| 1 |
1
서버가 임의의 클라우드 서비스에 대한 보안 투자 전략을 제공하는 방법에 있어서,상기 클라우드 서비스를 식별하고, 상기 클라우드 서비스에 대응하는 하나 이상의 보안 위협, 상기 각 보안 위협을 발생시키는 세부 공격 각각에서의 세부 공격 단계별 취약점, 상기 취약점에 대응하는 하나 이상의 보안 제어 항목, 상기 클라우드 서비스에 대응하는 보안 제어 항목 별 가중치를 포함하는 환경 요소를 설정하는 단계;하나의 보안 위협을 구성하는 상기 세부 공격 단계별 취약점을 계층적으로 연결하고, 제1 보안 위협 및 제2 보안 위협에 포함된 취약점이 동일한 경우, 동일한 취약점을 하나의 취약점 노드로 단일화하며, 단일화된 취약점 노드로 상기 제1 보안 위협 및 상기 제2 보안 위협을 연결하여 공격 트리 맵을 생성하는 단계;상기 공격 트리 맵에서, 상기 취약점 노드 의 자식 노드 가 상호 OR 관계에 있으면 상기 취약점 노드의 취약 점수 를 , 상호 AND 관계에 있으면 (는 의 수)의 식을 통해 산출하는 단계;상기 취약점 노드의 취약 점수 및 상기 보안 제어 항목 별 가중치를 이용하여 상기 클라우드 서비스의 투자 전 보안 취약도를 산출하는 단계를 포함하는 보안 투자 방법
|
| 2 |
2
제1항에 있어서, 상기 투자 전 보안 취약도 산출 단계는상기 보안 제어 항목 별로 각 보안 제어 항목에 대응하는 상기 취약점 노드의 취약 점수를 합산하여 보안 제어 항목 별 취약 점수를 산출하는 단계;상기 보안 제어 항목 별 취약 점수에 상기 보안 제어 항목 별 가중치를 곱하여 보안 제어 항목 별 투자 전 보안 취약도를 산출하는 단계;상기 보안 제어 항목 별 투자 전 보안 취약도를 모두 합산하는 단계를 포함하는 보안 투자 방법
|
| 3 |
3
제1항에 있어서,임의의 보안 제어 항목 에 투자 시 상기 보안 제어 항목 에 대응하는 하나 이상의 투자 취약점의 보안 취약 완화 비율을 설정하는 단계; 상기 투자 취약점 노드의 자식 노드 구조 및 상기 자식 노드와의 상관계수, 상기 투자에 대응하는 투자 금액, 및 상기 투자 취약점의 보안 취약 완화 비율을 이용하여 상기 투자 취약점 노드의 완화된 취약 점수를 산출하는 단계;상기 투자 취약점 노드의 완화된 취약 점수 및 상기 가중치를 이용하여 상기 클라우드 서비스의 투자 후 보안 취약도를 산출하는 단계를 더 포함하는 보안 투자 방법
|
| 4 |
4
제3항에 있어서, 상기 투자 후 보안 취약도 산출 단계는상기 보안 제어 항목 별로 각 보안 제어 항목에 대응하는 상기 투자 취약점 노드의 완화된 취약 점수를 합산하여 보안 제어 항목 별 완화된 취약 점수를 산출하는 단계;상기 보안 제어 항목 별 완화된 취약 점수에 상기 보안 제어 항목 별 가중치를 곱하여 보안 제어 항목 별 투자 후 보안 취약도를 산출하는 단계;상기 보안 제어 항목 별 투자 후 보안 취약도를 모두 합산하는 단계를 포함하는 보안 투자 방법
|
| 5 |
5
제3항에 있어서,기 설정된 총 투자금액에 대하여 상기 투자 후 보안 취약도가 최소가 되도록 상기 보안 제어 항목 별 투자 금액을 산정하는 보안 투자 전략 수립 단계를 더 포함하는 보안 투자 방법
|
| 6 |
6
제5항에 있어서, 상기 보안 투자 전략 수립 단계는 라그랑지 승수법을 이용하여 이루어지는 보안 투자 방법
|
| 7 |
7
제5항에 있어서, 복수 개의 보안 투자 전략 각각에 대하여 상기 투자 후 보안 취약도, 기 설정된 총 투자금액 대비 상기 투자 전 보안 취약도와 상기 투자 후 보안 취약도 간 차이에 대응하는 보안 투자 효과, 상기 투자 전 보안 취약도 대비 상기 투자 전 보안 취약도와 상기 투자 후 보안 취약도 간 차이에 대응하는 취약성 감소율, 또는 상기 투자 후 보안 취약도 대비 상기 투자 전 보안 취약도에 대응하는 보안성 향상율 중 적어도 하나의 평가 지표를 산출하는 단계;산출된 평가 지표를 이용하여 상기 보안 투자 전략을 비교하는 단계;상기 비교 결과를 사용자에게 제공하는 단계를 더 포함하는 보안 투자 방법
|
| 8 |
8
제1항에 있어서, 상기 취약점 노드의 취약 점수를 산출하는 단계는,임의의 제 1 취약점 노드의 하나 이상의 제 1 자식 노드가 상호 독립적이면, 제 1 자식 노드의 취약 점수와 기 설정된 상기 제 1 자식 노드 - 취약점 노드 간 상관계수의 곱을 합산하여 상기 제 1 취약점 노드의 취약 점수를 산출하는 단계를 포함하며, 임의의 제 2 취약점 노드의 하나 이상의 제 2 자식 노드가 상호 AND 조건 관계이면, 제 2 자식 노드의 취약 점수와 기 설정된 상기 제 2 자식 노드- 취약점 노드 간 상관계수의 곱을 합산한 값을 상기 제 2 자식 노드의 수로 나누어 상기 제 2 취약점 노드의 취약 점수를 산출하는 단계를 포함하는 보안 투자 방법
|
| 9 |
9
제1항에 있어서,상기 보안 제어 항목은 보안 저장(Secure Storage), 보안 처리(Secure Processing), 네트워크(Network), 접근 제어(Access Control), 감사확인 및 준수(AuditVerification and Compliance) 중 적어도 하나를 포함하는 보안 투자 방법
|
| 10 |
10
임의의 클라우드 서비스에 대한 보안 투자 장치에 있어서,상기 클라우드 서비스를 식별하고, 상기 클라우드 서비스에 대응하는 하나 이상의 보안 위협, 상기 각 보안 위협을 발생시키는 세부 공격 각각에서의 세부 공격 단계별 취약점, 상기 취약점에 대응하는 하나 이상의 보안 제어 항목, 상기 클라우드 서비스에 대응하는 보안 제어 항목 별 가중치를 포함하는 환경 요소를 설정하는 환경 설정부;하나의 보안 위협을 구성하는 상기 세부 공격 단계별 취약점을 계층적으로 연결하고, 제1 보안 위협 및 제2 보안 위협에 포함된 취약점이 동일한 경우, 동일한 취약점을 하나의 취약점 노드로 단일화하며, 단일화된 취약점 노드로 상기 제1 보안 위협 및 상기 제2 보안 위협을 연결하여 공격 트리 맵을 생성하는 공격 트리 맵 생성부;상기 공격 트리 맵에서, 상기 취약점 노드 의 자식 노드 가 상호 OR 관계에 있으면 상기 취약점 노드의 취약 점수 를 , 상호 AND 관계에 있으면 (는 의 수)의 식을 통해 산출하고, 상기 취약점 노드의 취약 점수 및 상기 보안 제어 항목 별 가중치를 이용하여 상기 클라우드 서비스의 투자 전 보안 취약도를 산출하는 제 1 보안 취약도 평가부를 포함하는 보안 투자 장치
|
| 11 |
11
제10항에 있어서, 상기 제 1 보안 취약도 평가부는상기 보안 제어 항목 별로 각 보안 제어 항목에 대응하는 상기 취약점 노드의 취약 점수를 합산하여 보안 제어 항목 별 취약 점수를 산출하고, 상기 보안 제어 항목 별 취약 점수에 상기 보안 제어 항목 별 가중치를 곱하여 보안 제어 항목 별 투자 전 보안 취약도를 산출하고, 상기 보안 제어 항목 별 투자 전 보안 취약도를 모두 합산하여 상기 클라우드 서비스의 투자 전 보안 취약도를 산출하는 보안 투자 장치
|
| 12 |
12
제10항에 있어서,상기 환경 설정부는 임의의 보안 제어 항목 에 투자 시 상기 보안 제어 항목 에 대응하는 하나 이상의 투자 취약점의 보안 취약 완화 비율을 설정하고,상기 투자 취약점 노드의 자식 노드 구조 및 상기 자식 노드와의 상관계수, 상기 투자에 대응하는 투자 금액, 및 상기 투자 취약점의 보안 취약 완화 비율을 이용하여 상기 투자 취약점 노드의 완화된 취약 점수를 산출하고, 상기 투자 취약점 노드의 완화된 취약 점수 및 상기 가중치를 이용하여 상기 클라우드 서비스의 투자 후 보안 취약도를 산출하는 제 2 보안 취약도 평가부를 더 포함하는 보안 투자 장치
|
| 13 |
13
제12항에 있어서, 상기 제 2 보안 취약도 평가부는상기 보안 제어 항목 별로 각 보안 제어 항목에 대응하는 상기 투자 취약점 노드의 완화된 취약 점수를 합산하여 보안 제어 항목 별 완화된 취약 점수를 산출하고, 상기 보안 제어 항목 별 완화된 취약 점수에 상기 보안 제어 항목 별 가중치를 곱하여 보안 제어 항목 별 투자 후 보안 취약도를 산출하고, 상기 보안 제어 항목 별 투자 후 보안 취약도를 모두 합산하여 상기 클라우드 서비스의 투자 후 보안 취약도를 산출하는 보안 투자 장치
|
| 14 |
14
제12항 내지 제13항 중 어느 한 항에 있어서,기 설정된 총 투자금액에 대하여 상기 투자 후 보안 취약도가 최소가 되도록 상기 보안 제어 항목 별 투자 금액을 산정하는 전략 수립부를 더 포함하는 보안 투자 장치
|
| 15 |
15
제14항에 있어서, 상기 전략 수립부는 라그랑지 승수법을 이용하여 상기 보안 제어 항목 별 투자 금액을 산정하는 보안 투자 장치
|
| 16 |
16
제14항에 있어서, 복수 개의 보안 투자 전략 각각에 대하여 상기 투자 후 보안 취약도, 기 설정된 총 투자금액 대비 상기 투자 전 보안 취약도와 상기 투자 후 보안 취약도 간 차이에 대응하는 보안 투자 효과, 상기 투자 전 보안 취약도 대비 상기 투자 전 보안 취약도와 상기 투자 후 보안 취약도 간 차이에 대응하는 취약성 감소율, 또는 상기 투자 후 보안 취약도 대비 상기 투자 전 보안 취약도에 대응하는 보안성 향상율 중 적어도 하나의 평가 지표를 산출하고, 산출된 평가 지표를 이용하여 상기 보안 투자 전략을 비교하는 전략 평가부;상기 비교 결과를 사용자에게 제공하는 통신부를 더 포함하는 보안 투자 장치
|
| 17 |
17
제10항에 있어서, 상기 제 1 보안 취약도 평가부는,임의의 제 1 취약점 노드의 하나 이상의 제 1 자식 노드가 상호 독립적이면, 제 1 자식 노드의 취약 점수와 기 설정된 상기 제 1 자식 노드 - 취약점 노드 간 상관계수의 곱을 합산하여 상기 제 1 취약점 노드의 취약 점수를 산출하고,임의의 제 2 취약점 노드의 하나 이상의 제 2 자식 노드가 상호 AND 조건 관계이면, 제 2 자식 노드의 취약 점수와 기 설정된 상기 제 2 자식 노드- 취약점 노드 간 상관계수의 곱을 합산한 값을 상기 제 2 자식 노드의 수로 나누어 상기 제 2 취약점 노드의 취약 점수를 산출하는 보안 투자 장치
|
| 18 |
18
제10항에 있어서,상기 보안 제어 항목은 보안 저장(Secure Storage), 보안 처리(Secure Processing), 네트워크(Network), 접근 제어(Access Control), 감사확인 및 준수(AuditVerification and Compliance) 중 적어도 하나를 포함하는 보안 투자 장치
|
| 19 |
19
제 1 항 내지 제 9 항 중 어느 한 항의 방법을 실행시키기 위하여 컴퓨터 판독 가능 매체에 저장된 보안 투자 응용 프로그램
|
