KR20190111685A - 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법 - Google Patents

단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법 Download PDF

Info

Publication number
KR20190111685A
KR20190111685A KR1020180034127A KR20180034127A KR20190111685A KR 20190111685 A KR20190111685 A KR 20190111685A KR 1020180034127 A KR1020180034127 A KR 1020180034127A KR 20180034127 A KR20180034127 A KR 20180034127A KR 20190111685 A KR20190111685 A KR 20190111685A
Authority
KR
South Korea
Prior art keywords
vulnerability
weakness
security
list
server
Prior art date
Application number
KR1020180034127A
Other languages
English (en)
Other versions
KR102095492B1 (ko
Inventor
오광선
임대훈
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020180034127A priority Critical patent/KR102095492B1/ko
Publication of KR20190111685A publication Critical patent/KR20190111685A/ko
Application granted granted Critical
Publication of KR102095492B1 publication Critical patent/KR102095492B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 단일 윈도우 서버 취약점 점검 시스템은, 점검대상 서버들의 취약점 점검 및 정량 평가를 수행할 수 있도록 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별모듈을 취약점 관리서버로부터 제공받아 실행을 준비하고, 상기 점검할 취약점 목록에 따라 상기 점검대상 서버를 점검 후 그 결과파일을 취약점 관리 서버로 업로드 하여 약점 유형별로 식별된 취약점을 분석하며, 분석된 약점 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가 하는 취약점 관리서버를 포함하는 기술을 제공함에 기술적 특징이 있다.

Description

단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법{SINGLE WINDOWS SERVER WEAKNESS CHECK SYSTEM AND METHOD FOR QUANTITATIVE ANALYSIS OF SECURITY WEAKNESS IMPORTANCE USING THE THEREOF}
본 발명은 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법에 관한 것으로, 더욱 상세하게는 점검대상 서버들에 대한 취약점 점검을 실행할 수 있도록 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별모듈을 취약점 관리 서버로부터 제공받아 실행을 준비한다.
다음으로 상기 점검할 취약점 목록에 따라 상기 점검대상 서버를 점검 후 그 결과파일을 취약점 관리 서버로 업로드 하여 약점 유형별로 식별된 취약점을 분석하며, 분석된 약점 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가하는 것이다.
보안 취약점 스캐너는 컴퓨터, 컴퓨터 시스템, 네트워크 또는 애플리케이션의 취약점을 식별하는 용도로 만들어진 컴퓨터 프로그램이다.
일반적으로 이러한 보안 취약점 스캐너는 기업의 취약점 관리의 한 부분으로 활용되어 질 수 있으며, 시스템 보안 관련 종사자들이 활용한다.
종래의 보안 취약점 스캐너는 네트워크를 통해 원격시스템을 대상으로 취약점 점검을 수행하거나 대상시스템에 에이전트를 설치하여 취약점을 식별한 후 결과물을 서버로 전송하는 형태로 취약점 점검을 수행한다.
또한 종래의 보안 취약점 스캐너는 취약점 식별 완료 후 생성하는 결과보고서에 대해 식별된 취약점을 CVSS의 Base Score 기준에 따라 순서대로 목록화 하여 작성된다.
하지만 종래의 보안 취약점 스캐너를 이용한 취약점 결과물은, 서버 구성 및 사양은 비슷하지만 다른 업무 성격을 가진 서버들 간에 어떠한 서버가 더 위험에 노출되어 있고 상대적으로 양호한지에 대한 정량적인 비교를 하기에는 어려운 단점이 있었다.
또한 이러한 정량 평가를 위해 Mitre 사에서 제공되는 종래의 CWSS의 메트릭 그룹 요소는 그 자체의 기준이 모호하기 때문에, 실제 환경에 그대로 적용하여 객관적인 평가를 하기에는 무리가 있는 문제점이 있었다.
대한민국 공개특허 제10-2010-0066841호
본 발명이 해결하고자 하는 기술적 과제는, 점검대상 서버들의 취약점 점검 및 정량 평가를 수행할 수 있도록 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별모듈을 취약점 관리서버로부터 제공받아 실행을 준비하고, 상기 점검할 취약점 목록에 따라 상기 점검대상 서버를 점검 후 그 결과파일을 취약점 관리 서버로 업로드 하여 약점 유형별로 식별된 취약점을 분석하며, 분석된 약점 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가 하는 방법을 제공하는데 있다.
상기 기술적 과제를 이루기 위한 본 발명에 따른 보안 약점 중요도 정량평가 방법은, 점검대상 서버에 대한 취약점 점검 실행을 위해 취약점 관리 서버는 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별모듈을 준비하는 제1 과정; 상기 점검대상 서버들이 상기 취약점 관리서버에 접속하여 상기 취약점 평가 언어 및 상기 점검할 취약점 목록 및 취약점 식별모듈을 다운로드 받아 각각의 보안 취약점 점검을 실행하는 제2 과정; 상기 점검대상 서버들이 점검할 취약점 목록에 따른 각각의 점검 결과파일을 생성한 후 상기 취약점 관리서버로 업로드 하는 제3 과정; 및 상기 취약점 관리서버는 업로드 된 상기 점검 결과파일에 대해 약점 유형별로 취약점을 분석하고, 분석된 약점 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가하는 제4 과정을 포함하는 기술을 제공한다.
본 발명은 취약점 평가 언어를 이용하여 대상시스템의 취약점을 식별 후 나온 결과물에 대해 Mitre 사에서 제공하는 CWE 약점 유형을 기준으로 식별된 취약점들을 그룹화 하고, 이러한 그룹들의 약점 중요도에 대한 정량화 평가를 통해 다른 서버들과도 보안약점 중요도에 대한 객관적인 정량화 비교가 가능해지도록 해주는 기술적 효과가 있다.
또한 본 발명은 점검대상 서버들 각각이 별도 에이전트 설치 또는 네트워크 연결 없이도 취약점 관리서버에 직접 접속하여 취약점 평가 언어, 점검할 보안 취약점의 목록 및 취약점 식별모듈을 다운로드 받아, 점검대상 서버들 각각이 취약점을 점검하는 동안 점검대상 서버 자체 리소스만 사용함으로써, 네트워크 환경에서의 트래픽에 대한 영향을 주지 않는 기술적 장점을 갖는다.
도 1은 본 발명에 따른 단일 윈도우 서버 취약점 점검 시스템의 구성을 나타낸 것이다.
도 2a는 본 발명에 따른 취약점 관리서버의 구성을 나타낸 것이다.
도 2b는 본 발명에 따른 취약점 식별도구의 구성을 나타낸 것이다.
도 3은 본 발명에 따른 단일 윈도우 서버시스템 취약점 점검을 이용한 보안 약점 중요도 정량평가를 수행하는 과정을 순서도로 나타낸 것이다.
이하에서는 본 발명의 구체적인 실시예를 도면을 참조하여 상세히 설명하도록 한다.
도 1은 본 발명에 따른 단일 윈도우 서버 취약점 점검 시스템의 구성을 나타낸 것이고, 도 2a는 본 발명에 따른 취약점 관리서버의 구성을 나타낸 것이며, 도 2b는 본 발명에 따른 취약점 식별도구의 구성을 나타낸 것이다.
도 1을 참조하면, 본 발명에 따른 단일 윈도우 서버 취약점 점검 시스템(1000)은 취약점 점검 시스템(100) 및 점검대상 서버 그룹(200)을 포함한다.
여기서 취약점 점검 시스템(100)은 OVAL(Open Vulnerability and Assessment Language)을 이용한 호스트 기반의 취약점 스캐너로서, 취약점 관리서버(110), 취약점 식별도구(120) 및 취약점 DB(130)을 포함한다.
이 경우 OVAL(Open Vulnerability and Assessment Language)은 미국의 비영리 연구기관인 MITRE 사에서 발표한 로컬 컴퓨터시스템의 보안취약성 평가를 위한 표준 언어이며, 취약점 식별도구(120)의 취약점 평가 언어(121)는 이 OVAL을 의미한다.
취약점 관리서버(110)는 도 2a에 도시된 바대로, 취약점 평가 언어 제공부(111), 점검할 취약점 목록 제공부(112), 취약점 식별도구 제공부(113), CWE 약점 목록 기반 스코링부(114)를 포함한다.
여기서 취약점 평가 언어 제공부(111)는 점검대상 서버 그룹(200)에 대해 최신의 보안취약점을 식별하도록 OVAL의 최신 버전 준비 및 취약점 DB(130)와의 정보 매핑을 의미하며, 점검할 취약점 목록 제공부(112)는 점검대상 서버 그룹(200)에서 취약점 식별 모듈(123)이 점검할 취약점 목록(122)을 기준으로 점검할 수 있도록 준비하는 기능을 담당한다.
취약점 식별도구 제공부(113)는 점검대상 서버 그룹(200)에서 취약점 식별도구(120)를 다운로드 할 수 있도록 준비하는 작업을 의미하며 CWE 약점 목록 기반 스코링부(114)는 점검대상 서버 그룹(200)에 대한 정량평가 과정을 의미한다.
다음으로 취약점 식별도구(120)는 도 2b에 도시된 바대로, 취약점 평가언어 (121), 점검할 취약점 목록(122) 및 취약점 식별 모듈(123)을 포함한다.
이하 도 1 및 도 2b를 참조하여, 취약점 식별도구(120)의 각각의 구성에 대해 상세히 설명한다.
첫째, 취약점 평가언어(121)는 점검대상 서버 그룹(200)의 보안 취약점을 평가하기 위한 언어로 OVAL(Open Vulnerability and Assessment Language)을 제공하여 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N)에 대한 취약점을 식별할 수 있도록 해준다.
이하 현재 OVAL(Open Vulnerability and Assessment Language)에서 제공하는 플랫폼(OS), 파일, 주요 필드정보 등에 대해 설명한다.
하기 표1은 현재 OVAL(Open Vulnerability and Assessment Language)에서 제공하는 주요 플랫폼(OS) 항목을 나타낸 것이다.
Figure pat00001
상기 취약점 점검 관리서버(110)의 점검할 취약점 목록(122)은 점검할 취약점 목록 제공부(112) 과정에서 생성된 Windows.dat 파일을 기준으로 취약점 평가 언어(111)인 OVAL의 Windows.xml 파일의 취약점 목록 중 Windows.dat 파일에 존재하는 취약점만을 검사할 수 있도록 해준다.
상기 취약점 식별 모듈(123)은 상기 취약점 평가 언어(121)와 점검할 취약점 목록(122) 파일을 이용하여 실제 점검 대상 서버그룹(200)에서 취약점을 식별 하는 모듈이다.
하기 표2는 OVAL을 이용하여 단일 서버에 대한 취약점 식별 기능을 수행하도록, 취약점 점검 시스템(100)에서 지원하는 Product 및 서비스 목록에 대한 예시를 나타낸 것이다.
Figure pat00002
Figure pat00003
이 경우 점검대상 서버 그룹(200)에서 취약점 스캐닝이 완료되면, c:\tmp 디렉터리 안에 점검결과파일(이를테면, CVEResult_[점검대상IP].dat)이 저장되며, 생성된 점검결과파일은 다시 취약점 관리서버(110)로 업로드 됨으로써 식별된 취약점 목록의 확인이 가능해 지고, 취약점 관리서버(110)는 식별된 취약점에 대한 간략한 취약점 내용, POC 공개여부 정보 등을 사용자에게 제공할 수 있게 된다.
또한 취약점 관리서버(110)는 취약점 평가 언어(OVAL)를 이용하여 점검대상 서버 그룹(200)의 각각의 점검대상 서버들(200-1 ~ 200-N)에 대해 취약점 스캐닝을 진행하여 식별된 결과물(보안 약점들 : 보안취약점의 근본적인 원인이 되는 소프트웨어의 결함 또는 버그 등의 오류)을 CWE(Common Weakness Enumeration) 유형을 기준으로 유형별로 그룹화 할 수 있는 CWE 약점 목록 기반 스코어링부(114)기능을 통해 점검대상 서버들(200-1 ~ 200-N)에 대한 보안 약점 정량 평가를 진행한다.
여기서 CWE(Common Weakness Enumeration)는 Mitre 사에서 관리되는 소프트웨어의 약점을 타겟으로 하는 소프트웨어 보안 도구의 표준 측정 도구로서, 이를 통해 약점 파악, 완화 및 예방 노력에 대한 공통 기본 표준을 제공하며, 유형 Category와 그 하위의 Base 항목을 소유하여 Parent, Child 구조의 트리(tree) 구조로 구성된다.
하기 표3은 취약점 DB(130)에 등록되어 있는 소프트웨어 약점 유형 목록을 CWE ID 별로 나타낸 것이다.
Figure pat00004
Figure pat00005
Figure pat00006
상기 CWE 약점 기반 스코링부(114)는 Mitre社에서 제공하는 CWSS(Common Weakness Scoring System)을 활용한 보안 약점 중요도 정량 평가를 가능케 해주는데, 이는 식별된 취약점들을 CWE 약점 유형별로 그룹화 하여 이들 그룹별 중요도에 대한 정량화 평가를 통해 다른 서버들과도 보안 약점에 대한 객관적인 정량화 비교가 가능하도록 해준다.
이를 부연설명하면, CWE(Common)는 Mitre社에서 관리되는 소프트웨어 약점 유형 공식 목록으로 소프트웨어의 약점을 타겟으로 하는 소프트웨어 보안 도구의 표준 측정 도구이다.
CWSS(Common Weakness Scoring System)는 3가지 메트릭으로 Base Finding Metric, Attack Surface Metric, Enviromental Metric으로 구성되어 있다. 1)Base Finding Metric(약점의 고유한 위험, 발견된 취약점의 정확성 등을 정량적으로 평가하기 위함), 2)Attack Surface Metric(취약점을 악용하기 위해 공격자가 극복해야 하는 장벽을 정량적으로 평가하기 위함) 및 3)Environmental Metric(특정 환경이나 운영환경에 대한 특정한 약점의 특성을 정량적으로 평가하기 위함)로 분류된다.
한편 본 발명에 따른 취약점 점검 시스템(100)은 상기 1)Base Finding Metric( 0 ~ 100점 사이의 범위를 가짐) 만을 사용하여 객관적인 기준을 기반으로 한 보안 약점 수준을 정량적으로 제공해 준다.
이하 CWE 약점 목록 기반 스코링부(114)의 CWE 스코링(Scoring) 계산 방법을 실시예를 들어 간단히 설명한다.
우선 CWE 스코링(Scoring) 계산 시 사용되는 Base Finding Metric의 평가 지수를 정의한다.
<Base Finding Metric의 평가 지수>
TI : Technical Impact(취약점 DB(130)의 fldTI DB 필드의 값과 매칭)
AP : Acquired Privilege(취약점 DB(130)의 fldAP DB필드의 값과 매칭)
AL : Acquired Privilege Layer(취약점 DB(130)의 fldAL DB필드의 값과 매칭)
IC : Internal Control Effectiveness(취약점 DB(130)의 fldIC DB필드의 값과 매칭)
FC : Finding Confidence(취약점 DB(130)의 fldFC DB필드의 값과 매칭)
다음으로, 상기 Base Finding Metric의 평가 지수(TI, AP, AL, IC, FC)를 변수로 하여 Base Score(BS)를 계산하기 위한 공식은 하기 수학식1로 표현된다.
Figure pat00007
여기서 Base Score(BS)는 0~100점 기준으로 환산되며, 이때 환산되는 점수가 높을수록 보안 취약점에 대한 위험 지수가 높음을 의미한다.
이하 상기 수학식1을 통해 A시스템의 CWE 종류 별 보안약점 정량평가(Base Score)를 계산하는 방법을 하기 실시예를 들어 설명한다.
[실시예1] : A시스템의 식별된 취약점 중 CWE 종류가 100인 취약점 목록인 경우
- CVE2017-1001(TI:0.7, AP:0.5, AL:0.5, IC:0.9, FC:0.5)
- CVE2016-1456(TI:0.8, AP:0.9, AL:0.7, IC:0.9, FC:0.5)
- CVE2015-1123(TI:0.4, AP:1.0, AL:0.9, IC:0.9, FC:1)
- CVE2017-1321(TI:0.5, AP:0.5, AL:0.9, IC:0.9, FC:1)
- CVE2017-1654(TI:0.9, AP:0.7, AL:0.6, IC:0.9, FC:1)
상기 수학식1에 이를 적용하면,
BS1 = [(10*0.9 + 5*(1+0.9)+ 5*1)*0.9*0.9]*4.0 = 76.14
이 경우, TI, AP, AL, FC, TI, IC 각각의 Subscore는 최고점을 기준으로 계산하였고, 점검 대상 서버가 외부 망에 존재한다는 가정 하에 IC값은 0.9로 계산하였다.
[실시예2] : A시스템의 식별된 취약점 중 CWE 종류가 200인 취약점 목록인 경우
- CVE2017-2001(TI:0.5, AP:1.0, AL:0.7, IC:0.9, FC:1)
- CVE2016-2456(TI:0.7, AP:0.9, AL:0.5, IC:0.9, FC:1)
- CVE2015-2123(TI:0.6, AP:0.5, AL:0.6, IC:0.9, FC:0.5)
- CVE2017-2321(TI:0.7, AP:0.8, AL:0.6, IC:0.9, FC:0.8)
- CVE2017-2654(TI:0.5, AP:0.9, AL:0.9, IC:0.9, FC:0.5)
상기 수학식1에 이를 적용하면,
BS2 = [(10*0.7 + 5*(1+0.9)+ 5*1)*0.7*0.9]*4.0 = 54.18
이 경우, TI, AP, AL, FC, TI, IC 각각의 Subscore는 최고점을 기준으로 계산하였고, 점검 대상 서버가 외부 망에 존재한다는 가정 하에 IC값은 0.9로 계산하였다.
이하 상기 [실시예1] 및 상기 [실시예2]에서 구한 Base Score(BS) 값을 토대로, A시스템의 최종 보안약점 정량 평가 점수(FS)를 계산하는 방법을 설명한다.
이 경우 A시스템의 최종 보안약점 정량 평가 점수(FS)는 하기 수학식 2로 정의할 수 있다.
Figure pat00008
여기서 T는 Base Score(BS)와 취약점 점검 시스템(100)의 취약점 DB(130)에 등록되어 있는 CWE 요소 개수와 곱으로 표현되며, Base Score(BS)의 계산은 TI, AP, AL, IC 값은 1로, IC 값은 평가 대상 시스템의 위치에 따라 가변적으로 설정되는 특성상, 대상 시스템이 외부 망이라 가정하고 0.9로 계산하였다.
즉 상기와 같은 조건하에, 상기 수학식1에 이를 적용하면,
Base Score(BS) = [(10*1 + 5*(1+1) + 5*1)*1*0.9 ] *4.0 = 90
T = 90 * 20(등록된 CWE항목 개수) = 1800
상기와 같이 계산된 T를 상기 수학식2에 적용하면,
FS = {(76.14 + 54.18)*100}/1800 = 7.25의 점수를 갖는데, 이 점수가 높을수록 해당 시스템(A)의 보안이 취약함을 의미한다.
다시 도 2a를 참조하면, 취약점 관리 서버(110)는 상기 점검대상 서버 그룹(200)의 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N)가 제공하는 각각의 점검 결과파일(Fcr)을 수신하고, 수신된 각각의 점검 결과파일(Fcr)을 분석하여 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N) 각각의 보안 약점의 중요도를 정량평가 한다.
이 경우 CWE 약점 목록 기반 스코링부(114)에서 분석된 결과를 하기 표4에 실시예로 나타내었다.
Figure pat00009
다시 도 1을 참조하면, 취약점 DB(130)는 점검할 보안 취약점의 목록 및 세부내용을 저장하는 데이터베이스로서, 상기 취약점 관리 서버(110)와 연동되어 점검할 보안 취약점의 목록을 업데이트 하며, 상기 취약점 관리 서버(110)는 보안 점검 실행 시 상기 점검대상 서버 그룹(200)으로 점검할 보안 취약점의 목록을 전송해 준다.
취약점 DB(130)를 부연설명하면, 취약점 DB(130)는 보안취약점 세부 정보를 담고 있는 기본테이블(이를테면, tblVulnerabilityDesc)을 구성하며, 주요 필드 정보(이를테면, fldCVEID(Mitre 사에서 발표하는 취약점 ID Number), fldOVALID(OVAL에서 제공되는 취약점 ID Number), fldVulnerabilityType(공격 유형), fldCWEType(CWE 종류-취약점의 원인이 되는 약점 종류), fldCVEScore(취약점에 대한 CVSS 정보), fldExploitCode (POC(재증명코드) 공개 여부), fldAcquiredPriv(공격이 성공한 이후 로컬시스템에 탈취된 권한(Admin, User or None)), fldCImpact(취약점이 기밀성에 미치는 영향도(critical, partial, none)), fldIImpact(취약점이 무결성에 미치는 영향도(critical, partial, none)), fldAImpact(취약점이 가용성에 미치는 영향도(critical, partial, none)), fldTI (CWE에서 제공하는 Metric(Technical Impact)), fldAP (CWE에서 제공하는 Metric(Acquired Privilege)), fldAL(CWE에서 제공하는 Metric(Acquired Privilege Layer), fldIC(CWE에서 제공하는 Metric(Internal Control Effectiveness)), fldFC (CWE에서 제공하는 Metric(Finding Confidence)) 등)를 저장 및 관리한다.
다시 도 1을 참조하면, 점검대상 서버 그룹(200)은 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N)를 포함하는데, 이들 각각은 보안 취약점 점검의 대상이 되는 Target 시스템으로 이를테면, Windows OS를 기반으로 한 서버, 컴퓨터, 컴퓨터 시스템, 네트워크 또는 애플리케이션 등을 포함할 수 있다.
이 경우 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N)는 동일한 시간 또는 서로 다른 시간에 별도 에이전트 설치 또는 네트워크 연결 없이도 상기 취약점 관리서버(110)에 직접 접속하여 점검할 보안 취약점의 목록을 다운 받아 보안 취약점 점검을 실행하고, 보안 취약점의 목록에 따른 각각의 점검 결과파일(Fcr)을 상기 취약점 관리서버(110)로 업로드 시키는 등의 기능을 수행한다.
이로써 본 발명은 제1 점검대상 서버(200-1) ~ 제N 점검대상 서버(200-N) 각각이 취약점을 점검하는 동안 운영 중인 환경의 네트워크 트래픽에 대한 영향을 주지 않을 뿐 만 아니라, 별도의 프로그램을 설치할 필요도 없이 보안 취약점을 점검을 수행할 수 있는 기술적 장점을 갖는다.
도 3은 본 발명에 따른 단일 윈도우 서버 취약점 점검 시스템을 이용한 보안 약점 중요도 정량평가를 수행하는 과정을 순서도로 나타낸 것이다.
이하 도 1 ~ 도 3을 참조하여, 본 발명에 따른 단일 윈도우 서버 취약점 점검 시스템(1000)을 이용한 보안 약점 중요도 정량평가를 수행하는 과정을 설명한다.
우선 취약점 관리서버(110)에서 점검할 취약점 항목을 선택하고, 이와 관련된 데이터 파일인 점검할 취약점 목록 파일(122)을 생성하여 점검대상 서버 그룹(200)에서 항목별로 보안 취약점을 실행할 수 있도록 준비하는 제1 과정(S10)을 갖는다. (도 2a, 도 2b 참조)
다음으로, 각각의 점검대상 서버들(200-1 ~ 200-N)은 상기 취약점 관리서버(110)에 접속하여 상기 제1 과정(S10)을 통해 준비된 취약점 평가언어(OVAL), 점검할 취약점 목록 파일(122), 취약점 식별 모듈(123)을 다운로드 하는 제2 과정(S20)을 갖는다.
다음으로, 각각의 점검대상 서버들(200-1 ~ 200-N)은 다운받은 점검할 취약점 목록에 따라 보안 취약점 검사를 실행하는 제3 과정(S30)을 갖는다.
다음으로, 각각의 점검대상 서버들(200-1 ~ 200-N)은 상기 점검할 취약점 목록에 따라 실행된 각각의 점검 결과파일(Fcr)을 tmp 디렉터리에 파일로 저장 및 각각의 점검 결과파일(Fcr)을 상기 취약점 관리서버(110)로 업로드 시키는 제4 과정(S40)을 갖는다.
마지막으로, 취약점 관리서버(110)는 업로드 된 각각의 점검 결과파일(Fcr)을 분석하고, 각각의 점검대상 서버들(200-1 ~ 200-N)의 보안 약점 중요도를 정량 평가하는 제5 과정(S50)을 갖는다. (도 2a, 도 2b 참조)
이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
100 : 취약점 점검 시스템
110 : 취약점 관리서버
111 : 취약점 평가언어 제공부
112 : 점검할 취약점 목록 제공부
113 : 취약점 식별도구 제공부
114 : CWE 약점 목록 기반 스코링부
120 : 취약점 식별도구
121 : 취약점 평가 언어
122 : 점검할 취약점 목록
123 : 취약점 식별 모듈
130 : 취약점 DB
200 : 점검대상 서버 그룹
200-1 ~ 200-N : 제1 점검대상 서버 ~ 제N 점검대상 서버

Claims (14)

  1. 점검대상 서버들의 취약점 점검 및 정량 평가를 수행할 수 있도록 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별모듈을 취약점 관리서버로부터 제공받아 실행을 준비하고, 상기 점검할 취약점 목록에 따라 상기 점검대상 서버를 점검 후 그 결과파일을 취약점 관리 서버로 업로드 하여 약점 유형별로 식별된 취약점을 분석하며, 분석된 약점 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가 하는 취약점 관리서버를 포함하는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  2. 제 1항에 있어서, 상기 취약점 관리서버는,
    상기 점검대상 서버들이 취약점 점검을 실행할 수 있도록, 상기 취약점 평가 언어, 상기 점검할 취약점 목록 및 상기 점검대상 서버들에서 취약점 점검을 수행하는 취약점 식별 모듈을 사전에 저장하고,
    상기 점검 결과파일에 대해 CWE(Common Weakness Enumeration) 유형별 보안 취약점 정보에 대해 CWSS(Common Weakness Scoring System) 스코링(Scoring)을 적용하여 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량적으로 계산하는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  3. 제 2항에 있어서, 상기 취약점 평가 언어는,
    OVAL(Open Vulnerability and Assessment Language) 인 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  4. 제 2항에 있어서, 상기 CWE(Common Weakness Enumeration) 유형은,
    CWE ID 별로 소프트웨어 약점 유형 공식 목록을 제공하는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  5. 제 2항에 있어서, 상기 CWSS 스코링은,
    약점의 고유한 위험 및 발견된 취약점을 0 ~ 100점 사이의 스코어를 이용하여 정량적으로 평가하기 위한 Base Finding Metric을 사용하는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  6. 제 5항에 있어서, 상기 Base Finding Metric은,
    평가지수로 TI(Technical Impact), AP(Acquired Privilege), AL(Acquired Privilege Layer), IC(Internal Control Effectiveness) 및 FC (Finding Confidence)를 사용하는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  7. 제 1항에 있어서, 상기 점검대상 서버들은,
    상기 취약점 관리서버에 직접 접속되어 상기 취약점 관리서버에서 관리하고 있는 취약점 평가 언어, 점검할 취약점 목록 및 취약점 식별 모듈을 다운로드 받아 보안 취약점 점검을 실행하고, 보안 취약점의 목록에 따른 각각의 점검 결과파일을 생성한 후 상기 취약점 관리서버로 업로드 시키는 것을 특징으로 하는 단일 윈도우 서버 취약점 점검 시스템.
  8. 취약점 관리서버는 점검대상 서버들이 취약점 점검을 실행할 수 있도록, 취약점 평가 언어, 점검할 취약점 목록, 취약점 식별 모듈을 사전에 준비하는 제1 과정;
    상기 점검대상 서버들이 상기 취약점 관리서버에 접속하여 상기 취약점 평가 언어, 상기 점검할 취약점 목록 및 취약점 식별 모듈을 다운로드 받아 각각의 보안 취약점 점검을 실행하는 제2 과정;
    상기 점검대상 서버들이 보안 취약점의 목록에 따른 각각의 점검 결과파일을 생성한 후 상기 취약점 관리서버로 업로드 하는 제3 과정; 및
    상기 취약점 관리서버는 업로드 된 상기 점검 결과파일에 대해 유형별로 취약점을 분석하고, 분석된 유형별 취약점을 토대로 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량 평가하는 제4 과정을 포함하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  9. 제 8항에 있어서, 상기 취약점 평가 언어는,
    OVAL(Open Vulnerability and Assessment Language) 인 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  10. 제 8항에 있어서, 상기 제4 과정은,
    상기 점검 결과파일에 대해 상기 취약점 식별도구에서 제공하는 CWE(Common Weakness Enumeration) 유형을 기준으로 상기 점검대상 서버들 각각의 보안 취약점유형별로 그룹화하여 분석을 수행하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  11. 제 10항에 있어서, 상기 CWE(Common Weakness Enumeration) 유형은,
    CWE ID 별로 소프트웨어 약점 유형 공식 목록을 제공하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  12. 제 8항에 있어서, 상기 제4 과정은,
    상기 취약점 식별도구에서 제공하는 CWSS(Common Weakness Scoring System) 스코링(Scoring)을 적용하여 상기 점검대상 서버들 각각의 보안 약점 중요도를 정량적으로 계산하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  13. 제 12항에 있어서, 상기 CWSS 스코링은,
    약점의 고유한 위험 및 발견된 취약점을 0 ~ 100점 사이의 스코어를 이용하여 정량적으로 평가하기 위한 Base Finding Metric을 사용하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
  14. 제 13항에 있어서, 상기 Base Finding Metric은,
    평가지수로 TI(Technical Impact), AP(Acquired Privilege), AL(Acquired Privilege Layer), IC(Internal Control Effectiveness) 및 FC (Finding Confidence)를 사용하는 것을 특징으로 하는 보안 약점 중요도 정량평가 방법.
KR1020180034127A 2018-03-23 2018-03-23 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법 KR102095492B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180034127A KR102095492B1 (ko) 2018-03-23 2018-03-23 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180034127A KR102095492B1 (ko) 2018-03-23 2018-03-23 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법

Publications (2)

Publication Number Publication Date
KR20190111685A true KR20190111685A (ko) 2019-10-02
KR102095492B1 KR102095492B1 (ko) 2020-03-31

Family

ID=68423242

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180034127A KR102095492B1 (ko) 2018-03-23 2018-03-23 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법

Country Status (1)

Country Link
KR (1) KR102095492B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156379B1 (ko) * 2020-03-19 2020-09-16 주식회사 이글루시큐리티 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법
KR102160950B1 (ko) * 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100066841A (ko) 2008-12-10 2010-06-18 한국인터넷진흥원 웹 어플리케이션 상에서 보안 솔루션을 제공하는 시스템 및그 방법
JP2014130502A (ja) * 2012-12-28 2014-07-10 Hitachi Systems Ltd 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100066841A (ko) 2008-12-10 2010-06-18 한국인터넷진흥원 웹 어플리케이션 상에서 보안 솔루션을 제공하는 시스템 및그 방법
JP2014130502A (ja) * 2012-12-28 2014-07-10 Hitachi Systems Ltd 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
안준선 외2인, "보안취약점 중요도 정량 평가 체계 연구",정보보호학회논문지 제25권 제4호, 2015.08, pp.921 - 932* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102156379B1 (ko) * 2020-03-19 2020-09-16 주식회사 이글루시큐리티 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법
KR102160950B1 (ko) * 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법

Also Published As

Publication number Publication date
KR102095492B1 (ko) 2020-03-31

Similar Documents

Publication Publication Date Title
Pashchenko et al. Vulnerable open source dependencies: Counting those that matter
Zerouali et al. On the relation between outdated docker containers, severity vulnerabilities, and bugs
Pashchenko et al. Vuln4real: A methodology for counting actually vulnerable dependencies
US10255058B2 (en) Analyzing deployment pipelines used to update production computing services using a live pipeline template process
US9760366B2 (en) Maintaining deployment pipelines for a production computing service using live pipeline templates
Almorsy et al. Automated software architecture security risk analysis using formalized signatures
US8413237B2 (en) Methods of simulating vulnerability
US8612936B2 (en) System and method for recommending software artifacts
US8291405B2 (en) Automatic dependency resolution by identifying similar machine profiles
Shukla et al. System security assurance: A systematic literature review
CN112182588A (zh) 基于威胁情报的操作系统漏洞分析检测方法及系统
Alexopoulos et al. The tip of the iceberg: On the merits of finding security bugs
Dashevskyi et al. On the security cost of using a free and open source component in a proprietary product
KR102095492B1 (ko) 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법
Koschorreck Automated audit of compliance and security controls
Quinn et al. Sp 800-117. guide to adopting and using the security content automation protocol (scap) version 1.0
Quinn et al. Guide to adopting and using the Security Content Automation Protocol (SCAP) version 1.2
Dupont et al. Product incremental security risk assessment using DevSecOps practices
Bugiel et al. Scalable trust establishment with software reputation
Pantelaios et al. FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques
RU2696951C1 (ru) Способ защиты программного обеспечения от недекларированных возможностей, содержащихся в получаемых обновлениях
Ashraf et al. Security assessment framework for educational ERP systems
TWI735511B (zh) 代碼提交方法和設備
Pashchenko Decision Support of Security Assessment of Software Vulnerabilities in Industrial Practice
Hoang et al. Creating A Security Baseline and Cybersecurity Framework for the Internet of Things Via Security Controls

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant