035146 A KR 20140035146A
- Authority
- KR
- South Korea
- Prior art keywords
- pattern
- user
- security
- information
- unit
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 정보보안 장치 및 방법에 관한 것이다.
본 발명에 따른 정보보안 장치는 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 로그정보 수집부와; 상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 표준화 데이터베이스와; 상기 로그정보 수집부와 상기 표준화 데이터베이스로부터 상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 패턴추출부; 및 상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 패턴분석부를 포함하는 것을 특징으로 한다.
본 발명에 따른 정보보안 장치는 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 로그정보 수집부와; 상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 표준화 데이터베이스와; 상기 로그정보 수집부와 상기 표준화 데이터베이스로부터 상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 패턴추출부; 및 상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 패턴분석부를 포함하는 것을 특징으로 한다.
Description
본 발명은 정보보안 장치 및 방법에 관한 것으로, 특히 각종 보안시스템에 대한 로그정보를 분석하여 정보유출을 사전에 방지하기 위한 정보보안 장치 및 방법에 관한 것이다.
일반적으로 정부기관, 기업, 연구소, 또는 학교 등에서는 인터넷, 무선망과 같은 유무선 통신망을 통해 접속되는 복수의 실행 서버를 구축하고 있으며, 실행 서버 내에 각종 자료를 구비하여 유무선 통신망을 통해 다른 실행 서버와 통신 접속하게 된다.
이러한 복수의 실행 서버는 보안시스템과 연결되어 있으며, 보안시스템에는 개인용 컴퓨터(PC) 보안, 메일 모니터링, 메신저 모니터링, 문서보안, 유해차단 시스템 또는 출입통제 시스템 등이 포함된다.
보안시스템은 내부자에 의한 기업의 내부 핵심정보유출을 사전에 방지하기 위한 것으로, 정보유출 탐지를 목적으로 e-DRM(enterprise digital rights management), 매체제어 솔루션, 메일 모니터링 등의 다양한 기술이 제안되어 왔다. 여기서, 기업의 내부 핵심정보는 상당히 광범위한 개념으로 광의적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 모든 정보'로 볼 수 있으며, 보다 소극적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서'라고 볼 수 있다.
그런데, 이러한 의미의 내부 핵심정보에 대하여, 단순히 PC 등의 사용자 단말 단에서의 정보 흐름을 통제하고 분석하는 매체제어 솔루션이나 e-DRM, 혹은 메일로 전송되는 데이터에 대해서만 정보유출을 방지하는 메일 모니터링 시스템을 통해 정보유출 탐지를 수행하기에는 한계가 있었다.
한편, 매체제어 솔루션 제품군, e-DRM 제품군, 메일 모니터링 제품군, 데이터베이스 모니터링 시스템 등 다양한 단위 보안시스템의 로그를 통합한 통합로그를 정보유출 탐지에 이용하는 종래 기술이 있다.
그러나 이러한 종래 기술은 이기종 보안시스템의 로그를 통합하고 단순 조회 및 행위에 대하여 사전 정의에 부합하는 경우 이를 점수화 및 합산하여 위험도를 표시하고 있기 때문에 정확도가 떨어지고 신속한 사고 대응이 어려운 단점이 있다. 뿐만 아니라 소수의 보안 관리자가 조직 내 다수의 직원에 대한 보안감사를 수행하고 있기 때문에 점점 지능화되고 조직적으로 발생하는 정보유출에 대한 추적 및 예측이 어려운 문제점이 있다.
따라서, 본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 일반적인 목적은 종래 기술에서의 한계와 단점에 의해 발생되는 다양한 문제점을 실질적으로 보완할 수 있는 정보보안 장치 및 방법을 제공하는 것이다.
본 발명의 보다 구체적인 다른 목적은, 조직 내 사용자들의 비정상적인 정보수집 또는 유출 활동을 모니터하고, 모니터 결과를 빠르게 파악 및 분석할 수 있는 정보보안 장치 및 방법을 제공하는 것이다.
이를 위해 본 발명의 일 실시예에 따른 정보보안 장치는 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 로그정보 수집부와; 상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 표준화 데이터베이스와; 상기 로그정보 수집부와 상기 표준화 데이터베이스로부터 상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 패턴추출부; 및 상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 패턴분석부를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 정보보안 장치에서, 상기 사용자 정보는 상기 사용자가 사용하는 개인용 컴퓨터(PC)의 IP, Mac, Host-Name, 메일 ID 중 적어도 하나를 포함하는 사용자 PC 정보; 및 상기 사용자의 주민등록번호, 사원번호, 부서, 직급, 직책, 메일 ID 중 적어도 하나를 포함하는 사용자 인사정보를 포함할 수 있다.
본 발명의 일 실시예에 따른 정보보안 장치에서, 상기 패턴추출부는 상기 사용자 전체의 로그횟수에 대한 평균을 기준으로 기설정된 범위 이내를 통상패턴으로 정의할 수 있다.
본 발명의 일 실시예에 따른 정보보안 장치에서, 상기 패턴분석부는 상기 통상패턴을 초과하는 건수당 동일 가중치를 부여하는 이상패턴 지수화 계산 및 기설정된 조건에 따라 상기 이상패턴 지수화에 서로 다른 가중치를 부여하는 종합지수화 계산을 수행할 수 있다.
또한, 본 발명의 일 실시예에 따른 정보보안 방법은 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 과정과; 상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 과정과; 상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 과정; 및 상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 과정을 포함할 수 있다.
본 발명의 일 실시예에 따른 정보보안 방법에서, 상기 보안위험 여부 분석 후 이상패턴 발생자에 대해 보안상 중요한 행위가 있었는지를 추가적으로 분석하여 신규패턴을 생성하는 과정; 및 상기 신규패턴을 반영하여 상기 통상패턴 정의를 갱신하는 과정을 더 포함할 수 있다.
본 발명의 일 실시예에 따른 정보보안 방법은 상기 통상패턴을 정의하는 과정에서 상기 사용자 전체의 로그횟수에 대한 평균을 기준으로 기설정된 범위 이내를 통상패턴으로 정의할 수 있다.
본 발명의 일 실시예에 따른 정보보안 방법은 상기 보안위험 여부를 분석하는 과정에서 상기 통상패턴을 초과하는 건수당 동일 가중치를 부여하는 이상패턴 지수화 계산 및 기설정된 조건에 따라 상기 이상패턴 지수화에 서로 다른 가중치를 부여하는 종합지수화 계산을 수행할 수 있다.
본 발명에 따른 정보보안 장치에 의하면, 관리대상 사용자들의 단위 보안시스템 로그정보를 통합하여 이상행위 판단의 기준이 되는 통상패턴을 정의하고 이를 데이터베이스화한 후 통상패턴과의 비교를 통해 이상패턴을 추출하고 보안위협 여부를 분석함으로써 비정상적인 정보수집 또는 유출 활동을 실시간으로 파악할 수 있을 뿐만 아니라 보안감사의 효율성을 높일 수 있다.
본 발명에 따른 정보보안 장치에 의하면, 이상패턴 발생자에 대해 보안상 중요한 행위가 있었는지를 추가로 분석함으로써 범위를 벗어나서 발생할 수 있는 감사의 사각지대를 보완할 수 있다.
도 1은 본 발명의 일 실시예에 따른 정보보안 장치의 개략적인 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른, 패턴추출부에 의해 추출된 사용자별 패턴을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른, 종합패턴 분석을 위해 특정 업무에 대한 사용자 개인별 통상패턴을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 빅데이터 로그 다차원분석을 통한 정보보안 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 일 실시예에 따른, 패턴추출부에 의해 추출된 사용자별 패턴을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른, 종합패턴 분석을 위해 특정 업무에 대한 사용자 개인별 통상패턴을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 빅데이터 로그 다차원분석을 통한 정보보안 방법을 설명하기 위한 흐름도이다.
이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세히 설명하면 다음과 같다.
본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명은 생략한다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 판례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 정보보안 장치의 개략적인 구성을 나타낸 도면이다.
도 1을 참조하면, 본 실시예에 따른 정보보안 장치는 로그정보 수집부(100)와, 표준화 데이터베이스(200)와, 패턴추출부(300)와, 패턴분석부(400)를 포함한다.
상기 로그정보 수집부(100)는 연동 가능한 복수의 단위 보안시스템(110)으로부터 로그정보를 수집한다.
단위 보안시스템(110)으로는 일반적으로 네트워크보안과 관련된 발신 로그인, 비업무차단, 가상사설망(Virtual Private Network), 네트워크 접근제어(NAC), 방화벽, IP 관리 및 바이러스 월과, 시스템 보안과 관련된 PC 방화벽, 바이러스 백신, 안티스파이웨어, 안티피싱, 스팸차단 S/W, 보안운영체제와, 컨텐츠/정보유출방지보안과 관련된 DB보안, DB암호, PC보안, 보안 USB, 디지털저작권관리(DRM)와, 암호/인증 보안과 관련된 보안스마트카드, H/W 토큰, 일회용비밀번호(OTP), 공개키기반구조(PKI), 통합접근관리(EAM), 싱글 사인온(SSO), 통합계정관리(IM/IAM), 공인/사설 인증 툴과, 관리보안과 관련된 기업보안관리, 위협관리시스템, 패치관리시스템, 자산관리시스템, 로그관리/분석툴, 취약점 분석툴 등이 될 수 있다.
한편, 도 1의 정보보안 장치는 외부로부터의 침입이 아닌 내부로부터의 정보유출을 분석하기 위한 것이다. 따라서, 본 실시예에서 로그정보 수집부(100)는 인터넷을 통해 내부망으로 침입해 들어오는 인바운드 패킷에 대한 감사로그가 아닌 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 로그정보를 수집 대상으로 한다.
이러한 단위 보안시스템(110)으로는 메일로깅시스템, 비업무차단시스템, 방화벽, PC 보안, 서버보안, DB보안, DRM, EAM 등이 있으며, 각각의 솔루션이나 시스템은 운용사나 제작사, 보안회사 등이 자체 개발한 제품 또는 공용화/표준화가 이루어진 제품일 수 있다.
각각의 단위 보안시스템으로부터 수집되는 로그정보의 예는 표 1에 나타낸 바와 같다.
| 보안시스템 | 로그정보(원천 데이터 정보) |
| 메일로깅시스템 | 수/발신자 ID,메일제목,메일본문,첨부파일 |
| 비업무사이트 차단 | 분류별 웹사이트주소, 접속/차단이력, DNS 주소 |
| 방화벽 | 내부 접속IP,Port,트래픽량,서버접속이력 |
| PC보안 | 로그인 정보, 프로그램사용/보유현황,S/W다운정보,네트웍/서버접속이력, 저장장치사용현황,웹사이트접근현황등 |
| 서버보안 | 서버접속/차단이력,접근경로,실행명령어,변경이력 등 |
| DB보안 | DB접속/차단이력,필드접근,실행명령어,변경내역등 |
| DRM | 문서생성정보,등급별 분류,수/발신정보,사본저장,문서공유현황등 |
| EAM | 사용자 접근 현황 및 경로 정보 |
| 공통사항 | 생성/종료시간, IP, 포트,행위로그 등 |
표 1의 로그정보는 개인별 보안 위험도를 분석하여 산출하는 기준이 되는 개인별 행위에 대한 원천 데이터를 의미한다.
전술한 로그정보 수집은 실시간 연동이 가능한 시스템의 경우라면 가능한 실시간 수집이 바람직하다. 이때 실시간으로 로그정보를 수집하는 방법은 로그정보 수집의 대상이 되는 행위가 발생하는 즉시 수집하는 것으로서, DB 링크(SQL*Net 등), (S)FTP, NFS, 데이터공유 등의 대상시스템에서 지원 가능한 모든 고전적인 데이터 수집(전송) 방식과 대상시스템에 특화된 별도 개발 에이전트(Agent) 방식 중 어느 하나를 선택하며, 이러한 로그정보 수집방법은 시스템 구축 환경의 보안 정책에 의해 결정된다. 다른 예로, 1일 1회 전일(D-1) 데이터에서 일괄 수집하도록 하거나, 특정 기간동안의 데이터를 수집하도록 할 수도 있다.
상기 표준화 데이터베이스(표준화 DB, 200)는 정보보안에 필요한 데이터들의 중앙 집합체로서 사용자 표준화 DB(210)와, 표준화 로그 DB(220) 및 통합 DB(230)를 포함한다.
상기 사용자 표준화 DB(210)는 조직 내 사용자의 주민번호(또는 사번), 이름, 직급, 부서, 연락처(내선 번호, 휴대폰), IP, 메일 아이디(Mail-ID), 시스템별 접속 ID 등을 데이터베이스화하여 관리하며, 인사관리시스템(미도시)과 연동한다. 연동된 데이터는 보안관리자가 분석결과에 대하여 실제 사용자를 시스템에서 실시간으로 확인할 수 있으며, 인사정보의 변동시 즉시 업데이트 후 적용된다.
상기 표준화 로그 DB(220)는 이기종의 보안시스템의 로그정보를 취합하여 중복되는 데이터를 제거한 후 표준화 데이터베이스를 구축한 것으로, 추후 필요한 데이터에 대하여 원본에서 항상 재추출하여 데이터베이스를 추가 업데이트 한다.
상기 통합 DB(230)는 사용자 표준화 DB(210)와 표준화 로그 DB(220)의 정보를 매핑하여 새로운 통합 데이터베이스를 재구축한 것이다.
상기 패턴추출부(300)는 로그정보 수집부(100)에서 수집된 다양한 로그정보로부터 도 2에 도시된 바와 같은 사용자별 패턴을 추출하고, 통상패턴을 정의한다. 여기서, 통상패턴은 통상행위를 벗어나는 일탈행위 즉 보안상 중요한 행위가 있었는지를 판단하기 위한 기준 데이터로 사용되는 것으로, 사용자별 패턴의 평균으로부터 적정 범위 내로 정의한다.
도 2는 패턴추출부에 의해 추출된 사용자별 패턴의 예를 도시한 것으로, 본 실시예는 14명의 직원(사용자) 각각에 대해 단위 보안시스템 중 특히 비업무사이트접속, 웹메일, 파일전송, 암호화문서에 로그인한 횟수를 패턴화(그래프로 도식화)하여 나타낸 것이다.
도 2를 참조하면, A는 조사 대상 사용자인 직원 14명이 각 보안시스템에 로그인한 횟수의 평균을 나타낸 것이고, N-와 N+는 각각 평균으로부터 하한 및 상한 20% 범위를 나타낸 것으로 본 실시예에서는 N-와 N+ 사이 범위를 통상패턴의 범위로 설정한다. 이러한 통상패턴의 범위는 전사적으로(조직 전체에) 일괄 적용할 수 있으나 부서나 직무 특성에 따라 평균 또는 평균으로부터 적정 범위 이내로 설정하여 데이터베이스화하는 것이 바람직하다.
다시 도 1을 참조하면, 상기 패턴분석부(400)는 패턴추출부에 의해 추출된 사용자별 패턴을 통상패턴과 비교하여 보안위험 여부를 분석한다. 여기서, 패턴분석에는 이상패턴 분석방법, 종합패턴 분석방법, 추가 분석방법 등의 분석기법이 적용될 수 있다.
먼저, 이상패턴 분석방법은 사용자별 패턴 중 전술한 통상패턴의 범위를 초과하는 패턴을 이상패턴으로 정의하고, 이상패턴을 지수화한다. 이상패턴 지수화는 통상범위를 초과하는 횟수에 설정된 가중치 점수를 곱한 것으로,
이상패턴 지수화 = 초과범위 건수 * 가중치 점수(1~5점)
로 계산하며, 지수화 값이 클수록 보안위험도가 높아진다.
다음으로, 종합패턴 분석방법은 업무의 성격상 각 사용자의 패턴에 차이가 발생할 수 있으므로, 일괄적인 기준을 적용하는 것은 비합리적일 수 있으므로 개입별/부서별/사업장별로 동일 업무를 기준으로 통상패턴을 데이터베이스화한 후 보안상 중요하다고 판단되는 행위에 대한 사전 정의 및 분석을 통해 별도로 분석한 다음 각 업무의 중요도에 따라 가중치를 다르게 적용하여,
종합지수화 = 이상패턴 지수화 * 업무 가중치(1~5점)
로 계산한다.
도 3은 종합패턴 분석을 위해 특정 업무에 대한 사용자 개인별 통상패턴 예를 도시한 것으로, 본 실시예는 8월1일부터 8월14일까지 2주간의 웹메일 로그정보를 패턴화하여 나타낸 것이다. 도 3에서, 8월 2일, 6일에 주간평균을 초과하는 이상패턴이 발생하였으며, 8월12, 13, 14일에 주간평균을 초과하는 이상패턴이 발생하였음을 알 수 있다.
다음으로, 추가분석 방법은 이상패턴 발생자에 대하여 보안상 중요한 행위가 있추가적으로 분석하여 별도 관리하는 방법으로, 예를 들어, 도 3에서 8월2일 사용자 A는 웹메일 사용이 주간평균(약 3회)을 2회 이상 초과하였으므로 사용자 A에 대하여 보안성 시나리오 분석을 추가로 실시한다. 이러한 추가분석은 행위별 이상패턴에 대해 다른 영역의 세부내역을 조사함으로써 범위를 벗어나서 발생할 수 있는 감사의 사각지대를 보완할 수 있다.
또한, 보안사고 발생 건에 대한 패턴을 이상패턴으로 추가 등록함으로써 보안사고 발생 건과 유사한 패턴을 비교 감사할 수 있다. 예를 들어, 8월2일 사용자 A의 웹메일로 정보유출 사고가 발생했을 경우 사용자 A의 패턴을 이상패턴으로 추가 등록한 후, 사용자 A의 패턴을 다른 사용자의 패턴과 비교하여 유사패턴이 있는 경우 해당 사용자에 대해 표 2에 예시한 바와 같은 보안상 중요한 행위로 정의되는 행위(비정상적인 행위)가 있었는지에 대한 분석을 추가로 수행한다.
| 보안상 중요한 행위 | 상세내용 |
| 자기 자신에게 메일발송 | 발송된 메일의 수신자가 발신자 mail-ID와 동일 |
| 경쟁사로 메일발송 | 수신자 도메인이 경쟁사 메일서버의 도메인 |
| 대용량 메일발송 | 외부발송 메일의 용량이 보안규정 초과 |
| 보안 키워드 포함 메일 | 외부발송 메일의 내용 중 특정 키워드 포함 |
| 동일 IP에서 다중 mail-ID 검출 | 동일 IP에서 2개 이상의 사내 mail-ID 검출 |
| 동일 mail-ID에서 다중 IP 검출 | 동일 사내 mail-ID에서 2개의 IP 검출 |
| 사외 메일로 내부직원에게 메일발송 |
사외 메일을 통해 내부직원에게 메일발송 |
| 파일 분할 전송 | 최초 생성된 파일의 확장자 변경 후 외부 전송 |
| 확장자 변경 후 전송 | 전송프로그램을 이용한 원본파일 분할 후 외부 전송 |
| IP 변경 | 허가없이 IP 변경 |
| PC 시간 변경 | PC 시간을 고의로 변경 |
| OS 재설치 | PC의 OS 재설치 |
| 비인가 사이트 접속 차단 | 접속 미허가 사이트 접속시도 차단 |
| 비밀번호 3회 이상 오류 | 특정 업무서버 비밀번호 3회 이상 실패 |
| 외부 저장매체 사용 | 외부 저장매체 사용 및 차단 이력 |
| PC 보안 Agent 설치 | PC 보안 Agent 재설치 이력 |
| 외부에서 내부시스템 접촉 | 외부에서 내부 시스템 접속 및 사용 이력 |
| 노트북 반출 | 노트북 및 외부 저장매체 반출 이력 |
전술한 구성을 갖는 본 발명의 일 실시예에 따른 정보보안 장치를 이용한 정보보안 방법에 대해 살펴보면 다음과 같다.
도 4는 본 발명의 일 실시예에 따른 빅데이터 로그 다차원분석을 통한 정보보안 방법을 설명하기 위한 흐름도이다. 본 실시예는 단위 보안시스템으로부터 로그정보를 추출하고 표준화 DB를 구축한 다음 통상패턴을 정의하고 통상패턴과의 비교를 통해 보안위협 여부를 분석하는 일련의 과정을 설명하기 위한 것이다.
도 4를 참조하면, 먼저, 로그정보 수집부는 단위 보안시스템으로부터 로그정보를 수집한다(S401). 여기서, 수집 대상이 되는 로그정보는 내부망에서 유출되는 이기종 간의 아웃바운드 패킷에 관한 정보이다.
다음으로, 표준화 DB에서 로그정보를 통합하여 표준화 DB를 구축한다(S402). 여기서, 표준화 DB는 인사관리시스템과 연동하며, 중복되는 데이터를 제거하고 사용자 표준화 DB와 표준화 로그 DB 정보를 매핑하여 통합 데이터베이스를 재구축한다.
다음으로, 패턴추출부는 로그정보 수집부에서 수집된 다양한 로그정보 및 표준화 DB로부터 사용자별 패턴을 추출한(S403) 후 통상패턴을 정의하고 이를 DB화하여 관리한다(S404).
다음으로, 패턴분석부는 S403에서 추출된 사용자별 패턴이 통상패턴 범위에 속하는가를 판단하여(S405) 통상패턴 범위에 속하는 사용자에 대해서는 분석을 종료하고(S406) 통상패턴 범위를 초과하는 사용자에 대해서는 패턴분석을 실시하여 해당 패턴을 이상패턴으로 정의하고 DB화하여 관리한다(S407). 여기서, 패턴분석부는 전술한 이상패턴 분석방법 및 종합패턴 분석방법에 의해 패턴을 분석한다.
계속해서, 패턴분석부는 이상패턴 발생자에 대해 보안상 중요한 행위가 있었는지를 추가적으로 분석하여(S408) 신규패턴을 생성한다(S409).
계속해서, S409 단계에서 생성된 신규패턴을 반영하여 S404 단계의 통상패턴 정의를 갱신한다(S410).
전술한 본 발명의 실시예는 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
한편, 본 발명의 상세한 설명 및 첨부도면에서는 구체적인 실시예에 관해 설명하였으나, 본 발명은 개시된 실시예에 한정되지 않고 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다. 따라서, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들을 포함하는 것으로 해석되어야 할 것이다.
100 : 로그정보 수집부
110 : 단위 보안시스템
200 : 표준화 데이터베이스
300 : 패턴추출부
400 : 패턴분석부
110 : 단위 보안시스템
200 : 표준화 데이터베이스
300 : 패턴추출부
400 : 패턴분석부
Claims (8)
- 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 로그정보 수집부와;
상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 표준화 데이터베이스와;
상기 로그정보 수집부와 상기 표준화 데이터베이스로부터 상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 패턴추출부; 및
상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 패턴분석부를 포함하는 것을 특징으로 하는 정보보안 장치.
- 제 1 항에 있어서, 상기 사용자 정보는
상기 사용자가 사용하는 개인용 컴퓨터(PC)의 IP, Mac, Host-Name, 메일 ID 중 적어도 하나를 포함하는 사용자 PC 정보; 및
상기 사용자의 주민등록번호, 사원번호, 부서, 직급, 직책, 메일 ID 중 적어도 하나를 포함하는 사용자 인사정보를 포함하는 것을 특징으로 하는 정보보안 장치.
- 제 1 항에 있어서, 상기 패턴추출부는
상기 사용자 전체의 로그횟수에 대한 평균을 기준으로 기설정된 범위 이내를 통상패턴으로 정의하는 것을 특징으로 하는 정보보안 장치.
- 제 1 항에 있어서, 상기 패턴분석부는
상기 통상패턴을 초과하는 건수당 동일 가중치를 부여하는 이상패턴 지수화 계산 및 기설정된 조건에 따라 상기 이상패턴 지수화에 서로 다른 가중치를 부여하는 종합지수화 계산을 수행하는 것을 특징으로 하는 정보보안 장치.
- 단위 보안시스템으로부터 복수의 사용자 각각에 대한 로그정보를 수집하는 과정과;
상기 로그정보와 상기 사용자 각각에 대한 사용자 정보를 통합하여 통합데이터베이스를 구축하는 과정과;
상기 사용자 각각에 대한 단위 보안시스템 로그정보를 패턴화한 사용자별 패턴을 추출하고, 상기 사용자별 패턴으로부터 보안상 중요한 행위가 있었는가를 판단하는 기준이 되는 통상패턴을 정의하는 과정; 및
상기 사용자별 패턴을 상기 통상패턴과 비교하여 보안위험 여부를 분석하는 과정을 포함하는 것을 특징으로 하는 정보보안 방법.
- 제 5 항에 있어서, 상기 보안위험 여부 분석 후
이상패턴 발생자에 대해 보안상 중요한 행위가 있었는지를 추가적으로 분석하여 신규패턴을 생성하는 과정; 및
상기 신규패턴을 반영하여 상기 통상패턴 정의를 갱신하는 과정을 더 포함하는 것을 특징으로 하는 정보보안 방법.
- 제 5 항 또는 제 6 항에 있어서, 상기 통상패턴을 정의하는 과정에서
상기 사용자 전체의 로그횟수에 대한 평균을 기준으로 기설정된 범위 이내를 통상패턴으로 정의하는 것을 특징으로 하는 정보보안 방법.
- 제 5 항 또는 제 6 항에 있어서, 상기 보안위험 여부를 분석하는 과정에서
상기 통상패턴을 초과하는 건수당 동일 가중치를 부여하는 이상패턴 지수화 계산 및 기설정된 조건에 따라 상기 이상패턴 지수화에 서로 다른 가중치를 부여하는 종합지수화 계산을 수행하는 것을 특징으로 하는 정보보안 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120101648A KR20140035146A (ko) | 2012-09-13 | 2012-09-13 | 정보보안 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120101648A KR20140035146A (ko) | 2012-09-13 | 2012-09-13 | 정보보안 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20140035146A true KR20140035146A (ko) | 2014-03-21 |
Family
ID=50645244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120101648A KR20140035146A (ko) | 2012-09-13 | 2012-09-13 | 정보보안 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20140035146A (ko) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101462608B1 (ko) * | 2014-04-11 | 2014-11-20 | (주)세이퍼존 | 적응형 빅데이타 처리 기반 이상 징후 탐지 시스템 |
| KR101663585B1 (ko) * | 2016-02-24 | 2016-10-10 | 서원대학교산학협력단 | 기업의 업무행위기반 빅데이터 분석기법을 이용한 정보시스템 접근통제 시스템 및 그 방법 |
| KR101933712B1 (ko) | 2017-07-19 | 2019-04-05 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 방법 |
| CN111914229A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种身份验证方法、装置、电子设备及存储介质 |
| KR20210028952A (ko) | 2019-09-05 | 2021-03-15 | 주식회사 에스링크 | 개인정보 보안제품 통합관제 시스템 |
| KR20210083607A (ko) * | 2019-12-27 | 2021-07-07 | 우정우 | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 |
| US11436150B2 (en) | 2020-05-29 | 2022-09-06 | Research & Business Foundation Sungkyunkwan University | Method for processing page fault by processor |
| KR20230072253A (ko) * | 2021-11-17 | 2023-05-24 | 상명대학교산학협력단 | 딥러닝을 적용한 출입문 출입관리 시스템 |
| KR20230072280A (ko) * | 2021-11-17 | 2023-05-24 | 상명대학교산학협력단 | 머신러닝 학습알고리즘을 이용한 보안실 보관관리 시스템 |
| KR20230099009A (ko) | 2021-12-27 | 2023-07-04 | 주식회사 삼오씨엔에스 | 개인정보 접속기록 데이터를 통한 개인정보접속 이상행위 분석방법 |
-
2012
- 2012-09-13 KR KR1020120101648A patent/KR20140035146A/ko not_active Application Discontinuation
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101462608B1 (ko) * | 2014-04-11 | 2014-11-20 | (주)세이퍼존 | 적응형 빅데이타 처리 기반 이상 징후 탐지 시스템 |
| KR101663585B1 (ko) * | 2016-02-24 | 2016-10-10 | 서원대학교산학협력단 | 기업의 업무행위기반 빅데이터 분석기법을 이용한 정보시스템 접근통제 시스템 및 그 방법 |
| KR101933712B1 (ko) | 2017-07-19 | 2019-04-05 | 주식회사 삼오씨엔에스 | 개인정보 보안제품 통합관제 방법 |
| KR20210028952A (ko) | 2019-09-05 | 2021-03-15 | 주식회사 에스링크 | 개인정보 보안제품 통합관제 시스템 |
| KR20210083607A (ko) * | 2019-12-27 | 2021-07-07 | 우정우 | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 |
| US11436150B2 (en) | 2020-05-29 | 2022-09-06 | Research & Business Foundation Sungkyunkwan University | Method for processing page fault by processor |
| CN111914229A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种身份验证方法、装置、电子设备及存储介质 |
| KR20230072253A (ko) * | 2021-11-17 | 2023-05-24 | 상명대학교산학협력단 | 딥러닝을 적용한 출입문 출입관리 시스템 |
| KR20230072280A (ko) * | 2021-11-17 | 2023-05-24 | 상명대학교산학협력단 | 머신러닝 학습알고리즘을 이용한 보안실 보관관리 시스템 |
| KR20230099009A (ko) | 2021-12-27 | 2023-07-04 | 주식회사 삼오씨엔에스 | 개인정보 접속기록 데이터를 통한 개인정보접속 이상행위 분석방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| EP3641225B1 (en) | Policy-driven compliance | |
| EP3262815B1 (en) | System and method for securing an enterprise computing environment | |
| US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
| Kholidy | Detecting impersonation attacks in cloud computing environments using a centric user profiling approach | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US10027679B2 (en) | Secondary asynchronous background authorization (SABA) | |
| US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| KR101292640B1 (ko) | 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| KR102295488B1 (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| Xu et al. | Network security | |
| Yousef et al. | Measuring the effectiveness of user and entity behavior analytics for the prevention of insider threats | |
| Gupta et al. | Cyber security assessment education for E-governance systems | |
| Bertino et al. | Web services threats, vulnerabilities, and countermeasures | |
| KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
| Lakka et al. | Incident handling for healthcare organizations and supply-chains | |
| JP6933320B2 (ja) | サイバーセキュリティフレームワークボックス | |
| Žgela et al. | Security Information and Event Management–Capabilities, Challenges and Event Analysis in the Complex IT System | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
| Malek et al. | GUI-based user behavior intrusion detection | |
| KR102267411B1 (ko) | 컴플라이언스를 이용한 데이터 보안 관리 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |