KR101651586B1 - 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템 - Google Patents

시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템 Download PDF

Info

Publication number
KR101651586B1
KR101651586B1 KR1020150113738A KR20150113738A KR101651586B1 KR 101651586 B1 KR101651586 B1 KR 101651586B1 KR 1020150113738 A KR1020150113738 A KR 1020150113738A KR 20150113738 A KR20150113738 A KR 20150113738A KR 101651586 B1 KR101651586 B1 KR 101651586B1
Authority
KR
South Korea
Prior art keywords
vulnerability
information
security
management
check
Prior art date
Application number
KR1020150113738A
Other languages
English (en)
Inventor
김용욱
김병익
김진현
Original Assignee
김병익
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김병익 filed Critical 김병익
Priority to KR1020150113738A priority Critical patent/KR101651586B1/ko
Application granted granted Critical
Publication of KR101651586B1 publication Critical patent/KR101651586B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Software Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Computing Systems (AREA)
  • Educational Administration (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명에 따른 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템은 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 사용자가 직관적으로 이해할 수 있는 표시정보와 사용자가 원하는 정보를 선택할 수 있도록 하는 그래픽 유저 인터페이스를 제공하는 취약점 관리현황 제공부를 포함하여 구현됨으로써, 기업 및 공공기관의 보안취약점 관리 업무를 체계적으로 수행할 수 있도록 표준화된 업무 환경을 제공하고, 일반사용자와 보안점검자 및 보안관리자의 역할에 맞는 전용 웹-기반 그래픽 유저 인터페이스(Web-based Graphic User Interface)를 통해 사용자의 직관적인 접근이 가능하도록 해준다

Description

시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템{System for managing security vulnerability found from step developing system to step operating system}
본 발명은 보안 취약점 관리시스템에 관한 것으로, 더욱 상세하게는 정보시스템 담당자와 보안관리자가 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점의 등록부터 조치완료까지의 모든 과정을 원활하게 관리할 수 있도록 하는 기술에 관한 것이다.
최근들어, 이동통신 및 인터넷의 발달로 개인과 기업 및 공공기관에 이르기까지 정보보안에 대한 관심이 늘어나고 있다. 우리나라의 경우, 정보통신기반보호법과 전자금융거래법에는 주요정보통신 기반보호시설과 전자금융기반시설에 대해 매년 취약점 분석 평가를 실시해야 함을 의무규정으로 두고 있다.
정보화 기술의 발달에 따라 정보화 기술 서비스 영역도 넓어지고 있다. 예를 들어, 은행의 경우 모바일 앱을 통한 폰뱅킹 서비스, 인터넷뱅킹 서비스, 지로공과금 처리서비스, 무인자동인출기를 통한 계좌송금서비스, 해외 텔레뱅킹 서비스 등을 통해 다수의 고객 정보를 처리함에 따라 정보화 기술 보안 관리 업무 영역이 늘어나고 있다.
기업의 정보와 기술 보안 관리 업무 영역이 늘어남에 따라 정보 보안관리 담당자들도 함께 증가하여 커뮤니케이션(Communication) 및 관리의 효율성 확보가 절실히 필요한 실정이다. 법적 의무와 정보 보호를 위하여 기업과 공공기관은 매년 각종 보안취약점 점검을 수행하지만 동일한 취약점이 반복적으로 발생하는 문제와 발견된 취약점들을 수작업으로 처리함에 따라 누적관리 한계가 발생하고 있다. 이에, 취약점 진단 후 후속조치와 이행점검 결과를 관리할 수 있는 시스템이 필요한 실정에 있다.
한국등록특허번호 제10-0898867호 (등록일 2009.05.14) 한국공개특허번호 제10-2011-0110431호 (공개일 2011.10.07)
본 발명은 상술한 바와 같은 배경에서 제안된 것으로, 본 발명은 정보시스템 담당자와 보안관리자가 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점의 등록부터 조치완료까지 모든 과정을 원활하게 관리할 수 있도록 하는 보안 취약점 관리시스템을 제공하는 것이다.
본 발명은 상술한 배경에서 제안된 것으로, 본 발명에 따른 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템은, 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 사용자가 직관적으로 이해할 수 있는 표시정보와 사용자가 원하는 정보를 선택할 수 있도록 하는 그래픽 유저 인터페이스를 제공하는 취약점 관리현황 제공부와,
상기 운영중인 정보시스템에 대한 취약점 점검항목과 점검기간을 포함하는 취약점 점검목록을 생성하여 저장하며, 취약점 진단자로부터 운영중인 정보시스템에 대한 취약점 점검현황에 관한 진행정보를 입력받아 취약점 통합관리서버에 저장하는 취약점 점검현황 관리부와, 상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 처리정보를 입력받아 취약점 통합관리서버에 저장하고, 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송하는 취약점 조치현황 관리부와,
개발프로젝트에 대한 보안성 심의신청정보가 입력되면 보안성 심의 대상인 개발프로젝트명, 신청자 이름, 신청일을 포함하는 보안성 심의 신청목록을 생성하여 보안성 심의관리서버에 저장하며, 보안관리자로부터 상기 보안성 심의신청에 대한 처리정보를 입력받아 보안성 심의관리서버에 저장하고, 취약점 진단자로부터 보안성 심의 대상인 개발프로젝트에 대한 취약점 점검결과정보를 입력받아 보안성 심의관리서버에 저장하는 보안성 심의현황 관리부와, 개발프로젝트의 개발자로부터 보안성 심의결과 발견된 개발프로젝트의 취약점에 대한 조치 처리정보를 입력받아 보안성 심의관리서버에 저장하고, 보안성 심의 신청자 전자메일주소로 보안성 심의결과정보를 전송하는 보안성 심의결과 조치현황 관리부를 포함한다.
본 발명에 따른 본 발명에 따른 보안 취약점 관리시스템은, 다음과 같은 효과가 있다.
첫째, 기업 및 공공기관의 보안취약점 관리 업무를 체계적으로 수행할 수 있도록 표준화된 업무 환경을 제공하고, 일반사용자와 보안점검자 및 보안관리자의 역할에 맞는 전용 웹-기반 그래픽 유저 인터페이스(Web-based Graphic User Interface)를 통해 사용자의 직관적인 접근이 가능하도록 해준다.
둘째, 미조치된 취약점에 대한 자동화된 후속 조치 강제화를 통한 취약점 조치 누락 방지가 가능하다.
셋째, 누적된 취약점 DB 통계정보를 분석하여 발생 가능한 위험 분석 및 예방이 가능하다.
네째, 취약점 관련 정보통신기반보호법과 전자금융거래법 규제에 대한 증적자료 추출이 용이하다.
도 1 은 본 발명에 따른 보안 취약점 관리시스템을 포함하는 전체 구성을 설명하기 위한 예시도이다.
도 2 는 본 발명에 따른 보안 취약점 관리시스템의 구성을 설명하기 위한 예시도이다.
도 3, 도 4는 본 발명에 따른 보안 취약점 관리시스템에서 실시되는 보안 취약점 관리방법을 설명하기 위한 예시도이다.
이하 본 명세서는 첨부된 도면을 참조하여 본 발명에 따른 상용망 기반의 항만 운영 관리시스템에 대하여 상세히 기술하기로 한다.
본 발명에 따른 본 발명에 따른 보안 취약점 관리시스템을 포함하는 전체 구성은, 도 1 에 도시한 바와 같이, 고객사의 업무포탈서버(105), 운영서버(110), 취약점 통합관리서버(115), 및 고객사의 내부 연계시스템(120 내지 140)이 탑재된 관리서버를 포함하는 운영계와, 개발자에 의해 개발되고 있는 보안 취약점 관리시스템(이하,‘개발프로젝트’라 함.)이 탑재된 개발서버(160)를 포함하는 개발계로 이루어진다.
고객사의 업무포탈서버(105)는 고객사에서 관리하는 모든 업무목록을 저장하며, 사용자가 원하는 업무에 접근할 수 있도록 안내하는 포탈 서비스를 제공한다. 운영서버(110)는 고객사의 보안자산을 관리하기 위한 것으로, 홈페이지, 모바일앱, 서버로 구분하여 관리될 수 있고, 각 유형별 특성에 맞는 관리항목을 제공하며 홈페이지와 연관된 서버를 매핑하는 기능을 포함한다.
예를 들어, 운영서버(110)에서 관리하는 홈페이지의 주요관리정보는 URL, 포트, 운영상태, 서비스구간, 인증방식, 서비스유형, 개발언어, 소유구분, Web, WAS, DBMS, 운영자, 관리자, 주요정보여부, 오픈일, 보안심의 여부등을 포함한다. 운영서버(110)에서 관리하는 모바일앱의 주요관리정보는 다운로드유형(공개마켓/사내마켓), 운영자, 관리자, 주요정보여부, 오픈일, 보안심의 여부를 포함한다. 운영서버(110)에서 관리하는 서버는 호스트명, 밴더사, 설정파일 및 로그경로, OS, 버전, 운영자, 관리자, 주요정보여부, 오픈일, 보안심의 여부를 포함한다. 운영서버(110)는 본 발명에 따른 보안 취약점 관리시스템을 저장한다.
본 발명의 보안 취약점 관리시스템은 개발프로젝트 보안성심의 신청처리와 운영중인 정보시스템의 취약점 점검처리를 구분하여 관리한다. 본 발명의 보안 취약점 관리시스템은 취약점의 등록에서부터 조치완료까지 취약점 관리 프로세서별 기능을 지원하고, 각 단계 완료 시 사전에 설정된 정책에 따라 메일을 자동 발송한다. 본 발명의 보안 취약점 관리시스템은 취약점 통합관리서버(115)에 저장된 정보를 기초로 정보보호수준을 평가하고 분석할 수 있는 통계자료를 제공한다.
본 발명의 보안 취약점 관리시스템은 구축 후 운영 시 취약점 관리정책을 변경해야 하는 경우 이를 시스템 관리 기능에서 변경할 수 있다. 본 발명의 보안 취약점 관리시스템은 메일 내용도 메일 템플릿 기능을 통해 변경할 수 있다. 본 발명의 보안 취약점 관리시스템은 보안성심의 신청 등 사용자 입력폼의 입력 가이드 문구 설정 기능을 제공한다. 본 발명의 보안 취약점 관리시스템은 기업 및 공공기관의 환경의 업무환경에 최적화하여 운영하기 위해 인사정보관리시스템, 결재시스템, 메일시스템, 개발프로젝트 관리 시스템과 연동될 수 있다.
취약점 통합관리서버(115)는 개발프로젝트 보안성심의 신청처리와 운영중인 정보시스템의 취약점 점검처리에 관한 모든 과정, 즉 등록에서부터 조치완료까지 의 발생된 취약점 관리이력정보를 저장한다.
고객사의 내부 연계시스템(120 내지 140)은 예를 들어, 메일시스템(120), 인사정보관리서버(125), 결재시스템(130), 보안성심의 관리서버(135), 개발프로젝트 관리서버(140)를 포함하여 구현될 수 있다. 이러한 고객사의 내부 연계시스템(120 내지 140)은 고객사의 고유 업무영역이며, 본 발명의 보안 취약점 관리시스템을 설치하고 관리하는 수행사와 고객사 간의 업무협약에 의해 연동될 수 있다.
이하, 본 발명의 보안 취약점 관리시스템의 구성 및 동작에 대하여 도 2 내지 도 4를 참조하여 설명한다.
본 발명의 보안 취약점 관리시스템(110)은 도 2에 도시한 바와 같이, 취약점 관리현황 제공부(112), 취약점 점검현황 관리부(114), 보안성 심의현황 관리부(116), 시스템 관리부(117), 취약점 조치현황 관리부(118), 및 보안성 심의결과 조치현황 관리부(119)를 포함한다.
취약점 관리현황 제공부(112)는 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 사용자가 직관적으로 이해할 수 있는 표시정보와 사용자가 원하는 정보를 선택할 수 있도록 하는 그래픽 유저 인터페이스를 제공한다.
취약점 관리현황 제공부(112)에서 제공하는 표시정보는 보안관리자를 위한 메인 페이지(Main Page), 일반사용자를 위한 마이 페이지(My Page), 부서장/경영자를 위한 VIP 페이지로 구분된, 권한별 전용 페이지를 제공하도록 구현된다. 예를 들어, 보안관리자를 위한 메인 페이지(Main Page)는 개발프로젝트 보안성심의 업무처리 현황, 운영중인 정보시스템에 대한 보안점검 진행 현황 및 취약점 조치 현황, 년도별 취약점 조치현황을 제공한다. 일반사용자를 위한 마이 페이지(My Page)는 내가 신청한 업무와 처리해야 할 취약점만을 보여주는 개인화 페이지로 구현되며, 부서장/경영자를 위한 VIP 페이지는 년도별 취약점 관리 현황 요약 정보를 포함한다.
취약점 관리현황 제공부(112)는 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 이용하여 개발프로젝트 단계에서의 개발 업체별 시큐어 코딩 순위, 개발프로젝트 단계에서의 개발자별 시큐어 코딩 순위, 운영중인 정보시스템의 담당자별 취약점 조치관리 순위, 운영중인 정보시스템별 보안관리 순위, 발견된 취약점 순위를 생성하여 표시정보로 제공할 수 있다.
취약점 점검현황 관리부(114)는 운영중인 정보시스템에 대한 취약점 점검항목과 점검기간을 포함하는 취약점 점검목록을 생성하여 저장하며, 취약점 진단자로부터 운영중인 정보시스템에 대한 취약점 점검현황에 관한 진행정보를 입력받아 취약점 통합관리서버(115)에 저장한다.
보안성 심의현황 관리부(116)는 개발프로젝트에 대한 보안성 심의신청정보가 입력되면 보안성 심의 대상인 개발프로젝트명, 신청자 이름, 신청일을 포함하는 보안성 심의 신청목록을 생성하여 보안성 심의관리서버(135)에 저장하며, 보안관리자로부터 보안성 심의신청에 대한 처리정보를 입력받아 보안성 심의관리서버(135)에 저장하고, 취약점 진단자로부터 보안성 심의 대상인 개발프로젝트에 대한 취약점 점검결과정보를 입력받아 보안성 심의관리서버(135)에 저장한다.
시스템 관리부(117)는 시스템 접속 사용자 계정, 접근 권한(사용자, 부서장, 심의운영자, 심의관리자, 시스템관리자), 각종 유형별 취약점 항목 및 가이드, 점검항목 그룹핑, 취약점 점검 프로젝트, 프로젝트 수행사, 단계별 자동 발송되는 메일 템프릿 및 발송 정책, 심의소요예상일, 조치기한, 취약점 위험등급별 가중치, 사용자 신청(보안성심의 신청, 이행점검 신청) 입력 폼 가이드에 대한 정보를 사용자 설정에 따라 등록, 변경, 추가한다.
취약점 조치현황 관리부(118)는 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 처리정보를 입력받아 취약점 통합관리서버(115)에 저장하고, 상기 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송한다.
취약점 조치현황 관리부(118)는 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송한 후 일정기간 내 조치계획일이 입력되지 않은 경우, 운영중인 정보시스템의 담당자 전자메일주소 또는 결재자 메일주소로 조치계획일 미입력 사실을 알리는 정보를 전송한다.
취약점 조치현황 관리부(118)는 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 기한일 전에 입력되지 않으면, 조치완료 요청정보를 운영중인 정보시스템의 담당자 전자메일주소 또는 결재자 메일주소로 전송한다.
취약점 조치현황 관리부(118)는 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 예외 신청정보가 입력되면, 예외처리 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하며, 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 기한 내 처리불가정보가 입력되면, 기한 내 처리불가 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송한다.
취약점 조치현황 관리부(118)는 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 입력되면 상기 조치완료된 운영중인 정보시스템에 대한 이행점검 신청목록을 생성하여 취약점 통합관리서버(115)에 저장하고, 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면 운영중인 정보시스템의 담당자 전자메일주소로 이행점검결과정보를 전송한다.
보안성 심의결과 조치현황 관리부(119)는 개발프로젝트의 개발자로부터 보안성 심의결과 발견된 개발프로젝트의 취약점에 대한 조치 처리정보를 입력받아 보안성 심의관리서버(135)에 저장하고, 보안성 심의 신청자 전자메일주소로 보안성 심의결과정보를 전송한다.
보안성 심의결과 조치현황 관리부(119)는 개발프로젝트의 개발자 전자메일주소로 취약점 점검결과정보를 전송한 후 일정기간 내 조치계획일이 입력되지 않은 경우, 개발프로젝트의 개발자 전자메일주소 또는 결재자 메일주소로 조치계획일 미입력 사실을 알리는 정보를 전송한다.
보안성 심의결과 조치현황 관리부(119)는 개발프로젝트의 개발자로부터 발견된 취약점에 대한 조치완료가 기한일 전에 입력되지 않으면, 조치완료 요청정보를 상기 개발프로젝트의 개발자 전자메일주소 또는 결재자 메일주소로 전송한다.
보안성 심의결과 조치현황 관리부(119)는 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치 예외 신청정보가 입력되면, 예외처리 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하며, 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치 기한 내 처리불가정보가 입력되면, 기한 내 처리불가 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송한다.
보안성 심의결과 조치현황 관리부(119)는 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치완료가 입력되면 상기 조치완료된 개발프로젝트에 대한 이행점검 신청목록을 생성하여 보안성 심의관리서버(135)에 저장하고, 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면 개발프로젝트의 개발자 전자메일주소로 이행점검결과정보를 전송한다.
도 3에서, 본 발명에 따른 보안 취약점 관리시스템에서 실시되는 보안 취약점 관리방법은 먼저, 보안점검 보안 취약점 관리 프로그램을 구동한다(S211). 단계 S211은 일례로 개발프로젝트에 대한 보안성 심의신청 또는 운영중인 정보시스템에 대한 보안 취약점 점검신청이 입력되면 자동으로 구현될 수 있다. 본 발명에 따른 보안 취약점 관리시스템은 보안성 심의신청이 입력되었는지를 확인한다(S212).
본 발명에 따른 보안 취약점 관리시스템은 확인결과 개발프로젝트에 대한 보안성 심의신청정보가 입력되면 보안성 심의 대상인 개발프로젝트명, 신청자 이름, 신청일을 포함하는 보안성 심의 신청목록을 생성하여 보안성 심의관리서버에 저장한다(S213). 확인결과 운영중인 정보시스템에 대한 보안 취약점 점검신청인 경우, 본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템에 대한 취약점 점검항목과 점검기간을 포함하는 취약점 점검목록을 생성하여 취약점 통합관리서버에 저장한다(S218). 본 발명에 따른 보안 취약점 관리시스템은 취약점 진단자로부터 상기 운영중인 정보시스템에 대한 취약점 점검현황에 관한 진행정보를 입력받아 취약점 통합관리서버에 저장한다.
본 발명에 따른 보안 취약점 관리시스템은 보안관리자로부터 보안성 심의신청에 대한 처리정보, 예를 들어 접수완료 또는 접수반려, 또는 점검완료에 대한 정보를 입력받아 보안성 심의관리서버에 저장한다(S213, S214). 본 발명에 따른 보안 취약점 관리시스템은 접수반려인 경우 해당 보안성 심의신청을 보안성 심의관리서버에 삭제한다(S219).
본 발명에 따른 보안 취약점 관리시스템은 취약점 진단자로부터 보안성 심의 대상인 개발프로젝트에 대한 취약점 점검결과정보를 입력받아 보안성 심의관리서버에 저장하고, 운영중인 정보시스템에 대한 취약점 점검결과정보를 입력받아 취약점 통합관리서버에 저장한다. 본 발명에 따른 보안 취약점 관리시스템은 점검결과에 대한 통보여부를 확인한다(S216). 예를 들어 본 발명에 따른 보안 취약점 관리시스템은 보안관리자의 승인을 받아 점검결과정보를 전송하도록 구현될 수 있다(S217).
단계 S217에서, 본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송하고, 보안성 심의 신청자 전자메일주소로 보안성 심의결과정보를 전송한다. 본 발명에 따른 보안 취약점 관리시스템은 고객사의 내부 연계시스템 중 하나인 인사정보관리서버를 접속하여 운영중인 정보시스템의 담당자 전자메일주소와 보안성 심의 신청자 전자메일주소를 검색하고 검색된 전자메일주소를 이용하여 취약점 점검결과정보와 보안성 심의결과정보를 전송한다.
도 4에서, 본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 처리정보를 입력받아 취약점 통합관리서버에 저장하거나 개발프로젝트의 개발자로부터 보안성 심의결과 발견된 개발프로젝트의 취약점에 대한 조치 처리정보를 입력받아 보안성 심의관리서버에 저장한다(S311).
본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 기한일 전에 입력되지 않으면, 조치완료 요청정보를 운영중인 정보시스템의 담당자 전자메일주소 또는 결재자 메일주소로 전송한다. 또한, 본 발명에 따른 보안 취약점 관리시스템은 개발프로젝트의 개발자 전자메일주소로 취약점 점검결과정보를 전송한 후 일정기간 내 조치계획일이 입력되지 않은 경우, 개발프로젝트의 개발자 전자메일주소 또는 결재자 메일주소로 조치계획일 미입력 사실을 알리는 정보를 전송한다.
본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템의 담당자 또는 개발자가 조치 예외상황이 발생하거나(S312) 기한 내 조치를 할 수 없는 상황이 발생한 경우(S313), 예외처리 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송(S318) 또는 기한 내 처리불가 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송한다(S319).
본 발명에 따른 보안 취약점 관리시스템은 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 입력되면(S314) 조치완료된 운영중인 정보시스템에 대한 이행점검 신청목록을 생성하여 취약점 통합관리서버에 저장하거나, 조치완료된 개발프로젝트에 대한 이행점검 신청목록을 생성하여 보안성 심의관리서버에 저장한다(S315).
단계 S315 이후에, 본 발명에 따른 보안 취약점 관리시스템은 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면(S316) 운영중인 정보시스템의 담당자 전자메일주소로 이행점검결과정보를 전송한다(S317).
한편, 본 발명에 따른 보안 취약점 관리시스템은 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면(S316) 개발프로젝트의 개발자 전자메일주소로 이행점검결과정보를 전송한다(S317).
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위에 의해서만 정해져야 할 것이다.

Claims (7)

  1. 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 사용자가 직관적으로 이해할 수 있는 표시정보와 사용자가 원하는 정보를 선택할 수 있도록 하는 그래픽 유저 인터페이스를 제공하는 취약점 관리현황 제공부;
    상기 운영중인 정보시스템에 대한 취약점 점검항목과 점검기간을 포함하는 취약점 점검목록을 생성하여 저장하며, 취약점 진단자로부터 상기 운영중인 정보시스템에 대한 취약점 점검현황에 관한 진행정보를 입력받아 취약점 통합관리서버에 저장하는 취약점 점검현황 관리부;
    상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 처리정보를 입력받아 상기 취약점 통합관리서버에 저장하고, 상기 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송하는 취약점 조치현황 관리부;
    상기 개발프로젝트에 대한 보안성 심의신청정보가 입력되면 보안성 심의 대상인 개발프로젝트명, 신청자 이름, 신청일을 포함하는 보안성 심의 신청목록을 생성하여 보안성 심의관리서버에 저장하며, 보안관리자로부터 상기 보안성 심의신청에 대한 처리정보를 입력받아 상기 보안성 심의관리서버에 저장하고, 취약점 진단자로부터 상기 보안성 심의 대상인 개발프로젝트에 대한 취약점 점검결과정보를 입력받아 상기 보안성 심의관리서버에 저장하는 보안성 심의현황 관리부;
    상기 개발프로젝트의 개발자로부터 보안성 심의결과 발견된 개발프로젝트의 취약점에 대한 조치 처리정보를 입력받아 상기 보안성 심의관리서버에 저장하고, 상기 보안성 심의 신청자 전자메일주소로 보안성 심의결과정보를 전송하는 보안성 심의결과 조치현황 관리부; 및
    시스템 접속 사용자 계정, 접근 권한(사용자, 부서장, 심의운영자, 심의관리자, 시스템관리자), 유형별 취약점 항목 및 가이드, 점검항목 그룹핑, 취약점 점검 프로젝트, 프로젝트 수행사, 단계별 자동 발송되는 메일 템프릿 및 발송 정책, 심의소요예상일, 조치기한, 취약점 위험등급별 가중치, 사용자 신청(보안성심의 신청, 이행점검 신청) 입력 폼 가이드에 대한 정보를 사용자 설정에 따라 등록, 변경, 추가하는 시스템 관리부를 포함하며,
    상기 취약점 관리현황 제공부는 보안관리자를 위한 메인 페이지(Main Page), 일반사용자를 위한 마이 페이지(My Page), 부서장/경영자를 위한 VIP 페이지로 구분된, 권한별 전용 페이지를 제공하고,
    상기 취약점 관리현황 제공부는 상기 개발프로젝트에 대한 보안성 심의 업무처리 현황 및 심의결과 조치현황과 운영중인 정보시스템에 대한 보안점검 진행현황 및 취약점 조치현황에 관한 정보를 이용하여 개발프로젝트 단계에서의 개발 업체별 시큐어 코딩 순위, 개발프로젝트 단계에서의 개발자별 시큐어 코딩 순위, 운영중인 정보시스템의 담당자별 취약점 조치관리 순위, 운영중인 정보시스템별 보안관리 순위, 발견된 취약점 순위를 생성하여 표시정보로 제공하고,
    상기 취약점 조치현황 관리부는, 상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 기한일 전에 입력되지 않으면, 조치완료 요청정보를 상기 운영중인 정보시스템의 담당자 전자메일주소 또는 결재자 메일주소로 전송하고,
    상기 취약점 조치현황 관리부는, 상기 운영중인 정보시스템의 담당자 전자메일주소로 취약점 점검결과정보를 전송한 후 일정기간 내 조치계획일이 입력되지 않은 경우, 상기 운영중인 정보시스템의 담당자 전자메일주소 또는 결재자 메일주소로 조치계획일 미입력 사실을 알리는 정보를 전송하고,
    상기 취약점 조치현황 관리부는, 상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 예외 신청정보가 입력되면, 예외처리 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하며,
    상기 취약점 조치현황 관리부는, 상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치 기한 내 처리불가정보가 입력되면, 기한 내 처리불가 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하고,
    상기 취약점 조치현황 관리부는, 상기 운영중인 정보시스템의 담당자로부터 발견된 취약점에 대한 조치완료가 입력되면 상기 조치완료된 운영중인 정보시스템에 대한 이행점검 신청목록을 생성하여 상기 취약점 통합관리서버에 저장하고, 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면 상기 운영중인 정보시스템의 담당자 전자메일주소로 이행점검결과정보를 전송하는 것,
    을 특징으로 하는 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 청구항 1에 있어서,
    상기 보안성 심의결과 조치현황 관리부는,
    상기 개발프로젝트의 개발자 전자메일주소로 취약점 점검결과정보를 전송한 후 일정기간 내 조치계획일이 입력되지 않은 경우, 상기 개발프로젝트의 개발자 전자메일주소 또는 결재자 메일주소로 조치계획일 미입력 사실을 알리는 정보를 전송하는 것,
    을 특징으로 하는 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템.
  6. 청구항 1에 있어서,
    상기 보안성 심의결과 조치현황 관리부는,
    상기 개발프로젝트의 개발자로부터 발견된 취약점에 대한 조치완료가 기한일 전에 입력되지 않으면, 조치완료 요청정보를 상기 개발프로젝트의 개발자 전자메일주소 또는 결재자 메일주소로 전송하는 것,
    을 특징으로 하는 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템.
  7. 청구항 1, 청구항 5 또는 청구항 6 중 어느 한 항에 있어서,
    상기 보안성 심의결과 조치현황 관리부는,
    상기 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치 예외 신청정보가 입력되면, 예외처리 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하며,
    상기 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치 기한 내 처리불가정보가 입력되면, 기한 내 처리불가 결재요청정보를 생성하여 이를 결재자 전자메일주소로 전송하고,
    상기 개발프로젝트의 개발자로부터로부터 발견된 취약점에 대한 조치완료가 입력되면 상기 조치완료된 개발프로젝트에 대한 이행점검 신청목록을 생성하여 상기 보안성 심의관리서버에 저장하고, 취약점 진단자로부터 이행점검결과정보를 포함하는 이행점검 완료정보가 입력되면 상기 개발프로젝트의 개발자 전자메일주소로 이행점검결과정보를 전송하는 것,
    을 특징으로 하는 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템.
KR1020150113738A 2015-08-12 2015-08-12 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템 KR101651586B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150113738A KR101651586B1 (ko) 2015-08-12 2015-08-12 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150113738A KR101651586B1 (ko) 2015-08-12 2015-08-12 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템

Publications (1)

Publication Number Publication Date
KR101651586B1 true KR101651586B1 (ko) 2016-08-26

Family

ID=56885936

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150113738A KR101651586B1 (ko) 2015-08-12 2015-08-12 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템

Country Status (1)

Country Link
KR (1) KR101651586B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210088794A (ko) 2020-01-06 2021-07-15 한국전자통신연구원 산업제어시스템 운영 환경을 고려한 취약점 시험 결과 확인 시스템 및 방법
KR20220091249A (ko) * 2020-12-23 2022-06-30 사단법인 금융보안원 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070117074A (ko) * 2006-06-07 2007-12-12 삼성에스디에스 주식회사 정보통신네트워크에서 보안관리의 자가 진단 방법
KR20090013930A (ko) * 2007-08-03 2009-02-06 에스케이 텔레콤주식회사 기업 it 보안 업무 관리 시스템 및 방법
KR20090112016A (ko) * 2008-04-23 2009-10-28 삼성에스디에스 주식회사 운영수준 관리시스템 및 관리방법
KR20110110431A (ko) 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 정보보안 장치 및 방법
KR20120079972A (ko) * 2011-01-06 2012-07-16 삼성에스디에스 주식회사 지능형 통합 보안 관리 시스템 및 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070117074A (ko) * 2006-06-07 2007-12-12 삼성에스디에스 주식회사 정보통신네트워크에서 보안관리의 자가 진단 방법
KR20090013930A (ko) * 2007-08-03 2009-02-06 에스케이 텔레콤주식회사 기업 it 보안 업무 관리 시스템 및 방법
KR100898867B1 (ko) 2007-08-03 2009-05-21 에스케이 텔레콤주식회사 기업 it 보안 업무 관리 시스템 및 방법
KR20090112016A (ko) * 2008-04-23 2009-10-28 삼성에스디에스 주식회사 운영수준 관리시스템 및 관리방법
KR20110110431A (ko) 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 정보보안 장치 및 방법
KR20120079972A (ko) * 2011-01-06 2012-07-16 삼성에스디에스 주식회사 지능형 통합 보안 관리 시스템 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210088794A (ko) 2020-01-06 2021-07-15 한국전자통신연구원 산업제어시스템 운영 환경을 고려한 취약점 시험 결과 확인 시스템 및 방법
KR20220091249A (ko) * 2020-12-23 2022-06-30 사단법인 금융보안원 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법
KR102439818B1 (ko) * 2020-12-23 2022-09-02 사단법인 금융보안원 금융 컴플라이언스에 기반한 평가 기준 관리 장치 및 그 방법

Similar Documents

Publication Publication Date Title
US11755770B2 (en) Dynamic management of data with context-based processing
US20190132350A1 (en) System and method for validation of distributed data storage systems
US9928381B2 (en) Data privacy management
US11783349B2 (en) Compliance management system
US20050131828A1 (en) Method and system for cyber-security damage assessment and evaluation measurement (CDAEM)
US11785036B2 (en) Real-time validation of data transmissions based on security profiles
CN106575397A (zh) 经由组织对云提供商伙伴关系的多云策略制定
US11888986B2 (en) Insight generation using personal identifiable information (PII) footprint modeling
JP2008525890A (ja) 金融上のトランザクションに関する資金リソースを検証するための装置及び方法
CN109684863A (zh) 数据防泄漏方法、装置、设备及存储介质
KR101651586B1 (ko) 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템
Authority Cyber security framework
Kazemi et al. Analysis of scalability and risks in cloud computing
Bernsmed Applying Privacy by Design in Software Engineering-An European Perspective
US20230401503A1 (en) Compliance management system
US11799658B2 (en) Tracking data throughout an asset lifecycle
Miller Security Assessment of Cloud-Based Healthcare Applications
Smit et al. Detecting privacy infractions in applications: A framework and methodology
Boonchieng Performance and security issue on open source private cloud
Esayas Utilizing security risk analysis and security testing in the legal domain
Hentula Evidence in cloud security compliance: towards a meta-evaluation framework
Kholimtaeva et al. ORGANIZATION INFORMATION SECURITY AUDIT ALGORITHM
Huang DevSecOps for Web3
Pulkkinen Cloud outsourcing guidelines and data protection regulation in Europe: Context of online banking self-service channels
Click Form 4: New Work Item Proposal

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190923

Year of fee payment: 4