KR20230147894A - 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법 - Google Patents

보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법 Download PDF

Info

Publication number
KR20230147894A
KR20230147894A KR1020220046813A KR20220046813A KR20230147894A KR 20230147894 A KR20230147894 A KR 20230147894A KR 1020220046813 A KR1020220046813 A KR 1020220046813A KR 20220046813 A KR20220046813 A KR 20220046813A KR 20230147894 A KR20230147894 A KR 20230147894A
Authority
KR
South Korea
Prior art keywords
security incident
information
prediction
target system
security
Prior art date
Application number
KR1020220046813A
Other languages
English (en)
Inventor
김병익
이상준
이용준
Original Assignee
주식회사 진앤현시큐리티
주식회사 리턴트루
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 진앤현시큐리티, 주식회사 리턴트루 filed Critical 주식회사 진앤현시큐리티
Priority to KR1020220046813A priority Critical patent/KR20230147894A/ko
Publication of KR20230147894A publication Critical patent/KR20230147894A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

보안 사고 예측 장치의 동작 방법에 있어서, 적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성하는 단계; 대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집하는 단계; 상기 예측 모델 및 상기 대상 시스템의 데이터에 기초하여, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 단계; 상기 예측 정보에 대한 조치 정보를 제공하는 단계를 포함하는, 동작 방법이 제공된다.

Description

보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법{SECURITY ACCIDENT PREDICTION APPARATUS AND OPERATION METHOD OF SECURITY ACCIDENT PREDICTION APPARATUS}
본 개시는 보안 사고를 예측하는 장치 및 장치의 동작 방법에 관한 것이다.
다양한 스마트 기기가 네트워크 연결 및 소프트웨어로 동작하면서 경제, 사회 전분야에서 스마트화가 추진 중에 있다. 또한, 빅데이터를 기반으로 발전하는 머신러닝 등 인공지능 기술이 활용 단계에 진입하면서 의료ㆍ제조 등 산업 영역까지 사이버공간으로 융합되고 있는 추세이다. 이에 따라, 다양한 산업별로 사이버 보안의 필요성이 확대되고 있다.
또한, 사이버 공간의 확대에 따라 신종 보안 사고의 유형이 등장하고 있으며, 보안 위협으로 인한 경제적 피해가 심화되고 있다.
특허문헌 1(한국 특허 출원 제10-2019-0061602호)은 사이버위협 계층 구조상 하위 사이버위협을 예측하고 이를 이용하여 상위 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 방법을 개시한다. 또한, 특허문헌 2(한국 특허 출원 제10-2018-0061182호)는 사이버 위협 예측 시스템 및 방법을 개시한다.
한편, 산업 별 시스템 상에서 보안 위협에 대한 피해를 줄이기 위한 실질적인 대책이 필요하므로, 보안 사고를 예측하고, 예측된 보안 사고에 대한 예방을 하기 위한 기술이 요구된다.
보안 사고의 발생을 예측하는 예측 모델을 이용하여, 대상 시스템의 보안 상태를 점검함으로써, 보안 사고를 예방하고자 한다.
대상 시스템으로부터 수집된 데이터에 기초하여, 대상 시스템의 보안 사고가 발생될 가능성을 예측하고자 한다.
대상 시스템에서 발생 가능한 보안 사고에 대한 조치 정보를 제공함으로써, 보안 사고를 예방하고자 한다.
일실시예에 따르면, 보안 사고 예측 장치의 동작 방법에 있어서, 적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성하는 단계; 대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집하는 단계; 상기 예측 모델 및 상기 대상 시스템의 데이터에 기초하여, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 단계; 상기 예측 정보에 대한 조치 정보를 제공하는 단계를 포함하는, 동작 방법이 제공된다.
일실시예에 따르면, 상기 예측 모델을 생성하는 단계는, 상기 적어도 하나의 보안 사고가 발생된 시스템에 대한 상기 기준 데이터 및 상기 적어도 하나의 보안 사고의 유형 정보를 수집하는 단계; 및 상기 기준 데이터 및 상기 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여, 상기 예측 모델을 생성하는 단계를 포함할 수 있다.
일실시예에 따르면, 상기 대상 시스템의 데이터를 수집하는 단계는,상기 대상 시스템의 설정 정보, 상기 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 상기 대상 시스템의 보안 정책 정보를 수집하는 단계를 포함할 수 있다.
일실시예에 따르면, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 단계는, 상기 대상 시스템의 데이터가 상기 예측 모델의 입력 값으로 입력되면, 예측되는 보안 사고의 유형, 상기 예측되는 보안 사고가 발생될 확률, 및 상기 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 상기 예측 모델의 출력 값으로 획득하는 단계를 포함할 수 있다.
일실시예에 따르면, 상기 예측 정보에 대한 조치 정보를 제공하는 단계는, 상기 대상 시스템에서 요구되는 적어도 하나의 조치, 및 상기 적어도 하나의 조치에 대한 비용 정보 중 적어도 하나를 표시할 수 있다.
일실시예에 따르면, 상기 예측 정보에 대한 조치 정보를 제공하는 단계는, 상기 예측되는 보안 사고에 대한 시나리오를 표시하는 단계; 및 상기 시나리오를 구성하는 요소 별로, 상기 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다.
일실시예에 따르면, 상기 예측되는 보안 사고에 대한 시나리오를 표시하는 단계는, 상기 예측되는 보안 사고의 경로를 표시하는 단계; 및 상기 경로 상에서, 미리 설정된 기준에 따라, 보안 사고에 취약한 것으로 판단된 위치를 표시할 수 있다.
일실시예에 따르면, 상기 예측 모델에서 예측되는 보안 사고의 유형은, 내부자에 의한 정보 유출, 외부로부터 해킹, 및 악성 코드 탐지 중 적어도 하나를 포함할 수 있다.
다른 일실시예에 따르면, 통신 장치; 프로세서; 사용자 인터페이스 장치; 및 상기 프로세서에 의해 실행 가능한 명령어들을 저장하는 메모리를 포함하고, 상기 프로세서는, 상기 명령어들을 실행함으로써, 적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성하고, 대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집하고, 상기 예측 모델 및 상기 대상 시스템의 데이터에 기초하여, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하고, 상기 예측 정보에 대한 조치 정보를 제공하는, 보안 사고 예측 장치가 제공된다.
일실시예에 따르면, 상기 프로세서는, 상기 명령어들을 실행함으로써, 상기 대상 시스템의 데이터가 상기 예측 모델의 입력 값으로 입력되면, 예측되는 보안 사고의 유형, 상기 예측되는 보안 사고가 발생될 확률, 및 상기 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 포함하는 상기 예측 정보를 상기 예측 모델의 출력 값으로 획득하고, 상기 사용자 인터페이스 장치를 통해, 상기 예측 정보를 표시할 수 있다.
보안 사고의 발생을 예측하는 예측 모델을 이용하여, 대상 시스템의 보안 상태를 점검함으로써, 보안 사고를 예방할 수 있다.
대상 시스템으로부터 수집된 데이터에 기초하여, 대상 시스템의 보안 사고가 발생될 가능성을 예측할 수 있다.
대상 시스템에서 발생 가능한 보안 사고에 대한 조치 정보를 제공함으로써, 보안 사고를 예방할 수 있다.
본 개시는, 다음의 자세한 설명과 그에 수반되는 도면들의 결합으로 쉽게 이해될 수 있으며, 참조 번호(reference numerals)들은 구조적 구성요소(structural elements)를 의미한다.
도 1은 일실시예에 따라, 보안 사고 예측 장치의 동작을 설명하기 위한 개념도이다.
도 2는 일실시예에 따라, 보안 사고 예측 장치의 동작 방법을 나타낸 흐름도이다.
도 3은 일실시예에 따라, 보안 사고 예측 장치에서 예측 모델을 생성하는 방법을 설명하기 위한 도면이다.
도 4는 일실시예에 따라, 기준 데이터 및 보안 사고의 유형 정보를 학습하는 데에 이용되는, 복수 개의 계층 구조를 갖는 인공 신경망을 개략적으로 도시한 도면이다.
도 5는 일실시예에 따라, 보안 사고의 유형 정보를 설명하기 위한 도면이다.
도 6은 일실시예에 따라, 예측 모델에 기초하여 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 보안 사고 예측 장치의 동작을 설명하기 위한 도면이다.
도 7은 일실시예에 따라, 예측 정보에 대한 조치 정보를 제공하는 방법을 나타낸 흐름도이다.
도 8a는 일실시예에 따라, 보안 사고에 대한 시나리오를 설명하기 위한 도면이다.
도 8b는 다른 일실시예에 따라, 보안 사고에 대한 시나리오를 설명하기 위한 도면이다.
도 9는 일실시예에 따라, 보안 사고에 대한 시나리오가 표시되는 화면을 설명하기 위한 도면이다.
도 10은 일실시예에 따라, 보안 사고의 경로를 표시한 화면을 설명하기 위한 도면이다.
도 11은 일실시예에 따라, 보안 사고에 대한 조치 정보를 제공하는 화면을 설명하기 위한 도면이다.
도 12는 일실시예에 따라, 보안 사고 예측 장치의 구성을 도시한 블록도이다.
이하에서는 도면을 참조하여 다양한 실시예들을 상세히 설명한다. 이하에서 설명되는 실시예들은 여러 가지 상이한 형태로 변형되어 실시될 수도 있다. 실시예들의 특징을 보다 명확히 설명하기 위하여 이하의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 널리 알려져 있는 사항들에 관해서 자세한 설명은 생략한다.
한편, 본 명세서에서 어떤 구성이 다른 구성과 "연결"되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐 아니라, '그 중간에 다른 구성을 사이에 두고 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성이 다른 구성을 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한, 그 외 다른 구성을 제외하는 것이 아니라 다른 구성들 더 포함할 수도 있다는 것을 의미한다.
또한, 본 명세서에서 사용되는 '제 1' 또는 '제 2' 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용할 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다.
본 명세서에서, "보안 사고 예측 장치"는, 보안 사고의 발생을 예측하는 예측 모델 및 대상 시스템의 데이터에 기초하여, 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 장치를 의미할 수 있다. 또한, 보안 사고 예측 장치는, 예측 정보에 대한 조치 정보를 제공하는 장치를 의미할 수 있다.
본 명세서에서, "보안 사고"는, 시스템 내의 정보가 외부로 유출되거나, 해킹이 발생되거나, 정보가 훼손, 변질되는 이벤트를 의미할 수 있다.
본 명세서에서, "예측 모델"은, 대상 시스템의 데이터에 기초하여, 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 생성할 수 있다. 또한, 예측 모델은, 예측 정보에 대한 조치 정보를 생성할 수 있다.
도 1은 일실시예에 따라, 보안 사고 예측 장치(100)의 동작을 설명하기 위한 개념도이다.
도 1을 참고하면, 시스템(10)은 외부 공격으로 인해 시스템(10) 내의 정보가 유출될 수 있다. 예를 들면, 외부 공격은, 네트워크 침입을 통한 시스템(10) 감시, 악성코드 유포, 시스템(10) 내의 서버 해킹 등일 수 있다. 또한, 시스템(10)은 내부자에 의해 정보가 유출될 수 있다. 예를 들면, 내부자에 의한 정보 유출은, 내부자가 통신망 또는 저장매체를 통한 유출일 수 있다. 예를 들면, 내부자는, 메일, 메신저, 클라우드를 이용하여, 시스템(10) 내의 문서를 유출할 수 있다. 또한, 내부자는, USB, 외장 하드와 같은 저장 매체를 이용하여, 시스템(10) 내의 문서를 유출할 수 있다.
시스템(10) 내에서 보안 사고가 발생되는 것을 예방하기 위해, 보안 사고 예측 장치(100)는, 보안 사고의 발생을 예측하는 예측 모델을 생성하고, 예측 모델을 이용하여 보안 사고의 발생을 예측하고, 대비할 수 있다.
구체적으로, 블록 110을 참고하면, 보안 사고 예측 장치(100)는, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 보안 사고가 발생된 시스템(10)으로부터 기준 데이터를 수집할 수 있다. 기준 데이터는, 시스템(10)의 설정 정보, 시스템(10)에서 발생된 이벤트에 대응하는 행위 정보, 및 시스템(10)의 보안 정책 정보 중 적어도 하나에 대한 데이터를 포함할 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 기준 데이터와 보안 사고의 정보를 학습한 결과에 기초하여, 예측 모델을 생성할 수 있다.
블록 120을 참고하면, 보안 사고 예측 장치(100)는, 대상 시스템(20)으로부터 데이터를 수집하고, 대상 시스템(20)의 데이터 및 예측 모델에 기초하여, 보안 사고의 발생을 예측할 수 있다.
블록 130을 참고하면, 대상 시스템(20)에서 발생 가능한 보안 사고가 예측되면, 보안 사고 예측 장치(100)는, 예측되는 보안 사고의 발생을 예방하기 위한 조치 정보를 제공할 수 있다.
블록 140을 참고하면, 보안 사고 예측 장치(100)는, 적어도 하나의 시스템에서 발생된 보안 사고의 이력을 관리할 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 적어도 하나의 시스템에서 발생된 보안 사고의 유형, 보안 사고가 발생된 원인에 대한 정보를 수집하고, 수집된 정보를 학습하여 예측 모델을 업데이트 할 수 있다. 또한, 이전에 발생된 이력이 없는 보안 사고가 발생된 경우, 보안 사고 예측 장치(100)는, 보안 사고의 유형에 대한 정보를 업데이트 할 수 있다.
도 2는 일실시예에 따라, 보안 사고 예측 장치(100)의 동작 방법을 나타낸 흐름도이다.
도 2를 참고하면, 단계 S210에서, 보안 사고 예측 장치(100)는, 적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
예를 들면, 기준 데이터는, 적어도 하나의 보안 사고가 발생된 시스템의 설정 정보, 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 시스템의 보안 정책 정보 중 적어도 하나의 정보에 대한 데이터일 수 있다.
예를 들면, 시스템의 설정 정보는, 시스템의 운영체제, IP 주소, 위치, 오픈 포트, 제공 서비스, 장치의 종류 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 행위 정보는, 시스템 내의 컴퓨팅 장치, 서버에서 발생된 로그 이력, 네트워크 사용 이력, 시스템의 출입 이력, 시스템 내에 저장된 파일의 이력 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 시스템의 보안 정책 정보는, 시스템 내에서 외부 침입을 탐지 또는 방지하기 위한 장치, 내부자에 의한 정보 유출을 탐지 또는 방지하기 위한 장치, 보안 장치, 보안 정책과 관련된 소프트웨어, 프로그램 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 수집할 수 있다. 예를 들면, 보안 사고의 유형은, 내부자에 의한 정보 유출, 시스템 파괴, 외부로부터 해킹, 악성 코드 탐지 중 적어도 하나를 포함할 수 있고, 상기 예시에 제한되지 않는다.
예를 들면, 보안 사고 예측 장치(100)는, 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여, 예측 모델을 생성할 수 있다. 구체적인 예를 들면, 보안 사고 예측 장치(100)는, 인공 신경망을 통해, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터와 발생된 보안 사고의 유형 정보를 학습할 수 있다. 보안 사고 예측 장치(100)는, 학습한 결과에 기초하여, 대상 시스템의 데이터가 입력됨에 따라 보안 사고의 유형을 판단하거나, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
다른 예를 들면, 보안 사고 예측 장치(100)는, 기준 데이터를 분석한 결과에 기초하여, 기준 데이터를 정형화 할 수 있다. 보안 사고 예측 장치(100)는, 정형화된 데이터를 보안 사고의 유형 정보에 매칭함으로써, 보안 사고의 시나리오를 생성할 수 있다. 보안 사고 예측 장치(100)는, 복수의 보안 사고의 시나리오에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
단계 S220에서, 보안 사고 예측 장치(100)는, 대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집할 수 있다. 여기서, 대상 시스템은, 보안 사고가 발생될 가능성이 있는지 보안 상태를 점검하기 위한 시스템일 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 대상 시스템의 설정 정보, 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 대상 시스템의 보안 정책 정보를 수집할 수 있다.
예를 들면, 대상 시스템의 설정 정보는, 대상 시스템의 운영체제, IP 주소, 위치, 오픈 포트, 제공 서비스, 장치의 종류 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보는, 대상 시스템 내의 컴퓨팅 장치, 서버에서 발생된 로그 이력, 네트워크 사용 이력, 대상 시스템의 출입 이력, 대상 시스템 내에 저장된 파일의 이력 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 대상 시스템의 보안 정책 정보는, 대상 시스템 내에서 외부 침입을 탐지 또는 방지하기 위한 장치, 내부자에 의한 정보 유출을 탐지 또는 방지하기 위한 장치, 보안 장치, 보안 정책과 관련된 소프트웨어, 프로그램 중 적어도 하나의 정보를 포함할 수 있다.
단계 S230에서, 보안 사고 예측 장치(100)는, 예측 모델 및 대상 시스템의 데이터에 기초하여, 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득할 수 있다. 예를 들면, 예측 정보는, 예측되는 보안 사고의 유형, 예측되는 보안 사고가 발생될 확률, 및 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 포함할 수 있다.
예를 들면, 대상 시스템의 데이터가 예측 모델의 입력 값으로 입력되면, 보안 사고 예측 장치(100)는, 예측되는 보안 사고의 유형, 예측되는 보안 사고가 발생될 확률, 및 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 예측 모델의 출력 값으로 획득할 수 있다.
단계 S240에서, 보안 사고 예측 장치(100)는, 예측 정보에 대한 조치 정보를 제공할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 대상 시스템에서 요구되는 적어도 하나의 조치, 및 적어도 하나의 조치에 대한 비용 정보 중 적어도 하나를 표시할 수 있다. 예를 들면, 대상 시스템에서 요구되는 조치가 복수인 경우, 보안 사고 예측 장치(100)는, 보안이 미흡한 순위에 기초하여, 복수의 조치의 우선 순위를 결정할 수 있다. 보안 사고 예측 장치(100)는, 우선 순위에 따라 복수의 조치를 표시하거나, 복수의 조치 각각에 우선 순위 정보를 표시할 수 있다. 보안 사고 예측 장치(100)는, 복수의 조치 각각에 대한 비용 정보를 표시할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 예측되는 보안 사고에 대한 시나리오를 표시할 수 있다. 여기서, 보안 사고에 대한 시나리오는, 보안 사고의 시발점부터 종점까지 발생된 적어도 하나의 이벤트가 연결된 정보일 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 예측되는 보안 사고의 경로를 표시할 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 대상 시스템의 조직도 상에 보안 사고의 경로를 표시할 수 있다. 여기서, 대상 시스템의 조직도는, 대상 시스템으로부터 수집된 데이터에 기초하여 생성될 수 있다. 또한, 보안 사고 예측 장치(100)는, 경로 상에서 미리 설정된 기준에 따라, 보안 사고에 취약한 것으로 판단된 위치를 표시할 수 있다. 예를 들면, 경로의 지점 별로, 수집된 데이터에 기초하여, 보안의 안정성에 대한 스코어가 산출될 수 있다. 미리 설정된 기준은, 보안의 안정성이 취약하다고 판단하기 위한 기준 스코어일 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 기준 스코어 미만인 지점에 대해 보안 사고에 취약한 위치로 결정하고, 경로 상에 취약한 위치를 나타내는 지시자 또는 마커를 표시할 수 있다.
또한, 보안 사고 예측 장치(100)는, 시나리오를 구성하는 요소 별로, 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다. 예를 들면, 조치 정보는, 사용자 행위를 기반으로 하는 에이전트 도입, 사용자 행위 모니터링, 문서에 대한 흐름도 생성, 문서와 담당 업무 간의 상관도 생성, 문서의 라이트 사이클을 통한 추적 관리 중 적어도 하나의 조치에 대한 정보를 포함할 수 있다.
도 3은 일실시예에 따라, 보안 사고 예측 장치(100)에서 예측 모델을 생성하는 방법을 설명하기 위한 도면이다.
도 3을 참고하면, 블록 310에서, 보안 사고 예측 장치(100)는, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 수집할 수 있다.
예를 들면, 제1 시스템(10-1) 및 제2 시스템(10-2)에서 적어도 하나의 보안 사고가 발생하였다고 가정한다. 보안 사고 예측 장치(100)는, 제1 시스템(10-1)으로부터, 제1 시스템(10-1)의 설정 정보, 제1 시스템(10-1)에서 발생된 이벤트에 대응하는 행위 정보, 및 제1 시스템(10-1)의 보안 정책 정보 중 적어도 하나의 정보를 포함하는, 제1 기준 데이터를 획득할 수 있다. 또한, 보안 사고 예측 장치(100)는, 제1 시스템(10-1)에서 발생된 보안 사고와 관련된 데이터를 제1 기준 데이터로 획득할 수 있다. 보안 사고 예측 장치(100)는, 제1 시스템(10-1)에서 발생된 적어도 하나의 보안 사고의 유형 정보를 획득할 수 있다.
또한, 보안 사고 예측 장치(100)는, 제2 시스템(10-2)으로부터, 제2 시스템(10-2)의 설정 정보, 제2 시스템(10-2)에서 발생된 이벤트에 대응하는 행위 정보, 및 제2 시스템(10-2)의 보안 정책 정보 중 적어도 하나를 포함하는, 제2 기준 데이터를 획득할 수 있다. 또한, 보안 사고 예측 장치(100)는, 제2 시스템(10-2)에서 발생된 보안 사고와 관련된 데이터를 제2 기준 데이터로 획득할 수 있다. 보안 사고 예측 장치(100)는, 제2 시스템(10-2)에서 발생된 적어도 하나의 보안 사고의 유형 정보를 획득할 수 있다.
마찬가지로, 보안 사고 예측 장치(100)는, 보안 사고가 발생된 시스템에 대한 기준 데이터 및 보안 사고의 유형 정보를 획득할 수 있다.
블록 320에서, 보안 사고 예측 장치(100)는, 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여 예측 모델을 생성할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 인공 신경망을 통해, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터와 발생된 보안 사고의 유형 정보를 학습할 수 있다. 보안 사고 예측 장치(100)는, 학습한 결과에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다. 인공 신경망을 통해, 예측 모델을 생성하는 과정은 도 4에서 설명한다.
한편, 도 3에서, 보안 사고 예측 장치(100)는, 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여, 예측 모델을 생성하는 방법을 설명하였으나, 보안 사고 예측 장치(100)는, 기준 데이터와 보안 사고의 유형 정보를 매핑한 결과를 누적하여 저장하고, 누적된 결과에 기초하여 보안 사고의 발생을 예측하는 예측 모델을 생성할 수도 있다.
도 4는 일실시예에 따라, 기준 데이터 및 보안 사고의 유형 정보를 학습하는 데에 이용되는, 복수 개의 계층 구조를 갖는 인공 신경망을 개략적으로 도시한 도면이다.
도 4를 참고하면, 인공 신경망은 입력 레이어(410), 적어도 하나의 히든 레이어(420, 430) 및 출력 레이어(440)를 포함할 수 있다. 또한, 인공 신경망을 통한 연산은 보안 사고 예측 장치(100) 내의 프로세서에서 수행될 수 있다.
또한, 히든 레이어(420, 430)에서 수행된 학습 및 훈련을 통해 각 레이어와 노드 사이의 가중치가 학습될 수 있다. 예를 들면, 보안 사고 예측 장치(100) 내의 프로세서는 반복적인 학습을 통하여, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습할 수 있다. 보안 사고 예측 장치(100) 내의 프로세서는, 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습한 결과를 이용하여, 보안 사고를 예측하는 예측 모델을 생성할 수 있다. 여기서, 예측 모델은, 대상 시스템의 데이터의 입력에 따라, 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득할 수 있다.
예를 들면, 보안 사고 예측 장치(100) 내의 프로세서는, 예측 모델을 생성하는 데에 영향을 미친 요소들의 가중치의 값들을 획득할 수 있다. 보안 사고 예측 장치(100)는, 훈련된 인공 신경망에서 획득된 가중치의 값을 적용하여 예측 모델을 재학습할 수 있다. 가중치의 값이 적용된 예측 모델을 재학습함으로써, 대상 시스템에서 보안 사고의 발생을 정확하게 예측할 수 있다.
도 5는 일실시예에 따라, 보안 사고의 유형 정보를 설명하기 위한 도면이다.
도 5를 참고하면, 보안 사고 유형은, 보안 사고를 구분하기 위한 기준 항목들 내의 세부 항목의 조합에 의해 결정될 수 있다. 예를 들면, 기준 항목은, 보안 사고의 발생 원인과 관련된 항목일 수 있다. 예를 들면, 기준 항목은, 내부/외부 구분 항목(510), 보안 사고 종류 항목(520), 유입 경로 항목(530), 행위 정보 항목(540), 유입 매체 항목(550)을 포함할 수 있다.
예를 들면, 내부/외부 구분 항목(510)은, 보안 사고의 발생 원인이 내부 또는 외부인지를 나타내는 세부 항목을 포함할 수 있다. 구체적으로, 내부/외부 구분 항목(510)은, 내부 항목, 외부 항목을 포함할 수 있다.
예를 들면, 보안 사고 종류 항목(520)은, 보안 사고의 종류를 나타내는 세부 항목을 포함할 수 있다. 구체적으로, 보안 사고 종류 항목(520)은, 악성 코드 항목, 정보 유출 항목, 해킹 항목, APT 항목, 기타 항목 등을 포함할 수 있다.
예를 들면, 유입 경로 항목(530)은, 보안 사고가 발생하게 된 경로에 대한 세부 항목을 포함할 수 있다. 구체적으로, 유입 경로 항목(530)은, WEB 항목, USB 항목, Process 항목, Email 항목, Network 항목 등을 포함할 수 있다.
예를 들면, 행위 정보 항목(540)은, 보안 사고가 발생된 경위를 판단하기 위한 세부 항목을 포함할 수 있다. 구체적으로, 행위 정보 항목(540)은, 시스템 로그 항목, 이력 정보 항목, 파일 로그 항목, 웹 로그 항목, 패킷 항목 등을 포함할 수 있다.
예를 들면, 유입 매체 항목(550)은, 보안 사고가 발생된 매체 또는 보안 사고를 유발한 매체에 대한 세부 항목을 포함할 수 있다. 구체적으로, 유입 매체 항목(550)은, 모바일 기기 항목, PC 항목, 서버 항목, IoT 항목, 저장 매체 항목 등을 포함할 수 있다.
예를 들면, 보안 사고 유형은, 내부/외부 구분 항목(510), 보안 사고 종류 항목(520), 유입 경로 항목(530), 행위 정보 항목(540), 유입 매체 항목(550) 각각의 세부 항목의 조합으로 결정될 수 있다.
예를 들면, 보안 사고 유형 1(561)은, 내부 항목, 정보 유출 항목, USB 항목, 파일 로그 항목, PC 항목의 조합으로 설정될 수 있다. 예를 들면, 보안 사고 유형 1(561)은, 내부자가 조직 내의 PC를 이용하여 USB로 파일을 유출하는 보안 사고를 나타낼 수 있다.
예를 들면, 보안 사고 유형 2(562)는, 외부 항목, 악성 코드 항목, WEB 항목, 웹로그 항목, PC 항목의 조합으로 설정될 수 있다. 예를 들면, 보안 사고 유형 2(562)는, 외부로부터 악성 코드가 조직 내의 PC에 유포된 보안 사고를 나타낼 수 있다.
보안 사고 유형은, 도 5에서 설명한 보안 사고 유형 1(561) 및 보안 사고 유형 2(562) 이외에, 항목 내의 세부항목들의 조합을 통해 다양하게 설정될 수 있다.
보안 사고 예측 장치(100)는, 보안 사고 유형에 대응하는 데이터를 보안 사고 유형과 매핑하여 저장할 수 있다. 보안 사고 예측 장치(100)는, 저장된 정보에 기초하여, 보안 사고를 예측하는 예측 모델을 생성할 수 있다.
또한, 보안 사고 예측 장치(100)는, 보안 사고 유형에 대응하는 데이터와 보안 사고 유형을 학습한 결과에 기초하여, 보안 사고를 예측하는 예측 모델을 생성할 수 있다.
도 6은 일실시예에 따라, 예측 모델에 기초하여 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 보안 사고 예측 장치(100)의 동작을 설명하기 위한 도면이다.
도 6을 참고하면, 보안 사고의 발생을 예측하는 예측 모델(620)은, 대상 시스템으로부터 수집된 데이터(610)를 입력 값으로 획득할 수 있다. 예를 들면, 대상 시스템으로부터 수집된 데이터(610)는, 대상 시스템의 정보, 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보, 대상 시스템의 보안 정책 정보를 포함할 수 있다.
예측 모델(620)은, 대상 시스템으로부터 수집된 데이터(610)의 입력에 따라, 예측 정보(630)를 출력 값으로 획득할 수 있다. 예를 들면, 예측 정보(630)는, 예측되는 보안 사고의 유형, 예측되는 보안 사고가 발생될 확률, 및 예측되는 보안 사고에 대한 시나리오 중 적어도 하나의 정보를 포함할 수 있다.
도 7은 일실시예에 따라, 예측 정보에 대한 조치 정보를 제공하는 방법을 나타낸 흐름도이다.
도 7를 참고하면, 단계 S710에서, 보안 사고 예측 장치(100)는, 예측되는 보안 사고에 대한 시나리오를 표시할 수 있다. 여기서, 보안 사고에 대한 시나리오는, 보안 사고의 시발점부터 종점까지 발생된 적어도 하나의 이벤트가 연결된 정보일 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 대상 시스템의 조직도에 기초하여 보안 사고에 대한 시나리오를 표시할 수 있다. 구체적으로, 보안 사고 예측 장치(100)는, 조직도 상에서 시나리오에 대응하는 경로를 강조하여 표시할 수 있다. 즉, 시나리오에 대응하는 경로와 그 이외의 경로는 구별되어 표시될 수 있다.
단계 S720에서, 보안 사고 예측 장치(100)는, 시나리오를 구성하는 요소 별로, 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다.
예를 들면, 시나리오를 구성하는 요소 별로, 보안의 미흡도가 다르기 때문에, 요소 별로 조치가 다를 수 있다. 따라서, 보안 사고 예측 장치(100)는, 시나리오를 구성하는 요소 별로, 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다.
도 8a는 일실시예에 따라, 보안 사고에 대한 시나리오를 설명하기 위한 도면이다.
도 8a는 내부자에 의한 정보 유출 시나리오를 도시한다. 보안 사고 예측 장치(100)는, 시나리오를 구성하는 이벤트에 대한 정보를 표시할 수 있다. 도 8a에 도시된 바와 같이, 내부자에 의한 정보 유출 시나리오는, 내부자가 개인 전자 장치를 사용하는 이벤트(811), 내부자가 문서에서 DRM을 해제하고, USB로 문서를 복사하는 이벤트(812), 서버에서 접속로그를 삭제하는 이벤트(813), 및 관리자가 이상 행위를 미탐지하는 이벤트(814)로 구성될 수 있다.
도 8b는 다른 일실시예에 따라, 보안 사고에 대한 시나리오를 설명하기 위한 도면이다.
도 8b는, 악성 코드에 의한 정보 유출 시나리오를 도시한다. 구체적으로, 도 8b는, 외부로부터 악성 코드가 조직 내에 유포되어, 악성 코드로 인해 정보가 유출되는 시나리오를 나타낸다.
도 8b에 도시된 바와 같이, 악성 코드에 의한 정보 유출 시나리오는, 악성 문서 파일이 첨부된 메일을 수신하는 이벤트(821), 메일을 열람하여 악성 문서 파일을 실행하면, 악성 코드 유포 서버로부터 악성 코드를 다운로드 하는 이벤트(822), 악성 코드의 실행으로 조직 내의 정보 유출 및 조직 내의 장치를 원격 제어하는 이벤트(823)로 구성될 수 있다.
도 9는 일실시예에 따라, 보안 사고에 대한 시나리오가 표시되는 화면을 설명하기 위한 도면이다.
보안 사고 예측 장치(100)는, 예측 모델 및 대상 시스템의 데이터에 기초하여, 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득할 수 있다. 예측 정보가 대상 시스템에서 보안 사고가 발생될 가능성이 높은 것으로 판단된 정보를 나타내면, 보안 사고 예측 장치(100)는, 예측 정보에 대한 조치 정보를 표시할 수 있다. 예를 들면, 보안 사고 예측 장치(100)는, 보안 사고에 대한 시나리오, 보안 사고의 발생 확률, 보안 사고의 발생 원인, 보안 사고에 대한 조치 중 적어도 하나를 표시할 수 있다.
도 9를 참고하면, 대상 시스템에서 내부자에 의한 정보 유출을 나타내는 보안 사고의 발생 확률이 높은 것으로 예측되면, 보안 사고 예측 장치(100)는, 내부자에 의한 정보 유출 시나리오(910)를 표시할 수 있다. 예를 들면, 소정의 보안 사고의 발생 확률이 70% 이상인 경우, 소정의 보안 사고는 발생 확률이 높은 것으로 판단하도록 설정될 수 있다. 도 8a에서 설명한 바와 같이, 보안 사고 예측 장치(100)는, 내부자에 의한 정보 유출 시나리오(910)를 구성하는 이벤트들(811, 812, 813, 814)을 표시할 수 있다.
또한, 보안 사고 예측 장치(100)는, 보안 사고 발생 확률(920)을 표시할 수 있다. 미리 설정된 기준에 따라 보안 사고 발생 확률이 높은 경우, 보안 사고 예측 장치(100)는, 보안의 위험도를 나타내는 지시자 또는 마커를 표시할 수 있다.
또한, 보안 사고 예측 장치(100)는, 보안 사고 발생 원인 보기(930) 및 조치 정보 보기(940)를 제공할 수 있다. 예를 들면, 보안 사고 발생 원인 보기(930)가 선택되면, 보안 사고 예측 장치(100)는, 보안 사고가 발생되는 원인을 분석한 정보를 표시할 수 있다. 이 경우, 보안 사고 예측 장치(100)는, 대상 시스템의 구성도 또는 조직도 상에서 보안 사고가 발생된 경로를 표시할 수 있다. 도 10에서, 보안 사고의 경로를 표시하는 화면을 설명한다.
예를 들면, 조치 정보 보기(940)가 선택되면, 보안 사고 예측 장치(100)는, 시나리오를 구성하는 이벤트 별로, 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다. 이 경우, 보안 사고 예측 장치(100)는, 이벤트의 보안 위험도에 기초하여, 대상 시스템에서 우선적으로 고려해야 하는 조치 정보를 우선 순위에 따라 표시할 수 있다. 도 11에서, 보안 사고에 대한 조치 정보를 제공하는 화면을 설명한다.
도 10은 일실시예에 따라, 보안 사고의 경로를 표시한 화면을 설명하기 위한 도면이다.
보안 사고 예측 장치(100)는, 대상 시스템으로부터 수집된 데이터에 기초하여, 대상 시스템의 구성도를 획득할 수 있다. 대상 시스템의 구성도는, 조직 내에서 자원들이 배치된 구조, 자원들 간의 관계 등을 나타낼 수 있다.
예를 들면, 대상 시스템의 구성도는, 방화벽 영역(1010), 인터넷 영역(1020), DMZ 영역(1030), 외부 네트워크 영역(1040), 사내 네트워크 영역(1050), UTM 영역(1060), 및 WIFI 영역(1070)으로 구성될 수 있다.
한편, 보안 사고가 내부자에 의한 정보 유출 시나리오(910)를 나타내므로, 보안 사고 예측 장치(100)는, 조직 내의 개인 장치(1051)에서 정보가 유출되는 경로를 표시할 수 있다.
보안 사고 예측 장치(100)는 보안 사고의 경로를 시각적으로 표현함으로써, 사용자가 보안 사고의 발생 경로 또는 발생 원인을 신속하게 확인할 수 있도록 할 수 있다.
도 11은 일실시예에 따라, 보안 사고에 대한 조치 정보를 제공하는 화면을 설명하기 위한 도면이다.
도 9의 화면에서 조치 정보 보기(940)가 선택되면, 보안 사고 예측 장치(100)는, 내부자에 의한 정보 유출 시나리오(910)를 구성하는 이벤트들(811, 812, 813, 814) 각각에 대한 보안 위험도(1111, 1112, 1113, 1114)를 표시할 수 있다.
또한, 보안 사고 예측 장치(100)는, 내부자에 의한 정보 유출 시나리오(910)를 구성하는 이벤트들(811, 812, 813, 814) 각각에 대해서, 대상 시스템에서 요구되는 조치에 대한 조치 정보(1120)를 표시할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 내부자가 개인 전자 장치를 사용하는 이벤트(811), 서버에서 접속로그를 삭제하는 이벤트(813), 및 관리자가 이상 행위를 미탐지하는 이벤트(814)에 대해서, 사용자 행위 기반의 에이전트를 도입하는 조치 정보(1121)를 제공할 수 있다. 도 11에 도시된 바와 같이, 보안 사고 예측 장치(100)는 이벤트(811, 813, 814)와 조치 정보(1121)를 연결하는 표시를 할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 내부자가 문서에서 DRM을 해제하고, USB로 문서를 복사하는 이벤트(812)에 대해서, 사용자 행위를 모니터링하고, 모니터링 정보를 기록하는 조치 정보(1122)를 제공할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 서버에서 접속로그를 삭제하는 이벤트(813)에 대해서, 문서에 대한 흐름도를 생성하고, 문서와 담당 업무의 상관도를 생성하는 조치 정보(1123)를 제공할 수 있다.
예를 들면, 보안 사고 예측 장치(100)는, 관리자가 이상 행위를 미탐지하는 이벤트(814)에 대해서, 문서의 라이프사이클을 통한 추적 관리를 수행하는 조치 정보(1124)를 제공할 수 있다.
또한, 보안 사고 예측 장치(100)는, 이벤트들(811, 812, 813, 814)의 보안 위험도(1111, 1112, 1113, 1114)가 높은 순위에 따라 조치 정보의 우선 순위를 설정하고, 우선 순위에 따라 조치 정보를 표시할 수 있다.
도 12는 일실시예에 따라, 보안 사고 예측 장치(100)의 구성을 도시한 블록도이다.
도 12에 도시된 보안 사고 예측 장치(100)는, 통신 장치(1210), 사용자 인터페이스 장치(1220), 메모리(1230) 및 프로세서(1240)를 포함할 수 있다. 그러나, 도시된 구성 요소 모두가 필수 구성 요소인 것은 아니다. 도시된 구성 요소보다 많은 구성 요소에 의해 보안 사고 예측 장치(100)가 구현될 수 있고, 그보다 적은 구성 요소에 의해서도 보안 사고 예측 장치(100)가 구현될 수 있다. 이하 상기 구성 요소들에 대해 살펴본다. 도 12에 도시된 보안 사고 예측 장치(100)는 도 1 내지 도 11에서 설명한 보안 사고 예측 장치(100)와 동일하게 대응될 수 있다.
통신 장치(1210)는 외부 장치와 통신을 수행할 수 있다. 구체적으로, 통신 장치(1210)는 유선 또는 무선으로 네트워크와 연결되어 외부 장치와 통신을 수행할 수 있다. 여기서, 외부 장치는 서버, 스마트폰, 태블릿, PC, 컴퓨팅 장치 등일 수 있다. 통신 장치(1210)는 다양한 유무선 통신 방법 중 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들면, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다. 또한, 통신 모듈은 근거리 통신 모듈, 유선 통신 모듈일 수 있다.
예를 들면, 통신 장치(1210)는 무선 랜(Wireless LAN), Wi-Fi(Wireless Fidelity), WFD(Wi-Fi Direct), 블루투스(Bluetooth), BLE(Bluetooth Low Energy), Wired Lan, NFC(Near Field Communication), 지그비(Zigbee) 적외선(IrDA, infrared Data Association), 3G, 4G, 및 5G 중 적어도 하나를 지원할 수 있다.
사용자 인터페이스 장치(1220)는 사용자로부터 보안 사고 예측 장치(100)를 제어하기 위해 데이터를 입력 받는 장치를 의미할 수 있다. 프로세서(1240)는 사용자로부터 소정 명령 또는 데이터를 입력 받기 위한 사용자 인터페이스 화면을 생성 및 출력하도록 사용자 인터페이스 장치(1220)를 제어할 수 있다. 사용자 인터페이스 장치(1220)는 보안 사고 예측 장치(100)의 동작을 제어하는 입력 등을 수신하기 위한 입력부와 보안 사고 예측 장치(100)의 동작에 따른 결과 또는 보안 사고 예측 장치(100)의 상태 등의 정보를 표시하기 위한 출력부를 포함할 수 있다. 예를 들면, 사용자 인터페이스 장치(1220)는 사용자 입력을 수신하는 조작 패널, 화면을 표시하는 디스플레이 패널 등을 포함할 수 있다.
구체적으로, 입력부는, 예를 들어, 키보드, 물리 버튼, 터치 스크린, 카메라 또는 마이크 등과 같이 다양한 형태의 사용자 입력을 수신할 수 있는 장치들을 포함할 수 있다. 또한, 출력부는, 예를 들어, 디스플레이 패널 또는 스피커 등을 포함할 수 있다. 다만, 이에 한정되지 않고 사용자 인터페이스 장치(1220)는 다양한 입출력을 지원하는 장치를 포함할 수 있다.
메모리(1230)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(SD, XD 메모리 등), 램(RAM; Random Access Memory) SRAM(Static Random Access Memory), 롬(ROM; Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory) 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 메모리(1230)는 보안 사고의 발생을 예측하는 예측 모델 및 대상 시스템의 데이터에 기초하여, 대상 시스템에서 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하고, 예측 정보에 대한 조치 정보를 제공하는 보안 사고를 예측하는 명령어들을 포함하는 적어도 하나의 프로그램을 저장할 수 있다. 메모리(1230)에 저장된 적어도 하나의 프로그램은 기능에 따라 복수 개의 모듈들로 분류될 수 있다.
프로세서(1240)는 보안 사고 예측 장치(100)의 전체적인 동작을 제어하며, CPU 등과 같은 적어도 하나의 프로세서를 포함할 수 있다. 프로세서(1240)는 사용자 인터페이스 장치(1220)를 통해 수신된 사용자 입력에 대응되는 동작을 수행하도록 보안 사고 예측 장치(100)에 포함된 다른 구성들을 제어할 수 있다. 또한, 프로세서(1240)는 각 기능에 대응되는 특화된 프로세서를 적어도 하나 포함하거나, 하나로 통합된 형태의 프로세서일 수 있다.
프로세서(1240)는 메모리(1230)에 저장된 프로그램을 실행시키거나, 메모리(1230)에 저장된 데이터 또는 파일을 읽어오거나, 새로운 파일을 메모리(1230)에 저장할 수도 있다. 또한, 프로세서(1240)는 메모리(1230)에 저장된 명령어들을 실행할 수 있다.
프로세서(1240)는, 적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
예를 들면, 기준 데이터는, 적어도 하나의 보안 사고가 발생된 시스템의 설정 정보, 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 시스템의 보안 정책 정보 중 적어도 하나의 정보에 대한 데이터일 수 있다.
예를 들면, 시스템의 설정 정보는, 시스템의 운영체제, IP 주소, 위치, 오픈 포트, 제공 서비스, 장치의 종류 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 행위 정보는, 시스템 내의 컴퓨팅 장치, 서버에서 발생된 로그 이력, 네트워크 사용 이력, 시스템의 출입 이력, 시스템 내에 저장된 파일의 이력 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 시스템의 보안 정책 정보는, 시스템 내에서 외부 침입을 탐지 또는 방지하기 위한 장치, 내부자에 의한 정보 유출을 탐지 또는 방지하기 위한 장치, 보안 장치, 보안 정책과 관련된 소프트웨어, 프로그램 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 프로세서(1240)는, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 수집할 수 있다. 예를 들면, 보안 사고의 유형은, 내부자에 의한 정보 유출, 시스템 파괴, 외부로부터 해킹, 악성 코드 탐지 중 적어도 하나를 포함할 수 있고, 상기 예시에 제한되지 않는다.
예를 들면, 프로세서(1240)는, 기준 데이터 및 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여, 예측 모델을 생성할 수 있다. 구체적인 예를 들면, 프로세서(1240)는, 인공 신경망을 통해, 적어도 하나의 보안 사고가 발생된 시스템에 대한 기준 데이터와 발생된 보안 사고의 유형 정보를 학습할 수 있다. 프로세서(1240)는, 학습한 결과에 기초하여, 대상 시스템의 데이터가 입력됨에 따라 보안 사고의 유형을 판단하거나, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
다른 예를 들면, 프로세서(1240)는, 기준 데이터를 분석한 결과에 기초하여, 기준 데이터를 정형화 할 수 있다. 프로세서(1240)는, 정형화된 데이터를 보안 사고의 유형 정보에 매칭함으로써, 보안 사고의 시나리오를 생성할 수 있다. 프로세서(1240)는, 복수의 보안 사고의 시나리오에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성할 수 있다.
프로세서(1240)는, 대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집할 수 있다. 여기서, 대상 시스템은, 보안 사고가 발생될 가능성이 있는지 보안 상태를 점검하기 위한 시스템일 수 있다.
예를 들면, 프로세서(1240)는, 대상 시스템의 설정 정보, 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 대상 시스템의 보안 정책 정보를 수집할 수 있다.
예를 들면, 대상 시스템의 설정 정보는, 대상 시스템의 운영체제, IP 주소, 위치, 오픈 포트, 제공 서비스, 장치의 종류 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보는, 대상 시스템 내의 컴퓨팅 장치, 서버에서 발생된 로그 이력, 네트워크 사용 이력, 대상 시스템의 출입 이력, 대상 시스템 내에 저장된 파일의 이력 중 적어도 하나의 정보를 포함할 수 있다.
예를 들면, 대상 시스템의 보안 정책 정보는, 대상 시스템 내에서 외부 침입을 탐지 또는 방지하기 위한 장치, 내부자에 의한 정보 유출을 탐지 또는 방지하기 위한 장치, 보안 장치, 보안 정책과 관련된 소프트웨어, 프로그램 중 적어도 하나의 정보를 포함할 수 있다.
프로세서(1240)는, 예측 모델 및 대상 시스템의 데이터에 기초하여, 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득할 수 있다. 예를 들면, 예측 정보는, 예측되는 보안 사고의 유형, 예측되는 보안 사고가 발생될 확률, 및 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 포함할 수 있다.
예를 들면, 대상 시스템의 데이터가 예측 모델의 입력 값으로 입력되면, 프로세서(1240)는, 예측되는 보안 사고의 유형, 예측되는 보안 사고가 발생될 확률, 및 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 예측 모델의 출력 값으로 획득할 수 있다.
프로세서(1240)는, 예측 정보에 대한 조치 정보를 제공할 수 있다.
예를 들면, 프로세서(1240)는, 사용자 인터페이스 장치(1220)를 제어함으로써, 대상 시스템에서 요구되는 적어도 하나의 조치, 및 적어도 하나의 조치에 대한 비용 정보 중 적어도 하나를 표시할 수 있다. 예를 들면, 대상 시스템에서 요구되는 조치가 복수인 경우, 프로세서(1240)는, 보안이 미흡한 순위에 기초하여, 복수의 조치의 우선 순위를 결정할 수 있다. 사용자 인터페이스 장치(1220)는, 우선 순위에 따라 복수의 조치를 표시하거나, 복수의 조치 각각에 우선 순위 정보를 표시할 수 있다. 사용자 인터페이스 장치(1220)는, 복수의 조치 각각에 대한 비용 정보를 표시할 수 있다.
예를 들면, 사용자 인터페이스 장치(1220)는, 예측되는 보안 사고에 대한 시나리오를 표시할 수 있다. 여기서, 보안 사고에 대한 시나리오는, 보안 사고의 시발점부터 종점까지 발생된 적어도 하나의 이벤트가 연결된 정보일 수 있다.
예를 들면, 사용자 인터페이스 장치(1220)는, 예측되는 보안 사고의 경로를 표시할 수 있다. 예를 들면, 사용자 인터페이스 장치(1220)는, 대상 시스템의 조직도 상에 보안 사고의 경로를 표시할 수 있다. 여기서, 대상 시스템의 조직도는, 대상 시스템으로부터 수집된 데이터에 기초하여 생성될 수 있다. 또한, 프로세서(1240)는, 경로 상에서 미리 설정된 기준에 따라, 보안 사고에 취약한 것으로 판단된 위치를 표시할 수 있다. 예를 들면, 경로의 지점 별로, 수집된 데이터에 기초하여, 보안의 안정성에 대한 스코어가 산출될 수 있다. 미리 설정된 기준은, 보안의 안정성이 취약하다고 판단하기 위한 기준 스코어일 수 있다. 예를 들면, 프로세서(1240)는, 기준 스코어 미만인 지점에 대해 보안 사고에 취약한 위치로 결정하고, 사용자 인터페이스 장치(1220)를 제어함으로써, 경로 상에 취약한 위치를 나타내는 지시자 또는 마커를 표시할 수 있다.
또한, 프로세서(1240)는, 사용자 인터페이스 장치(1220)를 제어함으로써, 시나리오를 구성하는 요소 별로, 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시할 수 있다. 예를 들면, 조치 정보는, 사용자 행위를 기반으로 하는 에이전트 도입, 사용자 행위 모니터링, 문서에 대한 흐름도 생성, 문서와 담당 업무 간의 상관도 생성, 문서의 라이트 사이클을 통한 추적 관리 중 적어도 하나의 조치에 대한 정보를 포함할 수 있다.
본 개시에서 설명된 보안 사고 예측 장치(100)는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 또한, 본 개시는, 서버 및 전자 장치의 동작 방법을 수행할 수 있도록 컴퓨터 판독가능 저장매체에 저장된 컴퓨터 프로그램 형태로 제공될 수 있다. 또한, 본 개시는, 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터 판독 가능 저장매체를 이용하여 이와 같은 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
이와 같은 컴퓨터 판독 가능 저장매체는 read-only memory (ROM), random-access memory (RAM), flash memory, CD-ROMs, CD-Rs, CD+Rs, CD-RWs, CD+RWs, DVD-ROMs, DVD-Rs, DVD+Rs, DVD-RWs, DVD+RWs, DVD-RAMs, BD-ROMs, BD-Rs, BD-R LTHs, BD-REs, 마그네틱 테이프, 플로피 디스크, 광자기 데이터 저장 장치, 광학 데이터 저장 장치, 하드 디스크, 솔리드-스테이트 디스크(SSD)일 수 있고, 명령어 또는 소프트웨어, 관련 데이터, 데이터 파일, 및 데이터 구조들을 저장할 수 있고, 프로세서나 컴퓨터가 명령어를 실행할 수 있도록 프로세서나 컴퓨터에 명령어 또는 소프트웨어, 관련 데이터, 데이터 파일, 및 데이터 구조들을 제공할 수 있는 어떠한 장치라도 될 수 있다.
이상에서 실시예들에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 기술분야에서 통상의 지식을 가진 자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속한다.

Claims (10)

  1. 보안 사고 예측 장치의 동작 방법에 있어서,
    적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성하는 단계;
    대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집하는 단계;
    상기 예측 모델 및 상기 대상 시스템의 데이터에 기초하여, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 단계; 및
    상기 예측 정보에 대한 조치 정보를 제공하는 단계를 포함하는, 동작 방법.
  2. 제1항에 있어서,
    상기 예측 모델을 생성하는 단계는,
    상기 적어도 하나의 보안 사고가 발생된 시스템에 대한 상기 기준 데이터 및 상기 적어도 하나의 보안 사고의 유형 정보를 수집하는 단계; 및
    상기 기준 데이터 및 상기 적어도 하나의 보안 사고의 유형 정보를 학습한 결과에 기초하여, 상기 예측 모델을 생성하는 단계를 포함하는, 동작 방법.
  3. 제1항에 있어서,
    상기 대상 시스템의 데이터를 수집하는 단계는,
    상기 대상 시스템의 설정 정보, 상기 대상 시스템에서 발생된 이벤트에 대응하는 행위 정보, 및 상기 대상 시스템의 보안 정책 정보를 수집하는 단계를 포함하는, 동작 방법.
  4. 제1항에 있어서,
    상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하는 단계는,
    상기 대상 시스템의 데이터가 상기 예측 모델의 입력 값으로 입력되면, 예측되는 보안 사고의 유형, 상기 예측되는 보안 사고가 발생될 확률, 및 상기 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 상기 예측 모델의 출력 값으로 획득하는 단계를 포함하는, 동작 방법.
  5. 제1항에 있어서,
    상기 예측 정보에 대한 조치 정보를 제공하는 단계는,
    상기 대상 시스템에서 요구되는 적어도 하나의 조치, 및 상기 적어도 하나의 조치에 대한 비용 정보 중 적어도 하나를 표시하는 단계를 포함하는, 동작 방법.
  6. 제1항에 있어서,
    상기 예측 정보에 대한 조치 정보를 제공하는 단계는,
    상기 예측되는 보안 사고에 대한 시나리오를 표시하는 단계; 및
    상기 시나리오를 구성하는 요소 별로, 상기 대상 시스템에서 요구되는 조치에 대한 조치 정보를 표시하는 단계를 포함하는, 동작 방법.
  7. 제6항에 있어서,
    상기 예측되는 보안 사고에 대한 시나리오를 표시하는 단계는,
    상기 예측되는 보안 사고의 경로를 표시하는 단계; 및
    상기 경로 상에서, 미리 설정된 기준에 따라, 보안 사고에 취약한 것으로 판단된 위치를 표시하는 단계를 포함하는, 동작 방법.
  8. 제1항에 있어서,
    상기 예측 모델에서 예측되는 보안 사고의 유형은,
    내부자에 의한 정보 유출, 외부로부터 해킹, 및 악성 코드 탐지 중 적어도 하나를 포함하는, 동작 방법.
  9. 통신 장치;
    프로세서;
    사용자 인터페이스 장치; 및
    상기 프로세서에 의해 실행 가능한 명령어들을 저장하는 메모리를 포함하고,
    상기 프로세서는, 상기 명령어들을 실행함으로써,
    적어도 하나의 보안 사고가 발생된 시스템으로부터 수집된 기준 데이터에 기초하여, 보안 사고의 발생을 예측하는 예측 모델을 생성하고,
    대상 시스템으로부터 보안 사고의 발생을 예측하는 데에 이용되는 데이터를 수집하고,
    상기 예측 모델 및 상기 대상 시스템의 데이터에 기초하여, 상기 대상 시스템에서 소정의 보안 사고가 발생될 가능성을 나타내는 예측 정보를 획득하고,
    상기 예측 정보에 대한 조치 정보를 제공하는, 보안 사고 예측 장치.
  10. 제9항에 있어서,
    상기 프로세서는, 상기 명령어들을 실행함으로써,
    상기 대상 시스템의 데이터가 상기 예측 모델의 입력 값으로 입력되면, 예측되는 보안 사고의 유형, 상기 예측되는 보안 사고가 발생될 확률, 및 상기 예측되는 보안 사고에 대한 시나리오 중 적어도 하나를 포함하는 상기 예측 정보를 상기 예측 모델의 출력 값으로 획득하고,
    상기 사용자 인터페이스 장치를 통해, 상기 예측 정보를 표시하는, 보안 사고 예측 장치.
KR1020220046813A 2022-04-15 2022-04-15 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법 KR20230147894A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220046813A KR20230147894A (ko) 2022-04-15 2022-04-15 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220046813A KR20230147894A (ko) 2022-04-15 2022-04-15 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법

Publications (1)

Publication Number Publication Date
KR20230147894A true KR20230147894A (ko) 2023-10-24

Family

ID=88515290

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220046813A KR20230147894A (ko) 2022-04-15 2022-04-15 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법

Country Status (1)

Country Link
KR (1) KR20230147894A (ko)

Similar Documents

Publication Publication Date Title
US20210352099A1 (en) System for automatically discovering, enriching and remediating entities interacting in a computer network
US10762206B2 (en) Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US10749890B1 (en) Systems and methods for improving the ranking and prioritization of attack-related events
JP6621940B2 (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US9071636B2 (en) Predictive scoring management system for application behavior
US9357397B2 (en) Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
US10505960B2 (en) Malware detection by exploiting malware re-composition variations using feature evolutions and confusions
US10970188B1 (en) System for improving cybersecurity and a method therefor
CN112805740B (zh) 人工智能辅助规则生成
US9172720B2 (en) Detecting malware using revision control logs
US11245726B1 (en) Systems and methods for customizing security alert reports
US11663329B2 (en) Similarity analysis for automated disposition of security alerts
US20230269272A1 (en) System and method for implementing an artificial intelligence security platform
Esfahani et al. Inferring software component interaction dependencies for adaptation support
US20210211443A1 (en) Process for automated investigation of flagged users based upon previously collected data and automated observation on a go-forward basis
Kumar et al. An integrated framework for software vulnerability detection, analysis and mitigation: an autonomic system
CN109388949B (zh) 一种数据安全集中管控方法和系统
US11991201B2 (en) Likelihood assessment for security incident alerts
US9171171B1 (en) Generating a heat map to identify vulnerable data users within an organization
JP7487769B2 (ja) 異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム
Dai et al. Homeguardian: Detecting anomaly events in smart home systems
KR20230147894A (ko) 보안 사고 예측 장치 및 보안 사고 예측 장치의 동작 방법
Mikhailovich et al. Guidelines for using machine learning technology to ensure information security
US20220086183A1 (en) Enhanced network security based on inter-application data flow diagrams
Rammig et al. Online behavior classification for anomaly detection in self‐x real‐time systems

Legal Events

Date Code Title Description
E902 Notification of reason for refusal