KR20240104698A - 미식별 자산의 위협도를 평가하는 방법 및 그 장치 - Google Patents

미식별 자산의 위협도를 평가하는 방법 및 그 장치 Download PDF

Info

Publication number
KR20240104698A
KR20240104698A KR1020220187190A KR20220187190A KR20240104698A KR 20240104698 A KR20240104698 A KR 20240104698A KR 1020220187190 A KR1020220187190 A KR 1020220187190A KR 20220187190 A KR20220187190 A KR 20220187190A KR 20240104698 A KR20240104698 A KR 20240104698A
Authority
KR
South Korea
Prior art keywords
information
data
server
threat level
unit
Prior art date
Application number
KR1020220187190A
Other languages
English (en)
Inventor
양종헌
김형석
문현종
조재일
서상덕
김재기
Original Assignee
주식회사 에스투더블유
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스투더블유 filed Critical 주식회사 에스투더블유
Priority to KR1020220187190A priority Critical patent/KR20240104698A/ko
Priority to US18/543,564 priority patent/US20240323213A1/en
Publication of KR20240104698A publication Critical patent/KR20240104698A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 실시 예에 따른 데이터의 위협도 도출 장치는 서버에 포함된 하나 이상의 서비스에 대한 정보 및 호스트 정보를 포함하는 네트워크 정보를 확인하는 제1스캐닝부; 서버에 공개된 데이터를 확인하고 상기 확인된 데이터 및 기 저장된 단어들 중 적어도 하나를 조합하여 복수의 데이터 세트들을 생성하는 제2스캐닝부; 및 상기 네트워크 정보 및 상기 복수의 데이터 세트들에 기반하여 위협도를 분석하는 위협도 분석부; 를 포함할 수 있다.

Description

미식별 자산의 위협도를 평가하는 방법 및 그 장치 {METHOD FOR ASSESSING UNIDENTIFIED ASSET AND APPARATUS FOR THE SAME}
미식별 자산 즉, 관리자 또는 사용자에 의해 관리되지 못하거나 식별되지않거나 식별되지 못하는 정보, 데이터 등의 위협도를 평가하는 방법, 장치 및 그 시스템이 개시된다. 구체적으로 미식별 자산 즉, 외부에 공개되는 데이터를 넘어 외부에 크게 노출되지 아니하거나 쉽게 노출되지 않는 데이터, 네트워크 정보, 설정 정보 등을 조회/탐지하고, 이들을 분석하여 대상 서버(들) 또는 서비스(들)의 위협도 (또는 위험에 노출된 정보, 보안의 취약도 등)을 분석하는 사이버 위협 인텔리전스(Cyber Threat Intelligence) 시스템이 개시된다.
정보자산 내의 정보의 중요성과 정보의 양이 커짐에 따라, 네트워크 상 보안의 중요성 역시 대두되었다. 정보자산의 보안을 위하여 통합보안관리시스템, 위협관리시스템, 방화벽 등의 보안장비 및 보안시스템이 사용되고 있다. 현재 지속적이고 가변성인 사이버 침해 시도 증가에 따라 많은 양의 보안이벤트가 발생하고 있으며 변화하는 공격에 대한 효율적인 대응이 필요한 상황이다.
보안 취약점 진단이란 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협이나 진단대상 자산에서 관리하는 중요 데이터의 유출, 변조, 삭제에 대한 위협이 발생할 수 있는 사항들에 대하여 점검하는 것으로, 진단대상 자산에 보안취약점이 존재하고 있는지에 대한 점검 작업을 수행한 후 진단대상 자산의 보안수준을 분석하는 것을 지칭한다.
정보자산의 양이 방대해짐에 따라 보안관리자가 관리하는 진단대상자산이 많아지거나, 진단대상자산의 도입 시기가 오래 되었거나, 진단대상자산의 보안관리자가 변경되는 경우 모든 진단대상자산의 자산정보를 정확히 알고 있기 어렵고, 정확히 확인을 하기 위해서는 모든 시스템에 직접 접속해서 확인해야만 하는 번거로움이 있었다. 이에 따라 네트워크에 연결된 자산에 누락이 발생한다.
최근, 웹 서버를 통한 네트워크 서비스에 대하여 사전조사, 포트 조사, 취약점 찾기, 위협 실행의 절차를 수행함으로써 네트워크의 특정 포트를 통해 접속을 시도하고, 웹 서버에 침투하여 해킹 등의 공격을 시도하는 문제가 발생하고 있다. 이러한 네트워크 서비스를 보호하는데 있어서 선행되어야 하는 것은 네트워크에 연결된 자산을 사전이 미리 파악하고 취약점을 진단하는 것이다.
대한민국 등록 특허공보 10-2159292 (발명의 명칭: 미식별자산 인식시스템 및 그 방법 (Unidentified Asset Recognition System and Its Method; 등록일: 2020.09.17)
네트워크 상에서 노출되는 미식별 자산을 인식하고 이들의 위험성 및 위협도를 평가하는 방법, 그 장치 및 그 시스템이 개시된다.
상술한 과제를 해결하기 위한, 실시예들에 따른 데이터의 위협도 도출 장치는 서버에 포함된 하나 이상의 서비스에 대한 정보 및 호스트 정보를 포함하는 네트워크 정보를 확인하는 제1스캐닝부; 서버에 공개된 데이터를 확인하고 확인된 데이터 및 기 저장된 단어들 중 적어도 하나를 조합하여 복수의 데이터 세트들을 생성하는 제2스캐닝부; 및/또는 네트워크 정보 및 복수의 데이터 세트들에 기반하여 위협도를 분석하는 위협도 분석부; 를 포함할 수 있따.
실시예들에 따르면, 네트워크 정보는 서버에 포함된 하나 이상의 서비스 각각에 대한 배너(banner) 정보, 인증(certificate) 정보를 포함할 수 있다. 또, 제1스캐닝부는 서버의 IP 정보를 기준으로 복수의 포트(port)들을 검색함으로써, 하나 이상의 서비스 각각에 대한 배너 정보, 인증 정보를 확인할 수 있다.
나아가, 실시예들에 따른 데이터의 위협도 도출 장치는, 제1스캐닝부 또는 제2스캐닝부가 서버에 네트워크 정보 또는 서버에 공개된 데이터를 요청하는 송신부; 및/또는 요청에 기반하여 응답을 수신하기 위한 수신부; 를 더 포함할 수 있다.
더 나아가, 실시예들에 따른 송신부는 임의의 순서로 서버에 포함된 하나 이상의 서비스에 대한 네트워크 정보를 요청할 수 있다.
또한, 실시예들에 따른 제2스캐닝부는, 서버에 공개된 데이터를 일정 주기로 확인하여, 복수의 데이터 세트들을 일정 주기로 생성할 수 있다.
한편, 실시예들에 따른 데이터의 위협도 도출 장치는, 네트워크 정보를 저장하는 제1저장부; 및 복수의 데이터 세트들을 저장하는 제2저장부; 를 더 포함하고, 제2스캐닝부는 서버에 공개된 데이터를 수집한 출처를 나타내는 URL(Uniform Resource Locator) 또는 도메인(domain) 정보를 더 확인하고, 제2저장부는 서버에 공개된 데이터를 URL 또는 도메인 정보와 함께 저장할 수 있다.
더 나아가, 실시예들에 따른 서버에 공개된 데이터는 계정 정보를 더 포함하고, 제2스캐닝부는 기 저장된 단어들 중 아이디 또는 패스워드와 관련된 단어들을 조합하여 제2저장부에 조합된 결과 또는 결과의 해시값을 계정 정보와 함께 저장할 수 있다.
또한, 실시예들에 따른 위협도 분석부는, 각 서비스의 외부 공개 여부, 통신 형태가 평문인지 여부, 버전의 최신 여부, 공개된 취약점의 존재 여부, 복수의 데이터 세트들에 기반하여 인증 가능 여부 및 배너 정보에 민감 정보의 포함 여부 중 적어도 하나에 기반하여 위협도를 도출할 수 있다.
나아가, 실시예들에 따른 위협도 분석부는, HTTP와 관련된 서비스에서 제공하는 각 페이지의 외부 공개 여부, 각 페이지 내 민감 정보의 포함 여부 및 HTTP와 관련된 서비스의 외부 공개 여부에 더 기반하여 위협도를 도출할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)이 보유하고 있는 잠재적인 위험을 다양한 방면에서 탐지할 수 있어, 사용자가 직접 모든 위험성을 검토하는 방식의 에러 즉, 휴먼 에러(human error)를 줄일 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)의 네트워크 부하를 줄이고 불필요한 지연을 줄일 수 있음과 동시에, 서비스 제공에서 발생하는 방해를 줄이고 효율적으로 서버(들)의 위협도를 탐지할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버 또는 서비스 내부에서 인지하지 못하는 자산, 데이터, 네트워크 설정 등을 통해 관리하고 있는 미식별 자산 등을 빠르게 파악할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 실제 공격자의 시선으로 서비스를 바라볼 수 있어 주기적인 보안점검을 실시하는 효과를 얻을 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 기유출된 혹은 조합된 인증정보에 대해 빠르게 식별하고 추가적인 보안사고를 사전에 대비할 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템의 구성을 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템의 동작 예시를 나타내는 도면이다.
도 3은 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 방법을 나타낸다.
도 4는 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 구체적인 방법의 예시를 나타낸다.
도 5는 본 발명의 일 실시 예에 따른 서버의 구성을 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
'제1', '제2' 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있다. 이와 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. '및/또는'이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 '직접 연결되어' 있다거나 '직접 접속되어' 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 특별히 언급하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함한다(comprises)" 또는 "포함하는(comprising)" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시 예들을 설명한다. 도면에서 동일한 도면 부호는 동일한 구성요소를 나타낸다.
도 1은 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템의 구성을 도시한 도면이다.
미식별 자산의 위협도를 평가하는 시스템은 하나 이상의 서버에서 서비스로 제공하기 위하여 보유 또는 제공하고 있는 식별(identify)되는 또는 미식별되는 자산(asset)들을 인식하고, 이들의 자산들을 분석하여 이들의 위협도를 평가하고 도출한다.
미식별 자산의 위협도를 평가하는 시스템은, 대상 서버(들)이 저장하거나 공개하고 있는 데이터들 또는 실시하고 있는 서비스들(예를 들어, 계정 정보 또는 서비스들 등)을 탐지하여, 탐지된 결과물들을 분석하고, 분석한 결과 침해되거나 위협될만한 요소가 있는지 여부를 확인할 수 있다. 예를 들어, 본 발명의 시스템은, 서버가 이미 노출시키고 있는 데이터들에 기반하여 서버로부터 인증을 얻을 수 있는지, 슈퍼-유저(super-user)의 권한을 가지는 접근을 허용시킬 수 있는지, 민감한 정보를 얻어내거나 하이재킹(hijacking)할 수 있는지 등 다방면으로 보안 상의 취약점을 분석하여, 탐지된 데이터들의 위협도를 분석한다.
이를 위하여 미식별 자산의 위협도를 평가하는 시스템의 구성(10)은 네트워크 스캐닝부(100), 데이터 스캐닝부(101), 위협도 분석부(102), 알림부(103) 및 저장부(103)를 포함할 수 있다.
참고로, 도 1에서는 각 구성요소들 중 일부에 대해서만 양방향 화살표로 그 연관 관계를 표시되었으나, 도면 상의 표현의 곤란함으로 인하여 생략하였을 뿐, 모든 구성요소가 상호 연결될 수 있는 것으로 해석해야 한다. 예를 들어, 네트워크 스캐닝부(100)는 저장부(104)와 연동되어, 네트워크 스캐닝부(100)로부터 스캐닝 또는 탐지된 네트워크 정보는 저장부(104)에 얼마든지 저장될 수 있음을 유념해야 한다.
네트워크 스캐닝부(100)는 하나 이상의 서버의 네트워크 정보를 수집 또는 스캐닝(scanning)한다. 네트워크 스캐닝부(100)는 상술한 서버(들)에서 제공하는 기능들 또는 서비스들과 연관되는 호스트 정보, IP 주소 정보, 포트 정보, 기타 서버(들)을 식별할 수 있는 서지적 정보(예를 들어, MAC 주소 정보), 각 서버에서 제공하는 서비스(service)들에 대한 정보, 운영체제 정보, 위치 정보, 각 서비스의 버전 정보, 각 서비스에서 수행하는 기능 또는 메서드에 관한 정보, 서버(들)에 저장되어 있는 네트워크와 관련된 데이터들, 네트워크와 관련된 플러그인 정보, 각 네트워크 정보의 외부 공개 또는 접근성 관련 정보 등을 스캐닝 또는 검색할 수 있다.
네트워크 스캐닝부(100)는 상술한 네트워크 정보를 수집하기 위하여, 기 설정된 하나 이상의 명령어들을 순차적으로 수행할 수 있다. 예를 들어, 네트워크 스캐닝부(100)는 전 대역에 대한 IP 주소와 포트 번호를 모두 탐색하여, 서버의 호스트 정보, 서버에서 제공하는 서비스에 관한 정보, 각 서비스가 어느 포트로 제공되는지 등을 확인할 수 있다.
예를 들어, 네트워크 스캐닝부(100)는 포트스캔 방식으로 네트워크에 연결된 서비스를탐지할 수 있다. 포트스캔이란 운영 중인 서버에서 열려 있는 TCP/UDP 포트를 검색하는 것을 의미하므로, 미식별자산 인식시스템에서 포트스캔 명령을 전송하면 타겟 시스템 또는 서비스에서 리턴값을 얻을 수 있다. 이와 같은 방식으로 네트워크에 연결된 타겟시스템 및 타겟시스템이 연결된 포트를 탐지할 수 있으며, 상술한 것 외에 다른 네트워크 연결을 탐지하는 방법이 쓰일 수 있고, Nmap 등의 오픈소스가 활용될 수도 있다.
데이터 스캐닝부(101)는 서버(들)에 저장되어 있거나 노출되어 있는 계정(account) 정보를 스캐닝할 수 있다. 데이터 스캐닝부(101)는 그 뿐만 아니라 특정 사용자와 관련된 정보, 서버에 저장된 파일(file)들, 또는 이들과 관련 파일들이 저장되어 있는 디렉토리(directory)들의 계층에 관한 정보를 스캐닝할 수 있다.
데이터 스캐닝부(101)는 서버(들)가 공개적으로 또는 비공개적으로 제공하는 데이터(예를 들어, HTTP 서비스의 경우 웹 페이지의 소스 코드, JavaScript 코드 등)를 수집할 수 있고, 이들을 분석할 수 있다. 데이터 스캐닝부(101)는, HTTP 서비스로 제공하는 데이터에 대하여, 웹 페이지를 크롤링(crawling)하거나 웹 페이지에 의해 제공되는 계정 정보, 패킷(packet)들을 모두 수집할 수 있다.
데이터 스캐닝부(101)는 서버(들)가 공개적으로 또는 비공개적으로 제공하고 있는 계정 정보 또는 계정과 관련된 정보(예를 들어, 특정 사용자의 아이디 정보, 특정 사용자의 개인 정보, 특정 사용자의 이메일 정보 등)를 수집할 수 있다.
데이터 스캐닝부(101)는 서버(들)가 공개적으로 또는 비공개적으로 제공하는 데이터, 계정 정보 및/또는 계정과 관련된 정보를 제공되는 서비스 별로 분류할 수 있다.
한편, 데이터 스캐닝부(101)는 복수의 단어(word)들 또는 토큰(token)들을 포함하는 데이터 세트를 저장할 수 있다. 데이터 세트는 예를 들어, 기 설정된 문자(character) 또는 문자열(array)들의 리스트(list)로, 각 리스트의 원소(element)는 인증 정보 또는 비밀번호로 자주 사용되는 문자 또는 문자열을 포함할 수 있다. 즉, 데이터 스캐닝부(101)는 많은 사용자들이 아이디 정보 또는 패스워드 정보로 자주 사용하는 문자 또는 문자열들의 리스트인 데이터 세트를 미리 보유할 수 있다.
데이터 스캐닝부(101)는 상술한 데이터 세트에 포함된 원소들과, 상술한 방법에 기반하여 탐지된 데이터를 조합할 수 있다. 즉, 데이터 스캐닝부(101)는 서버(들)가 공개적으로 또는 비공개적으로 제공하는 데이터, 계정 정보 및/또는 계정과 관련된 정보 각각을 데이터 세트에 포함된 원소들과 조합하여, 인증 정보로 시도할 수 있는 후보들을 생성할 수 있다.
위협도 분석부(102)는 상술한 네트워크 스캐닝부(100)에 의해 수집된 네트워크 정보와, 데이터 스캐닝부(101)에 의해 수집된 데이터 또는 생성된 인증 정보로 시도할 수 있는 후보들을 이용하여, 서버(또는 서버의 각 서비스)의 위협도를 도출하고 분석한다.
알림부(103)는 위협도 분석부(102)에 의해 분석된 결과를 바탕으로, 위협도가 높을 경우 관리자 또는 사용자에게 이를 알릴 수 있다. 알림부(103)는 관리자 또는 사용자에게 알림 메시지 또는 알람 형태로 제공할 수 있다. 알림부(103)는 위협도 분석부(102)에 의해 분석된 결과를 바탕으로, 어느 데이터가 위협적인지 등을 사용자 또는 관리자에게 알릴 수 있다.
저장부(103)는, 상술한 네트워크 스캐닝부(100), 데이터 스캐닝부(101)에 의해 스캐닝된 네트워크 정보 및 서버(들)의 데이터 등을 저장할 수 있다. 저장부(103)는 서버(들)이 제공하는 서비스 별로 각 서비스와 관련된 정보 또는 관련된 데이터를 분리하여 또는 별도로 저장할 수 있다. 또 저장부(103)는 제트워크 스캐닝부(100)로부터 수집한 네트워크 정보를 저장하는 제1저장부와, 데이터 스캐닝부(101)에 의해 수집된 데이터를 저장하는 제2저장부, 및/또는 위협도 분석부(102)에 의해 분석된 결과를 저장하는 제3저장부를 포함할 수 있다.
저장부(103)는 제공되는 계정 정보, 서비스, 서비스에 관련된 데이터 등을 카테고리화하여 저장할 수 있는 데이터베이스(database)로 구성될 수도 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)이 보유하고 있는 잠재적인 위험을 다양한 방면에서 탐지할 수 있어, 사용자가 직접 모든 위험성을 검토하는 방식의 에러 즉, 휴먼 에러(human error)를 줄일 수 있다.
한편, 네트워크 스캐닝부(100)와 데이터 스캐닝부(101)는 서버에 포함된 데이터들 또는 서비스들을 순차적으로 스캐닝 또는 탐색할 수도 있지만, 이들을 임의의 순서로 또는 기 설정된 논리 순서(예를 들어, 각 서비스 또는 각 서버가 각 반복 순회(iteration, epoch)마다 한 차례씩 또는 일부분씩 조회되는 순서, 각 서비스들 또는 서버들을 라운드 로빈(Round Robin) 등 다양한 스케줄링 방법에 기반하여 설정된 순서 등등) 로 스캐닝 또는 탐색할 수도 있다. 네트워크 스캐닝부(100)와 데이터 스캐닝부(101)는 각각 송신부 및/또는 수신부를 포함할 수 있고, 각각의 송신부와 수신부는 개별적으로 또는 비동기적(asynchronously)으로 서버(들)과 통신할 수 있고, 서버(들)로부터 필요한 네트워크 정보 또는 데이터를 수집할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)의 네트워크 부하를 줄이고 불필요한 지연을 줄일 수 있음과 동시에, 서비스 제공에서 발생하는 방해를 줄이고 효율적으로 서버(들)의 위협도를 탐지할 수 있다.
도 2는 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템(20)의 동작 예시를 나타내는 도면이다.
도 2에 나타난 동작들 전부 또는 일부는, 도 1에 나타난 구성요소(들)에 의해 유기적으로 수행될 수 있다.
도 2를 참조하면, 실시예들에 따른 미식별 자산의 위협도를 평가하는 시스템(20)은 제1스캐닝부(200a), 제2스캐닝부(200b), 제1저장부(201a), 제2저장부(201b), 위협도 도출부(202), 전송부(203) 및/또는 데이터베이스부(204)를 포함할 수 있다. 도 2에 나타난 구성요소들 전부 또는 일부는 하나의 전자 장치 내에 포함될 수도 있고, 하나 이상의 장치들 또는 서버들에 분산되어 구현될 수도 있다.
제1스캐닝부(200a)는 하나 이상의 서버의 네트워크 정보를 수집 또는 스캐닝(scanning)할 수 있다. 제1스캐닝부(200a)는 도 1에서 설명한 네트워크 스캐닝부(100)에 대응될 수 있다.
제2스캐닝부(200b)는 서버(들)에 저장되어 있는 계정(account) 정보, 관련된 파일들, 또는 자산들과 관련 파일들이 저장되어 있는 디렉토리(directory)들의 계층에 관한 정보, 서버(들)가 공개적으로 또는 비공개적으로 제공하는 데이터, 서버(들)가 공개적으로 또는 비공개적으로 제공하고 있는 계정 정보 또는 계정과 관련된 정보를 스캐닝 또는 수집할 수 있다. 제2스캐닝부(200b)는 도 1에서 설명한 데이터 스캐닝부(101)에 대응될 수 있다.
제1저장부(201a)는 제1스캐닝부(200a)에서 수집한 네트워크 정보를 저장한다. 제1저장부(201a)는 제1스캐닝부(200a)에서 수집한 네트워크 정보를 서버(들)이 제공하는 서비스 별로 분류하여 저장할 수 있다. 제1저장부(201a)는 도 1의 제1저장부에 대응될 수 있으며, 데이터베이스 형태로 구현될 수 있다.
제2저장부(201b)는 제2스캐닝부(200b)에서 수집한 데이터 또는 정보를 저장한다. 제2저장부(201b)는 제2스캐닝부(200b)에서 수집한 데이터 또는 정보를 서버(들)이 제공하는 서비스 별로 또는 파일의 종류(예를 들어, 파일 형태, 파일명 등) 별로 분류하여 저장할 수 있으며, 데이터베이스 형태로 구현될 수 있다.
위협도 도출부(202)는 상술한 제1스캐닝부(200a)에 의해 수집된 네트워크 정보와, 제2스캐닝부(200b)에 의해 수집된 데이터 또는 생성된 인증 정보로 시도할 수 있는 후보들을 이용하여, 서버(또는 서버의 각 서비스)의 위협도를 도출하고 분석한다.
위협도 도출부(202)는, 상술한 제1스캐닝부(200a) 및/또는 제2스캐닝부(200b)의 스캐닝 또는 탐색 결과를 토대로 서버(들) 내에 포함된 각 서비스가 내부 혹은 외부에 존재할 경우 얼마나 큰 위협도를 가지는지 분석하는 장치 또는 그 시스템일 수 있다.
위협도 도출부(202)는, 내부에서만 사용해야 하는 서비스가 외부에서 탐지될 경우 더 큰 위협도를 산정하는 것을 기준으로 분석할 수 있다. 예를 들어, 위협도 도출부(202)는 서버에서 제공하는 서비스 중 HTTP 서비스의 위협도를 분석할 수 있는데, 이 경우 위협도 도출부(202)는 관리자만 접근이 가능해야 하는 페이지가 외부에서 노출되는지 여부를 확인할 수 있다. 예를 들어, 위협도 도출부(202)는 관리자 페이지 또는 관리자 페이지에서 사용되는 데이터의 접근성 정보(예를 들어, 읽기, 쓰기, 수정하기 권한 등)를 조회하여, 외부에서 노출되는지 또는 수정 가능한지 여부를 확인할 수 있다. 또 예를 들어, 위협도 도출부(202)는 서비스를 제공함에 있어 할당된 저장 공간에서 민감 정보가 포함된 데이터 또는 로그들의 접근성 정보(예를 들어, 읽기, 쓰기, 수정하기 권한 등)를 조회하여, 외부에서 노출되는지 또는 수정 가능한지 여부를 확인할 수 있다.
위협도 도출부(202)는, 검사하고자 하는 서버(들)에 포함된 또는 제공하는 서비스를 분석하되, 서비스의 종류 또는 서비스의 특성 별로 세부적인 판단기준에 기초하여 위협도를 분석할 수 있다. 예를 들어, 위협도 도출부(202)는 HTTP 서비스에 대해서는 HTTP 서비스의 보안에 필요한 기준들 (예를 들어, 기 설정된 기준들)에 기반하여 해당 HTTP 서비스의 위협도를 분석할 수 있다.
위협도 도출부(202)가 수집된 정보 또는 데이터를 기반으로 위협도를 도출하는 구체적인 방법 또는 기준들은 도 4 내지 도 5에서 자세히 설명하기로 한다.
전송부(203)는 위협도 도출부(202)에 의해 도출된 위협도 정보(예를 들어, 위협도 점수, 위협이 되는 요인, 위협도 등급 등) 또는 분석된 결과(예를 들어, 취약 내용 등)를 전달받아, 이들을 사용자 또는 관리자의 단말 장치로 전송할 수 있다.
데이터베이스부(204)는 상술한 네트워크 스캐닝부(100), 데이터 스캐닝부(101)에 의해 스캐닝된 네트워크 정보 및 서버(들)의 데이터 등을 저장할 수 있다. 저장부(103)는 서버(들)이 제공하는 서비스 별로 각 서비스와 관련된 정보 또는 관련된 데이터 등을 분리하여 또는 별도로 저장할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)이 보유하고 있는 잠재적인 위험을 다양한 방면에서 탐지할 수 있어, 사용자가 직접 모든 위험성을 검토하는 방식의 에러 즉, 휴먼 에러(human error)를 줄일 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)의 네트워크 부하를 줄이고 불필요한 지연을 줄일 수 있음과 동시에, 서비스 제공에서 발생하는 방해를 줄이고 효율적으로 서버(들)의 위협도를 탐지할 수 있다.
도 3은 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 방법을 나타낸다.
도 3에 나타난 동작들 일부 또는 전부는 실시예들에 따른 미식별 자산의 위협도를 평가하는 시스템, 또는 미식별 자산의 위협도를 평가하는 장치에 의해 수행될 수 있다.
도 3을 참조하면, 미식별 자산의 위협도를 평가하는 시스템은 분석하려는 서버(들)에 포함된 하나 이상의 서비스에 대한 정보 및 호스트 정보를 포함하는 네트워크 정보를 확인(S301)할 수 있다. 여기서, 네트워크 정보는 상술한 서버(들)에서 제공하는 또는 포함된 하나 이상의 서비스 각각에 대한 상세 정보(예를 들어, 배너(banner) 정보, 인증(certificate) 정보 등)을 포함할 수 있다.
도 3의 S301 단계는 예를 들어, 도 1의 네트워크 스캐닝부(100) 또는 도 2의 제1스캐닝부(200a)에 의해 수행될 수 있다.
한편, S301 단계에서, 미식별 자산의 위협도를 평가하는 시스템은 분석하고자 하는 서버(들) 모든 대역에 대하여 조회 또는 정보 요청을 수행할 수 있다. 예를 들어, 미식별 자산의 위협도를 평가하는 시스템은 이미 알고 있는 호스트 정보(예를 들어, 호스트의 IP 정보 및/또는 호스트의 서브넷 마스크 정보 등)를 기준으로 서버(들)이 존재할 수 있는 모든 아이피 대역들에 대하여 정보를 요청할 수 있고, 그들로부터 응답을 수신할 수 있다. 또, 미식별 자산의 위협도를 평가하는 시스템은 각 서버에 대하여 복수 개의 포트(port)들을 조회 또는 검색함으로써, 서버(들)에서 제공하고 있는 하나 이상의 서비스들 각각에 대한 상세 정보(예를 들어, 배너 정보, 인증 정보, 버전 정보, 계정 정보 등)를 조회 및 확인할 수 있다.
S301 단계에서, 미식별 자산의 위협도를 평가하는 시스템은 상술한 바와 같이 호스트가 존재할 수 있는 모든 대역의 모든 경우의 수를 고려하여 네트워크 정보를 수집할 수 있다. 여기서, 미식별 자산의 위협도를 평가하는 시스템은 모든 대역의 IP 주소 및/또는 포트를 순차적으로 조회 및 확인할 수도 있지만, 이들을 임의의 순서로 조회할 수도 있다. 예를 들어, A 호스트로부터 제공하는 서비스가 10개이고, B 호스트로부터 제공하는 서비스가 20개인 경우, 미식별 자산의 위협도를 평가하는 시스템은 A 호스트가 제공하는 10개의 서비스와 B 호스트가 제공하는 20개의 서비스들을 포함한 총 30개의 서비스들을 임의의 순서로 선택하여 각 서비스에 대한 상세 정보를 요청 및 획득할 수 있다. 또, 만약 하나의 서버에서 요청할 정보가 많은 경우에는 하나의 서버에서 요청할 데이터 일부를 나누어 별도로 스케줄링할 수 있다. 예를 들어, A 호스트로부터 제공하는 X 서비스에 대한 네트워크 정보의 수집량이 많을 경우에는 X 서비스에 대해 수집할 네트워크 정보 일부를 별도로 스케줄링할 수 있고, 다른 서비스들을 임의적으로 조회한 후에 요청할 수도 있다. 또한, 미식별 자산의 위협도를 평가하는 시스템은 각 서비스에 대한 상세 정보를 비동기적(asynchronous)으로 요청하여 별도로 수신할 수 있다.
그 후, 미식별 자산의 위협도를 평가하는 시스템은 서버(들)에 공개된 데이터를 확인하고 확인된 데이터 및 기 저장된 단어들 중 적어도 하나를 조합하여 복수의 데이터 세트들을 생성 (S302)할 수 있다.
상술한 S301 단계와 마찬가지로, S302 단계에서도 미식별 자산의 위협도를 평가하는 시스템은 각 서비스에 대한 데이터(예를 들어, 계정 정보, 웹 페이지에 관한 정보, 관련 메타데이터 파일, 매니패스트 파일, 로그 파일 등)를 임의의 순서로 스케줄링하거나 수집할 수 있다.
미식별 자산의 위협도를 평가하는 시스템은, 상술한 S301 단계 및 S302 단계에 의해 수집 또는 확인된 네트워크 정보 및/또는 데이터를 실시예들에 따른 저장부에 저장할 수 있다.
한편, 미식별 자산의 위협도를 평가하는 시스템은 상술한 S301 단계 및/또는 S302 단계를 실시간으로 또는 일정 주기를 가지고 확인하거나 수행할 수 있다. 나아가, 미식별 자산의 위협도를 평가하는 시스템은 상술한 S301 단계 및/또는 S302 단계에서 수집한 네트워크 정보 및/또는 데이터를 목적 별로 또는 서비스 별로 구분하여 저장할 수 있고, 이들은 데이터베이스 형태로 저장될 수도 있다.
한편, S302 단계에서, 미식별 자산의 위협도를 평가하는 시스템은, 공중에 공개된 데이터에 대하여 이들의 출처 정보와 함께 수집하여, 함께 저장부에 저장할 수도 있다. 예를 들어, S302 단계에서 특정 사용자 또는 관리자의 계정 정보가 포함된 웹 페이지가 확인된 경우, 해당 계정 정보를 해당 웹 페이지의 주소 정보(예를 들어, URL(Uniform Resource Locator) 또는 도메인(domain) 정보)와 함께 저장부에 저장할 수 있다.
더 나아가, 미식별 자산의 위협도를 평가하는 시스템은, 서버에 의해 외부로 공개되는 데이터(예를 들어, 외부 접근이 허용된 웹 페이지)에 특정 사용자 또는 관리자의 계정 정보가 확인되는 경우가 있을 수 있다. 이 경우, 해당 계정 정보는 외부의 공격자로부터 공격의 대상이 될 가능성이 높다. 따라서, 이 경우 미식별 자산의 위협도를 평가하는 시스템은, 해당 계정 정보와 연관성이 높다고 판단되는 문자 또는 문자열들 (예를 들어, 동일한 웹 페이지 또는 해당 웹 페이지 내에 동일한 영역에서 확인되는 단어들, 토큰들, 문자들의 조합들, 빈출하는 단어 등) 또는 아이디/패스워드와 관련하여 자주 사용되는 단어들(리스트 형태로 기 설정될 수 있음)과 조합한 데이터 세트(data set)를 저장부에 저장할 수 있다. 예를 들어, 특정 웹 페이지에 관리자의 이메일 주소가 확인되는 경우, 미식별 자산의 위협도를 평가하는 시스템은, 해당 이메일 주소와 함께, 그 이메일 주소가 확인된 웹 페이지로부터 추출된 하나 이상의 단어들, 아이디/패스워드와 관련하여 자주 사용되는 단어들, 및/또는 이들의 조합하여 데이터 세트를 생성하고 이들을 저장할 수 있다. 또, 미식별 자산의 위협도를 평가하는 시스템은, 조합된 결과 또는 이들 결과의 해시값(MD5, SHA-256 등을 적용한 해시값)을 상술한 계정 정보와 함께 저장부에 저장할 수 있다.
다음으로, 미식별 자산의 위협도를 평가하는 시스템은 네트워크 정보 및 복수의 데이터 세트들에 기반하여 위협도를 분석하여 위협도를 도출(S303)할 수 있다. S303 단계는 예를 들어, 도 1의 위협도 분석부(102) 및/또는 도 2의 위협도 도출부(202)에 의해 수행될 수 있다.
S303 단계에서, 미식별 자산의 위협도를 평가하는 시스템은 상술한 네트워크 정보와 데이터 세트에 기반하여, 서버(들)의 위협도를 측정한다. 미식별 자산의 위협도를 평가하는 시스템은, 서버(들)의 전체의 위협도를 측정할 수도 있고, 서버(들) 각각에 대하여 위협도를 측정할 수도 있고, 서비스들 각각에 대한 위협도를 측정할 수도 있다.
여기서, 미식별 자산의 위협도를 평가하는 시스템은 서비스 별로 위협도를 측정할 수 있고, 측정한 서비스 별 위협도에 기반하여 서버 전체에 대한 위협도를 도출할 수도 있다. 예를 들어, 미식별 자산의 위협도를 평가하는 시스템은 각 서비스의 외부 공개 여부(접근성 정보, 보안 정보 등), 공개된 서비스가 외부로 노출되기에 적절하지 않은 서비스인지 여부(예를 들어, FTP 서비스, SSH 서비스 등), 통신 형태가 평문인지 여부(예를 들어, telnet 등), 버전의 최신 여부(예를 들어, PHP의 버전이 최신 버전 또는 권장 버전인지 여부), 공개된 취약점의 존재 여부(예를 들어, PHP의 버전 또는 기능 중 보안의 취약점이 알려져있는지 여부)를 확인할 수 있고, 이들에 기반하여 위협도를 측정할 수 있다.
또, 미식별 자산의 위협도를 평가하는 시스템은, 상술한 S302 단계에 의해 생성된 복수의 데이터 세트들에 기반하여, 각 서버 내에서 인증이 가능한지 여부(예를 들어, 특권을 가진 계정, 루트 계정, 슈퍼-유저 권한 등을 인증받도록 시도할 수 있는지), 여러 데이터 청크 또는 배너 정보 등에 민감 정보(예를 들어, 개인정보, 패스워드 정보, 인증 정보)의 포함되어 있거나 공개로 설정되어 있는지 여부를 확인할 수 있다. 미식별 자산의 위협도를 평가하는 시스템은 이들에 기반하여 위협도를 더 세밀하게 측정할 수 있다.
S303 단계에서, 미식별 자산의 위협도를 평가하는 시스템이 서버 또는 서비스들의 위협도를 측정하는 구체적인 방법 또는 기준들의 예시는 도 4에서 설명하기로 한다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버(들)의 네트워크 부하를 줄이고 불필요한 지연을 줄일 수 있음과 동시에, 서비스 제공에서 발생하는 방해를 줄이고 효율적으로 서버(들)의 위협도를 탐지할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버 또는 서비스 내부에서 인지하지 못하는 자산, 데이터, 네트워크 설정 등을 통해 관리하고 있는 미식별 자산 등을 빠르게 파악할 수 있다.
도 4는 본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 구체적인 방법의 예시를 나타낸다.
도 4는 실시예들에 따른 미식별 자산의 위협도를 평가하는 시스템이 서버(들) 또는 서비스(들)의 위협도를 도출하는 방법의 예시를 나타낸다. 우선, 도 4를 참조하면, 실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 서버에 포함된 서비스들의 네트워크 정보를 스캐닝(401)한다. 401 동작은 예를 들어, 도 1의 네트워크 스캐닝부(100), 도 2의 제1스캐닝부(200a)에서 수행될 수 있고, 도 3의 S301 동작을 수행할 수 있다. 또, 실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 서버로부터 수집 가능한 공개 데이터 수집(402)한다. 402 동작은 예를 들어, 도 1의 데이터 스캐닝부(101), 도 2의 제2스캐닝부(200b)에서 수행될 수 있고, 도 3의 S302 동작을 수행할 수 있다.
실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 401 동작 및/또는 402 동작에 의해 수집된 데이터를 실시예들에 따른 저장부(403) 또는 데이터베이스(403)에 저장할 수 있다.
실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 하나 이상의 서비스 각각에 대한 위협도를 도출(404)할 수 있다. 미식별 자산의 위협도를 평가하는 장치는 서비스 별로 위협도를 측정할 수 있고, 측정한 서비스 별 위협도에 기반하여 서버 전체에 대한 위협도를 도출할 수도 있다.
미식별 자산의 위협도를 평가하는 장치는 각 서비스의 외부 공개 여부(접근성 정보, 보안 정보 등)를 확인할 수 있다. 미식별 자산의 위협도를 평가하는 장치는 하나 이상의 서비스들의 서지적 정보 (예를 들어, 공개 범위 등에 관한 설정 정보)를 확인하여, 공개된 서비스가 외부로 노출되기에 적절하지 않은 서비스인지 여부(예를 들어, FTP 서비스, SSH 서비스 등)를 확인할 수 있다. 만약, 공개된 서비스가 외부로 노출되기에 적절하지 않은 서비스로 확인되면 미식별 자산의 위협도를 평가하는 장치는 적절하지 않은 서비스(또는 서비스에 관한 정보)를 사용자 또는 관리자에게 알릴 수 있다. 미식별 자산의 위협도를 평가하는 장치는 외부로 노출되기에 적절하지 않은 서비스의 수에 비례하여 위협도를 높게 책정할 수 있다.
미식별 자산의 위협도를 평가하는 장치는 각 서비스의 통신 형태가 평문인지 여부(예를 들어, telnet 등)를 확인할 수 있고, 하나 이상의 기 설정된 조건들에 기반하여 평문 형태로 통신하는 서비스의 보안 상태를 확인할 수 있으며, 실시예들에 따른 데이터 세트로부터 해당 서비스의 인증을 받을 수 있는지(예를 들어, 슈퍼-유저의 권한을 가져올 수 있는지)를 조회할 수 있다. 만약, 인증을 받을 수 있거나 보안 상태가 취약하다고 판단되는 경우, 미식별 자산의 위협도를 평가하는 장치는 위협도를 높게 책정할 수 있다.
미식별 자산의 위협도를 평가하는 장치는 각 서비스의 버전 정보를 확인할 수 있고, 해당 서비스의 버전이 최신 상태인지 또는 권장 버전 상태인지 여부를 확인할 수 있다. 미식별 자산의 위협도를 평가하는 장치는 확인된 서비스의 버전이 최신 상태가 아니거나 권장 버전 상태로부터 업데이트 거리가 먼 경우에는 위협도를 높게 책정할 수 있다.
미식별 자산의 위협도를 평가하는 장치는 공개된 취약점의 존재 여부(예를 들어, PHP의 버전 또는 기능 중 보안의 취약점이 알려져 있는지 여부)를 확인할 수 있다. 미식별 자산의 위협도를 평가하는 장치는, 이미 알려진 보안의 취약점을 검사하기 위한 하나 이상의 논리적 조건들을 저장할 수 있고, 해당 논리적 조건들에 기반하여 이를 탐지할 수 있으며, 탐지되는 개수에 비례하여 위협도를 측정할 수 있다.
미식별 자산의 위협도를 평가하는 장치는, 유출된 조합된 계정정보로 각 서비스로부터 또는 각 서버로부터 인증이 가능한지 여부를 테스트할 수 있다. 미식별 자산의 위협도를 평가하는 장치는 실시예들에 따른 데이터 세트를 이용할 수 있다.
미식별 자산의 위협도를 평가하는 장치는, 수집된 데이터 또는 계정 정보의 내용을 확인할 수 있고, 해당 데이터 또는 계정 정보의 민감한 정보(예를 들어, 개인 정보, 주소 정보, 암호 정보, 아이디 정보) 등이 포함되어 있는지 여부를 확인할 수 있다. 미식별 자산의 위협도를 평가하는 장치는, 확인된 민감한 정보의 빈도에 기반하여 위협도를 높게 책정할 수 있다.
한편, 실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 HTTP 서비스인 경우, 해당 서비스에 대하여는 추가 조건들 또는 기준들을 이용하여 위협도 확인 또는 도출(405)할 수 있다. 실시예들에 따른 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 HTTP와 관련된 서비스에서 제공하는 각 페이지의 외부 공개 여부, 각 페이지 내 민감 정보의 포함 여부 및 HTTP와 관련된 서비스의 외부 공개 여부에 더 기반하여 상기 위협도를 도출할 수 있다.
예를 들어, 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 HTTP 서비스에 대하여, 해당 서비스와 관련된 데이터 (즉, 402 단계에서 수집된 데이터)가 내부 관련자들만 사용하는 데이터 또는 내부 관련자들에게만 노출되는 정보인지 여부를 확인할 수 있다. 예를 들어, 관리자 페이지(admin page)가 노출되는 경우 이는 관리자에게만 노출되는데 모든 사용자들에게 노출될 수 있게 설정되는 경우 위협도를 높게 책정할 수 있다.
또 예를 들어, 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 HTTP 서비스에 대하여, 렌더링(rendering) 즉 노출되는, 혹은 렌더링 되지 않거나 특정 방법에 기반하여 한시적으로 노출되는 데이터(페이지)에 민감한 정보가 노출되는지 여부를 확인할 수 있다. 만약 노출되는 경우, 위협도를 높게 책정할 수 있다.
또 예를 들어, 미식별 자산의 위협도를 평가하는 장치(또는 시스템)는 HTTP 서비스에 대하여, HTTP 통신 과정 및 통신 결과(예를 들어, GET 방식의 요청과 응답, POST 방식의 요청과 응답 등)에서 민감한 정보가 포함되어 있거나, 민감한 정보가 암호화되지 않은 상태로 통신되는지 여부를 확인할 수 있다. 만약, 민감한 정보가 그대로 노출되어 있거나, 해독하기 쉬운 방식으로 암호화된 경우(예를 들어, 널리 알려진 해독 방법이 존재하는 방식으로 암호화된 경우), 위협도를 높게 책정할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 서버 또는 서비스 내부에서 인지하지 못하는 계정 정보, 데이터, 네트워크 설정 등을 통해 관리하고 있는 미식별 자산 등을 빠르게 파악할 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 실제 공격자의 시선으로 서비스를 바라볼 수 있어 주기적인 보안점검을 실시하는 효과를 얻을 수 있다.
본 발명의 일 실시 예에 따른, 미식별 자산의 위협도를 평가하는 시스템은 이러한 구성으로, 기유출된 혹은 조합된 인증정보에 대해 빠르게 식별하고 추가적인 보안사고를 사전에 대비할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 서버의 구성을 도시한 도면이다.
도 5를 참조하면, 서버(50)는 입력부(510), 출력부(520), 제어부(530), 저장부(540) 및 통신부(550)를 포함한다.
입력부(510)는 관리자로부터 명령이나 정보를 입력 받는다. 입력부(510)는 오디오 신호를 입력 받기 위한 마이크로폰 및 키 입력부(510) 중에서 하나 이상을 포함할 수 있다. 키 입력부(510)는 터치 키(touch key) 및/또는 기계식 키(mechanical key)를 포함할 수 있다.
출력부(520)는 명령 처리 결과나 각종 정보를 관리자에게 출력한다. 예를 들어, 출력부(520)는 상술한 미식별 자산의 위협도를 평가하는 방법, 장치 또는 그 시스템에서 생성된 정보를 출력한다. 이를 위하여, 출력부(520)는 도면에 도시되지는 않았으나, 디스플레이, 스피커, 햅틱 출력부(520) 및 광 출력부(520)를 포함할 수 있다. 디스플레이는 평판 디스플레이(Flat panel display), 연성 디스플레이(Flexible display), 불투명 디스플레이, 투명 디스플레이, 전자종이(Electronic paper, E-paper), 또는 본 발명이 속하는 기술분야에서 잘 알려진 임의의 형태로 제공될 수 있다. 디스플레이에는 터치 패드가 적층되어 터치 스크린(touch screen)을 구성할 수 있으며, 이러한 터치 스크린을 통해 터치 키가 구현될 수 있다. 출력부(520)는 디스플레이 및 스피커 외에도 본 발명이 속하는 기술분야에서 잘 알려진 임의의 형태의 출력 수단을 더 포함하여 구성될 수도 있다.
제어부(530)는 서버(50) 내의 구성요소들을 연결하고 제어한다. 일 예로, 상술한 미식별 자산의 위협도를 평가하는 방법, 장치 또는 그 시스템으로부터 생성된 정보가 출력부(520)를 통해 출력될 수 있도록 각 구성요소들을 제어한다. 다른 예로, 제어부(530)는 관리자에 의해 판단 정보가 입력되면, 판단 정보가 포함된 응답 신호를 생성한다. 제어부(330)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다.
저장부(540)는 서버(50)가 동작하는데 필요한 데이터, 프로그램 및 어플리케이션 등을 저장한다. 이러한 저장부(540)는 비휘발성 메모리, 휘발성 메모리, 하드 디스크, 광 디스크, 광자기 디스크, 또는 본 발명이 속하는 기술분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함할 수 있다.
통신부(550)는 유무선 네트워크를 통해 돌발상황 오탐지 분류 장치(200)와 통신한다. 예를 들어, 통신부(550)는 돌발상황 오탐지 분류 장치(200)로부터 알람 신호를 수신하고, 그에 대한 응답 신호를 돌발상황 오탐지 분류 장치(200)로 전송한다. 이를 위해 통신부(550)는 유선 통신 방식 및/또는 무선 통신 방식을 지원한다.
도 5를 참조하면, 입력부(510)는 사용자 또는 관리자로부터 입력 신호 (예를 들어, 위협도 분석을 실시할 서버 또는 하나 이상의 서비스들을 특정하는 입력 신호, 유저-인터페이스에 의해 입력 받는 신호 등)를 수신한다. 출력부(520)는 실시예들에 따른 미식별 자산의 위협도를 평가하는 시스템에서 생성된 또는 수집된 정보(예를 들어, 네트워크 정보, 수집된 데이터, 실시예들에 따른 데이터 세트, 각 서버 또는 서비스의 위협도 정보 등)를 사용자 또는 관리자에게 제공하거나 디스플레이부 등에 출력/표시할 수 있다. 제어부(530)는 도 1 내지 도 4에서 설명한 미식별 자산의 위협도를 평가하는 시스템의 동작들 일부 또는 전부를 수행하거나 이들을 수행하기 위한 프로세서(processor)를 제어할 수 있다. 저장부(540)는 자산의 위협도를 평가하는 시스템에 포함된 저장부 또는 데이터베이스 시스템을 포함할 수 있다. 통신부(550)는 위협도 분석을 실시할 서버 또는 하나 이상의 서비스들과 통신하기 위한 하나 이상의 송신부(transmitter) 및/또는 수신부(receiver)를 포함할 수 있다.
본 명세서와 도면에 게시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 게시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.

Claims (11)

  1. 서버에 포함된 하나 이상의 서비스에 대한 정보 및 호스트 정보를 포함하는 네트워크 정보를 확인하는 제1스캐닝부;
    서버에 공개된 데이터를 확인하고 상기 확인된 데이터 및 기 저장된 단어들 중 적어도 하나를 조합하여 복수의 데이터 세트들을 생성하는 제2스캐닝부; 및
    상기 네트워크 정보 및 상기 복수의 데이터 세트들에 기반하여 위협도를 분석하는 위협도 분석부; 를 포함하는,
    데이터의 위협도 도출 장치.
  2. 제1항에 있어서,
    상기 네트워크 정보는 상기 서버에 포함된 하나 이상의 서비스 각각에 대한 배너(banner) 정보, 인증(certificate) 정보를 포함하는,
    데이터의 위협도 도출 장치.
  3. 제2항에 있어서,
    상기 제1스캐닝부는 상기 서버의 IP 정보를 기준으로 복수의 포트(port)들을 검색함으로써, 상기 하나 이상의 서비스 각각에 대한 배너 정보, 인증 정보를 확인하는,
    데이터의 위협도 도출 장치.
  4. 제1항에 있어서, 상기 데이터의 위협도 도출 장치는,
    상기 제1스캐닝부 또는 상기 제2스캐닝부가 상기 서버에 상기 네트워크 정보 또는 상기 서버에 공개된 데이터를 요청하는 송신부; 및
    상기 요청에 기반하여 응답을 수신하기 위한 수신부; 를 더 포함하는,
    데이터의 위협도 도출 장치.
  5. 제4항에 있어서,
    상기 송신부는 임의의 순서로 상기 서버에 포함된 하나 이상의 서비스에 대한 상기 네트워크 정보를 요청하는,
    데이터의 위협도 도출 장치.
  6. 제1항에 있어서, 상기 제2스캐닝부는,
    상기 서버에 공개된 데이터를 일정 주기로 확인하여, 복수의 데이터 세트들을 상기 일정 주기로 생성하는,
    데이터의 위협도 도출 장치.
  7. 제1항에 있어서, 데이터의 위협도 도출 장치는,
    상기 네트워크 정보를 저장하는 제1저장부; 및
    상기 복수의 데이터 세트들을 저장하는 제2저장부; 를 더 포함하고,
    상기 제2스캐닝부는 상기 서버에 공개된 데이터를 수집한 출처를 나타내는 URL(Uniform Resource Locator) 또는 도메인(domain) 정보를 더 확인하고,
    상기 제2저장부는 상기 서버에 공개된 데이터를 상기 URL 또는 도메인 정보와 함께 저장하는,
    데이터의 위협도 도출 장치.
  8. 제7항에 있어서,
    상기 서버에 공개된 데이터는 계정 정보를 더 포함하고,
    상기 제2스캐닝부는 기 저장된 단어들 중 아이디 또는 패스워드와 관련된 단어들을 조합하여 상기 제2저장부에 상기 조합된 결과 또는 상기 결과의 해시값을 상기 계정 정보와 함께 저장하는,
    데이터의 위협도 도출 장치.
  9. 제1항에 있어서, 상기 위협도 분석부는,
    각 서비스의 외부 공개 여부, 통신 형태가 평문인지 여부, 버전의 최신 여부, 공개된 취약점의 존재 여부, 상기 복수의 데이터 세트들에 기반하여 인증 가능 여부 및 배너 정보에 민감 정보의 포함 여부 중 적어도 하나에 기반하여 위협도를 도출하는,
    데이터의 위협도 도출 장치.
  10. 제1항에 있어서, 상기 위협도 분석부는,
    HTTP와 관련된 서비스에서 제공하는 각 페이지의 외부 공개 여부, 상기 각 페이지 내 민감 정보의 포함 여부 및 상기 HTTP와 관련된 서비스의 외부 공개 여부에 더 기반하여 상기 위협도를 도출하는,
    데이터의 위협도 도출 장치.
  11. 서버에 포함된 하나 이상의 서비스에 대한 정보 및 호스트 정보를 포함하는 네트워크 정보를 확인하는 단계;
    서버에 공개된 데이터를 확인하고 상기 확인된 데이터 및 기 저장된 단어들 중 적어도 하나를 조합하여 복수의 데이터 세트들을 생성하는 단계; 및
    상기 네트워크 정보 및 상기 복수의 데이터 세트들에 기반하여 위협도를 분석하여 상기 위협도를 도출하는 단계; 를 포함하는,
    데이터의 위협도 도출 방법.
KR1020220187190A 2022-12-28 2022-12-28 미식별 자산의 위협도를 평가하는 방법 및 그 장치 KR20240104698A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220187190A KR20240104698A (ko) 2022-12-28 2022-12-28 미식별 자산의 위협도를 평가하는 방법 및 그 장치
US18/543,564 US20240323213A1 (en) 2022-12-28 2023-12-18 Method of assessing threat level of unidentified asset and apparatus for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220187190A KR20240104698A (ko) 2022-12-28 2022-12-28 미식별 자산의 위협도를 평가하는 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR20240104698A true KR20240104698A (ko) 2024-07-05

Family

ID=91949666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220187190A KR20240104698A (ko) 2022-12-28 2022-12-28 미식별 자산의 위협도를 평가하는 방법 및 그 장치

Country Status (2)

Country Link
US (1) US20240323213A1 (ko)
KR (1) KR20240104698A (ko)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
대한민국 등록 특허공보 10-2159292 (발명의 명칭: 미식별자산 인식시스템 및 그 방법 (Unidentified Asset Recognition System and Its Method; 등록일: 2020.09.17)

Also Published As

Publication number Publication date
US20240323213A1 (en) 2024-09-26

Similar Documents

Publication Publication Date Title
US11831785B2 (en) Systems and methods for digital certificate security
US9311476B2 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US20190245894A1 (en) Processing network traffic based on assessed security weaknesses
EP2974204B1 (en) Automatic fraudulent digital certificate detection
US11777961B2 (en) Asset remediation trend map generation and utilization for threat mitigation
US11334666B2 (en) Attack kill chain generation and utilization for threat analysis
Suteva et al. Evaluation and testing of several free/open source web vulnerability scanners
Riadi et al. Vulnerability analysis of E-voting application using open web application security project (OWASP) framework
Aboelfotoh et al. A review of cyber-security measuring and assessment methods for modern enterprises
Jawad et al. Intelligent Cybersecurity Threat Management in Modern Information Technologies Systems
Rawal et al. The basics of hacking and penetration testing
Chang et al. Information security modeling for the operation of a novel highly trusted network in a virtualization environment
Aldea et al. Software vulnerabilities integrated management system
KR20240104698A (ko) 미식별 자산의 위협도를 평가하는 방법 및 그 장치
Vishnu et al. Identifying key strategies for reconnaissance in cybersecurity
Jia et al. Who owns Internet of Thing devices?
Karlzén An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis
Condon et al. How secure are networked office devices?
Chen Messaging Apps Vulnerability Assessment Using Conversational AI
Bekturova et al. Defender-Attacker Model Based Secure Software Development Lifecycle for Common Web Vulnerabilities
Rudd Ransomware Reconnaissance: Interrogating Certificates Towards Proactive Threat Mitigation.
Volkov et al. Securing microservices: challenges and best practices
Santoso et al. PERFORMANCE EVALUATION OF PENETRATION TESTING TOOLS IN DIVERSE COMPUTER SYSTEM SECURITY SCENARIOS
Budyal et al. Cyber-Attack Analysis Using Vulnerability Assessment and Penetration Testing
Yuva Kumar Behavioural Based Threat Modelling to Increase the Efficiency in Breach Identification and Notification

Legal Events

Date Code Title Description
E902 Notification of reason for refusal