KR20220113241A - 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법 - Google Patents

계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법 Download PDF

Info

Publication number
KR20220113241A
KR20220113241A KR1020210122394A KR20210122394A KR20220113241A KR 20220113241 A KR20220113241 A KR 20220113241A KR 1020210122394 A KR1020210122394 A KR 1020210122394A KR 20210122394 A KR20210122394 A KR 20210122394A KR 20220113241 A KR20220113241 A KR 20220113241A
Authority
KR
South Korea
Prior art keywords
diagnosis
asset
data
document
vulnerability
Prior art date
Application number
KR1020210122394A
Other languages
English (en)
Other versions
KR102682907B1 (ko
Inventor
김종진
Original Assignee
주식회사 인트브릿지
김종진
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 인트브릿지, 김종진 filed Critical 주식회사 인트브릿지
Priority to KR1020210122394A priority Critical patent/KR102682907B1/ko
Publication of KR20220113241A publication Critical patent/KR20220113241A/ko
Application granted granted Critical
Publication of KR102682907B1 publication Critical patent/KR102682907B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 인프라 자산의 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하는 계층 구조를 이용한 컴플라이언스 관리 시스템 및 그 방법에 대한 것으로, 컴플라이언스 관리 체계 지원 시스템은 컴플라이언스 관리 체계 지원 시스템에 접속하여 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하도록 구비되는 관리 서버를 포함하며, 상기 관리 서버는 계층 구조를 적용하여 취약점 진단 결과 산출물 및 입력 받은 데이터를 직관적이고 지속적으로 관리하는 관리체계 제공부를 포함하고, 상기 관리체계 제공부는, 정규화된 문서 양식으로 정의된 평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록하는 평가 유형 관리부; 취약점 진단을 통해 산출된 다수의 산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장하고, 상기 구조화된 카테고리는 고객사에 따라 확장 또는 수정이 가능한 문서 카테고리 관리부;
각 평가 유형별로 산출물 디렉토리를 제공하고 상기 디렉토리 별 기본 산출물 연결정보를 제공하는 디렉토리 관리부; 상기 구조화된 카테고리에 저장된 산출물 데이터들을 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 등록된 상기 문서 데이터는 최초 등록 이후 버전 정보가 누적 저장되어, 저장된 상기 버전정보를 이용하여 문서 이력을 관리하는 문서 이력 관리부; 및 관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성하는 관리 체계 점검부를 포함할 수 있다.

Description

계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법{compliance management support system using hierarchical structure and method therefor}
본 발명은 컴플라이언스 관리 체계 지원 시스템에 접속하여 인프라 자산의 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하는 컴플라이언스 관리 기술에 대한 것으로, 더욱 자세하게는 대량의 인프라 자산을 대상으로 기술적, 관리적 또는 하드웨어, 소프트웨어 별로 나누어 다양한 취약점 점검 솔루션을 통해 정확하고 신속하게 취약점을 점검하고, 발견된 취약점에 대한 후속 조치를 수행할 수 있으며, 취약점 점검, 후속 조치, 조치 이행 점검 등의 업무를 단계적으로 수행함에 있어 자산 담당자와 조치 담당자 사이에 적절한 권한 배분 및 실시간 업무 연동을 통해 기술적 취약점 뿐만 아니라 관리적 취약점 진단까지 자동화하고, 취약점 진단으로 산출된 산출물 데이터를 계층구조를 이용하여 카테고리별로 분류하고 이를 매핑 되는 디렉토리에 등록, 저장함으로써 산출물 디렉토리에 카테고리별로 등록된 문서 데이터를 이용하여 지속적인 이력관리 및 증적 관리를 수행할 수 있는 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법을 제공하는데 그 목적이 있다.
컴플라이언스 경영시스템은 호주 3806을 기초로 한 '공정거래 자율준수 프로그램 운영 및 유인 부여 등에 관한 규정(CP 등급평가)'에서 한발 더 나아가 국제표준기구(ISO)에서 제정한 '컴플라이언스 경영 시스템(ISO 37301)'을 의미한다.
조직의 규모와 성격에 상관없이 해당 조직이 법률, 규정, 규범, 행동(윤리)강령 등 조직의 전략적 의무(Obligation)들을 특정하고 그 의무들을 다하는 프로세스 결과물로써 제3자 인증을 통해 해당조직의 컴플라이언스 경영임을 입증해주는 인증 제도이며, 이는 향후 법률적 이슈가 발생할 시 법적 책임을 져야하는 리스크를 감소할 수 있는 효과적인 방법으로 최근 각광받고 있다.
종래에 컴플라이언스 경영을 수행하기 위하여 기업의 내부 또는 노동력에 의존하여 인프라 자산에 대한 취약점 점검을 사람이 직접 수동으로 육안 진단하고 엑셀 워크 시트 등을 이용하여 정리하는 방법이 주로 사용되었다.
그러나 이런 노동 의존적인 방법은 과도한 인건비를 유발할 뿐만 아니라 이에 따라 빈번한 점검이 어렵고 취약점을 누락하는 등 작업자의 숙련도에 따라 높은 정확도를 확보하기 어려운 한계점들이 존재할 뿐만 아니라 취약점 점검의 불연속성으로 인하여 이력관리 및 증적 관리를 수행함에 있어 미비한 점이 다수 존재하고 있다.
이를 해결하기 위하여 컴플라이언스 경영에 필요한 다양한 항목에 대한 취약점 진단을 사람에 노동력에 의지하지 않고 자동으로 정보를 수집하여 대량의 인프라 자산을 대상으로 다수의 진단 항목에 따른 취약점의 자동 진단 분석을 위한 기술에 대한 필요성 및 이를 통해 획득한 산출물 데이터를 체계적으로 관리, 사용하기 위한 관리 기술에 대한 중요성이 점차 대두되고 있다.
특히 단순한 취약점의 자동 진단 분석이 아닌 취약점 진단 및 관리 업무를 각자 권한 별로 나뉘어진 사용자가 권한 별로 업무를 수행할 수 있는 워크플로우를 제시하며, 자산현황의 체계적인 관리 및 다양한 자산에 대한 통합 관리 운영뿐만 아니라 산출물 데이터를 활용하여 이용하여 지속적인 이력관리 및 증적 관리 기능을 제공하는 컴플라이언스 관리 체계 지원 시스템에 대한 중요도 또한 급속도로 증가하고 있다.
본 발명은 자산 현황의 체계적인 관리 기능 및 다양한 자산을 대상으로 취약점 진단을 통한 통합 관리 운영 기능 및 취약점 진단 결과에 따른 산출물 데이터를 활용하여 이용하여 지속적인 이력관리 및 증적 관리 기능을 제공할 수 있는 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법을 제공하고자 한다.
본 발명의 일 실시예에 따르면 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템은 컴플라이언스 관리 체계 지원 시스템에 접속하여 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하도록 구비되는 관리 서버를 포함하며, 상기 관리 서버는 계층 구조를 적용하여 취약점 진단 결과 산출물 및 입력 받은 데이터를 직관적이고 지속적으로 관리하는 관리체계 제공부를 포함하고, 상기 관리체계 제공부는, 정규화 된 문서 양식으로 정의된 평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록하는 평가 유형 관리부; 취약점 진단을 통해 산출된 다수의 산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장하고, 상기 구조화된 카테고리는 고객사에 따라 확장 또는 수정이 가능한 문서 카테고리 관리부; 각 평가 유형별로 산출물 디렉토리를 제공하고 상기 디렉토리 별 기본 산출물 연결정보를 제공하는 디렉토리 관리부; 상기 카테고리와 산출물 디렉토리를 매핑하여 구조화된 카테고리에 저장된 산출물 데이터들을 매핑된 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 등록된 상기 문서 데이터는 최초 등록 이후 버전 정보가 누적 저장되어, 저장된 상기 버전정보를 이용하여 문서 이력을 관리하는 문서 이력 관리부; 및 관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성하는 관리 체계 점검부를 포함할 수 있다.
본 발명의 일 실시예에 따르면 상기 평가 유형 관리부는 상기 ID 정의서가 암호화된 정의서 파일이며 상기 ID 정의서를 이용하여 평가 유형을 등록하고, 등록된 평가 유형에 대한 수정, 삭제, 기준년도 관리, 평가 유형 별 점검 항목에 대한 등록, 수정, 삭제 기능을 수행하며, 상기 문서 카테고리 관리부는 등록된 첨부 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 가지는 문서 데이터를 미리 설정된 계층 구조에 따라 트리 구조로 생성된 카테고리별로 분류하고, 상기 문서 이력 관리부는 상기 매핑된 산출물 디렉토리에 카테고리별로 등록된 문서 데이터를 이용하여 지속적인 이력관리 및 증적 관리를 수행할 수 있다.
본 발명의 일 실시예에 따르면 상기 문서 이력 관리부는 상기 매핑된 산출물 디렉토리에 카테고리별로 분류된 문서 데이터를 분석하여 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하여 진단 항목별로 매핑하고, 취약점 진단을 통한 산출물 데이터의 산출 요청이 있는 경우 해당 평가 유형에 포함되는 진단 항목별 증적을 제공할 수 있다.
본 발명의 일 실시예에 따르면 상기 관리 서버는 컴플라이언스 관리 시스템에 접속하여 인프라 자산의 취약점을 자동 진단하고, 취약점 진단 결과 산출물을 제공하는 취약점 진단부를 더 포함하고, 상기 취약점 진단부는, 로그인 정보를 통해 등록된 사용자 여부를 확인하고, 등록된 사용자인 경우 관리자, 조치 담당자, 자산 담당자 중 하나로 식별하는 사용자 인증부; 진단 대상 자산에 대한 진단 자산 정보 또는 상기 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프를 사용자에게 제공하는 진단 자산 정보 관리부; 진단 항목별로 미리 설정된 진단 요청 데이터를 상기 진단 대상 자산에 송신하고 상기 진단 대상 자산으로부터 응답 데이터를 수신하여, 상기 응답 데이터에 따라 상기 진단 대상 자산의 진단 결과를 산출하는 자산 진단부; 상기 진단 대상 자산에 대한 진단 결과에 따라 조치 계획을 수립하여 후속 조치를 진행하는 후속 조치 수행부; 및 상기 진단 대상 자산을 대상으로 진행된 후속 조치에 대한 이행 결과 진단을 수행하는 이행 결과 진단부를 포함할 수 있다.
본 발명의 일 실시예에 따르면 상기 자산 진단부는, 상기 진단 대상 자산이 하드웨어 자산인 경우에는 상기 하드웨어 자산으로부터 진단 요청 데이터에 대응되는 하드웨어의 설정 정보를 포함한 응답 데이터를 수신하고, 상기 응답 데이터를 통해 미리 설정된 기준 설정에 부합하는지 여부를 판단하여 상기 진단 대상 자산의 진단 결과를 산출하며, 상기 진단 대상이 구동하지 않은 상태의 소프트웨어 자산인 경우 정적 분석을, 상기 진단 대상이 구동하는 상태의 소프트웨어 자산인 경우 동적 분석을 수행하며, 상기 진단 대상 자산이 소프트웨어 자산인 경우에는 상기 소프트웨어 자산으로부터 획득한 진단 요청 데이터에 대응되는 정적분석을 통한 소스 코드 레벨 취약점 스캐닝 정보 또는 동적분석을 통한 러닝 어플리케이션 취약점 스캐닝 정보를 포함한 응답 데이터를 수신하고, 상기 응답 데이터에 따라 상기 진단 대상 자산의 진단 결과를 산출하고, 상기 진단 요청 데이터를 통해 상기 소프트웨어 자산을 대상으로 소스코드 검증, 코드 리뷰, 리버스 엔지니어링 중 적어도 하나의 기법을 이용하여 코딩과 시스템 빌드 과정 중 소스코드에 포함된 버그와 보안 취약점을 자동으로 탐지 가능하도록 컴파일 타임 및 소스 레벨에서 검증 가능한 보안 약점 항목을 대상으로 정적 분석을 수행하고, 상기 분석 결과를 포함한 응답 데이터를 상기 소프트웨어 자산으로부터 수신하거나, 상기 진단 요청 데이터를 통해 상기 소프트웨어 자산을 대상으로 모의 해킹, 스트레스 테스트, 동적 역공학 분석 중 적어도 하나의 기법을 이용하여 소프트웨어가 구동하는 환경을 대상으로 동적 분석을 수행하고, 상기 분석 결과를 포함한 응답 데이터를 상기 소프트웨어 자산으로부터 수신할 수 있다.
본 발명의 실시예에 따라 구현된 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템을 통하여 인프라 자산의 취약점 관련 규제에 더욱 유연하고 신속하게 대응할 수 있으며, 인프라 자산의 취약점이 야기할 수 있는 위험 분석 및 후속 조치의 업무 성과 관리 수준을 향상할 수 있으며, 취약점 진단으로 인하여 산출된 산출물 데이터를 1회성으로 이용하고 처분하는 것이 아니라 계층 구조를 이용한 카테고리 별, 디렉토리 별 지속적인 관리를 통해 데이터의 연속성을 확보하고, 증적 문서를 생성하여 이를 관리함으로써, 관련 기관에서 증적 제출을 요구하거나 취약점으로 인해 발생한 컴플라이언스 관련 법률적 이슈를 대응하기 위하여 증적이 필요한 경우 신속하고 누락으로 인한 불이익 없이 증적 확보가 가능한 효과를 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따라 구현된 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템에 포함된 관리 서버의 세부 구성을 나타낸 도면이다.
도 2는 본 발명의 도 1에 개시된 관리체계 제공부의 세부 구성도이다.
도 3는 본 발명의 도 1에 개시된 취약점 진단부의 세부 구성도이다.
도 4는 본 발명의 일 실시예에 따라 산출물 데이터를 문서 데이터 유형에 따라 분류하여 카테고리 별로 등록된 데이터의 목록을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따라 구현된 관리체계 데이터 구조의 엔티티 관계도를 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따라 증적 관리 기능을 제공하기 위해 구현된 데이터 구조를 나타낸 도면이다.
도 7은 본 발명의 실시예에 따라 계층 구조를 이용한 컴플라이언스 관리 체계 지원 방법의 흐름도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
본 발명에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 발명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
또한 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다.
그리고 몇 가지 대체 실시예들 에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다.
그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다.
따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 발명의 실시예들을 구체적으로 설명함에 있어서, 특정 시스템의 예를 주된 대상으로 할 것이지만, 본 명세서에서 청구하고자 하는 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템 및 서비스에도 본 명세서에 개시된 범위를 크게 벗어나지 아니하는 범위에서 적용 가능하며, 이는 당해 기술분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
이하, 도면을 참조하여 본 발명의 실시 예에 따른 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법에 대하여 설명한다.
도 1은 본 발명의 일 실시예에 따라 구현된 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템에 포함된 관리 서버의 세부 구성을 나타낸 도면이다.
도 1을 참조하면 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템(1)은 컴플라이언스 관리 체계 지원 시스템에 접속하여 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하도록 구비되는 관리 서버(10)를 포함할 수 있으며, 관리 서버(10)는 관리체계 제공부(210)를 포함할 수 있으며, 취약점 진단부(220)를 더 포함할 수 있다.
본 발명의 일 실시예에 따르면 관리체계 제공부(210)는 계층 구조를 적용하여 취약점 진단 결과 산출물 및 입력 받은 데이터를 직관적이고 지속적으로 관리할 수 있으며 관리체계 제공부(210)는 도 2를 참조하며 더 자세하게 설명하도록 한다.
본 발명의 일 실시예에 따르면 취약점 진단부(220)는 컴플라이언스 관리 시스템에 접속하여 인프라 자산의 취약점을 자동 진단하고, 취약점 진단 결과 산출물을 제공할 수 있으며 취약점 진단부(220)는 도 3을 참조하며 더 자세하게 설명하도록 한다.
도 2는 본 발명의 도 1에 개시된 관리체계 제공부의 세부 구성도이다.
도 2를 참조하면 본 발명의 일 실시예에 따라 구현된 관리 서버(10)에 포함된 관리체계 제공부(100)의 세부 구성이 나타나 있으며, 관리체계 제공부(100)는 평가 유형 관리부(110), 문서 카테고리 관리부(120), 디렉토리 관리부(130), 문서 이력 관리부(140), 관리 체계 점검부(150)를 포함할 수 있다.
평가 유형 관리부(110)는 정규화된 문서 양식으로 정의된 평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 ID 정의서는 평가 유형, 분류내용에 따라 분류 아이디가 부여되며, 분류 아이디로 식별되는 항목에 대한 상세 정보를 포함할 수 있다.
본 발명의 일 실시예에 따르면 분류 아이디로 식별되는 항목은 평가 유형, 기준년도, 점검코드, 분류 유형, 구분, 분류 아이디, 분류 내용, 배치순서, 인증기준, 인증기준 설명, 등급, 위험도, 담당자 중 적어도 하나의 항목을 포함할 수 있다.
본 발명의 일 실시예에 따르면 정규화된 문서 양식은 엑셀(Excel) 형식을 가진 표로 이루어진 파일일 수도 있으나, 이에 한정되지는 아니하며 진단 항목을 포함하는 평가 유형에 대한 세부 정보에 대한 정보라면 제한 없이 사용할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형 관리부(110)는 ID 정의서가 암호화된 정의서 파일일 수 있으며, ID 정의서를 이용하여 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 ID 정의서는 보안을 위하여 암호화 과정을 거친 암호화된 ID 정의서 파일일 수 있으며, 암호화된 ID 정의서 파일인 경우 향후 해당 파일을 사용할 때 복호화 과정을 거쳐 사용할 수 있다.
본 발명의 일 실시예에 따르면 DB 데이터 파일은 다수의 ID 정의서를 보관, 관리하고 있는 데이터 베이스로부터 분류 아이디를 이용하여 호출해온 데이터를 의미할 수 있다.
본 발명의 일 실시예에 따르면 플러그인 라이선스 정책을 사용하는 경우 암호화된 ID 정의서를 이용하여 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형 관리부(110)는 등록된 평가 유형에 대한 수정, 삭제, 기준년도 관리, 평가 유형 별 점검 항목에 대한 등록, 수정, 삭제 기능을 수행할 수 있다.
문서 카테고리 관리부(120)는 취약점 진단을 통해 산출된 다수의 산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장할 수 있다
본 발명의 일 실시예에 따르면 계층 구조에 대한 정보는 미리 설정되어 있을 수 있음 주로 전체적으로 데이터의 논리적인 구조에 대한 기준일 수 있으면 이를 통해 연관성 있는 그룹끼리 그룹핑하여 카테고리를 형성할 수 있다.
본 발명의 일 실시 예에 따르면 문서 카테고리 관리부(120)는 구조화된 카테고리는 고객사에 따라 확장 또는 수정이 가능하게 할 수 있다.
본 발명의 일 실시예에 따르면 문서 카테고리 관리부(120)는 고객사마다 컴플라이언스 업무를 위해 필요한 평가 유형 및 평가 유형 별 점검항목이 다른 것이 일반적이므로 해당 고객사로부터 필요 정보를 미리 수신하여 고객사의 변경에 따라 평가 유형 및 평가 유형 별 점검항목을 수정 및 확대할 수 있다.
본 발명의 일 실시예에 따르면 문서 카테고리 관리부(120)는 등록된 첨부 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 가지는 문서 데이터를 미리 설정된 계층 구조에 따라 트리 구조로 생성된 카테고리별로 분류할 수 있다.
본 발명의 일 실시예에 따르면 미리 설정된 계층 구조는 트리 구조로 형성된 계층 구조일수 있으며, 이에 따라 카테고리를 논리적인 기준에 따라 트리 형태로 분류할 수 있다.
디렉토리 관리부(130)는 각 평가 유형별로 산출물 디렉토리를 제공하고 디렉토리 별 기본 산출물 연결정보를 제공할 수 있다.
본 발명의 일 실시예에 따르면 디렉토리 관리부(130)는 평가 유형별 산출물 디렉토리를 표준화할 수 있으며, 디렉토리 별 산출물 사전 등록의 표준화를 수행할 수 있다.
문서 이력 관리부(140)는 카테고리와 산출물 디렉토리를 매핑하여 구조화된 카테고리에 저장된 산출물 데이터들을 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 등록된 상기 문서 데이터는 최초 등록 이후 버전 정보가 누적 저장되어, 저장된 상기 버전정보를 이용하여 문서 이력을 관리할 수 있다.
본 발명의 일 실시예에 따르면 구조화된 카테고리과 연관된 산출물 디렉토리를 매핑하고, 이를 통해 구조화된 카테고리에 저장된 산출물 데이터들을 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록할 수 있다.
본 발명의 일 실시예에 따르면 등록된 문서 데이터는 최초 등록 이후 수정, 변경, 이동, 복사 등이 있을 때 마다 버전이 갱신되어 데이터 이력을 누적 저장할 수 있으며, 삭제 후에도 휴지통 기능을 통해 복구할 수 있다
본 발명의 일 실시예에 따르면 다양한 유형의 문서 데이터는 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 포함할 수 있다.
본 발명의 일 실시예에 따르면 매핑된 산출물 디렉토리에 카테고리별로 등록된 문서 데이터를 이용하여 지속적인 이력관리 및 증적 관리를 수행할 수 있다.
본 발명의 일 실시예에 따르면 산출물 디렉토리에 카테고리별로 분류된 문서 데이터를 분석하여 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하여 진단 항목별로 매핑하고, 카테고리와 산출물 디렉토리를 매핑하여 취약점 진단을 통한 산출물 데이터의 산출 요청이 있는 경우 해당 평가 유형에 포함되는 진단 항목별 증적을 제공할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하기 위해서는 미리 설정된 증적 기준을 이용할 수 있으며, 미리 설정된 증적 기준은 평가 유형에 포함된 진단 항목 별로 이를 증빙하기 위해서는 어떤 종류의 문서 데이터가 필요한지에 대한 세부 설명 및 이를 식별할 수 있는 인덱스 데이터 또는 검색 문구, 문서 형식 등을 포함하는 것을 의미할 수 있다.
관리 체계 점검부(150)는 관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성할 수 있다.
본 발명의 일 실시예에 따르면 관리 체계 점검부(150)는 평가 유형별 진단 항목에 대한 현황 분석 결과 데이터를 저장 또는 관리할 수 있으며, 결과 데이터는 취합되어 현황 분석서로 생성될 수 있으며, 현황 분석서는 취약점 이력 관리를 위하여 사용될 수 있도록 조치 관리자에게 제공될 수 있다.
본 발명의 일 실시예에 따르면 현황 분석서를 이용하여 고객사의 필터링 조건에 따라 위험평가 결과 및 조치 계획 문서 데이터를 조치 사용자에게 제공할 수 있다.
도 3는 본 발명의 도 1에 개시된 취약점 진단부의 세부 구성도이다.
도 3을 참조하면 본 발명의 일 실시예에 따르면 참조하면 구현된 관리 서버(10)에 포함된 취약점 진단부(200)의 세부 구성이 나타나 있으며, 취약점 진단부(200)는 사용자 인증부(210), 진단 자산 정보 관리부(220), 자산 진단부(230), 후속 조치 수행부(240), 이행 결과 진단부(250)를 포함할 수 있다.
사용자 인증부(210)는 로그인 정보를 통해 등록된 사용자 여부를 확인하고, 등록된 사용자인 경우 관리자, 조치 담당자, 자산 담당자 중 하나로 식별할 수 있다.
본 발명의 일 실시예에 따르면 사용자 인증부(210)는 로그인 정보를 통해 등록된 사용자 여부를 확인하기 위하여 SSO(Single Sign-On)을 통해 복수의 사용자 단말이 관리서버(10)에 접속하게 할 수 있으며, 등록된 복수의 사용자 단말은 설정된 권한에 따라 관리자의 사용자 단말, 자산 담당자의 사용자 단말, 조치 담당자의 사용자 단말로 구분되어 접속될 수 있다.
본 발명의 일 실시예에 따르면 관리자는 관리 서버(10)에 연결된 관리자의 사용자 단말을 이용하여 등록된 사용자 중 수행하여야 할 업무에 따라 조치 담당자, 자산 담당자 중 하나로 식별하여 관리 권한을 부여할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자는 진단 대상이 될 진단 자산 정보 및 진단 항목에 대한 관리 권한을 가지고 있으며, 이러한 권한을 통해 자산 담담당자의 사용자 단말을 이용하여 진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청을 생성하여 관리 서버(10)에 송신할 수 있다.
본 발명의 일 실시예에 따르면 조치 담당자는 관리 서버(10)로부터 수신한진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청에 대하여 승인 또는 반려할 수 있는 결재 권한을 가지고 있으며, 이러한 결재 권한을 통해 조치 담당자의 사용자 단말을 이용하여 관리 서버(10)로 승인 또는 반려를 수행할 수 있으며, 진단 항목별로 결재된 대한 승인 또는 반려는 승인 결재 데이터 또는 반려 결재 데이터 형식으로 관리 서버(10)에 송신될 수 있다.
진단 자산 정보 관리부(220)는 진단 자산 정보 또는 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프를 사용자에게 제공할 수 있다.
본 발명의 일 실시예에 따르면 진단 자산 정보는 진단 대상명, 진단대상번호, 그룹번호, 그룹명, 자산번호, 호스트명, IP, OS명, OS 상세정보, 점검 기준 중 적어도 하나의 정보를 포함할 수 있다.
본 발명이 일 실시예에 따르면 진단 자산 정보는 목록 형태로 사용자에게 제공될 수 있으며, 사용자는 필터링 기능 및 검색 기능을 이용하여 원하는 진단 자산에 대한 정보를 탐색하여 관리할 수 있다.
본 발명의 일 실시예에 따르면 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프는 연간 보안 수준, 연간 위엄 등급별 분포, 연간 취약점 건수 비교, 연간 취약점 조치 현황, 연간 취약점 조치율 현황, 진단 대상 등록 수량, 연간 진단 대상 비교에 대한 그래프 중 적어도 하나를 포함할 수 있다.
본 발명의 일 실시예에 따르면 진단 자산 정보 관리부(220)는 자산 담당자의 사용자 단말을 통해 입력 받은 정보가 존재하는 경우 입력 받은 정보를 이용하여 진단 자산 정보를 갱신할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자가 사용자 단말을 이용하여 진단 자산 정보에 포함된 정보의 일부를 입력하는 경우 종래에 존재하던 정보의 경우 입력 받은 정보로 해당 정보를 갱신하고, 존재하지 않던 정보인 경우 해당 정보를 진단 자산 정보에 추가할 수 있다.
자산 진단부(230)는 진단 항목별로 미리 설정된 진단 요청 데이터를 진단 대상 자산에 송신하고 진단 대상 자산으로부터 응답 데이터를 수신하여, 응답 데이터에 따라 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터를 진단 대상 자산에 신뢰성을 확보하며 송신하기 위하여 SSL을 이용할 수 있으며, 또한 SSL을 이용하여 진단 요청 데이터에 대응되는 응답 데이터를 관리 서버(10)에 송신할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산은 하드웨어 자산과 소프트웨어 자산으로 구분될 수 있다.
본 발명의 일 실시예에 따르면 하드웨어 자산은 유형의 하드웨어로 구성된 자산 중 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출 등이 가능할 수 있게 설정되어 있는 설정 정보 상의 결함이 취약점으로 인정되어 위험을 유발할 수 있는 자산을 의미할 수 있다.
본 발명의 일 실시예에 따르면 소프트웨어 자산은 무형의 소프트웨어로 구성된 자산 중 아키텍처, 디자인 설계, 코딩 등 소프트웨어 개발 단계에서 발생 가능한 결함 뿐만 아니라 정보시스템의 위변조 감지, 개인정보 유출, 악성코드 및 피싱 위협, 모바일 보안 등의 결함이 취약점으로 인정되어 위험을 유발할 수 있는 자산을 의미할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산은 기술적 취약점 진단 대상 자산과 관리적 취약점 진단 대상 자산으로도 구분될 수 있다.
본 발명의 일 실시 예에 따르면 관리적 취약점 진단 대상 자산은 하드웨어 자산과 기술적 취약점 진단 대상 자산은 네트워크 자산과 부합될 수 있으나 이에 한정되지는 아니한다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 하드웨어 자산인 경우 하드웨어 자산으로부터 획득한 진단 요청 데이터에 대응되는 하드웨어의 설정 정보를 포함한 응답 데이터를 수신하고, 응답 데이터를 통해 미리 설정된 기준 설정에 부합하는지 여부를 판단하여 진단 대상 자산의 진단 결과를 산출할 수 있다.
여기서 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보는 해당 하드웨어 자체의 설정 또는 하드웨어 자산을 사용하는 사용자의 권한에 대한 설정에 대한 정보를 의미할 수 있으나, 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출이 가능하도록 설정이 되어 있는지 여부를 인식할 수 있는 정보라면 형식에 상관없이 자유롭게 사용될 수 있다.
또한 미리 설정된 기준 설정은 해당 하드웨어를 대상으로 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출이 불가능하도록 미리 지정된 레퍼런스 설정값을 의미할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보와 미리 설정된 설정을 대비하여 불일치하는 진단 항목이 존재하는지 여부에 따라 진단 결과를 산정할 수 있으며, 불일치하는 경우 불일치하는 진단 항목의 위험도가 높을수록 진단 결과가 취약한 것으로 산정될 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산의 진단 항목에 대한 최종 진단 결과는 아래 수학식 1을 이용하여 산출될 수 있다.
Figure pat00001
여기서 RD(Result of Diagnosis)는 진단 대상 자산의 진단 항목에 대한 최종 진단 결과를 의미하며 최종 진단 결과값이 높을수록 진단 항목에 대한 진단 결과가 취약한 것으로 판단할 수 있다.
또한 RI(Risk Index)는 진단 항목의 위험도를 의미할 수 있으며, 이는 진단 항목에 취약점이 발견될 때 상대적 위험성에 대한 지표로 산출할 수 있고, 이러한 지표를 계산하기 위하여 진단 대상 자산에 진단 항목이 미치는 기여도 (CS, Contribution of System)를 획득하고, RI(Risk index)는 CS(Contribution of System)와 반비례 관계를 가지므로, CS(Contribution of System)을 먼저 계산하여 이를 통해 RI(Risk index)를 구하는 방법으로 수학식 1의 계산을 수행할 수 있다.
진단 대상 자산에 진단 항목이 미치는 기여도인 CS의 경우에는 진단 대상 자산의 정상 운용 상태를 1이라고 할 때 진단 항목에 취약점이 존재하여 운용이 어려울수록 0에 가까운 것으로 산정하여 아예 운용 자체가 불가능한 상태인 경우 0으로 산정하여 획득할 수 있다.
VA(Value of Asset)는 진단 대상 자산의 가치를 의미하며 구매 금액 대비 감가 상각률을 적용한 잔존가치로 산출할 수 있으며 주로 만원 또는 천원 단위로 단위를 지정하여 단위 별 숫자로 표기할 수 있다
AT(Average number of Threat per year)는 진단 항목의 평균 연간 취약점 발생 횟수를 의미하며 데이터 베이스 상의 정보를 바탕으로 연간 해당 진단 항목의 취약점 발생 횟수에 따라 산출할 수 있으며, PF(Probability of Follow-up problem solving)는 해당 진단 항목에 대한 후속 조치 시 평균 해결 확률을 의미하며 데이터 베이스 상의 정보를 바탕으로 연간 해당 진단 항목의 취약점에 대해 후속 조치를 실시한 경우 취약점이 해결된 확률에 따라 산출될 수 있다.
본 발명의 일 실시예에 따르면 최종 진단 결과(RD)가 미리 설정된 기준 값 이상인 경우 진단 결과가 취약한 것으로 판단할 수 있으며, 기준 값 이하인 경우 취약점은 존재하나 진단 결과는 양호 또는 보통으로 판단할 수 있다.
본 발명의 일 실시예에 따르면 자산 진단부(230)는 진단 대상 자산으로부터 수신한 응답 데이터에 포함된 하드웨어의 설정 정보를 확인하고, 미리 설정된 기준 설정에 부합하는지 여부를 판단하기 위하여 하드웨어의 설정 정보에 포함된 진단 항목의 설정값, 임계값, True or False 값 중 적어도 하나 이상을 미리 설정된 기준과 비교할 수 있으며, 각 진단 항목별로 취약점 진단의 기준이 되는 값을 비교하는데, 예를 들면 계정관리 부분에서 패스워드의 최대사용기간을 비교할 수 있다.
상기 실시예에 따르면 미리 설정된 기준의 패스워드 최대 사용기간이 30일이고, 하드웨어의 설정 정보의 패스워드 최대 사용기간이 90일이라면 패스워드 최대 사용기간이 일치하지 아니하므로 불일치하는 진단 항목이 존재하는 것으로 판단하여 수학식 1을 통해 최종 진단 결과(RD)등을 산출함으로써 진단 결과를 산정할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 하드웨어 자산인 경우 수신한 진단 요청 데이터를 이용하여 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보를 포함하는 응답 데이터를 생성하여 관리 서버(10)로 송신하고, 응답데이터를 이용하여 미리 설정된 기준 설정에 부합하는지 여부를 판단하여 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 소프트웨어 자산인 경우 소프트웨어 자산으로부터 획득한 진단 요청 데이터에 대응되는 정적분석을 통한 소스 코드 레벨 취약점 스캐닝 정보 또는 동적분석을 통한 러닝 어플리케이션 취약점 스캐닝 정보를 포함한 응답 데이터를 수신하고, 응답 데이터에 따라 상기 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터 통해 상기 소프트웨어 자산을 대상으로 소스코드 검증, 코드 리뷰, 리버스 엔지니어링 중 적어도 하나의 기법을 이용하여 코딩과 시스템 빌드 과정 중 소스코드에 포함된 버그와 보안 취약점을 자동으로 탐지 가능하도록 컴파일 타임 및 소스 레벨에서 검증 가능한 보안 약점 항목을 대상으로 정적 분석을 수행하고, 수행된 분석 결과를 포함한 응답 데이터를 소프트웨어 자산으로부터 수신하여 취약점 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터 통해 소프트웨어 자산을 대상으로 모의 해킹, 스트레스 테스트, 동적 역공학 분석 중 적어도 하나의 기법을 이용하여 소프트웨어가 구동하는 환경을 대상으로 동적 분석을 수행하고, 수행된 분석 결과를 포함한 응답 데이터를 상기 소프트웨어 자산으로부터 수신하여 취약점 진단을 수행할 수 있다.
상기 실시예에 따르면 소프트웨어 자산을 대상으로 수행되는 동적 분석을 통해 실행과정 및 결과에 초점을 맞춰 정적 분석에서 발견되지 않는 사용상의 문제점 및 구현 컴포넌트 구조 관점에서 발생 가능한 보안 약점의 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상이 구동하지 않은 상태의 소프트웨어 자산인 경우 정적 분석을, 진단 대상이 구동하는 상태의 소프트웨어 자산인 경우 동적 분석을 수행할 수 있다.
상기 실시예에 따르면 진단 대상에 대한 진단 항목에 따라 진단을 수행할 소프트웨어 자산의 상태를 선정할 수 있으며, 선정된 결과에 따라 진단 대상에 대한 진단 항목 별로 동적 또는 정적 분석을 수행할 수 있다.
후속 조치 수행부(240)는 진단 대상 자산에 대한 진단 결과에 따라 조치 계획을 수립하여 후속 조치를 진행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산에 대한 진단 결과가 취약으로 나온 진단 항목 중 위험 수용 상신 또는 조치 계획이 미수립된 진단 대상 자산의 진단 항목에 대한 문제점을 해결하기 위하여 미리 설정된 조치 사항에 따라 조치 계획을 수립함으로써 조치 계획 요청 및 이에 따른 후속 조치를 진행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산의 진단 항목 마다 조치 사유 및 조치 사항이 미리 설정될 수 있으며, 이에 따라 조치 계획을 수립할 수 있다.
본 발명의 일 실시 예에 따르면 자산 담당자는 사용자 단말을 이용하여 진단 결과에 따라 조치 계획을 수립하고, 수립한 조치 계획에 대한 조치 계획 요청을 관리 서버(10)로 송신할 수 있는 권한을 가질 수 있다.
본 발명의 일 실시 예에 따르면 조치 담당자는 사용자 단말을 이용하여 관리 서버(10)로부터 수신 받은 조치 계획 요청에 대하여 승인 또는 반려할 수 있는 결재 권한을 가지고 있으며, 승인 또는 반려 정보를 포함한 응답을 관리서버(10)로 송신할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버는(10) 조치 담당자로부터 승인을 수신한 경우 진단 대상 자산에 후속 조치 지시 데이터를 송신하여 설정 정보 또는 소스 코드를 변경하여 후속 조치를 진행하거나 자산 담당자에게 설정 정보 또는 소스 코드의 변경 권한을 부여하여 후속 조치를 수행할 수 있다.
이행 결과 진단부(250)는 진단 대상 자산을 대상으로 진행된 후속 조치에 대한 이행 결과 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 이행 결과 진단부(250)는 승인된 이행 결과 진단 요청에 따라 이행 결과 진단을 수행할 수 있으며, 진단 결과 취약하다고 판단된 진단 대상 자산의 진단 항목에 대한 후속 조치가 이루어졌는지 여부, 해당 조치로 취약점이 해결 또는 완화되었는지 여부를 기준으로 이행 결과를 진단할 수 있다.
본 발명의 일 실시예에 따르면 취약점 진단부(200)은 결재 내역 관리부(260)를 더 포함할 수 있으며, 결재 내역 관리부(260)는 자산 담당자의 사용자 단말로부터 수신한 진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청 중 적어도 하나의 요청을 조치 담당자의 사용자 단말에 송신하고, 조치 담당자의 사용자 단말을 이용하여 요청에 대한 승인, 반려 결재 데이터를 수신하여 요청에 대한 결재를 관리할 수 있다.
본 발명의 일 실시예에 따르면 적어도 하나의 요청은 자산 담당자의 사용자 단말을 통해 수신한 진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청을 포함할 수 있다.
본 발명의 일 실시예에 따르면 결재 내역 관리부(260)는 관리자 또는 자산 담당자는 결재 목록에 포함된 요청을 추가 또는 삭제하는 권한을 부여할 수 있으며, 조치 담당자에게는 결재 목록에 포함된 요청을 승인 또는 반려하는 권한을 부여할 수 있다.
본 발명의 제2 실시예에 따르면 자산 진단부(230)는 자산 담당자의 사용자 단말(20)로부터 수신한 진단 계획 요청을 조치 담당자의 사용자 단말에 송신하고, 진단 계획 요청에 대한 승인 결재 데이터를 조치 담당자의 사용자 단말로부터 수신한 이후 진단 항목별로 미리 설정된 진단 요청 데이터를 진단 대상 자산 항목에 송신할 수 있다.
*본 발명의 일 실시예에 따르면 관리 서버(10)는 자산 담당자의 사용자 단말로부터 SSO를 이용하여 진단 계획 요청을 수신할 수 있으며, 조치 담당자의 사용자 단말로부터 SSL을 이용하여 승인 결재 데이터를 수신할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터는 진단 대상 자산의 진단 항목에 대하여 취약점이 존재하는지 여부를 판단할 수 있도록 설정 정보 또는 스캐닝을 통한 취약점 정보를 획득할 수 있도록 진단 대상 자산에 요청하는 데이터를 의미할 수 있다.
본 발명의 일 실시예에 따르면 자산 진단부(230)는 진단 계획 요청을 생성 및 관리하기 위하여 별도의 프로젝트를 생성할 수 있다.
상기 일 실시예에 따르면 프로젝트는 프로젝트명, 진단명, 진단 대상 자산, 진단 구분, 진단 솔루션 선택, 진단 템플릿, 수동 진단 파일, 승인자 정보를 포함하며, 진단 대상 자산의 진단 결과는 프로젝트명으로 조회가 가능하고 진단 상태, 위험도, 진단 결과, 조치 상태를 포함할 수 있다.
본 발명의 제2 실시예에 따르면 후속 조치 수행부(240)는 자산 담당자의 사용자 단말로부터 수신한 조치 계획 요청을 조치 담당자의 사용자 단말에 송신하고, 조치 계획 요청에 대한 승인 결재 데이터를 조치 담당자의 사용자 단말로부터 수신한 이후 조치 계획에 따른 조치를 진단 대상 자산의 진단 항목별로 진행할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자의 사용자 단말로부터 수신한 조치 계획 요청을 조치 담당자의 사용자 단말에 송신하고, 조치 계획 요청에 대한 승인 결재 데이터를 조치 담당자의 사용자 단말로부터 수신한 이후 조치 계획에 따른 조치를 진단 대상 자산을 대상으로 하여 진단 항목별로 진행할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버(10)는 자산 담당자의 사용자 단말로부터 SSO를 이용하여 조치 계획 요청을 수신할 수 있으며, 조치 담당자의 사용자 단말로부터 SSL을 이용하여 승인 결재 데이터를 수신할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버(10)는 진단 결과에 따라 후속 조치가 필요한 진단 대상 자산의 진단 항목에 대하여 후속 조치 진행을 제안할 수 있으며, 자산 담당자는 제안된 진단 항목을 대상으로 조치 계획을 수립하여 조치 계획을 요청할 수 있다.
본 발명의 일 실시예에 따르면 후속 조치 수행부(240)는 진단 대상 자산, 조치 항목, 조치 사유, 조치 사항, 조치 완료일을 포함한 조치 계획 요청을 생성할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버(10)가 조치 계획 요청에 대한 승인을 수신하면 조치를 진행하기 위하여 진단 대상 자산에 후속 조치 지시 데이터를 송신하여 설정 정보 또는 소스 코드를 변경하여 후속 조치를 진행할 수 있다.
상기 실시예에 따르면 후속 조치 지시 데이터는 설정 정보 또는 소스 코드를 미리 설정된 기준과 동일하게 자동으로 변경할 수 있는 정보 및 권한을 포함한 데이터 일 수 있다.
본 발명의 일 실시예에 따르면 관리 서버(10)가 조치 계획 요청에 대한 승인을 수신하면 조치를 진행하기 위하여 자산 담당자의 사용자 단말에 후속 조치 허가 데이터를 송신하여 자산 담당자에게 설정 정보 또는 소스 코드의 변경 권한을 부여하여 후속 조치를 진행할 수 있다.
본 발명의 일 실시예에 따르면 이행 결과 진단부(250)는 자산 담당자의 사용자 단말로부터 수신한 이행 결과 진단 요청을 조치 담당자의 사용자 단말에 송신하고, 이행 결과 진단 요청에 대한 승인을 상기 조치 담당자의 사용자 단말로부터 수신한 이후 이행 결과 진단을 상기 진단 대상 자산의 진단 항목별로 진행할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버(10)는 자산 담당자의 사용자 단말로부터 SSO를 이용하여 이행 결과 진단 요청을 수신할 수 있으며, 조치 담당자의 사용자 단말로부터 SSL을 이용하여 승인 결재 데이터를 수신할 수 있다.
본 발명의 일 실시예에 따르면 이행 결과 진단을 수행하여 후속 조치가 이루어진 수행 대상이 된 진단 대상 자산의 진단 항목의 취약점이 해소되었는지 여부를 확인할 수 있으며, 이를 통해 지속적인 취약점 관리를 수행할 수 있다.
도 4는 본 발명의 일 실시예에 따라 산출물 데이터를 문서 데이터 유형에 따라 분류하여 카테고리 별로 등록된 데이터의 목록을 나타낸 도면이다.
도 4를 참조하면 산출물 데이터를 문서 데이터 유형에 따라 분류한 카테고리 별 데이터 목록이 나타나 있으며, 데이터 유형은 파일 형태의 문서 데이터인 경우 파일 업로드, 취약점 진단 결과 보고서 형태의 문서 데이터인 경우 컴플라인 레포트, API 서비스를 통해 생성된 문서 데이터인 경우 API 서비스로 분류될 수 있으며, 문서명, 서비스명, 기분일자, 생성일자 등의 정보가 포함될 수 있으며 분류 아이디를 통해 각 데이터는 식별될 수 있다.
도 5는 본 발명의 일 실시예에 따라 구현된 관리체계 데이터 구조의 엔티티 관계도를 나타낸 도면이다.
*도 5를 참조하면 본 발명의 일 실시예에 따른 데이터 구조의 엔티티 관계도가 나타나 있으며 문서 데이터를 기준으로 문서 카테고리, 문서 서비스, 문서 버전 평가 유형별 작업 디렉토리가 연동될 수 있으며, 평가유형과 점검활동, 점검 항목(진단 항목), 평가 유형별 작업 디렉토리가 연동되며, 점검 활동과 점검활동 참여자, 산출물 관리, 형환 분석서 등이 연동될 수 있다.
본 발명의 일 실시예에 따르며 컴플라인 표준화를 수행하면 디렉터리 문서와의 관계 복잡도가 증가할 수 있다.
도 6은 본 발명의 일 실시예에 따라 증적 관리 기능을 제공하기 위해 구현된 데이터 구조를 나타낸 도면이다.
도 6을 참조하면 증적 관리 기능을 제공하기 위해 본 발명의 일 실시예 따라 구현된 데이터 구조가 나타나 있으며, 이는 평가 유형 영역, 문서 데이터 영역, 관리 영역으로 크게 3가지 영역으로 분류할 수 있다.
평가 유형 영역과 문서 데이터 영역은 점검 매핑을 통해 해당 평가 유형 영역과 특정 문서 데이터가 연동될 수 있으며, 관리 영역을 통해 파일 업로드 및 문서 편집, 컴플라인 레포팅, 외부 서비스 API 등의 기능을 수행할 수 있다.
도 7은 본 발명의 실시예에 따라 계층 구조를 이용한 컴플라이언스 관리 체계 지원 방법의 흐름도이다.
인프라 자산의 취약점을 자동 진단하고, 취약점 진단 결과 산출물을 제공한다(S10).
본 발명의 일 실시예에 따르면 로그인 정보를 통해 등록된 사용자 여부를 확인하고, 등록된 사용자인 경우 관리자, 조치 담당자, 자산 담당자 중 하나로 식별할 수 있다.
본 발명의 일 실시예에 따르면 관리자는 관리 서버(10)에 연결된 관리자의 사용자 단말을 이용하여 등록된 사용자 중 수행하여야 할 업무에 따라 조치 담당자, 자산 담당자 중 하나로 식별하여 관리 권한을 부여할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자는 진단 대상이 될 진단 자산 정보 및 진단 항목에 대한 관리 권한을 가지고 있으며, 이러한 권한을 통해 자산 담담당자의 사용자 단말을 이용하여 진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청을 생성하여 관리 서버(10)에 송신할 수 있다.
본 발명의 일 실시예에 따르면 조치 담당자는 관리 서버(10)로부터 수신한진단 계획 요청, 조치 계획 요청, 이행 결과 진단 요청에 대하여 승인 또는 반려할 수 있는 결재 권한을 가지고 있으며, 이러한 결재 권한을 통해 조치 담당자의 사용자 단말을 이용하여 관리 서버(10)로 승인 또는 반려를 수행할 수 있으며, 진단 항목별로 결재된 대한 승인 또는 반려는 승인 결재 데이터 또는 반려 결재 데이터 형식으로 관리 서버(10)에 송신될 수 있다.
본 발명의 일 실시예에 따르면 진단 자산 정보 또는 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프를 사용자에게 제공할 수 있다.
본 발명이 일 실시예에 따르면 진단 자산 정보는 목록 형태로 사용자에게 제공될 수 있으며, 사용자는 필터링 기능 및 검색 기능을 이용하여 원하는 진단 자산에 대한 정보를 탐색하여 관리할 수 있다.
본 발명의 일 실시예에 따르면 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프는 연간 보안 수준, 연간 위엄 등급별 분포, 연간 취약점 건수 비교, 연간 취약점 조치 현황, 연간 취약점 조치율 현황, 진단 대상 등록 수량, 연간 진단 대상 비교에 대한 그래프 중 적어도 하나를 포함할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자의 사용자 단말을 통해 입력 받은 정보가 존재하는 경우 입력 받은 정보를 이용하여 진단 자산 정보를 갱신할 수 있다.
본 발명의 일 실시예에 따르면 자산 담당자가 사용자 단말을 이용하여 진단 자산 정보에 포함된 정보의 일부를 입력하는 경우 종래에 존재하던 정보의 경우 입력 받은 정보로 해당 정보를 갱신하고, 존재하지 않던 정보인 경우 해당 정보를 진단 자산 정보에 추가할 수 있다.
본 발명의 일 실시예에 따르면 진단 항목별로 미리 설정된 진단 요청 데이터를 진단 대상 자산에 송신하고 진단 대상 자산으로부터 응답 데이터를 수신하여, 응답 데이터에 따라 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 하드웨어 자산은 유형의 하드웨어로 구성된 자산 중 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출 등이 가능할 수 있게 설정되어 있는 설정 정보 상의 결함이 취약점으로 인정되어 위험을 유발할 수 있는 자산을 의미할 수 있다.
본 발명의 일 실시예에 따르면 소프트웨어 자산은 무형의 소프트웨어로 구성된 자산 중 아키텍처, 디자인 설계, 코딩 등 소프트웨어 개발 단계에서 발생 가능한 결함 뿐만 아니라 정보시스템의 위변조 감지, 개인정보 유출, 악성코드 및 피싱 위협, 모바일 보안 등의 결함이 취약점으로 인정되어 위험을 유발할 수 있는 자산을 의미할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산은 기술적 취약점 진단 대상 자산과 관리적 취약점 진단 대상 자산으로도 구분될 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 하드웨어 자산인 경우 하드웨어 자산으로부터 획득한 진단 요청 데이터에 대응되는 하드웨어의 설정 정보를 포함한 응답 데이터를 수신하고, 응답 데이터를 통해 미리 설정된 기준 설정에 부합하는지 여부를 판단하여 진단 대상 자산의 진단 결과를 산출할 수 있다.
여기서 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보는 해당 하드웨어 자체의 설정 또는 하드웨어 자산을 사용하는 사용자의 권한에 대한 설정에 대한 정보를 의미할 수 있으나, 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출이 가능하도록 설정이 되어 있는지 여부를 인식할 수 있는 정보라면 형식에 상관없이 자유롭게 사용될 수 있다.
또한 미리 설정된 기준 설정은 해당 하드웨어를 대상으로 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람, 변조, 유출이 불가능하도록 미리 지정된 레퍼런스 설정값을 의미할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보와 미리 설정된 설정을 대비하여 불일치하는 진단 항목이 존재하는지 여부에 따라 진단 결과를 산정할 수 있으며, 불일치하는 경우 불일치하는 진단 항목의 위험도가 높을수록 진단 결과가 취약한 것으로 산정될 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산의 진단 항목에 대한 최종 진단 결과는 위 수학식 1을 이용하여 산출될 수 있다.
본 발명의 일 실시예에 따르면 최종 진단 결과(RD)가 미리 설정된 기준 값 이상인 경우 진단 결과가 취약한 것으로 판단할 수 있으며, 기준 값 이하인 경우 취약점은 존재하나 진단 결과는 양호 또는 보통으로 판단할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산으로부터 수신한 응답 데이터에 포함된 하드웨어의 설정 정보를 확인하고, 미리 설정된 기준 설정에 부합하는지 여부를 판단하기 위하여 하드웨어의 설정 정보에 포함된 진단 항목의 설정값, 임계값, True or False 값 중 적어도 하나 이상을 미리 설정된 기준과 비교할 수 있으며, 각 진단 항목별로 취약점 진단의 기준이 되는 값을 비교하는데, 예를 들면 계정관리 부분에서 패스워드의 최대사용기간을 비교할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 하드웨어 자산인 경우 수신한 진단 요청 데이터를 이용하여 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보를 포함하는 응답 데이터를 생성하여 관리 서버(10)로 송신하고, 응답데이터를 이용하여 미리 설정된 기준 설정에 부합하는지 여부를 판단하여 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산이 소프트웨어 자산인 경우 소프트웨어 자산으로부터 획득한 진단 요청 데이터에 대응되는 정적분석을 통한 소스 코드 레벨 취약점 스캐닝 정보 또는 동적분석을 통한 러닝 어플리케이션 취약점 스캐닝 정보를 포함한 응답 데이터를 수신하고, 응답 데이터에 따라 상기 진단 대상 자산의 진단 결과를 산출할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터 통해 상기 소프트웨어 자산을 대상으로 소스코드 검증, 코드 리뷰, 리버스 엔지니어링 중 적어도 하나의 기법을 이용하여 코딩과 시스템 빌드 과정 중 소스코드에 포함된 버그와 보안 취약점을 자동으로 탐지 가능하도록 컴파일 타임 및 소스 레벨에서 검증 가능한 보안 약점 항목을 대상으로 정적 분석을 수행하고, 수행된 분석 결과를 포함한 응답 데이터를 소프트웨어 자산으로부터 수신하여 취약점 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 진단 요청 데이터 통해 소프트웨어 자산을 대상으로 모의 해킹, 스트레스 테스트, 동적 역공학 분석 중 적어도 하나의 기법을 이용하여 소프트웨어가 구동하는 환경을 대상으로 동적 분석을 수행하고, 수행된 분석 결과를 포함한 응답 데이터를 상기 소프트웨어 자산으로부터 수신하여 취약점 진단을 수행할 수 있다.
상기 실시예에 따르면 소프트웨어 자산을 대상으로 수행되는 동적 분석을 통해 실행과정 및 결과에 초점을 맞춰 정적 분석에서 발견되지 않는 사용상의 문제점 및 구현 컴포넌트 구조 관점에서 발생 가능한 보안 약점의 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산에 대한 진단 결과에 따라 조치 계획을 수립하여 후속 조치를 진행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산에 대한 진단 결과가 취약으로 나온 진단 항목 중 위험 수용 상신 또는 조치 계획이 미수립된 진단 대상 자산의 진단 항목에 대한 문제점을 해결하기 위하여 미리 설정된 조치 사항에 따라 조치 계획을 수립함으로써 조치 계획 요청 및 이에 따른 후속 조치를 진행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산의 진단 항목 마다 조치 사유 및 조치 사항이 미리 설정될 수 있으며, 이에 따라 조치 계획을 수립할 수 있다.
본 발명의 일 실시 예에 따르면 자산 담당자는 사용자 단말을 이용하여 진단 결과에 따라 조치 계획을 수립하고, 수립한 조치 계획에 대한 조치 계획 요청을 관리 서버(10)로 송신할 수 있는 권한을 가질 수 있다.
본 발명의 일 실시 예에 따르면 조치 담당자는 사용자 단말을 이용하여 관리 서버(10)로부터 수신 받은 조치 계획 요청에 대하여 승인 또는 반려할 수 있는 결재 권한을 가지고 있으며, 승인 또는 반려 정보를 포함한 응답을 관리서버(10)로 송신할 수 있다.
본 발명의 일 실시예에 따르면 관리 서버는(10) 조치 담당자로부터 승인을 수신한 경우 진단 대상 자산에 후속 조치 지시 데이터를 송신하여 설정 정보 또는 소스 코드를 변경하여 후속 조치를 진행하거나 자산 담당자에게 설정 정보 또는 소스 코드의 변경 권한을 부여하여 후속 조치를 수행할 수 있다.
본 발명의 일 실시예에 따르면 진단 대상 자산을 대상으로 진행된 후속 조치에 대한 이행 결과 진단을 수행할 수 있다.
본 발명의 일 실시예에 따르면 승인된 이행 결과 진단 요청에 따라 이행 결과 진단을 수행할 수 있으며, 진단 결과 취약하다고 판단된 진단 대상 자산의 진단 항목에 대한 후속 조치가 이루어졌는지 여부, 해당 조치로 취약점이 해결 또는 완화되었는지 여부를 기준으로 이행 결과를 진단할 수 있다.
평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록한다(S20).
본 발명의 일 실시예에 따르면 정규화된 문서 양식으로 정의된 평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 ID 정의서는 평가 유형, 분류내용에 따라 분류 아이디가 부여되며, 분류 아이디로 식별되는 항목에 대한 상세 정보를 포함할 수 있다.
본 발명의 일 실시예에 따르면 분류 아이디로 식별되는 항목은 평가 유형, 기준년도, 점검코드, 분류 유형, 구분, 분류 아이디, 분류 내용, 배치순서, 인증기준, 인증기준 설명, 등급, 위험도, 담당자 중 적어도 하나의 항목을 포함할 수 있다.
본 발명의 일 실시예에 따르면 정규화된 문서 양식은 엑셀(Excel) 형식을 가진 표로 이루어진 파일일 수도 있으나, 이에 한정되지는 아니하며 진단 항목을 포함하는 평가 유형에 대한 세부 정보에 대한 정보라면 제한 없이 사용할 수 있다.
본 발명의 일 실시예에 따르면 ID 정의서가 암호화된 정의서 파일일 수 있으며, ID 정의서를 이용하여 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 ID 정의서는 보안을 위하여 암호화 과정을 거친 암호화된 정의서 파일일 수 있으며, 암호화된 정의서 파일인 경우 향후 해당 파일을 사용할 때 복호화 과정을 거쳐 사용할 수 있다.
본 발명의 일 실시예에 따르면 DB 데이터 파일은 다수의 ID 정의서를 보관, 관리하고 있는 데이터 베이스로부터 분류 아이디를 이용하여 호출해온 데이터를 의미할 수 있다.
본 발명의 일 실시예에 따르면 플러그인 라이선스 정책을 사용하는 경우 암호화된 ID 정의서를 이용하여 평가 유형을 등록할 수 있다.
본 발명의 일 실시예에 따르면 등록된 평가 유형에 대한 수정, 삭제, 기준년도 관리, 평가 유형 별 점검 항목에 대한 등록, 수정, 삭제 기능을 수행할 수 있다.
산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장한다(S30).
본 발명의 일 실시예에 따르면 취약점 진단을 통해 산출된 다수의 산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장할 수 있다
본 발명의 일 실시예에 따르면 계층 구조에 대한 정보는 미리 설정되어 있을 수 있음 주로 전체적으로 데이터의 논리적인 구조에 대한 기준일 수 있으면 이를 통해 연관성 있는 그룹끼리 그룹핑하여 카테고리를 형성할 수 있다.
본 발명의 일 실시예에 따르면 구조화된 카테고리는 고객사에 따라 확장 또는 수정이 가능하게 할 수 있다.
본 발명의 일 실시예에 따르면 고객사마다 컴플라이언스 업무를 위해 필요한 평가 유형 및 평가 유형 별 점검항목이 다른 것이 일반적이므로 해당 고객사로부터 필요 정보를 미리 수신하여 고객사의 변경에 따라 평가 유형 및 평가 유형 별 점검항목을 수정 및 확대할 수 있다.
본 발명의 일 실시예에 따르면 등록된 첨부 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 가지는 문서 데이터를 미리 설정된 계층 구조에 따라 트리 구조로 생성된 카테고리별로 분류할 수 있다.
본 발명의 일 실시예에 따르면 미리 설정된 계층 구조는 트리 구조로 형성된 계층 구조일수 있으며, 이에 따라 카테고리를 논리적인 기준에 따라 트리 형태로 분류할 수 있다.
각 평가 유형별로 산출물 디렉토리를 제공하고, 디렉토리 별 기본 산출물 연결정보를 제공한다(S40).
본 발명의 일 실시예에 따르면 각 평가 유형별로 산출물 디렉토리를 제공하고 디렉토리 별 기본 산출물 연결정보를 제공할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형별 산출물 디렉토리를 표준화할 수 있으며, 디렉토리 별 산출물 사전 등록의 표준화를 수행할 수 있다.
산출물 데이터들을 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 버전정보를 이용하여 문서 이력을 관리한다(S50).
본 발명의 일 실시예에 따르면 구조화된 카테고리에 저장된 산출물 데이터들을 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 등록된 상기 문서 데이터는 최초 등록 이후 버전 정보가 누적 저장되어, 저장된 상기 버전정보를 이용하여 문서 이력을 관리할 수 있다.
본 발명의 일 실시예에 따르면 등록된 문서 데이터는 최초 등록 이후 수정, 변경, 이동, 복사 등이 있을 때 마다 버전이 갱신되어 데이터 이력을 누적 저장할 수 있으며, 삭제 후에도 휴지통 기능을 통해 복구할 수 있다
본 발명의 일 실시예에 따르면 다양한 유형의 문서 데이터는 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 포함할 수 있다.
본 발명의 일 실시예에 따르면 매핑된 산출물 디렉토리에 카테고리별로 등록된 문서 데이터를 이용하여 지속적인 이력관리 및 증적 관리를 수행할 수 있다.
본 발명의 일 실시예에 따르면 매핑된 산출물 디렉토리에 카테고리별로 분류된 문서 데이터를 분석하여 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하여 진단 항목별로 매핑하고, 취약점 진단을 통한 산출물 데이터의 산출 요청이 있는 경우 해당 평가 유형에 포함되는 진단 항목별 증적을 제공할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하기 위해서는 미리 설정된 증적 기준을 이용할 수 있으며, 미리 설정된 증적 기준은 평가 유형에 포함된 진단 항목 별로 이를 증빙하기 위해서는 어떤 종류의 문서 데이터가 필요한지에 대한 세부 설명 및 이를 식별할 수 있는 인덱스 데이터 또는 검색 문구, 문서 형식 등을 포함하는 것을 의미할 수 있다.
관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성한다(S60).
본 발명의 일 실시예에 따르면 관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성할 수 있다.
본 발명의 일 실시예에 따르면 평가 유형별 진단 항목에 대한 현황 분석 결과 데이터를 저장 또는 관리할 수 있으며, 결과 데이터는 취합되어 현황 분석서로 생성될 수 있으며, 현황 분석서는 취약점 이력 관리를 위하여 사용될 수 있도록 조치 관리자에게 제공될 수 있다.
본 발명의 일 실시예에 따르면 현황 분석서를 이용하여 고객사의 필터링 조건에 따라 위험평가 결과 및 조치 계획 문서 데이터를 조치 사용자에게 제공할 수 있다.
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (1)

  1. 컴플라이언스 관리 체계 지원 시스템에 접속하여 취약점 분석을 수행하고, 취약점 분석결과 생성된 산출물을 관리하도록 구비되는 관리 서버를 포함하며,
    상기 관리 서버는 계층 구조를 적용하여 취약점 진단 결과 산출물 및 입력 받은 데이터를 직관적이고 지속적으로 관리하는 관리체계 제공부를 포함하고,
    상기 관리체계 제공부는,
    정규화된 문서 양식으로 정의된 평가 유형별 ID 정의서 또는 DB 데이터 파일을 통해 진단 항목을 포함하는 평가 유형을 등록하는 평가 유형 관리부;
    취약점 진단을 통해 산출된 다수의 산출물 데이터를 표준화된 계층 구조에 따라 구조화된 카테고리에 각각 저장하고, 상기 구조화된 카테고리는 고객사에 따라 확장 또는 수정이 가능한 문서 카테고리 관리부;
    각 평가 유형별로 산출물 디렉토리를 제공하고 상기 디렉토리 별 기본 산출물 연결정보를 제공하는 디렉토리 관리부;
    상기 카테고리와 산출물 디렉토리를 매핑하여 구조화된 카테고리에 저장된 산출물 데이터들을 매핑된 산출물 디렉토리에 다양한 유형의 문서 데이터로 등록하고, 등록된 상기 문서 데이터는 최초 등록 이후 버전 정보가 누적 저장되어, 저장된 상기 버전정보를 이용하여 문서 이력을 관리하는 문서 이력 관리부; 및
    관리 체계를 점검을 위한 프로젝트 참여자 또는 담당자를 지정하고, 현황분석을 위한 점검 유형별 업무 환경을 초기화하여 생성하는 관리 체계 점검부를 포함하고,
    상기 관리 서버는 컴플라이언스 관리 시스템에 접속하여 인프라 자산의 취약점을 자동 진단하고, 취약점 진단 결과 산출물을 제공하는 취약점 진단부를 더 포함하고,
    상기 취약점 진단부는,
    로그인 정보를 통해 등록된 사용자 여부를 확인하고, 등록된 사용자인 경우 관리자, 조치 담당자, 자산 담당자 중 하나로 식별하는 사용자 인증부;
    진단 대상 자산에 대한 진단 자산 정보 또는 상기 진단 자산 정보를 시계열 또는 항목별로 분석하여 생성된 진단 정보 그래프를 사용자에게 제공하는 진단 자산 정보 관리부;
    진단 항목별로 미리 설정된 진단 요청 데이터를 상기 진단 대상 자산에 송신하고 상기 진단 대상 자산으로부터 응답 데이터를 수신하여, 상기 응답 데이터에 따라 상기 진단 대상 자산의 진단 결과를 산출하는 자산 진단부;
    상기 진단 대상 자산에 대한 진단 결과에 따라 조치 계획을 수립하여 후속 조치를 진행하는 후속 조치 수행부; 및
    상기 진단 대상 자산을 대상으로 진행된 후속 조치에 대한 이행 결과 진단을 수행하는 이행 결과 진단부를 포함하고,
    상기 자산 진단부는,
    상기 진단 대상 자산으로부터 획득한 하드웨어의 설정 정보와 미리 설정된 설정을 대비하여 불일치하는 진단 항목이 존재하는지 여부에 따라 진단 결과를 산정할 수 있으며, 불일치하는 경우 불일치하는 진단 항목의 위험도가 높을수록 진단 결과가 취약한 것으로 산정하고,
    상기 진단 결과(RD)를 산정하기 위하여
    수학식 1에 기반하여 진단 항목의 위험도(RI), 진단 대상 자산에 진단 항목이 미치는 기여도(CS), 진단 대상 자산의 가치(VA), 진단 항목의 평균 연간 취약점 발생 횟수(AT), 해당 진단 항목에 대한 후속 조치 시 평균 해결 확률(PF)을 이용하여 진단 대상 자산의 진단 항목에 대한 진단 결과를 산출하고,
    [수학식 1]
    Figure pat00002

    상기 산출된 진단 결과가 미리 설정된 기준 값 이상인 경우 진단 결과가 취약한 것으로 판단할 수 있으며, 기준 값 이하인 경우 취약점은 존재하나 진단 결과는 양호 또는 보통으로 판단하고,
    상기 평가 유형 관리부는 상기 ID 정의서가 암호화된 정의서 파일이며 상기 ID 정의서를 이용하여 평가 유형을 등록하고, 등록된 평가 유형에 대한 수정, 삭제, 기준년도 관리, 평가 유형 별 점검 항목에 대한 등록, 수정, 삭제 기능을 수행하며,
    상기 문서 카테고리 관리부는 등록된 첨부 파일 형태의 문서 데이터, 취약점 진단 결과 보고서 형태의 문서 데이터, API 서비스를 통해 생성된 문서 데이터 중 하나의 유형을 가지는 문서 데이터를 미리 설정된 계층 구조에 따라 트리 구조로 생성된 카테고리별로 분류하고,
    상기 문서 이력 관리부는 상기 매핑된 산출물 디렉토리에 카테고리별로 등록된 문서 데이터를 이용하여 지속적인 이력관리 및 증적 관리를 수행하며,
    상기 문서 이력 관리부는 상기 매핑된 산출물 디렉토리에 카테고리별로 분류된 문서 데이터를 분석하여 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하여 진단 항목별로 매핑하고, 취약점 진단을 통한 산출물 데이터의 산출 요청이 있는 경우 해당 평가 유형에 포함되는 진단 항목별 증적을 제공하며,
    상기 평가 유형에 포함된 진단 항목별 관련 양식 및 사용 가능한 증적을 식별하기 위해서는 미리 설정된 증적 기준을 이용할 수 있으며, 미리 설정된 증적 기준은 평가 유형에 포함된 진단 항목 별로 이를 증빙하기 위하여 필요한 문서 데이터의 종류 또는 세부 설명 및 식별할 수 있는 인덱스 데이터 또는 검색 문구, 문서 형식 중 적어도 하나를 포함하는 것을 특징으로 하는 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템.
KR1020210122394A 2021-02-05 2021-09-14 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법 KR102682907B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210122394A KR102682907B1 (ko) 2021-02-05 2021-09-14 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210016447A KR102304231B1 (ko) 2021-02-05 2021-02-05 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법
KR1020210122394A KR102682907B1 (ko) 2021-02-05 2021-09-14 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020210016447A Division KR102304231B1 (ko) 2021-02-05 2021-02-05 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20220113241A true KR20220113241A (ko) 2022-08-12
KR102682907B1 KR102682907B1 (ko) 2024-07-08

Family

ID=77926259

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210016447A KR102304231B1 (ko) 2021-02-05 2021-02-05 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법
KR1020210122394A KR102682907B1 (ko) 2021-02-05 2021-09-14 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020210016447A KR102304231B1 (ko) 2021-02-05 2021-02-05 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법

Country Status (1)

Country Link
KR (2) KR102304231B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102533552B1 (ko) * 2022-06-27 2023-05-17 우석규 It 인프라 통합 이력관리 시스템을 이용한 it 인프라 통합 이력관리 방법
CN116578289A (zh) * 2023-05-11 2023-08-11 中建国际建设有限公司 一种计算碳资产核查的复杂组织架构编码系统及编码方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160306981A1 (en) * 2015-04-17 2016-10-20 NowSecure, Inc. Methods and apparatuses for improved app security testing
KR102160950B1 (ko) * 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
KR102202108B1 (ko) * 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160306981A1 (en) * 2015-04-17 2016-10-20 NowSecure, Inc. Methods and apparatuses for improved app security testing
KR102160950B1 (ko) * 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
KR102202108B1 (ko) * 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법

Also Published As

Publication number Publication date
KR102682907B1 (ko) 2024-07-08
KR102304231B1 (ko) 2021-09-23

Similar Documents

Publication Publication Date Title
KR102304237B1 (ko) 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법
US11140061B1 (en) Policy control threat detection
CN104077531B (zh) 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统
KR102682907B1 (ko) 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법
Casey et al. Digital transformation risk management in forensic science laboratories
US11916964B2 (en) Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement using API call graph
CN117034299B (zh) 一种基于区块链的智能合约安全检测系统
CN110796553A (zh) 业务请求处理方法、装置、终端及存储介质
US12086694B2 (en) Software application for continually assessing, processing, and remediating cyber-risk in real time
CN114003920A (zh) 系统数据的安全评估方法及装置、存储介质和电子设备
KR20210110765A (ko) 인공지능 기반 빅데이터 비식별화 솔루션 제공방법
CN115314276A (zh) 安全检查管理系统、方法及终端设备
Tikhanychev On improving indicators for assessing the decision support systems’ software quality
CN117610015A (zh) 容器镜像的漏洞修复方法及装置、电子设备及存储介质
CN116232768B (zh) 一种信息安全评估方法、系统、电子设备及存储介质
US11314892B2 (en) Mitigating governance impact on machine learning
CN114168949B (zh) 一种应用于人工智能的应用软件异常检测方法及系统
CN114022114B (zh) 基于电信行业的数据治理系统和方法
KR20040011858A (ko) 실시간 정보보안 위험분석 시스템 및 그 방법
Oppold et al. Provenance-based explanations: are they useful?
US20190026661A1 (en) Method, apparatus, and computer-readable medium for artifact tracking
KR101730040B1 (ko) 데이터 처리장치
WO2024069877A1 (ja) 評価装置、事業者端末、評価システム、評価方法、及び記録媒体
CN118395457B (zh) 基于llm的asoc漏洞评估方法、装置、设备及介质
WO2024069875A1 (ja) 評価装置、端末、評価システム、評価方法、及び記録媒体

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant