KR20240023568A - Method for bothways security conformity verification and apparatus thereof - Google Patents

Method for bothways security conformity verification and apparatus thereof Download PDF

Info

Publication number
KR20240023568A
KR20240023568A KR1020240018995A KR20240018995A KR20240023568A KR 20240023568 A KR20240023568 A KR 20240023568A KR 1020240018995 A KR1020240018995 A KR 1020240018995A KR 20240018995 A KR20240018995 A KR 20240018995A KR 20240023568 A KR20240023568 A KR 20240023568A
Authority
KR
South Korea
Prior art keywords
security
module
verification
service
information
Prior art date
Application number
KR1020240018995A
Other languages
Korean (ko)
Inventor
한유석
석상훈
Original Assignee
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에어큐브 filed Critical 주식회사 에어큐브
Priority to KR1020240018995A priority Critical patent/KR20240023568A/en
Publication of KR20240023568A publication Critical patent/KR20240023568A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

본 개시의 실시예에 따른 보안 적합성 검증 시스템은 사용자 단말기, 서비스 운용 모듈 및 보안 검증 모듈을 포함하는 서비스 운용 장치, 및 보안 관리 모듈을 포함하는 관리 서버를 포함하되, 상기 보안 관리 모듈은 보안 적합성 검증을 수행할 특정 서비스를 설정하고, 상기 특정 서비스에 해당하는 보안 정책에 대한 정보를 상기 보안 검증 모듈에 설정하고, 상기 보안 정책에 대한 정보에 기반하여, 상기 보안 검증 모듈은 상기 사용자 단말기의 요청 패킷 또는 상기 보안 검증 모듈의 탐지 패킷에 대한 제1 보안 적합성 검증을 수행하고, 상기 서비스 운용 모듈로부터 상기 요청 패킷 또는 탐지 패킷에 응답하여 수신된 응답 패킷에 대한 제2 보안 적합성 검증을 수행하는 것을 특징으로 할 수 있다.The security conformance verification system according to an embodiment of the present disclosure includes a user terminal, a service operation device including a service operation module and a security verification module, and a management server including a security management module, wherein the security management module performs security compliance verification. Set a specific service to perform, set information about the security policy corresponding to the specific service in the security verification module, and based on the information about the security policy, the security verification module sends the request packet of the user terminal or performing a first security suitability verification on a detection packet of the security verification module, and performing a second security suitability verification on a response packet received from the service operation module in response to the request packet or detection packet. can do.

Description

양방향 보안 적합성 검증을 수행하는 방법 및 그에 대한 장치{METHOD FOR BOTHWAYS SECURITY CONFORMITY VERIFICATION AND APPARATUS THEREOF}Method for performing two-way security conformity verification and apparatus therefor {METHOD FOR BOTHWAYS SECURITY CONFORMITY VERIFICATION AND APPARATUS THEREOF}

본 발명은 보안 적합성 검증을 위한 방법 및 그에 대한 장치에 관한 발명으로서, 자세하게는 웹(WEB) 기반의 서비스에 대한 보호 기능을 통해 안전하게 서비스가 가능하도록 보안 기능을 제공하는 기술에 관한 발명이다.The present invention relates to a method and device for security compliance verification, and more specifically, to a technology that provides a security function to enable safe service through a protection function for a web-based service.

비대면 업무환경이 일반화 되면서 대부분의 온프레미스(On-premise) 사내 업무 시스템의 클라우드(cloud) 전환이 촉진되고 있다. 이에 따라, 클라우드 서비스를 기반으로 한 정보 보호 제품 및 보안 환경의 필요성도 증가하고 있다.As non-face-to-face work environments become more common, the transition of most on-premise work systems to the cloud is being promoted. Accordingly, the need for information protection products and security environments based on cloud services is also increasing.

국내에는 국가 및 공공 서비스 환경에 공통적으로 준수되어야 할 정보 보호 가이드라인이 존재하며, 관련 서비스의 구축 시에는 해당 규정에 따라 보안 적합성 검증을 받아야 할 필요가 있다.In Korea, there are information protection guidelines that must be commonly complied with in national and public service environments, and when establishing related services, there is a need to undergo security suitability verification in accordance with the relevant regulations.

보안 적합성 검증 절차는 국가 기관에 의해 수행될 수 있으며, 도 1은 보안 적합성 검증 절차의 일 예를 나타낸다.The security conformance verification procedure may be performed by a national agency, and Figure 1 shows an example of the security conformance verification process.

도 1을 참조하면, 각급 기관은 국가정보원으로 보안 적합성 검증을 신청하며, 이에 따라, 국가정보원은 국가보안기술연구소로 시험을 의뢰한다. 시험 수행 후, 국가보안기술연구소는 시험 결과를 국가정보원으로 전달하며, 국가정보원은 전달받은 검증 결과를 각급 기관에 통보한다. 여기에서, 각급 기관은 각 서비스를 도입 및 운용하는 기관을 의미할 수 있다.Referring to Figure 1, organizations at each level apply for security suitability verification to the National Intelligence Service, and accordingly, the National Intelligence Service requests testing from the National Security Technology Research Institute. After performing the test, the National Security Technology Research Institute delivers the test results to the National Intelligence Service, and the National Intelligence Service notifies the received verification results to each level of agency. Here, each level of organization may mean an organization that introduces and operates each service.

각급 기관은 검증 결과에 기반하여 보안 환경 및/또는 보안 기능에 대한 취약점을 보완한 후, 이를 운용한다.Organizations at each level correct vulnerabilities in the security environment and/or security functions based on verification results and then operate them.

또한, 국가보안기술연구소에서 보안 기능에 대한 시험이 적합하다고 판단되는 경우, 각급 기관은 보안기능 확인서를 발급받을 수 있다. 이 경우, 국가보안기술연구소는 보안기능 확인서 발급을 위하여 기술심의회의에 발급 심의를 요청할 수 있다. In addition, if the National Security Technology Research Institute determines that testing for security functions is appropriate, organizations at each level can receive a certificate of security function confirmation. In this case, the National Security Technology Research Institute may request the Technical Review Council to review the issuance of a security function certificate.

추가적으로, 국가보안기술연구소는 국가정보원으로 보안기능 확인서에 대한 발급 현황을 제출한다. 국가정보원은 국가 및 공공 기관으로 발급 현황 등에 대한 사항을 공지하며, 이에 대해 국가 및 공공 기관은 국가정보원으로 도입확인서를 제출할 수 있다.Additionally, the National Security Technology Research Institute submits the issuance status of security function confirmations to the National Intelligence Service. The National Intelligence Service notifies the state and public institutions of the issuance status, etc., and the state and public institutions can submit a confirmation of introduction to the National Intelligence Service.

다만, 국가 및 공공 기관에서 진행되는 정보 보호 제품의 도입이 온프레미스(On-premise) 방식에서 클라우드 환경으로 변화되면서, 해당 IT 기반의 정보 보호 가이드라인의 적용 범위 및 솔루션의 경계면이 불명확해질 수 있다. 각각의 서비스는 다른 서비스(예: SaaS)의 영역과 호출의 관계를 통해 연결되어 있으므로, 특정 기능이 대상 제품 내에서 완전하게 구현되지 않을 수 있다.However, as the introduction of information protection products in national and public institutions changes from an on-premise method to a cloud environment, the scope of application of the IT-based information protection guidelines and the boundary of the solution may become unclear. . Since each service is connected through a call relationship with the area of another service (e.g., SaaS), certain functions may not be completely implemented within the target product.

본 개시의 기술적 사상이 해결하려는 과제는, 서비스 환경과 독립적으로 보안 준수 여부를 검증하는 기능 체계를 제공하는데 그 목적이 있다.The problem that the technical idea of the present disclosure aims to solve is to provide a functional system that verifies security compliance independently of the service environment.

또한, 본 개시의 기술적 사상이 해결하려는 과제는, 클라우드 서비스의 표준적인 연동 API(Application Programming Interface)에 대한 보안 준수 여부를 검증하는 기능 체계를 제공하는데 그 목적이 있다.In addition, the problem that the technical idea of the present disclosure aims to solve is to provide a functional system that verifies security compliance with the standard interlocking API (Application Programming Interface) of cloud services.

또한, 본 개시의 기술적 사상이 해결하려는 과제는, 서비스 제공 지역(domain)을 구분하여 보안 준수 여부를 검증하는 기능 체계를 제공하는데 그 목적이 있다.In addition, the problem that the technical idea of the present disclosure aims to solve is to provide a functional system that verifies security compliance by distinguishing service provision areas (domains).

또한, 본 개시의 기술적 사상이 해결하려는 과제는, 보안 가이드라인 변경에 따라 유연하게 보안 정책을 변경하여 보안 준수 여부를 검증하는 기능 체계를 제공하는데 그 목적이 있다.In addition, the problem that the technical idea of the present disclosure aims to solve is to provide a functional system that verifies security compliance by flexibly changing the security policy according to changes in security guidelines.

본 발명이 해결하려는 과제는 상기 과제에 제한되지 않으며, 언급되지 않은 또 다른 과제는 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the above problem, and other problems not mentioned will be clearly understood by those skilled in the art from the description below.

상기와 같은 목적을 달성하기 위하여, 본 개시의 기술적 사상의 일 측면에 따른 보안 적합성 검증 시스템에 있어서, 상기 보안 적합성 검증 시스템은, 사용자 단말기; 서비스 운용 모듈 및 보안 검증 모듈을 포함하는 서비스 운용 장치; 및 보안 관리 모듈을 포함하는 관리 서버를 포함할 수 있다. 상기 보안 관리 모듈은 보안 적합성 검증을 수행할 특정 서비스를 설정하고, 상기 특정 서비스에 해당하는 보안 정책에 대한 정보를 상기 보안 검증 모듈에 설정할 수 있다. 상기 보안 정책에 대한 정보에 기반하여, 상기 보안 검증 모듈은 상기 사용자 단말기의 요청 패킷 또는 상기 보안 검증 모듈의 탐지 패킷에 대한 제1 보안 적합성 검증을 수행하고, 상기 요청 패킷 또는 상기 탐지 패킷이 상기 보안 정책을 만족하는 경우 상기 요청 패킷 또는 상기 탐지 패킷을 상기 서비스 운용 모듈로 전송하고, 상기 서비스 운용 모듈로부터 상기 요청 패킷 또는 상기 탐지 패킷에 대한 응답 패킷을 수신하고, 상기 응답 패킷에 대한 제2 보안 적합성 검증을 수행하고, 상기 응답 패킷이 상기 보안 정책을 만족하는 경우 상기 사용자 단말기로 상기 응답 패킷을 전송 또는 탐지 로그를 생성할 수 있다.In order to achieve the above object, in a security conformance verification system according to an aspect of the technical idea of the present disclosure, the security conformance verification system includes: a user terminal; A service operation device including a service operation module and a security verification module; and a management server including a security management module. The security management module may set a specific service to perform security suitability verification, and set information on the security policy corresponding to the specific service to the security verification module. Based on the information about the security policy, the security verification module performs a first security conformance verification on the request packet of the user terminal or the detection packet of the security verification module, and the request packet or the detection packet is If the policy is satisfied, transmit the request packet or the detection packet to the service operation module, receive a response packet for the request packet or the detection packet from the service operation module, and perform a second security compliance for the response packet. Verification may be performed, and if the response packet satisfies the security policy, the response packet may be transmitted to the user terminal or a detection log may be generated.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 보안 검증 모듈은 프록시(proxy) 방식 또는 에이전트(agent) 방식에 기반하여 동작하며, 상기 보안 관리 모듈에 의해 상기 서비스 운용 장치에 설치될 수 있다.Additionally, in the security conformance verification system, the security verification module operates based on a proxy method or an agent method, and can be installed in the service operation device by the security management module.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 보안 관리 모듈은 하나 이상의 서비스들에 대한 보안 적합성 검증과 관련된 보안 정책들에 대한 정보를 관리하도록 설정되며, 상기 특정 서비스는 관리자 입력(input) 정보에 기반하여 상기 하나 이상의 서비스들 중에서 선택될 수 있다.Additionally, in the security conformance verification system, the security management module is set to manage information on security policies related to security conformity verification for one or more services, and the specific service is configured based on administrator input information. Thus, one or more services may be selected.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 보안 검증 모듈은, 상기 제1 보안 적합성 검증 및 상기 제2 보안 적합성 검증에 대한 결과 정보를 상기 보안 관리 모듈로 전송할 수 있다.Additionally, in the security conformance verification system, the security verification module may transmit result information about the first security conformance verification and the second security conformance verification to the security management module.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 결과 정보는 미리 설정된 주기에 기반하여 상기 보안 관리 모듈로 전송되며, 상기 미리 설정된 주기에 대한 정보는 상기 보안 관리 모듈에 의해 상기 보안 검증 모듈로 전달될 수 있다.Additionally, in the security conformance verification system, the result information is transmitted to the security management module based on a preset cycle, and information about the preset cycle may be transmitted to the security verification module by the security management module. there is.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 사용자 운용 장치는 네트워크 보안 모듈을 더 포함하며, 상기 사용자 단말기의 요청 패킷은, 상기 요청 패킷에 대해 상기 네트워크 보안 모듈에 의한 네트워크 보안 검증이 수행된 이후 상기 보안 검증 모듈로 포워딩될 수 있다.In addition, in the security conformance verification system, the user operating device further includes a network security module, and the request packet of the user terminal is received after network security verification by the network security module is performed on the request packet. It can be forwarded to the security verification module.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 요청 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈은 상기 요청 패킷에 대한 요청 거절 정보를 상기 사용자 단말기로 전송할 수 있다. 또한, 상기 응답 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈은 상기 응답 패킷에 대한 응답 거절 정보를 상기 서비스 운용 모듈로 전송할 수 있다.Additionally, in the security conformance verification system, if the request packet does not satisfy the security policy, the security verification module may transmit request rejection information for the request packet to the user terminal. Additionally, if the response packet does not satisfy the security policy, the security verification module may transmit response rejection information for the response packet to the service operation module.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 보안 정책에 대한 정보는, 상기 특정 서비스의 보안 정책에 따른 하나이상의 보안 항목들에 대한 정보 및 보안 항목 별 기본 값에 대한 정보를 포함할 수 있다.Additionally, in the security conformance verification system, the information about the security policy may include information about one or more security items according to the security policy of the specific service and information about the default value for each security item.

또한, 상기 보안 적합성 검증 시스템에 있어서, 상기 서비스 운용 장치는 로그 수집 모듈을 더 포함하고, 상기 관리 서버는 로그 관리 모듈을 더 포함하되, 상기 로그 수집 모듈은 상기 제1 보안 적합성 검증 및 상기 제2 보안 적합성 검증에 따른 로그 기록 또는 보안 취약성 탐지 수행의 결과 중 적어도 하나를 수집하고, 상기 수집된 로그 기록 또는 상기 결과 중 적어도 하나를 상기 로그 관리 모듈로 전송하고, 상기 로그 기록 또는 상기 결과 중 적어도 하나에 기반하여, 상기 보안 관리 모듈은 상기 특정 서비스의 위험도 정보를 관리하도록 설정될 수 있다.Additionally, in the security conformance verification system, the service operation device further includes a log collection module, and the management server further includes a log management module, wherein the log collection module includes the first security conformance verification and the second log collection module. Collect at least one of log records according to security suitability verification or results of performing security vulnerability detection, transmit at least one of the collected log records or the results to the log management module, and at least one of the log records or the results. Based on this, the security management module can be set to manage risk information of the specific service.

또한, 본 개시의 기술적 사상의 일 측면에 따른 보안 검증 모듈 및 보안 관리 모듈에 기반한 보안 적합성 검증 방법에 있어서, 상기 보안 적합성 검증 방법은, 상기 보안 관리 모듈에 의해, 보안 적합성 검증을 수행할 특정 서비스를 설정하는 단계; 상기 보안 관리 모듈에 의해, 상기 특정 서비스에 해당하는 보안 정책에 대한 정보를 상기 보안 검증 모듈에 설정하는 단계; 상기 보안 검증 모듈에 의해, 상기 보안 정책에 대한 정보에 기반하여, 사용자 단말기의 요청 패킷에 대한 제1 보안 적합성 검증을 수행하는 단계; 상기 보안 검증 모듈에 의해, 상기 요청 패킷이 상기 보안 정책을 만족하는 경우, 상기 요청 패킷을 상기 특정 서비스의 서비스 운용 모듈로 전송하는 단계; 상기 보안 검증 모듈에 의해, 상기 서비스 운용 모듈로부터 상기 요청 패킷에 대한 응답 패킷을 수신하는 단계; 상기 보안 검증 모듈에 의해, 상기 보안 정책에 대한 정보에 기반하여, 상기 응답 패킷에 대한 제2 보안 적합성 검증을 수행하는 단계; 및 상기 보안 검증 모듈에 의해, 상기 응답 패킷이 상기 보안 정책을 만족하는 경우, 상기 사용자 단말기로 상기 응답 패킷을 전송하는 단계를 포함할 수 있다.In addition, in a security conformance verification method based on a security verification module and a security management module according to an aspect of the technical idea of the present disclosure, the security conformance verification method includes a specific service to perform security conformance verification by the security management module. Setting up; setting, by the security management module, information about a security policy corresponding to the specific service in the security verification module; performing a first security conformance verification on a request packet of a user terminal by the security verification module, based on information about the security policy; transmitting the request packet to a service operation module of the specific service when the request packet satisfies the security policy by the security verification module; Receiving, by the security verification module, a response packet to the request packet from the service operation module; performing a second security conformance verification on the response packet by the security verification module, based on information about the security policy; and transmitting, by the security verification module, the response packet to the user terminal when the response packet satisfies the security policy.

또한, 상기 보안 적합성 검증 방법에 있어서, 상기 보안 검증 모듈은 프록시(proxy) 방식 또는 에이전트(agent)방식에 기반하여 동작하며, 상기 보안 관리 모듈에 의해, 상기 서비스 운용 모듈을 포함하는 서비스 운용 장치에 설치될 수 있다.Additionally, in the security conformance verification method, the security verification module operates based on a proxy method or an agent method, and is connected to the service operation device including the service operation module by the security management module. Can be installed.

또한, 상기 보안 적합성 검증 방법에 있어서, 상기 보안 관리 모듈은 하나 이상의 서비스들에 대한 보안 적합성 검증과 관련된 보안 정책들에 대한 정보를 관리하도록 설정되며, 상기 특정 서비스는 관리자 입력(input) 정보에 기반하여 상기 하나 이상의 서비스들 중에서 선택될 수 있다.Additionally, in the security suitability verification method, the security management module is set to manage information on security policies related to security suitability verification for one or more services, and the specific service is configured based on administrator input information. Thus, one or more services may be selected.

또한, 상기 보안 적합성 검증 방법은, 상기 보안 검증 모듈에 의해, 상기 제1 보안 적합성 검증 및 상기 제2 보안 적합성 검증에 대한 결과 정보를 상기 보안 관리 모듈로 전송하는 단계를 더 포함할 수 있다.Additionally, the security conformance verification method may further include transmitting result information about the first security conformance verification and the second security conformance verification to the security management module by the security verification module.

또한, 상기 보안 적합성 검증 방법은, 상기 요청 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈에 의해, 상기 요청 패킷에 대한 요청 거절 정보를 상기 사용자 단말기로 전송하는 단계; 및 상기 응답 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈에 의해, 상기 응답 패킷에 대한 응답 거절 정보를 상기 서비스 운용 모듈로 전송하는 단계를 더 포함할 수 있다.In addition, the security suitability verification method includes: transmitting, by the security verification module, request rejection information for the request packet to the user terminal when the request packet does not satisfy the security policy; And when the response packet does not satisfy the security policy, it may further include transmitting response rejection information for the response packet to the service operation module by the security verification module.

또한, 본 개시의 기술적 사상의 일 측면에 따른 보안 검증 모듈 및 보안 관리 모듈에 기반한 보안 적합성 검증 방법에 있어서, 상기 보안 적합성 검증 방법은, 상기 보안 관리 모듈에 의해, 보안 적합성 검증을 수행할 특정 서비스를 설정하는 단계; 상기 보안 관리 모듈에 의해, 상기 특정 서비스에 해당하는 보안 정책에 대한 정보를 상기 보안 검증 모듈에 설정하는 단계; 상기 보안 검증 모듈에 의해, 상기 보안 정책에 대한 정보에 기반하여, 상기 보안 검증 모듈의 탐지 패킷에 대한 제1 보안 적합성 검증을 수행하는 단계; 상기 보안 검증 모듈에 의해, 상기 탐지 패킷이 상기 보안 정책을 만족하는 경우, 상기 탐지 패킷을 상기 특정 서비스의 서비스 운용 모듈로 전송하는 단계; 상기 보안 검증 모듈에 의해, 상기 서비스 운용 모듈로부터 상기 탐지 패킷에 대한 응답 패킷을 수신하는 단계; 상기 보안 검증 모듈에 의해, 상기 보안 정책에 대한 정보에 기반하여, 상기 응답 패킷에 대한 제2 보안 적합성 검증을 수행하는 단계; 및 상기 보안 검증 모듈에 의해, 상기 응답 패킷이 상기 보안 정책을 만족하는 경우, 탐지 로그를 생성하는 단계를 포함할 수 있다.In addition, in a security conformance verification method based on a security verification module and a security management module according to an aspect of the technical idea of the present disclosure, the security conformance verification method includes a specific service to perform security conformance verification by the security management module. Setting up; setting, by the security management module, information about a security policy corresponding to the specific service in the security verification module; performing a first security conformance verification on a detection packet of the security verification module, by the security verification module, based on information about the security policy; If the detection packet satisfies the security policy by the security verification module, transmitting the detection packet to a service operation module of the specific service; Receiving, by the security verification module, a response packet to the detection packet from the service operation module; performing a second security conformance verification on the response packet by the security verification module, based on information about the security policy; and generating a detection log by the security verification module when the response packet satisfies the security policy.

또한, 상기 보안 적합성 검증 방법에 있어서, 상기 보안 검증 모듈은 에이전트(agent) 방식에 기반하여 동작하며, 상기 보안 관리 모듈에 의해, 상기 서비스 운용 모듈을 포함하는 서비스 운용 장치에 설치될 수 있다.Additionally, in the security conformance verification method, the security verification module operates based on an agent method and can be installed in the service operation device including the service operation module by the security management module.

본 개시의 예시적 실시예에 따르면, 서비스는 별도의 보안 기능 개발 및 서비스 변경 없이 국가에서 요구하는 보안 요구 사항을 충족할 수 있는 장점이 있다.According to an exemplary embodiment of the present disclosure, the service has the advantage of being able to meet national security requirements without developing separate security functions and changing the service.

또한, 본 개시의 예시적 실시예에 따르면, 보안 요구 사항이 변경되거나 추가될 경우, 본 발명의 시스템에 대해 보안 정책 템플릿을 변경하거나 추가하여 효율적으로 보안 적합성 검증 요건을 만족시킬 수 있는 효과가 있다.In addition, according to an exemplary embodiment of the present disclosure, when security requirements are changed or added, there is an effect of efficiently satisfying security compliance verification requirements by changing or adding security policy templates for the system of the present invention. .

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects that can be obtained from the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the description below. .

본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시 예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 보안 적합성 검증 절차의 일 예를 나타낸다.
도 2는 본 명세서의 일 실시예에 따른 보안 적합성 검증 시스템을 설명하기 위한 블록도이다.
도 3은 본 명세서의 일 실시예에 따른 보안 적합성 검증 절차를 설명하기 위한 시퀀스도이다.
도 4는 본 명세서의 일 실시예에 따른 보안 요구 사항 중 사용자의 식별 및 인증과 관련된 통제 절차의 예시를 나타낸다.
도 5는 본 명세서의 일 실시예에 따른 보안 관리 모듈을 이용한 보안 정책 관리의 예시를 나타낸다.
도 6은 본 명세서의 일 실시예에 따른 보안 관리 모듈을 이용한 보안 검증 모듈 관리의 예시를 나타낸다.
도 7은 본 명세서의 일 실시예에 따른 보안 적합성 검증 절차의 에이전트 방식 예시를 나타낸다.
도 8은 본 명세서의 일 실시예에 따른 보안 관리 모듈에서의 보안 위험도 관리의 예시를 나타낸다.The accompanying drawings, which are included as part of the detailed description to aid understanding of the present invention, provide embodiments of the present invention and explain technical features of the present invention along with the detailed description.
Figure 1 shows an example of a security conformance verification procedure.
Figure 2 is a block diagram for explaining a security conformance verification system according to an embodiment of the present specification.
Figure 3 is a sequence diagram for explaining the security compliance verification procedure according to an embodiment of the present specification.
Figure 4 shows an example of a control procedure related to user identification and authentication among the security requirements according to an embodiment of the present specification.
Figure 5 shows an example of security policy management using a security management module according to an embodiment of the present specification.
Figure 6 shows an example of security verification module management using a security management module according to an embodiment of the present specification.
Figure 7 shows an example of an agent method of a security conformance verification procedure according to an embodiment of the present specification.
Figure 8 shows an example of security risk management in the security management module according to an embodiment of the present specification.

이하, 본 발명에 따른 실시 예들은 첨부된 도면들을 참조하여 설명한다. 각 도면의 구성요소들에 참조 부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시 예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 실시 예들을 설명할 것이나, 본 발명의 기술적 사상은 이에 한정되거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있다.Hereinafter, embodiments according to the present invention will be described with reference to the attached drawings. When adding reference signs to components in each drawing, it should be noted that the same components are given the same reference numerals as much as possible even if they are shown in different drawings. Additionally, when describing embodiments of the present invention, if detailed descriptions of related known configurations or functions are judged to impede understanding of the embodiments of the present invention, the detailed descriptions will be omitted. In addition, embodiments of the present invention will be described below, but the technical idea of the present invention is not limited or limited thereto and may be modified and implemented in various ways by those skilled in the art.

또한, 본 명세서에서 사용한 용어는 실시 예를 설명하기 위해 사용된 것으로, 개시된 발명을 제한 및/또는 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.Additionally, the terms used in this specification are used to describe embodiments and are not intended to limit and/or limit the disclosed invention. Singular expressions include plural expressions unless the context clearly dictates otherwise.

본 명세서에서, "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는다.In this specification, terms such as “comprise,” “provide,” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification. It does not exclude in advance the existence or addition of other features, numbers, steps, operations, components, parts, or combinations thereof.

또한, 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함하며, 본 명세서에서 사용한 "제 1", "제 2" 등과 같이 서수를 포함하는 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되지는 않는다.In addition, throughout the specification, when a part is said to be “connected” to another part, this refers not only to the case where it is “directly connected” but also to the case where it is “indirectly connected” with another element in between. Terms including ordinal numbers, such as “first” and “second,” used in this specification may be used to describe various components, but the components are not limited by the terms.

아래에서는 첨부한 도면을 참고하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략한다.Below, with reference to the attached drawings, embodiments of the present invention will be described in detail so that those skilled in the art can easily implement the present invention. In order to clearly explain the present invention in the drawings, parts unrelated to the description are omitted.

앞서 배경기술에서 언급한 바와 같이, 클라우드 환경에서의 보안 적합성 검증 방식의 경우, 제도 적용에 있어 다음과 같은 문제들이 고려될 수 있다.As previously mentioned in the background technology, in the case of a security suitability verification method in a cloud environment, the following issues can be considered when applying the system.

먼저, 온프레미스(On-premise) 제품이 각 버전 또는 릴리즈(release)에 따라 형상이 고정되는 것과 달리, 클라우드 서비스는 연계된 서비스 체계의 변경에 따라 형상(예: 소스 코드의 구성)이 변하게 되는데, 그때마다 새롭게 보안 적합성 검증을 받는 것은 현실적으로 불가능할 수 있다.First, unlike on-premise products whose shape is fixed for each version or release, the shape (e.g., source code composition) of cloud services changes according to changes in the linked service system. , it may be realistically impossible to receive new security compliance verification each time.

다음으로, 클라우드 서비스에는 국경이 존재하지 않기 때문에, 제조사가 속한 국가의 보안 가이드라인은 사업자가 속한 국가의 보안 가이드라인과 충돌할 수 있다. 또한, 서비스 도입 기관의 업무 영역이 한 국가의 통제 범위를 넘어갈 경우, 가이드라인을 강제할 수 있는 법적 기준도 바뀌게 된다.Next, since there are no borders in cloud services, the security guidelines of the country where the manufacturer belongs may conflict with the security guidelines of the country where the operator belongs. Additionally, if the business area of the service introduction agency exceeds the scope of control of one country, the legal standards for enforcing the guidelines will also change.

뿐만 아니라, 달라진 정보 보호에 대한 관점(예: zero-trust)이 적용되어야 할 필요가 있다. 안전한 곳에 보관된 정보에서 안전한 경로를 갖는 정보로, 숨겨진 정보(예: On-premise 정보)에서 안전하게 노출되는 정보(예: On-demand 정보)로, 정보 서비스의 사용 환경이 바뀌면 이에 따라 정보 보호 방법도 다르게 적용되어야 할 필요가 있다.In addition, a different perspective on information protection (e.g. zero-trust) needs to be applied. How to protect information as the usage environment of information services changes, from information stored in a safe place to information with a safe path, from hidden information (e.g. on-premise information) to information safely exposed (e.g. on-demand information). also needs to be applied differently.

상술한 문제점들을 해결하기 위하여, 서비스 환경과 독립적이며, 보안 가이드라인의 변경에 유연하게 대처할 수 있는 보안 기능 체계가 필요하다. In order to solve the above-mentioned problems, a security function system that is independent of the service environment and can flexibly respond to changes in security guidelines is needed.

이를 위해, 본 명세서에서는 클라우드 환경의 정보 보호 체계인 CASB(Cloud Access Security Broker) 시스템에 보안 적합성 검증 체계의 보안 정책을 설정하고 제어하는 프록시(proxy) 기반의 보안 검증 모듈 및 보안 관리 모듈을 제안한다.To this end, this specification proposes a proxy-based security verification module and security management module that sets and controls the security policy of the security suitability verification system in the CASB (Cloud Access Security Broker) system, an information protection system in a cloud environment. .

이하에서는 본 발명에 따른 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the attached drawings.

본 명세서에서 제안하는 시스템은, 웹(WEB)(예: HTTP, HTTPS)기반의 특정 서비스(또는 서버)에 대한 보호 기능을 통해 해당 서비스에 추가적인 수정 없이도 안전하게 서비스가 가능하도록 보호 및/또는 보안 기능을 제공하는 시스템이다.The system proposed in this specification provides protection and/or security functions to enable safe service without additional modification to the service through a protection function for a specific service (or server) based on WEB (e.g. HTTP, HTTPS). It is a system that provides.

정보 보호가 필요한 서비스(또는 시스템)의 운영 환경에 프록시(Proxy) 기능을 수행하는 모듈이 설치될 수 있다. 여기에서, 설치되는 모듈은 프록시 모듈 또는 플러그인(Plug-in) 모듈로 지칭될 수 있다. 이하, 설명의 편의를 위하여, 해당 모듈은 보안 검증 모듈로 지칭한다.A module that performs a proxy function may be installed in the operating environment of a service (or system) that requires information protection. Here, the installed module may be referred to as a proxy module or plug-in module. Hereinafter, for convenience of explanation, the module will be referred to as a security verification module.

보안 검증 모듈은 정보 보호가 필요한 서비스의 운용 모듈과 상호간 동작하도록 설정될 수 있으며, 일 예로 운용 모듈은 해당 서비스의 기본 서버(origin server)에 해당할 수 있다.The security verification module may be set to operate interoperably with the operation module of a service requiring information protection. For example, the operation module may correspond to the origin server of the service.

본 명세서에서 제안하는 보안 검증 모듈은 서비스의 운용 모듈(예: 기본 서버)의 특정 서비스 포트로 접근하는 모든 패킷의 보안 위협을 탐지할 수 있다. 또한, 보안 검증 모듈은 패킷이 정보 보호 규정을 준수하는지 여부를 판단 및/또는 시험하여 신뢰된 사용자의 송수신 데이터 만을 허용하도록 동작할 수 있다. The security verification module proposed in this specification can detect security threats in all packets accessing a specific service port of the service operation module (e.g., basic server). Additionally, the security verification module may operate to determine and/or test whether packets comply with information protection regulations and allow only transmitted and received data from trusted users.

여기에서, 정보 보호 규정은 특정 기관이나 사업체의 서비스 환경 구성 시, 기본적인 보안 수준 및 조건에 대한 기준을 정하여 해당 서비스가 이용 기관이나 사업체의 보안 취약점을 만들지 않도록 관리하기 위한 것이다. Here, information protection regulations are intended to establish standards for basic security levels and conditions when configuring the service environment of a specific organization or business to prevent the service from creating security vulnerabilities for the user organization or business.

따라서, 서비스 도입 시 해당 서비스로 인해 새로운 보안 취약점이 발생하지 않도록 시스템의 운용 환경 전체에 대한 보안 적합성을 시험하여 안전하다고 판단된 시스템 만을 운용하게 된다. 이러한 절차는 도입 서비스의 재구축이나 수정을 필요로 하므로 도입 및 관리의 어려움이 발생할 수 있다.Therefore, when introducing a service, the security suitability of the entire operating environment of the system is tested to prevent new security vulnerabilities from occurring due to the service, and only systems that are judged to be safe are operated. Since these procedures require reconstruction or modification of the introduced service, difficulties in introduction and management may arise.

본 명세서에서 제안하는 보안 적합성 검증 방식의 경우, 보안 검증 모듈을 서비스 운용 환경에 추가 적용하고 이를 관리함으로서, 별도의 수정 작업 없이도 시스템 운용 시에 정보 보호 규정을 준수하도록 제어할 수 있다는 것에 장점이 있다.The security suitability verification method proposed in this specification has the advantage of being able to control it to comply with information protection regulations during system operation without any additional modification work by additionally applying and managing the security verification module to the service operation environment. .

도 2는 본 명세서의 일 실시예에 따른 보안 적합성 검증 시스템을 설명하기 위한 블록도이다. 도 2는 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하는 것이 아니다.Figure 2 is a block diagram for explaining a security conformance verification system according to an embodiment of the present specification. Figure 2 is merely for convenience of explanation and does not limit the scope of the present invention.

도 2를 참조하면, 본 명세서에서 제안하는 보안 적합성 검증 시스템은 사용자 단말기(100), 서비스 운용 장치(200), 및 관리 서버(300)을 포함할 수 있다. Referring to FIG. 2, the security conformance verification system proposed in this specification may include a user terminal 100, a service operation device 200, and a management server 300.

사용자 단말기(100)는 사용자가 서비스 운용 장치(200)로부터 서비스를 제공 받기 위한 전자 장치이다. 사용자 단말기(100)는 스마트폰으로 구현될 수 있으나, 이에 한정되지 않으며, 웹사이트, 클라우드 등으로부터 서비스를 제공 받기 위한 통신 수단을 포함하는 TV, 컴퓨터 등을 포함하는 다양한 사용자 인터페이스일 수 있다.The user terminal 100 is an electronic device that allows the user to receive services from the service operation device 200. The user terminal 100 may be implemented as a smartphone, but is not limited to this, and may be a variety of user interfaces including a TV, a computer, etc., including a communication means for receiving services from a website, cloud, etc.

사용자 단말기(100)는 서비스 운용 장치(200)과 데이터 송수신 역할을 수행하도록 설정될 수 있다.The user terminal 100 may be set to perform the role of transmitting and receiving data with the service operation device 200.

서비스 운용 장치(200)는 네트워크 보안 모듈(210), 서비스 운용 모듈(220), 및 보안 검증 모듈(230)을 포함할 수 있다. 서비스 운용 장치(200)는 서비스 제공과 관련된 장치 및/또는 모듈 등을 통칭하는 것으로, 서비스 운용 장치(200)는 서비스 환경, 서비스 운용 환경 등으로 지칭될 수 있다.The service operation device 200 may include a network security module 210, a service operation module 220, and a security verification module 230. The service operation device 200 is a general term for devices and/or modules related to service provision, and the service operation device 200 may be referred to as a service environment, service operation environment, etc.

도 2에서는 네트워크 보안 모듈(210), 서비스 운용 모듈(220), 및 보안 검증 모듈(230)이 하나의 장치로 구현된 것을 도시하였으나, 이에 한정하지 않고 하나 이상의 장치들로 구현될 수도 있다.Although FIG. 2 illustrates that the network security module 210, the service operation module 220, and the security verification module 230 are implemented as one device, the present invention is not limited to this and may be implemented as one or more devices.

네트워크 보안 모듈(210)은 사용자 단말기(100)와 서비스 운용 장치(200) 간에 송수신되는 패킷(예: 요청 패킷, 응답 패킷 등)에 대한 네트워크 보안 정책을 적용하도록 설정된 모듈이다. 네트워크 보안 모듈(210)에서 검사되는 네트워크 보안 정책은 서비스 운용 환경에 대해 미리 설정될 수 있다.The network security module 210 is a module configured to apply a network security policy to packets (eg, request packets, response packets, etc.) transmitted and received between the user terminal 100 and the service operation device 200. The network security policy checked by the network security module 210 may be set in advance for the service operating environment.

네트워크 보안 모듈(210)은 프로그램(program) 등과 같은 소프트웨어 형태, 서버(server) 등과 같은 하드웨어 형태, 또는 그들의 조합으로 구성될 수 있다.The network security module 210 may be configured in a software form such as a program, a hardware form such as a server, or a combination thereof.

서비스 운용 모듈(220)은 서비스 운용 환경에 대한 전반적인 절차를 제어하도록 설정될 수 있다. 서비스 운용 모듈(220)은 보안 적합성 검증을 위하여 보안 검증 모듈(230)과 패킷을 송수신할 수 있다. 서비스 운용 모듈(220)은 서비스 운용을 위한 기본 서버(origin server)로 지칭될 수 있다.The service operation module 220 may be set to control overall procedures for the service operation environment. The service operation module 220 may transmit and receive packets with the security verification module 230 to verify security suitability. The service operation module 220 may be referred to as an origin server for service operation.

보안 검증 모듈(230)은 대상 서비스에 대한 보안 적합성 검증을 수행하도록 설정되는 모듈이며, 프록시(proxy) 방식의 모듈일 수 있다. 보안 검증 모듈(230)은 서비스 운용 환경에 설치될 수 있다(예: 플러그인 모듈). 보안 검증 모듈(230)은 서비스 운용 환경에 설정 및/또는 설치된 서버 형태로 구현될 수도 있다.The security verification module 230 is a module set to perform security suitability verification for the target service, and may be a proxy-type module. The security verification module 230 may be installed in the service operating environment (e.g., plug-in module). The security verification module 230 may be implemented in the form of a server set and/or installed in a service operation environment.

보안 검증 모듈(230)은 서비스 운용 모듈(220), 사용자 단말기(100), 관리 서버(300)와 데이터 송수신을 수행하도록 설정될 수 있다.The security verification module 230 may be set to transmit and receive data with the service operation module 220, the user terminal 100, and the management server 300.

보안 검증 모듈(230)은 해당 서비스의 운용과 관련된 모든 패킷의 보안 적합성을 검증할 수 있다. 예를 들어, 보안 검증 모듈(230)은 관리 서버(300)에서 제공하는 설정 정보 및 보안 정책에 기반하여 서비스 운용 모듈(220)에 대한 보안 기능을 수행하도록 설정될 수 있다. The security verification module 230 can verify the security suitability of all packets related to the operation of the corresponding service. For example, the security verification module 230 may be set to perform security functions for the service operation module 220 based on configuration information and security policies provided by the management server 300.

구체적으로, 보안 검증 모듈(230)은 보안 적합성 검증 대상 서비스의 보안 적합성 준수 여부를 지속적으로 탐지하고, 보안 규정을 준수하도록 서비스를 통제하며, 위반된 정보의 송수신을 차단하는 기능을 수행할 수 있다.Specifically, the security verification module 230 continuously detects the security compliance of the service subject to security conformity verification, controls the service to comply with security regulations, and performs the function of blocking transmission and reception of violated information. .

예를 들어, 현재 국가에서 관리하는 보안 요구 사항은 서버 및 단말에 대한 공통 보안 요구 사항과 각 서비스 제품군 별로 설정된 추가적인 보안 요구 사항으로 정의된다. 해당 보안 요구 사항에 대한 보안 정책 내용에 따라, 보안 검증 모듈(230)은 서비스를 위해 송수신되는 데이터를 처리할 수 있다.For example, security requirements currently managed by the country are defined as common security requirements for servers and terminals and additional security requirements set for each service product line. According to the security policy contents for the corresponding security requirements, the security verification module 230 can process data transmitted and received for the service.

또한, 보안 검증 모듈에 대한 관리 서비스가 별도로 존재하며, 다수의 서비스들을 위한 보안 검증 모듈들이 고려되는 경우, 각 서비스에 대한 보안 정책을 별도로 생성하여 자동으로 설정하고, 로그를 통합적으로 관리하는 방식으로 운용이 가능하다.In addition, there is a separate management service for the security verification module, and when security verification modules for multiple services are considered, security policies for each service are separately created and automatically set, and logs are managed in an integrated manner. Operation is possible.

이와 달리, 단일 서비스에 대한 보안 검증 모듈을 운용하는 경우, 별도의 관리 서비스 없이 보안 정책을 수동으로 설정하여 독립적으로 운영하는 방식(예: stand-alone 방식)도 가능하다.In contrast, when operating a security verification module for a single service, it is also possible to operate independently by manually setting security policies without a separate management service (e.g., stand-alone method).

관리 서버(300)는 서비스 운용 환경에 설치된 프록시 모듈 즉, 보안 검증 모듈(230)의 동작을 관리할 수 있다. 예를 들어, 관리 서버(300)는 보안 검증 모듈(230)의 동작을 제어하는 설정 값을 관리하도록 설정될 수 있다.The management server 300 can manage the operation of the proxy module installed in the service operation environment, that is, the security verification module 230. For example, the management server 300 may be set to manage setting values that control the operation of the security verification module 230.

관리 서버(300)는 보안 관리 모듈(310)을 포함할 수 있다.The management server 300 may include a security management module 310.

보안 관리 모듈(310)은 보안 검증 모듈(230)의 보안 정책을 설정하고, 각 모듈의 동작 상황을 모니터링하는 기능을 수행할 수 있다. 즉, 보안 관리 모듈(310)은 하나 이상의 보안 검증 모듈들의 동작을 관리할 수 있으며, 각 보안 검증 모듈에 적합한 보안 정책을 설정하며, 동작 상황을 모니터링할 수 있다.The security management module 310 may set a security policy for the security verification module 230 and monitor the operation status of each module. That is, the security management module 310 can manage the operation of one or more security verification modules, set a security policy appropriate for each security verification module, and monitor the operation status.

클라우드 환경에서 관리 서비스로 동작하고 보안 적합성 검증이 필요한 대상 시스템(즉, 대상 서비스)의 관리자가 관리 서버(300)에 접속할 수 있다. 관리자는 자신이 관리하는 대상 시스템의 보안 정책을 등록하고, 보안 요구 사항에 따른 처리 방법과 내용을 설정할 수 있으며, 이러한 기능은 보안 관리 모듈(310)을 통해 제공될 수 있다.The administrator of a target system (i.e., target service) that operates as a management service in a cloud environment and requires security suitability verification can access the management server 300. Administrators can register the security policy of the target system they manage and set processing methods and contents according to security requirements, and these functions can be provided through the security management module 310.

예를 들어, 관리자가 자신의 서비스 운용 환경(예: 서비스 운용 모듈(220))에 적용할 보안 정책 템플릿에 기반하여 보안 정책을 작성할 수 있다. 이 경우, 작성된 보안 정책은 대상 서비스 운용 환경(예: 서비스 운용 모듈(220))에 플러그인 되어 있는 프록시 모듈(예: 보안 검증 모듈(230))에 설정된다. 이를 통해, 작성된 보안 정책에 따라 서비스 운용 환경(예: 서비스 운용 모듈(220))의 보안 적합성을 검증하고, 보안 요구 사항을 준수하도록 강제화 할 수 있는 효과가 있다.For example, an administrator may create a security policy based on a security policy template to be applied to his or her service operation environment (e.g., service operation module 220). In this case, the created security policy is set in a proxy module (e.g., security verification module 230) plugged into the target service operation environment (e.g., service operation module 220). This has the effect of verifying the security suitability of the service operation environment (e.g., service operation module 220) according to the created security policy and enforcing compliance with security requirements.

도 3은 본 명세서의 일 실시예에 따른 보안 적합성 검증 절차를 설명하기 위한 시퀀스도이다. 도 3은 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하는 것이 아니다.Figure 3 is a sequence diagram for explaining the security compliance verification procedure according to an embodiment of the present specification. Figure 3 is merely for convenience of explanation and does not limit the scope of the present invention.

도 3을 참조하면, 보안 적합성 검증 절차는 사용자 단말기(100), 서비스 운용 장치(200)를 구성하는 네트워크 보안 모듈(210), 서비스 운용 모듈(220) 및 보안 검증 모듈(230), 및 보안 관리 모듈(310)에 의해 수행될 수 있다. 여기에서, 보안 검증 모듈(230)은 보안 관리 모듈(310)의 동작에 의해 서비스 운용 장치(200)(본 명세서에서 서비스 운용 환경을 의미하는 것일 수 있음)에 설치된 경우가 가정된다.Referring to FIG. 3, the security suitability verification procedure includes the user terminal 100, the network security module 210, the service operation module 220, and the security verification module 230, which constitute the service operation device 200, and security management. It may be performed by module 310. Here, it is assumed that the security verification module 230 is installed in the service operation device 200 (which may mean the service operation environment in this specification) by the operation of the security management module 310.

보안 관리 모듈(310)은 대상 서비스 설정을 수행할 수 있다(S310). The security management module 310 may perform target service settings (S310).

예를 들어, 관리자는 보안 관리 모듈(310)을 통해 보안 적합성 검증을 수행하고자하는 대상 서비스를 설정할 수 있다. 보안 관리 모듈(310)은 서비스 타입(type), 보안 정책 목록, 보안 컴플라이언스 탬플릿 등에 대한 설정을 수행할 수 있다.For example, an administrator can set a target service for which security suitability verification is to be performed through the security management module 310. The security management module 310 can perform settings for service type, security policy list, security compliance template, etc.

여기에서, 관리자는 보안 적합성 검증 정책의 관리 주체로, 서비스 운용 장치(200)의 관리자이며, 관리 서버의 사용자일 수 있다. 이 경우, 해당 관리자는 보안 검증 모듈(230)을 서비스 운용 환경에 설치할 수 있는 권한이 있어야할 수 있다.Here, the administrator is the management subject of the security compliance verification policy, is the administrator of the service operation device 200, and may be a user of the management server. In this case, the administrator may need to have the authority to install the security verification module 230 in the service operation environment.

보안 관리 모듈(310)은 하나 이상의 서비스들을 위한 하나 이상의 보안 검증 모듈들을 제어할 수 있다. 도 3은 하나의 보안 검증 모듈(230)에 대한 동작만을 도시하고 있지만, 도 3에서 설명되는 방식이 다수의 서비스 운용 환경들에 대해서도 확장되어 적용될 수 있음은 물론이다.The security management module 310 may control one or more security verification modules for one or more services. Although FIG. 3 shows only the operation of one security verification module 230, it goes without saying that the method described in FIG. 3 can be expanded and applied to multiple service operation environments.

보안 관리 모듈(310)은 서비스 운용 환경에 설치된 보안 검증 모듈(230)에 대해 보안 정책을 설정할 수 있다(S320). 이 경우, 보안 관리 모듈(310)은 보안 검증 모듈(230)에 대한 프록시 이름, IP 주소(Internet Protocol address), 인증키 등을 이용하여 해당 보안 검증 모듈(230)을 관리할 수 있다.The security management module 310 may set a security policy for the security verification module 230 installed in the service operation environment (S320). In this case, the security management module 310 may manage the security verification module 230 using the proxy name, IP address (Internet Protocol address), authentication key, etc. for the security verification module 230.

예를 들어, 보안 관리 모듈(310)은 관리자의 설정 및 보안 정책 등에 기반하여 보안 검증 모듈의 동작 환경을 설정할 수 있다. 구체적으로, 보안 관리 모듈(310)은 보안 정책에 따른 보안 적합성을 검증하기 위한 보안 항목별 기본 값 및 설정 내용을 보안 검증 모듈(230)에 대해 설정할 수 있다.For example, the security management module 310 may set the operating environment of the security verification module based on the administrator's settings and security policy. Specifically, the security management module 310 may set default values and settings for each security item for the security verification module 230 to verify security suitability according to the security policy.

사용자는 사용자 단말기(100)를 통해 서비스 이용 요청을 수행할 수 있다(S330). 여기에서, 사용자는 서비스 운용 장치(200)에 접속하여 서비스를 이용하는 주체일 수 있다. 이 경우, 사용자는 서비스의 프로그램, 어플리케이션 등을 통해 서비스에 접속할 수 있다.The user may request service use through the user terminal 100 (S330). Here, the user may be a subject who accesses the service operation device 200 and uses the service. In this case, the user can access the service through the service's programs, applications, etc.

사용자의 요청을 받은 서비스 운용 장치(200)는 네트워크 보안 모듈(210)을 통해 설정된 네트워크 보안 정책에 따라 보안 검증 모듈(230)로 요청 패킷을 포워딩(forwarding)할 수 있다(S340). 예를 들어, 네트워크 보안 모듈(210)은 사용자 단말기(100)로부터 전달 받은 서비스 이용 요청 패킷에 대한 네트워크 보안 검사를 수행하여, 검사에 통과된 요청 패킷을 보안 검증 모듈(230)로 포워딩할 수 있다.The service operation device 200 that has received the user's request may forward the request packet to the security verification module 230 according to the network security policy set through the network security module 210 (S340). For example, the network security module 210 may perform a network security check on the service use request packet received from the user terminal 100 and forward the request packet that passes the check to the security verification module 230. .

보안 검증 모듈(230)은 전달 받은 요청 패킷에 대한 보안 검사를 수행할 수 있다(S350). 보안 검증 모듈(230)은 설정된 보안 적합성 기준 준수를 위한 보안 검증 기능에 따라 요청 패킷을 검사할 수 있다.The security verification module 230 may perform a security check on the received request packet (S350). The security verification module 230 may inspect the request packet according to a security verification function for compliance with set security compliance standards.

사용자의 요청 패킷이 해당 서비스에 설정된 보안 적합성 기준을 준수하는 것으로 판단되는 경우, 보안 검증 모듈(230)은 서비스 운용 모듈(220)로 검증된 요청 패킷을 전송할 수 있다(S360-1)If it is determined that the user's request packet complies with the security compliance standards set for the service, the security verification module 230 may transmit the verified request packet to the service operation module 220 (S360-1).

이와 달리, 사용자의 요청 패킷이 해당 서비스에 설정된 보안 적합성 기준을 충족하지 못하는 것으로 판단되는 경우, 보안 검증 모듈(230)은 사용자 단말기(100)로 해당 이용 요청에 대한 요청 거절을 전송할 수 있다(S360-2). On the other hand, if it is determined that the user's request packet does not meet the security suitability criteria set for the corresponding service, the security verification module 230 may transmit a request rejection for the corresponding use request to the user terminal 100 (S360) -2).

추가적으로, 이 경우, 보안 검증 모듈(230)은 해당 패킷에 대한 거절 사유 및 처리 로그에 대한 정보를 관리 서버(300)의 보안 관리 모듈(310)로 전송할 수 있다(S365). 이를 통해, 보안 관리 모듈(310)에서는 해당 서비스에 대한 보안 적합성 위험도 및/또는 처리 로그에 대한 정보를 관리할 수 있다.Additionally, in this case, the security verification module 230 may transmit information about the reason for rejection and processing log for the packet to the security management module 310 of the management server 300 (S365). Through this, the security management module 310 can manage information about the security suitability risk and/or processing log for the corresponding service.

서비스 운용 모듈(220)이 보안 검증 모듈(230)로부터 검증된 요청 패킷을 전달 받은 경우, 서비스 운용 모듈(230)은 사용자의 요청 사항에 해당하는 응답 패킷을 생성하며, 생성된 응답 패킷을 보안 검증 모듈(230)로 전송할 수 있다(S370).When the service operation module 220 receives a verified request packet from the security verification module 230, the service operation module 230 generates a response packet corresponding to the user's request, and security verifies the generated response packet. It can be transmitted to module 230 (S370).

보안 검증 모듈(230) 전달 받은 응답 패킷에 대한 보안 검사를 수행할 수 있다(S380). 보안 검증 모듈(230)은 설정된 보안 적합성 기준 준수를 위한 보안 검증 기능에 따라 응답 패킷을 검사할 수 있다.The security verification module 230 may perform a security check on the received response packet (S380). The security verification module 230 may inspect the response packet according to a security verification function for compliance with the set security compliance standards.

서비스 운용 모듈(220)의 응답 패킷이 해당 서비스에 설정된 보안 적합성 기준을 준수하는 것으로 판단되는 경우, 보안 검증 모듈(230)은 사용자 단말기(100)로 검증된 응답 패킷을 전송할 수 있다(S390-1)If it is determined that the response packet of the service operation module 220 complies with the security compliance standards set for the corresponding service, the security verification module 230 may transmit the verified response packet to the user terminal 100 (S390-1 )

이와 달리, 서비스 운용 모듈(220)의 응답 패킷이 해당 서비스에 설정된 보안 적합성 기준을 충족하지 못하는 것으로 판단되는 경우, 보안 검증 모듈(230)은 서비스 운용 모듈(220)로 해당 응답 패킷에 대한 응답 거절을 전송할 수 있다(S390-2).On the other hand, if it is determined that the response packet of the service operation module 220 does not meet the security suitability criteria set for the service, the security verification module 230 rejects the response packet to the service operation module 220. can be transmitted (S390-2).

보안 검증 모듈(230)은 보안 검사에 대한 수행 결과를 관리 서버(300)의 보안 관리 모듈(310)로 전송할 수 있다(S365). 예를 들어, 보안 검증 모듈(230)은 설정된 보안 기능 수행 절차에 따라 지속적으로 해당 서비스에 대한 보안 적합성 준수 여부를 점검하며, 점검에 대한 결과를 보안 관리 모듈(310)로 전송할 수 있다.The security verification module 230 may transmit the results of the security check to the security management module 310 of the management server 300 (S365). For example, the security verification module 230 may continuously check compliance with security suitability for the corresponding service according to the set security function performance procedure and transmit the results of the inspection to the security management module 310.

이 경우, 보안 검사에 대한 결과 전송(즉, 결과 보고)은 보안 검사가 수행된 이후에 수행되거나 및/또는 미리 설정된 주기마다 보고되도록 설정될 수도 있다. 일 예로, 결과가 전송되는 주기에 대한 정보는 보안 관리 모듈(310)에 의해 보안 검증 모듈(230)로 전달될 수 있다. In this case, transmission of results for the security check (i.e., result reporting) may be performed after the security check is performed and/or may be set to be reported at preset intervals. As an example, information about the period in which results are transmitted may be transmitted to the security verification module 230 by the security management module 310.

보안 검사에 대한 결과는 보안 위험 요소, 보안 위험 횟수, 보안 위험이 발생한 서비스 유형, 보안 위험이 발생한 시간, 로그 기록 등에 대한 정보를 포함할 수 있다.The results of the security check may include information about security risk factors, number of security risks, type of service where the security risk occurred, time when the security risk occurred, log records, etc.

이를 통해, 보안 관리 모듈(310)에서는 해당 서비스에 대한 보안 적합성 위험도 및/또는 처리 로그에 대한 정보를 체계적으로 관리할 수 있다.Through this, the security management module 310 can systematically manage information about the security suitability risk and/or processing log for the corresponding service.

도 4는 본 명세서의 일 실시예에 따른 보안 요구 사항 중 사용자의 식별 및 인증과 관련된 통제 절차의 예시를 나타낸다. 도 4는 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하지 않는다.Figure 4 shows an example of a control procedure related to user identification and authentication among the security requirements according to an embodiment of the present specification. Figure 4 is merely for convenience of explanation and does not limit the scope of the present invention.

도 4를 참조하면, 사용자는 사용자 단말기(100)를 이용하여 ID 및 비밀번호(password, PW)를 입력하며, CASB 프록시 모듈(예: 보안 검증 모듈(230))은 이에 대해 식별 및/또는 인증 보안 정책에 기반하여 보안 적합성을 검증할 수 있다. 여기에서, 보안 정책은 관리 서버(300)의 관리자에 의해 작성되며, 서비스 관리 환경(예: 보안 관리 모듈(310))에 의해 CASB 프록시 모듈로 설정될 수 있다.Referring to FIG. 4, the user enters an ID and password (PW) using the user terminal 100, and the CASB proxy module (e.g., security verification module 230) identifies and/or authenticates security for this. Security compliance can be verified based on policy. Here, the security policy is created by the administrator of the management server 300 and may be set to the CASB proxy module by the service management environment (eg, security management module 310).

즉, CASB 프록시 모듈은 대상 서비스에 로그인하는 모든 사용자의 요청 정보를 확인하여 보안 요구 사항이 충족되는지 검증하며, 준수하지 않는 요청이 발생하는 경우 이를 차단하고 로그를 기록할 수 있다.In other words, the CASB proxy module checks the request information of all users logging into the target service to verify that security requirements are met, and if a non-compliant request occurs, it can block and log it.

도 5는 본 명세서의 일 실시예에 따른 보안 관리 모듈을 이용한 보안 정책 관리의 예시를 나타낸다. 도 5는 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하지 않는다.Figure 5 shows an example of security policy management using a security management module according to an embodiment of the present specification. Figure 5 is merely for convenience of explanation and does not limit the scope of the present invention.

도 5를 참조하면, 관리자(Admin)는 보안 관리 모듈(310)을 이용하여 보안 적합성 검증을 수행하고자 하는 서비스에 대한 보안 정책을 관리할 수 있다. 예를 들어, 보안 정책 관리는 보안 정책 목록의 추가 또는 삭제, 보안 정책 관련 탬플릿(예: 보안 컴플라이언스 탬플릿)의 추가 또는 삭제, 보안 항목별 기본 값 및 설정 내용 등에 기반하여 수행될 수 있다. Referring to FIG. 5, the administrator (Admin) can use the security management module 310 to manage the security policy for the service for which security suitability verification is to be performed. For example, security policy management may be performed based on addition or deletion of the security policy list, addition or deletion of security policy-related templates (e.g., security compliance templates), default values and settings for each security item, etc.

일 예로, 도 5에서 설명되는 보안 정책 관리는 도 3에서 설명된 대상 서비스 설정 단계(S310) 및/또는 보안 정책 설정 단계(S320)에서 수행되는 것일 수 있다.As an example, the security policy management described in FIG. 5 may be performed in the target service setting step (S310) and/or the security policy setting step (S320) described in FIG. 3.

도 6은 본 명세서의 일 실시예에 따른 보안 관리 모듈을 이용한 보안 검증 모듈 관리의 예시를 나타낸다. 도 6은 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하지 않는다.Figure 6 shows an example of security verification module management using a security management module according to an embodiment of the present specification. Figure 6 is merely for convenience of explanation and does not limit the scope of the present invention.

도 6을 참조하면, 관리자(Admin)는 보안 관리 모듈(310)을 이용하여 보안 검증 모듈(230)을 관리할 수 있다. 도 6에서 도시된 CASB Proxy는 본 명세서에서 설명되는 보안 검증 모듈(230)에 해당할 수 있다.Referring to FIG. 6, an administrator (Admin) can manage the security verification module 230 using the security management module 310. The CASB Proxy shown in FIG. 6 may correspond to the security verification module 230 described herein.

보안 관리 모듈(310)은 다수의 서비스들(예: 다수의 기본 서버(origin server)등)에 대한 보안 검증 모듈을 관리할 수 있다. 예를 들어, 관리자는 보안 관리 모듈(310)을 이용하여, 특정 서비스(즉, 특정 기본 서버)를 선택하며, 보안 검증 모듈의 동작 상태(예: Proxy 동작 상태), 관리 접속의 활성화 상태, 위험도, 보안 검증 모듈의 등록 정보(예: Proxy 등록 정보), 보안 검증 모듈의 보안 정책(예: Proxy 보안 정책), 보안 검증 모듈의 관리 데이터(예: Proxy 관리 로그), 보안 검증 모듈의 위험 탐지 데이터(예: Proxy 수집 데이터) 등을 관리할 수 있다.The security management module 310 can manage security verification modules for multiple services (eg, multiple origin servers, etc.). For example, the administrator uses the security management module 310 to select a specific service (i.e., a specific basic server), the operation status of the security verification module (e.g., Proxy operation status), the activation status of the management connection, and the risk level. , Registration information of the security verification module (e.g. Proxy properties), security policy of the security verification module (e.g. Proxy security policy), management data of the security verification module (e.g. Proxy management log), risk detection data of the security verification module. (e.g. Proxy collected data) can be managed.

도 7은 본 명세서의 일 실시예에 따른 보안 적합성 검증 절차의 에이전트 방식 예시를 나타낸다. 도 7은 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하지 않는다.Figure 7 shows an example of an agent method of a security conformance verification procedure according to an embodiment of the present specification. Figure 7 is merely for convenience of explanation and does not limit the scope of the present invention.

도 7을 참조하면, CASB Proxy는 본 명세서에서 설명된 보안 검증 모듈(230)에 해당하고, Policy Manager는 본 명세서에서 설명된 보안 관리 모듈(310)에 해당할 수 있다. Referring to FIG. 7, the CASB Proxy may correspond to the security verification module 230 described in this specification, and the Policy Manager may correspond to the security management module 310 described in this specification.

예를 들어, 도 7에 도시된 절차와 같이, 보안 검증 모듈(230)에 의해 발생된 로그(들)은 사용자 운용 장치(200)에 포함되는 로그 수집 모듈(예: Log Collector)에 수집되어 관리 서버(300)에 포함되는 로그 관리 모듈(Log Manager)로 전달될 수 있다. 로그 관리 모듈로 전달된 로그들은 AI(Artificial Intelligence) 분석 등을 통해 보안 관리 모듈(310)로 전달될 수 있다. 이를 통해, 보안 관리 모듈(310)은 로그 데이터에 기반한 보안 위험도 관리를 수행할 수 있다.For example, as shown in the procedure shown in FIG. 7, log(s) generated by the security verification module 230 are collected and managed in a log collection module (e.g., Log Collector) included in the user operation device 200. It may be delivered to the log management module (Log Manager) included in the server 300. Logs delivered to the log management module may be delivered to the security management module 310 through AI (Artificial Intelligence) analysis, etc. Through this, the security management module 310 can perform security risk management based on log data.

또한, 로그 관리과 관련하여, 보안 검증 모듈(230) 및 보안 관리 모듈(310)은 에이전트 방식으로 동작할 수도 있다. 도 7에 도시된 것과 같이, 에이전트 방식의 보안 검증은 보안 적합성 검증의 항목 중 서비스 운용 장치의 운용 환경에 내재한 보안 취약성을 탐지하고, 해당 취약성에 대한 탐지 정보를 관리자에게 전달하는 방식으로 수행될 수 있다.Additionally, in relation to log management, the security verification module 230 and the security management module 310 may operate in an agent manner. As shown in Figure 7, agent-based security verification is performed by detecting security vulnerabilities inherent in the operating environment of the service operation device among the security suitability verification items and delivering detection information about the vulnerabilities to the administrator. You can.

예를 들어, 도 3에서 설명된 동작에서, 보안 검증 모듈(230)은 사용자 단말기(100)로부터의 요청 패킷이 아닌, 보안 검증 모듈(230)에서 자체적으로 발생시킨 탐지(probe) 패킷에 대해 보안 적합성 검증을 수행할 수 있다. 해당 보안 적합성 검증 수행(즉, 제1 보안 적합성 검증)에 따라 적합한 경우, 보안 검증 모듈(230)은 탐지 패킷을 서비스 운용 모듈(220)로 전송하고 이에 대한 응답 패킷을 수신하여 이에 대한 보안 적합성 검증(즉, 제2 보안 적합성 검증)을 추가적으로 수행할 수 있다. 이를 통해, 보안 검증 모듈(230)은 서비스 운용 환경 보안에 대한 탐지 로그를 생성하도록 제어할 수 있으며, 로그 수집 모듈 등에 의해 보안 취약성 탐지 수행의 결과가 수집될 수 있다. For example, in the operation described in FIG. 3, the security verification module 230 performs security checks on a probe packet generated by the security verification module 230 itself, rather than a request packet from the user terminal 100. Conformity verification can be performed. If appropriate according to the security conformance verification performance (i.e., first security conformance verification), the security verification module 230 transmits a detection packet to the service operation module 220 and receives a response packet to verify security conformance thereto. (i.e., a second security conformance verification) may be additionally performed. Through this, the security verification module 230 can be controlled to generate a detection log for the security of the service operating environment, and the results of security vulnerability detection can be collected by a log collection module, etc.

이와 같이 수집된 정보(예: 탐지 로그, 보안 취약성 담지 수행의 결과 등)는 관리 서버(300)의 로그 관리 모듈 등으로 전달될 수 있으며, 해당 정보에 기반하여 보안 관리 모듈(310)은 해당 서비스의 보안 위험도에 대한 관리를 수행할 수 있다.Information collected in this way (e.g., detection log, results of security vulnerability detection, etc.) may be transmitted to the log management module of the management server 300, and based on the information, the security management module 310 may provide the corresponding service. Security risk management can be performed.

상술한 바를 참고할 때, 본 명세서에서 제안하는 보안 적합성 검증 시스템 및/또는 방법에 있어서, 보안 정책의 달성을 위한 검증 내용에 따라 프록시(proxy) 방식과 에이전트(agent) 방식이 병행하여 동작하도록 설정될 수도 있다.Referring to the above, in the security conformance verification system and/or method proposed in this specification, the proxy method and agent method may be set to operate in parallel depending on the verification content for achieving the security policy. It may be possible.

도 8은 본 명세서의 일 실시예에 따른 보안 관리 모듈에서의 보안 위험도 관리의 예시를 나타낸다. 도 8은 단지 설명의 편의를 위한 것일 뿐, 본 발명의 범위를 제한하지 않는다.Figure 8 shows an example of security risk management in the security management module according to an embodiment of the present specification. Figure 8 is merely for convenience of explanation and does not limit the scope of the present invention.

도 8을 참조하면, 관리자(Admin)는 보안 관리 모듈(310)을 통해 보안 통계, AI 위험도 평가, 위험 등급별 건수, 위험 이벤트 목록, 알림 내역, 로그 데이터 검색, 서비스 통계 등에 대한 정보를 획득할 수 있으며, 이를 관리할 수 있다. 일 예로, 서비스 통계는 서비스 별 사용량, 사용 어플리케이션 통계, 비허용 어플리케이션 사용률 등에 대한 정보를 포함할 수 있으며, 이들은 별도의 팝 업(pop-up) 창 형태로 표시될 수도 있다.Referring to FIG. 8, the Admin can obtain information on security statistics, AI risk assessment, number of cases by risk level, risk event list, notification history, log data search, service statistics, etc. through the security management module 310. and it can be managed. As an example, service statistics may include information on usage by service, application statistics used, usage rate of unauthorized applications, etc., and these may be displayed in the form of a separate pop-up window.

지금까지 도면을 통해 실시 예들에 따른 보안 적합성 검증 시스템에 대해 자세히 알아보았다.So far, we have looked in detail at the security suitability verification system according to the embodiments through the drawings.

본 명세서의 예시적 실시예에 따르면, 서비스는 별도의 보안 기능 개발 및 서비스 변경 없이 국가에서 요구하는 보안 요구 사항을 충족할 수 있는 장점이 있다. 또한, 본 명세서의 예시적 실시예에 따르면, 보안 요구 사항이 변경되거나 추가될 경우에도, 보안 적합성 검증 시스템에 대해 보안 정책 템플릿을 변경하거나 추가하여, 효율적으로 대상 서비스에 대한 보안 적합성 검증 요건이 만족될 수 있도록 제어하는 효과가 있다.According to the exemplary embodiment of the present specification, the service has the advantage of being able to meet national security requirements without developing separate security functions and changing the service. In addition, according to an exemplary embodiment of the present specification, even when security requirements are changed or added, the security compliance verification requirements for the target service are efficiently satisfied by changing or adding a security policy template for the security conformance verification system. It has the effect of controlling it so that it can be done.

상술한 다양한 실시 예들에 따른 구성 요소(예: 모듈, 프로그램, 장치 등) 각각은 단수 또는 복수의 개체로 구성될 수 있으며, 전술한 해당 서브 구성 요소들 중 일부 서브 구성 요소가 생략되거나, 또는 다른 서브 구성 요소가 다양한 실시 예에 더 포함될 수 있다. 대체적으로 또는 추가적으로, 일부 구성 요소들(예: 모듈, 프로그램, 장치 등)은 하나의 개체로 통합되어, 통합되기 이전의 각각의 해당 구성 요소에 의해 수행되는 기능을 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따른 모듈, 프로그램 또는 다른 구성 요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱하게 실행되거나, 적어도 일부 동작이 다른 순서로 실행되거나, 또는 다른 동작이 추가될 수 있다.Each component (e.g., module, program, device, etc.) according to the various embodiments described above may be composed of a single or multiple entities, and some of the sub-components described above may be omitted, or other sub-components may be omitted. Sub-components may be further included in various embodiments. Alternatively or additionally, some components (e.g. modules, programs, devices, etc.) may be integrated into a single entity and perform the same or similar functions performed by each corresponding component prior to integration. . Operations performed by modules, programs, or other components according to various embodiments may be executed sequentially, in parallel, repeatedly, or heuristically, at least some operations may be executed in a different order, or other operations may be added.

또한, 이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.Additionally, the device described above may be implemented with hardware components, software components, and/or a combination of hardware components and software components. For example, devices and components described in embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA), It may be implemented using one or more general-purpose or special-purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. A processing device may perform an operating system (OS) and one or more software applications that run on the operating system. Additionally, a processing device may access, store, manipulate, process, and generate data in response to the execution of software. For ease of understanding, a single processing device may be described as being used; however, those skilled in the art will understand that a processing device includes multiple processing elements and/or multiple types of processing elements. It can be seen that it may include. For example, a processing device may include multiple processors or one processor and one controller. Additionally, other processing configurations, such as parallel processors, are possible.

또한, 소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Additionally, software may include computer programs, code, instructions, or a combination of one or more of these, and may configure a processing unit to operate as desired, either independently or collectively. ) can command the processing unit. Software and/or data may be used on any type of machine, component, physical device, virtual equipment, computer storage medium or device to be interpreted by or to provide instructions or data to a processing device. It can be embodied in . Software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored on one or more computer-readable recording media.

또한, 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DR와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Additionally, the method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and configured for the embodiment or may be known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DRs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc.

이상에서와 같이 도면과 명세서에서 예시적인 실시예들이 개시되었다. 본 명세서에서 특정한 용어를 사용하여 실시예들을 설명되었으나, 이는 단지 본 개시의 기술적 사상을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 청구범위에 기재된 본 개시의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 개시의 진정한 기술적 보호범위는 첨부된 청구범위의 기술적 사상에 의해 정해져야 할 것이다.As above, exemplary embodiments have been disclosed in the drawings and specification. In this specification, embodiments have been described using specific terms, but this is only used for the purpose of explaining the technical idea of the present disclosure and is not used to limit the meaning or scope of the present disclosure described in the claims. Therefore, those skilled in the art will understand that various modifications and other equivalent embodiments are possible therefrom. Therefore, the true technical protection scope of the present disclosure should be determined by the technical spirit of the attached claims.

100: 사용자 단말기 200: 서비스 운용 장치
210: 네트워크 보안 모듈 220: 서비스 운용 모듈
230: 보안 검증 모듈 300: 관리 서버
310: 보안 관리 모듈100: user terminal 200: service operation device
210: network security module 220: service operation module
230: Security verification module 300: Management server
310: Security management module

Claims (7)

보안 적합성 검증 시스템에 있어서,
사용자 단말기;
서비스 운용 모듈 및 보안 검증 모듈을 포함하는 서비스 운용 장치; 및
보안 관리 모듈을 포함하는 관리 서버를 포함하되,
상기 보안 관리 모듈은 보안 적합성 검증을 수행할 특정 서비스를 설정하고, 상기 특정 서비스에 해당하는 보안 정책에 대한 정보를 상기 보안 검증 모듈에 설정하고,
상기 보안 정책에 대한 정보에 기반하여, 상기 보안 검증 모듈은 상기 사용자 단말기의 요청 패킷 또는 상기 보안 검증 모듈의 탐지 패킷에 대한 제1 보안 적합성 검증을 수행하고, 상기 서비스 운용 모듈로부터 상기 요청 패킷 또는 탐지 패킷에 응답하여 수신된 응답 패킷에 대한 제2 보안 적합성 검증을 수행하는 것을 특징으로 하는, 보안 적합성 검증 시스템In the security conformance verification system,
user terminal;
A service operation device including a service operation module and a security verification module; and
A management server including a security management module,
The security management module sets a specific service to perform security compliance verification, and sets information about the security policy corresponding to the specific service in the security verification module,
Based on the information about the security policy, the security verification module performs a first security conformity verification on the request packet of the user terminal or the detection packet of the security verification module, and the request packet or detection packet from the service operation module. A security conformance verification system, characterized in that performing a second security conformance verification on a response packet received in response to the packet. 제 1항에 있어서,
상기 보안 검증 모듈은,
상기 제1 보안 적합성 검증 및 상기 제2 보안 적합성 검증에 대한 결과 정보를 상기 보안 관리 모듈로 전송하는 것을 특징으로 하는, 보안 적합성 검증 시스템According to clause 1,
The security verification module is,
A security conformance verification system, characterized in that the result information for the first security conformance verification and the second security conformance verification is transmitted to the security management module. 제 2항에 있어서,
상기 결과 정보는 미리 설정된 주기에 기반하여 상기 보안 관리 모듈로 전송되며,
상기 미리 설정된 주기에 대한 정보는 상기 보안 관리 모듈에 의해 상기 보안 검증 모듈로 전달되는 것을 특징으로 하는, 보안 적합성 검증 시스템According to clause 2,
The result information is transmitted to the security management module based on a preset cycle,
A security conformance verification system, characterized in that the information about the preset cycle is transmitted to the security verification module by the security management module. 제 1항에 있어서,
상기 요청 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈은 상기 요청 패킷에 대한 요청 거절 정보를 상기 사용자 단말기로 전송하는 것을 특징으로 하는, 보안 적합성 검증 시스템According to clause 1,
If the request packet does not satisfy the security policy, the security verification module transmits request rejection information for the request packet to the user terminal. 제 1항에 있어서,
상기 응답 패킷이 상기 보안 정책을 만족하지 않는 경우, 상기 보안 검증 모듈은 상기 응답 패킷에 대한 응답 거절 정보를 상기 서비스 운용 모듈로 전송하는 것을 특징으로 하는, 보안 적합성 검증 시스템According to clause 1,
If the response packet does not satisfy the security policy, the security verification module transmits response rejection information for the response packet to the service operation module. 제 1항에 있어서,
상기 보안 정책에 대한 정보는, 상기 특정 서비스의 보안 정책에 따른 하나이상의 보안 항목들에 대한 정보 및 보안 항목 별 기본 값에 대한 정보를 포함하는 것을 특징으로 하는, 보안 적합성 검증 시스템According to clause 1,
The information about the security policy includes information about one or more security items according to the security policy of the specific service and information about the default value for each security item. 제 1항에 있어서,
상기 서비스 운용 장치는 로그 수집 모듈을 더 포함하고,
상기 관리 서버는 로그 관리 모듈을 더 포함하되,
상기 로그 수집 모듈은 상기 제1 보안 적합성 검증 및 상기 제2 보안 적합성 검증에 따른 로그 기록 또는 보안 취약성 탐지 수행의 결과 중 적어도 하나를 수집하고, 상기 수집된 로그 기록 또는 상기 결과 중 적어도 하나를 상기 로그 관리 모듈로 전송하고,
상기 로그 기록 또는 상기 결과 중 적어도 하나에 기반하여, 상기 보안 관리 모듈은 상기 특정 서비스의 위험도 정보를 관리하도록 설정되는 것을 특징으로 하는, 보안 적합성 검증 시스템
According to clause 1,
The service operation device further includes a log collection module,
The management server further includes a log management module,
The log collection module collects at least one of log records according to the first security suitability verification and the second security suitability verification or a result of security vulnerability detection, and records at least one of the collected log records or the results into the log. send to the management module,
Based on at least one of the log record or the result, the security management module is set to manage risk information of the specific service.
KR1020240018995A 2022-01-14 2024-02-07 Method for bothways security conformity verification and apparatus thereof KR20240023568A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020240018995A KR20240023568A (en) 2022-01-14 2024-02-07 Method for bothways security conformity verification and apparatus thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020220006118A KR102636628B1 (en) 2022-01-14 2022-01-14 Method for security conformity verification and apparatus thereof
KR1020240018995A KR20240023568A (en) 2022-01-14 2024-02-07 Method for bothways security conformity verification and apparatus thereof

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020220006118A Division KR102636628B1 (en) 2022-01-14 2022-01-14 Method for security conformity verification and apparatus thereof

Publications (1)

Publication Number Publication Date
KR20240023568A true KR20240023568A (en) 2024-02-22

Family

ID=87429987

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020220006118A KR102636628B1 (en) 2022-01-14 2022-01-14 Method for security conformity verification and apparatus thereof
KR1020240018995A KR20240023568A (en) 2022-01-14 2024-02-07 Method for bothways security conformity verification and apparatus thereof

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020220006118A KR102636628B1 (en) 2022-01-14 2022-01-14 Method for security conformity verification and apparatus thereof

Country Status (1)

Country Link
KR (2) KR102636628B1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101273519B1 (en) * 2011-12-29 2013-06-17 주식회사 시큐아이 Service access control device and method
JP2019139621A (en) * 2018-02-14 2019-08-22 日本電信電話株式会社 Authentication and approval information integration device and authentication and approval information integration method
KR102120225B1 (en) * 2018-05-30 2020-06-08 (주)유엠로직스 Access control management system and method of 4-tier type CASB
KR102345866B1 (en) * 2021-05-13 2022-01-03 주식회사 엠엘소프트 Server System and Communication Security Method for User Devices Performed in the Server System

Also Published As

Publication number Publication date
KR20230110065A (en) 2023-07-21
KR102636628B1 (en) 2024-02-15

Similar Documents

Publication Publication Date Title
US20170208099A1 (en) Standards compliance for computing data
US20130198827A1 (en) Service compliance enforcement using user activity monitoring and work request verification
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
US20130347085A1 (en) Data exfiltration attack simulation technology
US20150381650A1 (en) Computer system for distributed discovery of vulnerabilities in applications
US10491621B2 (en) Website security tracking across a network
US20140136681A1 (en) Enterprise Application Session Control and Monitoring in a Large Distributed Environment
US9160545B2 (en) Systems and methods for A2A and A2DB security using program authentication factors
CN110213215A (en) A kind of resource access method, device, terminal and storage medium
US20170331826A1 (en) Hybrid database access control in external-to-database security systems
US20220321602A1 (en) Frictionless supplementary multi-factor authentication for sensitive transactions within an application session
WO2019240604A1 (en) Device, system and method for cyber security managing in a remote network
US10848491B2 (en) Automatically detecting a violation in a privileged access session
CN116319024A (en) Access control method and device of zero trust system and zero trust system
US11170080B2 (en) Enforcing primary and secondary authorization controls using change control record identifier and information
US9268917B1 (en) Method and system for managing identity changes to shared accounts
KR101201629B1 (en) Cloud computing system and Method for Security Management for each Tenant in Multi-tenancy Environment
CN108133150B (en) Contract data-based security management system, storage medium and electronic terminal
KR102636628B1 (en) Method for security conformity verification and apparatus thereof
CN111212077A (en) Host access system and method
Alsaleh et al. Roi-driven cyber risk mitigation using host compliance and network configuration
US11716345B1 (en) System and method for automating security configuration standards assessments and mitigations
Scott-Hayward Trailing the snail: SDN controller security evolution
CN108347411B (en) Unified security guarantee method, firewall system, equipment and storage medium
Dauer et al. Security analysis of software defined networking applications for monitoring and measurement: sflow and bigtap

Legal Events

Date Code Title Description
A107 Divisional application of patent