Nothing Special   »   [go: up one dir, main page]

KR102710773B1 - Method and system for adaptively responding to security risks - Google Patents

Method and system for adaptively responding to security risks Download PDF

Info

Publication number
KR102710773B1
KR102710773B1 KR1020230150384A KR20230150384A KR102710773B1 KR 102710773 B1 KR102710773 B1 KR 102710773B1 KR 1020230150384 A KR1020230150384 A KR 1020230150384A KR 20230150384 A KR20230150384 A KR 20230150384A KR 102710773 B1 KR102710773 B1 KR 102710773B1
Authority
KR
South Korea
Prior art keywords
security
risk
user authentication
security policy
present
Prior art date
Application number
KR1020230150384A
Other languages
Korean (ko)
Inventor
심재훈
Original Assignee
주식회사 호패
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 호패 filed Critical 주식회사 호패
Priority to KR1020230150384A priority Critical patent/KR102710773B1/en
Application granted granted Critical
Publication of KR102710773B1 publication Critical patent/KR102710773B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

본 발명의 일 태양에 따르면, 보안 위험에 대하여 적응적으로 대응하기 위한 방법으로서, 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하는 단계, 및 위험 감지 모델을 이용하여 상기 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 단계, 및 상기 평가 결과에 기초하여 상기 사용자 인증에 적용될 보안 정책을 결정하는 단계를 포함하는 방법이 제공된다.According to one aspect of the present invention, a method for adaptively responding to a security risk is provided, comprising: a step of obtaining risk information associated with user authentication in a service providing server operating a target service; a step of performing an evaluation as to whether there is a security risk regarding the user authentication using a risk detection model; and a step of determining a security policy to be applied to the user authentication based on a result of the evaluation.

Description

보안 위험에 대하여 적응적으로 대응하기 위한 방법 및 시스템{METHOD AND SYSTEM FOR ADAPTIVELY RESPONDING TO SECURITY RISKS}METHOD AND SYSTEM FOR ADAPTIVELY RESPONDING TO SECURITY RISKS

본 발명은 보안 위험에 대하여 적응적으로 대응하기 위한 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for adaptively responding to security risks.

무단 접속으로 인한 보안 침해의 위험이 증가함에 따라 사용자의 계정과 민감한 데이터를 보호하기 위하여 강력한 보안 조치를 구현하는 것이 사업체들에게 매우 중요해졌다.As the risk of security breaches due to unauthorized access increases, it has become increasingly important for businesses to implement strong security measures to protect users' accounts and sensitive data.

시스템에 보안 침해 문제를 야기할 수 있는 모든 보안 위험 요소들에 대하여 최고 수준의 보안을 유지하는 것이 최선일 수는 있지만, 유지 비용 등의 현실적인 문제를 고려하면 이를 실현하는 데에 어려움이 있는 것이 사실이다.Although it may be best to maintain the highest level of security against all security risks that could cause security breaches in the system, it is difficult to achieve this considering practical issues such as maintenance costs.

이에, 이에 본 발명자(들)는, 비용 효율적인 방식으로 보안 위험에 대하여 적응적으로 대응할 수 있도록 지원하는 기술을 제안하는 바이다.Accordingly, the inventor(s) of the present invention propose a technology that supports adaptive response to security risks in a cost-effective manner.

등록특허공보 제10-0785715호 (2007. 12. 7)Patent Registration No. 10-0785715 (December 7, 2007)

본 발명은 전술한 종래 기술의 문제점을 모두 해결하는 것을 그 목적으로 한다.The present invention aims to solve all of the problems of the above-mentioned prior art.

또한, 본 발명은, 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하고, 위험 감지 모델을 이용하여 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하고, 그 평가 결과에 기초하여 사용자 인증에 적용될 보안 정책을 결정하는 것을 다른 목적으로 한다.In addition, the present invention has another purpose of obtaining risk information associated with user authentication in a service providing server operating a target service, performing an evaluation on whether there is a security risk regarding user authentication using a risk detection model, and determining a security policy to be applied to user authentication based on the evaluation result.

또한, 본 발명은, 로그인 시스템의 보안을 강화하고, 무단 접속의 위험을 최소화하며, 사용자의 계정과 데이터를 보호하는 것을 또 다른 목적으로 한다.In addition, another purpose of the present invention is to strengthen the security of the login system, minimize the risk of unauthorized access, and protect the user's account and data.

또한, 본 발명은, 비용 효율적인 방식으로 보안 위험에 대하여 적응적으로 대응할 수 있도록 지원하는 것을 또 다른 목적으로 한다.In addition, another object of the present invention is to support adaptive response to security risks in a cost-effective manner.

상기 목적을 달성하기 위한 본 발명의 대표적인 구성은 다음과 같다.A representative configuration of the present invention to achieve the above purpose is as follows.

본 발명의 일 태양에 따르면, 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하는 단계, 및 위험 감지 모델을 이용하여 상기 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 단계, 및 상기 평가 결과에 기초하여 상기 사용자 인증에 적용될 보안 정책을 결정하는 단계를 포함하는 방법이 제공된다.According to one aspect of the present invention, a method is provided, including the steps of obtaining risk information associated with user authentication in a service providing server operating a target service, the step of performing an evaluation as to whether there is a security risk with respect to the user authentication using a risk detection model, and the step of determining a security policy to be applied to the user authentication based on the evaluation result.

본 발명의 다른 태양에 따르면, 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하는 위험 정보 획득부, 및 위험 감지 모델을 이용하여 상기 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 보안 위험 관리부, 및 상기 평가 결과에 기초하여 상기 사용자 인증에 적용될 보안 정책을 결정하는 보안 정책 관리부를 포함하는 시스템이 제공된다.According to another aspect of the present invention, a system is provided, including a risk information acquisition unit for acquiring risk information associated with user authentication in a service providing server operating a target service, a security risk management unit for performing an evaluation as to whether there is a security risk regarding the user authentication using a risk detection model, and a security policy management unit for determining a security policy to be applied to the user authentication based on the evaluation result.

이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 비일시성의 컴퓨터 판독 가능한 기록 매체가 더 제공된다.In addition, a non-transitory computer-readable recording medium recording another method for implementing the present invention, another system and a computer program for executing the method are further provided.

본 발명에 의하면, 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하고, 위험 감지 모델을 이용하여 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하고, 그 평가 결과에 기초하여 사용자 인증에 적용될 보안 정책을 결정할 수 있게 된다.According to the present invention, it is possible to obtain risk information associated with user authentication in a service providing server operating a target service, perform an evaluation on whether there is a security risk regarding user authentication using a risk detection model, and determine a security policy to be applied to user authentication based on the evaluation result.

또한, 본 발명에 의하면, 로그인 시스템의 보안을 강화하고, 무단 접속의 위험을 최소화하며, 사용자의 계정과 데이터를 보호할 수 있게 된다.In addition, according to the present invention, the security of the login system can be strengthened, the risk of unauthorized access can be minimized, and the user's account and data can be protected.

또한, 본 발명에 의하면, 비용 효율적인 방식으로 보안 위험에 대하여 적응적으로 대응할 수 있도록 지원할 수 있게 된다.In addition, according to the present invention, it is possible to support adaptive response to security risks in a cost-effective manner.

도 1은 본 발명의 일 실시예에 따라 보안 위험에 대하여 적응적으로 대응하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 위험 대응 시스템의 내부 구성을 상세하게 도시하는 도면이다.FIG. 1 is a diagram schematically illustrating the configuration of an entire system for adaptively responding to security risks according to one embodiment of the present invention.
FIG. 2 is a drawing detailing the internal configuration of a security risk response system according to one embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이러한 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 본 명세서에 기재되어 있는 특정 형상, 구조 및 특성은 본 발명의 정신과 범위를 벗어나지 않으면서 일 실시예로부터 다른 실시예로 변경되어 구현될 수 있다. 또한, 각각의 실시예 내의 개별 구성요소의 위치 또는 배치도 본 발명의 정신과 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 행하여지는 것이 아니며, 본 발명의 범위는 특허청구범위의 청구항들이 청구하는 범위 및 그와 균등한 모든 범위를 포괄하는 것으로 받아들여져야 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 구성요소를 나타낸다.The detailed description of the present invention set forth below refers to the accompanying drawings which illustrate specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention, while different from each other, are not necessarily mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be modified and implemented from one embodiment to another without departing from the spirit and scope of the invention. It should also be understood that the positions or arrangements of individual components within each embodiment may be changed without departing from the spirit and scope of the invention. Accordingly, the detailed description set forth below is not to be taken in a limiting sense, and the scope of the present invention is to be taken to encompass the scope of the claims and all equivalents thereof. Like reference numerals in the drawings represent the same or similar elements throughout the several aspects.

이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 여러 바람직한 실시예에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, various preferred embodiments of the present invention will be described in detail with reference to the attached drawings so that a person having ordinary skill in the art to which the present invention pertains can easily practice the present invention.

전체 시스템의 구성Composition of the entire system

도 1은 본 발명의 일 실시예에 따라 보안 위험에 대하여 적응적으로 대응하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.FIG. 1 is a diagram schematically illustrating the configuration of an entire system for adaptively responding to security risks according to one embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 전체 시스템은 통신망(100), 서비스 제공 서버(200) 및 디바이스(300) 및 보안 위험 대응 시스템(400)을 포함할 수 있다.As illustrated in FIG. 1, the entire system according to one embodiment of the present invention may include a communication network (100), a service providing server (200), a device (300), and a security risk response system (400).

먼저, 본 발명의 일 실시예에 따른 통신망(100)은 유선 통신이나 무선 통신과 같은 통신 양태를 가리지 않고 구성될 수 있으며, 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 바람직하게는, 본 명세서에서 말하는 통신망(100)은 공지의 인터넷 또는 월드 와이드 웹(WWW; World Wide Web)일 수 있다. 그러나, 통신망(100)은, 굳이 이에 국한될 필요 없이, 공지의 유무선 데이터 통신망, 공지의 전화망 또는 공지의 유무선 텔레비전 통신망을 그 적어도 일부에 있어서 포함할 수도 있다.First, a communication network (100) according to an embodiment of the present invention may be configured regardless of a communication mode such as wired communication or wireless communication, and may be configured with various communication networks such as a local area network (LAN), a metropolitan area network (MAN), and a wide area network (WAN). Preferably, the communication network (100) referred to in the present specification may be the well-known Internet or the World Wide Web (WWW). However, the communication network (100) is not necessarily limited thereto, and may include at least a part of a well-known wired and wireless data communication network, a well-known telephone network, or a well-known wired and wireless television communication network.

예를 들면, 통신망(100)은 무선 데이터 통신망으로서, 와이파이(WiFi) 통신, 와이파이 다이렉트(WiFi-Direct) 통신, 롱텀 에볼루션(LTE; Long Term Evolution) 통신, 5G 통신, 블루투스 통신(저전력 블루투스(BLE; Bluetooth Low Energy) 통신 포함), 적외선 통신, 초음파 통신 등과 같은 종래의 통신 방법을 적어도 그 일부분에 있어서 구현하는 것일 수 있다. 다른 예를 들면, 통신망(100)은 광 통신망으로서, 라이파이(LiFi; Light Fidelity) 등과 같은 종래의 통신 방법을 적어도 그 일부분에 있어서 구현하는 것일 수 있다.For example, the communication network (100) may be a wireless data communication network that implements, at least in part, a conventional communication method such as WiFi communication, WiFi-Direct communication, Long Term Evolution (LTE) communication, 5G communication, Bluetooth communication (including Bluetooth Low Energy (BLE) communication), infrared communication, or ultrasonic communication. As another example, the communication network (100) may be an optical communication network that implements, at least in part, a conventional communication method such as LiFi (Light Fidelity).

다음으로, 본 발명의 일 실시예에 따른 서비스 제공 서버(200)는 디바이스(300) 또는 보안 위험 대응 시스템(400)에 접속한 후 통신할 수 있는 기능을 포함하는 서버일 수 있다.Next, the service providing server (200) according to one embodiment of the present invention may be a server including a function capable of communicating after connecting to a device (300) or a security risk response system (400).

다음으로, 본 발명의 일 실시예에 따른 디바이스(300)는 서비스 제공 서버(200) 또는 보안 위험 대응 시스템(400)에 접속한 후 통신할 수 있는 기능을 포함하는 디지털 기기로서, 스마트폰, 태블릿, 스마트 워치, 스마트 밴드, 스마트 글래스, 데스크탑 컴퓨터, 노트북 컴퓨터, 워크스테이션, PDA, 웹 패드, 이동 전화기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기라면 얼마든지 본 발명에 따른 디바이스(300)로서 채택될 수 있다.Next, a device (300) according to one embodiment of the present invention is a digital device that includes a function for communicating after connecting to a service providing server (200) or a security risk response system (400), and any digital device equipped with a memory means and a microprocessor and having a computing capability, such as a smart phone, a tablet, a smart watch, a smart band, smart glasses, a desktop computer, a notebook computer, a workstation, a PDA, a web pad, a mobile phone, etc., can be adopted as the device (300) according to the present invention.

특히, 디바이스(300)는, 사용자가 서비스 제공 서버(200) 또는 보안 위험 대응 시스템(400)으로부터 서비스를 제공받을 수 있도록 지원하는 애플리케이션(미도시됨)을 포함할 수 있다. 이와 같은 애플리케이션은 서비스 제공 서버(200), 보안 위험 대응 시스템(400) 또는 외부의 애플리케이션 배포 서버(미도시됨)로부터 다운로드된 것일 수 있다. 한편, 이러한 애플리케이션의 성격은 후술할 바와 같은 보안 위험 대응 시스템(400)의 위험 정보 획득부(410), 보안 위험 관리부(420), 보안 정책 관리부(430), 통신부(440) 및 제어부(450)와 전반적으로 유사할 수 있다. 여기서, 애플리케이션은 그 적어도 일부가 필요에 따라 그것과 실질적으로 동일하거나 균등한 기능을 수행할 수 있는 하드웨어 장치나 펌웨어 장치로 치환될 수도 있다.In particular, the device (300) may include an application (not shown) that supports a user to receive a service from a service providing server (200) or a security risk response system (400). Such an application may be downloaded from the service providing server (200), the security risk response system (400), or an external application distribution server (not shown). Meanwhile, the nature of such an application may be generally similar to the risk information acquisition unit (410), the security risk management unit (420), the security policy management unit (430), the communication unit (440), and the control unit (450) of the security risk response system (400) which will be described later. Here, at least a part of the application may be replaced with a hardware device or firmware device that can perform functions substantially identical to or equivalent thereto, as necessary.

다음으로, 본 발명의 일 실시예에 따른 보안 위험 대응 시스템(400)은 대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하고, 위험 감지 모델을 이용하여 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하고, 그 평가 결과에 기초하여 사용자 인증에 적용될 보안 정책을 결정하는 기능을 수행할 수 있다.Next, a security risk response system (400) according to one embodiment of the present invention may perform a function of obtaining risk information associated with user authentication in a service providing server operating a target service, performing an evaluation on whether there is a security risk regarding user authentication using a risk detection model, and determining a security policy to be applied to user authentication based on the evaluation result.

본 발명에 따른 보안 위험 대응 시스템(400)의 구성과 기능에 관하여는 이하의 상세한 설명을 통하여 자세하게 알아보기로 한다.The configuration and function of the security risk response system (400) according to the present invention will be described in detail below.

보안 위험 대응 시스템의 구성Composition of a security risk response system

이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 보안 위험 대응 시스템(400)의 내부 구성과 각 구성요소의 기능에 대하여 살펴보기로 한다.Below, the internal configuration and functions of each component of the security risk response system (400) that performs important functions for implementing the present invention will be examined.

도 2는 본 발명의 일 실시예에 따른 보안 위험 대응 시스템(400)의 내부 구성을 상세하게 도시하는 도면이다.FIG. 2 is a drawing detailing the internal configuration of a security risk response system (400) according to one embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 보안 위험 대응 시스템(400)은, 위험 정보 획득부(410), 보안 위험 관리부(420), 보안 정책 관리부(430), 통신부(440) 및 제어부(450)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, 위험 정보 획득부(410), 보안 위험 관리부(420), 보안 정책 관리부(430), 통신부(440) 및 제어부(450)는 그 중 적어도 일부가 서비스 제공 서버(200) 또는 외부의 시스템(미도시됨)과 통신하는 프로그램 모듈일 수 있다. 이러한 프로그램 모듈은 운영 시스템, 응용 프로그램 모듈 또는 기타 프로그램 모듈의 형태로 보안 위험 대응 시스템(400)에 포함될 수 있고, 물리적으로는 여러 가지 공지의 기억 장치에 저장될 수 있다. 또한, 이러한 프로그램 모듈은 보안 위험 대응 시스템(400)과 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.As illustrated in FIG. 2, a security risk response system (400) according to one embodiment of the present invention may be configured to include a risk information acquisition unit (410), a security risk management unit (420), a security policy management unit (430), a communication unit (440), and a control unit (450). According to one embodiment of the present invention, at least some of the risk information acquisition unit (410), the security risk management unit (420), the security policy management unit (430), the communication unit (440), and the control unit (450) may be program modules that communicate with a service providing server (200) or an external system (not shown). Such program modules may be included in the security risk response system (400) in the form of an operating system, an application program module, or other program modules, and may be physically stored in various known memory devices. In addition, such program modules may be stored in a remote memory device that can communicate with the security risk response system (400). Meanwhile, these program modules include, but are not limited to, routines, subroutines, programs, objects, components, data structures, etc. that perform specific tasks or execute specific abstract data types according to the present invention.

한편, 보안 위험 대응 시스템(400)에 관하여 위와 같이 설명되었으나, 이러한 설명은 예시적인 것이고, 보안 위험 대응 시스템(400)의 구성요소 또는 기능 중 적어도 일부가 필요에 따라 서비스 제공 서버(200), 디바이스(300) 또는 외부 서버(미도시됨) 내에서 실현되거나 외부 시스템(미도시됨) 내에 포함될 수도 있음은 당업자에게 자명하다.Meanwhile, although the security risk response system (400) has been described as above, this description is exemplary, and it is obvious to those skilled in the art that at least some of the components or functions of the security risk response system (400) may be realized within the service providing server (200), device (300), or external server (not shown) or included within an external system (not shown) as needed.

먼저, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)는, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보를 획득하는 기능을 수행할 수 있다.First, the risk information acquisition unit (410) according to one embodiment of the present invention can perform a function of acquiring risk information associated with user authentication in a service providing server (200) that operates a target service.

구체적으로, 본 발명의 일 실시예에 따르면, 서비스 제공 서버(200)를 통하여 대상 서비스, 예를 들면, 금융 서비스, SNS 서비스, 이-커머스 플랫폼(e-commerce) 서비스 등의 서비스를 이용하고자 하는 사용자에게는 사용자 인증이 요구될 수 있다. 본 발명의 일 실시예에 따른 위험 정보 획득부(410)는, 이러한 사용자 인증과 연관되는 위험 정보를 획득하고 필요에 따라 이를 가공 및/또는 저장할 수 있는데, 본 발명의 일 실시예에 따른 위험 정보에는 진정한(또는 정당한) 사용자에 의하여 사용자 인증이 시도되는 것인지를 의심케 하는 액션이 발생되거나, 사용자 인증에 있어서 보안상의 취약점이 발견되거나, 비밀번호가 유출될 위험이 증가하는 등의 다양한 사건에 관한 정보가 포함될 수 있다.Specifically, according to one embodiment of the present invention, a user who wishes to use a target service, such as a financial service, an SNS service, an e-commerce platform service, etc., through a service providing server (200) may be required to perform user authentication. A risk information acquisition unit (410) according to one embodiment of the present invention may acquire risk information associated with such user authentication and process and/or store the same as necessary. The risk information according to one embodiment of the present invention may include information regarding various events, such as an action that raises suspicion as to whether user authentication is attempted by a true (or legitimate) user, a security vulnerability being discovered in user authentication, or an increased risk of password leakage.

본 발명의 일 실시예에 따르면, 이러한 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보는 제3자 서비스에 대한 사용자 인증과 연관되는 공격 정보일 수 있다. 여기서, 본 발명의 일 실시예에 따르면, 제3자 서비스에 대한 사용자 인증이란 대상 서비스가 아닌 제3자의 다른 서비스를 이용하기 위한 사용자 인증을 의미할 수 있다.According to one embodiment of the present invention, risk information associated with user authentication in the service providing server (200) that operates the target service may be attack information associated with user authentication for a third-party service. Here, according to one embodiment of the present invention, user authentication for a third-party service may mean user authentication for using a service other than the target service of a third party.

예를 들면, 대상 서비스가 특정 이-커머스 플랫폼 서비스인 경우에, 그 특정 이-커머스 플랫폼이 아닌 다른 이-커머스 플랫폼 서비스(즉, 제3자 서비스)에서 로그인 실패 시도가 비정상적으로 증가하는 것, 즉 위의 다른 이-커머스 플랫폼이 공격받는 것이 감지되는 상황을 가정할 수 있다. 이러한 경우에, 유사한 공격이 위의 대상 서비스에도 가해질 위험이 있으므로, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)는, 그 감지된 공격 정보를 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보로서 획득할 수 있다.For example, if the target service is a specific e-commerce platform service, it can be assumed that a situation is detected where an abnormal increase in failed login attempts is detected in an e-commerce platform service other than the specific e-commerce platform (i.e., a third-party service), that is, the other e-commerce platform is attacked. In this case, since there is a risk that a similar attack may also be applied to the target service, the risk information acquisition unit (410) according to one embodiment of the present invention can acquire the detected attack information as risk information associated with user authentication in the service providing server (200).

다른 예를 들면, 대상 서비스가 제1 국가(예를 들면, 국내)의 금융 서비스인 경우에, 제2 국가(예를 들면, 외국)의 은행 서비스(즉, 제3자 서비스)에서 여러 계정에 대하여 로그인 위치나 패턴에서 이상 징후가 감지되는 상황을 가정할 수 있다. 이러한 경우에, 유사한 공격이 제1 국가의 금융 서비스, 즉 대상 서비스에도 가해질 위험이 있으므로, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)는, 그 감지된 공격 정보를 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보로서 획득할 수 있다.As another example, if the target service is a financial service in a first country (e.g., domestic), it can be assumed that an abnormality is detected in the login location or pattern for multiple accounts in a banking service (i.e., a third-party service) in a second country (e.g., foreign). In this case, since there is a risk that a similar attack may also be applied to the financial service in the first country, i.e., the target service, the risk information acquisition unit (410) according to one embodiment of the present invention can acquire the detected attack information as risk information associated with user authentication in the service providing server (200).

한편, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보에 관하여 위와 같이 설명되었지만, 제3자 서비스와 대상 서비스이 속성이 반드시 일치할 필요는 없다. 예를 들면, 대상 서비스가 보안이 강조되어야 하는 금융 서비스이고, 제3자 서비스는 사용자의 자유로운 참여가 장려되어야 하는 SNS 서비스일 수도 있다.Meanwhile, as described above with respect to risk information associated with user authentication in the service providing server (200) that operates the target service, the attributes of the third-party service and the target service do not necessarily need to match. For example, the target service may be a financial service that requires emphasis on security, and the third-party service may be an SNS service that requires encouragement of free participation by users.

한편, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)는, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보를 복수의 파라미터별로 획득할 수 있다.Meanwhile, the risk information acquisition unit (410) according to one embodiment of the present invention can acquire risk information associated with user authentication in a service providing server (200) operating a target service for each of a plurality of parameters.

구체적으로, 본 발명의 일 실시예에 따르면, 파라미터란 소정 기준에 따라 분류 또는 군집화되는 특정한 위험 유형 내지 공격 유형을 의미할 수 있다. 본 발명의 일 실시예에 따르면, 이러한 파라미터들은 적어도 하나의 계정들에 대하여 부여되는 값(예를 들면, 0 내지 1 사이의 값), 플래그(예를 들면, 0 또는 1), 카운트 횟수 등을 값으로 가질 수 있으나, 이러한 형식에 제한되는 것은 아니다.Specifically, according to one embodiment of the present invention, a parameter may mean a specific risk type or attack type that is classified or clustered according to a predetermined criterion. According to one embodiment of the present invention, these parameters may have as values a value assigned to at least one account (e.g., a value between 0 and 1), a flag (e.g., 0 or 1), a count number, etc., but are not limited to this format.

예를 들면, 본 발명의 일 실시예에 따른 파라미터에는 다음과 같은 것들이 포함될 수 있다:For example, parameters according to one embodiment of the present invention may include:

1. 비정상적인 로그인 시간: 사용자가 일반적으로 로그인하지 않는 시간에 로그인을 시도하는 경우1. Abnormal login times: When a user attempts to log in at a time when he or she does not normally log in.

2. 로그인 시도의 갑작스러운 증가: 짧은 시간 내에 반복적인 로그인 시도가 발생하는 경우2. Sudden increase in login attempts: When repeated login attempts occur within a short period of time.

3. 로그인 시도 실패: 로그인 시도가 연속적으로 실패하는 경우3. Failed login attempts: If login attempts fail consecutively.

4. 비정상적인 로그인 위치: 사용자가 평소 로그인 영역과 상당히 다른 위치에서 로그인을 시도하는 경우4. Unusual login location: If the user attempts to log in from a location that is significantly different from the usual login area.

5. 여러 위치에서 동시 로그인 시도: 로그인 시도가 여러 위치에서 비정상적으로 빠른 속도로 발생하는 경우5. Simultaneous login attempts from multiple locations: If login attempts occur at an unusually high rate from multiple locations.

6. 비정상적인 장치, 브라우저 또는 OS의 변경: 사용자가 평소 사용하지 않는 디바이스에서 로그인을 시도하는 경우6. Unusual device, browser, or OS changes: If the user attempts to log in from a device that he or she does not normally use.

7. VPN 또는 프록시 사용: 로그인 위치를 숨기려는 시도가 있는 경우7. Use a VPN or proxy: If you are trying to hide your login location.

8. 잦은 비밀번호 변경: 사용자가 비정상적으로 비밀번호를 자주 변경하는 경우8. Frequent password changes: If the user changes his/her password unusually frequently.

9. 여러 계정 로그인 시도: 동일한 디바이스에서 여러 계정으로 로그인을 반복해서 시도하는 경우9. Attempting to log in to multiple accounts: If you repeatedly attempt to log in to multiple accounts on the same device.

10. 비밀번호 재설정 요청 증가: 짧은 시간 내에 비밀번호 재설정 요청이 여러 번 발생하는 경우10. Increased password reset requests: If multiple password reset requests occur within a short period of time.

11. 서버에 대한 여러 요청: 단기간 내에 단일 계정에서 서버에 대한 요청이 급증하는 경우11. Multiple requests to the server: When there is a sudden surge of requests to the server from a single account within a short period of time.

12. 취약한 비밀번호 사용: 사용자가 너무 짧거나, 쉽게 추측할 수 있거나, 대문자, 소문자, 숫자, 특수 문자의 조합이 없는 등 취약한 것으로 간주되는 비밀번호를 설정하는 경우12. Using weak passwords: When users set passwords that are considered weak, such as being too short, easily guessable, or not containing a combination of uppercase and lowercase letters, numbers, or special characters.

13. 유출된 비밀번호: 제3자 서비스에서 유출된 비밀번호와 유사한 비밀번호를 사용하는 경우13. Leaked Password: If you use a password similar to a password leaked from a third-party service

다만, 본 발명의 일 실시예에 따른 파라미터는 위의 열거된 것에 한정되지 않으며, 본 발명의 목적을 달성할 수 있는 범위 내에서 다양하게 변경될 수 있다.However, parameters according to one embodiment of the present invention are not limited to those listed above, and may be variously changed within a range that can achieve the purpose of the present invention.

또한, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보 및 그와 연관되는 파라미터가 주로 로그인을 시도하는 상황에 관한 것으로 설명되었지만, 이에 제한되는 것은 아니며, 경우에 따라서는 로그인 된 상태에서의 사용자의 행동 정보, 예를 들면, 비정상적인 키보드/마우스 입력 패턴 등에 관한 정보도 이러한 위험 정보 및/또는 파라미터에 해당할 수 있다.In addition, although the risk information and parameters associated therewith associated with user authentication in the service providing server (200) operating the target service have been described primarily in relation to a situation in which a login attempt is made, they are not limited thereto, and in some cases, information regarding the user's behavior while logged in, for example, information regarding abnormal keyboard/mouse input patterns, etc., may also correspond to such risk information and/or parameters.

다음으로, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 위험 감지 모델을 이용하여 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 기능을 수행할 수 있다.Next, the security risk management unit (420) according to one embodiment of the present invention can perform a function of evaluating whether there is a security risk regarding user authentication in a service providing server (200) that operates a target service using a risk detection model.

구체적으로, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보가 본 발명의 일 실시예에 따른 위험 정보 획득부(410)에 의하여 획득되면, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 위험 감지 모델을 이용하여 이러한 위험 정보를 처리함으로써 사용자 인증에 관한 보안 위험이 있는지와 연관되는 확률(probability), 벡터(vector), 행렬(matrix), 로짓(logit) 및 좌표(coordinate) 중 적어도 하나가 출력되도록 할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 이러한 출력에 기초하여 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행할 수 있다.Specifically, when risk information associated with user authentication in a service providing server (200) operating a target service is acquired by a risk information acquisition unit (410) according to an embodiment of the present invention, a security risk management unit (420) according to an embodiment of the present invention may process such risk information using a risk detection model to output at least one of a probability, a vector, a matrix, a logit, and a coordinate associated with whether there is a security risk regarding user authentication. In addition, the security risk management unit (420) according to an embodiment of the present invention may perform an evaluation of whether there is a security risk regarding user authentication based on such output.

여기서, 본 발명의 일 실시예에 따르면, 위험 감지 모델은 인공 신경망을 기반으로 하여 입력층(input layer), 은닉층(hidden layer) 및 출력층(output layer)을 포함하여 구성될 수 있다. 한편, 본 발명에 따른 위험 감지 모델이 반드시 위에서 설명된 인공 신경망 모델에만 한정되는 것은 아니며, 본 발명의 목적을 달성할 수 있는 범위 내에서 지도학습, 비지도학습, 강화학습 또는 심층학습에 포함되는 다양한 학습 알고리즘을 구현할 수 있는 모델로 변경될 수 있다. 다른 예를 들면, 본 발명의 일 실시예에 따른 위험 감지 모델은 룰 기반(rule based) 모델로서 구현될 수도 있다.Here, according to one embodiment of the present invention, the risk detection model may be configured to include an input layer, a hidden layer, and an output layer based on an artificial neural network. Meanwhile, the risk detection model according to the present invention is not necessarily limited to the artificial neural network model described above, and may be changed to a model capable of implementing various learning algorithms included in supervised learning, unsupervised learning, reinforcement learning, or deep learning within the scope that can achieve the purpose of the present invention. As another example, the risk detection model according to one embodiment of the present invention may be implemented as a rule-based model.

한편, 본 발명의 일 실시예에 따르면, 위험 감지 모델은 서비스 제공 서버(200)의 속성 또는 서비스 제공 서버(200)가 제공하는 대상 서비스의 속성에 기초하여 맞춤화될 수 있다.Meanwhile, according to one embodiment of the present invention, the risk detection model can be customized based on the properties of the service providing server (200) or the properties of the target service provided by the service providing server (200).

예를 들어, 대상 서비스가 보안이 강조되어야 하는 금융 서비스인 경우에, 본 발명의 일 실시예에 따른 위험 감지 모델은 사용자 인증에 관한 보안 위험이 있는지를 엄격하게 탐지하는 방향으로 맞춤화되어 학습될 수 있다. 다른 예를 들어, 대상 서비스가 사용자의 자유로운 참여가 장려되어야 하는 SNS 서비스인 경우에는, 본 발명의 일 실시예에 따른 위험 감지 모델은 사용자 인증에 관한 보안 위험이 있는지를 느슨하게 탐지하는 방향으로 맞춤화되어 학습될 수도 있다.For example, if the target service is a financial service that requires an emphasis on security, the risk detection model according to an embodiment of the present invention may be trained and customized to strictly detect whether there is a security risk regarding user authentication. For another example, if the target service is an SNS service that requires the free participation of users, the risk detection model according to an embodiment of the present invention may be trained and customized to loosely detect whether there is a security risk regarding user authentication.

이렇게 함으로써, 사용자 인증과 연관되는 위험 정보가 동일한 것이라 하더라도, 사용자 인증에 관한 보안 위험이 있는지에 관한 평가 결과는 대상 서비스의 속성에 따라 달라지도록 할 수 있다.By doing so, even if the risk information associated with user authentication is the same, the evaluation result regarding whether there is a security risk regarding user authentication can be made to vary depending on the properties of the target service.

한편, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 위험 감지 모델을 이용하여 사용자 인증에 관한 보안 위험의 유형을 특정할 수 있다.Meanwhile, the security risk management unit (420) according to one embodiment of the present invention can identify the type of security risk related to user authentication using a risk detection model.

구체적으로, 상술한 바와 같이, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 위험 감지 모델을 이용하여 위험 정보를 처리함으로써 사용자 인증에 관한 보안 위험이 있는지와 연관되는 확률, 벡터, 행렬, 로짓 및 좌표 중 적어도 하나가 출력되도록 할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 이러한 출력을 소정 기준에 따라 특정 보안 위험의 유형으로 분류하거나 군집화할 수 있다. 여기서, 출력을 분류하거나 군집화함에 있어서 사용되는 기준은 기설정되거나 학습 과정에서 동적으로 업데이트될 수 있다.Specifically, as described above, the security risk management unit (420) according to one embodiment of the present invention can process risk information using a risk detection model so that at least one of a probability, a vector, a matrix, a logit, and a coordinate associated with whether there is a security risk regarding user authentication is output. In addition, the security risk management unit (420) according to one embodiment of the present invention can classify or cluster such output into a type of specific security risk according to a predetermined criterion. Here, the criterion used in classifying or clustering the output may be preset or dynamically updated during the learning process.

그리고, 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증과 연관되는 위험 정보가 복수의 파라미터별로 획득되는 경우에, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 복수의 파라미터별 위험 정보에 기초하여 사용자 인증에 관한 보안 위험의 유형을 특정할 수도 있다.In addition, when risk information associated with user authentication in a service providing server (200) that operates a target service is acquired for each of a plurality of parameters, the security risk management unit (420) according to one embodiment of the present invention may specify the type of security risk related to user authentication based on the risk information for each of a plurality of parameters.

한편, 발명의 일 실시예에 따르면, 보안 위험의 유형에는 무차별 암호 대입 공격, 피싱(Phishing) 공격, 크리덴셜 스터핑(Credential Stuffing) 공격, 비밀번호 스프레이 공격 등이 포함될 수 있으나, 이에 제한되는 것은 아니다.Meanwhile, according to one embodiment of the invention, types of security risks may include, but are not limited to, brute force password attacks, phishing attacks, credential stuffing attacks, password spray attacks, etc.

다음으로, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)에 의한 평가 결과에 기초하여 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증에 적용될 보안 정책을 결정하는 기능을 수행할 수 있다.Next, the security policy management unit (430) according to one embodiment of the present invention can perform a function of determining a security policy to be applied to user authentication in a service providing server (200) operating a target service based on the evaluation result by the security risk management unit (420) according to one embodiment of the present invention.

구체적으로, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 사용자 인증에 관한 보안 위험이 있는지 또는 어떤 유형의 보안 위험에 해당하는지에 관한 평가 결과(예를 들면, 점수, 확률 등)를 본 발명의 일 실시예에 따른 보안 정책 관리부(430) 및/또는 서비스 제공 서버(200)에 제공할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 이러한 평가 결과에 기초하여 사용자 인증에 적용될 보안 정책을 결정할 수 있다.Specifically, the security risk management unit (420) according to one embodiment of the present invention may provide an evaluation result (e.g., score, probability, etc.) regarding whether there is a security risk regarding user authentication or what type of security risk it corresponds to, to the security policy management unit (430) according to one embodiment of the present invention and/or the service providing server (200). In addition, the security policy management unit (430) according to one embodiment of the present invention may determine a security policy to be applied to user authentication based on the evaluation result.

예를 들면, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 위험 감지 모델을 이용하여 사용자 인증에 관한 보안 위험이 있는지 또는 어떤 유형의 보안 위험에 해당하는지에 대한 확률(0.7)을 산출하여 그 확률을 본 발명의 일 실시예에 따른 보안 정책 관리부(430) 및/또는 서비스 제공 서버(200)에 제공할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 수신한 확률(0.7)을 참조하고 자체적인 판단 기준에 근거하여 사용자 인증에 적용될 보안 정책을 결정할 수 있다.For example, the security risk management unit (420) according to one embodiment of the present invention may calculate a probability (0.7) of whether there is a security risk regarding user authentication or what type of security risk it corresponds to by using a risk detection model and provide the probability to the security policy management unit (430) and/or the service providing server (200) according to one embodiment of the present invention. Then, the security policy management unit (430) according to one embodiment of the present invention may refer to the received probability (0.7) and determine a security policy to be applied to user authentication based on its own judgment criteria.

여기서, 본 발명의 일 실시예에 따르면, 사용자 인증에 적용될 보안 정책이란 보안 수준(예를 들면, 사용자 인증 시 사용자의 행동이 이상 행동인지 여부를 엄격하게 판단할지, 느슨하게 판단할지 등), 인증 단계를 몇 단계로 구성할 것인지, 캡차(CAPTCHA; Completely Automated Public Turing test to tell Computers and Humans Apart) 등과 같은 추가 인증 절차의 수행 여부, 사용자 및/또는 서비스 제공 서버(200)에 적절한 알림을 제공할 것인지 여부, 특정 공격 패턴 내지 파라미터에 대한 모니터링 속도, 비밀번호 정책, 현재 또는 변경될 보안 정책의 적용(또는 유효) 기간 등을 포함하는 개념일 수 있다.Here, according to one embodiment of the present invention, the security policy to be applied to user authentication may be a concept including a security level (for example, whether to strictly or loosely determine whether the user's behavior is abnormal during user authentication, etc.), the number of authentication steps to be configured, whether to perform an additional authentication procedure such as a CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), whether to provide an appropriate notification to the user and/or the service providing server (200), the monitoring speed for a specific attack pattern or parameter, a password policy, the application (or validity) period of the current or to be changed security policy, etc.

다만, 본 발명의 일 실시예에 따른 보안 정책은 위의 열거된 것에 한정되지 않으며, 본 발명의 목적을 달성할 수 있는 범위 내에서 다양하게 변경될 수 있다.However, the security policy according to one embodiment of the present invention is not limited to those listed above, and may be variously changed within the scope that can achieve the purpose of the present invention.

보다 구체적으로, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 사용자 인증에 관한 보안 위험이 있는 것으로 평가되는 것에 응답하여, 사용자 인증의 보안 수준이 임시적으로 강화되도록 보안 정책을 결정할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 보안 수준이 임시적으로 강화됨에 따라 서비스 제공 서버(200)에서의 사용자 인증 시에 추가 인증 절차가 수행되도록 보안 정책을 결정할 수 있다.More specifically, the security policy management unit (430) according to one embodiment of the present invention may determine a security policy so that the security level of user authentication is temporarily strengthened in response to an evaluation that there is a security risk regarding user authentication. In addition, the security policy management unit (430) according to one embodiment of the present invention may determine a security policy so that an additional authentication procedure is performed during user authentication at the service providing server (200) as the security level is temporarily strengthened.

한편, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 상술한 바와 같이, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)에 의하여 보안 위험의 유형이 특정되면, 그 보안 위험의 유형에 더 기초하여 대상 서비스를 운영하는 서비스 제공 서버(200)에서의 사용자 인증에 적용될 보안 정책을 결정할 수 있다.Meanwhile, the security policy management unit (430) according to one embodiment of the present invention, as described above, when the type of security risk is specified by the security risk management unit (420) according to one embodiment of the present invention, can determine a security policy to be applied to user authentication in the service providing server (200) operating the target service based on the type of the security risk.

예를 들면, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)에 의하여 제3자 서비스에 대한 로그인 실패 시도가 비정상적으로 증가하는 것을 감지된 상황을 가정할 수 있다. 이러한 경우에, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 보안 위험의 유형을 무차별 암호 대입 공격으로 특정할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 속도가 빠른 순차적 로그인 시도에 대하여 민감도를 높이고, 사용자 인증 시에 캡차(CAPTCHA)가 추가적으로 수행되도록 할 수 있다.For example, it can be assumed that a situation is detected in which an abnormal increase in failed login attempts to a third-party service is detected by the risk information acquisition unit (410) according to one embodiment of the present invention. In this case, the security risk management unit (420) according to one embodiment of the present invention can specify the type of security risk as a brute force password attack. In addition, the security policy management unit (430) according to one embodiment of the present invention can increase sensitivity to fast sequential login attempts and additionally perform a CAPTCHA when authenticating a user.

다른 예를 들면, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)에 의하여 특정 유럽 은행의 고객이 가짜 로그인 페이지로 안내하는 이메일을 수신하였다는 사실 및 여러 계정의 로그인 위치 및 패턴에서 이상 징후가 감지된 상황을 가정할 수 있다. 이러한 경우에, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 보안 위험의 유형을 피싱 공격으로 특정할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 비정상적인 로그인 패턴에 대한 민감도를 높이고, 사용자 및/또는 서비스 제공 서버(200)에게 적절한 알림을 전송하며, 사용자 인증 시에 추가 인증 단계가 수행되도록 할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 해당 가짜 로그인 페이지가 블랙리스트에 추가되도록 할 수 있다.As another example, it may be assumed that a risk information acquisition unit (410) according to one embodiment of the present invention has detected that a customer of a specific European bank has received an email guiding to a fake login page, and that abnormalities have been detected in the login locations and patterns of multiple accounts. In this case, the security risk management unit (420) according to one embodiment of the present invention may specify the type of security risk as a phishing attack. In addition, the security policy management unit (430) according to one embodiment of the present invention may increase sensitivity to abnormal login patterns, send appropriate notifications to users and/or service provision servers (200), and perform additional authentication steps during user authentication. In addition, the security risk management unit (420) according to one embodiment of the present invention may cause the corresponding fake login page to be added to a blacklist.

또 다른 예를 들면, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)에 의하여 여러 호주 의료 포털에서 서로 다른 사용자 이름(계정)-비밀번호 조합을 사용하여 여러 번의 로그인 시도가 감지된 상황을 가정할 수 있다. 이러한 경우에, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 보안 위험의 유형을 크리덴셜 스터핑 공격으로 특정할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 크리덴셜 스터핑 공격에 관한 모니터링의 속도를 높이고, 로그인 이상 탐지 시 사용되는 임계값을 조정하여 이상 탐지의 기준이 더 엄격해지도록 할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 사용자 및/또는 서비스 제공 서버(200)에게 비밀번호를 변경하라는 알림을 전송하며, 모든 사용자에게 일시적으로 다단계 인증이 의무화되도록 할 수 있다.As another example, it can be assumed that multiple login attempts using different user name (account)-password combinations are detected by the risk information acquisition unit (410) according to one embodiment of the present invention on multiple Australian medical portals. In this case, the security risk management unit (420) according to one embodiment of the present invention can specify the type of security risk as a credential stuffing attack. In addition, the security policy management unit (430) according to one embodiment of the present invention can increase the speed of monitoring for credential stuffing attacks and adjust the threshold used when detecting login abnormalities so that the criteria for abnormality detection become stricter. In addition, the security risk management unit (420) according to one embodiment of the present invention can send a notification to the user and/or the service providing server (200) to change the password and temporarily require multi-step authentication for all users.

또 다른 예를 들면, 본 발명의 일 실시예에 따른 위험 정보 획득부(410)에 의하여 여러 아시아 교육 기관 포털에서 공통 비밀번호를 사용한 동시 로그인 시도가 감지된 상황을 가정할 수 있다. 이러한 경우에, 본 발명의 일 실시예에 따른 보안 위험 관리부(420)는, 보안 위험의 유형을 비밀번호 스프레이 공격으로 특정할 수 있다. 그리고, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 더 엄격한 비밀번호 정책이 적용되도록 하고, 비밀번호 스프레이 공격으로 인한 로그인 실패 횟수가 줄어든다고 판단되면 사용자 계정이 일시적으로 잠기도록 할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 사용자 및/또는 서비스 제공 서버(200)에게 경고와 함께 더 강력하고 고유한 비밀번호를 만들라는 메시지가 전송되도록 하고, 그에 더하여 비밀번호 보안에 대한 캠페인이 시작되도록 할 수 있다.As another example, it can be assumed that a simultaneous login attempt using a common password is detected by the risk information acquisition unit (410) according to one embodiment of the present invention on multiple Asian educational institution portals. In this case, the security risk management unit (420) according to one embodiment of the present invention can specify the type of security risk as a password spray attack. In addition, the security policy management unit (430) according to one embodiment of the present invention can apply a stricter password policy and temporarily lock the user account if it is determined that the number of login failures due to the password spray attack has decreased. In addition, the security policy management unit (430) according to one embodiment of the present invention can send a message to the user and/or the service providing server (200) along with a warning to create a stronger and unique password, and in addition, can initiate a campaign on password security.

한편, 본 발명의 일 실시예에 따른 보안 정책 관리부(430)는, 위와 같이 결정된 보안 정책이 사용자 인증에 적용되는 것에 응답하여, 그 결정된 보안 정책을 조정할 수 있도록 하는 사용자 인터페이스를 대상 서비스의 운영 주체에게 제공할 수 있다. 이렇게 함으로써, 대상 서비스의 운영 주체, 예를 들면 서비스 제공 서버(200)의 운영 주체는 이러한 사용자 인터페이스를 이용하여 어떠한 보안 정책이 적용되고 있는지를 확인할 수 있고, 보안 정책에 관한 변수나 조건들을 상황에 맞게 설정하거나 조정할 수 있게 된다.Meanwhile, the security policy management unit (430) according to one embodiment of the present invention can provide a user interface to the operating entity of the target service that allows the determined security policy to be adjusted in response to the application of the determined security policy to user authentication. By doing so, the operating entity of the target service, for example, the operating entity of the service providing server (200), can use this user interface to check which security policy is being applied, and can set or adjust variables or conditions related to the security policy according to the situation.

다음으로, 본 발명의 일 실시예에 따른 통신부(440)는 위험 정보 획득부(410), 보안 위험 관리부(420) 및 보안 정책 관리부(430)로부터의/로의 데이터 송수신이 가능하도록 하는 기능을 수행할 수 있다.Next, the communication unit (440) according to one embodiment of the present invention can perform a function that enables data transmission and reception from/to the risk information acquisition unit (410), the security risk management unit (420), and the security policy management unit (430).

마지막으로, 본 발명의 일 실시예에 따른 제어부(450)는 위험 정보 획득부(410), 보안 위험 관리부(420), 보안 정책 관리부(430) 및 통신부(440) 간의 데이터의 흐름을 제어하는 기능을 수행할 수 있다. 즉, 본 발명의 일 실시예에 따른 제어부(450)는 보안 위험 대응 시스템(400)의 외부로부터의/로의 데이터 흐름 또는 보안 위험 대응 시스템(400)의 각 구성요소 간의 데이터 흐름을 제어함으로써, 위험 정보 획득부(410), 보안 위험 관리부(420), 보안 정책 관리부(430) 및 통신부(440)에서 각각 고유 기능을 수행하도록 제어할 수 있다.Finally, the control unit (450) according to one embodiment of the present invention can perform a function of controlling the flow of data between the risk information acquisition unit (410), the security risk management unit (420), the security policy management unit (430), and the communication unit (440). That is, the control unit (450) according to one embodiment of the present invention can control the flow of data from/to the outside of the security risk response system (400) or the flow of data between each component of the security risk response system (400), thereby controlling the risk information acquisition unit (410), the security risk management unit (420), the security policy management unit (430), and the communication unit (440) to perform their own functions.

이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위하여 하나 이상의 소프트웨어 모듈로 변경될 수 있으며, 그 역도 마찬가지이다.The embodiments of the present invention described above may be implemented in the form of program commands that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, etc., alone or in combination. The program commands recorded on the computer-readable recording medium may be those specially designed and configured for the present invention or those known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, and hardware devices specially configured to store and execute program commands, such as ROMs, RAMs, and flash memories. Examples of the program commands include not only machine language codes generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter, etc. The hardware devices may be changed into one or more software modules to perform processing according to the present invention, and vice versa.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항과 한정된 실시예 및 도면에 의하여 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위하여 제공된 것일 뿐, 본 발명이 상기 실시예에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정과 변경을 꾀할 수 있다.Although the present invention has been described above with reference to specific details such as specific components and limited examples and drawings, these have been provided only to help a more general understanding of the present invention, and the present invention is not limited to the above examples, and those with common knowledge in the technical field to which the present invention pertains may make various modifications and changes based on this description.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the idea of the present invention should not be limited to the embodiments described above, and not only the scope of the patent claims described below but also all scopes equivalent to or equivalently modified from the scope of the patent claims are included in the scope of the idea of the present invention.

100: 통신망
200: 서비스 제공 서버
300: 디바이스
200: 보안 위험 대응 시스템
410: 위험 정보 획득부
420: 보안 위험 관리부
430: 보안 정책 관리부
440: 통신부
450: 제어부100: Communication network
200: Service Provider Server
300: Device
200: Security Risk Response System
410: Hazard Information Acquisition Unit
420: Security Risk Management Department
430: Security Policy Management Department
440: Communications Department
450: Control Unit

Claims (15)

보안 위험에 대하여 적응적으로 대응하기 위한 방법으로서,
대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하는 단계, 및
위험 감지 모델을 이용하여 상기 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 단계, 및
상기 평가 결과에 기초하여 상기 사용자 인증에 적용될 보안 정책을 결정하는 단계를 포함하고,
상기 수행 단계에서, 상기 위험 감지 모델을 이용하여 상기 보안 위험의 유형을 특정하고,
상기 결정 단계에서, 상기 보안 위험의 유형에 더 기초하여 상기 보안 정책을 결정하고,
상기 결정 단계에서, 상기 사용자 인증에 관한 보안 위험이 있는 것으로 평가되는 것에 응답하여, 상기 사용자 인증의 보안 수준이 임시적으로 강화되도록 상기 보안 정책을 결정하고,
상기 결정 단계에서, 상기 보안 수준이 임시적으로 강화됨에 따라, 상기 서비스 제공 서버에서의 사용자 인증 시에 상기 사용자의 행동이 이상 행동인지 여부가 기존 보안 수준보다 엄격하게 판단되도록, 상기 서비스 제공 서버에서의 사용자 인증 시에 추가 인증 절차가 수행되도록, 및 상기 보안 위험의 유형에 관한 모니터링 속도가 기존 속도보다 높아지도록 상기 보안 정책을 결정하는
방법.As a method for adaptively responding to security risks,
A step for obtaining risk information associated with user authentication on a service providing server that operates the target service, and
A step of performing an evaluation on whether there is a security risk regarding the user authentication using a risk detection model, and
A step of determining a security policy to be applied to the user authentication based on the evaluation result is included.
In the above execution step, the type of security risk is identified using the risk detection model,
In the above decision step, the security policy is determined based more on the type of security risk,
In the above decision step, in response to the evaluation that there is a security risk regarding the user authentication, the security policy is determined so that the security level of the user authentication is temporarily strengthened.
In the above decision step, as the security level is temporarily strengthened, the security policy is determined so that when authenticating a user on the service providing server, whether the user's behavior is abnormal is judged more strictly than the existing security level, so that an additional authentication procedure is performed when authenticating a user on the service providing server, and so that the monitoring speed for the type of security risk is increased compared to the existing speed.
method. 제1항에 있어서,
상기 획득 단계에서, 제3자 서비스에 대한 사용자 인증과 연관되는 공격 정보를 상기 위험 정보로서 획득하는
방법.In the first paragraph,
In the above acquisition step, attack information associated with user authentication for a third-party service is acquired as the risk information.
method. 삭제delete 제1항에 있어서,
상기 획득 단계에서, 상기 위험 정보는 복수의 파라미터별로 획득되고,
상기 수행 단계에서, 상기 복수의 파라미터별 위험 정보에 기초하여 상기 보안 위험의 유형을 특정하는
방법.In the first paragraph,
In the above acquisition step, the risk information is acquired for each of multiple parameters,
In the above execution step, the type of security risk is specified based on the risk information for each of the plurality of parameters.
method. 삭제delete 삭제delete 제1항에 있어서,
상기 결정된 보안 정책이 상기 사용자 인증에 적용되는 것에 응답하여, 상기 결정된 보안 정책을 조정할 수 있도록 하는 사용자 인터페이스를 상기 대상 서비스의 운영 주체에게 제공하는
방법.In the first paragraph,
In response to the application of the above-determined security policy to the above-determined user authentication, a user interface is provided to the operator of the above-determined target service that allows the operator to adjust the above-determined security policy.
method. 제1항에 따른 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 비일시성의 컴퓨터 판독 가능 기록 매체.A non-transitory computer-readable recording medium recording a computer program for executing the method according to claim 1. 보안 위험에 대하여 적응적으로 대응하기 위한 시스템으로서,
대상 서비스를 운영하는 서비스 제공 서버에서의 사용자 인증과 연관되는 위험 정보를 획득하는 위험 정보 획득부, 및
위험 감지 모델을 이용하여 상기 사용자 인증에 관한 보안 위험이 있는지에 관한 평가를 수행하는 보안 위험 관리부, 및
상기 평가 결과에 기초하여 상기 사용자 인증에 적용될 보안 정책을 결정하는 보안 정책 관리부를 포함하고,
상기 보안 위험 관리부는, 상기 위험 감지 모델을 이용하여 상기 보안 위험의 유형을 특정하고,
상기 보안 정책 관리부는, 상기 보안 위험의 유형에 더 기초하여 상기 보안 정책을 결정하고,
상기 보안 정책 관리부는, 상기 사용자 인증에 관한 보안 위험이 있는 것으로 평가되는 것에 응답하여, 상기 사용자 인증의 보안 수준이 임시적으로 강화되도록 상기 보안 정책을 결정하고,
상기 보안 정책 관리부는, 상기 보안 수준이 임시적으로 강화됨에 따라, 상기 서비스 제공 서버에서의 사용자 인증 시에 상기 사용자의 행동이 이상 행동인지 여부가 기존 보안 수준보다 엄격하게 판단되도록, 상기 서비스 제공 서버에서의 사용자 인증 시에 추가 인증 절차가 수행되도록, 및 상기 보안 위험의 유형에 관한 모니터링 속도가 기존 속도보다 높아지도록 상기 보안 정책을 결정하는
시스템.As a system for adaptively responding to security risks,
A risk information acquisition unit that acquires risk information associated with user authentication on a service providing server that operates the target service, and
A security risk management department that performs an evaluation on whether there is a security risk related to the above user authentication using a risk detection model, and
Includes a security policy management unit that determines a security policy to be applied to the user authentication based on the evaluation results;
The above security risk management department uses the risk detection model to identify the type of security risk,
The above security policy management department determines the security policy based further on the type of security risk,
The above security policy management unit, in response to the evaluation that there is a security risk regarding the user authentication, determines the security policy to temporarily strengthen the security level of the user authentication,
The above security policy management unit determines the security policy so that, as the security level is temporarily strengthened, whether the user's behavior is abnormal is judged more strictly than the existing security level at the time of user authentication at the service providing server, an additional authentication procedure is performed at the time of user authentication at the service providing server, and the monitoring speed for the type of security risk is increased compared to the existing speed.
System. 제9항에 있어서,
상기 위험 정보 획득부는, 제3자 서비스에 대한 사용자 인증과 연관되는 공격 정보를 상기 위험 정보로서 획득하는
시스템.In Article 9,
The above risk information acquisition unit acquires attack information related to user authentication for a third-party service as the above risk information.
System. 삭제delete 제9항에 있어서,
상기 위험 정보 획득부는, 복수의 파라미터별로 상기 위험 정보를 획득하고,
상기 보안 위험 관리부는, 상기 복수의 파라미터별 위험 정보에 기초하여 상기 보안 위험의 유형을 특정하는
시스템.In Article 9,
The above risk information acquisition unit acquires the risk information by multiple parameters,
The above security risk management department identifies the type of security risk based on the risk information for each of the plurality of parameters.
System. 삭제delete 삭제delete 제9항에 있어서,
상기 보안 정책 관리부는, 상기 결정된 보안 정책이 상기 사용자 인증에 적용되는 것에 응답하여, 상기 결정된 보안 정책을 조정할 수 있도록 하는 사용자 인터페이스를 상기 대상 서비스의 운영 주체에게 제공하는
시스템.In Article 9,
The above security policy management unit provides the operator of the target service with a user interface that allows the operator to adjust the above determined security policy in response to the above determined security policy being applied to the user authentication.
System.
KR1020230150384A 2023-11-02 2023-11-02 Method and system for adaptively responding to security risks KR102710773B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230150384A KR102710773B1 (en) 2023-11-02 2023-11-02 Method and system for adaptively responding to security risks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230150384A KR102710773B1 (en) 2023-11-02 2023-11-02 Method and system for adaptively responding to security risks

Publications (1)

Publication Number Publication Date
KR102710773B1 true KR102710773B1 (en) 2024-09-27

Family

ID=92913026

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230150384A KR102710773B1 (en) 2023-11-02 2023-11-02 Method and system for adaptively responding to security risks

Country Status (1)

Country Link
KR (1) KR102710773B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100785715B1 (en) 2004-04-01 2007-12-18 가부시끼가이샤 도시바 Log in system and method
KR20170135495A (en) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 Cyber Threat Information Analysis and Management System
KR102381150B1 (en) * 2020-10-07 2022-03-31 주식회사 쏘마 Security management system and method for remote working environment
KR20230110065A (en) * 2022-01-14 2023-07-21 주식회사 에어큐브 Method for security conformity verification and apparatus thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100785715B1 (en) 2004-04-01 2007-12-18 가부시끼가이샤 도시바 Log in system and method
KR20170135495A (en) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 Cyber Threat Information Analysis and Management System
KR102381150B1 (en) * 2020-10-07 2022-03-31 주식회사 쏘마 Security management system and method for remote working environment
KR20230110065A (en) * 2022-01-14 2023-07-21 주식회사 에어큐브 Method for security conformity verification and apparatus thereof

Similar Documents

Publication Publication Date Title
US11899808B2 (en) Machine learning for identity access management
US10360367B1 (en) Multi-factor authentication devices
US9787723B2 (en) Devices and methods for threat-based authentication for access to computing resources
CN107665301B (en) Verification method and device
EP3101865B1 (en) Detection of anomalous administrative actions
US10547642B2 (en) Security via adaptive threat modeling
US20200213324A1 (en) Discovering and evaluating privileged entities in a network environment
US9898739B2 (en) System and method for ensuring safety of online transactions
US11392677B2 (en) Modifying application function based on login attempt confidence score
US10270802B2 (en) Detection of scripted activity
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
CA2944910A1 (en) Adjustment of protection based on prediction and warning of malware-prone activity
CN102484640A (en) Threat detection in a data processing system
CN112491803A (en) Method for judging executive in mimicry WAF
JP2019036273A (en) System and method of identifying potentially dangerous devices during interaction of user with banking services
CN117150459A (en) Zero-trust user identity security detection method and system
JP7320462B2 (en) Systems and methods for performing tasks on computing devices based on access rights
KR102710773B1 (en) Method and system for adaptively responding to security risks
EP3462359B1 (en) System and method of identifying new devices during a user's interaction with banking services
Sheik Abdullah et al. Big Data and Analytics
KR102721152B1 (en) Method and system for detecting login anomaly
US11729177B2 (en) System and method for authentication
CN117134999B (en) Safety protection method of edge computing gateway, storage medium and gateway
CN117857221B (en) Authority management method and system for remote service platform
US11245703B2 (en) Security tool for considering multiple security contexts

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant