KR20240039505A - Security analysis method for detecting abnormal behavior in financial environment and apparatus - Google Patents
Security analysis method for detecting abnormal behavior in financial environment and apparatus Download PDFInfo
- Publication number
- KR20240039505A KR20240039505A KR1020220118156A KR20220118156A KR20240039505A KR 20240039505 A KR20240039505 A KR 20240039505A KR 1020220118156 A KR1020220118156 A KR 1020220118156A KR 20220118156 A KR20220118156 A KR 20220118156A KR 20240039505 A KR20240039505 A KR 20240039505A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- analysis
- security analysis
- security
- file
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 228
- 206010000117 Abnormal behaviour Diseases 0.000 title description 2
- 238000000034 method Methods 0.000 claims description 22
- 230000014759 maintenance of location Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 16
- 238000007726 management method Methods 0.000 description 6
- 230000006835 compression Effects 0.000 description 5
- 238000007906 compression Methods 0.000 description 5
- 208000015181 infectious disease Diseases 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
보안분석방법 및 그 장치가 개시된다. 보안분석장치는 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하고, 분석정보를 기초로 보안분석을 수행한다. 이때 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있는 파일이다. A security analysis method and device are disclosed. The security analysis device receives analysis information containing at least one piece of predefined information to be used for security analysis as a file from at least one user terminal, and performs security analysis based on the analysis information. At this time, the file is a file in which the location of data in a predefined portion has been changed to a predefined location.
Description
본 발명의 실시 예는 보안분석방법 및 그 장치에 관한 것으로, 보다 상세하게는 사용자단말에 대한 외부침해 또는 사용자단말의 내부정보유출 등과 같은 보안문제의 발생 여부를 분석할 수 있는 방법 및 그 장치에 관한 것이다.Embodiments of the present invention relate to a security analysis method and device, and more specifically, to a method and device for analyzing whether security problems such as external intrusion on a user terminal or leakage of internal information of a user terminal occur. It's about.
네트워크로 연결된 시스템은 악의적인 제3자의 침해 또는 내부 정보의 유출 등과 같은 보안 문제가 발생한다. 특히 은행 등과 같은 금융시스템의 경우에는 외부 침해와 내부 정보 유출 등에 더욱 민감하다. 보안 문제를 해결하기 위하여 금융사 등은 방화벽 등을 포함한 다양한 네트워크 보안 기능을 설치하여 운용한다. 그러나 사용자단말이 인터넷 등의 외부 네트워크와 연결된 상태에서 다양한 경로로 악성코드가 유입될 수 있으므로 기존의 방화벽 등의 보안 기능만으로 보안 문제를 완벽하게 해결하기는 어렵다. 따라서 네트워크 방화벽 뿐만 아니라 각 사용자단말이 실제 보안문제가 없는지 파악할 수 있는 방법이 필요하다. Network-connected systems are prone to security problems, such as infringement by malicious third parties or leakage of internal information. In particular, financial systems such as banks are more sensitive to external infringements and internal information leaks. To solve security problems, financial companies install and operate various network security functions, including firewalls. However, since malicious code can be introduced through various routes while the user terminal is connected to an external network such as the Internet, it is difficult to completely solve the security problem using security functions such as existing firewalls. Therefore, a method is needed to determine whether not only the network firewall but also each user terminal has actual security problems.
본 발명의 실시 예가 이루고자 하는 기술적 과제는, 사용자단말에서 수집된 분석정보를 기반으로 사용자단말의 보안문제를 파악할 수 있는 보안분석방법 및 그 장치를 제공하는 데 있다.The technical problem to be achieved by embodiments of the present invention is to provide a security analysis method and device that can identify security problems in a user terminal based on analysis information collected from the user terminal.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 보안분석방법의 일 예는, 보안분석장치가 수행하는 보안분석방법에 있어서, 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 단계; 및 상기 분석정보를 기초로 보안분석을 수행하는 단계;를 포함하고, 상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고, 상기 수신하는 단계는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 단계를 포함한다.In order to achieve the above technical problem, an example of a security analysis method according to an embodiment of the present invention is a security analysis method performed by a security analysis device, at least a predefined method to be used for security analysis from at least one user terminal. Receiving analysis information including one or more pieces of information as a file; and performing a security analysis based on the analysis information, wherein the location of the data of the predefined portion of the file has been changed to a predefined location, and the receiving step includes the step of performing a security analysis based on the analysis information. It includes the step of restoring the data to its original location.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 보안분석장치의 일 예는, 적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 정보수집부; 및 상기 분석정보를 기초로 보안분석을 수행하는 보안분석부;를 포함하고, 상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고, 상기 정보수집부는, 상기 기 정의된 부분의 데이터를 원위치로 복구한다.In order to achieve the above technical problem, an example of a security analysis device according to an embodiment of the present invention is to receive analysis information containing at least one or more predefined information to be used for security analysis as a file from at least one user terminal. information collection department; and a security analysis unit that performs a security analysis based on the analysis information, wherein the location of the data in the predefined portion of the file has been changed to a predefined location, and the information collection unit has the predefined location. Restore part of the data to its original location.
본 발명의 실시 예에 따르면, 사용자단말에서 수집된 분석정보를 기반으로 각 사용자단말의 보안문제를 파악할 수 있다. 사용자단말이 직접 정보를 수집한 후 이를 하나의 파일형태로 전송하면, 보안분석장치는 분석 도구를 통해 이를 분석하여 보안 문제를 파악하므로 별다른 명령어 실행이나 조작 없이 단말의 비정상 행위의 분석 업무의 수행이 가능하다. 또한 다수의 사용자단말을 동시에 분석할 수 있어 사용자단말간 비교분석을 통한 보안문제의 파악도 가능하다. 전문적인 지식이 없는 금융회사 보안 담당자도 심층적인 분석이 가능하다.According to an embodiment of the present invention, security problems of each user terminal can be identified based on analysis information collected from the user terminal. When the user terminal directly collects information and transmits it in the form of a file, the security analysis device analyzes this through an analysis tool to identify security problems, so it can perform the task of analyzing the abnormal behavior of the terminal without executing any commands or manipulating it. possible. In addition, since multiple user terminals can be analyzed simultaneously, it is possible to identify security problems through comparative analysis between user terminals. Even financial company security personnel without specialized knowledge can conduct in-depth analysis.
도 1은 본 발명의 실시 예에 따른 보안분석장치의 일 예를 도시한 도면,
도 2는 본 발명의 실시 예에 따른 분석정보를 수집하여 전송하는 방법의 일 예를 도시한 도면,
도 3은 본 발명의 실시 예에 따른 파일의 데이터 위치 변경의 일 예를 도시한 도면,
도 4는 본 발명의 실시 예에 따른 분석정보의 일 예를 도시한 도면,
도 5는 본 발명의 실시 예에 따른 분석정보를 이용한 보안분석방법의 일 예를 도시한 도면,
도 6은 본 발명의 실시 예에 따른 보안분석에 사용하는 침해지표의 갱신방법의 일 예를 도시한 도면,
도 7은 본 발명의 실시 예에 따른 복수의 사용자단말을 기반으로 보안분석하는 방법의 일 예를 도시한 도면, 그리고,
도 8은 본 발명의 실시 예에 따른 보안분석장치의 일 예의 구성을 도시한 도면이다.1 is a diagram showing an example of a security analysis device according to an embodiment of the present invention;
Figure 2 is a diagram illustrating an example of a method for collecting and transmitting analysis information according to an embodiment of the present invention;
3 is a diagram illustrating an example of changing the data location of a file according to an embodiment of the present invention;
Figure 4 is a diagram showing an example of analysis information according to an embodiment of the present invention;
Figure 5 is a diagram showing an example of a security analysis method using analysis information according to an embodiment of the present invention;
Figure 6 is a diagram showing an example of a method for updating infringement indicators used in security analysis according to an embodiment of the present invention;
Figure 7 is a diagram showing an example of a security analysis method based on a plurality of user terminals according to an embodiment of the present invention, and
Figure 8 is a diagram showing the configuration of an example of a security analysis device according to an embodiment of the present invention.
이하에서, 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 보안분석방법 및 그 장치에 대해 상세히 살펴본다.Hereinafter, the security analysis method and device according to an embodiment of the present invention will be described in detail with reference to the attached drawings.
도 1은 본 발명의 실시 예에 따른 보안분석장치의 일 예를 도시한 도면이다.1 is a diagram illustrating an example of a security analysis device according to an embodiment of the present invention.
도 1을 참조하면, 보안분석장치(110)는 복수의 사용자단말(110,102)과 유선 또는 무선 통신망을 통해 연결된다. 예를 들어, 사용자단말(100,102)과 보안분석장치(110)는 인터넷을 통해 연결될 수 있다. 이 외에도 사용자단말(100,102)과 보안분석장치(110)는 별도의 보안통신망을 통해 연결될 수 있다. Referring to FIG. 1, the
사용자단말(100,102)은 분석정보를 수집하는 단말이다. 분석정보는 보안 분석을 위하여 각 사용자단말에서 수집되는 정보이며, 이에 대한 예가 도 4에 도시되어 있다. 예를 들어, 본 실시 예가 금융회사 등에 적용되는 경우에 사용자단말은 금융회사의 임직원이나 외주직원 등이 사용하는 단말일 수 있다. 사용자단말(100,102)은 일반 컴퓨터, 태블릿PC, 스마트폰 등 다양할 수 있으며 특정 종류로 한정되는 것은 아니다.The
보안분석장치(110)는 복수의 사용자단말(100,102)로부터 수신한 분석정보를 기반으로 각 사용자단말(100,102)의 보안분석을 수행한다. 보안분석의 예가 도 5 내지 도 7에 도시되어 있다. 보안분석장치(110)는 복수의 사용자단말(100,102)로부터 다양한 주기 또는 다양한 시점에 분석정보를 수신할 수 있다. 예를 들어, 각 사용자단말은(100,102) 주기적으로 분석정보를 수집하여 보안분석장치(110)에 전송하거나 기 정의된 이벤트(예를 들어, 사용자 요청, 사용자단말에 새로운 프로그램 설치 등)가 발생하면 분석정보를 수집하여 보안분석장치(110)에 전송할 수 있다. 각 사용자단말(100,102)에서 수집하는 분석정보를 사용자가 위변조하는 것을 방지하기 위한 인코딩/디코딩 방법이 필요하며 이에 대해서는 도 2에서 다시 살펴본다.The
도 2는 본 발명의 실시 예에 따른 분석정보를 수집하여 전송하는 방법의 일 예를 도시한 도면이다.Figure 2 is a diagram illustrating an example of a method for collecting and transmitting analysis information according to an embodiment of the present invention.
도 1 및 도 2를 함께 참조하면, 사용자단말(100,102)은 분석정보를 수집한다(S200). 일 실시 예로, 사용자단말(100,102)에는 본 실시 예를 위한 분석정보의 수집 등을 수행하는 전용프로그램이 미리 설치되어 있을 수 있다. 분석정보에 포함되는 정보의 종류 등은 미리 정의되어 있으며, 그 예에 대하여 도 4에서 다시 살펴본다. 일 실시 예로, 사용자단말(100,102)은 분석정보에 포함되는 다양한 정보를 각각의 파일로 생성하거나, 분석정보에 포함되는 모든 정보를 하나의 파일로 생성할 수 있다. 파일은 텍스트 포맷 또는 바이너리 포맷 등 실시 예에 따라 다양한 형식의 포맷일 수 있다. Referring to FIGS. 1 and 2 together, the
사용자단말(100,102)은 분석정보를 포함하는 파일(들)을 압축 및 암호화한다(S210). 예를 들어, 사용자단말(100,102)은 종래의 다양한 압축 알고리즘을 적용하여 분석정보를 포함하는 파일(들)을 압축하고 암호화할 수 있다. 암호화시에 암호화키는 사용자가 직접 입력하거나 또는 사용자단말이 미리 정의된 암호화키로 자동으로 암호화를 수행할 수 있다. 보안분석장치(110)에는 암호화키 또는 암호화키에 대응하는 복호화키가 미리 설정되어 있다. The
다른 실시 예로, 파일의 압축 및 암호화의 단계(S210)는 생략될 수 있다. 또 다른 실시 예로, 파일의 압축만을 수행하고 암호화를 수행하지 않거나, 또는 파일을 압축없이 종래의 다양한 암호화 알고리즘을 이용하여 암호화만을 수행할 수 있다. 다만 이하에서는 설명의 편의를 위하여 파일의 압축 및 암호화가 모두 이루어진 경우를 가정하여 설명한다. In another embodiment, the step of compressing and encrypting the file (S210) may be omitted. As another example, only compression of the file may be performed and no encryption may be performed, or only encryption may be performed using various conventional encryption algorithms without compressing the file. However, for convenience of explanation, the explanation below assumes that both compression and encryption of the file have been performed.
사용자단말(100,102)은 압축 파일의 특정 위치의 데이터의 위치를 변경한다(S220). 예를 들어, 사용자단말(100,102)은 압축 파일의 헤더부분의 데이터를 기 정의된 위치로 이동시킨다. 데이터의 위치 변경의 일 예가 도 3에 도시되어 있다. The
사용자단말(100,102)은 데이터 위치가 변경된 압축 파일(이하,' 인코딩 파일')을 로컬에 저장하거나 보안분석장치(110)로 전송한다(S230). 예를 들어, 사용자단말(100,102)은 사용자의 요청에 따라 인코딩 파일을 저장하거나 전송할 수 있다. 사용자단말(100,102)은 FTP(File Transfer Protocol)를 통해 인코딩 파일을 보안분석장치(110)에 전송할 수 있다. 또 다른 예로, 사용자단말(100,102)은 제1 주기로 수집한 분석정보를 포함하는 인코딩 파일을 로컬에 저장한 후 제2 주기(제1 주기보다 긴 주기)로 로컬에 저장된 하나 이상의 인코딩 파일을 보안분석장치(110)에 전송할 수 있다.The
도 3은 본 발명의 실시 예에 따른 파일의 데이터 위치 변경의 일 예를 도시한 도면이다.Figure 3 is a diagram illustrating an example of changing the data location of a file according to an embodiment of the present invention.
도 3을 참조하면, 사용자단말은 파일(300)의 기 정의된 부분의 데이터(310)의 위치를 기 정의된 위치로 변경할 수 있다. 여기서 파일(300)은 압축되지 않은 원본 파일이거나 압축(또는 암호화)된 파일일 수 있다. 이하에서 파일이라고 함은 실시 예에 다른 원본 파일 또는 압축 파일로 해석될 수 있다.Referring to FIG. 3, the user terminal can change the location of
일 실시 예로, 분석정보를 포함하는 파일이 텍스트 형식이면, 기 정의된 부분의 데이터(310)의 위치를 변경하여도 파일 내의 텍스트를 사용자나 제3자 등이 확인할 수 있으므로, 사용자단말은 사용자 등의 위변조 방지를 위하여 도 2에서 살핀 바와 같이 파일을 압축한 후 데이터의 위치를 변경할 수 있다. As an example, if the file containing the analysis information is in text format, the user or a third party, etc. can check the text in the file even if the location of the
다른 실시 예로, 파일을 압축 후 데이터의 위치를 변경하여도 압축파일의 헤더를 통해 압축파일에 포함된 데이터의 종류 등의 확인이 가능할 수 있다. 예를 들어, 분석정보에 포함된 각종의 정보가 각각의 파일로 생성되고 이를 하나로 압축하여 본 실시 예의 파일(300)을 생성하는 경우에, 압축 파일을 해제할 수는 없어도 압축 파일의 헤더를 통해 압축 파일 내 포함되는 파일 이름 등이 노출될 수 있다. 이를 방지하기 위하여 사용자단말은 압축 파일의 헤더부분의 데이터 위치를 변경할 수 있다. 압축 파일의 헤더 부분이 변경되었으므로 압축 방법으로 기존의 다양한 압축 알고리즘을 이용하여도 압축 파일에 포함된 내용이 외부에 노출되지 않는다.In another embodiment, even if the location of the data is changed after compressing the file, it may be possible to check the type of data included in the compressed file through the header of the compressed file. For example, when various types of information included in the analysis information are generated as separate files and compressed into one to create the
위치가 변화하는 데이터(310)의 부분(예를 들어, 옵셋과 미리 정의된 데이터크기 등)과 데이터가 이동하는 위치(예를 들어, 파일의 마지막 부분) 등은 미리 정의되어 있으므로, 보안분석장치(110)는 사용자단말(100,102)로부터 데이터 위치가 변경된 인코딩 파일을 수신하면, 인코딩 파일을 디코딩하여 데이터의 위치가 복구된 원본의 파일을 얻을 수 있다.The portion of the
도 4는 본 발명의 실시 예에 따른 분석정보의 일 예를 도시한 도면이다.Figure 4 is a diagram illustrating an example of analysis information according to an embodiment of the present invention.
도 4를 참조하면, 분석정보(400)는 크게 시스템정보(410), 외부침해분석용정보(420), 내부정보유출분석용정보(430)를 포함한다.Referring to FIG. 4, the
시스템정보(400)는 사용자단말의 시스템 정보 확인을 위한 정보이다. 예를 들어, 시스템정보(400)는 사용자단말에 설치된 운영체제정보, 네트워크정보, 디스크정보, 컴퓨터이름, 바탕화면 스크린샷 등을 포함할 수 있다.
외부침해분석용정보(420)는 사용자단말이 외부로부터 침해당했는지 분석하는데 사용하는 정보이며, 이에 대한 예가 표 1에 정리되어 있다.The external
외부침해분석용정보
Information for external infringement analysis
내부정보유출분석용정보(430)는 사용자단말의 정보가 외부로 유출되었는지 분석하는데 사용하는 정보이며, 이에 대한 예가 표 2에 정리되어 있다.The internal information
내부정보유출분석용정보
Information for internal information leak analysis
본 실시 예의 분석정보(400)는 이해를 돕기 위한 하나의 예이며, 본 발명이 반드시 도 4의 실시 예로 한정되는 것은 아니다. 예를 들어, 분석정보(400)에 포함되는 복수의 정보그룹(410,420,430)은 실시 예에 따라 다양하게 변형가능하며, 또한 시스템정보(410), 외부침해분석용정보(420), 내부정보유출분석용정보(430)에 포함되는 정보의 종류와 개수 등도 실시 예에 따라 다양하게 변형 가능하다.The
도 5는 본 발명의 실시 예에 따른 분석정보를 이용한 보안분석방법의 일 예를 도시한 도면이다.Figure 5 is a diagram showing an example of a security analysis method using analysis information according to an embodiment of the present invention.
도 5를 참조하면, 보안분석장치(110)는 사용자단말(100,102)로부터 분석정보를 수신하면 이를 기반으로 해당 사용자단말(100,102)의 보안분석을 수행하고 그 결과를 사용자단말(100,102) 또는 기 정의된 관리자단말 등으로 전송하거나 로컬에 저장할 수 있다.Referring to FIG. 5, when the
보안분석장치(110)가 수행하는 보안분석(500)은 크게 외부침해분석(510) 및 내부정보유출분석(520)을 포함한다. 보안분석장치(110)가 수행하는 보안분석의 종류는 사용자단말(100,102)에서 수집하는 분석정보의 종류에 따라 달라질 수 있다. 본 실시 예는 사용자단말(100,102)에서 수집하는 분석정보의 종류가 도 4와 같은 경우를 가정하여 보안분석 방법을 제시한다.The
외부침해분석(510)은 분석정보에 포함된 외부침해분석용정보를 기반으로 사용자단말(100,102)에 외부 침해가 존재하는지 파악하는 분석이다. 보안분석장치(110)는 기 정의된 침해지표(예를 들어, 아이피(IP) 정보, 악성코드나 프로그램 등의 해시값, 도메인 정보 등)와 분석정보(400)의 외부침해분석용정보(420)를 비교하여 외부침해분석을 수행할 수 있다. 예를 들어, 침해지표에는 악성코드에 대한 정보(예를 들어, 악성코드의 프로세스 이름, 악성코드가 연결된 네트워크 정보 등)가 미리 정의되어 있고, 보안분석장치(110)는 분석정보의 외부침해분석용정보에 존재하는 실행 중인 프로세스, 최근 실행 프로그램, 네트워크 연결 정보 등을 침해지표의 정보와 비교하여 악성코드의 침해 여부를 파악할 수 있다. 이 외에 다양한 외부침해분석 항목의 예가 표 3에 정리되어 있다.
외부침해 분석
External infringement analysis
내부정보유출분석(520)은 분석정보에 포함된 내부정보유출분석용정보(430)를 기반으로 사용자단말의 정보가 외부로 유출되었는지 파악하는 분석이다. 보안분석장치(110)는 기 정의된 침해지표에 존재하는 데이터 업/다운로드가 가능한 사이트의 정보와 내부정보유출분석용정보의 인터넷 접속 이력 등을 비교하여 데이터의 유입/유출 가능성을 파악할 수 있다. 이 외에 다양한 내부정보유출분석 항목의 예가 표 4에 정리되어 있다.Internal information leak analysis (520) is an analysis that determines whether information on the user terminal has been leaked to the outside based on the internal information leak analysis information (430) included in the analysis information. The
내부정보유출분석
Internal information leak analysis
이 외에도, 보안분석장치(110)는 분석정보에 포함된 사용자단말의 프로그램설치정보를 기반으로 업무와 무관한 자료(예를 들어, 영화나 게임 등)의 보유 여부를 확인할 수 있다. In addition, the
본 실시 예는 보안분석장치(110)의 보안분석의 이해를 돕기 위한 하나의 예일 뿐 본 발명이 도 5의 실시 예로 한정되는 것은 아니며, 보안분석장치(110)가 수행하는 보안분석의 방법은 다양한 방법으로 미리 정의될 수 있고, 그에 따라 사용자단말에서 수집하는 분석정보의 종류도 미리 정의될 수 있다.This embodiment is only an example to help understand the security analysis of the
도 6은 본 발명의 실시 예에 따른 보안분석에 사용하는 침해지표의 갱신방법의 일 예를 도시한 도면이다.Figure 6 is a diagram illustrating an example of a method for updating infringement indicators used in security analysis according to an embodiment of the present invention.
도 6을 참조하면, 침해지표관리장치(600)는 데이터베이스(610)에 침해지표를 저장 관리한다. 침해지표는 보안분석장치(620,622)가 보안분석에 사용할 수 있는 각종 정보를 포함한다. 예를 들어, 침해지표는 각종 악성 사이트에 대한 정보, 각종 악성 코드에 대한 정보, 정보의 업/다운로드가 가능한 사이트(예를 들어, 외부 메일 서버나 외부 FTP 서버 등 등)에 대한 정보 등 보안분석을 위한 각종 정보를 포함할 수 있다. 침해지표에 포함되는 정보의 종류 등의 일 예가 표 5에 도시되어 있다.Referring to FIG. 6, the infringement
침해지표가 실시간 정확한 정보를 포함하고 있어야 보안분석장치(620,622)의 보안분석의 정확도가 높아진다. 그러나 각 보안분석장치(620,622)가 침해지표를 실시간 최신 정보로 유지 관리하는 데에는 한계가 있다. 이에 본 실시 예의 침해지표관리장치(600)는 복수의 보안분석장치(620,622)로부터 보안분석 결과를 수신하고, 이를 침해지표에 반영한다. 복수의 보안분석장치(620,622)는 동일 회사에 존재하는 장치이거나 또는 서로 다른 회사에 존재하는 장치일 수 있다. 일 예로, 본 실시 예가 금융사에 적용되는 경우에 침해지표관리장치(600)는 금융보안원에서 관리하는 장치일 수 있다.The accuracy of the security analysis of the security analysis device (620,622) increases only when the infringement indicator contains accurate real-time information. However, there are limits to the ability of each security analysis device (620, 622) to maintain real-time, up-to-date information on infringement indicators. Accordingly, the infringement
다른 실시 예로, 각 보안분석장치(620,620)는 침해지표와 분석정보에 포함된 정보의 비교를 통해 보안 위반 여부를 파악할 수 있다. 예를 들어, 각 보안분석장치(620,622)는 본 실시 예의 보안분석 방법을 통해 악성 코드나 악성 사이트, 내부 자료 유출 경로 등 다양한 보안 문제를 파악할 수 있다. 이 외에도 각 보안분석장치(620,620)는 종래의 다양한 보안 프로그램을 적용하여 악성 코드 등을 탐지할 수도 있다. 예를 들어, 제1 보안분석장치(620)는 보안분석결과 현 침해지표에 존재하지 않은 새로운 제1 악성코드를 탐지할 수 있고, 제N 보안분석장치(622)는 최근 새로운 업/다운로드 사이트를 탐지할 수 있다. 이 경우에 침해지표관리장치(600)는 제1 보안분석장치(620)로부터 제1 악성코드에 대한 정보를 수신하고, 제N 보안분석장치(622)로부터 새로운 업/다운로드 사이트에 대한 정보를 수신한 후 이를 기초로 데이터베이스(610)의 침해지표를 갱신한다.In another embodiment, each
각 보안분석장치(620,622)는 주기적으로 데이터베이스(610)에 존재하는 최신의 침해지표를 다운로드하여 보안분석을 수행한다. 따라서 제N 보안분석장치(622)는 자신이 탐지하지 못했던 새로운 제1 악성코드에 대한 정보를 기반으로 보안분석을 수행할 수 있고, 제1 보안분석장치(620)는 자신이 탐지하지 못했던 새로운 업/다운로드 사이트에 대한 정보를 기반으로 보안분석을 수행할 수 있다. Each
도 7은 본 발명의 실시 예에 따른 복수의 사용자단말을 기반으로 보안분석하는 방법의 일 예를 도시한 도면이다.Figure 7 is a diagram illustrating an example of a method of security analysis based on a plurality of user terminals according to an embodiment of the present invention.
도 7을 참조하면, 보안분석장치는 복수의 사용자단말(700,702,704)로부터 분석정보를 수신한다. 예를 들어, 본 실시 예가 적용되는 분야가 금융사의 은행지점인 경우에, 보안분석장치는 그 은행지점에 설치된 복수의 사용자단말(700,702,704)로부터 각각 분석정보를 수신할 수 있다. 동일 은행 지점의 복수의 사용자단말(700,702,704)에 설치된 업무용 프로그램이나 시스템 설정 등은 거의 동일하다. 그러므로 보안분석장치는 복수의 사용자단말(700,702,704)로부터 수신한 분석정보를 서로 비교하여 차이가 나는 정보의 확인을 통해 보안분석을 수행할 수 있다.Referring to Figure 7, the security analysis device receives analysis information from a plurality of user terminals (700, 702, and 704). For example, when the field to which this embodiment is applied is a bank branch of a financial company, the security analysis device can receive analysis information from a plurality of
예를 들어, 제1 사용자단말(700)로부터 수신한 분석정보에는 제1,2,4,5정보가 존재하고, 제2 사용자단말(702)로부터 수신한 분석정보에는 제1,2,3,4,5정보가 존재하고, 제N 사용자단말(704)로부터 수신한 분석정보에는 제1,2,4,5,6정보가 존재할 수 있다. 보안분석장치는 각 사용자단말(700,702,704)의 분석정보의 차이를 비교하여 보안이슈를 파악할 수 있다. 예를 들어, 다수의 사용자단말에 제3 정보가 존재한다면, 제1 사용자단말(700) 및 제N 사용자단말(704)에 누락된 제3 정보(710,720))가 보안 이슈 사항이 될 수 있다. 또한 다수의 사용자단말에는 제6 정보가 존재하지 않으나, 제N 사용자단말에 제6 정보(730)가 추가되어 있다면, 추가된 제6 정보(730)가 보안 이슈 사항이 될 수 있다. 따라서 보안분석장치는 각 사용자단말(700,702,704)의 분석정보를 비교하여 설치 프로그램, 실행중인 프로세스 목록, 접근 도메인 등 특정 사용자단말에만 존재하는 정보(예를 들어, 제6 정보(730)) 및/또는 특정 사용자단말에만 존재하지 않는 정보(예를 들어, 제3 정보(710,720))를 분석한 결과를 출력할 수 있다.For example, the analysis information received from the
도 8은 본 발명의 실시 예에 따른 보안분석장치의 일 예의 구성을 도시한 도면이다.Figure 8 is a diagram showing the configuration of an example of a security analysis device according to an embodiment of the present invention.
도 8을 참조하면, 보안분석장치(110)는 정보수집부(800), 보안분석부(810) 및 침해지표데이터베이스(820)를 포함한다. 일 실시 예로, 보안분석장치(110)는 메모리, 프로세서 및 입출력장치를 포함하는 컴퓨팅장치로 구현될 수 있으며, 이 경우 각 구성은 소프트웨어로 구현되어 메모리에 탑재된 후 프로세서에 의해 수행될 수 있다.Referring to FIG. 8, the
정보수집부(800)는 복수의 사용자단말로부터 분석정보를 수집한다. 예를 들어, 정보수집부(800)는 분석정보가 포함된 파일을 각 사용자단말로부터 수신할 수 있다. 정보수집부(800)가 사용자단말로부터 수신하는 파일은 도 3과 같이 파일 내 일부 데이터의 위치가 변경된 파일일 수 있다. 이 경우 정보수집부(800)는 파일을 수신하면 파일의 기 정의된 부분의 데이터를 다시 원래 상태로 이동시킨 후 파일 내용을 읽어 분석정보를 확인할 수 있다.The
보안분석부(810)는 사용자단말로부터 수신한 분석정보를 기반으로 보안분석을 수행한다. 보안분석부(810)는 보안분석을 위하여 기 정의된 적어도 하나 이상의 보안분석알고리즘을 통해 외부침해분석 또는 내부정보유출분석 등을 수행할 수 있다. 일 예로, 보안분석부(810)는 침해지표데이터베이스(820)에 존재하는 침해지표를 기반으로 보안분석을 수행할 수 있다. 이 외에 다양한 보안분석의 예가 도 5에 도시되어 있다. 보안분석부(810)는 분석 결과를 저장하거나 기 정의된 관리자단말이나 사용자단말 등으로 보고할 수 있다. 다른 실시 예로, 보안분석부(810)는 도 7과 같이 복수의 사용자단말의 분석정보를 비교 분석할 수 있다. The
또 다른 실시 예로, 보안분석부(810)는 침해지표에 존재하지 않은 새로운 악성코드 등을 발견하면, 침해지표의 갱신을 위하여 새롭게 발견된 악성코드 등의 정보를 도 6의 침해지표관리장치(600)로 전송할 수 있다. 보안분석부(810)는 침해지표관리장치(600)가 관리하는 최신의 침해지표를 침해지표데이터베이스(820)에 다운로드할 수 있다. In another embodiment, when the
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, SSD, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can also be implemented as computer-readable code on a computer-readable recording medium. Computer-readable recording media include all types of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, SSD, and optical data storage devices. Additionally, computer-readable recording media can be distributed across networked computer systems so that computer-readable code can be stored and executed in a distributed manner.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far, the present invention has been examined focusing on its preferred embodiments. A person skilled in the art to which the present invention pertains will understand that the present invention may be implemented in a modified form without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered from an illustrative rather than a restrictive perspective. The scope of the present invention is indicated in the claims rather than the foregoing description, and all differences within the equivalent scope should be construed as being included in the present invention.
Claims (8)
적어도 하나 이상의 사용자단말로부터 보안분석에 사용할 기 정의된 적어도 하나 이상의 정보를 포함하는 분석정보를 파일로 수신하는 단계; 및
상기 분석정보를 기초로 보안분석을 수행하는 단계;를 포함하고,
상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고,
상기 수신하는 단계는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 단계를 포함하는 것을 특징으로 하는 보안분석방법.In the security analysis method performed by the security analysis device,
Receiving analysis information including at least one piece of predefined information to be used for security analysis as a file from at least one user terminal; and
Including; performing a security analysis based on the analysis information,
The location of the data in the predefined portion of the file has been changed to a predefined location,
The receiving step includes restoring the predefined portion of data to its original location.
상기 파일은 압축되고 암호설정된 후 기 정의된 부분의 데이터의 위치가 변경된 상태인 것을 특징으로 하는 보안분석방법.According to clause 1,
A security analysis method, characterized in that the file is compressed and encrypted, and then the location of the predefined portion of the data is changed.
상기 분석정보는 외부침해분석용정보 또는 내부정보유출분석용 정보를 포함하고,
상기 외부침해분석용정보는 실행프로세스정보, 최근실행문서정보, 시작프로그램정보, 운영체제계정정보, 프로그램설치정보, 윈도우이벤트정보, 네트워크연결정보, 인터네사용기록 및 서비스실행정보 중 적어도 하나 이상을 포함하고,
상기 내부정보유출분석용정보는 외부저장장치사용기록, 인터넷사용기록, 공유폴더사용현황, 최근파일사용기록, 최근명령어실행기록, 무선인터넷사용기록, PC사용시간, 대용량파일보유현황 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 보안분석방법.According to clause 1,
The analysis information includes information for external infringement analysis or information for internal information leak analysis,
The external infringement analysis information includes at least one of execution process information, recent execution document information, startup program information, operating system account information, program installation information, Windows event information, network connection information, Internet usage records, and service execution information. ,
The information for internal information leak analysis includes at least one of the following: external storage device usage records, Internet usage records, shared folder usage status, recent file usage records, recent command execution records, wireless Internet usage records, PC usage time, and large file retention status. A security analysis method comprising:
상기 외부침해분석용정보에 존재하는 정보를 기반으로, 악성코드 의심파일 동작 여부, 네트워크 연결 및 설정 적정 여부, 유해사이트/파일 접근이력 유무, 원격접속 채널 설치/접속 이력 유무, 시스템정보변경 유무 중 적어도 하나 이상의 분석을 통해 외부침해여부를 파악하는 단계; 또는
상기 내부정보유출분석용정보에 존재하는 정보를 기반으로, 유입/유출 채널(웹) 접속 여부, 유입/유출 채널(프로그램) 사용 여부, 비인가 통신매체 사용 여부, 민감자료 보유 유무 중 적어도 하나 이상의 분삭을 통해 내부정보유출을 파악하는 단계;를 포함하는 것을 특징으로 하는 보안분석방법.The method of claim 3, wherein the step of performing the security analysis includes:
Based on the information existing in the external infringement analysis information, whether the suspected malicious code file is operating, whether the network connection and settings are appropriate, whether there is a history of accessing harmful sites / files, whether there is a history of installing / accessing remote access channels, and whether there is a change in system information. Determining whether there is an external infringement through at least one analysis; or
Based on the information existing in the internal information leakage analysis information, at least one of the following: whether the inflow/outflow channel (web) is connected, whether the inflow/outflow channel (program) is used, whether unauthorized communication media is used, and whether sensitive data is held A security analysis method comprising: identifying internal information leakage through.
복수의 사용자단말로부터 수집한 분석정보를 비교하여 특정 단말에만 존재하는 정보 또는 특정 단말에만 존재하지 않는 정보를 파악하는 단계;를 더 포함하는 것을 특징으로 하는 보안분석방법.According to clause 1,
A security analysis method further comprising: comparing analysis information collected from a plurality of user terminals to determine information that exists only in a specific terminal or information that does not exist only in a specific terminal.
복수의 분석서버에서 분석한 결과를 기반으로 갱신된 침해지표를 수신하는 단계; 및
상기 침해지표와 상기 분석정보를 이용하여 외부침해 또는 내부정보유출을 분석하는 단계;를 포함하는 것을 특징으로 하는 보안분석방법.The method of claim 1, wherein performing the security analysis includes:
Receiving updated infringement indicators based on analysis results from a plurality of analysis servers; and
A security analysis method comprising: analyzing external infringement or internal information leakage using the infringement indicator and the analysis information.
상기 분석정보를 기초로 보안분석을 수행하는 보안분석부;를 포함하고,
상기 파일은 기 정의된 부분의 데이터의 위치가 기 정의된 위치로 변경되어 있고,
상기 정보수집부는, 상기 기 정의된 부분의 데이터를 원위치로 복구하는 것을 특징으로 하는 보안분석장치.An information collection unit that receives analysis information including at least one piece of predefined information to be used for security analysis from at least one user terminal as a file; and
It includes a security analysis unit that performs security analysis based on the analysis information,
The location of the data in the predefined portion of the file has been changed to a predefined location,
The information collection unit is a security analysis device characterized in that the data of the predefined portion is restored to its original location.
A computer-readable recording medium recording a computer program for performing the method according to any one of claims 1 to 6.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220118156A KR20240039505A (en) | 2022-09-19 | 2022-09-19 | Security analysis method for detecting abnormal behavior in financial environment and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220118156A KR20240039505A (en) | 2022-09-19 | 2022-09-19 | Security analysis method for detecting abnormal behavior in financial environment and apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20240039505A true KR20240039505A (en) | 2024-03-26 |
Family
ID=90473105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220118156A KR20240039505A (en) | 2022-09-19 | 2022-09-19 | Security analysis method for detecting abnormal behavior in financial environment and apparatus |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20240039505A (en) |
-
2022
- 2022-09-19 KR KR1020220118156A patent/KR20240039505A/en unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11750641B2 (en) | Systems and methods for identifying and mapping sensitive data on an enterprise | |
US11082443B2 (en) | Systems and methods for remote identification of enterprise threats | |
US11048822B2 (en) | System, apparatus and method for anonymizing data prior to threat detection analysis | |
US8966249B2 (en) | Data security and integrity by remote attestation | |
US9690598B2 (en) | Remotely establishing device platform integrity | |
US20140331338A1 (en) | Device and method for preventing confidential data leaks | |
US20180234234A1 (en) | System for describing and tracking the creation and evolution of digital files | |
CN113497786B (en) | Evidence collection and tracing method, device and storage medium | |
US11003790B2 (en) | Preventing data leakage via version control systems | |
US10735457B2 (en) | Intrusion investigation | |
WO2023064007A1 (en) | Augmented threat investigation | |
US10791128B2 (en) | Intrusion detection | |
US11134090B1 (en) | Network security analysis and malware detection using multiple types of malware information | |
KR20240039505A (en) | Security analysis method for detecting abnormal behavior in financial environment and apparatus | |
KR101612893B1 (en) | Privacy information scanning system and scanning method | |
Karlzén | An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis | |
US20230036599A1 (en) | System context database management | |
Moreb | Cloud Computing Forensics: Dropbox Case Study | |
WO2023241879A1 (en) | Protecting sensitive data dump information | |
CN114338069A (en) | System and method for granting access to a user's data | |
GB2569553A (en) | Historic data breach detection | |
KR20110047581A (en) | System and method for audit trailling user terminal in computer network |