KR20240039505A - Security analysis method for detecting abnormal behavior in financial environment and apparatus - Google Patents

Security analysis method for detecting abnormal behavior in financial environment and apparatus Download PDF

Info

Publication number
KR20240039505A
KR20240039505A KR1020220118156A KR20220118156A KR20240039505A KR 20240039505 A KR20240039505 A KR 20240039505A KR 1020220118156 A KR1020220118156 A KR 1020220118156A KR 20220118156 A KR20220118156 A KR 20220118156A KR 20240039505 A KR20240039505 A KR 20240039505A
Authority
KR
South Korea
Prior art keywords
information
analysis
security analysis
security
file
Prior art date
Application number
KR1020220118156A
Other languages
Korean (ko)
Inventor
조현호
서상헌
강영묵
Original Assignee
사단법인 금융보안원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융보안원 filed Critical 사단법인 금융보안원
Priority to KR1020220118156A priority Critical patent/KR20240039505A/en
Publication of KR20240039505A publication Critical patent/KR20240039505A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Abstract

보안분석방법 및 그 장치가 개시된다. 보안분석장치는 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하고, 분석정보를 기초로 보안분석을 수행한다. 이때 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있는 파일이다. A security analysis method and device are disclosed. The security analysis device receives analysis information containing at least one piece of predefined information to be used for security analysis as a file from at least one user terminal, and performs security analysis based on the analysis information. At this time, the file is a file in which the location of data in a predefined portion has been changed to a predefined location.

Description

금융 환경에서 단말의 비정상 행위를 탐지하기 위한 보안분석방법 및 그 장치{Security analysis method for detecting abnormal behavior in financial environment and apparatus}Security analysis method for detecting abnormal behavior in financial environment and apparatus}

본 발명의 실시 예는 보안분석방법 및 그 장치에 관한 것으로, 보다 상세하게는 사용자단말에 대한 외부침해 또는 사용자단말의 내부정보유출 등과 같은 보안문제의 발생 여부를 분석할 수 있는 방법 및 그 장치에 관한 것이다.Embodiments of the present invention relate to a security analysis method and device, and more specifically, to a method and device for analyzing whether security problems such as external intrusion on a user terminal or leakage of internal information of a user terminal occur. It's about.

네트워크로 연결된 시스템은 악의적인 제3자의 침해 또는 내부 정보의 유출 등과 같은 보안 문제가 발생한다. 특히 은행 등과 같은 금융시스템의 경우에는 외부 침해와 내부 정보 유출 등에 더욱 민감하다. 보안 문제를 해결하기 위하여 금융사 등은 방화벽 등을 포함한 다양한 네트워크 보안 기능을 설치하여 운용한다. 그러나 사용자단말이 인터넷 등의 외부 네트워크와 연결된 상태에서 다양한 경로로 악성코드가 유입될 수 있으므로 기존의 방화벽 등의 보안 기능만으로 보안 문제를 완벽하게 해결하기는 어렵다. 따라서 네트워크 방화벽 뿐만 아니라 각 사용자단말이 실제 보안문제가 없는지 파악할 수 있는 방법이 필요하다. Network-connected systems are prone to security problems, such as infringement by malicious third parties or leakage of internal information. In particular, financial systems such as banks are more sensitive to external infringements and internal information leaks. To solve security problems, financial companies install and operate various network security functions, including firewalls. However, since malicious code can be introduced through various routes while the user terminal is connected to an external network such as the Internet, it is difficult to completely solve the security problem using security functions such as existing firewalls. Therefore, a method is needed to determine whether not only the network firewall but also each user terminal has actual security problems.

본 발명의 실시 예가 이루고자 하는 기술적 과제는, 사용자단말에서 수집된 분석정보를 기반으로 사용자단말의 보안문제를 파악할 수 있는 보안분석방법 및 그 장치를 제공하는 데 있다.The technical problem to be achieved by embodiments of the present invention is to provide a security analysis method and device that can identify security problems in a user terminal based on analysis information collected from the user terminal.

상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 보안분석방법의 일 예는, 보안분석장치가 수행하는 보안분석방법에 있어서, 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 단계; 및 상기 분석정보를 기초로 보안분석을 수행하는 단계;를 포함하고, 상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고, 상기 수신하는 단계는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 단계를 포함한다.In order to achieve the above technical problem, an example of a security analysis method according to an embodiment of the present invention is a security analysis method performed by a security analysis device, at least a predefined method to be used for security analysis from at least one user terminal. Receiving analysis information including one or more pieces of information as a file; and performing a security analysis based on the analysis information, wherein the location of the data of the predefined portion of the file has been changed to a predefined location, and the receiving step includes the step of performing a security analysis based on the analysis information. It includes the step of restoring the data to its original location.

상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 보안분석장치의 일 예는, 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 정보수집부; 및 상기 분석정보를 기초로 보안분석을 수행하는 보안분석부;를 포함하고, 상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고, 상기 정보수집부는, 상기 기 정의된 부분의 데이터를 원위치로 복구한다.In order to achieve the above technical problem, an example of a security analysis device according to an embodiment of the present invention is to receive analysis information containing at least one or more predefined information to be used for security analysis as a file from at least one user terminal. information collection department; and a security analysis unit that performs a security analysis based on the analysis information, wherein the location of the data in the predefined portion of the file has been changed to a predefined location, and the information collection unit has the predefined location. Restore part of the data to its original location.

본 발명의 실시 예에 따르면, 사용자단말에서 수집된 분석정보를 기반으로 각 사용자단말의 보안문제를 파악할 수 있다. 사용자단말이 직접 정보를 수집한 후 이를 하나의 파일형태로 전송하면, 보안분석장치는 분석 도구를 통해 이를 분석하여 보안 문제를 파악하므로 별다른 명령어 실행이나 조작 없이 단말의 비정상 행위의 분석 업무의 수행이 가능하다. 또한 다수의 사용자단말을 동시에 분석할 수 있어 사용자단말간 비교분석을 통한 보안문제의 파악도 가능하다. 전문적인 지식이 없는 금융회사 보안 담당자도 심층적인 분석이 가능하다.According to an embodiment of the present invention, security problems of each user terminal can be identified based on analysis information collected from the user terminal. When the user terminal directly collects information and transmits it in the form of a file, the security analysis device analyzes this through an analysis tool to identify security problems, so it can perform the task of analyzing the abnormal behavior of the terminal without executing any commands or manipulating it. possible. In addition, since multiple user terminals can be analyzed simultaneously, it is possible to identify security problems through comparative analysis between user terminals. Even financial company security personnel without specialized knowledge can conduct in-depth analysis.

도 1은 본 발명의 실시 예에 따른 보안분석장치의 일 예를 도시한 도면,
도 2는 본 발명의 실시 예에 따른 분석정보를 수집하여 전송하는 방법의 일 예를 도시한 도면,
도 3은 본 발명의 실시 예에 따른 파일의 데이터 위치 변경의 일 예를 도시한 도면,
도 4는 본 발명의 실시 예에 따른 분석정보의 일 예를 도시한 도면,
도 5는 본 발명의 실시 예에 따른 분석정보를 이용한 보안분석방법의 일 예를 도시한 도면,
도 6은 본 발명의 실시 예에 따른 보안분석에 사용하는 침해지표의 갱신방법의 일 예를 도시한 도면,
도 7은 본 발명의 실시 예에 따른 복수의 사용자단말을 기반으로 보안분석하는 방법의 일 예를 도시한 도면, 그리고,
도 8은 본 발명의 실시 예에 따른 보안분석장치의 일 예의 구성을 도시한 도면이다.1 is a diagram showing an example of a security analysis device according to an embodiment of the present invention;
Figure 2 is a diagram illustrating an example of a method for collecting and transmitting analysis information according to an embodiment of the present invention;
3 is a diagram illustrating an example of changing the data location of a file according to an embodiment of the present invention;
Figure 4 is a diagram showing an example of analysis information according to an embodiment of the present invention;
Figure 5 is a diagram showing an example of a security analysis method using analysis information according to an embodiment of the present invention;
Figure 6 is a diagram showing an example of a method for updating infringement indicators used in security analysis according to an embodiment of the present invention;
Figure 7 is a diagram showing an example of a security analysis method based on a plurality of user terminals according to an embodiment of the present invention, and
Figure 8 is a diagram showing the configuration of an example of a security analysis device according to an embodiment of the present invention.

이하에서, 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 보안분석방법 및 그 장치에 대해 상세히 살펴본다.Hereinafter, the security analysis method and device according to an embodiment of the present invention will be described in detail with reference to the attached drawings.

도 1은 본 발명의 실시 예에 따른 보안분석장치의 일 예를 도시한 도면이다.1 is a diagram illustrating an example of a security analysis device according to an embodiment of the present invention.

도 1을 참조하면, 보안분석장치(110)는 복수의 사용자단말(110,102)과 유선 또는 무선 통신망을 통해 연결된다. 예를 들어, 사용자단말(100,102)과 보안분석장치(110)는 인터넷을 통해 연결될 수 있다. 이 외에도 사용자단말(100,102)과 보안분석장치(110)는 별도의 보안통신망을 통해 연결될 수 있다. Referring to FIG. 1, the security analysis device 110 is connected to a plurality of user terminals 110 and 102 through a wired or wireless communication network. For example, the user terminals 100 and 102 and the security analysis device 110 may be connected through the Internet. In addition, the user terminals 100 and 102 and the security analysis device 110 may be connected through a separate secure communication network.

사용자단말(100,102)은 분석정보를 수집하는 단말이다. 분석정보는 보안 분석을 위하여 각 사용자단말에서 수집되는 정보이며, 이에 대한 예가 도 4에 도시되어 있다. 예를 들어, 본 실시 예가 금융회사 등에 적용되는 경우에 사용자단말은 금융회사의 임직원이나 외주직원 등이 사용하는 단말일 수 있다. 사용자단말(100,102)은 일반 컴퓨터, 태블릿PC, 스마트폰 등 다양할 수 있으며 특정 종류로 한정되는 것은 아니다.The user terminals 100 and 102 are terminals that collect analysis information. Analysis information is information collected from each user terminal for security analysis, and an example of this is shown in FIG. 4. For example, when this embodiment is applied to a financial company, etc., the user terminal may be a terminal used by executives and employees of the financial company or outsourced employees. The user terminals 100 and 102 may be of various types, such as general computers, tablet PCs, and smartphones, and are not limited to a specific type.

보안분석장치(110)는 복수의 사용자단말(100,102)로부터 수신한 분석정보를 기반으로 각 사용자단말(100,102)의 보안분석을 수행한다. 보안분석의 예가 도 5 내지 도 7에 도시되어 있다. 보안분석장치(110)는 복수의 사용자단말(100,102)로부터 다양한 주기 또는 다양한 시점에 분석정보를 수신할 수 있다. 예를 들어, 각 사용자단말은(100,102) 주기적으로 분석정보를 수집하여 보안분석장치(110)에 전송하거나 기 정의된 이벤트(예를 들어, 사용자 요청, 사용자단말에 새로운 프로그램 설치 등)가 발생하면 분석정보를 수집하여 보안분석장치(110)에 전송할 수 있다. 각 사용자단말(100,102)에서 수집하는 분석정보를 사용자가 위변조하는 것을 방지하기 위한 인코딩/디코딩 방법이 필요하며 이에 대해서는 도 2에서 다시 살펴본다.The security analysis device 110 performs a security analysis of each user terminal (100, 102) based on analysis information received from the plurality of user terminals (100, 102). Examples of security analysis are shown in Figures 5 to 7. The security analysis device 110 may receive analysis information from a plurality of user terminals 100 and 102 at various periods or at various times. For example, each user terminal (100, 102) periodically collects analysis information and transmits it to the security analysis device 110, or when a predefined event (e.g., user request, installation of a new program on the user terminal, etc.) occurs. Analysis information can be collected and transmitted to the security analysis device 110. An encoding/decoding method is needed to prevent users from forging or falsifying the analysis information collected from each user terminal (100, 102), and this will be reviewed again in FIG. 2.

도 2는 본 발명의 실시 예에 따른 분석정보를 수집하여 전송하는 방법의 일 예를 도시한 도면이다.Figure 2 is a diagram illustrating an example of a method for collecting and transmitting analysis information according to an embodiment of the present invention.

도 1 및 도 2를 함께 참조하면, 사용자단말(100,102)은 분석정보를 수집한다(S200). 일 실시 예로, 사용자단말(100,102)에는 본 실시 예를 위한 분석정보의 수집 등을 수행하는 전용프로그램이 미리 설치되어 있을 수 있다. 분석정보에 포함되는 정보의 종류 등은 미리 정의되어 있으며, 그 예에 대하여 도 4에서 다시 살펴본다. 일 실시 예로, 사용자단말(100,102)은 분석정보에 포함되는 다양한 정보를 각각의 파일로 생성하거나, 분석정보에 포함되는 모든 정보를 하나의 파일로 생성할 수 있다. 파일은 텍스트 포맷 또는 바이너리 포맷 등 실시 예에 따라 다양한 형식의 포맷일 수 있다. Referring to FIGS. 1 and 2 together, the user terminals 100 and 102 collect analysis information (S200). As an example, a dedicated program that collects analysis information for this embodiment may be pre-installed on the user terminals 100 and 102. The types of information included in the analysis information are predefined, and an example of this is reviewed again in FIG. 4. As an example, the user terminals 100 and 102 may generate various information included in the analysis information as separate files, or may generate all information included in the analysis information as one file. The file may be in various formats depending on the embodiment, such as text format or binary format.

사용자단말(100,102)은 분석정보를 포함하는 파일(들)을 압축 및 암호화한다(S210). 예를 들어, 사용자단말(100,102)은 종래의 다양한 압축 알고리즘을 적용하여 분석정보를 포함하는 파일(들)을 압축하고 암호화할 수 있다. 암호화시에 암호화키는 사용자가 직접 입력하거나 또는 사용자단말이 미리 정의된 암호화키로 자동으로 암호화를 수행할 수 있다. 보안분석장치(110)에는 암호화키 또는 암호화키에 대응하는 복호화키가 미리 설정되어 있다. The user terminals 100 and 102 compress and encrypt the file(s) containing the analysis information (S210). For example, the user terminals 100 and 102 may compress and encrypt file(s) containing analysis information by applying various conventional compression algorithms. During encryption, the encryption key can be entered directly by the user, or the user terminal can automatically perform encryption with a predefined encryption key. The security analysis device 110 has an encryption key or a decryption key corresponding to the encryption key set in advance.

다른 실시 예로, 파일의 압축 및 암호화의 단계(S210)는 생략될 수 있다. 또 다른 실시 예로, 파일의 압축만을 수행하고 암호화를 수행하지 않거나, 또는 파일을 압축없이 종래의 다양한 암호화 알고리즘을 이용하여 암호화만을 수행할 수 있다. 다만 이하에서는 설명의 편의를 위하여 파일의 압축 및 암호화가 모두 이루어진 경우를 가정하여 설명한다. In another embodiment, the step of compressing and encrypting the file (S210) may be omitted. As another example, only compression of the file may be performed and no encryption may be performed, or only encryption may be performed using various conventional encryption algorithms without compressing the file. However, for convenience of explanation, the explanation below assumes that both compression and encryption of the file have been performed.

사용자단말(100,102)은 압축 파일의 특정 위치의 데이터의 위치를 변경한다(S220). 예를 들어, 사용자단말(100,102)은 압축 파일의 헤더부분의 데이터를 기 정의된 위치로 이동시킨다. 데이터의 위치 변경의 일 예가 도 3에 도시되어 있다. The user terminals 100 and 102 change the location of data at a specific location in the compressed file (S220). For example, the user terminals 100 and 102 move data in the header portion of the compressed file to a predefined location. An example of changing the location of data is shown in FIG. 3.

사용자단말(100,102)은 데이터 위치가 변경된 압축 파일(이하,' 인코딩 파일')을 로컬에 저장하거나 보안분석장치(110)로 전송한다(S230). 예를 들어, 사용자단말(100,102)은 사용자의 요청에 따라 인코딩 파일을 저장하거나 전송할 수 있다. 사용자단말(100,102)은 FTP(File Transfer Protocol)를 통해 인코딩 파일을 보안분석장치(110)에 전송할 수 있다. 또 다른 예로, 사용자단말(100,102)은 제1 주기로 수집한 분석정보를 포함하는 인코딩 파일을 로컬에 저장한 후 제2 주기(제1 주기보다 긴 주기)로 로컬에 저장된 하나 이상의 인코딩 파일을 보안분석장치(110)에 전송할 수 있다.The user terminals 100 and 102 locally store the compressed file (hereinafter referred to as 'encoded file') whose data location has been changed or transmit it to the security analysis device 110 (S230). For example, the user terminals 100 and 102 may store or transmit an encoded file according to the user's request. The user terminals 100 and 102 can transmit the encoded file to the security analysis device 110 through FTP (File Transfer Protocol). As another example, the user terminals 100 and 102 store locally an encoded file containing analysis information collected in a first cycle and then perform security analysis on one or more encoded files stored locally in a second cycle (a longer cycle than the first cycle). It can be transmitted to device 110.

도 3은 본 발명의 실시 예에 따른 파일의 데이터 위치 변경의 일 예를 도시한 도면이다.Figure 3 is a diagram illustrating an example of changing the data location of a file according to an embodiment of the present invention.

도 3을 참조하면, 사용자단말은 파일(300)의 기 정의된 부분의 데이터(310)의 위치를 기 정의된 위치로 변경할 수 있다. 여기서 파일(300)은 압축되지 않은 원본 파일이거나 압축(또는 암호화)된 파일일 수 있다. 이하에서 파일이라고 함은 실시 예에 다른 원본 파일 또는 압축 파일로 해석될 수 있다.Referring to FIG. 3, the user terminal can change the location of data 310 of a predefined portion of the file 300 to a predefined location. Here, the file 300 may be an uncompressed original file or a compressed (or encrypted) file. Hereinafter, the term “file” may be interpreted as an original file or compressed file depending on the embodiment.

일 실시 예로, 분석정보를 포함하는 파일이 텍스트 형식이면, 기 정의된 부분의 데이터(310)의 위치를 변경하여도 파일 내의 텍스트를 사용자나 제3자 등이 확인할 수 있으므로, 사용자단말은 사용자 등의 위변조 방지를 위하여 도 2에서 살핀 바와 같이 파일을 압축한 후 데이터의 위치를 변경할 수 있다. As an example, if the file containing the analysis information is in text format, the user or a third party, etc. can check the text in the file even if the location of the data 310 of the predefined portion is changed, so the user terminal is used by the user, etc. To prevent forgery and falsification, the location of the data can be changed after compressing the file as shown in FIG. 2.

다른 실시 예로, 파일을 압축 후 데이터의 위치를 변경하여도 압축파일의 헤더를 통해 압축파일에 포함된 데이터의 종류 등의 확인이 가능할 수 있다. 예를 들어, 분석정보에 포함된 각종의 정보가 각각의 파일로 생성되고 이를 하나로 압축하여 본 실시 예의 파일(300)을 생성하는 경우에, 압축 파일을 해제할 수는 없어도 압축 파일의 헤더를 통해 압축 파일 내 포함되는 파일 이름 등이 노출될 수 있다. 이를 방지하기 위하여 사용자단말은 압축 파일의 헤더부분의 데이터 위치를 변경할 수 있다. 압축 파일의 헤더 부분이 변경되었으므로 압축 방법으로 기존의 다양한 압축 알고리즘을 이용하여도 압축 파일에 포함된 내용이 외부에 노출되지 않는다.In another embodiment, even if the location of the data is changed after compressing the file, it may be possible to check the type of data included in the compressed file through the header of the compressed file. For example, when various types of information included in the analysis information are generated as separate files and compressed into one to create the file 300 of this embodiment, the compressed file cannot be decompressed through the header of the compressed file. File names included in compressed files may be exposed. To prevent this, the user terminal can change the data location of the header part of the compressed file. Since the header part of the compressed file has been changed, the contents contained in the compressed file are not exposed to the outside even if various existing compression algorithms are used as compression methods.

위치가 변화하는 데이터(310)의 부분(예를 들어, 옵셋과 미리 정의된 데이터크기 등)과 데이터가 이동하는 위치(예를 들어, 파일의 마지막 부분) 등은 미리 정의되어 있으므로, 보안분석장치(110)는 사용자단말(100,102)로부터 데이터 위치가 변경된 인코딩 파일을 수신하면, 인코딩 파일을 디코딩하여 데이터의 위치가 복구된 원본의 파일을 얻을 수 있다.The portion of the data 310 whose location changes (e.g., offset and predefined data size, etc.) and the location to which the data moves (e.g., the last part of the file) are predefined, so the security analysis device When 110 receives an encoded file whose data location has been changed from the user terminal 100 or 102, it can decode the encoded file to obtain an original file with the data location restored.

도 4는 본 발명의 실시 예에 따른 분석정보의 일 예를 도시한 도면이다.Figure 4 is a diagram illustrating an example of analysis information according to an embodiment of the present invention.

도 4를 참조하면, 분석정보(400)는 크게 시스템정보(410), 외부침해분석용정보(420), 내부정보유출분석용정보(430)를 포함한다.Referring to FIG. 4, the analysis information 400 largely includes system information 410, information for external infringement analysis 420, and information for internal information leak analysis 430.

시스템정보(400)는 사용자단말의 시스템 정보 확인을 위한 정보이다. 예를 들어, 시스템정보(400)는 사용자단말에 설치된 운영체제정보, 네트워크정보, 디스크정보, 컴퓨터이름, 바탕화면 스크린샷 등을 포함할 수 있다.System information 400 is information for checking system information of the user terminal. For example, the system information 400 may include operating system information installed on the user terminal, network information, disk information, computer name, desktop screenshot, etc.

외부침해분석용정보(420)는 사용자단말이 외부로부터 침해당했는지 분석하는데 사용하는 정보이며, 이에 대한 예가 표 1에 정리되어 있다.The external infringement analysis information 420 is information used to analyze whether the user terminal has been infringed from the outside, and examples of this are listed in Table 1.

수집정보Collected information 수집목적Collection purpose






외부침해분석용정보






Information for external infringement analysis 실행 프로세스 정보Execution process information 악성코드 감염 여부 확인Check for malware infection 최근 실행 문서 정보Recently run document information 악성코드 감염 여부 확인Check for malware infection 시작 프로그램 정보Startup program information 악성코드에 의한 시작 프로그램 등록 여부 확인Check whether startup program is registered by malicious code 운영체제 계정 정보Operating system account information 외부 침투 후 백도어 등 계정정보 생성 여부 확인Check whether account information such as backdoors are created after external infiltration 프로그램 설치 정보Program installation information 원격 프로그램을 이용한 외부 침해 여부 및 가능성 확인Checking for external infringement and possibility using remote programs 윈도우 이벤트 정보Windows event information 원격 프로그램을 이용한 외부 침해 여부 및 가능성 확인Checking for external infringement and possibility using remote programs 네트워크 연결 정보Network connection information 악성코드 C&C 통신 및 백도어 동작 여부 확인Check malware C&C communication and backdoor operation 인터넷 사용 기록browsing history 유해사이트 접속을 통한 악성코드 감염 가능성 확인Check the possibility of malware infection through access to harmful sites 서비스 실행 정보Service execution information 악성코드에 의한 서비스 실행 여부확인Check whether service is running due to malicious code

내부정보유출분석용정보(430)는 사용자단말의 정보가 외부로 유출되었는지 분석하는데 사용하는 정보이며, 이에 대한 예가 표 2에 정리되어 있다.The internal information leakage analysis information 430 is information used to analyze whether information in the user terminal has been leaked to the outside, and examples of this are summarized in Table 2.

수집정보Collected information 수집목적Collection purpose




내부정보유출분석용정보




Information for internal information leak analysis 외부저장장치 사용 기록External storage device usage records USB를 이용한 자료 유출 가능성 확인Check the possibility of data leakage using USB 인터넷 사용 기록browsing history 인터넷(메일 등)을 이용한 자료 유출 가능성 확인Check the possibility of data leakage using the Internet (email, etc.) 공유폴더 사용 현황Shared folder usage status 공유폴더를 이용한 자료 공유 가능성 확인Check the possibility of data sharing using shared folders 최근 파일 사용 기록Recent file usage history 최근 파일(비인가 문서 등) 사용 기록 확인Check recent file (unauthorized documents, etc.) usage history 최근 명령어 실행 기록Recent command execution history 최근 명령어(프로그램 실행 등) 사용 기록 확인Check recent command (program execution, etc.) usage history 무선인터넷 사용 기록Wireless Internet usage history 비인가 무선네트워크 사용 흔적 확인Check for traces of unauthorized wireless network use PC 사용 시간PC usage time PC 사용 기록 중 이상 시간대 사용 기록 확인Check usage records for abnormal time zones among PC usage records 대용량 파일 보유 현황Status of holding large files 대용량 파일 중 의심파일(가상하드, 개인정보) 확인Check suspicious files (virtual hard drive, personal information) among large files

본 실시 예의 분석정보(400)는 이해를 돕기 위한 하나의 예이며, 본 발명이 반드시 도 4의 실시 예로 한정되는 것은 아니다. 예를 들어, 분석정보(400)에 포함되는 복수의 정보그룹(410,420,430)은 실시 예에 따라 다양하게 변형가능하며, 또한 시스템정보(410), 외부침해분석용정보(420), 내부정보유출분석용정보(430)에 포함되는 정보의 종류와 개수 등도 실시 예에 따라 다양하게 변형 가능하다.The analysis information 400 of this embodiment is an example to aid understanding, and the present invention is not necessarily limited to the embodiment of FIG. 4. For example, a plurality of information groups (410, 420, 430) included in the analysis information 400 can be modified in various ways depending on the embodiment, and also include system information 410, external infringement analysis information 420, and internal information leakage analysis. The type and number of information included in the usage information 430 can also be modified in various ways depending on the embodiment.

도 5는 본 발명의 실시 예에 따른 분석정보를 이용한 보안분석방법의 일 예를 도시한 도면이다.Figure 5 is a diagram showing an example of a security analysis method using analysis information according to an embodiment of the present invention.

도 5를 참조하면, 보안분석장치(110)는 사용자단말(100,102)로부터 분석정보를 수신하면 이를 기반으로 해당 사용자단말(100,102)의 보안분석을 수행하고 그 결과를 사용자단말(100,102) 또는 기 정의된 관리자단말 등으로 전송하거나 로컬에 저장할 수 있다.Referring to FIG. 5, when the security analysis device 110 receives analysis information from the user terminal 100 or 102, it performs a security analysis of the user terminal 100 or 102 based on this and sends the result to the user terminal 100 or 102 or a predefined It can be transmitted to an administrator terminal or saved locally.

보안분석장치(110)가 수행하는 보안분석(500)은 크게 외부침해분석(510) 및 내부정보유출분석(520)을 포함한다. 보안분석장치(110)가 수행하는 보안분석의 종류는 사용자단말(100,102)에서 수집하는 분석정보의 종류에 따라 달라질 수 있다. 본 실시 예는 사용자단말(100,102)에서 수집하는 분석정보의 종류가 도 4와 같은 경우를 가정하여 보안분석 방법을 제시한다.The security analysis 500 performed by the security analysis device 110 largely includes external infringement analysis 510 and internal information leakage analysis 520. The type of security analysis performed by the security analysis device 110 may vary depending on the type of analysis information collected from the user terminals 100 and 102. This embodiment presents a security analysis method assuming that the type of analysis information collected from the user terminals 100 and 102 is as shown in FIG. 4.

외부침해분석(510)은 분석정보에 포함된 외부침해분석용정보를 기반으로 사용자단말(100,102)에 외부 침해가 존재하는지 파악하는 분석이다. 보안분석장치(110)는 기 정의된 침해지표(예를 들어, 아이피(IP) 정보, 악성코드나 프로그램 등의 해시값, 도메인 정보 등)와 분석정보(400)의 외부침해분석용정보(420)를 비교하여 외부침해분석을 수행할 수 있다. 예를 들어, 침해지표에는 악성코드에 대한 정보(예를 들어, 악성코드의 프로세스 이름, 악성코드가 연결된 네트워크 정보 등)가 미리 정의되어 있고, 보안분석장치(110)는 분석정보의 외부침해분석용정보에 존재하는 실행 중인 프로세스, 최근 실행 프로그램, 네트워크 연결 정보 등을 침해지표의 정보와 비교하여 악성코드의 침해 여부를 파악할 수 있다. 이 외에 다양한 외부침해분석 항목의 예가 표 3에 정리되어 있다. External infringement analysis 510 is an analysis that determines whether an external infringement exists in the user terminals 100 and 102 based on the external infringement analysis information included in the analysis information. The security analysis device 110 includes predefined infringement indicators (e.g., IP information, hash values of malicious code or programs, domain information, etc.) and external infringement analysis information (420) of the analysis information (400). ) can be compared to perform external infringement analysis. For example, the infringement indicator includes predefined information about the malicious code (e.g., process name of the malicious code, network information to which the malicious code is connected, etc.), and the security analysis device 110 analyzes the analysis information for external infringement. By comparing the running processes, recently executed programs, and network connection information in the user information with the information on the infringement indicators, it is possible to determine whether there is a malware infringement. In addition, examples of various external infringement analysis items are summarized in Table 3.

분석항목Analysis items 분석내용Analysis details




외부침해 분석




External infringement analysis 악성코드 의심파일 동작 여부Whether a suspected malicious code file is operating? 실행중인 프로세스, 최근 실행 프로그램, 시작프로그램 등록, 서비스 등록 내역을 침해지표와 비교하여 악성코드로 의심되는 내역 확인Check details suspected to be malicious code by comparing running processes, recently executed programs, startup program registration, and service registration details with infringement indicators. 네트워크 연결 및 설정 적정 여부Whether the network connection and settings are appropriate 네트워크 연결정보, 방화벽정책, hosts파일 정보를 침해지표와 비교하여 악성코드로 의심되는 내역 확인Check details suspected to be malicious code by comparing network connection information, firewall policy, and hosts file information with infringement indicators. 유해사이트/파일 접근 이력 유무Is there a history of accessing harmful sites/files? 인터넷 접속 기록을 침해지표와 비교하여 알려진 악성코드 유포지/경유지 접속 여부 확인Compare Internet access records with infringement indicators to check whether known malicious code distribution sites/transit points have been accessed. 원격접속 채널 설치/접속 이력 유무Whether there is a remote access channel installation/connection history 이벤트 로그의 원격 접속 이력, 설치프로그램을 확인하여 비인가 접속 여부 확인Check the remote access history and installation program in the event log to check for unauthorized access. 시스템정보 변경Change system information 이벤트 로그의 시스템 시간을 확인하여 분석 지연을 위한 시간 조작 여부 확인Check the system time in the event log to see if time has been manipulated to delay analysis.

내부정보유출분석(520)은 분석정보에 포함된 내부정보유출분석용정보(430)를 기반으로 사용자단말의 정보가 외부로 유출되었는지 파악하는 분석이다. 보안분석장치(110)는 기 정의된 침해지표에 존재하는 데이터 업/다운로드가 가능한 사이트의 정보와 내부정보유출분석용정보의 인터넷 접속 이력 등을 비교하여 데이터의 유입/유출 가능성을 파악할 수 있다. 이 외에 다양한 내부정보유출분석 항목의 예가 표 4에 정리되어 있다.Internal information leak analysis (520) is an analysis that determines whether information on the user terminal has been leaked to the outside based on the internal information leak analysis information (430) included in the analysis information. The security analysis device 110 can identify the possibility of data inflow/outflow by comparing the Internet access history of the internal information leakage analysis information with the information of the site where data can be uploaded/downloaded existing in the predefined infringement indicator. In addition, examples of various internal information leakage analysis items are summarized in Table 4.

분석항목Analysis items 분석내용Analysis details


내부정보유출분석


Internal information leak analysis 유입/유출 채널(웹) 접속 여부Access to inflow/outflow channels (web) 인터넷 접속 이력 중 정보 업/다운로드가 가능한 사이트 접속 여부 확인Check whether or not you are accessing a site that allows information to be uploaded/downloaded from your Internet access history. 유입/유출 채널(프로그램) 사용 여부Whether to use inflow/outflow channels (programs) 프로그램 설치, 네트워크 연결, 대용량 파일 이력 중 비인가된 정보 업/다운로드가 가능한 프로그램을 설치/이용 여부 확인Check whether a program capable of uploading/downloading unauthorized information is installed/used during program installation, network connection, or large file history. 비인가 통신 매체 사용Use of unauthorized communication media 공유폴더, 무선랜 접속 이력 중 비인가 파일 공유 매치 이용 여부 확인Check whether unauthorized file sharing match is used among shared folders and wireless LAN connection history 민감자료 보유Retention of sensitive data 문서 파일 목록 중 업무와 무관한 민감자료 보유여부 확인Check whether sensitive data unrelated to work is held in the document file list

이 외에도, 보안분석장치(110)는 분석정보에 포함된 사용자단말의 프로그램설치정보를 기반으로 업무와 무관한 자료(예를 들어, 영화나 게임 등)의 보유 여부를 확인할 수 있다. In addition, the security analysis device 110 can check whether data unrelated to work (for example, movies, games, etc.) is held based on the program installation information of the user terminal included in the analysis information.

본 실시 예는 보안분석장치(110)의 보안분석의 이해를 돕기 위한 하나의 예일 뿐 본 발명이 도 5의 실시 예로 한정되는 것은 아니며, 보안분석장치(110)가 수행하는 보안분석의 방법은 다양한 방법으로 미리 정의될 수 있고, 그에 따라 사용자단말에서 수집하는 분석정보의 종류도 미리 정의될 수 있다.This embodiment is only an example to help understand the security analysis of the security analysis device 110, and the present invention is not limited to the embodiment of FIG. 5, and the security analysis method performed by the security analysis device 110 includes various methods. The method may be predefined, and the type of analysis information collected from the user terminal may also be predefined accordingly.

도 6은 본 발명의 실시 예에 따른 보안분석에 사용하는 침해지표의 갱신방법의 일 예를 도시한 도면이다.Figure 6 is a diagram illustrating an example of a method for updating infringement indicators used in security analysis according to an embodiment of the present invention.

도 6을 참조하면, 침해지표관리장치(600)는 데이터베이스(610)에 침해지표를 저장 관리한다. 침해지표는 보안분석장치(620,622)가 보안분석에 사용할 수 있는 각종 정보를 포함한다. 예를 들어, 침해지표는 각종 악성 사이트에 대한 정보, 각종 악성 코드에 대한 정보, 정보의 업/다운로드가 가능한 사이트(예를 들어, 외부 메일 서버나 외부 FTP 서버 등 등)에 대한 정보 등 보안분석을 위한 각종 정보를 포함할 수 있다. 침해지표에 포함되는 정보의 종류 등의 일 예가 표 5에 도시되어 있다.Referring to FIG. 6, the infringement indicator management device 600 stores and manages infringement indicators in the database 610. Infringement indicators include various information that the security analysis devices 620 and 622 can use for security analysis. For example, infringement indicators include security analysis such as information on various malicious sites, information on various malicious codes, and information on sites where information can be uploaded/downloaded (e.g., external mail server, external FTP server, etc.). It can contain various information for. An example of the type of information included in the infringement indicator is shown in Table 5.

침해지표Infringement indicators 분석대상Analysis target 분석목적Analysis purpose 아이피IP 네트워크 설정, 연결 정보, 원격 데스크탑 접속 이력Network settings, connection information, remote desktop access history 공격자, 악성코드 유포지, C2 등으로 확인된 아이피와 연결 발생 여부 확인Check whether a connection occurs with an IP identified as an attacker, malware distribution site, C2, etc. 해시hash 프로세서, 최근 실행 프로그램Processor, recently executed programs 악성코드로 확인된 해시정보 존재 여부 확인Check for presence of hash information confirmed as malicious code 도메인domain 인터넷 접속 이력Internet access history 악성코드 유포지, C2 등으로 확인된 인터넷 도메인 접속 여부 확인Check whether access to Internet domains identified as malicious code distribution sites, C2, etc. 키워드keyword USB, 공유폴더, 무선랜 이력USB, shared folder, wireless LAN history 비인가 USB, 무선랜 접속 여부, 공유폴더 접속 여부 확인Check whether unauthorized USB or wireless LAN is connected or whether shared folder is connected. 문서제목Document title 문서파일document file 허용되지 않은 문서 보유 여부 확인Check if you have unauthorized documents 파일경로file path 프로세스, 최근 실행 프로그램, 네트워크 연결, 방화벽, 자동실행 서비스Processes, recently launched programs, network connections, firewall, autorun services 악성코드 설치 경로 생성 및 접근 여부 확인Create a malicious code installation path and check for access 프로그램명Program name 설치 프로그램installer 비인가 프로그램 설치 여부 확인Check whether unauthorized programs are installed

침해지표가 실시간 정확한 정보를 포함하고 있어야 보안분석장치(620,622)의 보안분석의 정확도가 높아진다. 그러나 각 보안분석장치(620,622)가 침해지표를 실시간 최신 정보로 유지 관리하는 데에는 한계가 있다. 이에 본 실시 예의 침해지표관리장치(600)는 복수의 보안분석장치(620,622)로부터 보안분석 결과를 수신하고, 이를 침해지표에 반영한다. 복수의 보안분석장치(620,622)는 동일 회사에 존재하는 장치이거나 또는 서로 다른 회사에 존재하는 장치일 수 있다. 일 예로, 본 실시 예가 금융사에 적용되는 경우에 침해지표관리장치(600)는 금융보안원에서 관리하는 장치일 수 있다.The accuracy of the security analysis of the security analysis device (620,622) increases only when the infringement indicator contains accurate real-time information. However, there are limits to the ability of each security analysis device (620, 622) to maintain real-time, up-to-date information on infringement indicators. Accordingly, the infringement index management device 600 of this embodiment receives the security analysis results from the plurality of security analysis devices 620 and 622 and reflects them in the infringement index. The plurality of security analysis devices 620 and 622 may be devices that exist in the same company or devices that exist in different companies. As an example, when this embodiment is applied to a financial company, the infringement indicator management device 600 may be a device managed by the Financial Security Institute.

다른 실시 예로, 각 보안분석장치(620,620)는 침해지표와 분석정보에 포함된 정보의 비교를 통해 보안 위반 여부를 파악할 수 있다. 예를 들어, 각 보안분석장치(620,622)는 본 실시 예의 보안분석 방법을 통해 악성 코드나 악성 사이트, 내부 자료 유출 경로 등 다양한 보안 문제를 파악할 수 있다. 이 외에도 각 보안분석장치(620,620)는 종래의 다양한 보안 프로그램을 적용하여 악성 코드 등을 탐지할 수도 있다. 예를 들어, 제1 보안분석장치(620)는 보안분석결과 현 침해지표에 존재하지 않은 새로운 제1 악성코드를 탐지할 수 있고, 제N 보안분석장치(622)는 최근 새로운 업/다운로드 사이트를 탐지할 수 있다. 이 경우에 침해지표관리장치(600)는 제1 보안분석장치(620)로부터 제1 악성코드에 대한 정보를 수신하고, 제N 보안분석장치(622)로부터 새로운 업/다운로드 사이트에 대한 정보를 수신한 후 이를 기초로 데이터베이스(610)의 침해지표를 갱신한다.In another embodiment, each security analysis device 620 can determine whether there is a security violation by comparing the information included in the infringement indicator and the analysis information. For example, each of the security analysis devices 620 and 622 can identify various security problems such as malicious code, malicious sites, and internal data leakage paths through the security analysis method of this embodiment. In addition, each security analysis device 620 can detect malicious code, etc. by applying various conventional security programs. For example, the first security analysis device 620 can detect a new first malicious code that does not exist in the current infringement index as a result of the security analysis, and the Nth security analysis device 622 has recently opened a new up/download site. It can be detected. In this case, the infringement indicator management device 600 receives information about the first malicious code from the first security analysis device 620 and receives information about a new upload/download site from the Nth security analysis device 622. Then, the infringement index of the database 610 is updated based on this.

각 보안분석장치(620,622)는 주기적으로 데이터베이스(610)에 존재하는 최신의 침해지표를 다운로드하여 보안분석을 수행한다. 따라서 제N 보안분석장치(622)는 자신이 탐지하지 못했던 새로운 제1 악성코드에 대한 정보를 기반으로 보안분석을 수행할 수 있고, 제1 보안분석장치(620)는 자신이 탐지하지 못했던 새로운 업/다운로드 사이트에 대한 정보를 기반으로 보안분석을 수행할 수 있다. Each security analysis device 620 and 622 periodically downloads the latest infringement indicators existing in the database 610 and performs security analysis. Therefore, the Nth security analysis device 622 can perform security analysis based on information about the first new malicious code that it could not detect, and the first security analysis device 620 can perform a security analysis on the new malware that it could not detect. /Security analysis can be performed based on information about the download site.

도 7은 본 발명의 실시 예에 따른 복수의 사용자단말을 기반으로 보안분석하는 방법의 일 예를 도시한 도면이다.Figure 7 is a diagram illustrating an example of a method of security analysis based on a plurality of user terminals according to an embodiment of the present invention.

도 7을 참조하면, 보안분석장치는 복수의 사용자단말(700,702,704)로부터 분석정보를 수신한다. 예를 들어, 본 실시 예가 적용되는 분야가 금융사의 은행지점인 경우에, 보안분석장치는 그 은행지점에 설치된 복수의 사용자단말(700,702,704)로부터 각각 분석정보를 수신할 수 있다. 동일 은행 지점의 복수의 사용자단말(700,702,704)에 설치된 업무용 프로그램이나 시스템 설정 등은 거의 동일하다. 그러므로 보안분석장치는 복수의 사용자단말(700,702,704)로부터 수신한 분석정보를 서로 비교하여 차이가 나는 정보의 확인을 통해 보안분석을 수행할 수 있다.Referring to Figure 7, the security analysis device receives analysis information from a plurality of user terminals (700, 702, and 704). For example, when the field to which this embodiment is applied is a bank branch of a financial company, the security analysis device can receive analysis information from a plurality of user terminals 700, 702, and 704 installed at the bank branch, respectively. Business programs and system settings installed on multiple user terminals (700, 702, 704) of the same bank branch are almost identical. Therefore, the security analysis device can perform security analysis by comparing the analysis information received from the plurality of user terminals 700, 702, and 704 and confirming the information that differs.

예를 들어, 제1 사용자단말(700)로부터 수신한 분석정보에는 제1,2,4,5정보가 존재하고, 제2 사용자단말(702)로부터 수신한 분석정보에는 제1,2,3,4,5정보가 존재하고, 제N 사용자단말(704)로부터 수신한 분석정보에는 제1,2,4,5,6정보가 존재할 수 있다. 보안분석장치는 각 사용자단말(700,702,704)의 분석정보의 차이를 비교하여 보안이슈를 파악할 수 있다. 예를 들어, 다수의 사용자단말에 제3 정보가 존재한다면, 제1 사용자단말(700) 및 제N 사용자단말(704)에 누락된 제3 정보(710,720))가 보안 이슈 사항이 될 수 있다. 또한 다수의 사용자단말에는 제6 정보가 존재하지 않으나, 제N 사용자단말에 제6 정보(730)가 추가되어 있다면, 추가된 제6 정보(730)가 보안 이슈 사항이 될 수 있다. 따라서 보안분석장치는 각 사용자단말(700,702,704)의 분석정보를 비교하여 설치 프로그램, 실행중인 프로세스 목록, 접근 도메인 등 특정 사용자단말에만 존재하는 정보(예를 들어, 제6 정보(730)) 및/또는 특정 사용자단말에만 존재하지 않는 정보(예를 들어, 제3 정보(710,720))를 분석한 결과를 출력할 수 있다.For example, the analysis information received from the first user terminal 700 includes information 1, 2, 4, and 5, and the analysis information received from the second user terminal 702 includes information 1, 2, 3, Information 4 and 5 exist, and information 1, 2, 4, 5, and 6 may exist in the analysis information received from the N-th user terminal 704. The security analysis device can identify security issues by comparing the differences in analysis information of each user terminal (700, 702, and 704). For example, if third information exists in multiple user terminals, the third information (710, 720) missing from the first user terminal (700) and the N-th user terminal (704) may become a security issue. In addition, the sixth information does not exist in many user terminals, but if the sixth information 730 is added to the Nth user terminal, the added sixth information 730 may become a security issue. Therefore, the security analysis device compares the analysis information of each user terminal (700, 702, and 704) to obtain information that exists only in a specific user terminal, such as an installation program, a list of running processes, and an access domain (e.g., sixth information 730) and/or The result of analyzing information that does not exist only in a specific user terminal (for example, third information 710, 720) can be output.

도 8은 본 발명의 실시 예에 따른 보안분석장치의 일 예의 구성을 도시한 도면이다.Figure 8 is a diagram showing the configuration of an example of a security analysis device according to an embodiment of the present invention.

도 8을 참조하면, 보안분석장치(110)는 정보수집부(800), 보안분석부(810) 및 침해지표데이터베이스(820)를 포함한다. 일 실시 예로, 보안분석장치(110)는 메모리, 프로세서 및 입출력장치를 포함하는 컴퓨팅장치로 구현될 수 있으며, 이 경우 각 구성은 소프트웨어로 구현되어 메모리에 탑재된 후 프로세서에 의해 수행될 수 있다.Referring to FIG. 8, the security analysis device 110 includes an information collection unit 800, a security analysis unit 810, and a breach indicator database 820. In one embodiment, the security analysis device 110 may be implemented as a computing device including a memory, a processor, and an input/output device. In this case, each component may be implemented as software, loaded in the memory, and then performed by the processor.

정보수집부(800)는 복수의 사용자단말로부터 분석정보를 수집한다. 예를 들어, 정보수집부(800)는 분석정보가 포함된 파일을 각 사용자단말로부터 수신할 수 있다. 정보수집부(800)가 사용자단말로부터 수신하는 파일은 도 3과 같이 파일 내 일부 데이터의 위치가 변경된 파일일 수 있다. 이 경우 정보수집부(800)는 파일을 수신하면 파일의 기 정의된 부분의 데이터를 다시 원래 상태로 이동시킨 후 파일 내용을 읽어 분석정보를 확인할 수 있다.The information collection unit 800 collects analysis information from a plurality of user terminals. For example, the information collection unit 800 may receive a file containing analysis information from each user terminal. The file that the information collection unit 800 receives from the user terminal may be a file in which the location of some data within the file has been changed, as shown in FIG. 3. In this case, when the information collection unit 800 receives the file, it can move the data in the predefined portion of the file back to its original state and then read the file contents to confirm the analysis information.

보안분석부(810)는 사용자단말로부터 수신한 분석정보를 기반으로 보안분석을 수행한다. 보안분석부(810)는 보안분석을 위하여 기 정의된 적어도 하나 이상의 보안분석알고리즘을 통해 외부침해분석 또는 내부정보유출분석 등을 수행할 수 있다. 일 예로, 보안분석부(810)는 침해지표데이터베이스(820)에 존재하는 침해지표를 기반으로 보안분석을 수행할 수 있다. 이 외에 다양한 보안분석의 예가 도 5에 도시되어 있다. 보안분석부(810)는 분석 결과를 저장하거나 기 정의된 관리자단말이나 사용자단말 등으로 보고할 수 있다. 다른 실시 예로, 보안분석부(810)는 도 7과 같이 복수의 사용자단말의 분석정보를 비교 분석할 수 있다. The security analysis unit 810 performs security analysis based on analysis information received from the user terminal. The security analysis unit 810 may perform external infringement analysis or internal information leakage analysis through at least one predefined security analysis algorithm for security analysis. As an example, the security analysis unit 810 may perform security analysis based on infringement indicators existing in the infringement indicator database 820. In addition, various examples of security analysis are shown in FIG. 5. The security analysis unit 810 may store the analysis results or report them to a predefined administrator terminal or user terminal. In another embodiment, the security analysis unit 810 may compare and analyze analysis information of a plurality of user terminals as shown in FIG. 7.

또 다른 실시 예로, 보안분석부(810)는 침해지표에 존재하지 않은 새로운 악성코드 등을 발견하면, 침해지표의 갱신을 위하여 새롭게 발견된 악성코드 등의 정보를 도 6의 침해지표관리장치(600)로 전송할 수 있다. 보안분석부(810)는 침해지표관리장치(600)가 관리하는 최신의 침해지표를 침해지표데이터베이스(820)에 다운로드할 수 있다. In another embodiment, when the security analysis unit 810 discovers a new malicious code that does not exist in the infringement indicator, the infringement indicator management device 600 of FIG. 6 sends information such as the newly discovered malicious code to update the infringement indicator. ) can be transmitted. The security analysis unit 810 can download the latest infringement indicators managed by the infringement indicator management device 600 to the infringement indicator database 820.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, SSD, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can also be implemented as computer-readable code on a computer-readable recording medium. Computer-readable recording media include all types of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, SSD, and optical data storage devices. Additionally, computer-readable recording media can be distributed across networked computer systems so that computer-readable code can be stored and executed in a distributed manner.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far, the present invention has been examined focusing on its preferred embodiments. A person skilled in the art to which the present invention pertains will understand that the present invention may be implemented in a modified form without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered from an illustrative rather than a restrictive perspective. The scope of the present invention is indicated in the claims rather than the foregoing description, and all differences within the equivalent scope should be construed as being included in the present invention.

Claims (8)

보안분석장치가 수행하는 보안분석방법에 있어서,
적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 단계; 및
상기 분석정보를 기초로 보안분석을 수행하는 단계;를 포함하고,
상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고,
상기 수신하는 단계는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 단계를 포함하는 것을 특징으로 하는 보안분석방법.In the security analysis method performed by the security analysis device,
Receiving analysis information including at least one piece of predefined information to be used for security analysis as a file from at least one user terminal; and
Including; performing a security analysis based on the analysis information,
The location of the data in the predefined portion of the file has been changed to a predefined location,
The receiving step includes restoring the predefined portion of data to its original location. 제 1항에 있어서,
상기 파일은 압축되고 암호설정된 후 기 정의된 부분의 데이터의 위치가 변경된 상태인 것을 특징으로 하는 보안분석방법.According to clause 1,
A security analysis method, characterized in that the file is compressed and encrypted, and then the location of the predefined portion of the data is changed. 제 1항에 있어서,
상기 분석정보는 외부침해분석용정보 또는 내부정보유출분석용 정보를 포함하고,
상기 외부침해분석용정보는 실행프로세스정보, 최근실행문서정보, 시작프로그램정보, 운영체제계정정보, 프로그램설치정보, 윈도우이벤트정보, 네트워크연결정보, 인터네사용기록 및 서비스실행정보 중 적어도 하나 이상을 포함하고,
상기 내부정보유출분석용정보는 외부저장장치사용기록, 인터넷사용기록, 공유폴더사용현황, 최근파일사용기록, 최근명령어실행기록, 무선인터넷사용기록, PC사용시간, 대용량파일보유현황 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 보안분석방법.According to clause 1,
The analysis information includes information for external infringement analysis or information for internal information leak analysis,
The external infringement analysis information includes at least one of execution process information, recent execution document information, startup program information, operating system account information, program installation information, Windows event information, network connection information, Internet usage records, and service execution information. ,
The information for internal information leak analysis includes at least one of the following: external storage device usage records, Internet usage records, shared folder usage status, recent file usage records, recent command execution records, wireless Internet usage records, PC usage time, and large file retention status. A security analysis method comprising: 제 3항에 있어서, 상기 보안분석을 수행하는 단계는,
상기 외부침해분석용정보에 존재하는 정보를 기반으로, 악성코드 의심파일 동작 여부, 네트워크 연결 및 설정 적정 여부, 유해사이트/파일 접근이력 유무, 원격접속 채널 설치/접속 이력 유무, 시스템정보변경 유무 중 적어도 하나 이상의 분석을 통해 외부침해여부를 파악하는 단계; 또는
상기 내부정보유출분석용정보에 존재하는 정보를 기반으로, 유입/유출 채널(웹) 접속 여부, 유입/유출 채널(프로그램) 사용 여부, 비인가 통신매체 사용 여부, 민감자료 보유 유무 중 적어도 하나 이상의 분삭을 통해 내부정보유출을 파악하는 단계;를 포함하는 것을 특징으로 하는 보안분석방법.The method of claim 3, wherein the step of performing the security analysis includes:
Based on the information existing in the external infringement analysis information, whether the suspected malicious code file is operating, whether the network connection and settings are appropriate, whether there is a history of accessing harmful sites / files, whether there is a history of installing / accessing remote access channels, and whether there is a change in system information. Determining whether there is an external infringement through at least one analysis; or
Based on the information existing in the internal information leakage analysis information, at least one of the following: whether the inflow/outflow channel (web) is connected, whether the inflow/outflow channel (program) is used, whether unauthorized communication media is used, and whether sensitive data is held A security analysis method comprising: identifying internal information leakage through. 제 1항에 있어서,
복수의 사용자단말로부터 수집한 분석정보를 비교하여 특정 단말에만 존재하는 정보 또는 특정 단말에만 존재하지 않는 정보를 파악하는 단계;를 더 포함하는 것을 특징으로 하는 보안분석방법.According to clause 1,
A security analysis method further comprising: comparing analysis information collected from a plurality of user terminals to determine information that exists only in a specific terminal or information that does not exist only in a specific terminal. 제 1항에 있어서, 상기 보안분석을 수행하는 단계는,
복수의 분석서버에서 분석한 결과를 기반으로 갱신된 침해지표를 수신하는 단계; 및
상기 침해지표와 상기 분석정보를 이용하여 외부침해 또는 내부정보유출을 분석하는 단계;를 포함하는 것을 특징으로 하는 보안분석방법.The method of claim 1, wherein performing the security analysis includes:
Receiving updated infringement indicators based on analysis results from a plurality of analysis servers; and
A security analysis method comprising: analyzing external infringement or internal information leakage using the infringement indicator and the analysis information. 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 정보수집부; 및
상기 분석정보를 기초로 보안분석을 수행하는 보안분석부;를 포함하고,
상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고,
상기 정보수집부는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 것을 특징으로 하는 보안분석장치.An information collection unit that receives analysis information including at least one piece of predefined information to be used for security analysis from at least one user terminal as a file; and
It includes a security analysis unit that performs security analysis based on the analysis information,
The location of the data in the predefined portion of the file has been changed to a predefined location,
The information collection unit is a security analysis device characterized in that the data of the predefined portion is restored to its original location. 제 1항 내지 제 6항 중 어느 한 항에 기재된 방법을 수행하기 위한 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.

A computer-readable recording medium recording a computer program for performing the method according to any one of claims 1 to 6.
KR1020220118156A 2022-09-19 2022-09-19 Security analysis method for detecting abnormal behavior in financial environment and apparatus KR20240039505A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220118156A KR20240039505A (en) 2022-09-19 2022-09-19 Security analysis method for detecting abnormal behavior in financial environment and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220118156A KR20240039505A (en) 2022-09-19 2022-09-19 Security analysis method for detecting abnormal behavior in financial environment and apparatus

Publications (1)

Publication Number Publication Date
KR20240039505A true KR20240039505A (en) 2024-03-26

Family

ID=90473105

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220118156A KR20240039505A (en) 2022-09-19 2022-09-19 Security analysis method for detecting abnormal behavior in financial environment and apparatus

Country Status (1)

Country Link
KR (1) KR20240039505A (en)

Similar Documents

Publication Publication Date Title
US11750641B2 (en) Systems and methods for identifying and mapping sensitive data on an enterprise
US11082443B2 (en) Systems and methods for remote identification of enterprise threats
US11048822B2 (en) System, apparatus and method for anonymizing data prior to threat detection analysis
US8966249B2 (en) Data security and integrity by remote attestation
US9690598B2 (en) Remotely establishing device platform integrity
US20140331338A1 (en) Device and method for preventing confidential data leaks
US20180234234A1 (en) System for describing and tracking the creation and evolution of digital files
CN113497786B (en) Evidence collection and tracing method, device and storage medium
US11003790B2 (en) Preventing data leakage via version control systems
US10735457B2 (en) Intrusion investigation
WO2023064007A1 (en) Augmented threat investigation
US10791128B2 (en) Intrusion detection
US11134090B1 (en) Network security analysis and malware detection using multiple types of malware information
KR20240039505A (en) Security analysis method for detecting abnormal behavior in financial environment and apparatus
KR101612893B1 (en) Privacy information scanning system and scanning method
Karlzén An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis
US20230036599A1 (en) System context database management
Moreb Cloud Computing Forensics: Dropbox Case Study
WO2023241879A1 (en) Protecting sensitive data dump information
CN114338069A (en) System and method for granting access to a user's data
GB2569553A (en) Historic data breach detection
KR20110047581A (en) System and method for audit trailling user terminal in computer network