KR20180033953A - 웹 기반의 sso 서비스 방법 - Google Patents

웹 기반의 sso 서비스 방법 Download PDF

Info

Publication number
KR20180033953A
KR20180033953A KR1020160123825A KR20160123825A KR20180033953A KR 20180033953 A KR20180033953 A KR 20180033953A KR 1020160123825 A KR1020160123825 A KR 1020160123825A KR 20160123825 A KR20160123825 A KR 20160123825A KR 20180033953 A KR20180033953 A KR 20180033953A
Authority
KR
South Korea
Prior art keywords
vulnerability
asset
module
authentication
information
Prior art date
Application number
KR1020160123825A
Other languages
English (en)
Other versions
KR102022984B1 (ko
Inventor
박원민
Original Assignee
박원민
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박원민 filed Critical 박원민
Priority to KR1020160123825A priority Critical patent/KR102022984B1/ko
Publication of KR20180033953A publication Critical patent/KR20180033953A/ko
Application granted granted Critical
Publication of KR102022984B1 publication Critical patent/KR102022984B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 SSO 서비스 방법에 관한 것으로, 보다 상세하게는 입력 모듈에서 서비스 제공 모듈로 타겟 리소스를 요청하는 단계, 상기 서비스 제공 모듈에서 상기 입력 모듈로 사용자 인증을 요청하는 단계, 상기 입력 모듈에서 인증 모듈로 SSO(Single Sign On) 서비스를 요청하는 단계, 상기 인증 모듈이 사용자 인증을 수행하는 단계, 상기 인증 모듈에서 상기 입력 모듈로 사용자 인증 허가 정보를 전송하는 단계, 상기 입력 모듈에서 상기 서비스 제공 모듈로 ACS(Assertion Consumer Service )를 요청하는 단계, 상기 서비스 제공 모듈에서 상기 입력 모듈로 타겟 리소스의 리다이렉트 정보를 전송하는 단계, 상기 입력 모듈에서 상기 서비스 제공 모듈로 타겟 리소스를 요청하는 단계 및 상기 서비스 제공 모듈에서 상기 입력 모듈로 요청한 리소스를 전송하는 단계 를 포함하는 SSO 서비스 방법에 관한 것이다.
상기와 같은 본 발명에 따르면 인증 수행 단계를 세분화 및 효율화하여 보다 정확한 정보 처리를 통해 보안이 강화되고, 위험관리 시스템 연동을 통해 위험관리 기능이 강화될 수 있다.

Description

웹 기반의 SSO 서비스 방법{Web Based SSO Service Method}
본 발명은 SSO 서비스 방법에 관한 것으로, 보다 상세하게는 인증 수행 단계를 세분화 및 효율화하여 보다 정확한 정보 처리를 수행함으로써 보안이 강화되고, 위험관리 시스템 연동을 통해 위험관리 기능이 강화된 SSO 서비스 방법에 관한 것이다.
일반적으로 Single Sign On(SSO) 란 한 번의 인증 과정을 통해 여러 컴퓨터 상의 자원을 이용 가능하게 하는 것으로서 단일 계정 로그인 혹은 단일 인증이라고도 한다.
예를 들어 어느 컴퓨터에 로그인한 후 그룹웨어 등의 응용프로그램을 사용할 때에 다시 로그인, 다른 서버 상의 응용프로그램을 사용할 때에도 다시 로그인이 필요한 상황이라면, 사용자는 여러 개의 아이디와 비밀번호를 관리해야 하는 번거로움이 있으나 SSO을 도입한 환경에서는 사용자는 하나의 아이디와 비밀번호로 모든 기능을 사용할 수 있는 편리함이 있다.
한편 보안이 필요한 환경에서SSO 를 도입하는 경우, 여러 응용프로그램의 로그인 처리가 간소화되어 편리하다는 장점이 있는 반면 통합인증의 시작점이 되는, 즉 최초의 로그인 대상이 되는 응용프로그램 혹은 운영체제에 대한 접근 보안이 중요하게 되므로 보안을 강화할 필요성이 커지게 된다.
그러나 종래의 SSO 기술에 의하면 대규모 환경에서 통합 ID 관리를 구현하기 위한 효율적인 단계 설정이 부족한 상황이고, 인증 수행 단계가 상세하게 설정되지 않아 상호 운용성 측면에서 부족함이 있었으며, 위험관리 측면에서의 보완이 필요한 문제점이 있었다.
본 발명은 전술한 종래기술의 문제점을 해결하기 위해 안출된 것으로서, 대규모 정보 처리가 요구되는 환경에서 단일 계정 로그인 관리를 구현하기 위한 일련의 유용한 메커니즘을 제공하고, 인증 수행 단계를 보다 상세하게 설정함으로써 상호 운용성이 현저히 향상된 SSO 서비스 방법을 제공하는 데 그 목적이 있다.
또한 본 발명은 웹 환경에서 SSO 서비스 방법과 위험관리방법의 연동을 통해 관리자 인증이 강화되는 동시에 접근성이 강화됨으로써, 보안이 강화됨과 동시에 사용이 편리한 SSO 서비스 방법을 제공하는 데 또 다른 목적이 있다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 본 발명의 기재로부터 당해 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 종래 기술의 문제점을 해결하기 위한 본 발명의 일 측면에 의하면, SSO 서비스 방법에 있어서, 입력 모듈(20)에서 서비스 제공 모듈(10)로 타겟 리소스를 요청하는 단계(100), 상기 서비스 제공 모듈에서 상기 입력 모듈로 사용자 인증을 요청하는 단계(110), 상기 입력 모듈에서 인증 모듈(30)로 SSO(Single Sign On) 서비스를 요청하는 단계(120), 상기 인증 모듈이 사용자 인증을 수행하는 단계(130), 상기 인증 모듈에서 상기 입력 모듈로 사용자 인증 허가 정보를 전송하는 단계(140), 상기 입력 모듈에서 상기 서비스 제공 모듈로 ACS(Assertion Consumer Service)를 요청하는 단계(150), 상기 서비스 제공 모듈에서 상기 입력 모듈로 타겟 리소스의 리다이렉트 정보를 전송하는 단계(160), 상기 입력 모듈에서 상기 서비스 제공 모듈로 타겟 리소스를 요청하는 단계(170) 및 상기 서비스 제공 모듈에서 상기 입력 모듈로 요청한 리소스를 전송하는 단계(180)를 포함하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 인증 모듈이 사용자 인증을 수행하는 단계(130)는, 상기 인증 모듈(30)이 수신되는 사용자 인증 세션 정보를 테이블에 저장하는 단계(131), 상기 인증 모듈이 상기 입력 모듈(20)을 통하여 상기 서비스 제공 모듈(10)로부터 사용자 인증 요청을 수신하는 단계(132) 및 상기 인증 모듈이 상기 사용자 인증 세션 정보에 기초한 인증을 수행하는 단계(133)를 포함하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 인증 모듈이 상기 인증을 수행하는 단계(133)는, 상기 인증 모듈이 사용자 인증 요청 메시지를 분석하여 사용자 정보에 따른 사용자 인증 세션 정보를 조회하는 단계(133a), 상기 사용자 인증 세션 정보가 존재하면, 상기 테이블에 저장된 사용자 인증 세션 정보에 기초하여 공통프로파일 시스템으로부터 사용자의 웹 로그인 정보를 검색하는 단계(133b) 및 상기 사용자의 웹 로그인 정보가 존재하면 입력 모듈(20)을 통하여 상기 서비스 제공 모듈(10)로 사용자 인증 응답 메시지를 전송하는 단계(133c)를 포함하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 SSO 서비스 방법은 Security Assertion Markup Language(SAML) 를 기반으로 하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 인증 모듈이 사용자 인증을 수행하는 단계(130)에서, 상기 사용자 인증에 필요한 정보는 사용자의 이름과 비밀번호인 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 인증 모듈이 사용자 인증을 수행하는 단계(130)에서, 상기 사용자 인증에 필요한 정보는 사용자의 인증서인 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 인증 모듈이 사용자 인증을 수행하는 단계(130)에서, 상기 사용자 인증에 필요한 정보는 사용자의 인증서 위치를 알려주는 URL인 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 SSO 서비스 방법과 네트워크관리시스템의 위험관리방법(200)이 연동하는 단계를 더 추가하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 네트워크관리시스템은, 통합보안관리시스템, 위험관리시스템, 위협관리시스템을 포함하여 구성된 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 위험관리방법(200)은, 점검 대상 네트워크 영역의 운영체제(OS)별 취약점, 네트워크 장비 취약점 및 웹 응용프로그램 취약점을 스캐닝하여 해당 파일을 취약점DB에 저장하는 취약점 센싱 단계(210), 상기 취약점 센싱 단계의 프로세스 결과 및 SSO 인증 정보를 취합하는 취약점 수집 단계(220), 상기 취약점 수집 단계의 취약점 수집 결과로부터 관리자가 자산을 등록하는 자산 등록 단계(230), 상기 자산 등록 단계에서 등록된 자산의 자산가치를 산정하는 자산 분석 단계(240), 동일한 위협이 얼마나 자주 발생하는지를 나타내는 위협빈도수와 한 번의 위협 발생으로 자산에 얼마나 큰 영향을 미치는지를 나타내는 위협영향값을 산출하는 위협 분석 단계(250), 상기 취약점 센싱 단계에 의해 수집된 데이터로부터 취약성 수준을 도출하는 취약성 분석 단계(260), 상기 자산 분석 단계(240)에서 산정한 자산가치와 상기 위협 분석 단계(250)에서 산정한 위협 영향값을 연산하여 자산별 파급 강도인 자산별 위협지수를 산출하고, 상기 위협 분석 단계(250)에서 산정한 위협빈도수와 상기 취약성 분석 단계(260)에서 산정한 취약점 수준 점수를 고려한 취약성지수를 통해 자산별 위험도를 산정하는 자산별 위험도 산정 단계(270)를 포함하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 취약점 센싱 단계(210)는 점검대상 네트워크 영역에서 운영되는 취약점 스캔 도구이며, 수집된 정보는 취약점 DB로 저장되는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 취약점 수집 단계(220)는 상기 취약점 센싱 단계(210)에 의한 취약점 스캔으로 수집한 정보와 상기 SSO 인증 정보를 취합하여 취약점 DB에 저장하되, 상기 수집된 취약점은 하드웨어, 운영체제(OS), 응용소프트웨어, 네트워크, 데이터, 사용자 취약점을 포함하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 자산 등록 단계(230)는 자산DB에 관리할 자산을 등록하는 일련의 작업을 나타내는 프로세스로, 상기 취약점 센싱 단계(210) 및 상기 취약점 수집 단계(220)의 수행 결과에 의해 자동으로 스캔되어 업데이트된 정보를 기반으로 하여 자산을 등록하는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 자산 분석 단계(240)는 위험 분석 대상 시스템과 관련 있는 모든 자산을 조사하고 상기 자산들의 가치를 산정하는 단계로, 자산조사 활동과 자산가치 산정으로 구분하되, 상기 자산조사 활동은 다시 자산범위 설정과 자산목록 작성으로 구성되는 것이 바람직하다.
또한, 본 발명의 일실시예로 상기 취약성 분석 단계(260)는 상기 자산 분석 단계(240)를 통하여 도출된 자산의 속성과 중요도를 바탕으로 자산이 근본적으로 가지고 있는 약점인 취약성을 도출하고, 취약성이 전체적인 위험에 미칠 수 있는 영향을 분석하는 것이 바람직하다.
상기와 같은 본 발명에 따르면, SSO서비스 방법에 있어서 대규모 정보 처리가 요구되는 환경에서 단일 계정 로그인 관리를 구현하기 위한 일련의 유용한 메커니즘을 제공하고, 인증 수행 단계를 보다 상세하게 설정함으로써 상호 운용성을 현저히 향상시킬 수 있는 효과가 있다.
또한 본 발명은 웹 환경에서 SSO 서비스 방법과 위험관리방법의 연동을 통해 관리자 인증이 강화되는 동시에 접근성이 강화됨으로써, 보안이 강화됨과 동시에 사용 편의성을 향상시킬 수 있는 효과가 있다.
도 1은 본 발명에 따른 SSO 서비스 방법을 나타낸 흐름도.
도 2는 본 발명에 따른 사용자 인증 수행 단계를 나타낸 흐름도.
도 3은 본 발명에 따른 인증 수행 단계를 나타낸 흐름도.
도 4는 본 발명에 따른 네트워크관리시스템의 위험관리방법을 나타낸 흐름도.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
일반적으로 Single Sign On(SSO) 란 한 번의 인증 과정을 통해 여러 컴퓨터 상의 자원을 이용 가능하게 하는 것으로서 단일 계정 로그인 혹은 단일 인증이라고도 한다.
예를 들어 어느 컴퓨터에 로그인한 후 그룹웨어 등의 응용프로그램을 사용할 때에 다시 로그인, 다른 서버 상의 응용프로그램을 사용할 때에도 다시 로그인이 필요한 상황이라면, 사용자는 여러 개의 아이디와 비밀번호를 관리해야 하는 번거로움이 있으나 SSO을 도입한 환경에서는 사용자는 하나의 아이디와 비밀번호로 모든 기능을 사용할 수 있는 편리함이 있다.
한편 보안이 필요한 환경에서SSO 를 도입하는 경우, 여러 응용프로그램의 로그인 처리가 간소화되어 편리하다는 장점이 있는 반면 통합인증의 시작점이 되는, 즉 최초의 로그인 대상이 되는 응용프로그램 혹은 운영체제에 대한 접근 보안이 중요하게 되므로 보안을 강화할 필요성이 있다.
그러나 종래의 SSO 기술에 의하면 대규모 환경에서 통합 ID 관리를 구현하기 위한 효율적인 단계 설정이 부족한 상황이고, 인증 수행 단계가 상세하게 설정되지 않아 상호 운용성 측면에서 부족함이 있었으며, 위험관리 측면에서의 보완이 필요한 문제점이 있었다.
도 1은 본 발명에 따른 SSO 서비스 방법을 나타낸 흐름도이다. 본 발명은 전술한 종래 기술의 한계점을 개선하기 위하여 고안된 것으로서, 본 발명의 SSO 서비스 방법은 입력 모듈(20)에서 서비스 제공 모듈(10)로 타겟 리소스를 요청하는 단계(100), 상기 서비스 제공 모듈에서 상기 입력 모듈로 사용자 인증을 요청하는 단계(110), 상기 입력 모듈에서 인증 모듈(30)로 SSO(Single Sign On) 서비스를 요청하는 단계(120), 상기 인증 모듈이 사용자 인증을 수행하는 단계(130), 상기 인증 모듈에서 상기 입력 모듈로 사용자 인증 허가 정보를 전송하는 단계(140), 상기 입력 모듈에서 상기 서비스 제공 모듈로 ACS(Assertion Consumer Service )를 요청하는 단계(150), 상기 서비스 제공 모듈에서 상기 입력 모듈로 타겟 리소스의 리다이렉트 정보를 전송하는 단계(160), 상기 입력 모듈에서 상기 서비스 제공 모듈로 타겟 리소스를 요청하는 단계(170) 및 상기 서비스 제공 모듈에서 상기 입력 모듈로 요청한 리소스를 전송하는 단계(180) 를 포함하는 것을 특징으로 한다.
한편, 도 2는 본 발명에 따른 사용자 인증 수행 단계를 나타낸 흐름도이다. 본 발명에서 상기 인증 모듈(30)이 사용자 인증을 수행하는 단계(130)는, 상기 인증 모듈이 수신되는 사용자 인증 세션 정보를 테이블에 저장하는 단계(131), 상기 인증 모듈이 상기 입력 모듈(20)을 통하여 상기 서비스 제공 모듈(10)로부터 사용자 인증 요청을 수신하는 단계(132) 및 상기 인증 모듈이 상기 사용자 인증 세션 정보에 기초한 인증을 수행하는 단계(133)를 포함하는 것이 바람직하다.
도 3은 본 발명에 따른 인증 수행 단계를 나타낸 흐름도이다. 본 발명에서 상기 인증 모듈이 상기 인증을 수행하는 단계(133)는, 상기 인증 모듈이 사용자 인증 요청 메시지를 분석하여 사용자 정보에 따른 사용자 인증 세션 정보를 조회하는 단계(133a), 상기 사용자 인증 세션 정보가 존재하면, 상기 테이블에 저장된 사용자 인증 세션 정보에 기초하여 공통프로파일 시스템으로부터 사용자의 웹 로그인 정보를 검색하는 단계(133b) 및 상기 사용자의 웹 로그인 정보가 존재하면 입력 모듈을 통하여 상기 서비스 제공 모듈로 사용자 인증 응답 메시지를 전송하는 단계(133c)를 포함하는 것이 바람직하다.
또한, 본 발명에서 상기 SSO 서비스 방법은 Security Assertion Markup Language(SAML) 를 기반으로 하는 것이 바람직하다.
SAML은 보안정보의 수신, 전송 및 공유와 관련된 모든 기능을 표준화는데, 보다 구체적으로는 사용자 보안정보에 대한 XML 포맷을 제공하고 이러한 정보를 요청 및 전송하기 위한 포맷을 제공하며, 웹 SSO와 같이 일반적인 특정 이용 사례에 대해 자세한 메시지 교환방법 지정이 가능하며, 사용자의 신원을 노출시키지 않고 사용자 속성을 결정하는 기능을 비롯하여 여러 가지 개인정보 보호 메커니즘을 지원한다. 또한 SAML은 높은 유연성 유지를 위해 특별히 설계된 것으로서 아직까지 표준으로 해결되지 않는 요구사항을 처리할 수 있을 정도로 확장이 가능한 장점이 있다.
또한, 본 발명에서 상기 인증 모듈이 사용자 인증을 수행하는 단계에서, 상기 사용자 인증에 필요한 정보는 사용자의 이름과 비밀번호, 사용자의 인증서, 또는 사용자의 인증서 위치를 알려주는 URL 등으로 지정할 수 있다.
또한, 본 발명에서 상기 SSO 서비스 방법과 네트워크관리시스템의 위험관리방법(200)이 연동하는 단계를 더 추가하는 것이 바람직하다.
여기서, 위험관리시스템은 웹환경에서 상기 SSO 서비스와 연동하여 운영될 수 있다. 즉, 상기 SSO 서비스는 적어도 하나의 네트워크관리시스템과 연동되어 한번의 로그인으로 상기 각 네트워크관리시스템에 접근하여 운영될 수 있다.
또한, 본 발명에서 상기 네트워크관리시스템은, 통합보안관리시스템, 위험관리시스템, 위협관리시스템을 포함하여 구성되는 것이 바람직하다.
도 4는 본 발명에 따른 네트워크관리시스템의 위험관리방법을 나타낸 흐름도이다. 본 발명에서 상기 위험관리방법(200)은, 점검 대상 네트워크 영역의 운영체제(OS)별 취약점, 네트워크 장비 취약점 및 웹 응용프로그램 취약점을 스캐닝하여 해당 파일을 취약점DB에 저장하는 취약점 센싱 단계(210), 상기 취약점 센싱 단계의 프로세스 결과 및 SSO 인증 정보를 취합하는 취약점 수집 단계(220), 상기 취약점 수집단계의 취약점 수집 결과로부터 관리자가 자산을 등록하는 자산 등록 단계(230), 상기 자산 등록 단계에서 등록된 자산의 자산가치를 산정하는 자산 분석 단계(240), 동일한 위협이 얼마나 자주 발생하는지를 나타내는 위협빈도수와 한 번의 위협 발생으로 자산에 얼마나 큰 영향을 미치는지를 나타내는 위협영향값을 산출하는 위협 분석 단계(250), 상기 취약점 센싱 단계에 의해 수집된 데이터로부터 취약성 수준을 도출하는 취약성 분석 단계(260), 상기 자산 분석 단계(240)에서 산정한 자산가치와 상기 위협 분석 단계(250)에서 산정한 위협 영향값을 연산하여 자산별 파급 강도인 자산별 위협지수를 산출하고, 상기 위협 분석 단계에서 산정한 위협빈도수와 상기 취약성 분석 단계(260)에서 산정한 취약점 수준 점수를 고려한 취약성지수를 통해 자산별 위험도를 산정하는 자산별 위험도 산정 단계(270)를 포함하는 것이 바람직하다.
보다 구체적으로, 상기 위험관리시스템은 취약점 수집 단계(220)에 의해 SSO 저장부에 저장된 정보 중 관리자 인증에 대한 정보 및 통합 DB 로부터의 취약점 센싱 단계(210)에서 수집한 데이터를 통합하고, 통합한 데이터를 이용하여 자산 분석(240), 위협 분석(250), 취약성 분석(260) 등의 과정을 거쳐 자산별 위험도를 산정하여 관리자로 하여금 조치할 수 있는 환경을 제공해 준다.
본 발명에서 상기 취약점 센싱 단계(210)는 점검대상 네트워크 영역에서 운영되는 취약점 스캔 도구이며, 수집된 정보는 취약점 DB로 저장되는 것이 바람직하다.
또한, 본 발명에서 상기 취약점 수집단계(220)는 상기 취약점 센싱 단계에 의한 취약점 스캐닝으로 수집한 정보와 상기 SSO 인증 정보를 취합하여 취약점 DB에 저장하되, 상기 수집된 취약점은 하드웨어, 운영체제(OS), 응용소프트웨어, 네트워크, 데이터, 사용자 취약점을 포함하는 것이 바람직하다.
즉 상기 취약점 센싱 단계(210)를 통해 점검 대상 네트워크영역의 OS 별 취약점, 네트워크 상의 취약점, 웹 응용프로그램 취약점을 스캔하여 해당 로그 파일을 취약점 DB 에 저장하고, SSO 인증로그 수집 정보는 웹 구간 통합 인증 서비스 제공을 위한 SSO 저장부에서 관리자 인증에 대한 정보를 도출하여 관리자 접근 취약점으로 이용한다.
또한, 본 발명에서 상기 자산 등록 단계(230)는 자산DB에 관리할 자산을 등록하는 일련의 작업을 나타내는 프로세스로, 상기 취약점 센싱 단계(210) 및 상기 취약점 수집 단계(220)의 수행 결과에 의해 자동으로 스캔되어 업데이트된 정보를 기반으로 하여 자산을 등록하는 것이 바람직하다.
한편, 본 발명에서 상기 자산 분석 단계(240)는 위험 분석 대상 시스템과 관련 있는 모든 자산을 조사하고 상기 자산들의 가치를 산정하는 단계로, 자산조사 활동과 자산가치 산정으로 구분하되, 상기 자산조사 활동은 다시 자산범위 설정과 자산목록 작성으로 구성되는 것이 바람직하며, 입력된 자산 정보에 대해 각 자산 분석 단계를 통해 자산가치를 산정하고, 각 자산의 특성에 맞도록 그 결과를 정성적 또는 정량적으로 도출할 수 있다.
그리고, 상기 위협 분석 단계(250)는 상기 자산 분석 단계(240)로부터 자산에 피해를 가할 수 있는 잠재적 요소인 위협을 파악하고 발생가능성을 분석하되, 예를 들어 파급강도와 발생 주기를 기준으로 위협파악, 위협속성, 위협순위의 3개 유형으로 나누어 분석할 수 있으며, 이는 자동화 도구에서 사용될 수 있는 하드웨어, 운영체제, 응용소프트웨어 및 네트워크에 한정된 위협을 대상으로 하고, 상기 위협순위는 예를 들면 위협주기, 위협의 중요도, 자산의 정성가치, 자산가치와 위협주기에 근거한 위협의 영향을 기준으로 위협 순위를 정할 수 있다.
또한, 상기 위협 분석 단계(250)는 식별된 위협 유형에 대한 위협영향, 위험빈도를 산정하며, 위협영향은 등급을 나누어 다단계로 구분할 수 있다.
또한, 본 발명에서 상기 취약성 분석 단계(260)는 상기 자산 분석 단계(240)를 통하여 도출된 자산의 속성과 중요도를 바탕으로 자산이 근본적으로 가지고 있는 약점인 취약성을 도출하고, 취약성이 전체적인 위험에 미칠 수 있는 영향을 분석하는 것이 바람직하다. 취약성 수준은 정량적 평가가 어려운 점을 고려하여 정성적 다단계로 구분할 수도 있다.
한편, 상기 자산별 위험도 산정 단계(270)는 상기 자산 분석 단계(240), 위협 분석 단계(250) 및 취약성 분석 단계(260)의 결과를 토대로 자산별 위협 지수 및 취약점 지수를 산정한다. 즉 자산별 위협지수는 자산가치와 위협영향 점수의 연산값으로, 취약성지수는 취약점 수준점수와 위협 빈도점수의 연산값으로 산정될 수 있다.
상기와 같은 본 발명에 따르면, SSO서비스 방법에 있어서 대규모 정보 처리가 요구되는 환경에서 단일 계정 로그인 관리를 구현하기 위한 일련의 유용한 메커니즘을 제공하고, 인증 수행 단계를 보다 상세하게 설정함으로써 상호 운용성을 현저히 향상시킬 수 있다.
또한 본 발명은 웹 환경에서 SSO 서비스 방법과 위험관리방법의 연동을 통해 관리자 인증이 강화되는 동시에 접근성이 강화됨으로써, 보안이 강화됨과 동시에 사용 편의성을 향상시킬 수 있다.
그리고, 본 발명에 의한 상기 위험관리방법은 관리자 인증 절차를 위해 SSO를 계정과 권한 관리로 확장하여 네트워크 관리 시스템의 관리자 접근 권한을 예를 들면 전체 관리자, 모니터링 관리자, 위험관리시스템 관리자 등으로 세분화하여 관리자 인증을 수행할 수 있고, 현재 위험도를 목표 위험도 수준으로 조정하기 위하여 위협 파급강도와 위협 발생 빈도를 조정하는 조치활동이 가능하다. 즉 위험 파급 강도와 위험 발생 빈도의 조정을 통해 현재 위험도를 목표 위험도 수준으로 조정하여 외부 위협과 취약성에 대해 내부 IT 자산을 보호할 수 있으며, 사이버 침해 대응에 효과적이다.
이상 본 발명의 구체적 실시형태와 관련하여 본 발명을 설명하였으나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 범위를 벗어나지 않고 설명된 실시형태를 변경 또는 변형할 수 있으며, 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능하다.
10; 서비스 제공 모듈 20; 입력 모듈
30; 인증 모듈 100; 타겟 리소스 요청 단계
110; 사용자 인증 요청 단계 120; SSO 서비스 요청 단계
130; 사용자 인증 수행 단계 131; 사용자 인증 세션 정보 저장 단계
132; 사용자 인증 요청 수신 단계 133; 인증 수행 단계
133a; 사용자 인증 세션 정보 조회 단계 133b; 사용자 웹 로그인 정보 검색 단계
133c; 사용자 인증 응답 메시지 전송 단계
140; 사용자 인증 허가 정보 전송 단계 150; ACS 요청 단계
160; 리다이렉트 정보 전송 단계 170; 타겟 리소스 요청 단계
180; 요청 리소스 전송 단계 200; 위험 관리 방법
210; 취약점 센싱 단계 220; 취약점 수집 단계
230; 자산 등록 단계 240; 자산 분석 단계
250; 위협 분석 단계 260; 취약성 분석 단계
270; 자산별 위험도 산정 단계

Claims (15)

  1. 입력 모듈에서 서비스 제공 모듈로 타겟 리소스를 요청하는 단계(100);
    상기 서비스 제공 모듈에서 상기 입력 모듈로 사용자 인증을 요청하는 단계(110);
    상기 입력 모듈에서 인증 모듈로 SSO(Single Sign On) 서비스를 요청하는 단계(120);
    상기 인증 모듈이 사용자 인증을 수행하는 단계(130);
    상기 인증 모듈에서 상기 입력 모듈로 사용자 인증 허가 정보를 전송하는 단계(140);
    상기 입력 모듈에서 상기 서비스 제공 모듈로 ACS(Assertion Consumer Service )를 요청하는 단계(150);
    상기 서비스 제공 모듈에서 상기 입력 모듈로 타겟 리소스의 리다이렉트 정보를 전송하는 단계(160);
    상기 입력 모듈에서 상기 서비스 제공 모듈로 타겟 리소스를 요청하는 단계(170); 및
    상기 서비스 제공 모듈에서 상기 입력 모듈로 요청한 리소스를 전송하는 단계(180);
    를 포함하는 SSO 서비스 방법.
  2. 제 1항에 있어서 상기 인증 모듈이 사용자 인증을 수행하는 단계(130)는,
    상기 인증 모듈이 수신되는 사용자 인증 세션 정보를 테이블에 저장하는 단계(131);
    상기 인증 모듈이 상기 입력 모듈을 통하여 상기 서비스 제공 모듈로부터 사용자 인증 요청을 수신하는 단계(132); 및
    상기 인증 모듈이 상기 사용자 인증 세션 정보에 기초한 인증을 수행하는 단계(133);를 포함하는 것을 특징으로 하는 SSO 서비스 방법.
  3. 제 2항에 있어서 상기 인증 모듈이 상기 인증을 수행하는 단계(133)는,
    상기 인증 모듈이 사용자 인증 요청 메시지를 분석하여 사용자 정보에 따른 사용자 인증 세션 정보를 조회하는 단계(133a);
    상기 사용자 인증 세션 정보가 존재하면, 상기 테이블에 저장된 사용자 인증 세션 정보에 기초하여 공통프로파일 시스템으로부터 사용자의 웹 로그인 정보를 검색하는 단계(133b); 및
    상기 사용자의 웹 로그인 정보가 존재하면 입력 모듈을 통하여 상기 서비스 제공 모듈로 사용자 인증 응답 메시지를 전송하는 단계(133c);를 포함하는 것을 특징으로 하는 SSO 서비스 방법.
  4. 제 1항에 있어서,
    상기 SSO 서비스 방법은 Security Assertion Markup Language(SAML) 를 기반으로 하는 것을 특징으로 하는 SSO 서비스 방법.
  5. 제 1항에 있어서,
    상기 인증 모듈이 사용자 인증을 수행하는 단계에서, 상기 사용자 인증에 필요한 정보는 사용자의 이름과 비밀번호인 것을 특징으로 하는 SSO 서비스 방법.
  6. 제 1항에 있어서,
    상기 인증 모듈이 사용자 인증을 수행하는 단계에서, 상기 사용자 인증에 필요한 정보는 사용자의 인증서인 것을 특징으로 하는 SSO 서비스 방법.
  7. 제 1항에 있어서,
    상기 인증 모듈이 사용자 인증을 수행하는 단계에서, 상기 사용자 인증에 필요한 정보는 사용자의 인증서 위치를 알려주는 URL인 것을 특징으로 하는 SSO 서비스 방법.
  8. 제1항에 있어서,
    상기 SSO 서비스 방법과 네트워크관리시스템의 위험관리방법(200)이 연동하는 단계를 더 추가하는 것을 특징으로 하는 SSO 서비스 방법.
  9. 제8항에 있어서 상기 네트워크관리시스템은,
    통합보안관리시스템, 위험관리시스템, 위협관리시스템을 포함하여 구성된 것을 특징으로 하는 SSO 서비스 방법.
  10. 제 8항에 있어서 상기 위험관리방법은,
    점검 대상 네트워크 영역의 운영체제(OS)별 취약점, 네트워크 장비 취약점 및 웹 응용프로그램 취약점을 스캐닝하여 해당 파일을 취약점DB에 저장하는 취약점 센싱 단계(210);
    상기 취약점 센싱단계의 프로세스 결과 및 SSO 인증 정보를 취합하는 취약점 수집 단계(220);
    상기 취약점 수집단계의 취약점 수집 결과로부터 관리자가 자산을 등록하는 자산 등록 단계(230);
    상기 자산 등록단계에서 등록된 자산의 자산가치를 산정하는 자산 분석 단계(240);
    동일한 위협이 얼마나 자주 발생하는지를 나타내는 위협빈도수와 한 번의 위협 발생으로 자산에 얼마나 큰 영향을 미치는지를 나타내는 위협영향값을 산출하는 위협 분석 단계(250);
    상기 취약점 센싱단계에 의해 수집된 데이터로부터 취약성 수준을 도출하는 취약성 분석 단계(260);
    상기 자산 분석단계에서 산정한 자산가치와 상기 위협분석단계에서 산정한 위협 영향값을 연산하여 자산별 파급 강도인 자산별 위협지수를 산출하고, 상기 위협 분석단계에서 산정한 위협빈도수와 상기 취약성 분석단계에서 산정한 취약점 수준 점수를 고려한 취약성지수를 통해 자산별 위험도를 산정하는 자산별 위험도 산정 단계(270);를 포함하는 것을 특징으로 하는 SSO 서비스 방법.
  11. 제 10항에 있어서,
    상기 취약점 센싱 단계(210)는 점검대상 네트워크 영역에서 운영되는 취약점 스캔 도구이며, 수집된 정보는 취약점 DB로 저장되는 것을 특징으로 하는 SSO 서비스 방법.
  12. 제 10항에 있어서,
    상기 취약점 수집 단계(220)는 상기 취약점 센싱 단계에 의한 취약점 스캐닝으로 수집한 정보와 상기 SSO 인증 정보를 취합하여 취약점 DB에 저장하되, 상기 수집된 취약점은 하드웨어, 운영체제(OS), 응용소프트웨어, 네트워크, 데이터, 사용자 취약점을 포함하는 것을 특징으로 하는 SSO 서비스 방법.
  13. 제10항에 있어서,
    상기 자산 등록 단계(230)는 자산DB에 관리할 자산을 등록하는 일련의 작업을 나타내는 프로세스로, 상기 취약점 센싱 과정 및 상기 취약점 수집 과정의 수행 결과에 의해 자동으로 스캔되어 업데이트된 정보를 기반으로 하여 자산을 등록하는 것을 특징으로 하는 SSO 서비스 방법.
  14. 제10항에 있어서,
    상기 자산 분석 단계(240)는 위험 분석 대상 시스템과 관련 있는 모든 자산을 조사하고 상기 자산들의 가치를 산정하는 단계로, 자산조사 활동과 자산가치 산정으로 구분하되,
    상기 자산조사 활동은 다시 자산범위 설정과 자산목록 작성으로 구성되는 것을 특징으로 하는 SSO 서비스 방법.
  15. 제10항에 있어서,
    상기 취약성 분석 단계(260)는 상기 자산 분석 단계(240)를 통하여 도출된 자산의 속성과 중요도를 바탕으로 자산이 근본적으로 가지고 있는 약점인 취약성을 도출하고, 취약성이 전체적인 위험에 미칠 수 있는 영향을 분석하는 것을 특징으로 하는 SSO 서비스 방법.
KR1020160123825A 2016-09-27 2016-09-27 웹 기반의 sso 서비스 방법 KR102022984B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160123825A KR102022984B1 (ko) 2016-09-27 2016-09-27 웹 기반의 sso 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160123825A KR102022984B1 (ko) 2016-09-27 2016-09-27 웹 기반의 sso 서비스 방법

Publications (2)

Publication Number Publication Date
KR20180033953A true KR20180033953A (ko) 2018-04-04
KR102022984B1 KR102022984B1 (ko) 2019-11-04

Family

ID=61975469

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160123825A KR102022984B1 (ko) 2016-09-27 2016-09-27 웹 기반의 sso 서비스 방법

Country Status (1)

Country Link
KR (1) KR102022984B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102127656B1 (ko) * 2020-04-03 2020-06-30 주식회사 이지시큐 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120134725A (ko) * 2011-06-03 2012-12-12 주식회사 제이컴정보 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120134725A (ko) * 2011-06-03 2012-12-12 주식회사 제이컴정보 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102127656B1 (ko) * 2020-04-03 2020-06-30 주식회사 이지시큐 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템

Also Published As

Publication number Publication date
KR102022984B1 (ko) 2019-11-04

Similar Documents

Publication Publication Date Title
Aliero et al. An algorithm for detecting SQL injection vulnerability using black-box testing
CN110249314B (zh) 用于基于云的操作***事件和数据访问监视的***和方法
US11212305B2 (en) Web application security methods and systems
US8732472B2 (en) System and method for verification of digital certificates
JP5108155B2 (ja) データ記憶アクセスの制御方法
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
US20180196875A1 (en) Determining repeat website users via browser uniqueness tracking
US20170026401A1 (en) System and method for threat visualization and risk correlation of connected software applications
CN103384888A (zh) 用于恶意软件的检测和扫描的***和方法
CN110062380A (zh) 一种移动应用***的连接访问请求安全检测方法
US20160234205A1 (en) Method for providing security service for wireless device and apparatus thereof
KR101620601B1 (ko) 보안성 진단 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체
Zhang et al. An empirical study of web resource manipulation in real-world mobile applications
CN111625837A (zh) 识别***漏洞的方法、装置和服务器
WO2019181979A1 (ja) 脆弱性調査システム、配信サーバ、脆弱性調査方法及びプログラム
KR20120016732A (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
KR20180033953A (ko) 웹 기반의 sso 서비스 방법
CN114793171B (zh) 访问请求的拦截方法、装置、存储介质及电子装置
CN113949578B (zh) 基于流量的越权漏洞自动检测方法、装置及计算机设备
KR101976126B1 (ko) 클라이언트 식별 기반 웹 서비스 제공 시스템
KR101949196B1 (ko) 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법
JP4589051B2 (ja) 検索装置
Klinkhamhom et al. Threat Hunting for Digital Forensic Using GRR Rapid Response with NIST Framework
Aldea et al. Software vulnerabilities integrated management system
KR101936263B1 (ko) 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2018101001196; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20180316

Effective date: 20190813

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)