KR20220091250A - 네트워크 취약점 분석 장치 및 그 방법 - Google Patents

네트워크 취약점 분석 장치 및 그 방법 Download PDF

Info

Publication number
KR20220091250A
KR20220091250A KR1020200182568A KR20200182568A KR20220091250A KR 20220091250 A KR20220091250 A KR 20220091250A KR 1020200182568 A KR1020200182568 A KR 1020200182568A KR 20200182568 A KR20200182568 A KR 20200182568A KR 20220091250 A KR20220091250 A KR 20220091250A
Authority
KR
South Korea
Prior art keywords
network equipment
vulnerability
setting value
analysis
network
Prior art date
Application number
KR1020200182568A
Other languages
English (en)
Other versions
KR102507464B1 (ko
Inventor
이수미
김민성
박세영
Original Assignee
사단법인 금융보안원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융보안원 filed Critical 사단법인 금융보안원
Priority to KR1020200182568A priority Critical patent/KR102507464B1/ko
Publication of KR20220091250A publication Critical patent/KR20220091250A/ko
Application granted granted Critical
Publication of KR102507464B1 publication Critical patent/KR102507464B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 네트워크 취약점 분석 장치는, 네트워크 장비의 자산 정보가 등록되어 있는 자산 DB를 탐색함으로써, 상기 네트워크 장비의 자동 분석 또는 수동 분석 여부를 판단하는 분석 판단부와, 상기 자동 분석으로 판단되면, 사용자 인터페이스에 기반하여 상기 네트워크 장비의 설정값을 입력하는 장비 설정값 입력부와, 입력 설정값 내에 상기 네트워크 장비의 평가 항목별로 입력된 설정값이 존재하는지 여부와 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 확인하여 상기 네트워크 장비의 장비 설정값을 결정하는 설정값 결정부와, 상기 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 장비 설정값의 취약 여부를 판단하여 상기 네트워크 장비의 자동 분석 결과를 생성하는 취약 여부 판단부와, 상기 수동 분석으로 판단되면, 상기 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석한 후 상기 네트워크 장비의 수동 분석 결과를 생성하는 취약점 수동 분석부와, 상기 네트워크 장비의 상기 자동 분석 결과 또는 상기 수동 분석 결과를 취약점 DB에 등록하는 분석 결과 등록부를 포함할 수 있다.

Description

네트워크 취약점 분석 장치 및 그 방법{APPARATUS AND METHOD FOR ANALYZING VULNERABILITY OF NETWORK}
본 발명은 네트워크 장비의 취약점을 분석하는 기법에 관한 것으로, 더욱 상세하게는 네트워크 장비의 각 평가 항목별 취약점을 시스템 및 알고리즘으로 분석(자동 분석 또는 수동 분석)할 수 있는 네트워크 취약점 분석 장치 및 그 방법에 관한 것이다.
정보통신 기술의 발달과 그 보급이 확산됨에 따라, 정보 통신 시설을 구축하기 위한 네트워크 장비의 보안 취약점을 점검 및 분석하고, 이러한 분석 결과를 토대로 내외부의 공격으로부터 네트워크 장비를 보호하는 것이 반드시 필요하다.
종래에는 결정된 시간 스케줄에 따라 자동으로 서버의 보안 취약점을 분석해 주는 방법이 있는데, 이와 관련된 선행특허문헌으로는 한국공개특허 제2009-0038683호(이하, 선행특허라 함)가 있다.
선행특허에서는 스케줄 및 실행 명령에 따라 미리 저장된 취약점 검색 데이터베이스를 호출하고, 호출된 검색 데이터베이스에 포함된 취약점 데이터에 상응하여 관리 웹서버의 취약점 존재 가능성을 검색하며, 검색 결과를 최적화하여 취약점 정보를 도출한 후 그 도출 결과를 바탕으로 관리 웹서버의 취약점을 점검하는 기술을 개시하고 있다.
이때, IT 시스템의 보안 취약점을 점검하기 위해서는 다양한 점검 항목에 대한 분석이 요망되고, 서버 취약점 점검 항목은 전자금융기반시설 및 주요정보통신기반시설의 기준을 포함하여 운영체제별로 상이한데, 예컨대 유닉스 계열 운영체제와 윈도우 계열 운영체제는 수백 개 이상의 점검 항목이 별도로 존재하기 때문에 점검을 하지 않아야 할 것을 점검하거나 혹은 그 결과에 대해 전문 인력이 다시 오탐을 재확인하는 경우에는 컴퓨팅 자원 및 인력 자원의 낭비가 초래되는 문제가 있다.
한국공개특허 제2009-0038683호(공개일 : 2009. 04. 21.)
본 발명은 네트워크 장비의 각 평가 항목별 취약점을 시스템 및 알고리즘으로 분석(자동 분석 또는 수동 분석)할 수 있는 네트워크 취약점 분석 장치 및 그 방법을 제공하고자 한다.
본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.
본 발명은, 일 관점에 따라, 네트워크 장비의 자산 정보가 등록되어 있는 자산 DB를 탐색함으로써, 상기 네트워크 장비의 자동 분석 또는 수동 분석 여부를 판단하는 분석 판단부와, 상기 자동 분석으로 판단되면, 사용자 인터페이스에 기반하여 상기 네트워크 장비의 설정값을 입력하는 장비 설정값 입력부와, 상기 입력 설정값 내에 상기 네트워크 장비의 평가 항목별로 입력된 설정값이 존재하는지 여부와 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 확인하여 상기 네트워크 장비의 장비 설정값을 결정하는 설정값 결정부와, 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 장비 설정값의 취약 여부를 판단하여 상기 네트워크 장비의 자동 분석 결과를 생성하는 취약 여부 판단부와, 상기 수동 분석으로 판단되면, 상기 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석한 후 상기 네트워크 장비의 수동 분석 결과를 생성하는 취약점 수동 분석부와, 상기 네트워크 장비의 상기 자동 분석 결과 또는 상기 수동 분석 결과를 취약점 DB에 등록하는 분석 결과 등록부를 포함하는 네트워크 취약점 분석 장치를 제공할 수 있다.
본 발명의 상기 분석 판단부는, 상기 네트워크 장비가 상기 자산 정보에 자동 분석 대상으로 포함되어 있는지의 여부에 따라 상기 자동 분석 또는 상기 수동 분석의 여부를 판단할 수 있다.
본 발명의 상기 장비 설정값 입력부는, 특정 명령어의 실행을 통해 상기 네트워크 장비의 설정 내용을 출력한 후 출력된 상기 설정 내용을 텍스트 문서 형태로 저장하여 업로드하는 방식으로 상기 장비 설정값을 입력할 수 있다.
본 발명의 상기 설정값 결정부는, 상기 입력 설정값 내에서 상기 네트워크 장비의 평가 항목별로 취약점 분석 시 필요한 설정값을 추출할 수 있다. 상기 평가 항목별로 추출한 설정값이 존재하는 경우, 상기 평가 항목별로 추출한 설정값을 장비 설정값으로 결정하고, 상기 평가 항목별로 추출한 설정값이 존재하지 않는 경우, 상기 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 장비 설정값으로 대체(결정)할 수 있다.
본 발명의 상기 취약 여부 판단부는, 상기 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 설정값 결정부에 의해 도출된 장비 설정값의 취약 여부를 판단할 수 있다.
본 발명의 상기 자동 분석 결과 또는 상기 수동 분석 결과는, 평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함할 수 있다.
본 발명은, 다른 관점에 따라, 네트워크 장비의 자산 정보가 등록되어 있는 자산 DB를 탐색함으로써, 상기 네트워크 장비의 자동 분석 또는 수동 분석 여부를 판단하는 단계와, 상기 자동 분석으로 판단되면, 사용자 인터페이스에 기반하여 상기 네트워크 장비의 설정값을 입력하는 단계와, 상기 입력 설정값 내에 상기 네트워크 장비의 평가 항목별로 입력된 설정값이 존재하는지 여부와 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 확인하여 상기 네트워크 장비의 장비 설정값을 결정하는 단계와, 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 장비 설정값의 취약 여부를 판단하여 상기 네트워크 장비의 자동 분석 결과를 생성하는 단계와, 상기 수동 분석으로 판단되면, 상기 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석한 후 상기 네트워크 장비의 수동 분석 결과를 생성하는 단계와, 상기 자동 분석 결과 또는 상기 수동 분석 결과를 취약점 DB에 등록하는 단계를 포함하는 네트워크 취약점 분석 방법을 제공할 수 있다.
본 발명의 실시예에 따르면, 네트워크 평가분야의 자동화된 취약점 분석 기능을 제공함으로써, 점검 대상 자산의 네트워크 장비의 보안 취약점에 대한 분석 시간 단축을 실현하여 업무 효율성을 증대시킬 수 있다.
도 1은 본 발명의 실시예에 따른 네트워크 취약점 분석 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따라 네트워크 장비의 취약점을 자동 또는 수동으로 분석하는 과정을 도시한 순서도이다.
도 3은 본 발명에 따라 수행된 결과로서 도출된 네트워크 장비의 취약점 자동 분석 결과에 대한 예시도이다.
먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어지는 실시예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 발명의 설명 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 네트워크 취약점 분석 장치의 블록 구성도로서, 크게 구분해 볼 때, 취약점 분석 처리 모듈(110) 및 데이터베이스 모듈(120) 등을 포함할 수 있다.
취약점 분석 처리 모듈(110)은 분석 판단부(111), 장비 설정값 입력부(112), 설정값 결정부(113), 취약 여부 판단부(114), 취약점 수동 분석부(115) 및 분석 결과 등록부(116) 등을 포함할 수 있다.
데이터베이스 모듈(120)은, 자산 DB(122), 평가 기준 DB(124) 및 취약점 DB(126) 등을 포함할 수 있다.
도 1을 참조하면, 취약점 분석 처리 모듈(110) 내의 분석 판단부(111)는 데이터베이스 모듈(120) 내의 자산 DB(122)에 등록되어 있는 자산 정보(예컨대, 제조사, OS 종류 등)를 탐색함으로써, 점검 대상 장치(예컨대, 네트워크 장비)의 보안 취약점을 자동 분석할 것인지 혹은 수동 분석할 것인지의 여부를 판단하는 등의 기능을 제공할 수 있으며, 자동 분석 또는 수동 분석 여부의 판단 결과는 도시 생략된 장치의 모니터 등을 통해 시각적으로 표출(디스플레이)될 수 있다.
이를 위해, 자산 DB(122)에는 아래의 표 1에 예시된 바와 같은 자산 정보들이 등록될 수 있다.
자산 DB
자산번호 N1
자산명 백본 라우터
제조사 Cisco Systems
OS 종류 / 버전 IOS / 12.2
자산 종류 라우터
Host명 Backbone_Router
즉, 분석 판단부(111)는 해당 네트워크 장비의 자산 정보를 기반으로 아래의 예시 에서와 같이 해당 네트워크 장비가 자동 분석 대상에 포함되어 있는지의 여부를 판단하고, 그 판단 결과에 의거하여 자동 분석(자동 분석 대상에 포함된 경우) 또는 수동 분석(자동 분석 대상에 포함되지 않는 경우)을 결정(선택)할 수 있다.
Cisco Systems : IOS 12 이상(IOS XE, IOS XR 포함), NX-OS 모든 버전
Juniper Networks : 모든 라우터 및 스위치에 대한 OS버전
Radware : 모든 라우터 및 스위치에 대한 OS버전
Piolink : 모든 라우터 및 스위치에 대한 OS버전
장비 설정값 입력부(112)는, 분석 판단부(111)에 의해 자동 분석으로 판단될 때, 조작 패널, 키보드 등과 같은 입력 수단을 이용하는 사용자 인터페이스(특정 명령어의 실행)에 기반하여, 네트워크의 장비 설정값을 입력하는 등의 기능을 제공할 수 있다.
예컨대, 장비 설정값 입력부(112)는 특정 명령어(예컨대, Cisco Systems 기준 : show running-config 등)의 실행을 통해 네트워크 장비의 설정 내용을 출력한 후 출력된 설정 내용을 텍스트 문서 형태로 저장하여 자동 분석 도구에 업로드하는 방식으로 장비 설정값을 입력할 수 있으며, 이와 같이 입력된 장비 설정값(입력 설정값)은 설정값 결정부(113)로 전달된다.
설정값 결정부(113)는 장비 설정값 입력부(112)로부터 전달받은 입력 설정값 내에서 네트워크 장비의 평가 항목별로 취약점 분석 시 필요한 설정값을 추출할 수 있다. 평가 항목별로 추출한 설정값이 존재하는 경우, 평가 항목별로 추출한 설정값을 장비 설정값으로 결정하고, 평가 항목별로 추출한 설정값이 존재하지 않는 경우, 소스코드 내에 사전 정의된 네트워크 장비의 종류(예컨대, 제조사, OS종류 등)별 기본 설정값을 장비 설정값으로 대체(결정) 등의 기능을 제공할 수 있다.
여기에서, 기본 설정값은, 일례로서 "(no) ip boot server" 등과 같이 설정될 수 있는데, 네트워크 장비 제조사의 공식 설정 가이드를 기반으로 각 평가 항목에 대한 설정값(명령 및 인자값)과 함께 소스코드 내에 사전 정의될 수 있다.
취약 여부 판단부(114)는, 평가 기준 DB(124)에 등록되어 있는 취약 여부 판단 규칙을 기반으로 소스코드 내에 취약 여부 판단 규칙을 사전 정의하고, 상기 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로, 설정값 결정부(113)에 의해 결정된 장비 설정값의 취약 여부를 판단하고, 그 판단 결과에 의거하여 네트워크 장비의 자동 분석 결과를 생성하는 등의 기능을 제공할 수 있다.
이를 위해, 평가 기준 DB(124)에는, 예컨대 전자금융기반시설 취약점 평가 기준 등과 같은 평가 기준, 예컨대 전자금융거래법 등과 같은 금융 IT 규제, 예컨대 네트워크 장비 등과 같은 평가 분야, 예컨대 NET-005 등과 같은 평가 항목 ID 등의 정보들이 저장될 수 있다.
일례로서, 취약 여부 판단부(114)는 도출된 비교 결과 문자열(예컨대, "ip bootp server") 앞에 "no" 가 존재하지 않으면 설정값 결정부(113)에 의해 결정된 장비 설정값을 취약으로 판단할 수 있다.
도 3은 본 발명에 따라 수행된 결과로서 도출된 네트워크 장비의 취약점 자동 분석 결과에 대한 예시를 보여준다.
도 3을 참조하면, 아래와 같은 일련의 사전 정의 및 절차 진행을 통해 네트워크 장비의 평가 항목별 취약점을 자동 분석할 수 있다.
- 소스코드 내 네트워크 장비의 종류(예컨대, 제조사, OS종류 등)별 기본 설정값 및 취약여부 판단규칙 사전 정의
- 네트워크 장비의 취약점 자동 분석 가능 여부를 판단하는 기능 제공
- 네트워크 장비의 설정값 입력
- 입력받은 설정값이 존재하는지 여부와 상기 사전 정의된 네트워크 장비 죵류별 설정값을 확인하여, 네트워크 장비의 장비 설정값 결정
- 사전 정의된 취약 여부 판단 규칙을 기반으로 설정값의 취약 여부 판단
취약점 수동 분석부(115)는, 사용자 인터페이스에 따라, 점검 대상인 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석(점검)한 후 네트워크 장비의 수동 분석 결과를 생성하는 등의 기능을 제공할 수 있다.
예컨대, 취약점 수동 분석부(115)는 점검 대상인 네트워크 장비들의 설정 정보(running-config)를 네트워크 장비로부터 받아온 후, 해당 네트워크 장비의 자산 속성(예컨대, 제조사, OS 종류 및 버전 등)에 따라 장비 제조사에서 제공하는 공식 설정 가이드를 참조하며, 공식 설정 가이드에 따라 각 평가 항목별로 보안 설정값(예컨대, 명령 및 인자값, 기본 설정값 등)들을 확인하는 절차의 진행을 통해 설정이 보안에 안전하게 설정되어 있는지의 여부를 판단할 수 있다.
분석 결과 등록부(116)는 네트워크 장비의 취약점에 대한 자동 분석 결과 또는 수동 분석 결과를 취약점 DB(126)에 등록하는 등의 기능을 제공할 수 있다.
이를 위해, 취약점 DB(126)에는, 예컨대 NET-005 등과 같은 평가 항목 ID, 예컨대 SNMP 접근통제(ACL) 설정 등과 같은 항목명, 예컨대 취약 또는 미취약 등과 같은 취약 여부, 예컨대 SNMP 접근통제(ACL) 미설정 등과 같은 판단 근거 등의 정보들이 저장될 수 있다.
도 2는 본 발명의 실시예에 따라 네트워크 장비의 취약점을 자동 또는 수동으로 분석하는 과정을 도시한 순서도이다.
도 2를 참조하면, 분석 판단부(111)에서는 데이터베이스 모듈(120) 내의 자산 DB(122)에 등록되어 있는 자산 정보(예컨대, 제조사, OS 종류 등)를 탐색함으로써, 점검 대상인 네트워크 장비의 보안 취약점을 자동 분석할 것인지 혹은 수동 분석할 것인지의 여부를 판단한다(단계 202).
예컨대, 분석 판단부(111)에서는 해당 네트워크 장비의 자산 정보를 기반으로 해당 네트워크 장비가 자동 분석 대상에 포함되어 있는지의 여부를 판단하고, 그 판단 결과에 의거하여 자동 분석(자동 분석 대상에 포함된 경우) 또는 수동 분석(자동 분석 대상에 포함되지 않는 경우)을 결정(선택)할 수 있다.
장비 설정값 입력부(112)에서는, 분석 판단부(111)에 의해 자동 분석으로 판단될 때, 사용자 인터페이스(특정 명령어의 실행)에 기반하여, 네트워크의 장비 설정값을 입력한다(단계 204).
즉, 장비 설정값 입력부(112)에서는 특정 명령어(예컨대, Cisco Systems 기준 : show running-config 등)의 실행을 통해 네트워크 장비의 설정 내용을 출력한 후 출력된 설정 내용을 텍스트 문서 형태로 저장하여 자동 분석 도구에 업로드하는 방식으로 장비 설정값을 입력할 수 있다.
설정값 결정부(113)에서는 입력 설정값 내에서 네트워크 장비의 평가 항목별로 취약점 분석 시 필요한 설정값을 추출할 수 있다. 평가 항목별로 추출한 설정값이 존재하는 경우, 평가 항목별로 추출한 설정값을 장비 설정값으로 결정하고, 평가 항목별로 추출한 설정값이 존재하지 않는 경우, 소스코드 내에 사전 정의된 네트워크 장비의 종류(예컨대, 제조사, OS종류 등)별 기본 설정값을 장비 설정값으로 대체(결정)한다(단계 206).
취약 여부 판단부(114)에서는, 평가 기준 DB(124)에 등록되어 있는 취약 여부 판단 규칙을 기반으로 소스코드 내에 취약 여부 판단 규칙을 사전 정의하고, 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로, 설정값 결정부(113)에 의해 결정된 장비 설정값의 취약 여부를 판단하고, 그 판단 결과에 의거하여 네트워크 장비의 자동 분석 결과를 생성한다(단계 208).
평가 기준 DB(124)에는, 예컨대 전자금융기반시설 취약점 평가 기준 등과 같은 평가 기준, 예컨대 전자금융거래법 등과 같은 금융 IT 규제, 예컨대 네트워크 장비 등과 같은 평가 분야, 예컨대 NET-005 등과 같은 평가 항목 ID 등의 정보들이 저장될 수 있다.
취약점 수동 분석부(115)에서는, 전술한 단계(202)에서 수동 분석으로 판단하면, 점검 대상인 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석(점검)한 후 네트워크 장비의 수동 분석 결과를 생성한다(단계 210).
분석 결과 등록부(116)에서는 네트워크 장비의 취약점에 대한 자동 분석 결과 또는 수동 분석 결과를 취약점 DB(126)에 등록한다(단계 212).
취약점 DB(126)에는, 예컨대 NET-005 등과 같은 평가 항목 ID, 예컨대 SNMP 접근통제(ACL) 설정 등과 같은 항목명, 예컨대 취약 또는 미취약 등과 같은 취약 여부, 예컨대 SNMP 접근통제(ACL) 미설정 등과 같은 판단 근거 등의 정보들이 저장될 수 있다.
한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.
따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
110 : 분석 처리 모듈
111 : 분석 판단부
112 : 장비 설정값 입력부
113 : 설정값 결정부
114 : 취약 여부 판단부
115 : 취약점 수동 분석부
116 : 분석 결과 등록부
120 : 데이터베이스 모듈
122 : 자산 DB
124 : 평가 기준 DB
126 : 취약점 DB

Claims (6)

  1. 네트워크 장비의 자산 정보가 등록되어 있는 자산 DB를 탐색함으로써, 상기 네트워크 장비의 자동 분석 또는 수동 분석 여부를 판단하는 분석 판단부와,
    상기 자동 분석으로 판단되면, 사용자 인터페이스에 기반하여 상기 네트워크 장비의 설정값을 입력하는 장비 설정값 입력부와,
    상기 입력 설정값 내에 상기 네트워크 장비의 평가 항목별로 입력된 설정값이 존재하는지 여부와 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 확인하여 상기 네트워크 장비의 장비 설정값을 결정하는 설정값 결정부와,
    상기 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 장비 설정값의 취약 여부를 판단하여 상기 네트워크 장비의 자동 분석 결과를 생성하는 취약 여부 판단부와,
    상기 수동 분석으로 판단되면, 상기 네트워크 장비의 평가 항목별로 보안 취약점을 수동 분석한 후 상기 네트워크 장비의 수동 분석 결과를 생성하는 취약점 수동 분석부와,
    상기 네트워크 장비의 상기 자동 분석 결과 또는 상기 수동 분석 결과를 취약점 DB에 등록하는 분석 결과 등록부를 포함하는
    네트워크 취약점 분석 장치.
  2. 제 1 항에 있어서,
    상기 분석 판단부는,
    상기 네트워크 장비가 상기 자산 정보에 자동 분석 대상으로 포함되어 있는지의 여부에 따라 상기 자동 분석 또는 상기 수동 분석의 여부를 판단하는
    네트워크 취약점 분석 장치.
  3. 제 1 항에 있어서,
    상기 장비 설정값 입력부는,
    특정 명령어의 실행을 통해 상기 네트워크 장비의 설정 내용을 출력한 후 출력된 상기 설정 내용을 텍스트 문서 형태로 저장하여 업로드하는 방식으로 상기 장비 설정값을 입력하는
    네트워크 취약점 분석 장치.
  4. 제 1 항에 있어서,
    상기 설정값 결정부는,
    상기 입력 설정값 내에 상기 네트워크 장비의 평가 항목별로 입력된 설정값이 존재하는지 여부와 상기 소스코드 내에 사전 정의된 네트워크 장비의 종류별 기본 설정값을 확인하여 상기 네트워크 장비의 장비 설정값을 결정하는
    네트워크 취약점 분석 장치.
  5. 제 1 항에 있어서,
    상기 취약 여부 판단부는,
    상기 소스코드 내에 사전 정의된 취약 여부 판단 규칙을 기반으로 상기 설정값 결정부에 의해 도출된 장비 설정값의 취약 여부를 판단하는
    네트워크 취약점 분석 장치.
  6. 제 1 항에 있어서,
    상기 자동 분석 결과 또는 상기 수동 분석 결과는,
    평가 항목 ID, 항목명, 취약 여부 및 판단 근거를 포함하는
    네트워크 취약점 분석 장치.
KR1020200182568A 2020-12-23 2020-12-23 네트워크 취약점 분석 장치 및 그 방법 KR102507464B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200182568A KR102507464B1 (ko) 2020-12-23 2020-12-23 네트워크 취약점 분석 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200182568A KR102507464B1 (ko) 2020-12-23 2020-12-23 네트워크 취약점 분석 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20220091250A true KR20220091250A (ko) 2022-06-30
KR102507464B1 KR102507464B1 (ko) 2023-03-09

Family

ID=82215112

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200182568A KR102507464B1 (ko) 2020-12-23 2020-12-23 네트워크 취약점 분석 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR102507464B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040062735A (ko) * 2003-01-03 2004-07-09 한국정보보호진흥원 정보시스템 진단방법
KR20090038683A (ko) 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
KR20180060616A (ko) * 2016-11-29 2018-06-07 주식회사 엘앤제이테크 Rba기반 통합 취약점 진단 방법
KR20200052755A (ko) * 2018-11-07 2020-05-15 한국전자통신연구원 사이버 보안 취약점 및 규제지침 점검 장치 및 방법
KR102176320B1 (ko) * 2020-03-02 2020-11-10 주식회사 이글루시큐리티 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040062735A (ko) * 2003-01-03 2004-07-09 한국정보보호진흥원 정보시스템 진단방법
KR20090038683A (ko) 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
KR20180060616A (ko) * 2016-11-29 2018-06-07 주식회사 엘앤제이테크 Rba기반 통합 취약점 진단 방법
KR20200052755A (ko) * 2018-11-07 2020-05-15 한국전자통신연구원 사이버 보안 취약점 및 규제지침 점검 장치 및 방법
KR102176320B1 (ko) * 2020-03-02 2020-11-10 주식회사 이글루시큐리티 점검대상 운영체제 및 소프트웨어 입력보정 시스템 및 그 방법

Also Published As

Publication number Publication date
KR102507464B1 (ko) 2023-03-09

Similar Documents

Publication Publication Date Title
CN107368417B (zh) 一种漏洞挖掘技术测试模型的测试方法
CN107292170B (zh) Sql注入攻击的检测方法及装置、系统
US8095984B2 (en) Systems and methods of associating security vulnerabilities and assets
KR102295654B1 (ko) 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치
JP6058246B2 (ja) 情報処理装置及び情報処理方法及びプログラム
CN110059006B (zh) 代码审计方法及装置
US20190370395A1 (en) Apparatus and method for classifying attack groups
US10817140B2 (en) Sequential data
US20190370152A1 (en) Automatic intelligent cloud service testing tool
CN109002712B (zh) 一种基于值依赖图的污染数据分析方法、系统与电子设备
KR20210063049A (ko) 산업 제어 시스템을 위한 위험도 산출 방법 및 이를 위한 장치
EP2107484A2 (en) A method and device for code audit
KR20200061699A (ko) 멀티레이어로 구성된 os 핑거프린트 룰에 기반한 운영체제 식별 방법 및 그 장치
KR102507464B1 (ko) 네트워크 취약점 분석 장치 및 그 방법
CN109040089B (zh) 网络策略审计方法、设备及计算机可读存储介质
KR102590081B1 (ko) 보안 규제 준수 자동화 장치
US20210117551A1 (en) Vulnerability evaluation apparatus
KR102439818B1 (ko) 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법
KR101976167B1 (ko) 프로그램 소스 및 db 스키마의 누락 연관 관계 검증 방법 및 그 장치
KR102439817B1 (ko) 보안 취약점 관리 시스템과 방법 및 그 기록매체
KR20220078313A (ko) 클라우드 리소스 취약점 분석 방법 및 장치
KR101865238B1 (ko) 악성 코드 차단 장치 및 이의 동작 방법
RU2783152C1 (ru) Система и способ статического анализа исполняемого двоичного кода и исходного кода с использованием нечеткой логики
CN113742724B (zh) 一种网络协议软件的安全机制缺陷检测方法
KR102233257B1 (ko) 데이터 조합 장치 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right