[go: up one dir, main page]

KR101011456B1 - Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same - Google Patents

Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same Download PDF

Info

Publication number
KR101011456B1
KR101011456B1 KR1020080062540A KR20080062540A KR101011456B1 KR 101011456 B1 KR101011456 B1 KR 101011456B1 KR 1020080062540 A KR1020080062540 A KR 1020080062540A KR 20080062540 A KR20080062540 A KR 20080062540A KR 101011456 B1 KR101011456 B1 KR 101011456B1
Authority
KR
South Korea
Prior art keywords
information
event
log
security
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020080062540A
Other languages
Korean (ko)
Other versions
KR20100002592A (en
Inventor
이을석
Original Assignee
주식회사 이너버스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이너버스 filed Critical 주식회사 이너버스
Priority to KR1020080062540A priority Critical patent/KR101011456B1/en
Publication of KR20100002592A publication Critical patent/KR20100002592A/en
Application granted granted Critical
Publication of KR101011456B1 publication Critical patent/KR101011456B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

사내정보시스템의 로그 정보를 이용한 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템이 개시된다. 정보유출감사 시스템은 사용자별 시스템 사용내역이 저장된 로그파일에서 로그 정보를 수집하는 로그 정보 수집모듈과, 코드테이블 DB에 저장된 로그별 아이디를 추출하여 해당 로그들을 표준화하는 아이디 표준화모듈과, 상기 아이디 표준화모듈에 의해 표준화된 로그 정보를 이벤트별로 추출하는 이벤트 추출모듈과, 상기 이벤트 추출모듈에 의해 추출된 이벤트별 로그 정보에 가중치를 설정하는 가중치 설정모듈과, 이벤트별 초기임계값을 받아 임계값을 설정하는 임계값 설정모듈과, 가중치가 설정된 이벤트에 대응하는 로그 정보들이 임계치를 초과했는지의 여부를 분석하는 임계값 분석모듈과, 이벤트별 또는 로그별 모니터링 항목과 이에 대응하는 평가 항목을 서로 연계시키는 연계 분석모듈과, 상기 연계 분석모듈에 의해 분석된 정보를 근거로 사용자별 또는 이벤트별 보안위험지수를 산정하는 보안위험지수 산정모듈을 포함한다. 이에 따라, 개인 별 보안위험지수를 산정하여 비정상적인 정보를 사용하는 행위를 감사할 수 있는 기능과 임계값 조정을 통해 감사의 효율성을 높일 수 있다. Disclosed is a method for auditing information leakage using log information of an in-house information system, a computer-readable recording medium storing a program for performing the same, and a system for performing the same. The information leakage audit system includes a log information collection module for collecting log information from a log file storing system usage history of each user, an ID standardization module for extracting IDs for each log stored in a code table DB, and standardizing corresponding logs; An event extraction module for extracting log information standardized by the module for each event, a weight setting module for setting weights for the log information for each event extracted by the event extraction module, and setting a threshold value by receiving an initial threshold value for each event A threshold setting module configured to analyze the log information corresponding to the weighted event has exceeded a threshold and a threshold analysis module for linking the monitoring items and the evaluation items corresponding to each event or log to each other. Based on the analysis module and the information analyzed by the linked analysis module It includes a security risk index calculation module that calculates a security risk index for each user or event. Accordingly, the efficiency of auditing can be improved by calculating the individual security risk index and auditing the use of abnormal information and adjusting the threshold.

Description

정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템{METHOD FOR ACCOUNTING INFORMATION LEAKAGE, COMPUTER-READABLE MEDIUM FOR STORING A PROGRAM FOR EXECUTING THE METHOD, AND SYSTEM FOR PREFORMING THE SAME}Information leakage audit method, a computer-readable recording medium storing a program for performing the same, and a system for performing the same. }

본 발명은 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템에 관한 것으로, 보다 상세하게는 사내정보시스템의 로그 정보를 이용한 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템에 관한 것이다.The present invention relates to an information leakage auditing method, a computer-readable recording medium storing a program for performing the same, and a system for performing the same. More specifically, the information leakage auditing method using log information of an in-house information system and performing the same A computer-readable recording medium having a program stored therein and a system for performing the same.

근래들어, 전자 및 컴퓨터 기술이 비약적으로 발전하면서, 정보의 수집, 교환 및 전송 등이 활발해지고 있다. 문자, 음성, 이미지(Image), 동영상 등으로 구성된 정보를 모두 컴퓨터에서 사용하는 화일 형태로 작성, 편집할 수 있게 되어, 컴퓨터가 일반 사회에 보편적으로 보급된 이후에는 대부분의 업무 처리가 컴퓨터를 통해 이루어지고 있다. 최근에는 일정한 장소에 고정되어 있는 기존의 데스크탑 컴퓨터(Desktop Computer)에 비해 휴대성과 이동성 측면에서 장점을 가지는 랩탑 컴 퓨터(Laptop Computer), PDA(Personal Digital Assistant) 등의 이동식 컴퓨터의 이용이 활성화되고 있다.In recent years, with the rapid development of electronic and computer technologies, information collection, exchange and transmission have become active. Information consisting of texts, voices, images, videos, etc. can all be created and edited in the form of files used on computers. It is done. Recently, the use of mobile computers such as laptop computers and personal digital assistants (PDAs), which have advantages in terms of portability and mobility compared to existing desktop computers fixed in a fixed place, has been activated. .

하지만, 정보의 수집, 교환 및 전송 등이 용이해지면서 이동식 컴퓨터에 저장된 기업 내부 정보가 유출될 수 있는 위험성도 그만큼 커지고 있으며, 기업의 내부 정보 유출로 인한 피해 규모도 계속해서 증가하는 추세이다. 따라서, 많은 기업들은 자체적으로 기업의 내부 정보를 보호하고 보안을 유지하기 위한 노력을 기울이고 있다.However, as information is easily collected, exchanged, and transmitted, the risk of leaking internal information stored in a mobile computer increases, and the amount of damages caused by the leakage of internal information continues to increase. As a result, many companies are working to protect and secure their internal information.

이동식 컴퓨터에 저장된 정보의 유출을 방지하기 위한 종래의 보안 솔루션(Solution)은 이동식 컴퓨터에 설치된 에이전트(Agent)와 에이전트를 관리하기 위한 서버로 구성되어 있다. 서버는 기업 내부 네트워크를 통해 이동식 컴퓨터와 연결되어 있으며, 이동식 컴퓨터에 설치된 에이전트를 관리한다. 에이전트는 이동식 컴퓨터에 저장된 정보의 유출 경로를 모니터링하고 차단하여 기업 내부 정보의 유출을 방지하는 역할을 한다.The conventional security solution (Solution) for preventing the leakage of information stored in the mobile computer is composed of an agent (Agent) installed in the mobile computer and a server for managing the agent. The server is connected to a mobile computer through the corporate internal network and manages agents installed on the mobile computer. The agent monitors and blocks the leakage path of information stored in the mobile computer to prevent the leakage of internal information.

하지만, 이러한 보안조치에도 컴퓨터를 이용한 다양한 방식으로 기업 내부 정보는 유출될 수 있다. However, even in such security measures, internal information may be leaked in various ways using a computer.

최근 들어, 전세계에서 현재 운용되고 있는 전체 네트워크를 통한 정보 보안사고뿐만 아니라 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크를 통한 정보 보안사고가 급격하게 증가하고 있으며, 이로 인해 네트워크의 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)에 대한 피해 복구 등과 관련한 손실이 증가하고 있다.In recent years, there has been a rapid increase in information security incidents over a limited network of managed companies, including in-house or branch offices of general companies, as well as information security incidents across the entire network currently in operation worldwide. Losses related to disaster recovery (eg, web server, DB server, etc.) are increasing.

이에 본 발명의 기술적 과제는 이러한 종래의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 사내정보시스템에서 단일 목적에는 충실하지만, 전체 조직의 정보 유통을 감사하기 위한 기능이 존재하지는 않는 개별 보안솔루션의 기능을 활용하여, 개인 별 보안위험지수를 산정하여 비정상적인 정보를 사용하는 행위를 감사할 수 있는 기능과 임계값 조정을 통해 감사의 효율성을 높이기 위한 로그 정보를 이용한 정보유출감사 방법을 제공하는 것이다.Accordingly, the technical problem of the present invention is to solve such a conventional problem, and the object of the present invention is to secure a single purpose in an in-house information system, but the individual security solution does not exist to audit the distribution of information of the entire organization. It provides a function to audit the behavior of using abnormal information by calculating the individual security risk index by using the function, and to provide an information leakage audit method using log information to increase the efficiency of the audit by adjusting the threshold.

본 발명의 다른 목적은 상기한 정보유출감사 방법을 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체를 제공하는 것이다.Another object of the present invention is to provide a computer-readable recording medium having stored thereon a program for performing the information leakage auditing method.

본 발명의 또 다른 목적은 상기한 정보유출감사 방법을 수행하기 위한 정보유출감사 시스템을 제공하는 것이다.Another object of the present invention is to provide an information leakage audit system for performing the information leakage audit method described above.

상기한 본 발명의 목적을 실현하기 위하여 일실시예에 따른 정보유출감사 방법은, (a) 사용자별 시스템 사용내역이 저장된 로그파일에서 추출된 로그 정보를 근거로 상기 로그 정보별 이벤트 표준화 및 연계 분석을 수행하고, 표준화 이벤트를 추출하는 단계; (b) 추출된 표준화 이벤트가 정보유출감사에 대응하는 평가항목에 포함되면, 상기 평가항목별로 이벤트를 집계하고, 사용자의 시스템을 이용한 활동별 모니터링 항목을 분류하는 단계; (c) 보안관리자에 의한 가중치가 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 가중치를 부여하는 단계; (d) 임계값이 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 임계값을 부여하는 단계; 및 (e) 보안관리자에 의한 보안위험지수의 설정 요청으로 체크되면, 정보유출감사에 대응하여 사용자별 시스템 이용 항목별 추이분석 및 통계분석을 수행하고, 보안위험지수를 산정하는 단계를 포함하고, 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함한다.In order to realize the object of the present invention, an information leakage auditing method according to an embodiment includes: (a) standardizing and linking and analyzing an event for each log information based on log information extracted from a log file in which user-specific system usage history is stored; Performing and extracting a standardization event; (b) if the extracted standardized event is included in an evaluation item corresponding to the information leakage audit, counting the event for each evaluation item and classifying the monitoring item for each activity using the user's system; (c) assigning the weight to the monitoring item for each event as the weight is set by the security manager; (d) assigning the threshold value to the event-specific monitoring item as a threshold value is set; And (e) performing a trend analysis and statistical analysis for each system use item for each user in response to the information leakage audit, and checking the security risk index, if checked by the security manager as a request for setting the security risk index. The log file in which the usage history is stored includes web access information, job and general mail sending information, KMS information of storage and printing, EDMS information of storage and printing, drawing management information of storage and printing, USB storage information and decryption according to job search activities. It includes at least one of the information.

본 발명의 실시예에서, 정보유출감사 방법은 (f) 보안관리자에 의한 임계값 조정이 요청됨에 따라, 평가항목별로 조정된 임계값을 반영한 후, 단계(d)로 피드백하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the information leakage audit method may further include the step of (f) reflecting the threshold adjusted for each evaluation item after the threshold adjustment by the security manager is requested, and then feeding back to step (d). Can be.

본 발명의 실시예에서, 상기 보안위험지수는 바이어스 감염정보, 사무실보안위반정보, 컴퓨터보안 소프트웨어 미설치 정보, 취업사이트 방문 이력정보, 이력서전송 정보, 사업부 요청정보, 협력업체정보, 보안프로그램 우회자 정보, 정보유출자정보, 부서보안정보, 퇴직예정자 정보 및 인사징계자 정보중 적어도 하나 이상을 근거로 산정될 수 있다.In an embodiment of the present invention, the security risk index is bias information, office security violation information, computer security software installation information, employment site visit history information, resume transmission information, business unit request information, partner information, security program bypasser information The information may be calculated based on at least one of information leaker information, department security information, prospective retiree information, and personnel disciplinary information.

삭제delete

삭제delete

상기한 본 발명의 다른 목적을 실현하기 위하여 일실시예에 따른 정보유출감사 방법을 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체는, (a) 사용자별 시스템 사용내역이 저장된 로그파일에서 추출된 로그 정보를 근거로 상기 로그 정보별 이벤트 표준화 및 연계 분석을 수행하고, 표준화 이벤트를 추출하는 과정; (b) 추출된 표준화 이벤트가 정보유출감사에 대응하는 평가항목에 포함되면, 상기 평가항목별로 이벤트를 집계하고, 사용자의 시스템을 이용한 활동별 모니터링 항목을 분류하는 과정; (c) 가중치가 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 가중치를 부여하는 과정; (d) 임계값이 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 임계값을 부여하는 과정; 및 (e) 보안관리자에 의한 보안위험지수의 설정 요청으로 체크되면, 정보유출감사에 대응하여 사용자별 시스템 이용 항목별 추이분석 및 통계분석을 수행하고, 보안위험지수를 산정하는 과정을 포함하고, 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함한다.In order to realize the above object of the present invention, a computer-readable recording medium storing a program for performing the information leakage auditing method according to an embodiment of the present invention may be (a) extracted from a log file in which user-specific system usage history is stored. Performing event standardization and linkage analysis for each log information based on log information and extracting a standardized event; (b) if the extracted standardized event is included in an evaluation item corresponding to the information leakage audit, classifying the event for each evaluation item and classifying the monitoring item for each activity using the user's system; (c) assigning the weight to the monitoring item for each event as the weight is set; (d) assigning the threshold value to the monitoring item for each event as the threshold value is set; And (e) performing a trend analysis and statistical analysis for each system use item for each user in response to the information leakage audit, and checking the security risk index if checked by the security manager for the request for setting the security risk index. The log file in which the usage history is stored includes web access information, job and general mail sending information, KMS information of storage and printing, EDMS information of storage and printing, drawing management information of storage and printing, USB storage information and decryption according to job search activities. It includes at least one of the information.

상기한 본 발명의 또 다른 목적을 실현하기 위하여 일실시예에 따른 정보유출감사 시스템은 사용자별 시스템 사용내역이 저장된 로그파일에서 로그 정보를 수집하는 로그 정보 수집모듈과, 코드테이블 DB에 저장된 로그별 아이디를 추출하여 해당 로그들을 표준화하는 아이디 표준화모듈과, 상기 아이디 표준화모듈에 의해 표준화된 로그 정보를 이벤트별로 추출하는 이벤트 추출모듈과, 상기 이벤트 추출모듈에 의해 추출된 이벤트별 로그 정보에 가중치를 설정하는 가중치 설정모듈과, 이벤트별 초기임계값을 받아 임계값을 설정하는 임계값 설정모듈과, 가중치가 설정된 이벤트에 대응하는 로그 정보들이 임계치를 초과했는지의 여부를 분석하는 임계값 분석모듈과, 이벤트별 또는 로그별 모니터링 항목과 이에 대응하는 평가 항목을 서로 연계시키는 연계 분석모듈과, 상기 연계 분석모듈에 의해 분석된 정보를 근거로 사용자별 또는 이벤트별 보안위험지수를 산정하는 보안위험지수 산정모듈을 포함한다. 여기서, 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함한다. In order to realize the above object of the present invention, an information leakage audit system according to an embodiment includes a log information collection module for collecting log information from a log file in which system usage history for each user is stored, and for each log stored in a code table DB. An ID standardization module for extracting IDs to standardize corresponding logs, an event extraction module for extracting log information standardized by the ID standardization module for each event, and setting weights for event information log information extracted by the event extraction module A weight setting module configured to receive an initial threshold value for each event, a threshold setting module configured to set a threshold value, a threshold value analysis module for analyzing whether log information corresponding to the weighted event exceeds a threshold value, and an event; Link monitoring items by star or log with corresponding evaluation items The linkage analysis module includes a security risk index calculation module for calculating a security risk index for each user or event based on the information analyzed by the linkage analysis module. Here, the log file in which the usage history is stored may include web access information, job and general mail sending information, KMS information for storing and printing, EDMS information for storing and printing, drawing management information for storing and printing, and USB storage information according to job search activities. And at least one of decryption information.

본 발명의 실시예에서, 정보유출감사 시스템은 사용자별 또는 이벤트별, 날짜나 시간별 보안위험지수에 상응하는 정보를 분석하여 보안관리자에 의해 인식이 가능하도록 그래프나 테이블 형태로 표시하는 추이 분석모듈을 더 포함할 수 있다. In an embodiment of the present invention, the information leakage audit system analyzes the information corresponding to the security risk index by user or by event, date or time, and displays a trend analysis module for displaying in a graph or table form to be recognized by the security manager. It may further include.

본 발명의 실시예에서, 정보유출감사 시스템은 상기 추이분석모듈에서 분석된 보안위험지수에 상응하는 정보를 근거로 임계값이 적정하게 설정되도록 정합시켜 상기 임계값 설정모듈에 제공하는 임계값 정합성 분석모듈을 더 포함할 수 있다. In an embodiment of the present invention, the information leakage audit system matches the threshold value based on the information corresponding to the security risk index analyzed by the trend analysis module so that the threshold value is provided to the threshold setting module. The module may further include.

이러한 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템에 의하면, 개별 보안제품의 모니터링 결과를 활용하여 보안이벤트를 표준화하고, 표준화된 데이터를 사용하여 정의된 모니터링 항목 및 평가 항목에 대한 연계분석 및 기본 통계분석을 통해 가공된 기초 데이터에 대해 임계값 및 각 항목별 보안위험 가중치를 적용한 보안위험지수를 산정하고, 산정에 사용되는 임계값을 추이 분석 및 변량의 변화에 대한 추적을 통해 조정할 수 있다.According to the information leakage audit method, a computer-readable recording medium storing a program for performing the same, and a system for performing the same, the security event is standardized using the monitoring results of individual security products and defined using standardized data. Through the linkage analysis and basic statistical analysis of the collected monitoring items and evaluation items, the security risk index is applied to the processed basic data by applying the threshold value and the security risk weight of each item, and the trend value used for the calculation is analyzed and This can be adjusted by tracking changes in variables.

이하, 첨부한 도면들을 참조하여, 본 발명을 보다 상세하게 설명하고자 한다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will now be described in more detail with reference to the accompanying drawings. As the inventive concept allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the text. However, this is not intended to limit the present invention to the specific disclosed form, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. Like reference numerals are used for like elements in describing each drawing. The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. Singular expressions include plural expressions unless the context clearly indicates otherwise.

본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, action, or combination thereof described on the specification, but one or more other features or numbers, step, It is to be understood that it does not exclude in advance the possibility of the presence or the addition of an operation, a component, a part, or a combination thereof.

도 1은 본 발명의 일실시예에 따른 로그 정보를 이용한 정보유출감사 시스템의 동작을 설명하는 구성도이다.1 is a block diagram illustrating an operation of an information leakage audit system using log information according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 로그 정보를 이용한 정보유출감사 시스템(100)은 사내정보시스템에서 획득된 로그 정보를 저장하는 사용자별 로그DB(200)로부터 추출된 로그 정보를 근거로 보안위험지수를 산정하고, 산정에 필요한 임계값의 조정을 통해 보안관리자의 개입없이 정보사용패턴에 대한 조정 기능을 통해 보안감사를 수행하고, 수행된 보안감사 정보는 활동별 집계 DB(300)에 저장하도록 프로그래밍된다. Referring to Figure 1, the information leakage audit system using the log information according to an embodiment of the present invention 100 log information extracted from the user-specific log DB (200) for storing the log information obtained in the company information system Based on the security risk index, the security audit is performed by adjusting the information usage pattern without intervention by the security manager by adjusting the threshold required for the calculation. Is programmed to store.

상기 사내정보시스템은 기업보안관리시스템(Enterprise Security Management: ESM)이나, 시스템자원관리시스템(System Management System: SMS), 네트워크관리시스템(Network Management System) 등을 포함할 수 있다. 상기한 사내정보시스템에는 인증된 사용자 PC(600)가 억세스 가능하도록 설계될 수 있다. The internal information system may include an enterprise security management system (ESM), a system resource management system (SMS), a network management system (network management system), and the like. The in-house information system may be designed such that an authenticated user PC 600 is accessible.

상기 사용자별 로그DB(200)는 로그파일 수집부(400)에 의해 이루어질 수 있다. 즉, 상기 로그파일 수집부(400)는 사내정보시스템에 포함될 수 있는 게이트웨이(500) 등에 연결되어, 사용자 PC(600)가 사내정보시스템에 억세스함에 따라, 또는 인터넷 등을 통해 다른 사이트에 방문하거나, 메일을 송수신하는 등의 일련의 동작에 따른 로그 정보를 수집하고, 수집된 로그 정보를 사용자별 로그DB(200)에 저장한다.The user-specific log DB 200 may be made by a log file collector 400. That is, the log file collection unit 400 is connected to the gateway 500, which may be included in the in-house information system, and as the user PC 600 accesses the in-house information system, or visits another site through the Internet or the like. Collecting log information according to a series of operations, such as sending and receiving mail, and stores the collected log information in the user-specific log DB (200).

본 발명에서 정보유출감사시 이용되는 로그파일(logfile)에는 사내정보시스템이나 게이트웨이를 통해 이루어지는 모든 작업들에 대한 기록이 저장된다. 사용자 PC(600)가 상기 사내정보시스템에 접속하면, 접속후의 모든 작업들은 상기 사내정보시스템의 미리 정해놓은 위치에 로그파일 형태로 남는다. 즉, 상기 로그파일에는 상기 사내정보시스템이 수행한 작업들에 대한 정보가 포함된다. 이들은 단순히 특정 작업 요청과 성공 여부에 대한 것뿐만 아니라, 해당 특정 작업을 실패했을 경우 그 해결책에 대한 정보도 포함된다.In the present invention, a log file used for auditing information leakage stores a record of all operations performed through the in-house information system or the gateway. When the user PC 600 accesses the in-house information system, all operations after the connection remain in the form of a log file at a predetermined location of the in-house information system. That is, the log file includes information on the work performed by the in-house information system. These include not only a specific task request and success, but also information about the solution if that specific task fails.

즉, 상기 로그파일에는 복수의 로그라인들이 저장되고, 상기 로그라인에는 방문자의 접속 인터넷 프로토콜(Internet Protocol, IP), 방문 날짜 및 시간, 방문 페이지 정보, 방문 상태 등의 정보들이 저장된다. 통계와 함께 로그라인 정보를 확인할 필요가 있을 때, 발견된 원본 로그라인은 다른 파일에 저장된다. 이에 따라, 발견횟수와 상기 발견횟수의 근거가 되는 로그라인이 함께 확인될 수 있다. 이러한 정보는 웹사이트를 방문하는 방문자들의 트렌드뿐만 아니라, 발견된 명확한 근거가 필요한 보안분야에서 반드시 필요한 처리이다.That is, a plurality of log lines are stored in the log file, and information such as a visitor's access Internet Protocol (IP), a visit date and time, a visit page information, and a visit status are stored in the log line. When it is necessary to check the log line information along with the statistics, the original log line found is stored in another file. Accordingly, the discovery frequency and the log line on which the discovery frequency is based can be checked together. This information is a necessary process in the field of security that requires clear evidence as well as the trends of visitors to the website.

이상에서 설명된 바와 같이, 본 발명에 따른 로그 정보를 이용한 정보유출감사 시스템(100)은 보안위험지수 산출 및 학습을 통한 보안감사 동작을 수행하게 된다. 이러한 보안감사 동작에 의하면, 단일 보안시스템으로는 확인 불가능한 보안정책 위반 시도, 정보 자산의 유출 시도, 보안시스템 우회 시도 등을 보안위험지수를 통해 감사하여 보안사고 예방을 위한 활동을 진행할 수 있다.As described above, the information leakage audit system 100 using log information according to the present invention performs a security audit operation by calculating and learning a security risk index. According to such a security audit operation, the security risk index can be audited through the security risk index for attempts to violate security policies that cannot be identified with a single security system, attempts to leak information assets, and bypass security systems.

또한, 모니터링 활동의 결과물을 이용하여 정책 위반 경고 등의 보안의식 고취 활동을 통해 보안사고를 사전에 방지할 수 있도록 한다. 또한 이미 발생한 보안사고에 대한 추적 및 보안사고 원인을 감사하여 향후 동일 유형의 보안사고가 발생하는 것을 방지할 수 있다.In addition, the result of monitoring activities can be used to prevent security accidents through security awareness raising activities such as policy violation warnings. In addition, it is possible to prevent the occurrence of the same type of security incident in the future by tracking the security incident and auditing the cause of the security incident.

도 2a는 도 1에 도시된 사용자별 로그DB(200)를 설명하는 블록도이다. 도 2b는 도 1에 도시된 정보유출감사 시스템(100)을 설명하는 블록도이다. FIG. 2A is a block diagram illustrating the user-specific log DB 200 shown in FIG. 1. FIG. 2B is a block diagram illustrating the information leakage audit system 100 shown in FIG. 1.

도 2a 및 도 2b를 참조하면, 사용자별 로그 DB(200)는 인사DB(210), 메일사용 DB(220), 웹사용 DB(230), PC 사용 DB(240), VPN 사용 DB(250), 안티바이러스 DB(260), 메신저 DB(270), 정보관리 DB(280) 및 출력 DB(290)를 포함할 수 있다. 도 2a에서는 설명의 편의를 위해 사용자별 로그 DB(200)를 논리적으로 구분하였을 뿐, 하드웨어적으로 구분한 것은 아니다. 2A and 2B, the user-specific log DB 200 may include a personnel DB 210, a mail use DB 220, a web use DB 230, a PC use DB 240, and a VPN use DB 250. It may include an anti-virus DB 260, messenger DB 270, information management DB 280 and the output DB (290). In FIG. 2A, for convenience of explanation, the log DB 200 for each user is logically divided, but not divided in hardware.

상기 인사DB(210)는 사용자별 인사기록 정보를 저장한다. 상기 인사기록 정보는 핵심 인원 여부, 퇴사예정일, 퇴사일, 퇴사사유 등을 포함한다. 예를들어, 핵심 인원으로 기재된 경우나, 퇴사예정일이 기재된 인사기록 등의 경우, 해당 사용자의 각종 네트워크 사용에 있어서 중점 관리 대상이 되어질 수 있다. 상기 인사DB(210)에는 사용자의 동의서가 함께 저장될 수 있다. 즉, 사내시스템을 이용하는데 있어서 관리의 대상이 된다고 하더라도 개인의 사생활에 따른 문제점 등을 제기하지 않는다는 동의서 등이 포함될 수 있다. The personnel DB 210 stores the personnel record information for each user. The personnel record information includes whether or not the core personnel, the expected date of leaving the company, the date of leaving the company, the reason for leaving the company. For example, in the case of being listed as a key personnel or personnel records indicating the expected date of leaving the company, the management of the user's various networks may be the target. The personnel DB 210 may be stored with the user's consent. That is, even if the use of the in-house system, even if the subject of management may include a consent form, etc. that do not pose a problem according to the privacy of the individual.

상기 메일사용 DB(220)는 사용자별 메일사용에 따른 각종 정보를 저장할 수 있다. 예를들어, 사내정보시스템이나, 게이트웨이 등을 경유하여 발송되는 메일이나, 메일에 첨부된 파일 등이 메일사용 DB(220)에 저장될 수 있다. The mail use DB 220 may store various information according to mail use for each user. For example, a mail sent through an in-house information system, a gateway, or the like, a file attached to the mail, or the like may be stored in the mail use DB 220.

상기 웹사용 DB(230)는 사용자별 인터넷 서핑에 따른 각종 정보를 저장할 수 있다. 즉, 인터넷 사용에 따른 방문 사이트 정보, 특정 사이트를 방문하여 체재한 정보 등을 포함할 수 있다. The web use DB 230 may store various types of information for surfing the Internet for each user. That is, the information may include visited site information according to the use of the Internet, information visited by visiting a specific site, and the like.

상기 PC 사용 DB(240)는 사용자별 개인 PC 사용에 따른 각종 정보를 저장할 수 있고, VPN 사용 DB(250)는 사용자별 VPN 사용에 따른 각종 정보를 저장할 수 있으며, 상기 안티바이러스 DB(260)는 사용자별 안티바이러스 사용이나 해제에 따른 각종 정보를 저장할 수 있다. The PC use DB 240 may store a variety of information according to the user's personal PC use, VPN use DB 250 may store a variety of information according to the user's VPN use, the anti-virus DB 260 is It can save various information according to user's antivirus use or release.

상기 메신저 DB(270)는 사용자별 메신저 사용에 따른 각종 정보를 저장할 수 있고, 상기 정보관리 DB(280)는 사용자별 위험요소 접근이나 비인가된 사무실의 출입 등에 따른 각종 정보를 저장할 수 있다. The messenger DB 270 may store various kinds of information according to the use of messenger for each user, and the information management DB 280 may store various kinds of information according to risk factor access for each user or access of an unauthorized office.

상기 출력 DB(290)는 사용자별 프린트 사용 등에 따른 각종 정보, USB 메모리 등과 같은 이동가능하고 컴퓨터가 판독가능한 기록매체에 파일을 저장하는 등의 각종 정보를 저장할 수 있다. The output DB 290 may store various types of information, such as printing a user, and storing various kinds of information such as storing files in a removable, computer-readable recording medium such as a USB memory.

상기 정보유출감사 시스템(100)은 도 2b에 도시된 바와 같이, 로그 정보 수집모듈(110), 아이디 표준화모듈(115), 코드테이블 DB(120), 이벤트 추출모듈(125), 가중치 설정모듈(130), 임계값 설정모듈(135), 임계값 분석모듈(140), 연계 분석모듈(145) 및 보안위험지수 산정모듈(150)을 포함하고, 사내 시스템에서 발생될 수 있는 정보누설을 방지하기 위해 사용자별 시스템 사용내역이 저장된 로그파일을 근거로 보안위험지수를 반영한다. 도 2b에서는 설명의 편의를 위해 정보유출감사 시스템(100)을 논리적으로 구분하였을 뿐, 하드웨어적으로 구분한 것은 아니다. The information leakage audit system 100, as shown in Figure 2b, log information collection module 110, ID standardization module 115, code table DB 120, event extraction module 125, weight setting module ( 130), including the threshold setting module 135, threshold analysis module 140, linked analysis module 145 and security risk index calculation module 150, to prevent information leakage that may occur in the company system For this purpose, the security risk index is reflected based on the log file where the system usage history by user is stored. In FIG. 2B, the information leakage audit system 100 is logically divided for convenience of description, and is not hardwarely divided.

상기 로그 정보 수집모듈(110)은 시스템로그 정보를 수집하여 상기 아이디 표준화모듈(115)에 제공한다. 상기 시스템로그 정보는 상기 사용자별 로그 DB(200)에 저장된 각종 사용자별 또는 이벤트별 로그 정보를 포함할 수 있다. 예를들어, 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS(Knowledge Management System) 정보, 저장 및 인쇄의 EDMS(Electric Document Management) 정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보 등을 포함할 수 있다. The log information collection module 110 collects system log information and provides it to the ID standardization module 115. The system log information may include various user or event log information stored in the user log DB 200. For example, the log file in which the usage history is stored may include web access information, job and general mail sending information, KMS (Knowledge Management System) information for storing and printing, EDMS (Electric Document Management) information for storing and printing, and the like. , Drawing management information of storage and printing, USB storage information, decryption information, and the like.

상기 아이디 표준화모듈(115)은 상기 코드테이블 DB(120)에 저장된 로그별 아이디를 추출하여 해당 로그들을 표준화한다. The ID standardization module 115 extracts IDs for each log stored in the code table DB 120 to normalize corresponding logs.

상기 이벤트 추출모듈(125)은 아이디 표준화모듈(115)에 의해 표준화된 로그 정보를 이벤트별로 추출한다. The event extraction module 125 extracts log information standardized by the ID standardization module 115 for each event.

상기 가중치 설정모듈(130)은 이벤트 추출모듈(125)에 의해 추출된 이벤트별 로그 정보에 가중치를 설정한다. 여기서, 설정되는 가중치는 보안관리자의 PC(50)에 의해 실시간으로 가변될 수도 있고, 보안관리자의 PC(50)에 의해 미리 설정된 값일 수도 있다. The weight setting module 130 sets weights for the log information for each event extracted by the event extraction module 125. Here, the set weight may be changed in real time by the PC 50 of the security manager, or may be a value preset by the PC 50 of the security manager.

상기 임계값 설정모듈(135)은 이벤트별 초기임계값을 받아 상기 임계값 분석모듈(140)에 제공한다. The threshold value setting module 135 receives an initial threshold value for each event and provides the threshold value analysis module 140.

상기 임계값 분석모듈(140)은 가중치가 설정된 이벤트에 대응하는 로그 정보들이 일정 임계치를 초과했는지 등을 분석한다. The threshold analysis module 140 analyzes whether log information corresponding to a weighted event exceeds a predetermined threshold.

상기 연계 분석모듈(145)은 이벤트별 또는 로그별 모니터링 항목과 이에 대응하는 평가 항목 등을 서로 연계시키는 동작을 수행한다. The linkage analysis module 145 associates the monitoring items for each event or log and the evaluation items corresponding thereto.

상기 보안위험지수 산정모듈(150)은 상기 연계 분석모듈(145)에 의해 이루어진 정보를 근거로 사용자별 또는 이벤트별 보안위험지수를 산정한다. 여기서, 상기 보안위험지수는 바이어스 감염정보, 사무실보안위반정보, 컴퓨터보안 소프트웨어 미설치 정보, 취업사이트 방문 이력정보, 이력서전송 정보, 사업부 요청정보, 협력업체정보, 보안프로그램우회자 정보, 정보유출자정보, 부서보안정보, 퇴직예정자 정보 및 인사징계자 정보를 근거로 산정될 수 있다. The security risk index calculation module 150 calculates a security risk index for each user or event based on the information made by the linkage analysis module 145. Here, the security risk index is bias infection information, office security violation information, computer security software not installed information, employment site visit history information, resume transmission information, business unit request information, supplier information, security program bypass information, information leaker information, It can be calculated based on department security information, prospective retiree information and personnel disciplinary information.

상기 정보유출감사 시스템(100)은 추이 분석모듈(155) 및 임계값 정합성 분석모듈(160)을 더 포함할 수 있다. The information leakage audit system 100 may further include a trend analysis module 155 and a threshold consistency analysis module 160.

상기 추이 분석모듈(155)은 사용자별 또는 이벤트별, 날짜나 시간별 보안위험지수에 상응하는 정보를 분석하여 보안관리자에 의해 인식이 가능하도록 그래프나 테이블 형태로 표시한다. 표시된 보안위험지수에 상응하는 정보는 분석된 시간별로 별도로 저장될 수도 있다. The trend analysis module 155 analyzes the information corresponding to the security risk index by user or event, date or time, and displays it in the form of a graph or a table to be recognized by the security manager. Information corresponding to the displayed security risk index may be stored separately for each analyzed time.

상기 임계값 정합성 분석모듈(160)은 상기 추이분석모듈(155)에서 분석된 보안위험지수에 상응하는 정보를 근거로 임계값이 적정하게 설정되도록 정합시켜 임계값 설정모듈에 제공한다. 예를들어, 특정 이벤트에 대응하여 사용자의 보안위험지수가 너무 낮거나 높은 경우, 평균치를 근거로 임계값을 높이거나 낮추는 동작을 수행할 수 있다. 또한, 특정 시간동안에는 해당 임계값을 설정하지 않거나 강하하는 등의 동작을 수행할 수도 있다. 이러한 임계값 정합 과정을 통해 보안위험지수가 과도하게 높게 산정되거나 과도하게 낮게 산정되어 불필요하게 정보보안이 강화되는 등의 문제를 방지할 수 있다. The threshold consistency analysis module 160 matches the threshold value appropriately based on the information corresponding to the security risk index analyzed by the trend analysis module 155 and provides the threshold value to the threshold setting module. For example, when a user's security risk index is too low or high in response to a specific event, an operation of raising or lowering the threshold may be performed based on the average value. In addition, during a specific time period, an operation such as not setting or lowering a corresponding threshold value may be performed. Through this threshold matching process, it is possible to prevent problems such as unnecessarily strengthening information security by estimating the security risk index excessively high or excessively low.

통상적으로, 개별 보안솔루션은 단일 목적에 충실하여 전체 조직의 정보 유통을 감사하기 위한 기능이 존재하지 않는다. 하지만, 본 발명에 따르면, 사용자별 로그 정보를 활용하면서, 각 개별 보안제품의 기능을 활용하여, 개인별 보안위험지수를 산정하여 비정상적인 정보를 사용하는 행위를 감사할 수 있는 기능과 임계값 조정을 통해 감사의 효율성을 높일 수 있다. Typically, individual security solutions do not have the capability to audit the entire organization's distribution of information to serve a single purpose. However, according to the present invention, while utilizing the log information for each user, by utilizing the function of each individual security product, by calculating the individual security risk index through the function and auditing the use of abnormal information by adjusting the threshold value Audit efficiency can be increased.

도 3은 본 발명에 따라 수행되는 보안위험지수 산정 과정을 설명하는 개념도 이다. 3 is a conceptual diagram illustrating a security risk index calculation process performed according to the present invention.

도 3을 참조하면, 이벤트가 추출되어 연계분석이 이루어진 후, 연계분석된 정보를 근거로 모니터링항목 및 평가항목에 대한 분류 동작이 이루어진다. Referring to FIG. 3, after the event is extracted and the linkage analysis is performed, a classification operation for the monitoring item and the evaluation item is performed based on the linkage analysis information.

상기 모니터링 항목에는 정보수집활동에 따른 동작, 정보 전송 동작에 따른 동작, 반출 위반 활동에 따른 동작, 우회 활동에 따른 동작을 포함할 수 있다. The monitoring item may include an operation according to an information collection activity, an operation according to an information transmission operation, an operation according to an export violation activity, and an operation according to a bypass activity.

한편, 상기 정보수집 활동에 따른 동작은 도 4에 도시된 바와 같이, 다운로드, 저장매체 이용, 네트워크 등을 포함할 수 있다. Meanwhile, the operation according to the information collecting activity may include downloading, using a storage medium, and a network as shown in FIG. 4.

도 4는 도 3의 모니터링 항목에서 정의되는 정보수집 활동을 설명하는 테이블이다.FIG. 4 is a table for explaining information gathering activity defined in the monitoring item of FIG. 3.

도 4를 참조하면, 정보수집 활동에 따른 다운로드 항목의 세부항목은 주요 어플리케이션 프로그램에서 보호대상 파일의 정의 항목, 다운로드 통로 관리 항목이 포함될 수 있다. 또한 정보수집 활동에 따른 저장매체 세부항목은 파일 복사/저장 항목, 파일 레코딩 항목 등이 포함될 수 있다. 또한, 정보수집 활동에 따른 저장매체 세부 항목은 파일 복사/저장 항목 등이 포함될 수 있다. Referring to FIG. 4, the detailed item of the download item according to the information collection activity may include a definition item of a file to be protected and a download path management item in a main application program. In addition, the storage medium details according to the information collection activities may include file copying / storing items, file recording items, and the like. In addition, the storage medium detailed items according to the information collection activity may include a file copy / storage item.

한편, 상기 정보전송 활동에 따른 동작은 도 5에 도시된 바와 같이, 메일전송, 네트워크를 통한 전송 등을 포함할 수 있다. Meanwhile, the operation according to the information transmission activity may include mail transmission, transmission through a network, and the like as shown in FIG. 5.

도 5는 도 3의 모니터링 항목에서 정의되는 정보전송 활동을 설명하는 테이블이다.FIG. 5 is a table for describing information transmission activity defined in the monitoring item of FIG. 3.

도 5를 참조하면, 메일전송 항목은 사내 메일을 통한 정보 전송하는 세부항목, 사외에서 웹 메일을 이용하여 정보를 전송하는 세부항목, 회사의 인터넷 서비 스 홈페이지(동호회 등)를 통한 메일 전송하는 세부 항목 등이 포함될 수 있다. 또한, 네트워크 전송 항목은 게시판을 통한 파일 첨부하는 세부 항목, 웹하드를 이용한 정보 전송하는 세부항목, 파일 전송 모니터링 세부 항목 등을 포함할 수 있다. Referring to FIG. 5, the mail transmission item is a detailed item for transmitting information through an in-house mail, a detailed item for transmitting information using a web mail outside the company, and a detail for transmitting a mail through the company's Internet service homepage (group, etc.). Items may be included. Also, the network transmission item may include a detailed item attached to a file through a bulletin board, a detailed item transmitted using information from a web hard drive, a detailed file transfer monitoring item, and the like.

한편, 상기 반출 위반 활동에 따른 동작은 도 6에 도시된 바와 같이, 저장매체, 출력물, 출입통제, 보안위반, ID 도용 등을 포함할 수 있다. Meanwhile, the operation according to the export violation activity may include a storage medium, an output, an access control, a security violation, and ID theft as illustrated in FIG. 6.

도 6은 도 3의 모니터링 항목에서 정의되는 반출 위반 활동을 설명하는 테이블이다.FIG. 6 is a table describing the export violation activity defined in the monitoring item of FIG. 3.

도 6을 참조하면, 매체 반출 항목은 USB 반출에 대응하는 세부항목, HDD 반출에 대응하는 세부항목, CD/DVD 미디어 반출에 대응하는 세부항목, PC/노트북 반출에 대응하는 세부항목 등을 포함할 수 있다. 또한, 출입 항목은 비인가 사무실 출입시도 세부 항목, 근무시간외 사무실 출입 세부 항목 등을 포함할 수 있다. Referring to FIG. 6, the media export item may include a detail item corresponding to a USB export, a detail item corresponding to a HDD export, a detail item corresponding to a CD / DVD media export, a detail item corresponding to a PC / laptop export, and the like. Can be. In addition, the entry and exit items may include details of unauthorized entry and exit, and details of entry and exit of office hours outside working hours.

한편, 상기 우회 활동에 따른 동작은 도 7에 도시된 바와 같이, PC 보안, 저장, 전송, 보안통제, 파일변경 등을 포함할 수 있다. Meanwhile, the operation according to the bypass activity may include PC security, storage, transmission, security control, file change, and the like as shown in FIG. 7.

도 7은 도 3의 모니터링 항목에서 정의되는 우회 활동을 설명하는 테이블이다.FIG. 7 is a table for describing bypass activities defined in the monitoring item of FIG. 3.

도 7을 참조하면, PC 우회 항목은 멀티 OS 설치에 대응하는 세부항목, PC 보안프로세스 삭제 시도에 대응하는 세부항목, DOS 사용에 대응하는 세부항목 등을 포함할 수 있다. 또한, 저장우회 항목은 불법 소프트웨어 관리에 대응하는 세부항목, 불법 소프트웨어 설치에 대응하는 세부항목, 중요파일 이름 변경에 대응하는 세부항목 등을 포함할 수 있다. Referring to FIG. 7, the PC bypass item may include a detailed item corresponding to a multi OS installation, a detailed item corresponding to a PC security process deletion attempt, a detailed item corresponding to a DOS use, and the like. In addition, the storage bypass items may include details corresponding to illegal software management, details corresponding to illegal software installation, details corresponding to important file name change, and the like.

도 3의 설명으로 환원하면, 분류된 정보들에 대해 항목별 가중치가 반영되고, 가중치가 반영된 항목별 점수 표준화가 이루어진 후, 보안위험지수가 산정된다. Returning to the description of FIG. 3, the weights of the items are reflected on the classified information, and after the standardization of the scores of the items in which the weights are reflected, the security risk index is calculated.

도 8a 및 도 8b는 본 발명의 일실시예에 따른 로그 정보를 이용한 정보유출감사 방법을 설명하는 흐름도들이다.8A and 8B are flowcharts illustrating an information leakage audit method using log information according to an embodiment of the present invention.

도 8a 및 도 8b를 참조하면, 사용자별 로그DB에 저장된 로그 정보에서 이벤트를 추출하고, 추출된 이벤트들에 대해 표준화 동작을 수행한다(단계 S100). 8A and 8B, an event is extracted from log information stored in a log DB for each user, and a standardized operation is performed on the extracted events (step S100).

이어, 추출된 이벤트들에 대해 표준화 동작을 수행하고, 연계 분석 동작을 수행한다(단계 S102).Subsequently, a standardization operation is performed on the extracted events, and a linkage analysis operation is performed (step S102).

이어, 표준화 이벤트를 추출한다(단계 S104).Then, a standardization event is extracted (step S104).

이어, 추출된 표준화 이벤트가 평가항목에 포함되는지의 여부를 체크하여(단계 S106), 추출된 표준화이벤트가 평가항목에 포함되지 않은 것으로 체크되면 상세 데이터를 저장한다(단계 S108).Then, it is checked whether the extracted standardized event is included in the evaluation item (step S106), and if it is checked that the extracted standardized event is not included in the evaluation item, detailed data is stored (step S108).

단계 S106에서, 추출된 표준화 이벤트가 평가항목에 포함되는 것으로 체크되면 평가항목별로 이벤트를 집계한다(단계 S110). In step S106, if the extracted standardized event is checked to be included in the evaluation item, the event is counted for each evaluation item (step S110).

이어, 활동별 모니터링 항목을 분류하고(단계 S112), 가중치의 설정 여부를 체크한다(단계 S114).Subsequently, the monitoring item for each activity is classified (step S112), and it is checked whether a weight is set (step S114).

단계 S114에서, 가중치 미설정으로 체크되면 활동별 집계 데이터를 저장한다(단계 S116).In step S114, if the weight is not set, the activity-specific aggregate data is stored (step S116).

단계 S114에서, 가중치 설정으로 체크되면 이벤트별 모니터링 항목에 가중치 를 부여한다(단계 S118). In step S114, if the weight setting is checked, weights are assigned to the monitoring items for each event (step S118).

이어, 임계값의 설정 여부를 체크한다(단계 S120).Then, it is checked whether or not the threshold is set (step S120).

단계 S120에서, 임계값의 설정으로 체크되지 않으면 활동별 집계 데이터를 저장한다(단계 S122).In step S120, if it is not checked that the threshold is set, activity data is stored (step S122).

단계 S120에서, 임계값의 설정으로 체크되면 이벤트별 모니터링 항목에 임계값을 부여한다(단계 S124).If it is checked in step S120 that the threshold value is set, a threshold value is assigned to the monitoring item for each event (step S124).

이어, 보안관리자에 의한 보안위험지수의 선정 요청 여부를 체크한다(단계 S126).Then, it is checked whether the security risk index selection request by the security manager (step S126).

단계 S126에서, 보안위험지수의 설정 미요청으로 체크되면 활동별 집계 데이터를 저장한다(단계 S128).In step S126, if it is checked that the security risk index is not set, the aggregated data for each activity is stored (step S128).

단계 S126에서, 보안위험지수의 설정 요청으로 체크되면 사용자별 추이분석 및 통계분석을 수행하고, 보안위험지수를 산정한다(단계 S130). 상기한 보안위험지수는 예를들어 최종 표준 점수들의 연산을 통해 이루어질 수 있다. 상기한 최종 표준 점수의 산정은 하기하는 도 9에 도시된 바와 같은 테이블 형태로 설명되어질 수 있다. In step S126, when checked as a request for setting the security risk index, trend analysis and statistical analysis for each user are performed, and the security risk index is calculated (step S130). The security risk index can be made through calculation of the final standard scores, for example. The calculation of the final standard score described above can be explained in the form of a table as shown in FIG. 9 below.

도 9는 본 발명에 따라 활동별 임계값 및 가중치를 적용한 최종 표준 점수 산정을 설명하는 테이블이다.9 is a table for explaining the final standard score calculation applying the threshold and weight for each activity according to the present invention.

도 9를 참조하면, 분류된 항목별로 가중치가 설정되고, 임계범위가 설정되며, 항목에 따른 횟수를 카운트하여 이를 점수화한다. 예를들어, 사용자가 구직사이트에 방문하는 동작은 퇴직의 의사를 갖기 때문에 정보보안의 강도를 높이는 것 이 바람직하고, 경쟁사의 사이트를 방문하는 동작 역시 퇴직후 경쟁사에 취업할 의사가 높기 때문에 정보보안의 강도를 더욱 높이는 것이 바람직하다. Referring to FIG. 9, a weight is set for each classified item, a threshold range is set, and the number of times according to the item is counted and scored. For example, it is desirable to increase the strength of information security because the user visits the job site because he or she intends to retire. It is desirable to further increase the strength of.

따라서, 구직사이트 방문의 경우, 2라는 가중치를 부여하였고, 경쟁사 사이트를 방문하는 경우, 3이라는 가중치를 부여하였다. 가중치가 부여된 항목에 대해 일정 임계범위를 설정하고, 해당 임계범위내에 동작이 이루어지면 3이라는 최종 표준 점수를 산정하였고, 해당 임계범위를 벗어나는 동작이 이루어지면 5라는 최종 표준 점수를 산정하였다. Therefore, in the case of visiting the job site, a weight of 2 is given, and in the case of visiting a competitor site, a weight of 3 is given. A certain threshold range was set for the weighted item, and a final standard score of 3 was calculated when an operation was made within the threshold range, and a final standard score of 5 was calculated when an operation outside the threshold range was made.

이러한 각 항목별 표준 점수는 향후 사용자별로 누적되어 있다가, 정보보안위험지수를 산정할 때 이용될 수 있다. These standard scores for each item are accumulated by users in the future and can be used to calculate the information security risk index.

도 8의 설명으로 환원하여, 단계 S130에서 산정된 보안위험지수의 산정 결과를 보안관리자측에 출력한다(단계 S132). 여기서, 보안관리자측에 출력되는 화면은 하기하는 도 10에 도시된 바와 같은 이미지 형태로 표시될 수 있다. Returning to the description of FIG. 8, the calculation result of the security risk index calculated in step S130 is output to the security manager side (step S132). Here, the screen output to the security manager side may be displayed in the form of an image as shown in FIG.

도 10은 본 발명에 따른 정보유출감사 프로그램에 의한 사용자의 추이분석 팝업 화면의 일례이다.10 is an example of the trend analysis pop-up screen of the user by the information leakage audit program according to the present invention.

도 10을 참조하면, 메일 반송 이벤트에 대응하는 보안위반 추이 분석 그래프, 파일의 저장이나 인쇄에 대응하는 보안위반 추이분석 그래프, USB 저장에 대응하는 보안위반 추이 분석 그래프, PC 문서의 출력이나 복호화에 대응하는 보안위반 추이분석 그래프 등이 표시된다.Referring to FIG. 10, a graph of security trend analysis for a mail return event, a graph of security trend analysis for a file storage or printing, a graph of security trend analysis for a USB storage, and output or decryption of a PC document Corresponding security violation trend analysis graph is displayed.

도 8의 설명으로 환원하여, 보안관리자측에 보안위험지수의 산정 결과를 출력한 후, 보안관리자에 의한 임계값 조정이 요청되는지의 여부를 체크한다(단계 S134). 단계 S134에서, 임계값의 조정으로 체크되지 않으면 종료하고, 임계값의 조정으로 체크되면 평가항목별로 조정된 임계값을 반영한 후(단계 S136), 단계 S120으로 피드백한다.Returning to the description of Fig. 8, after the calculation result of the security risk index is output to the security manager side, it is checked whether or not the threshold adjustment by the security manager is requested (step S134). In step S134, if it is not checked by adjustment of the threshold value, it ends, and when it is checked by adjustment of the threshold value, the threshold value adjusted for each evaluation item is reflected (step S136), and the process feeds back to step S120.

도 11은 본 발명에 따른 정보유출감사 프로그램에 의한 핵심기술인력의 정보보안활동을 항목별로 모니터링하여 조회된 결과 화면의 일례이다. 11 is an example of a result screen that is monitored by monitoring the information security activity of the core technical personnel by the information leakage audit program according to the present invention.

도 11을 참조하면, 사용자별 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS(Knowledge Management System) 정보, 저장 및 인쇄의 EDMS(Electric Document Management) 정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보 등이 표시된다. Referring to FIG. 11, Web access information, work and general mail sending information, KMS (Knowledge Management System) information of storage and printing, EDMS (Electric Document Management) information of storage and printing, and storing and printing according to job search activities for each user Drawing management information, USB storage information, decryption information, and the like are displayed.

화면의 우측 컬럼에는 추이분석팝업을 위한 버튼, 보안위반 징후자의 등록을 위한 버튼, 보안관리자의 확인여부 등록을 위한 체크창이 구비된다. The right column of the screen includes a button for trend analysis popup, a button for registering security violation indicators, and a check window for registering the security administrator's confirmation.

이상에서는 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit and scope of the invention described in the claims below. I can understand.

이상에서 설명한 바와 같이, 본 발명에 따르면, 보안위험지수를 산정하고 산정에 필요한 임계값을 조정하여 보안관리자의 개입없이 정보 사용 패턴에 대한 조정 기능을 통한 보안감사를 수행할 수 있다. As described above, according to the present invention, the security risk index can be calculated and the threshold required for the calculation can be adjusted to perform security audit through the function of adjusting the information usage pattern without the intervention of the security manager.

특히, 개별 보안제품의 모니터링 결과를 활용하여 보안이벤트를 표준화하고, 표준화된 데이터를 사용하여 정의된 모니터링 항목 및 평가 항목에 대한 연계분석 및 기본 통계분석을 통해 가공된 기초 데이터에 대해 임계값 및 각 항목별 보안위험 가중치를 적용한 보안위험지수를 산정하고, 산정에 사용되는 임계값을 추이 분석 및 변량의 변화에 대한 추적을 통해 조정할 수 있다.In particular, the security events are standardized by using the monitoring results of individual security products, and the thresholds and angles for the basic data processed through linkage analysis and basic statistical analysis on the defined monitoring items and evaluation items using the standardized data. The security risk index can be calculated by applying the security risk weight for each item, and the threshold used for the estimation can be adjusted through trend analysis and tracking of changes in variance.

도 1은 본 발명의 일실시예에 따른 로그 정보를 이용한 정보유출감사 시스템의 동작을 설명하는 구성도이다.1 is a block diagram illustrating an operation of an information leakage audit system using log information according to an embodiment of the present invention.

도 2a는 도 1에 도시된 사용자별 로그DB를 설명하는 블록도이고, 도 2b는 도 1에 도시된 정보유출감사 시스템을 설명하는 블록도이다. FIG. 2A is a block diagram illustrating a user-specific log DB shown in FIG. 1, and FIG. 2B is a block diagram illustrating an information leakage audit system shown in FIG. 1.

도 3은 본 발명에 따라 수행되는 보안위험지수 산정 과정을 설명하는 개념도이다. 3 is a conceptual diagram illustrating a security risk index calculation process performed according to the present invention.

도 4는 도 3의 모니터링 항목에서 정의되는 정보수집 활동을 설명하는 테이블이다.FIG. 4 is a table for explaining information gathering activity defined in the monitoring item of FIG. 3.

도 5는 도 3의 모니터링 항목에서 정의되는 정보전송 활동을 설명하는 테이블이다.FIG. 5 is a table for describing information transmission activity defined in the monitoring item of FIG. 3.

도 6은 도 3의 모니터링 항목에서 정의되는 반출 위반 활동을 설명하는 테이블이다.FIG. 6 is a table describing the export violation activity defined in the monitoring item of FIG. 3.

도 7은 도 3의 모니터링 항목에서 정의되는 우회 활동을 설명하는 테이블이다.FIG. 7 is a table for describing bypass activities defined in the monitoring item of FIG. 3.

도 8a 및 도 8b는 본 발명의 일실시예에 따른 로그 정보를 이용한 정보유출감사 방법을 설명하는 흐름도들이다.8A and 8B are flowcharts illustrating an information leakage audit method using log information according to an embodiment of the present invention.

도 9는 본 발명에 따라 활동별 임계값 및 가중치를 적용한 최종 표준 점수 산정을 설명하는 테이블이다.9 is a table for explaining the final standard score calculation applying the threshold and weight for each activity according to the present invention.

도 10은 본 발명에 따른 정보유출감사 프로그램에 의한 사용자의 추이분석 팝업 화면의 일례이다.10 is an example of the trend analysis pop-up screen of the user by the information leakage audit program according to the present invention.

도 11은 본 발명에 따른 정보유출감사 프로그램에 의한 핵심기술인력의 정보보안활동을 항목별로 모니터링하여 조회된 결과 화면의 일례이다. 11 is an example of a result screen that is monitored by monitoring the information security activity of the core technical personnel by the information leakage audit program according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100 : 정보유출감사 시스템 110 : 로그 정보 수집모듈100: information leakage audit system 110: log information collection module

115 : 아이디 표준화모듈 120 : 코드테이블 DB115: ID standardization module 120: code table DB

125 : 이벤트 추출모듈 130 : 가중치 설정모듈125: event extraction module 130: weight setting module

135 : 임계값 설정모듈 140 : 임계값 분석모듈135: threshold setting module 140: threshold analysis module

145 : 연계 분석모듈 150 : 보안위험지수 산정모듈145: linked analysis module 150: security risk index calculation module

200 : 사용자별 로그DB 210 : 인사DB200: user log DB 210: HR DB

220 : 메일사용 DB 230 : 웹사용 DB220: Mail use DB 230: Web use DB

240 : PC 사용 DB 250 : VPN 사용 DB240: PC usage DB 250: VPN usage DB

260 : 안티바이러스 DB 270 : 메신저 DB 260: anti-virus DB 270: messenger DB

280 : 정보관리 DB 290 : 출력 DB280: Information management DB 290: Output DB

300 : 활동별 집계 DB 400 : 로그파일 수집부300: aggregation by activity DB 400: log file collection unit

500 : 게이트웨이 600 : 사용자 PC500: Gateway 600: User PC

Claims (11)

(a) 사내정보시스템이나 게이트웨이를 통해 이루어지는 작업들에 대한 사용자별 시스템 사용내역이 저장된 로그파일에서 추출된 로그 정보를 근거로 상기 로그 정보별 이벤트 표준화 및 연계 분석을 수행하여 표준화된 로그 정보를 이벤트별로 추출하는 단계;(a) Performing event standardization and linkage analysis for each log information based on log information extracted from a log file storing system usage history of each user for operations performed through an internal information system or a gateway to event standardized log information Extracting each star; (b) 추출된 표준화 이벤트가 정보유출감사에 대응하는 평가항목에 포함되면, 상기 평가항목별로 이벤트를 집계하고, 사용자의 시스템을 이용한 활동별 모니터링 항목을 분류하는 단계;(b) if the extracted standardized event is included in an evaluation item corresponding to the information leakage audit, counting the event for each evaluation item and classifying the monitoring item for each activity using the user's system; (c) 보안관리자에 의한 가중치가 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 가중치를 부여하는 단계;(c) assigning the weight to the monitoring item for each event as the weight is set by the security manager; (d) 임계값이 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 임계값을 부여하는 단계; (d) assigning the threshold value to the event-specific monitoring item as a threshold value is set; (e) 보안관리자에 의한 보안위험지수의 설정 요청으로 체크되면, 정보유출감사에 대응하여 사용자별 시스템 이용 항목별 추이분석 및 통계분석을 수행하고, 보안위험지수를 산정하는 단계; 및 (e) if checked by the security manager as a request for setting the security risk index, performing trend analysis and statistical analysis for each system use item for each user in response to the information leakage audit, and calculating the security risk index; And (f) 보안관리자에 의한 임계값 조정이 요청됨에 따라, 평가항목별로 조정된 임계값을 반영한 후, 단계(d)로 피드백하는 단계를 포함하고,(f) as the threshold adjustment by the security manager is requested, reflecting the adjusted threshold for each evaluation item, and then feeding back to step (d), 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함하고,The log file in which the usage history is stored includes web access information, job and general mail sending information, KMS information of storage and printing, EDMS information of storage and printing, drawing management information of storage and printing, USB storage information and decryption according to job search activities. At least one of the information, 상기 보안위험지수는 바이러스 감염정보, 사무실보안위반정보, 컴퓨터보안 소프트웨어 미설치 정보, 취업사이트 방문 이력정보, 이력서전송 정보, 사업부 요청정보, 협력업체정보, 보안프로그램우회자 정보, 정보유출자정보, 부서보안정보, 퇴직예정자 정보 및 인사징계자 정보중 적어도 하나 이상을 근거로 산정하고, The security risk index includes virus infection information, office security violation information, computer security software installation information, employment site visit history information, resume transmission information, business unit request information, supplier information, security program bypass information, information leaker information, department security Based on at least one of information, prospective retiree information and personnel disciplinary information, 상기 보안위험지수는 최종 표준 점수들의 연산을 통해 이루어지되, 상기 최종 표준 점수의 산정은 분류된 항목별로 가중치가 설정되고, 임계범위가 설정되며, 항목에 따른 횟수를 카운트하여 이를 점수화하여 이루어지는 것을 특징으로 하는 로그 정보를 이용한 정보유출감사 방법.The security risk index is made through the calculation of the final standard scores, the calculation of the final standard scores are set by weighting for each classified item, the threshold range is set, it is made by scoring the number of times according to the item is scored Information leak audit method using log information. 삭제delete 삭제delete 삭제delete 삭제delete (a) 사내정보시스템이나 게이트웨이를 통해 이루어지는 작업들에 대한 사용자별 시스템 사용내역이 저장된 로그파일에서 추출된 로그 정보를 근거로 상기 로그 정보별 이벤트 표준화 및 연계 분석을 수행하여 표준화된 로그 정보를 이벤트별로 추출하는 과정;(a) Performing event standardization and linkage analysis for each log information based on log information extracted from a log file storing system usage history of each user for operations performed through an internal information system or a gateway to event standardized log information Extraction process; (b) 추출된 표준화 이벤트가 정보유출감사에 대응하는 평가항목에 포함되면, 상기 평가항목별로 이벤트를 집계하고, 사용자의 시스템을 이용한 활동별 모니터링 항목을 분류하는 과정;(b) if the extracted standardized event is included in an evaluation item corresponding to the information leakage audit, classifying the event for each evaluation item and classifying the monitoring item for each activity using the user's system; (c) 가중치가 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 가중치를 부여하는 과정;(c) assigning the weight to the monitoring item for each event as the weight is set; (d) 임계값이 설정됨에 따라, 상기 이벤트별 모니터링 항목에 상기 임계값을 부여하는 과정; (d) assigning the threshold value to the monitoring item for each event as the threshold value is set; (e) 보안관리자에 의한 보안위험지수의 설정 요청으로 체크되면, 정보유출감사에 대응하여 사용자별 시스템 이용 항목별 추이분석 및 통계분석을 수행하고, 보안위험지수를 산정하는 과정; 및 (e) if checked by the security manager as a request for setting the security risk index, performing a trend analysis and statistical analysis for each user using the system in response to the information leakage audit, and calculating the security risk index; And (f) 보안관리자에 의한 임계값 조정이 요청됨에 따라, 평가항목별로 조정된 임계값을 반영한 후, 과정(d)로 피드백하는 과정을 포함하고,(f) when the threshold adjustment by the security manager is requested, reflecting the threshold adjusted for each evaluation item, and then feeding back to process (d), 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함하고,The log file in which the usage history is stored includes web access information, job and general mail sending information, KMS information of storage and printing, EDMS information of storage and printing, drawing management information of storage and printing, USB storage information and decryption according to job search activities. At least one of the information, 상기 보안위험지수는 바이러스 감염정보, 사무실보안위반정보, 컴퓨터보안 소프트웨어 미설치 정보, 취업사이트 방문 이력정보, 이력서전송 정보, 사업부 요청정보, 협력업체정보, 보안프로그램우회자 정보, 정보유출자정보, 부서보안정보, 퇴직예정자 정보 및 인사징계자 정보중 적어도 하나 이상을 근거로 산정하고, The security risk index includes virus infection information, office security violation information, computer security software installation information, employment site visit history information, resume transmission information, business unit request information, supplier information, security program bypass information, information leaker information, department security Based on at least one of information, prospective retiree information and personnel disciplinary information, 상기 보안위험지수는 최종 표준 점수들의 연산을 통해 이루어지되, 상기 최종 표준 점수의 산정은 분류된 항목별로 가중치가 설정되고, 임계범위가 설정되며, 항목에 따른 횟수를 카운트하여 이를 점수화하여 이루어지는 것을 특징으로 하는 로그 정보를 이용한 정보유출감사 방법이 탑재된 컴퓨터가 판독가능한 기록매체.The security risk index is made through the calculation of the final standard scores, the calculation of the final standard scores are set by weighting for each classified item, the threshold range is set, it is made by scoring the number of times according to the item is scored A computer-readable recording medium equipped with an information leakage audit method using log information. 사내정보시스템이나 게이트웨이를 통해 이루어지는 작업들에 대한 사용자별 시스템 사용내역이 저장된 로그파일에서 로그 정보를 수집하는 로그 정보 수집모듈;A log information collection module for collecting log information from a log file in which system usage history of each user for operations performed through an internal information system or a gateway is stored; 코드테이블 DB에 저장된 로그별 아이디를 추출하여 해당 로그들을 표준화하는 아이디 표준화모듈;ID standardization module for standardizing the log by extracting the ID for each log stored in the code table DB; 상기 아이디 표준화모듈에 의해 표준화된 로그 정보를 이벤트별로 추출하는 이벤트 추출모듈;An event extraction module for extracting log information standardized by the ID standardization module for each event; 상기 이벤트 추출모듈에 의해 추출된 이벤트별 로그 정보에 가중치를 설정하는 가중치 설정모듈;A weight setting module for setting a weight on the log information for each event extracted by the event extraction module; 이벤트별 초기임계값을 받아 임계값을 설정하는 임계값 설정모듈;A threshold setting module configured to receive an initial threshold value for each event and set a threshold value; 가중치가 설정된 이벤트에 대응하는 로그 정보들이 임계치를 초과했는지의 여부를 분석하는 임계값 분석모듈;A threshold analysis module for analyzing whether log information corresponding to a weighted event has exceeded a threshold; 이벤트별 또는 로그별 모니터링 항목과 이에 대응하는 평가 항목을 서로 연계시키는 연계 분석모듈; A linkage analysis module for linking monitoring items for each event or log and evaluation items corresponding thereto; 상기 연계 분석모듈에 의해 분석된 정보를 근거로 사용자별 또는 이벤트별 보안위험지수를 산정하는 보안위험지수 산정모듈; A security risk index calculation module for calculating a security risk index for each user or event based on the information analyzed by the linkage analysis module; 사용자별 또는 이벤트별, 날짜나 시간별 보안위험지수에 상응하는 정보를 분석하여 보안관리자에 의해 인식이 가능하도록 그래프나 테이블 형태로 표시하는 추이 분석모듈; 및 A trend analysis module for analyzing the information corresponding to the security risk index by user or event, date or time, and displaying the data in a graph or table form to be recognized by the security manager; And 상기 추이분석모듈에서 분석된 보안위험지수에 상응하는 정보를 근거로 임계값이 설정되도록 정합시켜 상기 임계값 설정모듈에 제공하는 임계값 정합성 분석모듈을 포함하고,And a threshold consistency analysis module that matches a threshold value based on information corresponding to the security risk index analyzed by the trend analysis module and provides the threshold value setting module to the threshold value setting module. 상기 사용내역이 저장된 로그파일은 구직활동에 따른 웹접속 정보, 업무 및 일반 메일 발송 정보, 저장 및 인쇄의 KMS 정보, 저장 및 인쇄의 EDMS정보, 저장 및 인쇄의 도면관리 정보, USB 저장 정보 및 복호화 정보중 적어도 어느 하나를 포함하고,The log file in which the usage history is stored includes web access information, job and general mail sending information, KMS information of storage and printing, EDMS information of storage and printing, drawing management information of storage and printing, USB storage information and decryption according to job search activities. At least one of the information, 상기 보안위험지수는 바이러스 감염정보, 사무실보안위반정보, 컴퓨터보안 소프트웨어 미설치 정보, 취업사이트 방문 이력정보, 이력서전송 정보, 사업부 요청정보, 협력업체정보, 보안프로그램우회자 정보, 정보유출자정보, 부서보안정보, 퇴직예정자 정보 및 인사징계자 정보중 적어도 하나 이상을 근거로 산정하고, The security risk index includes virus infection information, office security violation information, computer security software installation information, employment site visit history information, resume transmission information, business unit request information, supplier information, security program bypass information, information leaker information, department security Based on at least one of information, prospective retiree information and personnel disciplinary information, 상기 보안위험지수는 최종 표준 점수들의 연산을 통해 이루어지되, 상기 최종 표준 점수의 산정은 분류된 항목별로 가중치가 설정되고, 임계범위가 설정되며, 항목에 따른 횟수를 카운트하여 이를 점수화하여 이루어지는 것을 특징으로 하는 로그 정보를 이용한 정보유출감사 시스템.The security risk index is made through the calculation of the final standard scores, the calculation of the final standard scores are set by weighting for each classified item, the threshold range is set, it is made by scoring the number of times according to the item is scored Information leak audit system using log information. 삭제delete 삭제delete 삭제delete 삭제delete
KR1020080062540A 2008-06-30 2008-06-30 Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same Active KR101011456B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080062540A KR101011456B1 (en) 2008-06-30 2008-06-30 Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080062540A KR101011456B1 (en) 2008-06-30 2008-06-30 Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same

Publications (2)

Publication Number Publication Date
KR20100002592A KR20100002592A (en) 2010-01-07
KR101011456B1 true KR101011456B1 (en) 2011-02-01

Family

ID=41812607

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080062540A Active KR101011456B1 (en) 2008-06-30 2008-06-30 Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same

Country Status (1)

Country Link
KR (1) KR101011456B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022610A (en) * 2014-04-18 2015-11-04 广州铭太信息科技有限公司 Method for social auditing
KR102726482B1 (en) * 2023-11-15 2024-11-05 에스지앤 주식회사 Method, device, and computer-readable recording medium for user surveillance using information in the socks5 security socket of a pam gateway

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100980117B1 (en) * 2010-06-25 2010-09-07 (주)뉴데이소프트 Analyzing method for leakage threat of internal information
KR101444308B1 (en) * 2013-12-18 2014-09-26 (주)세이퍼존 System for early informing a leakage of information
KR101566882B1 (en) 2014-02-07 2015-11-06 (주)이글로벌시스템 System and method for monitoring encrypted database and preventing massive decryption
US9930058B2 (en) 2014-08-13 2018-03-27 Honeywell International Inc. Analyzing cyber-security risks in an industrial control environment
KR101674198B1 (en) 2015-04-24 2016-11-08 선문대학교 산학협력단 Cyber security device and method based on cyber security life-cycle, computer readable medium for storing a program for executing the method
WO2018031015A1 (en) * 2016-08-11 2018-02-15 Kimberly-Clark Worldwide, Inc. Usb baiting method and design
CN108009787A (en) * 2017-10-23 2018-05-08 青岛市市北区审计局 A kind of Audit data comparative analysis management system
KR102134254B1 (en) * 2019-10-25 2020-07-15 주식회사 트러스랩 Method and electronic device for estimating confidential information leakage
KR102305863B1 (en) * 2019-11-13 2021-09-29 (주)인프라케이 Online testing and evaluation system by using blockchain platform and artificial intelligence, and method thereof
CN113486370B (en) * 2021-06-25 2024-06-14 杭州天宽科技有限公司 An Zhuo Rizhi audit system and method
KR102789440B1 (en) * 2022-09-13 2025-04-01 주식회사 웨어밸리 Method and apparatus for managing personal information access records
CN116501780B (en) * 2023-06-27 2023-09-01 中交二公局东萌工程有限公司 Enterprise audit data analysis processing system and method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040011863A (en) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 Real Time Information Security Risk Management System and Method
KR20060106655A (en) * 2005-03-31 2006-10-12 마이크로소프트 코포레이션 How to dynamically protect a computer from malware, software systems and computer readable media

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040011863A (en) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 Real Time Information Security Risk Management System and Method
KR20060106655A (en) * 2005-03-31 2006-10-12 마이크로소프트 코포레이션 How to dynamically protect a computer from malware, software systems and computer readable media

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022610A (en) * 2014-04-18 2015-11-04 广州铭太信息科技有限公司 Method for social auditing
KR102726482B1 (en) * 2023-11-15 2024-11-05 에스지앤 주식회사 Method, device, and computer-readable recording medium for user surveillance using information in the socks5 security socket of a pam gateway

Also Published As

Publication number Publication date
KR20100002592A (en) 2010-01-07

Similar Documents

Publication Publication Date Title
KR101011456B1 (en) Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same
US10565367B2 (en) Filtering data transfers
US7865958B2 (en) End user risk management
US20060031938A1 (en) Integrated emergency response system in information infrastructure and operating method therefor
EP3704585B1 (en) Consumer threat intelligence service
US20080016563A1 (en) Systems and methods for measuring cyber based risks in an enterprise organization
US20080201464A1 (en) Prevention of fraud in computer network
CA2553601A1 (en) Managed distribution of digital assets
JP4843546B2 (en) Information leakage monitoring system and information leakage monitoring method
JP4092666B1 (en) Management system, management server, and management program
JP4175574B1 (en) Management system, management server, and management program
JP4041846B1 (en) Management system, management server, and management program
JP4041845B1 (en) Management system, management server, and management program
Mogull Understanding and selecting a database activity monitoring solution
KR100992069B1 (en) A system for preventing exposure of personal information on the internet and the method thereof
KR102835881B1 (en) Classification and delivery system and steps of cyber threat log of cloud public farm
KR102366846B1 (en) Security system for detecting data breach and method thereof
Ermopoulos et al. NVision-PA: A Process Accounting Analysis Tool with a Security Focus on Masquerade Detection in HPC Clusters
JP2023054869A (en) Information processing system
CN115801620A (en) Terminal safety management system and method
Phyo et al. Prerequisites for monitoring insider IT misuse
Gertz et al. Monitoring mission critical data for integrity and availability
RA et al. Forensic Logging Requirements
HK1107881B (en) End user risk management
CA2550547A1 (en) Prevention of fraud in computer network

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20080630

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20100322

Patent event code: PE09021S01D

AMND Amendment
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20101025

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20100322

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

J201 Request for trial against refusal decision
PJ0201 Trial against decision of rejection

Patent event date: 20101124

Comment text: Request for Trial against Decision on Refusal

Patent event code: PJ02012R01D

Patent event date: 20101025

Comment text: Decision to Refuse Application

Patent event code: PJ02011S01I

Appeal kind category: Appeal against decision to decline refusal

Decision date: 20110107

Appeal identifier: 2010101008992

Request date: 20101124

AMND Amendment
PB0901 Examination by re-examination before a trial

Comment text: Amendment to Specification, etc.

Patent event date: 20101224

Patent event code: PB09011R02I

Comment text: Request for Trial against Decision on Refusal

Patent event date: 20101124

Patent event code: PB09011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20100622

Patent event code: PB09011R02I

B701 Decision to grant
PB0701 Decision of registration after re-examination before a trial

Patent event date: 20110107

Comment text: Decision to Grant Registration

Patent event code: PB07012S01D

Patent event date: 20101231

Comment text: Transfer of Trial File for Re-examination before a Trial

Patent event code: PB07011S01I

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20110121

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20110124

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20140109

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20140109

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20150130

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20150130

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20170117

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20170117

Start annual number: 7

End annual number: 7

FPAY Annual fee payment

Payment date: 20180103

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20180103

Start annual number: 8

End annual number: 8

FPAY Annual fee payment

Payment date: 20200118

Year of fee payment: 10

PR1001 Payment of annual fee

Payment date: 20200118

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20210111

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20240119

Start annual number: 14

End annual number: 14

PR1001 Payment of annual fee

Payment date: 20250121

Start annual number: 15

End annual number: 15