KR102456935B1 - Remote terminal tracking management method and system - Google Patents

Abstract

The present invention relates to a remote terminal tracking management method, comprising the steps of: receiving a device registration request including an identifier of a user terminal and a communication number of an authentication terminal associated with a user of the user terminal from the user terminal; transmitting a push message to the authentication terminal associated with the user by using the communication number included in the received device registration request; and obtaining a certificate issued from the authentication terminal and performing certificate registration when verification of the user terminal is completed.

Description

원격 단말 추적 관리 방법 및 시스템{REMOTE TERMINAL TRACKING MANAGEMENT METHOD AND SYSTEM}REMOTE TERMINAL TRACKING MANAGEMENT METHOD AND SYSTEM

본 발명은 원격 단말 추적 관리 방법 및 시스템에 관한 것으로, 구체적으로, 시스템에 외부에서 원격으로 접속하는 단말을 인증하고 검증하기 위한 원격 단말 추적 관리 방법 및 시스템에 관한 것이다.The present invention relates to a remote terminal tracking management method and system, and more particularly, to a remote terminal tracking management method and system for authenticating and verifying a terminal remotely accessing the system from the outside.

최근 많은 기업들은 재택 근무를 위한 비대면 시스템을 도입하고 있다. 예를 들어, 비대면 시스템의 사용자들은 외부에서 기업의 내부 시스템에 접근하여 업무를 처리할 수 있다. 그러나, 이러한 비대면 시스템을 도입하는 경우, 원격에서 회사 내부 자산에 접근이 가능하기 때문에 해커의 내부 침투가 용이해질 수 있는 문제가 있다.Recently, many companies are introducing non-face-to-face systems for telecommuting. For example, users of the non-face-to-face system can access the company's internal system from the outside and perform work. However, if such a non-face-to-face system is introduced, there is a problem in that hackers can easily penetrate inside the company because it is possible to access the company's internal assets remotely.

한편, 기업의 내부 시스템에 보안사고가 발생하는 경우, 보안사고 발생 원인을 신속히 발견하여 대처하는 것이 중요하다. 그러나, 비대면 시스템의 경우 원격에서 다양한 단말들이 내부 시스템에 접속하기 때문에 보안사고 발생 원인이 되는 단말을 추적하는 것은 쉽지 않다.On the other hand, when a security incident occurs in a company's internal system, it is important to quickly find and respond to the cause of the security incident. However, in the case of a non-face-to-face system, since various terminals remotely access the internal system, it is not easy to track the terminal that is the cause of the security accident.

본 발명은 상기와 같은 문제점을 해결하기 위한 원격 단말 추적 관리 방법, 컴퓨터 판독 가능 매체에 저장된 컴퓨터 프로그램, 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능 매체 및 시스템(장치)을 제공한다.The present invention provides a remote terminal tracking management method for solving the above problems, a computer program stored in a computer readable medium, a computer readable medium in which the computer program is stored, and a system (device).

본 발명은 방법, 시스템(장치), 컴퓨터 판독 가능 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능 매체를 포함한 다양한 방식으로 구현될 수 있다.The present invention can be implemented in various ways, including a method, a system (apparatus), a computer program stored in a computer-readable medium or a computer-readable medium in which the computer program is stored.

본 발명의 일 실시예에 따르면, 적어도 하나의 프로세서에 의해 수행되는 원격 단말 추적 관리 방법은, 사용자 단말로부터 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 수신하는 단계, 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말로 푸시 메시지를 전송하는 단계 및 사용자 단말에 대한 검증이 완료된 경우, 인증 단말로부터 발급된 인증서를 획득하여 인증서 등록을 수행하는 단계를 포함한다. 사용자 단말이 등록된 인증서를 다운로드하는 경우, 정보 처리 시스템에 대한 사용자 단말의 원격 접속이 허가된다.According to an embodiment of the present invention, the remote terminal tracking management method performed by at least one processor receives, from a user terminal, a device registration request including an identifier of the user terminal and a communication number of the authentication terminal associated with the user of the user terminal. Step of receiving, by using the communication number included in the received device registration request, transmitting the push message to the authentication terminal associated with the user, and when verification of the user terminal is completed, obtain a certificate issued from the authentication terminal to obtain a certificate performing registration. When the user terminal downloads the registered certificate, remote access of the user terminal to the information processing system is permitted.

본 발명의 일 실시예에 따르면, 기기 등록 요청은 사용자 단말의 개인키로 서명된 서명 정보 및 사용자 단말의 공개키를 더 포함한다. 인증 단말은 사용자 단말의 공개키를 이용하여 사용자 단말에 대한 검증을 수행한다.According to an embodiment of the present invention, the device registration request further includes signature information signed with the private key of the user terminal and the public key of the user terminal. The authentication terminal verifies the user terminal using the public key of the user terminal.

본 발명의 일 실시예에 따르면, 사전 결정된 시간 구간 마다 사용자 단말의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 수신하여 취약점 점검 이력 데이터베이스에 저장하는 단계를 더 포함한다.According to an embodiment of the present invention, the method further includes receiving vulnerability state information including an identifier of a user terminal, a certificate, signature information, and checked vulnerability information for each predetermined time interval and storing the received vulnerability state information in a vulnerability check history database.

본 발명의 일 실시예에 따르면, 사용자 단말이 정보 처리 시스템에 접속하는 경우, 사용자 단말의 식별자 및 인증서를 포함하는 접속 이력 정보를 수신하여 접속 이력 데이터베이스에 저장하는 단계를 더 포함한다.According to an embodiment of the present invention, when the user terminal accesses the information processing system, the method further includes the step of receiving and storing access history information including an identifier and a certificate of the user terminal in the access history database.

본 발명의 일 실시예에 따르면, 발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하는 단계, 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하는 단계 및 검증 대상 인증서와 연관된 인증 단말의 개인키로 검증 대상 인증서에 대한 검증이 수행된 경우, 인증 단말로부터 검증 정보를 수신하는 단계를 더 포함한다.According to an embodiment of the present invention, based on the vulnerability state information of a plurality of user terminals stored in the vulnerability check history database among the issued plurality of certificates and the access history information of the plurality of user terminals stored in the access history database, the verification target certificate extracting , transmitting a certificate verification request to the authentication terminal associated with the verification target certificate, and receiving verification information from the verification terminal when verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate further comprising steps.

본 발명의 일 실시예에 따르면, 적어도 하나의 프로세서에 의해 수행되는 원격 단말 추적 관리 방법은, 정보 처리 시스템으로 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 전송하는 단계, 기기 등록 요청을 수신한 정보 처리 시스템에 의해 인증 단말로부터 발급된 인증서에 대한 인증서 등록이 수행된 경우, 등록된 인증서를 다운로드하는 단계 및 다운로드된 인증서를 기초로 정보 처리 시스템에 대한 원격 접속을 수행하는 단계를 포함한다.According to an embodiment of the present invention, the remote terminal tracking management method performed by at least one processor is a device registration request including an identifier of a user terminal and a communication number of an authentication terminal associated with the user of the user terminal to an information processing system transmitting the device registration request, when the certificate registration for the certificate issued from the authentication terminal is performed by the information processing system receiving the device registration request, the step of downloading the registered certificate and the information processing system based on the downloaded certificate performing remote access.

본 발명의 일 실시예에 따르면, 사전 결정된 시간 구간 마다 사용자 단말의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 정보 처리 시스템으로 전송하는 단계를 더 포함한다.According to an embodiment of the present invention, the method further includes transmitting vulnerability state information including an identifier of a user terminal, a certificate, signature information, and checked vulnerability information to the information processing system for each predetermined time interval.

본 발명의 일 실시예에 따르면, 사용자 단말이 정보 처리 시스템에 접속하는 경우, 사용자 단말의 식별자 및 인증서를 포함하는 접속 이력 정보를 정보 처리 시스템으로 전송하는 단계를 더 포함한다.According to an embodiment of the present invention, when the user terminal accesses the information processing system, the method further includes transmitting access history information including an identifier and a certificate of the user terminal to the information processing system.

본 발명의 일 실시예에 따른 상술된 방법을 컴퓨터에서 실행하기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 제공된다.A computer program stored in a computer-readable recording medium is provided for executing the above-described method according to an embodiment of the present invention in a computer.

본 발명의 일 실시예에 따른 정보 처리 시스템은, 통신 모듈, 메모리 및 메모리와 연결되고, 메모리에 포함된 컴퓨터 판독 가능한 적어도 하나의 프로그램을 실행하도록 구성된 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로그램은, 사용자 단말로부터 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 수신하고, 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말로 푸시 메시지를 전송하고, 사용자 단말에 대한 검증이 완료된 경우, 인증 단말로부터 발급된 인증서를 획득하여 인증서 등록을 수행하기 위한 명령어들을 포함한다. 사용자 단말이 등록된 인증서를 다운로드하는 경우, 정보 처리 시스템에 대한 사용자 단말의 원격 접속이 허가된다.An information processing system according to an embodiment of the present invention includes a communication module, a memory, and at least one processor connected to the memory and configured to execute at least one computer-readable program included in the memory. The at least one program receives a device registration request including an identifier of the user terminal and a communication number of an authentication terminal associated with the user of the user terminal from the user terminal, and uses the communication number included in the received device registration request, the user It includes instructions for transmitting a push message to the authentication terminal associated with the and performing certificate registration by obtaining a certificate issued from the authentication terminal when verification of the user terminal is completed. When the user terminal downloads the registered certificate, remote access of the user terminal to the information processing system is permitted.

본 발명의 일 실시예에 따르면, 적어도 하나의 프로그램은, 사전 결정된 시간 구간 마다 사용자 단말의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 수신하여 취약점 점검 이력 데이터베이스에 저장하기 위한 명령어들을 더 포함한다.According to an embodiment of the present invention, the at least one program receives vulnerability state information including the identifier, certificate, signature information, and checked vulnerability information of the user terminal at every predetermined time interval and stores it in the vulnerability check history database. It further includes instructions for

본 발명의 일 실시예에 따르면, 적어도 하나의 프로그램은, 사용자 단말이 정보 처리 시스템에 접속하는 경우, 사용자 단말의 식별자 및 인증서를 포함하는 접속 이력 정보를 수신하여 접속 이력 데이터베이스에 저장하기 위한 명령어들을 더 포함한다.According to an embodiment of the present invention, at least one program, when the user terminal accesses the information processing system, receives the access history information including the identifier and the certificate of the user terminal and stores the instructions for storing in the access history database include more

본 발명의 일 실시예에 따르면, 적어도 하나의 프로그램은, 발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하고, 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하고, 검증 대상 인증서와 연관된 인증 단말의 개인키로 검증 대상 인증서에 대한 검증이 수행된 경우, 검증 정보를 수신하기 위한 명령어들을 더 포함한다.According to an embodiment of the present invention, the at least one program may store vulnerability state information of a plurality of user terminals stored in the vulnerability check history database among a plurality of issued certificates and access history information of a plurality of user terminals stored in the access history database. Based on extracting the verification target certificate, sending a certificate verification request to the verification terminal associated with the verification target certificate, and receiving verification information when verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate It further includes instructions for doing

본 발명의 일 실시예에 따른 사용자 단말은, 통신 모듈, 메모리 및 메모리와 연결되고, 메모리에 포함된 컴퓨터 판독 가능한 적어도 하나의 프로그램을 실행하도록 구성된 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로그램은, 정보 처리 시스템으로 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 전송하고, 기기 등록 요청을 수신한 정보 처리 시스템에 의해 인증 단말로부터 발급된 인증서에 대한 인증서 등록이 수행된 경우, 등록된 인증서를 다운로드하고, 다운로드된 인증서를 기초로 정보 처리 시스템에 대한 원격 접속을 수행하기 위한 명령어들을 포함한다.A user terminal according to an embodiment of the present invention includes a communication module, a memory, and at least one processor connected to the memory and configured to execute at least one computer-readable program included in the memory. The at least one program transmits, to the information processing system, a device registration request including an identifier of the user terminal and a communication number of the authentication terminal associated with the user of the user terminal, and receives the device registration request from the authentication terminal by the information processing system. and instructions for downloading the registered certificate when certificate registration for the issued certificate is performed, and performing remote access to the information processing system based on the downloaded certificate.

본 발명의 일 실시예에 따르면, 적어도 하나의 프로그램은, 사전 결정된 시간 구간 마다 사용자 단말의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 정보 처리 시스템으로 전송하기 위한 명령어들을 더 포함한다.According to an embodiment of the present invention, the at least one program transmits instructions for transmitting the vulnerability state information including the identifier, the certificate, the signature information, and the checked vulnerability information of the user terminal to the information processing system for each predetermined time interval. include more

본 발명의 일 실시예에 따르면, 적어도 하나의 프로그램은, 사용자 단말이 정보 처리 시스템에 접속하는 경우, 사용자 단말의 식별자 및 인증서를 포함하는 접속 이력 정보를 정보 처리 시스템으로 전송하기 위한 명령어들을 더 포함한다.According to an embodiment of the present invention, the at least one program further includes instructions for transmitting, to the information processing system, access history information including an identifier and a certificate of the user terminal when the user terminal accesses the information processing system do.

본 발명의 다양한 실시예에서 원격 단말이 악성코드 등에 감염된 경우에 감염 경로를 신속하게 확인할 수 있으며, 이에 따라, 원격 접속을 지원하는 경우에도 정보 처리 시스템은 내부 보안사고에 대해 신속한 대처를 수행할 수 있다.In various embodiments of the present invention, when a remote terminal is infected with a malicious code, etc., the infection path can be quickly checked, and accordingly, even when remote access is supported, the information processing system can quickly respond to internal security incidents. have.

본 발명의 다양한 실시예에서 원격 접속을 시도하는 사용자 단말마다 별도의 인증서를 발급하여 관리함으로써, 정보 처리 시스템은 각 사용자 단말의 접근 권한을 효율적으로 관리할 수 있다.In various embodiments of the present invention, by issuing and managing a separate certificate for each user terminal attempting remote access, the information processing system can efficiently manage the access right of each user terminal.

본 발명의 다양한 실시예에서 정보 처리 시스템은 검증 정보를 이용하여 검증되지 않는 인증서를 식별할 수 있으며, 악성코드 등에 감염된 사용자 단말을 효과적으로 추출하여, 내부 보안사고에 대응할 수 있다.In various embodiments of the present invention, the information processing system can identify a certificate that is not verified by using verification information, and can effectively extract a user terminal infected with a malicious code, etc., and respond to an internal security incident.

본 발명의 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 다른 효과들은 청구범위의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자("통상의 기술자"라 함)에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned are clear to those of ordinary skill in the art (referred to as "those skilled in the art") from the description of the claims. will be able to understand

본 발명의 실시예들은, 이하 설명하는 첨부 도면들을 참조하여 설명될 것이며, 여기서 유사한 참조 번호는 유사한 요소들을 나타내지만, 이에 한정되지는 않는다.
도 1은 본 발명의 일 실시예에 따른 정보 처리 시스템의 내부 구성을 나타내는 기능적인 블록도이다.
도 2는 본 발명의 일 실시예에 따른 사용자 단말, 인증 단말 및 정보 처리 시스템이 통신 가능하도록 연결된 구성을 나타내는 개요도이다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말, 정보 처리 시스템 및 인증 단말 사이에서 인증서 등록이 수행되는 과정을 나타내는 예시적인 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 사용자 단말 및 정보 처리 시스템 사이에서 취약점 상태 및 접속 이력이 관리되는 과정을 나타내는 예시적인 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 정보 처리 시스템 및 인증 단말 사이에서 인증서 검증이 수행되는 과정을 나타내는 예시적인 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 원격 단말 추적 관리 방법의 예시를 나타내는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 인증서 검증 방법의 예시를 나타내는 흐름도이다.
도 8은 본 발명의 다른 실시예에 따른 원격 단말 추적 관리 방법의 예시를 나타내는 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 사용자 단말의 정보 관리 방법의 예시를 나타내는 흐름도이다.
도 10은 본 발명의 일 실시예에 따른 컴퓨팅 장치의 내부 구성을 나타내는 블록도이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments of the present invention will be described with reference to the accompanying drawings described below, in which like reference numerals denote like elements, but are not limited thereto.
1 is a functional block diagram showing an internal configuration of an information processing system according to an embodiment of the present invention.
2 is a schematic diagram illustrating a configuration in which a user terminal, an authentication terminal, and an information processing system are communicatively connected according to an embodiment of the present invention.
3 is an exemplary flowchart illustrating a process in which certificate registration is performed between a user terminal, an information processing system, and an authentication terminal according to an embodiment of the present invention.
4 is an exemplary flowchart illustrating a process in which a vulnerability state and access history are managed between a user terminal and an information processing system according to an embodiment of the present invention.
5 is an exemplary flowchart illustrating a process in which certificate verification is performed between an information processing system and an authentication terminal according to an embodiment of the present invention.
6 is a flowchart illustrating an example of a remote terminal tracking management method according to an embodiment of the present invention.
7 is a flowchart illustrating an example of a method for verifying a certificate according to an embodiment of the present invention.
8 is a flowchart illustrating an example of a remote terminal tracking management method according to another embodiment of the present invention.
9 is a flowchart illustrating an example of an information management method of a user terminal according to an embodiment of the present invention.
10 is a block diagram illustrating an internal configuration of a computing device according to an embodiment of the present invention.

이하, 본 발명의 실시를 위한 구체적인 내용을 첨부된 도면을 참조하여 상세히 설명한다. 다만, 이하의 설명에서는 본 발명의 요지를 불필요하게 흐릴 우려가 있는 경우, 널리 알려진 기능이나 구성에 관한 구체적 설명은 생략하기로 한다.Hereinafter, specific details for carrying out the present invention will be described in detail with reference to the accompanying drawings. However, in the following description, if there is a risk of unnecessarily obscuring the gist of the present invention, detailed descriptions of well-known functions or configurations will be omitted.

첨부된 도면에서, 동일하거나 대응하는 구성요소에는 동일한 참조부호가 부여되어 있다. 또한, 이하의 실시예들의 설명에 있어서, 동일하거나 대응되는 구성요소를 중복하여 기술하는 것이 생략될 수 있다. 그러나, 구성요소에 관한 기술이 생략되어도, 그러한 구성요소가 어떤 실시예에 포함되지 않는 것으로 의도되지는 않는다.In the accompanying drawings, identical or corresponding components are assigned the same reference numerals. In addition, in the description of the embodiments below, overlapping description of the same or corresponding components may be omitted. However, even if description regarding components is omitted, it is not intended that such components are not included in any embodiment.

개시된 실시예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명이 완전하도록 하고, 본 발명이 통상의 기술자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.Advantages and features of the disclosed embodiments, and methods of achieving them, will become apparent with reference to the embodiments described below in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only these embodiments allow the present invention to be complete, and the present invention will give those skilled in the art the scope of the invention. It is provided for complete information only.

본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시예에 대해 구체적으로 설명하기로 한다. 본 명세서에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서, 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.Terms used in this specification will be briefly described, and the disclosed embodiments will be described in detail. The terms used in this specification have been selected as currently widely used general terms as possible while considering the functions in the present invention, but these may vary depending on the intention or precedent of a person skilled in the relevant field, the emergence of new technology, and the like. In addition, in a specific case, there is a term arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the description of the corresponding invention. Therefore, the terms used in the present invention should be defined based on the meaning of the term and the overall contents of the present invention, rather than the simple name of the term.

본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다. 또한, 복수의 표현은 문맥상 명백하게 복수인 것으로 특정하지 않는 한, 단수의 표현을 포함한다. 명세서 전체에서 어떤 부분이 어떤 구성요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.Expressions in the singular herein include plural expressions unless the context clearly dictates the singular. Also, the plural expression includes the singular expression unless the context clearly dictates the plural. In the entire specification, when a part includes a certain component, this means that other components may be further included, rather than excluding other components, unless otherwise stated.

본 발명에서, '포함하다', '포함하는' 등의 용어는 특징들, 단계들, 동작들, 요소들 및/또는 구성 요소들이 존재하는 것을 나타낼 수 있으나, 이러한 용어가 하나 이상의 다른 기능들, 단계들, 동작들, 요소들, 구성 요소들 및/또는 이들의 조합이 추가되는 것을 배제하지는 않는다.In the present invention, terms such as 'comprise', 'comprising', etc. may indicate that features, steps, operations, elements and/or components are present, but such terms may refer to one or more other functions; It does not exclude that steps, acts, elements, components and/or combinations thereof are added.

본 발명에서, 특정 구성 요소가 임의의 다른 구성 요소에 '결합', '조합', '연결' 되거나, '반응' 하는 것으로 언급된 경우, 특정 구성 요소는 다른 구성 요소에 직접 결합, 조합 및/또는 연결되거나, 반응할 수 있으나, 이에 한정되지 않는다. 예를 들어, 특정 구성 요소와 다른 구성 요소 사이에 하나 이상의 중간 구성 요소가 존재할 수 있다. 또한, 본 발명에서 "및/또는"은 열거된 하나 이상의 항목의 각각 또는 하나 이상의 항목의 적어도 일부의 조합을 포함할 수 있다.In the present invention, when a specific component is referred to as 'coupled', 'combined', 'connected', or 'reacted' to any other component, the specific component is directly coupled to, combined with, and/or combined with another component. or may be connected or reacted, but is not limited thereto. For example, there may be one or more intermediate components between a particular component and another component. Also, in the present invention, “and/or” may include each of one or more of the listed items or a combination of at least a portion of one or more of the listed items.

본 발명에서, '제1', '제2' 등의 용어는 특정 구성 요소를 다른 구성 요소와 구별하기 위해 사용되는 것으로, 이러한 용어에 의해 상술된 구성 요소가 제한되진 않는다. 예를 들어, '제1' 구성 요소는 '제2' 구성 요소와 동일하거나 유사한 형태의 요소일 수 있다.In the present invention, terms such as 'first' and 'second' are used to distinguish a specific component from other components, and the above-described components are not limited by these terms. For example, the 'first' component may have the same or similar shape as the 'second' component.

도 1은 본 발명의 일 실시예에 따른 정보 처리 시스템(120)의 내부 구성을 나타내는 기능적인 블록도이다. 도시된 바와 같이, 정보 처리 시스템(120)은 인증서 등록부(122), 취약점 점검부(124), 시스템 관리부(126), 사용자 단말 검증부(128) 등을 포함할 수 있으나, 이에 한정되지 않는다. 정보 처리 시스템(120)은 사용자 단말(110) 및/또는 인증 단말(130)과 통신하며 원격 단말 추적 관리에 필요한 데이터 및/또는 정보를 주고받을 수 있다.1 is a functional block diagram showing an internal configuration of an information processing system 120 according to an embodiment of the present invention. As illustrated, the information processing system 120 may include a certificate registration unit 122 , a vulnerability check unit 124 , a system management unit 126 , a user terminal verification unit 128 , and the like, but is not limited thereto. The information processing system 120 may communicate with the user terminal 110 and/or the authentication terminal 130 and may exchange data and/or information necessary for remote terminal tracking management.

일 실시예에 따르면, 사용자 단말(110)은 원격에서 특정 기업의 내부 시스템에 접속하려는 임의의 단말일 수 있으며, 인증 단말(130)은 특정 기업과 연관된 사용자에게 미리 할당된 ID 등을 포함하는 단말로서, 사용자 단말(110)의 내부 시스템에 대한 접속 권한 허가 등을 위해 사용되는 단말일 수 있다. 또한, 정보 처리 시스템(120)은 특정 기업의 내부 시스템 그 자체 및/또는 내부 시스템을 관리하는 시스템으로서, 사용자 단말(110)의 접속 권한 등을 관리하거나 처리하기 위한 시스템일 수 있다.According to an embodiment, the user terminal 110 may be any terminal that wants to remotely access an internal system of a specific company, and the authentication terminal 130 is a terminal including an ID pre-allocated to a user associated with a specific company, etc. As such, it may be a terminal used for permission of access to the internal system of the user terminal 110 . In addition, the information processing system 120 is a system for managing the internal system itself and/or the internal system of a specific company, and may be a system for managing or processing access rights of the user terminal 110 .

인증서 등록부(122)는 사용자 단말(110)과 연관된 인증서를 등록하여 사용자 단말(110)의 접속 권한을 관리할 수 있다. 즉, 사용자 단말(110)은 인증서 등록부(122)에 의해 인증서가 등록된 경우, 내부 시스템에 대한 접속이 허가될 수 있다. 일 실시예에 따르면, 인증서 등록부(122)는 사용자 단말(110)로부터 사용자 단말(110)의 식별자(예: ID) 및 사용자 단말(110)의 사용자와 연관된 인증 단말(130)의 통신 번호를 포함하는 기기 등록 요청을 수신할 수 있다. 예를 들어, 사용자 단말(110)은 개인키 및 공개키를 포함하는 키 쌍을 생성하고, 사용자 단말(110)의 식별자, 인증 단말(130)의 통신 번호, 사용자 단말(110)의 공개키, 타임스탬프, 사용자 단말(110)의 개인키로 서명된 서명 정보를 포함하는 기기 등록 요청을 인증서 등록부(122)로 전송할 수 있다.The certificate registration unit 122 may manage access rights of the user terminal 110 by registering a certificate associated with the user terminal 110 . That is, when a certificate is registered by the certificate registration unit 122 , the user terminal 110 may be permitted to access the internal system. According to an embodiment, the certificate registration unit 122 includes an identifier (eg, ID) of the user terminal 110 from the user terminal 110 and a communication number of the authentication terminal 130 associated with the user of the user terminal 110 . may receive a device registration request. For example, the user terminal 110 generates a key pair including a private key and a public key, an identifier of the user terminal 110, a communication number of the authentication terminal 130, a public key of the user terminal 110, A device registration request including a timestamp and signature information signed with the private key of the user terminal 110 may be transmitted to the certificate registration unit 122 .

요청을 수신한 인증서 등록부(122)는 기기 등록 요청에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말(130)로 푸시 메시지(push message)를 전송할 수 있다. 여기서, 푸시 메시지는 사용자 단말(110)이 허가된 사용자의 단말인지 여부에 대한 확인을 요청하는 메시지로서, 사용자 단말(110)의 공개키, 타임스탬프, 사용자 단말(110)의 개인키로 서명된 서명 정보 등을 포함할 수 있다.The certificate registrar 122 receiving the request may transmit a push message to the authentication terminal 130 associated with the user by using the communication number included in the device registration request. Here, the push message is a message requesting confirmation of whether the user terminal 110 is a terminal of an authorized user, and a signature signed with the public key, timestamp, and private key of the user terminal 110 . information may be included.

일 실시예에 따르면, 푸시 메시지를 수신한 인증 단말(130)은 사용자 단말(110)에 대한 유효성 검증을 수행할 수 있다. 예를 들어, 인증 단말(130)은 푸시 메시지에 포함된 공개키로 서명 정보를 검증한 후, 타임스탬프 값으로 리플레이 공격(replay attack)의 발생 여부를 확인할 수 있다. 추가적으로 또는 대안적으로, 사용자는 사용자 단말(110)에 표시된 식별자와 푸시 메시지에 포함되고 인증 단말(130)에 표시된 식별자를 육안으로 비교하여 유효성 검증을 수행할 수도 있다.According to an embodiment, the authentication terminal 130 receiving the push message may perform validation on the user terminal 110 . For example, after verifying the signature information with the public key included in the push message, the authentication terminal 130 may check whether a replay attack has occurred using the timestamp value. Additionally or alternatively, the user may perform validation by visually comparing the identifier displayed on the user terminal 110 with the identifier included in the push message and displayed on the authentication terminal 130 .

유효성 검증이 완료된 경우, 인증 단말(130)은 블록체인 지갑(blockchain wallet)의 개인키를 이용하여 사용자 단말(110)과 연관된 인증서를 발급할 수 있다. 예를 들어, 인증서는 사용자 단말(110)의 식별자, 사용자 단말(110)의 공개키, 사용자 식별자, 발급 날짜 등에 대한 정보를 포함할 수 있다. 그리고 나서, 인증 단말(130)은 이와 같이 발급된 인증서를 인증서 등록부(122)에 제공할 수 있다. 이 경우, 인증서 등록부(122)는 발급된 인증서에 대한 등록을 수행할 수 있다. 이와 같이 인증서 등록이 완료된 경우, 사용자 단말(110)은 해당 인증서를 다운로드하여 내부 시스템에 대한 원격 접속 권한을 획득할 수 있다.When validation is completed, the authentication terminal 130 may issue a certificate associated with the user terminal 110 using the private key of the blockchain wallet. For example, the certificate may include information on an identifier of the user terminal 110 , a public key of the user terminal 110 , a user identifier, an issue date, and the like. Then, the authentication terminal 130 may provide the certificate issued in this way to the certificate registration unit 122 . In this case, the certificate registration unit 122 may register the issued certificate. When the certificate registration is completed in this way, the user terminal 110 may download the corresponding certificate and acquire remote access authority to the internal system.

일 실시예에 따르면, 취약점 점검부(124)는 사전 결정된 시간 구간 마다 사용자 단말(110)의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 수신하여 취약점 점검 이력 데이터베이스에 저장할 수 있다. 즉, 사용자 단말(110)은 주기적으로 해킹, 악성코드 감염 등에 대한 취약점 상태를 점검할 수 있으며, 점검 결과를 취약점 점검부(124)에 제공할 수 있다. 예를 들어, 사용자 단말(110)은 임의의 알고리즘 및/또는 기계학습 모델을 이용하여 취약점 상태를 점검할 수 있으나, 이에 한정되지 않는다.According to an embodiment, the vulnerability check unit 124 receives vulnerability status information including the identifier, certificate, signature information, and checked vulnerability information of the user terminal 110 for every predetermined time interval and stores it in the vulnerability check history database. can That is, the user terminal 110 may periodically check the vulnerability status for hacking, malicious code infection, and the like, and may provide the check result to the vulnerability check unit 124 . For example, the user terminal 110 may check the vulnerability state using an arbitrary algorithm and/or a machine learning model, but is not limited thereto.

일 실시예에 따르면, 시스템 관리부(126)는 사용자 단말(110)의 내부 시스템(예: 내부망)에 대한 접속 이력을 관리할 수 있다. 예를 들어, 사용자 단말(110)은 사용자로부터 내부 시스템에 대한 접속 요청을 수신할 수 있다. 이 경우, 사용자 단말(110)은 비밀번호 입력, 생체 인증 등을 통해 사용자 인증을 수행할 수 있다. 사용자 인증이 완료된 경우, 사용자 단말(110)은 사용자 세션(session)을 확립하고, 인증서와 서명 정보를 획득하여 시스템 관리부(126)에 제공할 수 있다. 그리고 나서, 시스템 관리부(126)는 이와 같이 제공된 인증서 및 사용자 식별자, 사용자 단말의 주소(예: 사용자 단말의 IP 등)를 포함하는 접속 이력 정보를 접속 이력 데이터베이스에 저장할 수 있다.According to an embodiment, the system manager 126 may manage an access history of the user terminal 110 to an internal system (eg, an internal network). For example, the user terminal 110 may receive a request for access to the internal system from the user. In this case, the user terminal 110 may perform user authentication through password input, biometric authentication, or the like. When user authentication is completed, the user terminal 110 may establish a user session, obtain a certificate and signature information, and provide it to the system manager 126 . Then, the system manager 126 may store the access history information including the provided certificate, the user identifier, and the address of the user terminal (eg, the IP of the user terminal, etc.) in the access history database.

일 실시예에 따르면, 사용자 단말 검증부(128)는 내부 보안사고가 발생한 경우, 보안사고 발생 원인이 되는 사용자 단말을 추적할 수 있다. 즉, 사용자 단말 검증부(128)는 원격 접속한 복수의 사용자 단말 중 어떤 사용자 단말에 의해 보안사고가 발생했는지 여부를 판정할 수 있다. 예를 들어, 사용자 단말 검증부(128)는 발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출할 수 있다. 예를 들어, 사용자 단말 검증부(128)는 보안사고와 관련된 IP 및 시간대를 기준으로 검증 대상 인증서를 추출할 수 있으나, 이에 한정되지 않는다.According to an embodiment, when an internal security incident occurs, the user terminal verification unit 128 may track the user terminal that is the cause of the security incident. That is, the user terminal verification unit 128 may determine whether a security accident occurred by which user terminal among a plurality of remotely accessed user terminals. For example, the user terminal verification unit 128 is based on the vulnerability state information of the plurality of user terminals stored in the vulnerability check history database among the issued plurality of certificates and the access history information of the plurality of user terminals stored in the access history database, The certificate to be verified can be extracted. For example, the user terminal verification unit 128 may extract the verification target certificate based on the IP and time zone related to the security incident, but is not limited thereto.

검증 대상 인증서가 추출된 경우, 사용자 단말 검증부(128)는 검증 대상 인증서와 연관된 인증 단말(130)로 인증서 검증 요청을 전송할 수 있다. 이 경우, 인증서 검증 요청을 수신한 인증 단말(130)은 블록체인 지갑의 개인키로 인증서를 검증할 수 있다. 예를 들어, 인증 단말(130)은 인증서에 포함된 주소가 블록체인 지갑의 개인키와 쌍을 형성하는지 여부를 임의의 알고리즘 등을 이용하여 암호 연산적으로 검증할 수 있다. 여기서, 쌍을 형성하는 것으로 판정된 경우, 해당 인증서는 인증 단말(130)이 발급한 인증서인 것으로 검증될 수 있다. 그리고 나서, 사용자 단말 검증부(128)는 인증 단말(130)로부터 검증 정보를 수신할 수 있다. 추가적으로 또는 대안적으로, 인증서가 인증 단말(130)에 의해 발급된 것으로 검증되지 않는 경우, 사용자 단말 검증부(128)는 해당 인증서와 연관된 사용자 단말(110)에서 보안사고가 발생한 것으로 판정할 수 있다.When the verification target certificate is extracted, the user terminal verification unit 128 may transmit a certificate verification request to the verification terminal 130 associated with the verification target certificate. In this case, the authentication terminal 130 receiving the certificate verification request may verify the certificate with the private key of the blockchain wallet. For example, the authentication terminal 130 may cryptographically verify whether the address included in the certificate forms a pair with the private key of the block chain wallet using an arbitrary algorithm or the like. Here, when it is determined that a pair is formed, the corresponding certificate may be verified as a certificate issued by the authentication terminal 130 . Then, the user terminal verification unit 128 may receive verification information from the authentication terminal 130 . Additionally or alternatively, if the certificate is not verified as being issued by the authentication terminal 130, the user terminal verification unit 128 may determine that a security incident has occurred in the user terminal 110 associated with the corresponding certificate. .

도 1에서는 정보 처리 시스템(120)에 포함된 각각의 기능적인 구성이 구분되어 상술되었으나, 이는 발명의 이해를 돕기 위한 것일 뿐이며, 하나의 연산 장치에서 둘 이상의 기능을 수행할 수도 있다. 이와 같은 구성에 의해, 원격 단말(예: 사용자 단말(110))이 악성코드 등에 감염된 경우에 감염 경로를 신속하게 확인할 수 있으며, 이에 따라, 원격 접속을 지원하는 경우에도 정보 처리 시스템(120)은 내부 보안사고에 대해 신속한 대처를 수행할 수 있다.In FIG. 1 , each functional configuration included in the information processing system 120 has been separately described above, but this is only to help the understanding of the present invention, and one computing device may perform two or more functions. With this configuration, when the remote terminal (eg, the user terminal 110) is infected with malicious code, it is possible to quickly check the infection route, and accordingly, even when remote access is supported, the information processing system 120 is Able to quickly respond to internal security incidents.

도 2는 본 발명의 일 실시예에 따른 사용자 단말(110), 인증 단말(130) 및 정보 처리 시스템(120)이 통신 가능하도록 연결된 구성을 나타내는 개요도이다. 정보 처리 시스템(120)은 특정 기업 등과 연관된 전용(private) 시스템일 수 있으며, 사용자 단말(110)은 사전 합의되지 않은 외부의 영역, 공간 등에서 전용 시스템에 원격으로 접속하려는 사용자의 단말일 수 있다. 또한, 인증 단말(130)은 사용자 단말(110)이 정보 처리 시스템(120)(또는 정보 처리 시스템(120)에 의해 관리되는 전용 시스템)에 접근할 수 있는 권한을 관리하는 사용자의 단말일 수 있다.2 is a schematic diagram illustrating a configuration in which the user terminal 110, the authentication terminal 130, and the information processing system 120 are communicatively connected according to an embodiment of the present invention. The information processing system 120 may be a private system associated with a specific company, etc., and the user terminal 110 may be a terminal of a user who wants to remotely access the dedicated system in an external area or space that is not previously agreed upon. In addition, the authentication terminal 130 may be a user terminal that manages the right of the user terminal 110 to access the information processing system 120 (or a dedicated system managed by the information processing system 120). .

정보 처리 시스템(120)은 네트워크(210)를 통해 사용자 단말(110) 및/또는 인증 단말(130)과 통신을 수행할 수 있다. 일 실시예에 따르면, 정보 처리 시스템(120)은 사용자 단말(110)의 인증 및/또는 검증 등을 수행할 수 있는 컴퓨터 실행 가능한 프로그램(예를 들어, 다운로드 가능한 어플리케이션) 및 데이터를 저장, 제공 및 실행할 수 있는 하나 이상의 서버 장치 및/또는 데이터베이스, 또는 클라우드 컴퓨팅 서비스 기반의 하나 이상의 분산 컴퓨팅 장치 및/또는 분산 데이터베이스를 포함할 수 있다.The information processing system 120 may communicate with the user terminal 110 and/or the authentication terminal 130 through the network 210 . According to an embodiment, the information processing system 120 stores, provides, and stores computer-executable programs (eg, downloadable applications) and data capable of performing authentication and/or verification of the user terminal 110 , and the like. It may include one or more server devices and/or databases capable of executing, or one or more distributed computing devices and/or distributed databases based on cloud computing services.

사용자 단말(110) 및/또는 인증 단말(130)은 네트워크(210)를 통해 정보 처리 시스템(120)과 통신할 수 있다. 네트워크(210)는 사용자 단말(110) 및/또는 인증 단말(130)과 정보 처리 시스템(120) 사이의 통신이 가능하도록 구성될 수 있다. 네트워크(210)는 설치 환경에 따라, 예를 들어, 이더넷(Ethernet), 유선 홈 네트워크(Power Line Communication), 전화선 통신 장치 및 RS-serial 통신 등의 유선 네트워크, 이동통신망, WLAN(Wireless LAN), Wi-Fi, Bluetooth 및 ZigBee 등과 같은 무선 네트워크 또는 그 조합으로 구성될 수 있다. 통신 방식은 제한되지 않으며, 네트워크(210)가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망, 위성망 등)을 활용하는 통신 방식뿐 아니라 사용자 단말(110) 및 인증 단말(130) 사이의 근거리 무선 통신 역시 포함될 수 있다.The user terminal 110 and/or the authentication terminal 130 may communicate with the information processing system 120 via the network 210 . The network 210 may be configured to enable communication between the user terminal 110 and/or the authentication terminal 130 and the information processing system 120 . Network 210 according to the installation environment, for example, Ethernet (Ethernet), wired home network (Power Line Communication), telephone line communication device and wired networks such as RS-serial communication, mobile communication network, WLAN (Wireless LAN), It may consist of a wireless network such as Wi-Fi, Bluetooth and ZigBee, or a combination thereof. The communication method is not limited, and the user terminal 110 and the authentication terminal as well as a communication method utilizing a communication network (eg, mobile communication network, wired Internet, wireless Internet, broadcasting network, satellite network, etc.) that the network 210 may include. Short-range wireless communication between 130 may also be included.

도 2에서 휴대폰 단말, 태블릿 단말 등이 사용자 단말(110) 및 인증 단말(130)의 예로서 도시되었으나, 이에 한정되지 않으며, 사용자 단말(110) 및/또는 인증 단말(130)은 유선 및/또는 무선 통신이 가능하고 임의의 어플리케이션 등이 설치되어 실행될 수 있는 임의의 컴퓨팅 장치일 수 있다. 예를 들어, 사용자 단말(110) 및/또는 인증 단말(130)은, 스마트폰, 휴대폰, 내비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC, 게임 콘솔(game console), 웨어러블 디바이스(wearable device), IoT(internet of things) 디바이스, VR(virtual reality) 디바이스, AR(augmented reality) 디바이스 등을 포함할 수 있다. 또한, 도 2에는 하나의 사용자 단말(110) 및 하나의 인증 단말(130)이 네트워크(210)를 통해 정보 처리 시스템(120)과 통신하는 것으로 도시되어 있으나, 이에 한정되지 않으며, 상이한 수의 사용자 단말 및/또는 인증 단말이 네트워크(210)를 통해 정보 처리 시스템(120)과 통신하도록 구성될 수도 있다.Although a mobile phone terminal, a tablet terminal, etc. are illustrated as examples of the user terminal 110 and the authentication terminal 130 in FIG. 2 , the present invention is not limited thereto, and the user terminal 110 and/or the authentication terminal 130 are wired and/or It may be any computing device capable of wireless communication and in which any application or the like may be installed and executed. For example, the user terminal 110 and/or the authentication terminal 130 may include a smartphone, a mobile phone, a navigation system, a computer, a notebook computer, a digital broadcasting terminal, a personal digital assistant (PDA), a portable multimedia player (PMP), and a tablet PC. , a game console, a wearable device, an Internet of things (IoT) device, a virtual reality (VR) device, an augmented reality (AR) device, and the like. In addition, although one user terminal 110 and one authentication terminal 130 are illustrated in FIG. 2 as communicating with the information processing system 120 through the network 210, it is not limited thereto, and a different number of users The terminal and/or the authentication terminal may be configured to communicate with the information processing system 120 via the network 210 .

일 실시예에 따르면, 정보 처리 시스템(120)은 사용자 단말(110)로부터 사용자 단말(110)의 식별자 및 사용자 단말(110)의 사용자와 연관된 인증 단말(130)의 통신 번호를 포함하는 기기 등록 요청을 수신할 수 있다. 이 경우, 정보 처리 시스템(120)은 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말(130)로 푸시 메시지를 전송할 수 있다. 또한, 정보 처리 시스템(120)은 인증 단말(130)로부터 발급된 인증서를 획득하여 인증서 등록을 수행할 수 있다.According to an embodiment, the information processing system 120 requests device registration from the user terminal 110 including the identification of the user terminal 110 and the communication number of the authentication terminal 130 associated with the user of the user terminal 110 . can receive In this case, the information processing system 120 may transmit a push message to the authentication terminal 130 associated with the user by using the communication number included in the received device registration request. Also, the information processing system 120 may obtain a certificate issued from the authentication terminal 130 and perform certificate registration.

도 3은 본 발명의 일 실시예에 따른 사용자 단말(110), 정보 처리 시스템(120) 및 인증 단말(130) 사이에서 인증서 등록이 수행되는 과정을 나타내는 예시적인 흐름도이다. 도시된 것과 같이, 사용자 단말(110), 정보 처리 시스템(120) 및 인증 단말(130)은 인증서 발급 및/또는 등록에 필요한 데이터 및/또는 정보를 주고받을 수 있다.3 is an exemplary flowchart illustrating a process in which certificate registration is performed between the user terminal 110 , the information processing system 120 , and the authentication terminal 130 according to an embodiment of the present invention. As illustrated, the user terminal 110 , the information processing system 120 , and the authentication terminal 130 may exchange data and/or information necessary for issuing and/or registering a certificate.

일 실시예에 따르면, 사용자 단말(110)은 키 쌍을 생성할 수 있다(312). 예를 들어, 사용자 단말(110)은 임의의 알고리즘을 이용하여 개인키 및 공개키를 포함하는 키 쌍을 생성할 수 있다. 그리고 나서, 사용자 단말(110)은 사용자 단말(110)의 식별자, 서명 정보 등을 포함하는 기기 등록 요청(314)을 정보 처리 시스템(120)으로 전송할 수 있다. 여기서, 사용자 단말(110)의 식별자는 사용자 단말(110)을 식별할 수 있는 값으로, 예를 들어, GUID(Globally Unique Identifier)를 포함할 수 있다. 또한, 서명 정보는 생성된 개인키로 서명된 값으로, 사용자 단말(110)의 식별자, 공개키, 타임스탬프 등을 포함할 수 있다.According to an embodiment, the user terminal 110 may generate a key pair (312). For example, the user terminal 110 may generate a key pair including a private key and a public key using an arbitrary algorithm. Then, the user terminal 110 may transmit a device registration request 314 including an identifier of the user terminal 110 , signature information, and the like to the information processing system 120 . Here, the identifier of the user terminal 110 is a value capable of identifying the user terminal 110 and may include, for example, a globally unique identifier (GUID). In addition, the signature information is a value signed with the generated private key, and may include an identifier of the user terminal 110, a public key, a timestamp, and the like.

기기 등록 요청(314)을 수신하는 경우, 정보 처리 시스템(120)은 인증 단말(130)로 푸시 메시지(322)를 전송할 수 있다. 예를 들어, 정보 처리 시스템(120)은 수신된 기기 등록 요청(314)에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말(130)로 푸시 메시지를 전송할 수 있다. 여기서, 푸시 메시지는 통신 번호, 사용자 단말(110)의 식별자, 공개키, 타임스탬프, 서명 정보 등을 포함할 수 있다.Upon receiving the device registration request 314 , the information processing system 120 may transmit a push message 322 to the authentication terminal 130 . For example, the information processing system 120 may transmit a push message to the authentication terminal 130 associated with the user by using the communication number included in the received device registration request 314 . Here, the push message may include a communication number, an identifier of the user terminal 110, a public key, a timestamp, signature information, and the like.

푸시 메시지(322)를 수신하는 경우, 인증 단말(130)은 사용자 단말(110)에 대한 유효성 검증을 수행할 수 있다(332). 예를 들어, 인증 단말(130)은 푸시 메시지(322)에 포함된 공개키로 서명 정보를 검증한 후, 타임스탬프 값으로 리플레이 공격의 발생 여부 등을 확인할 수 있다. 추가적으로 또는 대안적으로, 사용자는 사용자 단말(110)에 표시된 식별자와 푸시 메시지(322)에 포함되고 인증 단말(130)에 표시된 식별자를 육안으로 비교하여 유효성 검증을 수행할 수도 있다.When receiving the push message 322 , the authentication terminal 130 may perform validation on the user terminal 110 ( 332 ). For example, after verifying the signature information with the public key included in the push message 322 , the authentication terminal 130 may check whether a replay attack has occurred using the timestamp value. Additionally or alternatively, the user may perform validation by visually comparing the identifier displayed on the user terminal 110 with the identifier included in the push message 322 and displayed on the authentication terminal 130 .

사용자 단말(110)의 유효성이 검증된 경우, 인증 단말(130)은 사용자 단말(110)에 대한 인증서를 발급할 수 있다(334). 예를 들어, 인증 단말(130)은 인증 단말(130)에 포함된 애플리케이션에 내장된 블록체인 지갑의 개인키를 사용하여 인증서를 발급할 수 있다. 여기서, 인증서는 사용자 단말(110)의 식별자, 공개키, 사용자 식별자, 발급 날짜 등을 포함할 수 있다. 인증서가 발급된 경우, 인증 단말(130)은 발급된 인증서(336)를 정보 처리 시스템(120)으로 전송할 수 있다.When the validity of the user terminal 110 is verified, the authentication terminal 130 may issue a certificate for the user terminal 110 ( 334 ). For example, the authentication terminal 130 may issue a certificate using the private key of the blockchain wallet embedded in the application included in the authentication terminal 130 . Here, the certificate may include an identifier of the user terminal 110 , a public key, a user identifier, an issue date, and the like. When the certificate is issued, the authentication terminal 130 may transmit the issued certificate 336 to the information processing system 120 .

정보 처리 시스템(120)은 인증서(336)를 수신하고, 수신된 인증서(336)를 등록할 수 있다(324). 또한, 사용자 단말(110)은 등록된 인증서 다운로드(316)를 수행할 수 있다. 이와 같이 인증서를 다운로드하여 사용자 단말(110)에 저장함으로써, 사용자 단말(110)은 정보 처리 시스템(120)과 연관된 내부망에 대한 접근 권한을 획득할 수 있다. 이와 같은 구성에 의해, 원격 접속을 시도하는 사용자 단말마다 별도의 인증서를 발급하여 관리함으로써, 정보 처리 시스템(120)은 각 사용자 단말의 접근 권한을 효율적으로 관리할 수 있다.The information processing system 120 may receive the certificate 336 and register the received certificate 336 ( 324 ). In addition, the user terminal 110 may perform the registered certificate download (316). As such, by downloading and storing the certificate in the user terminal 110 , the user terminal 110 may acquire an access right to the internal network associated with the information processing system 120 . With such a configuration, by issuing and managing a separate certificate for each user terminal attempting remote access, the information processing system 120 can efficiently manage the access right of each user terminal.

도 4는 본 발명의 일 실시예에 따른 사용자 단말(110) 및 정보 처리 시스템(120) 사이에서 취약점 상태 및 접속 이력이 관리되는 과정을 나타내는 예시적인 흐름도이다. 도시된 것과 같이, 사용자 단말(110) 및 정보 처리 시스템(120)은 취약점 상태 관리 및/또는 접속 이력 관리에 필요한 데이터 및/또는 정보를 주고받을 수 있다.4 is an exemplary flowchart illustrating a process in which a vulnerability state and access history are managed between the user terminal 110 and the information processing system 120 according to an embodiment of the present invention. As illustrated, the user terminal 110 and the information processing system 120 may exchange data and/or information necessary for managing a vulnerability state and/or managing an access history.

일 실시예에 따르면, 사용자 단말(110)은 취약점 상태 점검을 수행할 수 있다(412). 예를 들어, 사용자 단말(110)은 임의의 알고리즘을 기초로 암호, 네트워크 연결, 설정 값, 보안 업데이트 등에 대한 취약점 상태 점검을 수행할 수 있다. 그리고 나서, 사용자 단말(110)은 취약점 상태 정보(414)를 정보 처리 시스템(120)으로 전송할 수 있다. 여기서, 취약점 상태 정보(414)는 타임스탬프, 사용자 단말(110)의 IP, 인증서, 취약점 정보, 서명 정보 등을 포함할 수 있으나, 이에 한정되지 않는다. 이 경우, 정보 처리 시스템(120)은 수신된 취약점 상태 정보(414)를 취약점 점검 이력 데이터베이스에 저장하여 관리할 수 있다(422).According to an embodiment, the user terminal 110 may perform a vulnerability state check ( 412 ). For example, the user terminal 110 may perform a vulnerability state check for password, network connection, setting value, security update, etc. based on an arbitrary algorithm. Then, the user terminal 110 may transmit the vulnerability state information 414 to the information processing system 120 . Here, the vulnerability state information 414 may include a timestamp, an IP of the user terminal 110, a certificate, vulnerability information, signature information, and the like, but is not limited thereto. In this case, the information processing system 120 may store and manage the received vulnerability state information 414 in the vulnerability check history database ( 422 ).

일 실시예에 따르면, 사용자 단말(110)은 발급된 인증서를 기초로 시스템 접속을 수행할 수 있다(416). 예를 들어, 사용자 단말(110)은 사용자 인증을 수행하여 사용자 세션을 확립하고, 발급된 인증서를 기초로 시스템 접속을 수행할 수 있다. 시스템에 접속하는 경우, 사용자 단말(110)은 정보 처리 시스템(120)으로 접속 이력 정보(418)를 전송할 수 있다. 여기서, 접속 이력 정보(418)는 사용자 ID, 사용자 단말(110)의 IP, 인증서 등을 포함할 수 있으나, 이에 한정되지 않는다. 이 경우, 정보 처리 시스템(120)은 접속 이력 정보(418)를 접속 이력 데이터베이스에 저장하여 관리할 수 있다(424).According to an embodiment, the user terminal 110 may perform system access based on the issued certificate ( 416 ). For example, the user terminal 110 may perform user authentication to establish a user session, and may perform system access based on the issued certificate. When accessing the system, the user terminal 110 may transmit the access history information 418 to the information processing system 120 . Here, the access history information 418 may include a user ID, an IP of the user terminal 110, a certificate, and the like, but is not limited thereto. In this case, the information processing system 120 may store and manage the access history information 418 in the access history database ( 424 ).

도 4에서는 취약점 상태 정보(414)가 정보 처리 시스템(120)으로 전송된 후 접속 이력 정보(418)가 전송되는 것으로 도시되었으나, 이에 한정되지 않으며, 접속 이력 정보(418)는 취약점 상태 정보(414)의 전송 여부와 관계없이 정보 처리 시스템(120)으로 전송되어 처리될 수 있다.In FIG. 4 , the access history information 418 is transmitted after the vulnerability status information 414 is transmitted to the information processing system 120 , but the present invention is not limited thereto, and the access history information 418 includes the vulnerability status information 414 . ) may be transmitted to and processed by the information processing system 120 irrespective of whether or not the transmission is performed.

도 5는 본 발명의 일 실시예에 따른 정보 처리 시스템(120) 및 인증 단말(130) 사이에서 인증서 검증이 수행되는 과정을 나타내는 예시적인 흐름도이다. 도시된 것과 같이, 정보 처리 시스템(120) 및 인증 단말(130)은 인증서 검증에 필요한 데이터 및/또는 정보를 주고받을 수 있다.5 is an exemplary flowchart illustrating a process in which certificate verification is performed between the information processing system 120 and the authentication terminal 130 according to an embodiment of the present invention. As shown, the information processing system 120 and the authentication terminal 130 may send and receive data and/or information required for certificate verification.

일 실시예에 따르면, 정보 처리 시스템(120)은 내부 보안사고가 발생한 경우, 검증 대상 인증서를 추출할 수 있다(512). 예를 들어, 정보 처리 시스템(120)은 발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출할 수 있다. 정보 처리 시스템(120)은 보안사고와 관련된 IP와 시간대를 기준으로 검증 대상 인증서를 추출할 수 있으나, 이에 한정되지 않는다.According to an embodiment, when an internal security incident occurs, the information processing system 120 may extract a verification target certificate ( 512 ). For example, the information processing system 120 verifies based on the vulnerability state information of a plurality of user terminals stored in the vulnerability check history database among the issued plurality of certificates and the access history information of the plurality of user terminals stored in the access history database, You can extract the target certificate. The information processing system 120 may extract the verification target certificate based on the IP and time zone related to the security incident, but is not limited thereto.

그리고 나서, 정보 처리 시스템(120)은 인증 단말(130)로 검증 요청(514)을 전송할 수 있다. 예를 들어, 검증 요청(514)은 검증 대상 인증서를 포함할 수 있으며, 정보 처리 시스템(120)은 검증 대상 인증서를 발급한 것으로 판단된 인증 단말(130)로 검증 요청(514)을 전송할 수 있다.Then, the information processing system 120 may transmit a verification request 514 to the authentication terminal 130 . For example, the verification request 514 may include a verification subject certificate, and the information processing system 120 may transmit the verification request 514 to the authentication terminal 130 determined to have issued the verification subject certificate. .

일 실시예에 따르면, 인증 단말(130)은 인증서 검증을 수행할 수 있다(522). 예를 들어, 인증 단말(130)은 애플리케이션의 블록체인 지갑에 포함된 개인키와 인증서에 포함된 주소(예: 블록체인 지갑에 포함된 공개키를 기초로 생성된 주소)가 쌍을 이루는지 여부를 암호 연산적으로 검증할 수 있다. 예를 들어, 개인키와 인증서에 포함된 주소가 쌍을 이루는 것으로 판단된 경우, 검증 대상 인증서는 해당 인증 단말(130)에 의해 발급된 것으로 검증될 수 있다. 이 경우, 인증 단말(130)은 정보 처리 시스템(120)으로 검증 정보(524)를 전송할 수 있다. 이와 같은 구성에 의해, 정보 처리 시스템(120)은 검증 정보(524)를 이용하여 검증되지 않는 인증서를 식별할 수 있으며, 악성코드 등에 감염된 사용자 단말을 효과적으로 추출하여, 내부 보안사고에 대응할 수 있다.According to an embodiment, the authentication terminal 130 may perform certificate verification ( 522 ). For example, the authentication terminal 130 determines whether the private key included in the application's blockchain wallet and the address included in the certificate (eg, an address generated based on the public key included in the blockchain wallet) are paired. can be cryptographically verified. For example, when it is determined that the private key and the address included in the certificate form a pair, the verification target certificate may be verified as being issued by the corresponding authentication terminal 130 . In this case, the authentication terminal 130 may transmit the verification information 524 to the information processing system 120 . With such a configuration, the information processing system 120 can identify a certificate that is not verified by using the verification information 524 , and can effectively extract a user terminal infected with a malicious code or the like to respond to an internal security incident.

도 6은 본 발명의 일 실시예에 따른 원격 단말 추적 관리 방법(600)의 예시를 나타내는 흐름도이다. 원격 단말 추적 관리 방법(600)은 적어도 하나의 프로세서(예: 정보 처리 시스템의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 원격 단말 추적 관리 방법(600)은 프로세서가 사용자 단말로부터 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 수신함으로써 개시될 수 있다(S610). 예를 들어, 기기 등록 요청은 사용자 단말의 개인키로 서명된 서명 정보 및 사용자 단말의 공개키를 더 포함할 수 있다.6 is a flowchart illustrating an example of a remote terminal tracking management method 600 according to an embodiment of the present invention. The remote terminal tracking management method 600 may be performed by at least one processor (eg, at least one processor of an information processing system). The remote terminal tracking management method 600 may be initiated by the processor receiving a device registration request including an identifier of the user terminal and a communication number of the authentication terminal associated with the user of the user terminal from the user terminal (S610). For example, the device registration request may further include signature information signed with the private key of the user terminal and the public key of the user terminal.

그리고 나서, 프로세서는 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 사용자와 연관된 인증 단말로 푸시 메시지를 전송할 수 있다(S620). 여기서, 푸시 메시지는 통신 번호, 사용자 단말의 식별자, 사용자 단말의 공개키, 타임스탬프, 서명 정보 등을 포함할 수 있으나, 이에 한정되지 않는다.Then, the processor may transmit a push message to the authentication terminal associated with the user by using the communication number included in the received device registration request ( S620 ). Here, the push message may include a communication number, an identifier of the user terminal, a public key of the user terminal, a timestamp, signature information, and the like, but is not limited thereto.

프로세서는 사용자 단말에 대한 검증이 완료된 경우, 인증 단말로부터 발급된 인증서를 획득하여 인증서 등록을 수행할 수 있다(S630). 예를 들어, 인증 단말은 인증 단말에 내장된 블록체인 지갑(wallet)의 개인키를 사용하여 인증서를 발급할 수 있다. 이 경우, 인증서는 사용자 단말의 식별자, 사용자 단말의 공개키, 사용자 단말을 이용하는 사용자의 식별자, 발급 날짜 등을 포함할 수 있으나, 이에 한정되지 않는다. 이와 같이 발급되고 등록된 인증서를 사용자 단말이 다운로드하는 경우, 정보 처리 시스템에 대한 사용자 단말의 원격 접속이 허가될 수 있다.When the verification of the user terminal is completed, the processor may obtain a certificate issued from the authentication terminal and perform certificate registration (S630). For example, the authentication terminal may issue a certificate using the private key of a blockchain wallet embedded in the authentication terminal. In this case, the certificate may include, but is not limited to, an identifier of the user terminal, a public key of the user terminal, an identifier of a user using the user terminal, an issuance date, and the like. When the user terminal downloads the issued and registered certificate in this way, remote access of the user terminal to the information processing system may be permitted.

도 7은 본 발명의 일 실시예에 따른 인증서 검증 방법(700)의 예시를 나타내는 흐름도이다. 인증서 검증 방법(700)은 적어도 하나의 프로세서(예: 정보 처리 시스템의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 인증서 검증 방법(700)은 프로세서가 발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출함으로써 개시될 수 있다(S710). 예를 들어, 프로세서는 내부 보안사고 등이 발생하는 경우, 해당 보안사고의 원인을 추적하기 위해 검증 대상 인증서를 추출할 수 있다.7 is a flowchart illustrating an example of a method 700 for verifying a certificate according to an embodiment of the present invention. The certificate verification method 700 may be performed by at least one processor (eg, at least one processor of an information processing system). The certificate verification method 700 is a verification target certificate based on vulnerability state information of a plurality of user terminals stored in the vulnerability check history database among a plurality of certificates issued by the processor and access history information of a plurality of user terminals stored in the access history database It can be started by extracting (S710). For example, when an internal security accident or the like occurs, the processor may extract a verification target certificate to trace the cause of the security accident.

프로세서는 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송할 수 있다(S720). 즉, 프로세서는 검증 대상 인증서를 발급한 인증 단말로 검증 대상 인증서의 검증을 요청할 수 있다. 이 경우, 인증 단말은 블록체인 지갑의 개인키로 해당 검증 대상 인증서가 자신에 의해 발급된 것인지 여부를 검증할 수 있다. 예를 들어, 인증 단말은 검증 대상 인증서에 포함된 지갑 주소가 자신의 블록체인 지갑의 개인키와 쌍을 이루는지 여부를 암호 연산적으로 검증할 수 있다. 쌍을 이루는 경우, 검증이 완료될 수 있다. 이와 같이, 검증 대상 인증서에 대한 검증이 수행된 경우, 프로세서는 인증 단말로부터 검증 정보를 수신할 수 있다(S730).The processor may transmit a certificate verification request to the authentication terminal associated with the verification target certificate (S720). That is, the processor may request verification of the verification target certificate from the authentication terminal that issued the verification target certificate. In this case, the authentication terminal can verify whether the corresponding verification target certificate was issued by itself with the private key of the blockchain wallet. For example, the authentication terminal can cryptographically verify whether the wallet address included in the verification target certificate is paired with the private key of its own blockchain wallet. If paired, verification may be completed. In this way, when the verification of the verification target certificate is performed, the processor may receive verification information from the authentication terminal (S730).

도 8은 본 발명의 다른 실시예에 따른 원격 단말 추적 관리 방법(800)의 예시를 나타내는 흐름도이다. 원격 단말 추적 관리 방법(800)은 적어도 하나의 프로세서(예: 사용자 단말의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 원격 단말 추적 관리 방법(800)은 프로세서가 정보 처리 시스템으로 사용자 단말의 식별자 및 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 전송함으로써 개시될 수 있다(S810). 예를 들어, 기기 등록 요청은 사용자 단말의 개인키로 서명된 서명 정보 및 사용자 단말의 공개키를 더 포함할 수 있다.8 is a flowchart illustrating an example of a remote terminal tracking management method 800 according to another embodiment of the present invention. The remote terminal tracking management method 800 may be performed by at least one processor (eg, at least one processor of the user terminal). The remote terminal tracking management method 800 may be initiated by the processor sending a device registration request including an identifier of the user terminal and a communication number of the authentication terminal associated with the user of the user terminal to the information processing system (S810). For example, the device registration request may further include signature information signed with the private key of the user terminal and the public key of the user terminal.

일 실시예에 따르면, 프로세서는 기기 등록 요청을 수신한 정보 처리 시스템에 의해 인증 단말로부터 발급된 인증서에 대한 인증서 등록이 수행된 경우, 등록된 인증서를 다운로드할 수 있다(S820). 예를 들어, 인증 단말은 인증 단말에 내장된 블록체인 지갑(wallet)의 개인키를 사용하여 인증서를 발급할 수 있다. 이 경우, 인증서는 사용자 단말의 식별자, 사용자 단말의 공개키, 사용자 단말을 이용하는 사용자의 식별자, 발급 날짜 등을 포함할 수 있으나, 이에 한정되지 않는다. 그리고 나서, 프로세서는 다운로드된 인증서를 기초로 정보 처리 시스템에 대한 원격 접속을 수행할 수 있다(S830).According to an embodiment, when the certificate registration for the certificate issued from the authentication terminal is performed by the information processing system receiving the device registration request, the processor may download the registered certificate ( S820 ). For example, the authentication terminal may issue a certificate using the private key of a blockchain wallet embedded in the authentication terminal. In this case, the certificate may include, but is not limited to, an identifier of the user terminal, a public key of the user terminal, an identifier of a user using the user terminal, an issuance date, and the like. Then, the processor may perform remote access to the information processing system based on the downloaded certificate (S830).

도 9는 본 발명의 일 실시예에 따른 사용자 단말의 정보 관리 방법(900)의 예시를 나타내는 흐름도이다. 정보 관리 방법(900)은 적어도 하나의 프로세서(예: 사용자 단말의 적어도 하나의 프로세서)에 의해 수행될 수 있다. 일 실시예에 따르면, 프로세서는 사전 결정된 시간 구간 마다 사용자 단말의 식별자, 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 정보 처리 시스템으로 전송할 수 있다(S910). 즉, 프로세서는 주기적으로 사용자 단말의 취약점 상태를 점검 후, 취약점 상태 정보를 정보 처리 시스템으로 전송할 수 있다. 정보 처리 시스템은 수신된 취약점 상태 정보를 취약점 점검 이력 데이터베이스에 저장하여 관리할 수 있다.9 is a flowchart illustrating an example of an information management method 900 of a user terminal according to an embodiment of the present invention. The information management method 900 may be performed by at least one processor (eg, at least one processor of a user terminal). According to an embodiment, the processor may transmit vulnerability state information including the identifier of the user terminal, the certificate, the signature information, and the checked vulnerability information to the information processing system every predetermined time interval ( S910 ). That is, after periodically checking the vulnerability state of the user terminal, the processor may transmit the vulnerability state information to the information processing system. The information processing system may store and manage the received vulnerability state information in the vulnerability check history database.

프로세서는 사용자 단말이 정보 처리 시스템에 접속하는 경우, 사용자 단말의 식별자 및 인증서를 포함하는 접속 이력 정보를 정보 처리 시스템으로 전송할 수 있다(S920). 예를 들어, 사용자가 사용자 단말을 통해 접속과 연관된 동작을 수행하는 경우, 프로세서는 사용자 인증 후, 사용자 세션을 확립할 수 있다. 사용자 세션이 확립된 후, 프로세서는 사용자의 접속을 허가할 수 있으며, 정보 처리 시스템으로 접속 이력 정보를 전송할 수 있다.When the user terminal accesses the information processing system, the processor may transmit access history information including an identifier and a certificate of the user terminal to the information processing system (S920). For example, when the user performs an operation related to access through the user terminal, the processor may establish a user session after user authentication. After the user session is established, the processor may grant the user's access, and may send the connection history information to the information processing system.

도 9에서는 취약점 상태 정보가 전송된 후에, 접속 이력 정보가 전송되는 것으로 도시되었으나, 이에 한정되지 않으며, 접속 이력 정보가 전송된 후에 취약점 상태 정보가 전송될 수 있다. 추가적으로 또는 대안적으로, 취약점 상태 정보 및 접속 이력 정보는 각각 임의의 기준에 기초하여 전송될 수 있다.9 illustrates that the access history information is transmitted after the vulnerability status information is transmitted, but the present invention is not limited thereto, and the vulnerability status information may be transmitted after the access history information is transmitted. Additionally or alternatively, the vulnerability status information and the access history information may each be transmitted based on arbitrary criteria.

도 10은 본 발명의 일 실시예에 따른 컴퓨팅 장치(1000)의 내부 구성을 나타내는 블록도이다. 일 실시예에 따르면, 컴퓨팅 장치(1000)는 상술한 사용자 단말, 인증 단말, 정보 처리 시스템 등을 포함할 수 있다. 컴퓨팅 장치(1000)는 메모리(1010), 프로세서(1020), 통신 모듈(1030) 및 입출력 인터페이스(1040)를 포함할 수 있다. 도 10에 도시된 바와 같이, 컴퓨팅 장치(1000)는 통신 모듈(1030)을 이용하여 네트워크를 통해 정보 및/또는 데이터를 통신할 수 있도록 구성될 수 있다.10 is a block diagram illustrating an internal configuration of the computing device 1000 according to an embodiment of the present invention. According to an embodiment, the computing device 1000 may include the above-described user terminal, authentication terminal, information processing system, and the like. The computing device 1000 may include a memory 1010 , a processor 1020 , a communication module 1030 , and an input/output interface 1040 . As shown in FIG. 10 , the computing device 1000 may be configured to communicate information and/or data through a network using the communication module 1030 .

메모리(1010)는 비-일시적인 임의의 컴퓨터 판독 가능한 기록매체를 포함할 수 있다. 일 실시예에 따르면, 메모리(1010)는 RAM(random access memory), ROM(read only memory), 디스크 드라이브, SSD(solid state drive), 플래시 메모리(flash memory) 등과 같은 비소멸성 대용량 저장 장치(permanent mass storage device)를 포함할 수 있다. 다른 예로서, ROM, SSD, 플래시 메모리, 디스크 드라이브 등과 같은 비소멸성 대용량 저장 장치는 메모리와는 구분되는 별도의 영구 저장 장치로서 컴퓨팅 장치(1000)에 포함될 수 있다. 또한, 메모리(1010)에는 운영체제와 적어도 하나의 프로그램 코드가 저장될 수 있다.Memory 1010 may include any non-transitory computer-readable recording medium. According to one embodiment, the memory 1010 is a non-volatile mass storage device such as random access memory (RAM), read only memory (ROM), disk drive, solid state drive (SSD), flash memory, etc. mass storage device). As another example, a non-volatile mass storage device such as a ROM, an SSD, a flash memory, a disk drive, etc. may be included in the computing device 1000 as a separate persistent storage device distinct from the memory. Also, an operating system and at least one program code may be stored in the memory 1010 .

이러한 소프트웨어 구성요소들은 메모리(1010)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 이러한 컴퓨팅 장치(1000)에 직접 연결가능한 기록 매체를 포함할 수 있는데, 예를 들어, 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 예로서, 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신 모듈(1030)을 통해 메모리(1010)에 로딩될 수도 있다. 예를 들어, 적어도 하나의 프로그램은 개발자들 또는 어플리케이션의 설치 파일을 배포하는 파일 배포 시스템이 통신 모듈(1030)을 통해 제공하는 파일들에 의해 설치되는 컴퓨터 프로그램에 기반하여 메모리(1010)에 로딩될 수 있다.These software components may be loaded from a computer-readable recording medium separate from the memory 1010 . Such a separate computer-readable recording medium may include a recording medium directly connectable to the computing device 1000, for example, a floppy drive, a disk, a tape, a DVD/CD-ROM drive, a memory card, etc. It may include a computer-readable recording medium. As another example, software components may be loaded into the memory 1010 through the communication module 1030 instead of a computer-readable recording medium. For example, the at least one program is to be loaded into the memory 1010 based on a computer program installed by files provided through the communication module 1030 by developers or a file distribution system that distributes installation files of applications. can

프로세서(1020)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(1010) 또는 통신 모듈(1030)에 의해 사용자 단말(미도시) 또는 다른 외부 시스템으로 제공될 수 있다.The processor 1020 may be configured to process instructions of a computer program by performing basic arithmetic, logic, and input/output operations. The command may be provided to a user terminal (not shown) or other external system by the memory 1010 or the communication module 1030 .

통신 모듈(1030)은 네트워크를 통해 사용자 단말(미도시)과 컴퓨팅 장치(1000)가 서로 통신하기 위한 구성 또는 기능을 제공할 수 있으며, 컴퓨팅 장치(1000)가 외부 시스템(일례로 별도의 클라우드 시스템 등)과 통신하기 위한 구성 또는 기능을 제공할 수 있다. 일례로, 컴퓨팅 장치(1000)의 프로세서(1020)의 제어에 따라 제공되는 제어 신호, 명령, 데이터 등이 통신 모듈(1030)과 네트워크를 거쳐 사용자 단말 및/또는 외부 시스템의 통신 모듈을 통해 사용자 단말 및/또는 외부 시스템으로 전송될 수 있다.The communication module 1030 may provide a configuration or function for the user terminal (not shown) and the computing device 1000 to communicate with each other through a network, and the computing device 1000 may be configured to communicate with an external system (eg, a separate cloud system). etc.) to provide a configuration or function for communicating with For example, a control signal, command, data, etc. provided under the control of the processor 1020 of the computing device 1000 are transmitted through the communication module 1030 and the network through the user terminal and/or the user terminal through the communication module of an external system. and/or transmitted to an external system.

또한, 컴퓨팅 장치(1000)의 입출력 인터페이스(1040)는 컴퓨팅 장치(1000)와 연결되거나 컴퓨팅 장치(1000)가 포함할 수 있는 입력 또는 출력을 위한 장치(미도시)와의 인터페이스를 위한 수단일 수 있다. 도 10에서는 입출력 인터페이스(1040)가 프로세서(1020)와 별도로 구성된 요소로서 도시되었으나, 이에 한정되지 않으며, 입출력 인터페이스(1040)가 프로세서(1020)에 포함되도록 구성될 수 있다. 컴퓨팅 장치(1000)는 도 10의 구성요소들보다 더 많은 구성요소들을 포함할 수 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다.In addition, the input/output interface 1040 of the computing device 1000 may be a means for interfacing with a device (not shown) for input or output that is connected to the computing device 1000 or may be included in the computing device 1000 . . Although the input/output interface 1040 is illustrated as an element configured separately from the processor 1020 in FIG. 10 , the present invention is not limited thereto, and the input/output interface 1040 may be configured to be included in the processor 1020 . The computing device 1000 may include more components than those of FIG. 10 . However, there is no need to clearly show most of the prior art components.

컴퓨팅 장치(1000)의 프로세서(1020)는 복수의 사용자 단말 및/또는 복수의 외부 시스템으로부터 수신된 정보 및/또는 데이터를 관리, 처리 및/또는 저장하도록 구성될 수 있다.The processor 1020 of the computing device 1000 may be configured to manage, process, and/or store information and/or data received from a plurality of user terminals and/or a plurality of external systems.

상술된 방법 및/또는 다양한 실시예들은, 디지털 전자 회로, 컴퓨터 하드웨어, 펌웨어, 소프트웨어 및/또는 이들의 조합으로 실현될 수 있다. 본 발명의 다양한 실시예들은 데이터 처리 장치, 예를 들어, 프로그래밍 가능한 하나 이상의 프로세서 및/또는 하나 이상의 컴퓨팅 장치에 의해 실행되거나, 컴퓨터 판독 가능한 기록 매체 및/또는 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다. 상술된 컴퓨터 프로그램은 컴파일된 언어 또는 해석된 언어를 포함하여 임의의 형태의 프로그래밍 언어로 작성될 수 있으며, 독립 실행형 프로그램, 모듈, 서브 루틴 등의 임의의 형태로 배포될 수 있다. 컴퓨터 프로그램은 하나의 컴퓨팅 장치, 동일한 네트워크를 통해 연결된 복수의 컴퓨팅 장치 및/또는 복수의 상이한 네트워크를 통해 연결되도록 분산된 복수의 컴퓨팅 장치를 통해 배포될 수 있다.The above-described method and/or various embodiments may be realized in digital electronic circuitry, computer hardware, firmware, software, and/or combinations thereof. Various embodiments of the present invention may be executed by a data processing device, for example, one or more programmable processors and/or one or more computing devices, or as a computer program stored in a computer-readable recording medium and/or a computer-readable recording medium. can be implemented. The above-described computer program may be written in any form of programming language, including a compiled language or an interpreted language, and may be distributed in any form such as a stand-alone program, a module, a subroutine, and the like. The computer program may be distributed via one computing device, a plurality of computing devices connected via the same network, and/or a plurality of distributed computing devices connected via a plurality of different networks.

상술된 방법 및/또는 다양한 실시예들은, 입력 데이터를 기초로 동작하거나 출력 데이터를 생성함으로써, 임의의 기능, 함수 등을 처리, 저장 및/또는 관리하는 하나 이상의 컴퓨터 프로그램을 실행하도록 구성된 하나 이상의 프로세서에 의해 수행될 수 있다. 예를 들어, 본 발명의 방법 및/또는 다양한 실시예는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 특수 목적 논리 회로에 의해 수행될 수 있으며, 본 발명의 방법 및/또는 실시예들을 수행하기 위한 장치 및/또는 시스템은 FPGA 또는 ASIC와 같은 특수 목적 논리 회로로서 구현될 수 있다.One or more processors configured to execute one or more computer programs that process, store, and/or manage any function, function, etc., by operating based on input data or generating output data, the method and/or various embodiments described above can be performed by For example, the method and/or various embodiments of the present invention may be performed by a special purpose logic circuit such as a Field Programmable Gate Array (FPGA) or Application Specific Integrated Circuit (ASIC), and the method and/or various embodiments of the present invention Apparatus and/or systems for carrying out embodiments may be implemented as special purpose logic circuits such as FPGAs or ASICs.

컴퓨터 프로그램을 실행하는 하나 이상의 프로세서는, 범용 목적 또는 특수 목적의 마이크로 프로세서 및/또는 임의의 종류의 디지털 컴퓨팅 장치의 하나 이상의 프로세서를 포함할 수 있다. 프로세서는 읽기 전용 메모리, 랜덤 액세스 메모리의 각각으로부터 명령 및/또는 데이터를 수신하거나, 읽기 전용 메모리와 랜덤 액세스 메모리로부터 명령 및/또는 데이터를 수신할 수 있다. 본 발명에서, 방법 및/또는 실시예들을 수행하는 컴퓨팅 장치의 구성 요소들은 명령어들을 실행하기 위한 하나 이상의 프로세서, 명령어들 및/또는 데이터를 저장하기 위한 하나 이상의 메모리 디바이스를 포함할 수 있다.The one or more processors executing the computer program may include general purpose or special purpose microprocessors and/or one or more processors of any kind of digital computing device. The processor may receive instructions and/or data from each of the read-only memory and the random access memory, or may receive instructions and/or data from the read-only memory and the random access memory. In the present invention, the components of a computing device performing the method and/or embodiments may include one or more processors for executing instructions, one or more memory devices for storing instructions and/or data.

일 실시예에 따르면, 컴퓨팅 장치는 데이터를 저장하기 위한 하나 이상의 대용량 저장 장치와 데이터를 주고받을 수 있다. 예를 들어, 컴퓨팅 장치는 자기 디스크(magnetic disc) 또는 광 디스크(optical disc)로부터 데이터를 수신하거나/수신하고, 자기 디스크 또는 광 디스크로 데이터를 전송할 수 있다. 컴퓨터 프로그램과 연관된 명령어들 및/또는 데이터를 저장하기에 적합한 컴퓨터 판독 가능한 저장 매체는, EPROM(Erasable Programmable Read-Only Memory), EEPROM(Electrically Erasable PROM), 플래시 메모리 장치 등의 반도체 메모리 장치를 포함하는 임의의 형태의 비 휘발성 메모리를 포함할 수 있으나, 이에 한정되지 않는다. 예를 들어, 컴퓨터 판독 가능한 저장 매체는 내부 하드 디스크 또는 이동식 디스크와 같은 자기 디스크, 광 자기 디스크, CD-ROM 및 DVD-ROM 디스크를 포함할 수 있다.According to an embodiment, the computing device may send and receive data to and from one or more mass storage devices for storing data. For example, the computing device may receive data from, and/or transmit data to, a magnetic or optical disc. A computer-readable storage medium suitable for storing instructions and/or data associated with a computer program includes a semiconductor memory device such as an Erasable Programmable Read-Only Memory (EPROM), an Electrically Erasable PROM (EEPROM), or a flash memory device. It may include any type of non-volatile memory, but is not limited thereto. For example, computer-readable storage media may include magnetic disks such as internal hard disks or removable disks, magneto-optical disks, CD-ROM and DVD-ROM disks.

사용자와의 상호 작용을 제공하기 위해, 컴퓨팅 장치는 정보를 사용자에게 제공하거나 디스플레이하기 위한 디스플레이 장치(예를 들어, CRT (Cathode Ray Tube), LCD(Liquid Crystal Display) 등) 및 사용자가 컴퓨팅 장치 상에 입력 및/또는 명령 등을 제공할 수 있는 포인팅 장치(예를 들어, 키보드, 마우스, 트랙볼 등)를 포함할 수 있으나, 이에 한정되지 않는다. 즉, 컴퓨팅 장치는 사용자와의 상호 작용을 제공하기 위한 임의의 다른 종류의 장치들을 더 포함할 수 있다. 예를 들어, 컴퓨팅 장치는 사용자와의 상호 작용을 위해, 시각적 피드백, 청각 피드백 및/또는 촉각 피드백 등을 포함하는 임의의 형태의 감각 피드백을 사용자에게 제공할 수 있다. 이에 대해, 사용자는 시각, 음성, 동작 등의 다양한 제스처를 통해 컴퓨팅 장치로 입력을 제공할 수 있다.To provide interaction with the user, the computing device includes a display device (eg, a cathode ray tube (CRT), a liquid crystal display (LCD), etc.) for presenting or displaying information to the user and the user on the computing device. It may include, but is not limited to, a pointing device (eg, a keyboard, a mouse, a trackball, etc.) capable of providing input and/or commands to the . That is, the computing device may further include any other kind of device for providing interaction with a user. For example, the computing device may provide any form of sensory feedback to the user for interaction with the user, including visual feedback, auditory feedback, and/or tactile feedback, and the like. In contrast, the user may provide an input to the computing device through various gestures such as sight, voice, and motion.

본 발명에서, 다양한 실시예들은 백엔드 구성 요소(예: 데이터 서버), 미들웨어 구성 요소(예: 애플리케이션 서버) 및/또는 프론트 엔드 구성 요소를 포함하는 컴퓨팅 시스템에서 구현될 수 있다. 이 경우, 구성 요소들은 통신 네트워크와 같은 디지털 데이터 통신의 임의의 형태 또는 매체에 의해 상호 연결될 수 있다. 예를 들어, 통신 네트워크는 LAN(Local Area Network), WAN(Wide Area Network) 등을 포함할 수 있다.In the present invention, various embodiments may be implemented in a computing system including a back-end component (eg, a data server), a middleware component (eg, an application server) and/or a front-end component. In this case, the components may be interconnected by any form or medium of digital data communication, such as a communication network. For example, the communication network may include a local area network (LAN), a wide area network (WAN), and the like.

본 명세서에서 기술된 예시적인 실시예들에 기반한 컴퓨팅 장치는, 사용자 디바이스, 사용자 인터페이스(UI) 디바이스, 사용자 단말 또는 클라이언트 디바이스를 포함하여 사용자와 상호 작용하도록 구성된 하드웨어 및/또는 소프트웨어를 사용하여 구현될 수 있다. 예를 들어, 컴퓨팅 장치는 랩톱(laptop) 컴퓨터와 같은 휴대용 컴퓨팅 장치를 포함할 수 있다. 추가적으로 또는 대안적으로, 컴퓨팅 장치는, PDA(Personal Digital Assistants), 태블릿 PC, 게임 콘솔(game console), 웨어러블 디바이스(wearable device), IoT(internet of things) 디바이스, VR(virtual reality) 디바이스, AR(augmented reality) 디바이스 등을 포함할 수 있으나, 이에 한정되지 않는다. 컴퓨팅 장치는 사용자와 상호 작용하도록 구성된 다른 유형의 장치를 더 포함할 수 있다. 또한, 컴퓨팅 장치는 이동 통신 네트워크 등의 네트워크를 통한 무선 통신에 적합한 휴대용 통신 디바이스(예를 들어, 이동 전화, 스마트 전화, 무선 셀룰러 전화 등) 등을 포함할 수 있다. 컴퓨팅 장치는, 무선 주파수(RF; Radio Frequency), 마이크로파 주파수(MWF; Microwave Frequency) 및/또는 적외선 주파수(IRF; Infrared Ray Frequency)와 같은 무선 통신 기술들 및/또는 프로토콜들을 사용하여 네트워크 서버와 무선으로 통신하도록 구성될 수 있다.A computing device based on the exemplary embodiments described herein may be implemented using hardware and/or software configured to interact with a user, including a user device, a user interface (UI) device, a user terminal, or a client device. can For example, the computing device may include a portable computing device such as a laptop computer. Additionally or alternatively, the computing device may include Personal Digital Assistants (PDA), tablet PCs, game consoles, wearable devices, internet of things (IoT) devices, virtual reality (VR) devices, AR (augmented reality) device may include, but is not limited thereto. The computing device may further include other types of devices configured to interact with the user. In addition, the computing device may include a portable communication device suitable for wireless communication over a network such as a mobile communication network (eg, a mobile phone, a smart phone, a wireless cellular phone, etc.), and the like. A computing device communicates with a network server wirelessly using wireless communication technologies and/or protocols such as Radio Frequency (RF), Microwave Frequency (MWF), and/or Infrared Ray Frequency (IRF). may be configured to communicate with

본 발명에서 특정 구조적 및 기능적 세부 사항을 포함하는 다양한 실시예들은 예시적인 것이다. 따라서, 본 발명의 실시예들은 상술된 것으로 한정되지 않으며, 여러 가지 다른 형태로 구현될 수 있다. 또한, 본 발명에서 사용된 용어는 일부 실시예를 설명하기 위한 것이며 실시예를 제한하는 것으로 해석되지 않는다. 예를 들어, 단수형 단어 및 상기는 문맥상 달리 명확하게 나타내지 않는 한 복수형도 포함하는 것으로 해석될 수 있다.Various embodiments of the present invention, including specific structural and functional details, are exemplary. Accordingly, the embodiments of the present invention are not limited to those described above, and may be implemented in various other forms. In addition, the terminology used in the present invention is for describing some embodiments and is not to be construed as limiting the embodiments. For example, singular words and the above may be construed to include the plural as well, unless the context clearly dictates otherwise.

본 발명에서, 달리 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함하여 본 명세서에서 사용되는 모든 용어는 이러한 개념이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다. 또한, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 맥락에서의 의미와 일치하는 의미를 갖는 것으로 해석되어야 한다.In the present invention, unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which these concepts belong. . In addition, commonly used terms such as predefined terms should be interpreted as having a meaning consistent with the meaning in the context of the related art.

본 명세서에서는 본 발명이 일부 실시예들과 관련하여 설명되었지만, 본 발명의 발명이 속하는 기술분야의 통상의 기술자가 이해할 수 있는 본 발명의 범위를 벗어나지 않는 범위에서 다양한 변형 및 변경이 이루어질 수 있다. 또한, 그러한 변형 및 변경은 본 명세서에 첨부된 특허청구의 범위 내에 속하는 것으로 생각되어야 한다.Although the present invention has been described with reference to some embodiments herein, various modifications and changes can be made without departing from the scope of the present invention that can be understood by those skilled in the art to which the present invention pertains. Further, such modifications and variations are intended to fall within the scope of the claims appended hereto.

110: 사용자 단말
120: 정보 처리 시스템
130: 인증 단말
122: 인증서 등록부
124: 취약점 점검부
126: 시스템 관리부
128: 사용자 단말 검증부110: user terminal
120: information processing system
130: authentication terminal
122: certificate register
124: vulnerability check unit
126: system management unit
128: user terminal verification unit

Claims (19)

적어도 하나의 프로세서에 의해 수행되는 원격 단말 추적 관리 방법으로서,
사용자 단말로부터 상기 사용자 단말의 식별자 및 상기 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 수신하는 단계;
상기 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 상기 사용자와 연관된 인증 단말로 푸시 메시지(push message)를 전송하는 단계;
상기 사용자 단말에 대한 검증이 완료된 경우, 상기 인증 단말로부터 발급된 인증서를 획득하여 인증서 등록을 수행하는 단계;
사전 결정된 시간 구간 마다 상기 사용자 단말의 식별자, 상기 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 수신하여 취약점 점검 이력 데이터베이스에 저장하는 단계;
상기 사용자 단말이 정보 처리 시스템에 접속하는 경우, 상기 사용자 단말의 식별자 및 상기 인증서를 포함하는 접속 이력 정보를 수신하여 접속 이력 데이터베이스에 저장하는 단계;
발급된 복수의 인증서 중 상기 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 상기 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하는 단계;
상기 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하는 단계; 및
상기 검증 대상 인증서와 연관된 인증 단말의 개인키로 상기 검증 대상 인증서에 대한 검증이 수행된 경우, 상기 인증 단말로부터 검증 정보를 수신하는 단계; 를 포함하고,
상기 사용자 단말이 상기 등록된 인증서를 다운로드하는 경우, 상기 정보 처리 시스템에 대한 상기 사용자 단말의 원격 접속이 허가되는, 원격 단말 추적 관리 방법.
A remote terminal tracking management method performed by at least one processor, comprising:
receiving, from a user terminal, a device registration request including an identifier of the user terminal and a communication number of an authentication terminal associated with the user of the user terminal;
transmitting a push message to an authentication terminal associated with the user by using the communication number included in the received device registration request;
performing certificate registration by obtaining a certificate issued from the authentication terminal when the verification of the user terminal is completed;
receiving vulnerability state information including the identifier of the user terminal, the certificate, signature information, and checked vulnerability information for each predetermined time interval and storing the received vulnerability state information in a vulnerability check history database;
when the user terminal accesses the information processing system, receiving access history information including an identifier of the user terminal and the certificate and storing the information in an access history database;
extracting a verification target certificate based on vulnerability state information of a plurality of user terminals stored in the vulnerability check history database among a plurality of issued certificates and access history information of a plurality of user terminals stored in the access history database;
transmitting a certificate verification request to an authentication terminal associated with the verification target certificate; and
receiving verification information from the authentication terminal when verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate; including,
When the user terminal downloads the registered certificate, remote access of the user terminal to the information processing system is permitted, remote terminal tracking management method.
제1항에 있어서,
상기 기기 등록 요청은 상기 사용자 단말의 개인키로 서명된 서명 정보 및 상기 사용자 단말의 공개키를 더 포함하고,
상기 인증 단말은 상기 사용자 단말의 공개키를 이용하여 상기 사용자 단말에 대한 검증을 수행하는, 원격 단말 추적 관리 방법.
According to claim 1,
The device registration request further includes signature information signed with the private key of the user terminal and the public key of the user terminal,
The authentication terminal uses the public key of the user terminal to perform verification for the user terminal, a remote terminal tracking management method.
삭제delete 삭제delete 삭제delete 적어도 하나의 프로세서에 의해 수행되는 원격 단말 추적 관리 방법으로서,
정보 처리 시스템으로 사용자 단말의 식별자 및 상기 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 전송하는 단계;
상기 기기 등록 요청을 수신한 정보 처리 시스템에 의해 인증 단말로부터 발급된 인증서에 대한 인증서 등록이 수행된 경우, 상기 등록된 인증서를 다운로드하는 단계;
상기 다운로드된 인증서를 기초로 상기 정보 처리 시스템에 대한 원격 접속을 수행하는 단계;
사전 결정된 시간 구간 마다 상기 사용자 단말의 식별자, 상기 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 상기 정보 처리 시스템으로 전송하는 단계; 및
상기 사용자 단말이 상기 정보 처리 시스템에 접속하는 경우, 상기 사용자 단말의 식별자 및 상기 인증서를 포함하는 접속 이력 정보를 상기 정보 처리 시스템으로 전송하는 단계; 를 포함하고,
상기 정보 처리 시스템은,
발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하고,
상기 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하고,
상기 검증 대상 인증서와 연관된 인증 단말의 개인키로 상기 검증 대상 인증서에 대한 검증이 수행된 경우, 상기 인증 단말로부터 검증 정보를 수신하는, 원격 단말 추적 관리 방법.
A remote terminal tracking management method performed by at least one processor, comprising:
transmitting a device registration request including an identifier of the user terminal and a communication number of an authentication terminal associated with the user of the user terminal to the information processing system;
downloading the registered certificate when certificate registration for the certificate issued from the authentication terminal is performed by the information processing system receiving the device registration request;
performing remote access to the information processing system based on the downloaded certificate;
transmitting vulnerability state information including the identifier of the user terminal, the certificate, signature information, and checked vulnerability information for each predetermined time interval to the information processing system; and
transmitting, when the user terminal accesses the information processing system, access history information including an identifier of the user terminal and the certificate to the information processing system; including,
The information processing system,
Extracting the verification target certificate based on the vulnerability status information of a plurality of user terminals stored in the vulnerability check history database among the issued certificates and the access history information of the plurality of user terminals stored in the access history database,
Transmitting a certificate verification request to the authentication terminal associated with the verification target certificate,
When the verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate, the remote terminal tracking management method for receiving verification information from the verification terminal.
제6항에 있어서,
상기 기기 등록 요청은 상기 사용자 단말의 개인키로 서명된 서명 정보 및 상기 사용자 단말의 공개키를 더 포함하고,
상기 인증 단말은 상기 사용자 단말의 공개키를 이용하여 상기 사용자 단말에 대한 검증을 수행하는, 원격 단말 추적 관리 방법.
7. The method of claim 6,
The device registration request further includes signature information signed with the private key of the user terminal and the public key of the user terminal,
The authentication terminal uses the public key of the user terminal to perform verification for the user terminal, a remote terminal tracking management method.
삭제delete 삭제delete 제1항, 제2항, 제6항 및 제7항 중 어느 한 항에 따른 방법을 컴퓨터에서 실행하기 위해 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
A computer program stored in a computer-readable recording medium for executing the method according to any one of claims 1, 2, 6 and 7 on a computer.
정보 처리 시스템으로서,
통신 모듈;
메모리; 및
상기 메모리와 연결되고, 상기 메모리에 포함된 컴퓨터 판독 가능한 적어도 하나의 프로그램을 실행하도록 구성된 적어도 하나의 프로세서
를 포함하고,
상기 적어도 하나의 프로그램은,
사용자 단말로부터 상기 사용자 단말의 식별자 및 상기 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 수신하고,
상기 수신된 기기 등록 요청에 포함된 통신 번호를 이용하여, 상기 사용자와 연관된 인증 단말로 푸시 메시지를 전송하고,
상기 사용자 단말에 대한 검증이 완료된 경우, 상기 인증 단말로부터 발급된 인증서를 획득하여 인증서 등록을 수행하고,
사전 결정된 시간 구간 마다 상기 사용자 단말의 식별자, 상기 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 수신하여 취약점 점검 이력 데이터베이스에 저장하고,
상기 사용자 단말이 상기 정보 처리 시스템에 접속하는 경우, 상기 사용자 단말의 식별자 및 상기 인증서를 포함하는 접속 이력 정보를 수신하여 접속 이력 데이터베이스에 저장하고,
발급된 복수의 인증서 중 상기 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 상기 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하고,
상기 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하고,
상기 검증 대상 인증서와 연관된 인증 단말의 개인키로 상기 검증 대상 인증서에 대한 검증이 수행된 경우, 상기 인증 단말로부터 검증 정보를 수신하기 위한 명령어들을 포함하고,
상기 사용자 단말이 상기 등록된 인증서를 다운로드하는 경우, 정보 처리 시스템에 대한 상기 사용자 단말의 원격 접속이 허가되는, 정보 처리 시스템.
An information processing system comprising:
communication module;
Memory; and
at least one processor coupled to the memory and configured to execute at least one computer readable program contained in the memory
including,
the at least one program,
Receiving a device registration request including an identifier of the user terminal and a communication number of an authentication terminal associated with the user of the user terminal from the user terminal,
Transmitting a push message to the authentication terminal associated with the user by using the communication number included in the received device registration request,
When the verification of the user terminal is completed, obtain a certificate issued from the authentication terminal and perform certificate registration,
Receive vulnerability status information including the identifier of the user terminal, the certificate, signature information, and checked vulnerability information for each predetermined time interval and store it in a vulnerability check history database,
When the user terminal accesses the information processing system, receives and stores access history information including the identifier and the certificate of the user terminal in the access history database,
Extracting a verification target certificate based on vulnerability status information of a plurality of user terminals stored in the vulnerability check history database among the issued plurality of certificates and access history information of a plurality of user terminals stored in the access history database,
Transmitting a certificate verification request to the authentication terminal associated with the verification target certificate,
and instructions for receiving verification information from the authentication terminal when the verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate,
and when the user terminal downloads the registered certificate, remote access of the user terminal to the information processing system is permitted.
제11항에 있어서,
상기 기기 등록 요청은 상기 사용자 단말의 개인키로 서명된 서명 정보 및 상기 사용자 단말의 공개키를 더 포함하고,
상기 인증 단말은 상기 사용자 단말의 공개키를 이용하여 상기 사용자 단말에 대한 검증을 수행하는, 정보 처리 시스템.
12. The method of claim 11,
The device registration request further includes signature information signed with the private key of the user terminal and the public key of the user terminal,
The authentication terminal performs verification on the user terminal by using the public key of the user terminal, the information processing system.
삭제delete 삭제delete 삭제delete 사용자 단말로서,
통신 모듈;
메모리; 및
상기 메모리와 연결되고, 상기 메모리에 포함된 컴퓨터 판독 가능한 적어도 하나의 프로그램을 실행하도록 구성된 적어도 하나의 프로세서
를 포함하고,
상기 적어도 하나의 프로그램은,
정보 처리 시스템으로 사용자 단말의 식별자 및 상기 사용자 단말의 사용자와 연관된 인증 단말의 통신 번호를 포함하는 기기 등록 요청을 전송하고,
상기 기기 등록 요청을 수신한 정보 처리 시스템에 의해 인증 단말로부터 발급된 인증서에 대한 인증서 등록이 수행된 경우, 상기 등록된 인증서를 다운로드하고,
상기 다운로드된 인증서를 기초로 상기 정보 처리 시스템에 대한 원격 접속을 수행하고,
사전 결정된 시간 구간 마다 상기 사용자 단말의 식별자, 상기 인증서, 서명 정보 및 점검된 취약점 정보를 포함하는 취약점 상태 정보를 상기 정보 처리 시스템으로 전송하고,
상기 사용자 단말이 상기 정보 처리 시스템에 접속하는 경우, 상기 사용자 단말의 식별자 및 상기 인증서를 포함하는 접속 이력 정보를 상기 정보 처리 시스템으로 전송하기 위한 명령어들을 포함하고,
상기 정보 처리 시스템은,
발급된 복수의 인증서 중 취약점 점검 이력 데이터베이스에 저장된 복수의 사용자 단말의 취약점 상태 정보 및 접속 이력 데이터베이스에 저장된 복수의 사용자 단말의 접속 이력 정보를 기초로, 검증 대상 인증서를 추출하고,
상기 검증 대상 인증서와 연관된 인증 단말로 인증서 검증 요청을 전송하고,
상기 검증 대상 인증서와 연관된 인증 단말의 개인키로 상기 검증 대상 인증서에 대한 검증이 수행된 경우, 상기 인증 단말로부터 검증 정보를 수신하는, 사용자 단말.
As a user terminal,
communication module;
Memory; and
at least one processor coupled to the memory and configured to execute at least one computer readable program contained in the memory
including,
the at least one program,
sending a device registration request including an identifier of the user terminal and a communication number of an authentication terminal associated with the user of the user terminal to the information processing system;
When the certificate registration for the certificate issued from the authentication terminal is performed by the information processing system receiving the device registration request, download the registered certificate,
performing remote access to the information processing system based on the downloaded certificate;
Transmitting vulnerability status information including the identifier of the user terminal, the certificate, signature information, and checked vulnerability information to the information processing system for each predetermined time interval,
When the user terminal accesses the information processing system, comprising instructions for transmitting access history information including the identifier of the user terminal and the certificate to the information processing system,
The information processing system,
Extracting the verification target certificate based on the vulnerability status information of a plurality of user terminals stored in the vulnerability check history database among the issued certificates and the access history information of the plurality of user terminals stored in the access history database,
Transmitting a certificate verification request to the authentication terminal associated with the verification target certificate,
When the verification of the verification target certificate is performed with the private key of the verification terminal associated with the verification target certificate, the user terminal receives verification information from the verification terminal.
제16항에 있어서,
상기 기기 등록 요청은 상기 사용자 단말의 개인키로 서명된 서명 정보 및 상기 사용자 단말의 공개키를 더 포함하고,
상기 인증 단말은 상기 사용자 단말의 공개키를 이용하여 상기 사용자 단말에 대한 검증을 수행하는, 사용자 단말.
17. The method of claim 16,
The device registration request further includes signature information signed with the private key of the user terminal and the public key of the user terminal,
The authentication terminal performs verification on the user terminal by using the public key of the user terminal, the user terminal.
삭제delete 삭제delete

Images