KR102202108B1 - System and method to automatically diagnose vulnerabilities in cloud infrastructure assets - Google Patents
System and method to automatically diagnose vulnerabilities in cloud infrastructure assets Download PDFInfo
- Publication number
- KR102202108B1 KR102202108B1 KR1020200042831A KR20200042831A KR102202108B1 KR 102202108 B1 KR102202108 B1 KR 102202108B1 KR 1020200042831 A KR1020200042831 A KR 1020200042831A KR 20200042831 A KR20200042831 A KR 20200042831A KR 102202108 B1 KR102202108 B1 KR 102202108B1
- Authority
- KR
- South Korea
- Prior art keywords
- diagnosis
- cloud infrastructure
- vulnerability
- asset
- user terminal
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000003745 diagnosis Methods 0.000 claims abstract description 136
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 13
- 230000008859 change Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 230000033001 locomotion Effects 0.000 claims description 6
- 230000008685 targeting Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 16
- 238000011161 development Methods 0.000 description 14
- 238000013515 script Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000014509 gene expression Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000004171 remote diagnosis Methods 0.000 description 2
- 241000721662 Juniperus Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Development Economics (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
Description
본 발명은 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for automatically diagnosing vulnerabilities of cloud infrastructure assets.
기존의 컨설팅 사업은 인력이 직접 투입되어 관리진단 및 기술진단을 수행하고 보고서를 작성하는 방식이다 보니 인력 비용 및 시간이 소모되는 문제점이 있다. 또한, 주 52시간 근무제 시행 등 기업 차원의 직원 업무량 경감 필요성이 제기되는 상황에서 업무 자동화 툴에 대한 기업들의 관심이 증대되는 추세이다. 때문에 현재 인프라 취약점 진단을 수행할 때 업무를 더 수월하게 수행하기 위한 자동화 툴(스크립트) 파일을 자산에 옮긴 뒤 실행하여 결과 값을 얻는 방향으로 진행하고 있다. 수동 진단보다는 편리하지만 현재의 방식에도 여전히 여러 문제점이 존재하고 있다.In the existing consulting business, manpower is directly input to perform management diagnosis and technical diagnosis, and report preparation, so there is a problem that manpower cost and time are consumed. In addition, companies are increasingly interested in work automation tools in a situation where the need to reduce the workload of employees at the corporate level, such as the implementation of the 52-hour working week system, is raised. Therefore, when performing the current infrastructure vulnerability diagnosis, the automation tool (script) file to perform tasks more easily is moved to the asset and executed to obtain the result value. It is more convenient than manual diagnosis, but there are still several problems with the current method.
첫째, 자산에 직접 파일을 옮겨 실행해야 하기 때문에, 자산 담당자 입장에서는 스크립트의 오류가 발생하여 자산에서 운영중인 서비스에 문제가 생길 수 있는 위험성이 존재하다. 또한 스크립트와 같은 파일들이 계속 설치하는 것을 선호하지 않는다. 취약점 진단 수행 인력 또한 자신의 스크립트를 자산에 실행하기 위해서는 자산 담당자에게 메일에 첨부하는 방법으로 전달하고 있다. 스크립트는 편집기로 열어볼 경우 소스코드를 그대로 열람하고 수정하는 것이 가능하기 때문에 컨설팅 회사의 자산이라고 생각할 수 있는 소스코드 내용의 유출 또는 파일 자체가 유출되어 재사용될 가능성이 존재한다. 따라서 직접 스크립트를 설치하지 않고 취약점 자동 진단할 수 있는 방안이 필요하다.First, since the file must be transferred directly to the asset and executed, there is a risk that an error in the script may occur from the asset manager's point of view, resulting in a problem with the service running on the asset. Also, I don't like to keep installing files like scripts. Personnel who perform vulnerability diagnosis are also sending their scripts to the asset manager by attaching them to an e-mail in order to execute their own scripts on the assets. If the script is opened with an editor, it is possible to read and modify the source code as it is, so there is a possibility that the contents of the source code that can be considered an asset of a consulting company may be leaked or the file itself is leaked and reused. Therefore, there is a need for a way to automatically diagnose vulnerabilities without installing scripts directly.
둘째, 클라우드 기술이 상용화되면서 정보처리시스템을 사용하는 기업 및 공공기관의 인프라 자산 구성이 기존 데이터 센터 및 사내 서버실에 물리적으로 배치하는 형태(온프레미스 방식)에서 점차 클라우드 기반으로 바뀌고 있다. 상용 클라우드에서는 전용 포탈 웹사이트를 통해서 해당 인프라 리소스에 접근할 수 있도록 하고 있으며 이러한 차이로 인해 기존 인프라 진단 자동화 스크립트가 클라우드 기반 자산에서는 실행되지 않는 문제가 발생한다. 온프레미스 환경부터 클라우드 환경까지 고려해 확장성을 넓혀 사용할 수 있는 진단 자동화 툴의 연구가 필요하다.Second, with the commercialization of cloud technology, the composition of infrastructure assets of companies and public institutions that use information processing systems is gradually changing from the form of physically deployed in existing data centers and in-house server rooms (on-premises method) to cloud-based. In the commercial cloud, the corresponding infrastructure resource can be accessed through a dedicated portal website, and this difference causes a problem that the existing infrastructure diagnosis automation script is not executed on cloud-based assets. It is necessary to study a diagnostic automation tool that can be used by expanding scalability in consideration of the on-premises environment to the cloud environment.
마지막으로, 개발분야에서도 모바일 시대의 사용자의 빠른 변화에 맞추어 빠른 출시와 작고 끊임없는 이터레이션을 통해 소프트웨어를 개선하는 DevOps라는 개발 방법론이 생겨났다. 소프트웨어 개발환경 또한 기존의 온프레미스에서 클라우드 기반의 DevOps로 변경하는 추세이기 때문에 개발 단계부터 배포 단계까지의 빠른 개발 작업이 클라우드 서비스 안에서 이루어지고 있다. Finally, in the field of development, a development methodology called DevOps has emerged that improves software through rapid release and small, constant iterations to meet the rapid changes of users in the mobile era. Since the software development environment is also changing from the existing on-premises to cloud-based DevOps, rapid development work from the development stage to the deployment stage is performed within the cloud service.
개발 보안도 이에 맞춰 단위 테스트 등 작은 단위의 작업 및 배포 시 시큐어코딩 및 취약점 점검이 자동화로 이루어진다면 개발자 입장에서 손쉽게 소스코드 및 개발 환경에 대한 보안성을 높일 수 있을 것이다.In accordance with the development security, if secure coding and vulnerability checks are automated in small units such as unit tests and deployment, the security of the source code and development environment can be easily increased from the developer's point of view.
다음과 같은 이유들로 인해 클라우드 인프라 자산에 대한 취약점 진단의 자동화 방안에 관한 연구 및 개발이 시급하다.It is urgent to research and develop a method for automating vulnerability diagnosis for cloud infrastructure assets for the following reasons.
본 발명이 해결하고자 하는 과제는 종래의 문제점을 해결할 수 있는 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법을 제공하는 데 그 목적이 있다.An object of the present invention is to provide a system and method for automatically diagnosing vulnerabilities of cloud infrastructure assets that can solve the conventional problems.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 클라우드 인프라 대상의 자산의 취약점을 진단하기 위한 방법은 클라우드 인프라 자산진단서버에서 사용자 단말로 클라우드 인프라 대상의 종류 및 자산을 입력받기 위한 원격 채널 및 취약점 진단명령어를 제공하는 제1 단계; 상기 사용자 단말에서 상기 클라우드 인프라 대상의 진단범위 및 탐지수준을 설정하고, 상기 원격 채널로 상기 클라우드 인프라 대상의 종류, 자산 및 상기 인프라 대상의 취약점 진단명령어를 제공하는 제2 단계; 상기 클라우드 인프라 자산진단서버에서 상기 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 생성 및 파싱처리하는 제3 단계; 및 상기 클라우드 인프라 자산진단서버에서 파싱 데이터 및 보고서 템플릿을 활용하여 사용자 단말에서 지정한 형태의 문서파일로 취약점 진단결과 보고서를 상기 사용자 단말로 제공하는 제4 단계; 상기 제4 단계가 완료되면, 상기 문서파일의 소스 코드를 등록 보관하고, 주기적으로 상기 소스코드의 변경 여부를 모니터링하는 제5 단계를 포함하고, 상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어 코딩이 적용되었는지 여부를 진단하고, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단하는 단계를 더 포함한다.A method for diagnosing a vulnerability of an asset targeting a cloud infrastructure according to an embodiment of the present invention for solving the above problem includes a remote channel for receiving the type and asset of the cloud infrastructure target from the cloud infrastructure asset diagnosis server to a user terminal, and A first step of providing a vulnerability diagnosis command; A second step of setting a diagnosis range and detection level of the cloud infrastructure target in the user terminal, and providing a type of the cloud infrastructure target, an asset, and a vulnerability diagnosis command of the infrastructure target through the remote channel; A third step of generating and parsing the diagnosis status and analysis result back data for the diagnosis items diagnosed with the infrastructure target based on the vulnerability diagnosis command of the infrastructure target in the cloud infrastructure asset diagnosis server; And a fourth step of providing a vulnerability diagnosis result report to the user terminal in a document file of a format designated by the user terminal by using the parsed data and report template in the cloud infrastructure asset diagnosis server. When the fourth step is completed, the source code of the document file is registered and stored, and a fifth step of periodically monitoring whether or not the source code is changed. When a change of the source code is detected, in the changed source code It further includes diagnosing whether secure coding has been applied, and determining whether to record log information on a history of generation, change, movement, or deletion of the changed source code.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 클라우드 인프라 대상의 자산의 취약점을 진단하기 위한 시스템은 클라우드 인프라 대상의 종류 및 자산을 입력하고, 입력된 클라우드 인프라 대상의 자산 취약점에 대한 진단결과를 문서파일로 요청하는 사용자 단말; 및 상기 사용자 단말로 클라우드 인프라 대상의 종류 및 자산을 입력받기 위한 원격 채널 및 취약점 진단명령어를 제공하고, 상기 사용자 단말에서 입력한 클라우드 인프라 대상의 진단범위 및 탐지수준 및 상기 클라우드 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 기 설정된 형태로 파싱한 후, 파싱 데이터 및 보고서 템플릿을 활용하여 상기 사용자 단말에서 지정한 형태의 문서파일로 상기 진단현황 및 분석결과 백데이터를 가공처리하여 상기 사용자 단말로 제공하는 클라우드 인프라 자산진단서버를 포함하고, 상기 클라우드 인프라 자산진단서버는 상기 사용자 단말에서 입력한 클라우드 인프라 시설 내의 진단항목에 따른 자산별 진단기준 및 진단명령어를 제공하는 진단기준 및 명령어 제공부; 상기 사용자 단말에서 입력한 진단 명령어를 기초로 해당 클라우드 인프라 시설의 자산 취약점을 진단한 진단 항목에 대한 진단 현황 및 분석 결과 백데이터를 생성하여 분석 결과값으로 제공하는 취약 진단부; 상기 취약 진단부에서 분석한 분석 결과값 중 상기 사용자 단말로 제공할 취약점 진단 보고서에 채용될 데이터만을 파싱처리하여 파싱 데이터를 생성하는 파싱 처리부; 상기 파싱 데이터 및 보고서 탬플릿을 기초로 취약점 진단 보고서를 생성하는 보고서 생성부; 및 상기 보고서 생성부에서 생성 또는 추출된 취약점 진단 보고서 파일의 소스 코드를 등록 보관하고, 주기적으로 상기 소스 코드의 변경 여부를 모니터링하는 소스코드 모니터링부를 포함하고, 상기 소스코드 모니터링부는 상기 소스코드의 변경을 탐지하고, 상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어 코딩이 적용되었는지 여부를 진단하고, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단하는 것을 특징으로 한다.In the system for diagnosing the vulnerability of an asset targeting cloud infrastructure according to an embodiment of the present invention to solve the above problem, the type and asset of the cloud infrastructure target are input, and the result of diagnosis on the asset vulnerability of the cloud infrastructure target A user terminal requesting a document file; And a remote channel and a vulnerability diagnosis command for receiving the type and asset of a cloud infrastructure target to the user terminal, and a diagnosis range and detection level of the cloud infrastructure target input from the user terminal, and a vulnerability diagnosis command for the cloud infrastructure target. After parsing the diagnosis status and analysis result back data for the diagnostic item that diagnosed the vulnerability of the infrastructure target in a preset format, the parsed data and report template are used to display the document file in the format designated by the user terminal. It includes a cloud infrastructure asset diagnosis server that processes the diagnosis status and analysis result back data to the user terminal, and the cloud infrastructure asset diagnosis server diagnoses each asset according to the diagnosis items in the cloud infrastructure facility input from the user terminal. A diagnostic reference and command providing unit that provides a reference and diagnostic command; A vulnerability diagnosis unit that generates a diagnosis status and analysis result back data for a diagnosis item that diagnoses an asset vulnerability of a corresponding cloud infrastructure facility based on the diagnosis command input from the user terminal, and provides an analysis result value; A parsing processing unit for generating parsed data by parsing only data to be employed in a vulnerability diagnosis report to be provided to the user terminal among the analysis result values analyzed by the vulnerability diagnosis unit; A report generation unit generating a vulnerability diagnosis report based on the parsed data and report template; And a source code monitoring unit that registers and stores the source code of the vulnerability diagnosis report file generated or extracted by the report generation unit, and periodically monitors whether the source code is changed, and the source code monitoring unit changes the source code. And, when the source code change is detected, diagnosing whether secure coding is applied in the changed source code, and determining whether to record log information on the generation, change, movement, or deletion history of the changed source code. It is characterized.
본 발명에 따르면, 기존 진단에서 적용할 수 없었던 클라우드 인프라 자산에 대한 취약점 진단이 자동화 되어 이루어질 수 있도록 개선함으로써, 기존 스크립트 오류 및 수동 진단에 대한 업무를 충분히 대체할 수 있다는 이점이 있다.According to the present invention, there is an advantage of being able to sufficiently replace existing script errors and manual diagnosis tasks by improving the automatic vulnerability diagnosis for cloud infrastructure assets that could not be applied in the existing diagnosis.
또한 발명한 시스템을 활용하여 정보보안 전문 인력이 아니더라도 손쉬운 클라우드 인프라 진단 수행이 가능하도록 함으로써 정보보호 업무의 시간과 비용을 절약할 수 있다는 이점이 있다.In addition, there is an advantage in that it is possible to save time and cost of information security work by making it possible to easily perform cloud infrastructure diagnosis even if you are not an information security expert by using the invented system.
마지막으로 클라우드 환경의 DevOps 개발 방법론에 따른 개발 및 배포 단계에 따른 맞춤형 소스 진단 및 개발 보안 작업을 자동으로 수행함으로써 전문 인력의 도움 없이도 개발 보안 수준을 매우 높게 유지할 수 있다는 이점이 있다.Lastly, it has the advantage of maintaining a very high level of development security without the help of expert personnel by automatically performing customized source diagnosis and development security tasks according to the development and deployment stages according to the DevOps development methodology in the cloud environment.
도 1은 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 진단하기 위한 시스템의 네트워크 구성도이다.
도 2는 도 1에 도시된 클라우드 인프라 자산진단서버의 세부 구성을 나타낸 블록도이다.
도 3은 도 2에 도시된 취약 진단부의 실행결과를 표시한 도이다.
도 4는 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 진단하기 위한 방법을 설명한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 진단하기 위한 방법의 추가 실시예를 설명한 흐름도이다.
도 6은 본 명세서에 개진된 하나 이상의 실시예가 구현될 수 있는 예시적인 컴퓨팅 환경을 도시한 도이다. 1 is a network configuration diagram of a system for diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention.
2 is a block diagram showing the detailed configuration of the cloud infrastructure asset diagnosis server shown in FIG.
FIG. 3 is a diagram showing an execution result of the vulnerability diagnosis unit shown in FIG. 2.
4 is a flowchart illustrating a method for diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention.
5 is a flowchart illustrating an additional embodiment of a method for diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention.
6 is a diagram illustrating an exemplary computing environment in which one or more embodiments disclosed herein may be implemented.
이하, 본 명세서의 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 명세서에 기재된 기술을 특정한 실시 형태에 대해 한정하는 것이 아니며, 본 명세서의 실시예의 다양한 변경(modifications), 균등물(equivalents), 및/또는 대체물(alternatives)을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다. 본 명세서에서, "가진다," "가질 수 있다," "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징(예: 수치, 기능, 동작, 또는 부품 등의 구성요소)의 존재를 가리키며, 추가적인 특징의 존재를 배제하지 않는다.Hereinafter, embodiments of the present specification will be described with reference to the accompanying drawings. However, this is not intended to limit the technology described herein to a specific embodiment, it should be understood to include various modifications, equivalents, and/or alternatives of the embodiments herein. . In connection with the description of the drawings, similar reference numerals may be used for similar elements. In the present specification, expressions such as "have," "may have," "include," or "may include" are the presence of corresponding features (eg, elements such as numbers, functions, actions, or parts). And does not exclude the presence of additional features.
본 명세서에서, "A 또는 B," "A 또는/및 B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상"등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. 예를 들면, "A 또는 B," "A 및 B 중 적어도 하나," 또는 "A 또는 B 중 적어도 하나"는, (1) 적어도 하나의 A를 포함, (2) 적어도 하나의 B를 포함, 또는 (3) 적어도 하나의 A 및 적어도 하나의 B 모두를 포함하는 경우를 모두 지칭할 수 있다.In this specification, expressions such as "A or B," "at least one of A or/and B," or "one or more of A or/and B" may include all possible combinations of items listed together. . For example, "A or B," "at least one of A and B," or "at least one of A or B" includes (1) at least one A, (2) at least one B, Or (3) it may refer to all cases including both at least one A and at least one B.
본 명세서에서 사용된 "제 1," "제 2," "첫째," 또는 "둘째,"등의 표현들은 다양한 구성요소들을, 순서 및/또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다. 예를 들면, 제 1 사용자 기기와 제 2 사용자 기기는, 순서 또는 중요도와 무관하게, 서로 다른 사용자 기기를 나타낼 수 있다. 예를 들면, 본 명세서에 기재된 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 바꾸어 명명될 수 있다.Expressions such as "first," "second," "first," or "second," as used herein may modify various elements regardless of their order and/or importance, and one element It is used to distinguish it from other components and does not limit the components. For example, a first user device and a second user device may represent different user devices regardless of order or importance. For example, without departing from the scope of the rights described in the present specification, a first component may be referred to as a second component, and similarly, a second component may be renamed to a first component.
어떤 구성요소(예: 제 1 구성요소)가 다른 구성요소(예: 제 2 구성요소)에 "(기능적으로 또는 통신적으로) 연결되어((operatively or communicatively) coupled with/to)" 있다거나 "접속되어(connected to)" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제 3 구성요소)를 통하여 연결될 수 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소(예: 제 1 구성요소)가 다른 구성요소(예: 제 2 구성요소)에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 다른 구성요소(예: 제 3 구성요소)가 존재하지 않는 것으로 이해될 수 있다.Some component (eg, a first component) is "(functionally or communicatively) coupled with/to)" to another component (eg, a second component) or " When referred to as "connected to", it should be understood that the certain component may be directly connected to the other component, or may be connected through another component (eg, a third component). On the other hand, when a component (eg, a first component) is referred to as being “directly connected” or “directly connected” to another component (eg, a second component), the component and the It may be understood that no other component (eg, a third component) exists between the different components.
본 명세서에서 사용된 표현 "~하도록 구성된(또는 설정된)(configured to)"은 상황에 따라, 예를 들면, "~에 적합한(suitable for)," "~하는 능력을 가지는(having the capacity to)," "~하도록 설계된(designed to)," "~하도록 변경된(adapted to)," "~하도록 만들어진(made to)," 또는 "~를 할 수 있는(capable of)"과 바꾸어 사용될 수 있다. 용어 "~하도록 구성된(또는 설정된)"은 하드웨어적으로 "특별히 설계된(specifically designed to)" 것만을 반드시 의미하지 않을 수 있다. 대신, 어떤 상황에서는, "~하도록 구성된 장치"라는 표현은, 그 장치가 다른 장치 또는 부품들과 함께 "~할 수 있는" 것을 의미할 수 있다. The expression "configured to (configured to)" used in this specification is, for example, "suitable for," "having the capacity to" depending on the situation. ," "designed to," "adapted to," "made to," or "capable of." The term "configured to (or set)" may not necessarily mean only "specifically designed to" in hardware. Instead, in some situations, the expression "a device configured to" may mean that the device "can" along with other devices or parts.
예를 들면, 문구 "A, B, 및 C를 수행하도록 구성된(또는 설정된) 프로세서"는 해당 동작을 수행하기 위한 전용 프로세서(예: 임베디드 프로세서), 또는 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용프로세서(generic-purpose processor)(예: CPU 또는 application processor)를 의미할 수 있다.For example, the phrase “a processor configured (or configured) to perform A, B, and C” means a dedicated processor (eg, an embedded processor) for performing the operation, or by executing one or more software programs stored in a memory device. , May mean a generic-purpose processor (eg, a CPU or an application processor) capable of performing corresponding operations.
본 명세서에서 사용된 용어들은 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 다른 실시예의 범위를 한정하려는 의도가 아닐 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 용어들은 본 명세서에 기재된 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다. 본 명세서에 사용된 용어들 중 일반적인 사전에 정의된 용어들은, 관련 기술의 문맥상 가지는 의미와 동일 또는 유사한 의미로 해석될 수 있으며, 본 명세서에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. 경우에 따라서, 본 명세서에서 정의된 용어일지라도 본 명세서의 실시예들을 배제하도록 해석될 수 없다.Terms used in the present specification are only used to describe a specific embodiment, and may not be intended to limit the scope of other embodiments. Singular expressions may include plural expressions unless the context clearly indicates otherwise. Terms used herein, including technical or scientific terms, may have the same meaning as commonly understood by a person of ordinary skill in the technical field described herein. Among the terms used in this specification, terms defined in a general dictionary may be interpreted as having the same or similar meaning as the meaning in the context of the related technology, and unless explicitly defined in the present specification, an ideal or excessively formal meaning Is not interpreted as. In some cases, even terms defined herein cannot be interpreted to exclude embodiments of the present specification.
이하, 첨부된 도면들에 기초하여 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법을 보다 상세하게 설명하도록 한다.Hereinafter, a system and method for automatically diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention will be described in more detail based on the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 진단하기 위한 시스템의 네트워크 구성도이고, 도 2는 도 1에 도시된 클라우드 인프라 자산진단서버의 세부 구성을 나타낸 블록도이고, 도 3은 도 1에 도시된 취약 진단부의 실행결과를 표시한 도이다.1 is a network configuration diagram of a system for diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention, and FIG. 2 is a block diagram showing a detailed configuration of a cloud infrastructure asset diagnosis server shown in FIG. 3 is a diagram showing an execution result of the vulnerability diagnosis unit shown in FIG. 1.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템(100)은 사용자 단말(200) 및 클라우드 인프라 자산진단서버(300)를 포함한다.As shown in FIG. 1, the
상기 사용자 단말(200)은 클라우드 인프라 대상의 종류 및 자산을 입력하고, 입력된 클라우드 인프라 대상의 자산 취약점에 대한 진단결과를 문서파일로 요청하는 단말일 수 있다.The
참고로, 본원 발명에서 언급한 인프라 자산은 취약점 진단 기준에 따라 취약점 진단 대상이 되는 정보자산을 뜻한다. For reference, the infrastructure asset referred to in the present invention refers to an information asset subject to vulnerability diagnosis according to the vulnerability diagnosis criteria.
예컨대, 정보통신망법 또는 전자금융감독규정 법령 그리고 정보보호관리체계 인증 심사 항목에서는 식별한 정보자산에 대해 취약점 진단을 수행하도록 하고 있으며 이 중 웹&모바일 어플리케이션을 제외한 서버, 네트워크, 정보보호시스템, DBMS등의 정보자산을 통틀어 인프라 자산이라고 칭하며 분야별 세부 버전은 다음과 같다.For example, in the Information and Communication Network Act or the Electronic Financial Supervisory Regulations Act and the information protection management system certification examination items, vulnerability assessment is required for identified information assets. Among them, servers, networks, information protection systems, DBMS, etc. excluding web & mobile applications. The information assets of Korea are collectively referred to as infrastructure assets, and detailed versions for each field are as follows.
1) 서버(Unix 계열, Windows Server 계열) 1) Server (Unix series, Windows Server series)
2) 네트워크(CISCO, JUNIPER, Alteon, Nortel, Piolink) 2) Network (CISCO, JUNIPER, Alteon, Nortel, Piolink)
3) 정보보호시스템(방화벽, IPS, IDS, VPN 등) 3) Information protection system (firewall, IPS, IDS, VPN, etc.)
4) DBMS(Oracle, MsSQL, MySQL, Tibero)4) DBMS (Oracle, MsSQL, MySQL, Tibero)
또한, 상기 사용자 단말(200)은 후술할 클라우드 인프라 자산진단서버(300)로부터 자산별 진단기준(주요정보통신기반시설, 전자금융기반시설 취약점 분석 및 평가기준 등) 및 진단기준별 취약점 진단 스크립트를 모두 제공받는 단말일 수 있다.In addition, the
또한, 상기 사용자 단말(200)은 후술하는 클라우드 인프라 자산진단서버로부터 사용자가 입력한 클라우드 인프라 자산의 취약점을 진단한 진단항목에 대한 분석결과 백데이터의 접근을 요청할 수 있다.In addition, the
또한, 상기 사용자 단말(200)은 상기 클라우드 인프라 대상의 진단범위 및 탐지수준을 설정하는 단말일 수 있다.In addition, the
한편, 상기 사용자 단말(200)은 스마트 폰(Smart Phone), 휴대 단말기(Portable Terminal), 이동 단말기(Mobile Terminal), 폴더블 단말기(Foldable Terminal), 개인 정보 단말기(Personal Digital Assistant: PDA), PMP(Portable Multimedia Player) 단말기, 텔레매틱스(Telematics) 단말기, 내비게이션(Navigation) 단말기, 개인용 컴퓨터(Personal Computer), 노트북 컴퓨터, 슬레이트 PC(Slate PC), 태블릿 PC(Tablet PC), 울트라북(ultrabook), 웨어러블 디바이스(Wearable Device, 예를 들어, 워치형 단말기(Smartwatch), 글래스형 단말기(Smart Glass), HMD(Head Mounted Display) 등 포함), 와이브로(Wibro) 단말기, IPTV(Internet Protocol Television) 단말기, 스마트 TV, 디지털방송용 단말기, AVN(Audio Video Navigation) 단말기, A/V(Audio/Video) 시스템, 플렉시블 단말기(Flexible Terminal), 디지털 사이니지 장치 등과 같은 다양한 단말기에 적용될 수 있다.On the other hand, the
사용자 단말(200)은 유/무선 통신망을 통해 내부의 임의의 구성 요소 또는 외부의 임의의 적어도 하나의 단말기(영상 캠, 콘솔 조작부 등)과 통신 연결한다. 여기서, 무선 인터넷 기술로는 무선랜(Wireless LAN: WLAN), DLNA(Digital Living Network Alliance), 와이브로(Wireless Broadband: Wibro), 와이맥스(World Interoperability for Microwave Access: Wimax), HSDPA(High Speed Downlink Packet Access), HSUPA(High Speed Uplink Packet Access), IEEE 802.16, 롱 텀 에볼루션(Long Term Evolution: LTE), LTE-A(Long Term Evolution-Advanced), 광대역 무선 이동 통신 서비스(Wireless Mobile Broadband Service: WMBS) 등이 있으며, 상기에서 나열되지 않은 인터넷 기술까지 포함한 범위에서 적어도 하나의 무선 인터넷 기술에 따라 데이터를 송수신하게 된다. 또한, 근거리 통신 기술로는 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(Infrared Data Association: IrDA), UWB(Ultra Wideband), 지그비(ZigBee), 인접 자장 통신(Near Field Communication: NFC), 초음파 통신(Ultra Sound Communication: USC), 가시광 통신(Visible Light Communication: VLC), 와이 파이(Wi-Fi), 와이 파이 다이렉트(Wi-Fi Direct) 등이 포함될 수 있다. 또한, 유선 통신 기술로는 전력선 통신(Power Line Communication: PLC), USB 통신, 이더넷(Ethernet), 시리얼 통신(serial communication), 광/동축 케이블 등이 포함될 수 있다.The
또한, 사용자 단말(200)은 유니버설 시리얼 버스(Universal Serial Bus: USB)를 통해 임의의 단말과 정보를 상호 전송할 수 있다.In addition, the
또한, 사용자 단말(200)은 이동통신을 위한 기술표준들 또는 통신방식(예를 들어, GSM(Global System for Mobile communication), CDMA(Code Division Multi Access), CDMA2000(Code Division Multi Access 2000), EV-DO(Enhanced Voice-Data Optimized or Enhanced Voice-Data Only), WCDMA(Wideband CDMA), HSDPA(High Speed Downlink Packet Access), HSUPA(High Speed Uplink Packet Access), LTE(Long Term Evolution), LTE-A(Long Term Evolution-Advanced) 등)에 따라 구축된 이동 통신망 상에서 기지국, 클라우드 인프라 자산진단서버(300) 등과 무선 신호를 송수신한다.In addition, the
다음으로, 상기 클라우드 인프라 자산진단서버(300)는 사용자 단말(200)로 클라우드 인프라 대상의 종류 및 자산을 입력받기 위한 원격 채널 및 취약점 진단명령어를 제공하고, 상기 사용자 단말(200)에서 입력한 상기 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 기 설정된 형태로 파싱한 후, 파싱 데이터 및 보고서 템플릿을 활용하여 상기 사용자 단말에서 지정한 형태의 문서파일로 상기 진단현황 및 분석결과 백데이터를 가공처리하여 상기 사용자 단말로 제공하는 기능을 수행한다.Next, the cloud infrastructure
보다 구체적으로, 상기 클라우드 인프라 자산진단서버(300)는 입/출력부(310), 채널생성부(320), 인프라 선별부(330), 진단기준 및 명령어 제공부(340), 취약 진단부(350), 파싱 처리부(360), 보고서 생성부(370) 및 소스코드 모니터링부(380)를 포함한다.More specifically, the cloud infrastructure
상기 입/출력부(310)는 사용자 단말(200)에서 제공한 클라우드 인프라 자산정보를 입력받고, 입력된 클라우드 인프라 자산정보의 취약점을 진단한 진단결과 보고서를 사용자 단말로 전달하는 구성일 수 있다.The input/
또한, 입/출력부(310)는 진단기준 및 명령어 제공부(340)에서 전달된 진단기준 및 진단 명령어를 사용자 단말(200)로 제공한다.In addition, the input/
상기 채널생성부(320)는 사용자 단말에서 제공한 클라우드 인프라 자산시설과의 접속시에 해당 클라우드 인프라 자산시설 중 진단 대상과 원격으로 진단 명령어를 전달할 통신채널을 생성한다.The
상기 진단기준 및 명령어 제공부(340)는 사용자 단말(200)에서 입력한 클라우드 인프라 시설 내의 진단항목에 따른 자산별 진단기준 및 진단 명령어를 제공한다.The diagnostic criteria and
상기 취약 진단부(350)는 사용자 단말(200)에서 입력한 진단 명령어를 기초로 해당 클라우드 인프라 시설의 자산 취약점을 진단한다. 보다 구체적으로, 취약점 진단 항목에 대해 양호/취약 여부를 분석한 후, 진단 항목에 대한 진단 현황 및 분석 결과 백데이터를 생성하여 분석 결과값으로 제공한다.The
상기 파싱 처리부(360)는 취약 진단부(350)에서 분석한 분석 결과값 중 사용자 단말로 제공할 취약점 진단 보고서에 채용될 데이터만을 파싱처리하여 파싱 데이터를 생성한다. 여기서, 파싱 데이터는 후술하는 취약점 진단 보고서 추출시 사용된다.The parsing
상기 보고서 생성부(370)는 파싱 데이터 및 보고서 템플릿을 기초로 취약점 진단 보고서를 생성한다. 여기서, 취약점 진단 보고서 생성시에 분석 결과 백데이터를 기초로 수정/보완할 수 있다.The
상기 소스코드 모니터링부(380)는 보고서 생성부(370)에서 생성(추출)된 취약점 진단 보고서 파일의 소스 코드를 등록 보관하고, 주기적으로 상기 소스코드의 변경 여부를 모니터링하는 구성일 수 있다.The source
보다 구체적으로, 상기 소스코드 모니터링부(380)는 상기 소스코드의 변경을 탐지하고, 상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어 코딩이 적용되었는지 여부를 진단할 수 있다.More specifically, the source
또한, 상기 소스코드 변경이 탐지되면, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단할 수 있다.In addition, when the source code change is detected, it is possible to determine whether to record log information on the generation, change, movement, or deletion history of the changed source code.
도 4는 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 방법을 설명한 흐름도이고, 도 5는 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 진단하기 위한 방법의 추가 실시예를 설명한 흐름도이다.4 is a flowchart illustrating a method for automatically diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention, and FIG. 5 is an addition of a method for diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention. It is a flowchart explaining an embodiment.
도 4 및 도 5에 도시된 바와 같이, 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 방법(S700)은 먼저, 클라우드 인프라 자산진단서버(300)에서 사용자 단말(200)로 클라우드 인프라 시설(대상)의 종류 및 자산정보를 입력받기 위한 원격 채널 및 취약점 진단명령어를 제공하는 단계일 수 있다.4 and 5, the method for automatically diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention (S700) is, first, a
보다 구체적으로, 상기 S710 과정은 사용자 단말(200)에서 운영중인 클라우드 기반 인프라 자산정보를 클라우드 인프라 자산진단서버로 전달하면, 클라우드 인프라 자산진단서버(300)는 해당 인프라 자산의 진단 가능한 진단항목 및 진단항목 별 진단기준을 전달한다. 이후, 사용자 단말(200)은 진단항목을 전달하면, 클라우드 인프라 자산진단서버(300)는 해당 인프라 자산의 취약점을 진단하기 위한 진단 명령어 및 취약점 진단 보고서를 제공하기 위한 원격 진단 채널을 생성하여 사용자 단말로 제공하는 일련의 과정을 포함할 수 있다.More specifically, in the S710 process, when the cloud-based infrastructure asset information operated by the
이후, S710 과정이 완료되면, 사용자 단말(200)은 원격 진단 채널을 통해 사용자가 원하는 진단 명령어를 클라우드 인프라 자산진단서버(300)로 전송(S720)하면, 클라우드 인프라 자산진단서버(300)는 상기 클라우드 인프라 자산진단서버에서 상기 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 생성 및 파싱처리한 후, 파싱 데이터 및 보고서 템플릿을 기초로 취약점 진단결과 보고서를 생성(S730)한다.Thereafter, when the process S710 is completed, the
이후, 클라우드 인프라 자산진단서버(300)에서 취약점 진단결과 보고서를 상기 사용자 단말로 제공(S740)한다.Thereafter, the cloud infrastructure
한편, 도 5를 참조, 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 방법(S700)은 상기 S730 과정이 완료된 후, 상기 취약점 진단보고서의 소스 코드를 등록 보관하고, 주기적으로 상기 소스코드의 변경 여부를 모니터링하는 과정을 포함할 수 있다.Meanwhile, referring to FIG. 5, the method for automatically diagnosing a vulnerability of a cloud infrastructure asset according to an embodiment of the present invention (S700) includes registering and storing the source code of the vulnerability diagnosis report after the process S730 is completed, and periodically As such, it may include a process of monitoring whether the source code is changed.
이때, 상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어(보안) 코딩이 적용되었는지 여부를 진단하는 과정을 더 포함할 수 있고, 상기 소스코드 변경이 탐지되면, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단하는 과정을 더 포함할 수 있다.In this case, when the source code change is detected, the process of diagnosing whether secure (security) coding is applied in the changed source code may be further included. When the source code change is detected, the changed source code is generated and changed. , It may further include a process of determining whether to record log information on the movement or deletion history.
한편, 본 발명의 일 실시예에 따른 클라우드 인프라 자산의 취약점을 자동진단하기 위한 방법(S700)은 상기 사용자 단말에서 상기 클라우드 인프라 대상의 진단범위 및 탐지수준을 설정한 설정정보를 기초로 클라우드 인프라 자산진단서버에서 진단범위 및 탐지범위를 가변하는 과정을 더 포함할 수 있다.On the other hand, the method (S700) for automatically diagnosing the vulnerability of a cloud infrastructure asset according to an embodiment of the present invention is a cloud infrastructure asset based on setting information that sets the diagnosis range and detection level of the cloud infrastructure target in the user terminal. The diagnosis server may further include a process of changing the diagnosis range and the detection range.
따라서, 본 발명의 일 실시예에 따르면, 기존 진단에서 적용할 수 없었던 클라우드 인프라 자산에 대한 취약점 진단이 자동화 되어 이루어질 수 있도록 개선함으로써, 기존 스크립트 오류 및 수동 진단에 대한 업무를 충분히 대체할 수 있다는 이점이 있다. Therefore, according to an embodiment of the present invention, by improving the vulnerability diagnosis for cloud infrastructure assets that could not be applied in the existing diagnosis to be automated, it is possible to sufficiently replace the existing script error and manual diagnosis tasks. There is this.
또한, 본원에 개시된 시스템을 활용하여 정보보안 전문 인력이 아니더라도 손쉬운 클라우드 인프라 진단 수행이 가능하도록 함으로써 정보보호 업무의 시간과 비용을 절약할 수 있고, 마지막으로 클라우드 환경의 DevOps 개발 방법론에 따른 개발 및 배포 단계에 따른 맞춤형 소스 진단 및 개발 보안 작업을 자동으로 수행함으로써 전문 인력의 도움 없이도 개발 보안 수준을 매우 높게 유지할 수 있다는 이점이 있다. In addition, by using the system disclosed herein, it is possible to easily perform cloud infrastructure diagnosis even if you are not an information security expert, so you can save time and cost of information protection work, and finally, development and distribution according to the DevOps development methodology of the cloud environment. It has the advantage of maintaining a very high level of development security without the help of expert personnel by automatically performing customized source diagnosis and development security tasks according to stages.
도 6은 본 명세서에 개진된 하나 이상의 실시예가 구현될 수 있는 예시적인 컴퓨팅 환경을 도시하는 도면으로, 상술한 하나 이상의 실시예를 구현하도록 구성된 컴퓨팅 디바이스(1100)를 포함하는 시스템(1000)의 예시를 도시한다. 예를 들어, 컴퓨팅 디바이스(1100)는 개인 컴퓨터, 서버 컴퓨터, 핸드헬드 또는 랩탑 디바이스, 모바일 디바이스(모바일폰, PDA, 미디어 플레이어 등), 멀티프로세서 시스템, 소비자 전자기기, 미니 컴퓨터, 메인프레임 컴퓨터, 임의의 전술된 시스템 또는 디바이스를 포함하는 분산 컴퓨팅 환경 등을 포함하지만, 이것으로 한정되는 것은 아니다.6 is a diagram illustrating an exemplary computing environment in which one or more embodiments disclosed herein may be implemented, an illustration of a
컴퓨팅 디바이스(1100)는 적어도 하나의 프로세싱 유닛(1110) 및 메모리(1120)를 포함할 수 있다. 여기서, 프로세싱 유닛(1110)은 예를 들어 중앙처리장치(CPU), 그래픽처리장치(GPU), 마이크로프로세서, 주문형 반도체(Application Specific Integrated Circuit, ASIC), Field Programmable Gate Arrays(FPGA) 등을 포함할 수 있으며, 복수의 코어를 가질 수 있다. 메모리(1120)는 휘발성 메모리(예를 들어, RAM 등), 비휘발성 메모리(예를 들어, ROM, 플래시 메모리 등) 또는 이들의 조합일 수 있다. 또한, 컴퓨팅 디바이스(1100)는 추가적인 스토리지(1130)를 포함할 수 있다. 스토리지(1130)는 자기 스토리지, 광학 스토리지 등을 포함하지만 이것으로 한정되지 않는다. 스토리지(1130)에는 본 명세서에 개진된 하나 이상의 실시예를 구현하기 위한 컴퓨터 판독 가능한 명령이 저장될 수 있고, 운영 시스템, 애플리케이션 프로그램 등을 구현하기 위한 다른 컴퓨터 판독 가능한 명령도 저장될 수 있다. 스토리지(1130)에 저장된 컴퓨터 판독 가능한 명령은 프로세싱 유닛(1110)에 의해 실행되기 위해 메모리(1120)에 로딩될 수 있다. 또한, 컴퓨팅 디바이스(1100)는 입력 디바이스(들)(1140) 및 출력 디바이스(들)(1150)을 포함할 수 있다. The
여기서, 입력 디바이스(들)(1140)은 예를 들어 키보드, 마우스, 펜, 음성 입력 디바이스, 터치 입력 디바이스, 적외선 카메라, 비디오 입력 디바이스 또는 임의의 다른 입력 디바이스 등을 포함할 수 있다. 또한, 출력 디바이스(들)(1150)은 예를 들어 하나 이상의 디스플레이, 스피커, 프린터 또는 임의의 다른 출력 디바이스 등을 포함할 수 있다. 또한, 컴퓨팅 디바이스(1100)는 다른 컴퓨팅 디바이스에 구비된 입력 디바이스 또는 출력 디바이스를 입력 디바이스(들)(1140) 또는 출력 디바이스(들)(1150)로서 사용할 수도 있다.Here, the input device(s) 1140 may include, for example, a keyboard, a mouse, a pen, a voice input device, a touch input device, an infrared camera, a video input device, or any other input device. Further, the output device(s) 1150 may include, for example, one or more displays, speakers, printers or any other output device or the like. Further, the
또한, 컴퓨팅 디바이스(1100)는 컴퓨팅 디바이스(1100)가 다른 디바이스(예를 들어, 컴퓨팅 디바이스(1300))와 통신할 수 있게 하는 통신접속(들)(1160)을 포함할 수 있다. In addition,
여기서, 통신 접속(들)(1160)은 모뎀, 네트워크 인터페이스 카드(NIC), 통합 네트워크 인터페이스, 무선 주파수 송신기/수신기, 적외선 포트, USB 접속 또는 컴퓨팅 디바이스(1100)를 다른 컴퓨팅 디바이스에 접속시키기 위한 다른 인터페이스를 포함할 수 있다. 또한, 통신 접속(들)(1160)은 유선 접속 또는 무선 접속을 포함할 수 있다. 상술한 컴퓨팅 디바이스(1100)의 각 구성요소는 버스 등의 다양한 상호접속(예를 들어, 주변 구성요소 상호접속(PCI), USB, 펌웨어(IEEE 1394), 광학적 버스 구조 등)에 의해 접속될 수도 있고, 네트워크(1200)에 의해 상호접속될 수도 있다. 본 명세서에서 사용되는 "구성요소", "시스템" 등과 같은 용어들은 일반적으로 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어, 또는 실행중인 소프트웨어인 컴퓨터 관련 엔티티를 지칭하는 것이다. Here, the communication connection(s) 1160 is a modem, a network interface card (NIC), an integrated network interface, a radio frequency transmitter/receiver, an infrared port, a USB connection, or other computing device for connecting the
예를 들어, 구성요소는 프로세서 상에서 실행중인 프로세스, 프로세서, 객체, 실행 가능물(executable), 실행 스레드, 프로그램 및/또는 컴퓨터일 수 있지만, 이것으로 한정되는 것은 아니다. 예를 들어, 컨트롤러 상에서 구동중인 애플리케이션 및 컨트롤러 모두가 구성요소일 수 있다. 하나 이상의 구성요소는 프로세스 및/또는 실행의 스레드 내에 존재할 수 있으며, 구성요소는 하나의 컴퓨터 상에서 로컬화될 수 있고, 둘 이상의 컴퓨터 사이에서 분산될 수도 있다.For example, a component may be, but is not limited to, a process running on a processor, a processor, an object, an executable, a thread of execution, a program and/or a computer. For example, both the controller and the application running on the controller may be components. One or more components may reside within a process and/or thread of execution, and a component may be localized on one computer or distributed between two or more computers.
지금까지 본 발명에 따른 구체적인 실시예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허 청구의 범위뿐 아니라 이 특허 청구의 범위와 균등한 것들에 의해 정해져야 한다.Until now, specific embodiments according to the present invention have been described, but, of course, various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be defined by being limited to the described embodiments, and should be defined not only by the claims to be described later, but also by the claims and their equivalents.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.As described above, although the present invention has been described by the limited embodiments and drawings, the present invention is not limited to the above embodiments, which is various modifications and variations from these descriptions to those of ordinary skill in the field to which the present invention belongs. Transformation is possible. Accordingly, the idea of the present invention should be grasped only by the scope of the claims set forth below, and all equivalent or equivalent modifications thereof will be said to belong to the scope of the idea of the present invention.
100: 시스템
200: 사용자 단말
300: 클라우드 인프라 자산진단서버
310: 입/출력부
320: 채널생성부
330: 인프라 선별부
340: 진단기준 및 명령어 제공부
350: 취약 진단부
360: 파싱 처리부
370: 보고서 생성부
380: 소스코드 모니터링부100: system
200: user terminal
300: Cloud infrastructure asset diagnosis server
310: input/output unit
320: channel generation unit
330: infrastructure selection unit
340: diagnostic criteria and command providing unit
350: Vulnerable diagnostic unit
360: parsing processing unit
370: report generation unit
380: source code monitoring unit
Claims (9)
상기 사용자 단말에서 상기 클라우드 인프라 대상의 진단범위 및 탐지수준을 설정하고, 상기 원격 채널로 상기 클라우드 인프라 대상의 종류, 자산 및 상기 인프라 대상의 취약점 진단명령어를 제공하는 제2 단계;
상기 클라우드 인프라 자산진단서버에서 상기 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 생성 및 파싱처리하는 제3 단계; 및
상기 클라우드 인프라 자산진단서버에서 파싱 데이터 및 보고서 템플릿을 활용하여 사용자 단말에서 지정한 형태의 문서파일로 취약점 진단결과 보고서를 상기 사용자 단말로 제공하는 제4 단계;
상기 제4 단계가 완료되면, 상기 문서파일의 소스 코드를 등록 보관하고, 주기적으로 상기 소스코드의 변경 여부를 모니터링하는 제5 단계를 포함하고,
상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어 코딩이 적용되었는지 여부를 진단하고, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단하는 단계를 더 포함하는 클라우드 인프라 대상의 자산의 취약점을 진단하기 위한 방법.A first step of providing a remote channel and a vulnerability diagnosis command for receiving the type and asset of a cloud infrastructure target from the cloud infrastructure asset diagnosis server to the user terminal;
A second step of setting a diagnosis range and detection level of the cloud infrastructure target in the user terminal, and providing a type of the cloud infrastructure target, an asset, and a vulnerability diagnosis command of the infrastructure target through the remote channel;
A third step of generating and parsing the diagnosis status and analysis result back data for the diagnosis items diagnosed with the infrastructure target based on the vulnerability diagnosis command of the infrastructure target in the cloud infrastructure asset diagnosis server; And
A fourth step of providing a vulnerability diagnosis result report to the user terminal in a document file of a format designated by the user terminal by using the parsed data and report template in the cloud infrastructure asset diagnosis server;
When the fourth step is completed, a fifth step of registering and storing the source code of the document file, and periodically monitoring whether the source code is changed,
When the change of the source code is detected, diagnosing whether secure coding has been applied to the changed source code, and determining whether to record log information on the generation, change, movement, or deletion history of the changed source code. A method for diagnosing vulnerabilities of assets targeted to cloud infrastructure.
상기 사용자 단말로 클라우드 인프라 대상의 종류 및 자산을 입력받기 위한 원격 채널 및 취약점 진단명령어를 제공하고, 상기 사용자 단말에서 입력한 클라우드 인프라 대상의 진단범위 및 탐지수준 및 상기 클라우드 인프라 대상의 취약점 진단명령어에 기초하여 상기 인프라 대상의 취약점을 진단한 진단항목에 대한 진단현황 및 분석결과 백데이터를 기 설정된 형태로 파싱한 후, 파싱 데이터 및 보고서 템플릿을 활용하여 상기 사용자 단말에서 지정한 형태의 문서파일로 상기 진단현황 및 분석결과 백데이터를 가공처리하여 상기 사용자 단말로 제공하는 클라우드 인프라 자산진단서버를 포함하고,
상기 클라우드 인프라 자산진단서버는
상기 사용자 단말에서 입력한 클라우드 인프라 시설 내의 진단항목에 따른 자산별 진단기준 및 진단명령어를 제공하는 진단기준 및 명령어 제공부;
상기 사용자 단말에서 입력한 진단 명령어를 기초로 해당 클라우드 인프라 시설의 자산 취약점을 진단한 진단 항목에 대한 진단 현황 및 분석 결과 백데이터를 생성하여 분석 결과값으로 제공하는 취약 진단부;
상기 취약 진단부에서 분석한 분석 결과값 중 상기 사용자 단말로 제공할 취약점 진단 보고서에 채용될 데이터만을 파싱처리하여 파싱 데이터를 생성하는 파싱 처리부;
상기 파싱 데이터 및 보고서 탬플릿을 기초로 취약점 진단 보고서를 생성하는 보고서 생성부; 및
상기 보고서 생성부에서 생성 또는 추출된 취약점 진단 보고서 파일의 소스 코드를 등록 보관하고, 주기적으로 상기 소스 코드의 변경 여부를 모니터링하는 소스코드 모니터링부를 포함하고,
상기 소스코드 모니터링부는
상기 소스코드의 변경을 탐지하고, 상기 소스코드의 변경이 탐지되면, 변경된 소스코드 내에 시큐어 코딩이 적용되었는지 여부를 진단하고, 변경된 소스코드의 생성, 변경, 이동, 삭제 이력에 대한 로그 정보의 기록여부를 판단하는 클라우드 인프라 대상의 자산의 취약점을 진단하기 위한 시스템.
A user terminal for inputting a type and asset of a cloud infrastructure target, and requesting a diagnosis result of the inputted cloud infrastructure target asset vulnerability as a document file; And
Provides a remote channel and a vulnerability diagnosis command for receiving the type and asset of the cloud infrastructure target to the user terminal, and the diagnosis range and detection level of the cloud infrastructure target input from the user terminal, and the vulnerability diagnosis command of the cloud infrastructure target. After parsing the diagnosis status and analysis result back data for the diagnosis item that diagnosed the vulnerability of the infrastructure target in a preset format, the diagnosis is made as a document file in the form designated by the user terminal using the parsed data and report template. It includes a cloud infrastructure asset diagnosis server that processes the status and analysis result back data and provides it to the user terminal,
The cloud infrastructure asset diagnosis server
A diagnostic criteria and command providing unit for providing diagnostic criteria and diagnostic commands for each asset according to diagnostic items in the cloud infrastructure facility input from the user terminal;
A vulnerability diagnosis unit that generates a diagnosis status and analysis result back data for a diagnosis item that diagnoses an asset vulnerability of a corresponding cloud infrastructure facility based on the diagnosis command input from the user terminal, and provides an analysis result value;
A parsing processing unit for generating parsed data by parsing only data to be employed in a vulnerability diagnosis report to be provided to the user terminal among the analysis result values analyzed by the vulnerability diagnosis unit;
A report generation unit generating a vulnerability diagnosis report based on the parsed data and report template; And
A source code monitoring unit that registers and stores the source code of the vulnerability diagnosis report file generated or extracted by the report generation unit, and periodically monitors whether the source code is changed,
The source code monitoring unit
Detects the change of the source code, and if the change of the source code is detected, diagnoses whether secure coding has been applied in the changed source code, and records log information on the history of creation, change, movement, and deletion of the changed source code A system for diagnosing the vulnerability of assets targeting cloud infrastructure to determine whether or not.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200042831A KR102202108B1 (en) | 2020-04-08 | 2020-04-08 | System and method to automatically diagnose vulnerabilities in cloud infrastructure assets |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200042831A KR102202108B1 (en) | 2020-04-08 | 2020-04-08 | System and method to automatically diagnose vulnerabilities in cloud infrastructure assets |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102202108B1 true KR102202108B1 (en) | 2021-01-12 |
Family
ID=74129449
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200042831A KR102202108B1 (en) | 2020-04-08 | 2020-04-08 | System and method to automatically diagnose vulnerabilities in cloud infrastructure assets |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102202108B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102304231B1 (en) * | 2021-02-05 | 2021-09-23 | 주식회사 인트브리지 | compliance management support system using hierarchical structure and method therefor |
KR102304237B1 (en) * | 2021-03-31 | 2021-09-23 | 주식회사 인트브리지 | compliance management system through automatic diagnosis of infrastructure asset threat and method therefor |
CN115037647A (en) * | 2022-06-01 | 2022-09-09 | Oppo广东移动通信有限公司 | Equipment diagnosis method, device, system and computer readable storage medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180060616A (en) | 2016-11-29 | 2018-06-07 | 주식회사 엘앤제이테크 | RBA based integrated weak point diagnosis method |
KR101883400B1 (en) * | 2017-11-20 | 2018-07-30 | 주식회사 투엘소프트 | detecting methods and systems of security vulnerability using agentless |
KR20190048606A (en) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | Realtime Web Attack Detection Method |
KR20190095703A (en) * | 2018-02-07 | 2019-08-16 | 사단법인 금융보안원 | System, method for providing weak point analysis and evaluation on critical information infrastructure security based on features of object and list, and recording medium storing program for executing the same |
-
2020
- 2020-04-08 KR KR1020200042831A patent/KR102202108B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180060616A (en) | 2016-11-29 | 2018-06-07 | 주식회사 엘앤제이테크 | RBA based integrated weak point diagnosis method |
KR20190048606A (en) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | Realtime Web Attack Detection Method |
KR101883400B1 (en) * | 2017-11-20 | 2018-07-30 | 주식회사 투엘소프트 | detecting methods and systems of security vulnerability using agentless |
KR20190095703A (en) * | 2018-02-07 | 2019-08-16 | 사단법인 금융보안원 | System, method for providing weak point analysis and evaluation on critical information infrastructure security based on features of object and list, and recording medium storing program for executing the same |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102304231B1 (en) * | 2021-02-05 | 2021-09-23 | 주식회사 인트브리지 | compliance management support system using hierarchical structure and method therefor |
KR102682907B1 (en) | 2021-02-05 | 2024-07-08 | 주식회사 인트브릿지 | compliance management support system using hierarchical structure and method therefor |
KR102304237B1 (en) * | 2021-03-31 | 2021-09-23 | 주식회사 인트브리지 | compliance management system through automatic diagnosis of infrastructure asset threat and method therefor |
KR20220136040A (en) * | 2021-03-31 | 2022-10-07 | 주식회사 인트브릿지 | compliance management system through automatic diagnosis of infrastructure asset threat and method therefor |
KR102589662B1 (en) | 2021-03-31 | 2023-10-17 | 주식회사 인트브릿지 | compliance management system through automatic diagnosis of infrastructure asset threat and method therefor |
CN115037647A (en) * | 2022-06-01 | 2022-09-09 | Oppo广东移动通信有限公司 | Equipment diagnosis method, device, system and computer readable storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102202108B1 (en) | System and method to automatically diagnose vulnerabilities in cloud infrastructure assets | |
CN109040316B (en) | HTTP service processing method and device | |
US10642717B2 (en) | Application user interface testing system and method | |
CN109460664B (en) | Risk analysis method and device, electronic equipment and computer readable medium | |
US10445335B2 (en) | Computing environment connectivity system | |
US10474826B2 (en) | Methods and apparatuses for improved app security testing | |
EP3282718A1 (en) | Matching sensors with applications running on a mobile-edge computing server | |
US20220291969A1 (en) | Intelligent cloud management based on profile | |
US11132179B1 (en) | Microapp functionality recommendations with cross-application activity correlation | |
US20110181906A1 (en) | Publishing content to social network sites from applications | |
US10057358B2 (en) | Identifying and mapping emojis | |
CN111092767A (en) | Method and device for debugging equipment | |
CN103425501A (en) | Application installation method, client, server side and system | |
US10831632B2 (en) | Cognitive in-memory API logging | |
US20180068127A1 (en) | Non-transitory computer-readable storage medium, and information processing device | |
US9584882B1 (en) | Communication generation using sparse indicators and sensor data | |
KR102613084B1 (en) | Electronic apparatus for detecting intrusion and method thereof | |
US20070271229A1 (en) | System and method for data searching among multiple enterprise applications | |
US9921901B2 (en) | Alerting service desk users of business services outages | |
CN107077490B (en) | Data query job submission management | |
KR20230011119A (en) | A platform that supports error history lists and alarm services, and a system that supports them | |
BR112022008290A2 (en) | CARGO VESSEL OPERATOR EMERGENCY RESPONSE SYSTEM, WITH OPERATOR DIRECTIVES, INCIDENT DATA RECORD AND REPORTING, AND AUTOMATED RELEVANT PART NOTIFICATION | |
US10649869B2 (en) | Burn process data retrieval and notification | |
CN108288135B (en) | System compatibility method and device, computer readable storage medium and electronic equipment | |
KR102620097B1 (en) | Method and apparatus for providing code test |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AMND | Amendment | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |