[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2021085701A1 - Device for processing security event using blockchain and smart contract, and method therefor - Google Patents

Device for processing security event using blockchain and smart contract, and method therefor Download PDF

Info

Publication number
WO2021085701A1
WO2021085701A1 PCT/KR2019/014775 KR2019014775W WO2021085701A1 WO 2021085701 A1 WO2021085701 A1 WO 2021085701A1 KR 2019014775 W KR2019014775 W KR 2019014775W WO 2021085701 A1 WO2021085701 A1 WO 2021085701A1
Authority
WO
WIPO (PCT)
Prior art keywords
hash value
security event
merge
log information
security
Prior art date
Application number
PCT/KR2019/014775
Other languages
French (fr)
Korean (ko)
Inventor
신희창
김동준
이창호
차재일
Original Assignee
주식회사 이스트게임즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이스트게임즈 filed Critical 주식회사 이스트게임즈
Publication of WO2021085701A1 publication Critical patent/WO2021085701A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Definitions

  • the present invention relates to a security event processing technology, and more particularly, to an apparatus for processing a security event using a block chain and a smart contract, and a method therefor.
  • An object of the present invention is to provide an apparatus and a method for dynamically verifying the integrity of such a security event and automatically recovering the integrity when a problem occurs.
  • the apparatus for processing a security event for achieving the above-described object, whenever a security event occurs, the security event log information, the transaction hash value, and the merged hash value with the recovery block chain.
  • a security event collection unit that is stored in a security event database and stores the transaction hash value and the merged hash value in a smart contract, the transaction hash value and the merge hash value last recorded in the security event database, and the last in the smart contract.
  • a security event inquiry unit that compares whether or not the recorded transaction hash value and the merged hash value are the same, and verifies whether the security event log information is altered or not.
  • the security event collection unit collects the security event log information and records it in the recovery block chain, and when a transaction hash value corresponding to the security event log information is returned from the recovery block chain, the The merged hash value is calculated using the security event log information and the transaction hash value as factors, and the transaction hash value and the merged hash value corresponding to the security event log information are indexed in the recovery block chain. .
  • the security event stored in the security event database It is characterized in that it is determined that log information has been altered.
  • the device detects the time point at which the security event log information is altered, extracts the security event log information from the recovery blockchain using the transaction hash value and the merged hash value at the detected tampering time point, and then extracts the security event log information. It characterized in that it further comprises a data restoration unit for restoring the security event database with log information.
  • the security event collection unit stores the transaction hash value and the merge hash value in a smart contract
  • the same transaction hash value and the merge hash value are also stored in the verification block chain
  • the security event inquiry unit When a preset storage period for the transaction hash value and the merge hash value is exceeded, the transaction hash value and the merge hash value last recorded in the security event database, and the transaction hash value last recorded in the verification block chain, and merge. It is characterized in that it compares whether or not the hash values are the same to verify whether the security event log information is tampered with.
  • the method for processing a security event is a block chain for recovering the security event log information, the transaction hash value, and the merged hash value for the security event by the security event collection unit. And storing in a security event database, storing the transaction hash value and the merged hash value in a smart contract by a security event collection unit, and merging the transaction hash value last recorded in the security event database by a security event inquiry unit And verifying whether or not the security event log information is altered by comparing whether the hash value and the transaction hash value and the merge hash value last recorded in the smart contract are the same.
  • the storing of the security event database in the security event database includes the steps of collecting the security event log information when the security event occurs, and recording the security event log information in the recovery block chain, and the security event collection unit from the recovery block chain.
  • the transaction hash value corresponding to the security event log information is returned, calculating the merged hash value using the security event log information and the transaction hash value as a factor, and the security event collection unit in the recovery block chain. And indexing the transaction hash value and the merge hash value corresponding to the security event log information.
  • the step of verifying whether the security event log information is tampered with may include, as a result of the comparison, a transaction hash value and a merge hash value last recorded in the security event database, and a transaction hash value and a merge hash value last recorded in the smart contract. If not the same, it is characterized in that it is determined that the security event log information stored in the security event database has been altered.
  • the data restoration unit detects a time point at which the security event log information is altered, and the data restoration unit uses a transaction hash value and a merge hash value at the detected modulation time point. And extracting the security event log information from the recovery block chain, and restoring the security event database with the extracted security event log information.
  • the storing of the transaction hash value and the merge hash value in the smart contract includes storing the transaction hash value and the merge hash value equal to the transaction hash value and the merge hash value in a verification block chain; and , After the step of storing the transaction hash value and the merged hash value in the verification block chain, when a preset storage period for the transaction hash value and the merged hash value of the smart contract passes, the security event inquiry unit Verify whether the security event log information is tampered with by comparing whether the transaction hash value and merge hash value last recorded in the security event database and the transaction hash value and merge hash value last recorded in the verification blockchain are the same. It further includes the step of.
  • FIG. 1 is a diagram illustrating a system for processing a security event according to an embodiment of the present invention.
  • FIG. 2 is a diagram for explaining the configuration of a security event management apparatus of a system for processing a security event according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating a method of processing a security event when an initial security event occurs according to an embodiment of the present invention.
  • FIG. 5 is a flowchart illustrating a method of processing a security event according to an embodiment of the present invention.
  • FIG. 6 is a flowchart illustrating a restoration procedure while processing a security event according to an embodiment of the present invention.
  • the apparatus for processing a security event for achieving the above-described object, whenever a security event occurs, the security event log information, the transaction hash value, and the merged hash value with the recovery block chain.
  • a security event collection unit that is stored in a security event database and stores the transaction hash value and the merged hash value in a smart contract, the transaction hash value and the merge hash value last recorded in the security event database, and the last in the smart contract.
  • a security event inquiry unit that compares whether or not the recorded transaction hash value and the merged hash value are the same, and verifies whether the security event log information is altered or not.
  • the security event collection unit collects the security event log information and records it in the recovery block chain, and when a transaction hash value corresponding to the security event log information is returned from the recovery block chain, the The merged hash value is calculated using the security event log information and the transaction hash value as factors, and the transaction hash value and the merged hash value corresponding to the security event log information are indexed in the recovery block chain. .
  • the security event stored in the security event database It is characterized in that it is determined that log information has been altered.
  • the data restoration unit is characterized in that the transaction hash value and the merge hash value recorded in the smart contract are compared with the transaction hash value and the merge hash value recorded in the security event database to detect the altered time point.
  • the method for processing a security event is a block chain for recovering the security event log information, the transaction hash value, and the merged hash value for the security event by the security event collection unit. And storing in a security event database, storing the transaction hash value and the merged hash value in a smart contract by a security event collection unit, and merging the transaction hash value last recorded in the security event database by a security event inquiry unit And verifying whether or not the security event log information is altered by comparing whether the hash value and the transaction hash value and the merge hash value last recorded in the smart contract are the same.
  • the step of verifying whether the security event log information is tampered with may include, as a result of the comparison, a transaction hash value and a merge hash value last recorded in the security event database, and a transaction hash value and a merge hash value last recorded in the smart contract. If not the same, it is characterized in that it is determined that the security event log information stored in the security event database has been altered.
  • the data restoration unit detects a time point at which the security event log information is altered, and the data restoration unit uses a transaction hash value and a merge hash value at the detected modulation time point. And extracting the security event log information from the recovery block chain, and restoring the security event database with the extracted security event log information.
  • first and second are used to describe various elements, and are used only for the purpose of distinguishing one element from other elements, and to limit the elements. Not used.
  • the second element may be referred to as the first element, and similarly, the first element may be referred to as the second element.
  • the present invention relates to a personal computer, a laptop computer, a handheld device, a multiprocessor system, a microprocessor-based or programmable consumer electronics, a network PC, a minicomputer, a mainframe computer, a mobile phone, a PDA, a pager.
  • a network computing environment having various types of computer system configurations including (pager) and the like, it can be applied to provide advertisements to the computer systems.
  • the invention may also be practiced in a distributed system environment where both local and remote computer systems linked through a network with a wired data link, a wireless data link, or a combination of wired and wireless data links perform tasks.
  • program modules may be located in local and remote memory storage devices.
  • the system for processing security events uses a block chain and a smart contract to ensure integrity for security events.
  • the integrity is verified using a block chain and database that have irreversible characteristics, and if an integrity problem occurs, it dynamically detects and recovers quickly.
  • the security system 10 includes a security information processing server 100, a security event management device 200, a blockchain network 300, a security event database 400, and a manager device 500.
  • the blockchain network 300 includes a recovery block chain 310, a smart contract 320, and a verification block chain 330.
  • the security information processing server 100 is for providing a predetermined service to a user of the client terminal 1, that is, a customer, when the client terminal 1 is connected.
  • the security information processing server 100 may be an example of a server providing an Internet shopping mall, a game, an Internet service, and the like.
  • the security information processing server 100 may record and manage information of a user of the client terminal 1, that is, a customer.
  • information that must be secured among information managed by the security information processing server 100 for example, customer information, will be referred to as security information.
  • the security event management apparatus 200 includes a security event collection unit 210, a security event inquiry unit 220, and a data restoration unit 230.
  • the security event collection unit 210 generates a transaction including security event log information and transmits it to the recovery block chain 310. Then, the security event log information is recorded in the recovery block chain 310 by any one node. And when the security event log information is recorded, the security event collection unit 210 receives the transaction hash value used to verify the transaction including the security event log information on the recovery block chain 310. I can. Then, the security event collection unit 210 may calculate a merge hash value by taking the security event log information and the transaction hash value as a factor. Then, the security event collection unit 210 indexes the transaction hash value and the merge hash value corresponding to the security event log information in the recovery block chain 310.
  • the security event collection unit 210 stores security event log information, transaction hash value, and merge hash value, which are the same information as the information stored in the recovery block chain 310, in the security event database 400.
  • the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330. That is, the security event collection unit 210 stores the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 according to the time sequence.
  • the security event inquiry unit 220 checks the security event database 400 to determine whether it is the first security event or a subsequent security event rather than the first. In addition, the security event inquiry unit 220 may check whether the security event log information has been altered based on the transaction hash value and the merge hash value.
  • the operation of the security event management apparatus 200 including the security event collection unit 210, the security event inquiry unit 220, and the data restoration unit 230 will be described in more detail below.
  • the block chain network 300 includes a recovery block chain 310, a smart contract 320, and a verification block chain 330.
  • the recovery block chain 310, the smart contract 320, and the verification block chain 330 may be mounted on the same or different block chain networks.
  • the smart contract 320 stores a transaction hash value and a merge hash value corresponding to the security event log information according to the time sequence in which the security event occurs for integrity verification.
  • the smart contract 320 maintains the stored transaction hash value and the merge hash value only for a preset storage period.
  • the verification block chain 330 stores a transaction hash value and a merge hash value corresponding to the security event log information according to the time sequence in which security events occur for integrity verification. Unlike the smart contract 320, the verification block chain 330 permanently preserves the stored transaction hash value and the merge hash value.
  • the security event database 400 stores security event log information whenever a security event occurs, and stores a transaction hash value and a merge hash value as an index of the security event log information.
  • the manager device 500 is a device used by the administrator of the security system 10 including the security information processing server 100, the security event management device 200, the blockchain network 300, and the security event database 400. .
  • the manager may inquire necessary information through the manager device 500.
  • the security event management device 200 notifies the manager device 500 that the tampering has occurred, and the manager device 500 generates a warning so that the manager can recognize it.
  • the security event inquiry unit 220 may recognize that it is the first security event occurring in step S110.
  • the security event database 400 may be searched to recognize that it is the first security event.
  • the security event collection unit 210 includes information on the connection of the client terminal 1 in step S120, for example, access time, terminal identification information, access information, behavior information, etc. Collects security event log information.
  • the security event collection unit 210 records the security event log information, which is the original data previously collected in step S130, in the recovery block chain 310.
  • the security event collection unit 210 indexes the original data, the security event log information, the transaction hash value, and the merge hash value, in the recovery block chain 310 in step S150.
  • the security event collection unit 210 stores the same information, that is, the security event log information, the transaction hash value, and the merge hash value in the security event database 400 in step S160.
  • the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 in step S170.
  • FIG. 5 is a flowchart illustrating a method of processing a security event according to an embodiment of the present invention.
  • step S230 the security event collection unit 210 records the security event log information in the recovery block chain 310. Then, the security event collection unit 210 receives the transaction hash value returned from the recovery block chain 310 in step S240 and calculates a merge hash value using the security event log information and the transaction hash value as a factor. do. In addition, the security event collection unit 210 indexes the security event log information, the transaction hash value, and the merged hash value, which are original data, in the recovery block chain 310 in step S250. Then, the security event collection unit 210 stores the same information, that is, the security event log information, the transaction hash value, and the merge hash value in the security event database 400 in step S260. Subsequently, the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 in step S270.
  • a restoration procedure is performed in step S280.
  • the restoration procedure is a procedure for restoring data in the security event database by extracting the security event log information, which is the original data, from the recovery block chain 310. Then, the restoration procedure of step S280 described above during processing of a security event according to an embodiment of the present invention will be described in more detail.
  • 6 is a flowchart illustrating a restoration procedure while processing a security event according to an embodiment of the present invention.
  • FIG. 7 is a diagram for explaining a restoration procedure while processing a security event according to an embodiment of the present invention.
  • the data restoration unit 230 detects a modulation time point in step S310.
  • the data restoration unit 230 modulates the transaction hash value and the merge hash value recorded in the smart contract 320 and the transaction hash value and the merge hash value recorded in the security event database 400 using a binary search algorithm.
  • the viewpoint can be detected.
  • the smart contract 320 has a preset storage period. That is, the smart contract 320 stores the transaction hash value and the merge hash value only during a preset storage period. Accordingly, the search speed for detecting the tampering point is improved by comparing the transaction hash value and the merge hash value recorded in the smart contract 320 with the transaction hash value and the merge hash value recorded in the security event database 400.
  • the storage period of the smart contract 320 If the storage period of the smart contract 320 is exceeded, the transaction hash value and the merge hash value recorded in the verification block chain 230 and the transaction hash value and the merge hash value recorded in the security event database 400 are compared. Thus, the modulated time point can be detected.
  • T-hash(01), Hash(0-0), D-hash(30day), D-hash(30), Hash(0-14), ..., M- indicated by dotted box hash(1Month) will be different, and the rest of the hash will be the same.
  • the data restoration unit 230 extracts the original data security event log information from the recovery block chain 310 using the transaction hash value and the merged hash value of the tampering time point detected in step S320, The security event database 400 is restored with the extracted security event log information.
  • the present invention can solve the problem of processing speed during inquiry by using the smart contract 320 or the verification block chain 330. That is, since the verification block chain 330 has only a transaction hash and a merge hash, the search speed is improved. In particular, it is possible to further improve the search speed by using the smart contract 320 having a constant storage period.
  • the recording medium includes magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic-optical media such as floptical disks ( magneto-optical media), and a hardware device specially configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.
  • program instructions may include not only machine language wires such as those made by a compiler, but also high-level language wires that can be executed by a computer using an interpreter or the like.
  • Such a hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, and vice versa.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

A security event processing device according to the present invention comprises: a security event collection unit for storing security event log information, a transaction hash value, and a merged hash value in a recovery blockchain and a security event database, and storing the transaction hash value and the merged hash value in a smart contract, whenever a security event occurs; and a security event inquiry unit for comparing whether the transaction hash value and the merged hash value, which are last recorded in the security event database, are the same as the transaction hash value and the merged hash value, which are last recorded in the smart contract, and verifying whether the security event log information has been falsified.

Description

블록체인 및 스마트컨트랙트를 이용한 보안 이벤트를 처리하기 위한 장치 및 이를 위한 방법Device for handling security events using blockchain and smart contract, and method for the same
본 발명은 보안 이벤트 처리 기술에 관한 것으로, 보다 상세하게는, 블록체인 및 스마트컨트랙트를 이용한 보안 이벤트를 처리하기 위한 장치 및 이를 위한 방법에 관한 것이다.The present invention relates to a security event processing technology, and more particularly, to an apparatus for processing a security event using a block chain and a smart contract, and a method therefor.
최근에 개인 정보 유출과 같은 보안 사고가 빈번하게 발생함에 따라 보안 이벤트의 중요성이 점점 커지고 있다. 예컨대 쇼핑몰, 게임, 인터넷 서비스 등의 기업이 고객 정보를 수록 및 취급하기 위한 장치의 경우, 해당 장치에서 발생하는 보안 이벤트 로그에 대하여 무결성(integrity)이 보장되어야 한다. 이는 정보보호관리체계(ISMS)와 같은 컴플라이언스를 충족하기 위해서도 개인정보처리시스템에서 발생하는 보안 이벤트에 대하여 수정 및 삭제가 불가능한 시스템에 보관하여야 하는 실정이다. 클라이언트 단말이 그 장치에 접속하여 개인정보에 대해 복사, 수정 등의 행위를 하는 경우 그 클라이언트 단말의 접속 행위에 대한 정보를 무결하게 유지할 수 있어야 하고, 무결성이 완벽하게 검증된 방법으로 안전하게 보안이벤트로그 정보를 저장 관리되어야 한다. 이러한 보안 의무 사항은 개인정보처리시스템 개인정보 안전성확보조치 2조10호 정의, 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검) 1, 3호에 의한 접속기록 1년 이상 보관. 관리 개인정보취급자의 접속기록이 위변조 및 도난, 분실되지 않도록 보관하여야 할 의무, 개인정보보호법 시행령 제30조(개인정보의 안전성 확보조치) 4호에 의한 무결성의 명문화 등에 근거한다. Recently, as security incidents such as personal information leakage occur frequently, the importance of security events is increasing. For example, in the case of a device for a company such as a shopping mall, a game, or an Internet service to record and handle customer information, the integrity of the security event log generated by the device must be guaranteed. This is a situation in which security events occurring in the personal information processing system must be stored in a system that cannot be modified or deleted in order to meet compliance such as information protection management system (ISMS). When a client terminal accesses the device and performs actions such as copying or modifying personal information, it must be able to keep the information on the access behavior of the client terminal intact, and securely log security events in a way that has been completely verified for integrity. Information should be stored and managed. These security obligations are defined in the personal information processing system, personal information safety security measures, Article 2, 10, and personal information security measures standards Article 8 (storage and inspection of access records), and keep access records for at least 1 year in accordance with Articles 1 and 3 . It is based on the obligation to keep the access records of the management personal information handlers from forgery, theft, and loss, and the stipulation of integrity under Article 30 of the Enforcement Decree of the Personal Information Protection Act (Measures to Ensure Safety of Personal Information).
일반적으로 기업이 구비하고 있는 서버, 데이터베이스 등이 해킹에 의해 훼손된 경우 기존 데이터가 해킹되지 않았음을 신뢰하기 어렵기 때문에 기존 데이터의 무결성을 검증하지 못하고 있다. 이는 무결성 검증 방법이 없는 것이 아니라, 현실적으로 무결성 검증을 위한 시스템을 운영을 하고 있지 않은 실정이다. 즉, 무결성 검증을 위해서는 수정 혹은 삭제가 불가능한 원격 시스템을 구비하거나 그에 맞는 운영 인력을 채용해야하기 때문에 리소스가 증가하고, 수정 혹은 삭제가 불가능한 원격지의 시스템에 데이터를 보관하는 경우 비용적인 부담이 크기 때문이다.In general, when a server or database of a company is damaged by hacking, it is difficult to trust that the existing data has not been hacked, and thus the integrity of the existing data cannot be verified. This does not mean that there is no integrity verification method, but in reality, the system for integrity verification is not in operation. In other words, in order to verify integrity, it is necessary to have a remote system that cannot be modified or deleted, or employ appropriate operating personnel, so resources increase, and if data is stored in a remote system that cannot be modified or deleted, the cost burden is high. to be.
[선행기술문헌][Prior technical literature]
[특허문헌][Patent Literature]
한국공개특허 제2017-0137388호 2017년 12월 13일 공개 (명칭: 블록체인 기술을 이용한 무결성 보장 방법) Korean Patent Publication No. 2017-0137388 published on December 13, 2017 (Name: Integrity guarantee method using blockchain technology)
본 발명의 목적은 이러한 보안 이벤트에 대하여 동적으로 무결성을 검증하고 무결성에 문제가 발생할 경우 자동으로 복구할 수 있는 장치 및 이를 위한 방법을 제공함에 있다. An object of the present invention is to provide an apparatus and a method for dynamically verifying the integrity of such a security event and automatically recovering the integrity when a problem occurs.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 보안 이벤트를 처리하기 위한 장치는 보안 이벤트가 발생할 때마다, 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하고, 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 보안이벤트수집부와, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 보안이벤트조회부를 포함한다. The apparatus for processing a security event according to a preferred embodiment of the present invention for achieving the above-described object, whenever a security event occurs, the security event log information, the transaction hash value, and the merged hash value with the recovery block chain. A security event collection unit that is stored in a security event database and stores the transaction hash value and the merged hash value in a smart contract, the transaction hash value and the merge hash value last recorded in the security event database, and the last in the smart contract. And a security event inquiry unit that compares whether or not the recorded transaction hash value and the merged hash value are the same, and verifies whether the security event log information is altered or not.
상기 보안이벤트수집부는 상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하고, 상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, 상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하고, 상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 것을 특징으로 한다. When the security event occurs, the security event collection unit collects the security event log information and records it in the recovery block chain, and when a transaction hash value corresponding to the security event log information is returned from the recovery block chain, the The merged hash value is calculated using the security event log information and the transaction hash value as factors, and the transaction hash value and the merged hash value corresponding to the security event log information are indexed in the recovery block chain. .
상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 한다. As a result of the comparison, if the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the smart contract are not the same, the security event stored in the security event database It is characterized in that it is determined that log information has been altered.
상기 장치는 상기 보안이벤트로그정보가 변조된 시점을 검출하고, 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출한 후, 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 데이터복원부를 더 포함하는 것을 특징으로 한다. The device detects the time point at which the security event log information is altered, extracts the security event log information from the recovery blockchain using the transaction hash value and the merged hash value at the detected tampering time point, and then extracts the security event log information. It characterized in that it further comprises a data restoration unit for restoring the security event database with log information.
상기 데이터복원부는 상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 한다. The data restoration unit is characterized in that the transaction hash value and the merge hash value recorded in the smart contract are compared with the transaction hash value and the merge hash value recorded in the security event database to detect the altered time point.
상기 보안이벤트수집부는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장할 때, 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에도 저장하며, 상기 보안이벤트조회부는 상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 것을 특징으로 한다. When the security event collection unit stores the transaction hash value and the merge hash value in a smart contract, the same transaction hash value and the merge hash value are also stored in the verification block chain, and the security event inquiry unit When a preset storage period for the transaction hash value and the merge hash value is exceeded, the transaction hash value and the merge hash value last recorded in the security event database, and the transaction hash value last recorded in the verification block chain, and merge. It is characterized in that it compares whether or not the hash values are the same to verify whether the security event log information is tampered with.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 보안 이벤트를 처리하기 위한 방법은 보안이벤트수집부가 보안 이벤트에 대한 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하는 단계와, 보안이벤트수집부가 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계와, 보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계를 더 포함한다. The method for processing a security event according to a preferred embodiment of the present invention for achieving the above object is a block chain for recovering the security event log information, the transaction hash value, and the merged hash value for the security event by the security event collection unit. And storing in a security event database, storing the transaction hash value and the merged hash value in a smart contract by a security event collection unit, and merging the transaction hash value last recorded in the security event database by a security event inquiry unit And verifying whether or not the security event log information is altered by comparing whether the hash value and the transaction hash value and the merge hash value last recorded in the smart contract are the same.
상기 보안이벤트데이터베이스에 저장하는 단계는 상기 보안이벤트수집부가 상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하는 단계와, 상기 보안이벤트수집부가 상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, 상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하는 단계와, 상기 보안이벤트수집부가 상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 단계를 포함한다. The storing of the security event database in the security event database includes the steps of collecting the security event log information when the security event occurs, and recording the security event log information in the recovery block chain, and the security event collection unit from the recovery block chain. When the transaction hash value corresponding to the security event log information is returned, calculating the merged hash value using the security event log information and the transaction hash value as a factor, and the security event collection unit in the recovery block chain. And indexing the transaction hash value and the merge hash value corresponding to the security event log information.
상기 보안이벤트로그정보의 변조 여부를 검증하는 단계는 상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 한다. The step of verifying whether the security event log information is tampered with may include, as a result of the comparison, a transaction hash value and a merge hash value last recorded in the security event database, and a transaction hash value and a merge hash value last recorded in the smart contract. If not the same, it is characterized in that it is determined that the security event log information stored in the security event database has been altered.
상기 보안이벤트로그정보가 변조된 것으로 판단되면, 데이터복원부가 상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계와, 상기 데이터복원부가 상기 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출하는 단계와, 상기 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 단계를 더 포함한다. When it is determined that the security event log information has been altered, the data restoration unit detects a time point at which the security event log information is altered, and the data restoration unit uses a transaction hash value and a merge hash value at the detected modulation time point. And extracting the security event log information from the recovery block chain, and restoring the security event database with the extracted security event log information.
상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계는 상기 데이터복원부가 상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 한다. The step of detecting the time point at which the security event log information is altered may include comparing the transaction hash value and the merge hash value recorded in the smart contract with the transaction hash value and the merge hash value recorded in the security event database by the data restoration unit. It is characterized by detecting the modulated time point.
상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계는 상기 트랜잭션해쉬값 및 상기 병합해쉬값과 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계;를 포함하며, 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계 후, 상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, 상기 보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계를 더 포함한다.The storing of the transaction hash value and the merge hash value in the smart contract includes storing the transaction hash value and the merge hash value equal to the transaction hash value and the merge hash value in a verification block chain; and , After the step of storing the transaction hash value and the merged hash value in the verification block chain, when a preset storage period for the transaction hash value and the merged hash value of the smart contract passes, the security event inquiry unit Verify whether the security event log information is tampered with by comparing whether the transaction hash value and merge hash value last recorded in the security event database and the transaction hash value and merge hash value last recorded in the verification blockchain are the same. It further includes the step of.
상술한 바와 같은 목적을 달성하기 위해 전술한 본 발명에 따른 보안 이벤트를 처리하기 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체를 제공한다.In order to achieve the above object, there is provided a computer-readable recording medium in which a program for executing the method for processing a security event according to the present invention described above in a computer is recorded.
정보화 시대를 넘어 모든 사물에 인터넷이 연결되는 초연결 네트워크 시대로 접어듦에 따라 해킹 공격은 점차 고도화되고 있으며, 이에 따른 컴플라이언스도 점차 강화되고 있는 실정이다. 다양한 형태의 보안 이벤트에 대하여 무결성 확보는 매우 중요한 과제이며 특히나 개인정보처리시스템에서 발생하는 보안 이벤트의 무결성 확보의 경우 컴플라이언스를 만족하기 위하여도 필수적으로 요구되는 상황이다. 기존의 로컬 시스템에서 기록된 보안 이벤트를 수정/삭제가 불가능한 원격지의 시스템으로 보관하는 방법을 많이 사용하고 있으나 비용 부담이 크다. 하지만, 본 발명은 블록체인의 비가역적인 특징과 데이터베이스를 활용하여 보안 이벤트의 무결성을 검증하는 동시에 무결성에 문제가 발생할 경우 이를 동적으로 감지하여 빠르게 복구할 수 있는 방법을 제시함으로써 컴플라이언스를 만족함과 동시에 운영에 대한 비용적인 측면도 절감할 수 있는 효과가 있다. As the era of hyper-connected networks in which the Internet is connected to all things beyond the information age, hacking attacks are gradually increasing, and compliance is gradually strengthening accordingly. Securing the integrity of various types of security events is a very important task, and in particular, in the case of securing the integrity of security events occurring in the personal information processing system, it is a situation that is required to satisfy compliance. A method of storing security events recorded in the existing local system to a remote system that cannot be modified/deleted is widely used, but the cost burden is high. However, the present invention satisfies compliance and operates at the same time by providing a method to quickly recover by dynamically detecting and recovering when an integrity problem occurs while at the same time verifying the integrity of security events by utilizing the irreversible characteristics of the blockchain and the database. There is an effect that can also reduce the cost aspect of.
도 1은 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템을 설명하기 위한 도면이다. 1 is a diagram illustrating a system for processing a security event according to an embodiment of the present invention.
도 2는 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템의 보안이벤트관리장치의 구성을 설명하기 위한 도면이다. 2 is a diagram for explaining the configuration of a security event management apparatus of a system for processing a security event according to an embodiment of the present invention.
도 3은 본 발명의 실시예에 따른 블록체인 네트워크의 구성을 설명하기 위한 도면이다. 3 is a diagram for explaining the configuration of a block chain network according to an embodiment of the present invention.
도 4는 본 발명의 실시예에 따른 최초 보안 이벤트 발생 시 보안 이벤트를 처리하는 방법을 설명하기 위한 흐름도이다. 4 is a flowchart illustrating a method of processing a security event when an initial security event occurs according to an embodiment of the present invention.
도 5는 본 발명의 실시예에 따른 보안 이벤트를 처리하는 방법을 설명하기 위한 흐름도이다. 5 is a flowchart illustrating a method of processing a security event according to an embodiment of the present invention.
도 6은 본 발명의 실시예에 따른 보안 이벤트를 처리 중 복원 절차를 설명하기 위한 흐름도이다. 6 is a flowchart illustrating a restoration procedure while processing a security event according to an embodiment of the present invention.
도 7은 본 발명의 실시예에 따른 보안 이벤트를 처리 중 복원 절차를 설명하기 위한 도면이다.7 is a diagram for explaining a restoration procedure while processing a security event according to an embodiment of the present invention.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 보안 이벤트를 처리하기 위한 장치는 보안 이벤트가 발생할 때마다, 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하고, 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 보안이벤트수집부와, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 보안이벤트조회부를 포함한다. The apparatus for processing a security event according to a preferred embodiment of the present invention for achieving the above-described object, whenever a security event occurs, the security event log information, the transaction hash value, and the merged hash value with the recovery block chain. A security event collection unit that is stored in a security event database and stores the transaction hash value and the merged hash value in a smart contract, the transaction hash value and the merge hash value last recorded in the security event database, and the last in the smart contract. And a security event inquiry unit that compares whether or not the recorded transaction hash value and the merged hash value are the same, and verifies whether the security event log information is altered or not.
상기 보안이벤트수집부는 상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하고, 상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, 상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하고, 상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 것을 특징으로 한다. When the security event occurs, the security event collection unit collects the security event log information and records it in the recovery block chain, and when a transaction hash value corresponding to the security event log information is returned from the recovery block chain, the The merged hash value is calculated using the security event log information and the transaction hash value as factors, and the transaction hash value and the merged hash value corresponding to the security event log information are indexed in the recovery block chain. .
상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 한다. As a result of the comparison, if the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the smart contract are not the same, the security event stored in the security event database It is characterized in that it is determined that log information has been altered.
상기 장치는 상기 보안이벤트로그정보가 변조된 시점을 검출하고, 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출한 후, 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 데이터복원부를 더 포함하는 것을 특징으로 한다. The device detects the time point at which the security event log information is altered, extracts the security event log information from the recovery blockchain using the transaction hash value and the merged hash value at the detected tampering time point, and then extracts the security event log information. It characterized in that it further comprises a data restoration unit for restoring the security event database with log information.
상기 데이터복원부는 상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 한다. The data restoration unit is characterized in that the transaction hash value and the merge hash value recorded in the smart contract are compared with the transaction hash value and the merge hash value recorded in the security event database to detect the altered time point.
상기 보안이벤트수집부는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장할 때, 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에도 저장하며, 상기 보안이벤트조회부는 상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 것을 특징으로 한다. When the security event collection unit stores the transaction hash value and the merge hash value in a smart contract, the same transaction hash value and the merge hash value are also stored in the verification block chain, and the security event inquiry unit When a preset storage period for the transaction hash value and the merge hash value is exceeded, the transaction hash value and the merge hash value last recorded in the security event database, and the transaction hash value last recorded in the verification block chain, and merge. It is characterized in that it compares whether or not the hash values are the same to verify whether the security event log information is tampered with.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 보안 이벤트를 처리하기 위한 방법은 보안이벤트수집부가 보안 이벤트에 대한 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하는 단계와, 보안이벤트수집부가 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계와, 보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계를 더 포함한다. The method for processing a security event according to a preferred embodiment of the present invention for achieving the above object is a block chain for recovering the security event log information, the transaction hash value, and the merged hash value for the security event by the security event collection unit. And storing in a security event database, storing the transaction hash value and the merged hash value in a smart contract by a security event collection unit, and merging the transaction hash value last recorded in the security event database by a security event inquiry unit And verifying whether or not the security event log information is altered by comparing whether the hash value and the transaction hash value and the merge hash value last recorded in the smart contract are the same.
상기 보안이벤트데이터베이스에 저장하는 단계는 상기 보안이벤트수집부가 상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하는 단계와, 상기 보안이벤트수집부가 상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, 상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하는 단계와, 상기 보안이벤트수집부가 상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 단계를 포함한다. The storing of the security event database in the security event database includes the steps of collecting the security event log information when the security event occurs, and recording the security event log information in the recovery block chain, and the security event collection unit from the recovery block chain. When the transaction hash value corresponding to the security event log information is returned, calculating the merged hash value using the security event log information and the transaction hash value as a factor, and the security event collection unit in the recovery block chain. And indexing the transaction hash value and the merge hash value corresponding to the security event log information.
상기 보안이벤트로그정보의 변조 여부를 검증하는 단계는 상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 한다. The step of verifying whether the security event log information is tampered with may include, as a result of the comparison, a transaction hash value and a merge hash value last recorded in the security event database, and a transaction hash value and a merge hash value last recorded in the smart contract. If not the same, it is characterized in that it is determined that the security event log information stored in the security event database has been altered.
상기 보안이벤트로그정보가 변조된 것으로 판단되면, 데이터복원부가 상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계와, 상기 데이터복원부가 상기 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출하는 단계와, 상기 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 단계를 더 포함한다. When it is determined that the security event log information has been altered, the data restoration unit detects a time point at which the security event log information is altered, and the data restoration unit uses a transaction hash value and a merge hash value at the detected modulation time point. And extracting the security event log information from the recovery block chain, and restoring the security event database with the extracted security event log information.
상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계는 상기 데이터복원부가 상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 한다. The step of detecting the time point at which the security event log information is altered may include comparing the transaction hash value and the merge hash value recorded in the smart contract with the transaction hash value and the merge hash value recorded in the security event database by the data restoration unit. It is characterized by detecting the modulated time point.
상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계는 상기 트랜잭션해쉬값 및 상기 병합해쉬값과 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계;를 포함하며, 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계 후, 상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, 상기 보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계를 더 포함한다.The storing of the transaction hash value and the merge hash value in the smart contract includes storing the transaction hash value and the merge hash value equal to the transaction hash value and the merge hash value in a verification block chain; and , After the step of storing the transaction hash value and the merged hash value in the verification block chain, when a preset storage period for the transaction hash value and the merged hash value of the smart contract passes, the security event inquiry unit Verify whether the security event log information is tampered with by comparing whether the transaction hash value and merge hash value last recorded in the security event database and the transaction hash value and merge hash value last recorded in the verification blockchain are the same. It further includes the step of.
상술한 바와 같은 목적을 달성하기 위해 전술한 본 발명에 따른 보안 이벤트를 처리하기 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체를 제공한다.In order to achieve the above object, there is provided a computer-readable recording medium in which a program for executing the method for processing a security event according to the present invention described above in a computer is recorded.
본 발명의 상세한 설명에 앞서, 이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 실시예에 불과할 뿐, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다. Prior to the detailed description of the present invention, terms or words used in the present specification and claims to be described below should not be construed as being limited to their usual or dictionary meanings, and the inventors will use their own invention in the best way. In order to explain, based on the principle that it can be appropriately defined as a concept of a term, it should be interpreted as a meaning and concept consistent with the technical idea of the present invention. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are only the most preferred embodiments of the present invention, and do not represent all the technical ideas of the present invention, and thus various equivalents that can replace them at the time of application It should be understood that there may be water and variations.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음을 유의해야 한다. 또한, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 마찬가지의 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 또는 개략적으로 도시되었으며, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In this case, it should be noted that the same components in the accompanying drawings are indicated by the same reference numerals as possible. In addition, detailed descriptions of known functions and configurations that may obscure the subject matter of the present invention will be omitted. For the same reason, some components in the accompanying drawings are exaggerated, omitted, or schematically illustrated, and the size of each component does not entirely reflect the actual size.
본 발명의 과제 해결 수단의 특징 및 이점을 보다 명확히 하기 위하여, 첨부된 도면에 도시된 본 발명의 특정 실시예를 참조하여 본 발명을 더 상세하게 설명한다. In order to clarify the features and advantages of the means for solving the problems of the present invention, the present invention will be described in more detail with reference to specific embodiments of the present invention shown in the accompanying drawings.
다만, 하기의 설명 및 첨부된 도면에서 본 발명의 요지를 흐릴 수 있는 공지 기능 또는 구성에 대한 상세한 설명은 생략한다. 또한, 도면 전체에 걸쳐 동일한 구성 요소들은 가능한 한 동일한 도면 부호로 나타내고 있음에 유의하여야 한다. However, in the following description and the accompanying drawings, detailed descriptions of known functions or configurations that may obscure the subject matter of the present invention will be omitted. In addition, it should be noted that the same components are denoted by the same reference numerals as much as possible throughout the drawings.
이하의 설명 및 도면에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위한 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다. The terms or words used in the following description and drawings should not be interpreted as being limited to their usual or dictionary meanings, and the inventor may appropriately define the concept of terms for describing his or her invention in the best way. It should be interpreted as a meaning and concept consistent with the technical idea of the present invention based on the principle that there is. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are only the most preferred embodiments of the present invention, and do not represent all the technical ideas of the present invention. It should be understood that there may be equivalents and variations.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하기 위해 사용하는 것으로, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 뿐, 상기 구성요소들을 한정하기 위해 사용되지 않는다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. In addition, terms including ordinal numbers such as first and second are used to describe various elements, and are used only for the purpose of distinguishing one element from other elements, and to limit the elements. Not used. For example, without departing from the scope of the present invention, the second element may be referred to as the first element, and similarly, the first element may be referred to as the second element.
더하여, 어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급할 경우, 이는 논리적 또는 물리적으로 연결되거나, 접속될 수 있음을 의미한다. 다시 말해, 구성요소가 다른 구성요소에 직접적으로 연결되거나 접속되어 있을 수 있지만, 중간에 다른 구성요소가 존재할 수도 있으며, 간접적으로 연결되거나 접속될 수도 있다고 이해되어야 할 것이다. In addition, when a component is referred to as being "connected" or "connected" to another component, it means that it is logically or physically connected, or can be connected. In other words, it should be understood that a component may be directly connected or connected to another component, but another component may exist in the middle, or may be indirectly connected or connected.
또한, 본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 본 명세서에서 기술되는 "포함 한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. In addition, terms used in the present specification are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In addition, terms such as "comprises" or "have" described herein are intended to designate the existence of features, numbers, steps, actions, components, parts, or a combination thereof described in the specification. It is to be understood that the above other features or the possibility of the presence or addition of numbers, steps, actions, components, parts, or combinations thereof are not preliminarily excluded.
또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. In addition, terms such as "... unit", "... group", and "module" described in the specification mean a unit that processes at least one function or operation, which can be implemented by hardware or software or a combination of hardware and software. have.
또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다. In addition, "a or an", "one", "the" and similar words are indicated otherwise in this specification in the context of describing the present invention (especially in the context of the following claims). It may be used in a sense encompassing both the singular and the plural, unless otherwise clearly contradicted by context.
아울러, 본 발명의 범위 내의 실시예들은 컴퓨터 실행가능 명령어 또는 컴퓨터 판독가능 매체에 저장된 데이터 구조를 가지거나 전달하는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨터 판독가능 매체는, 범용 또는 특수 목적의 컴퓨터 시스템에 의해 액세스 가능한 임의의 이용 가능한 매체일 수 있다. 예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EPROM, CD-ROM 또는 기타 광디스크 저장장치, 자기 디스크 저장장치 또는 기타 자기 저장장치, 또는 컴퓨터 실행가능 명령어, 컴퓨터 판독가능 명령어 또는 데이터 구조의 형태로 된 소정의 프로그램 코드 수단을 저장하거나 전달하는 데에 이용될 수 있고, 범용 또는 특수 목적 컴퓨터 시스템에 의해 액세스 될 수 있는 임의의 기타 매체와 같은 물리적 저장 매체를 포함할 수 있지만, 이에 한정되지 않는다. In addition, embodiments within the scope of the present invention include computer-readable media having or carrying computer-executable instructions or data structures stored on the computer-readable media. Such computer-readable media may be any available media accessible by a general purpose or special purpose computer system. By way of example, such computer readable media may be in the form of RAM, ROM, EPROM, CD-ROM or other optical disk storage, magnetic disk storage or other magnetic storage, or computer executable instructions, computer readable instructions, or data structures. Physical storage media such as, but not limited to, any other media that can be used to store or transmit any program code means, and can be accessed by a general purpose or special purpose computer system.
이하의 설명 및 특허 청구 범위에서, "네트워크"는 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다. 컴퓨터 판독가능 명령어는, 예를 들면, 범용 컴퓨터 시스템 또는 특수 목적 컴퓨터 시스템이 특정 기능 또는 기능의 그룹을 수행하도록 하는 명령어 및 데이터를 포함한다. 컴퓨터 실행가능 명령어는, 예를 들면, 어셈블리어, 또는 심지어는 소스코드와 같은 이진, 중간 포맷 명령어일 수 있다. In the description and claims that follow, a “network” is defined as one or more data links that enable the transfer of electronic data between computer systems and/or modules. When information is transmitted or provided to a computer system through a network or other (wired, wireless, or a combination of wired or wireless) communication connection, this connection can be understood as a computer-readable medium. Computer-readable instructions include, for example, instructions and data that cause a general purpose computer system or a special purpose computer system to perform a specific function or group of functions. Computer-executable instructions may be, for example, assembly language, or even binary, intermediate format instructions such as source code.
아울러, 본 발명은 퍼스널 컴퓨터, 랩톱 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크 컴퓨팅 환경에서, 상기 컴퓨터 시스템들을 대상으로 광고를 제공하는데 적용될 수 있다. 본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다. In addition, the present invention relates to a personal computer, a laptop computer, a handheld device, a multiprocessor system, a microprocessor-based or programmable consumer electronics, a network PC, a minicomputer, a mainframe computer, a mobile phone, a PDA, a pager. In a network computing environment having various types of computer system configurations including (pager) and the like, it can be applied to provide advertisements to the computer systems. The invention may also be practiced in a distributed system environment where both local and remote computer systems linked through a network with a wired data link, a wireless data link, or a combination of wired and wireless data links perform tasks. In a distributed system environment, program modules may be located in local and remote memory storage devices.
먼저, 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템에 대해서 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템을 설명하기 위한 도면이다. 도 2는 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템의 보안이벤트관리장치의 구성을 설명하기 위한 도면이다. 도 3은 본 발명의 실시예에 따른 블록체인 네트워크의 구성을 설명하기 위한 도면이다. First, a system for processing a security event according to an embodiment of the present invention will be described. 1 is a diagram illustrating a system for processing a security event according to an embodiment of the present invention. 2 is a diagram for explaining the configuration of a security event management apparatus of a system for processing a security event according to an embodiment of the present invention. 3 is a diagram for explaining the configuration of a block chain network according to an embodiment of the present invention.
본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 시스템(이하, '보안시스템'으로 축약함, 10)은 블록체인(Block Chain) 및 스마트컨트랙트(Smart Contract)를 활용하여 보안 이벤트에 대하여 무결성을 검증하고 복구하는 방법으로, 비가역적인 특성을 가지는 블록체인과 데이터베이스를 활용하여 무결성을 검증하는 동시에 무결성에 문제가 발생할 경우 이를 동적으로 감지하여 신속하게 복구한다. 이를 위하여 보안시스템(10)은 도 1에 도시된 바와 같이, 보안정보처리서버(100), 보안이벤트관리장치(200), 블록체인네트워크(300), 보안이벤트데이터베이스(400) 및 관리자장치(500)를 포함한다. 특히, 블록체인네트워크(300)는 복구용블록체인(310), 스마트컨트랙트(320) 및 검증용블록체인(330)을 포함한다. The system for processing security events according to an embodiment of the present invention (hereinafter, abbreviated as'security system', 10) uses a block chain and a smart contract to ensure integrity for security events. As a method of verifying and restoring, the integrity is verified using a block chain and database that have irreversible characteristics, and if an integrity problem occurs, it dynamically detects and recovers quickly. To this end, as shown in FIG. 1, the security system 10 includes a security information processing server 100, a security event management device 200, a blockchain network 300, a security event database 400, and a manager device 500. ). In particular, the blockchain network 300 includes a recovery block chain 310, a smart contract 320, and a verification block chain 330.
보안정보처리서버(100)는 클라이언트 단말(1)이 접속하면, 클라이언트 단말(1)의 사용자, 즉, 고객에게 소정의 서비스를 제공하기 위한 것이다. 대표적으로, 보안정보처리서버(100)는 인터넷쇼핑몰, 게임, 인터넷 서비스 등을 제공하는 서버를 예시할 수 있다. 특히, 보안정보처리서버(100)는 클라이언트 단말(1)이 접속하면, 클라이언트 단말(1)의 사용자, 즉, 고객의 정보를 기록하고, 관리할 수 있다. 본 발명의 실시예에서 보안정보처리서버(100)가 관리하는 정보 중 보안을 유지해야 하는 정보, 예컨대, 고객 정보를 보안 정보라고 칭하기로 한다. The security information processing server 100 is for providing a predetermined service to a user of the client terminal 1, that is, a customer, when the client terminal 1 is connected. Representatively, the security information processing server 100 may be an example of a server providing an Internet shopping mall, a game, an Internet service, and the like. In particular, when the client terminal 1 is connected, the security information processing server 100 may record and manage information of a user of the client terminal 1, that is, a customer. In an embodiment of the present invention, information that must be secured among information managed by the security information processing server 100, for example, customer information, will be referred to as security information.
보안이벤트관리장치(200)는 보안정보처리서버(100)에 대한 클라이언트 단말(1)의 접속 행위, 즉, 보안 이벤트를 관리하기 위한 것이다. 보안이벤트관리장치(200)는 보안정보처리서버(100)와 별도의 장치로 마련될 수 있다. 이러한 경우, 보안이벤트관리장치(200)는 보안정보처리서버(100) 및 클라이언트 단말(1) 사이에 개재되어, 클라이언트 단말(1)이 보안정보처리서버(100)에 접속하는 보안 이벤트를 관리할 수 있다. 하지만, 본 발명이 이에 한정되는 것은 아니며, 보안이벤트관리장치(200)는 보안정보처리서버(100) 내에 설치되어 운영되는 일종의 프로그램으로 구현될 수도 있다. The security event management apparatus 200 is for managing the access behavior of the client terminal 1 to the security information processing server 100, that is, a security event. The security event management device 200 may be provided as a separate device from the security information processing server 100. In this case, the security event management device 200 is interposed between the security information processing server 100 and the client terminal 1 to manage a security event in which the client terminal 1 accesses the security information processing server 100. I can. However, the present invention is not limited thereto, and the security event management apparatus 200 may be implemented as a kind of program installed and operated in the security information processing server 100.
도 2를 참조하면, 보안이벤트관리장치(200)는 보안이벤트수집부(210), 보안이벤트조회부(220) 및 데이터복원부(230)를 포함한다. Referring to FIG. 2, the security event management apparatus 200 includes a security event collection unit 210, a security event inquiry unit 220, and a data restoration unit 230.
보안이벤트수집부(210)는 클라이언트 단말(1)이 보안정보처리서버(100)에 접속을 시도한 경우, 즉, 보안 이벤트가 발생하는 경우, 보안이벤트로그정보를 수집한다. 이러한 보안이벤트로그정보는 클라이언트 단말(1)의 접속 시간, 클라이언트 단말(1)의 식별정보, 접근 정보, 행위 등 다양한 정보로 구성될 수 있다. The security event collection unit 210 collects security event log information when the client terminal 1 attempts to access the security information processing server 100, that is, when a security event occurs. Such security event log information may be composed of various information such as access time of the client terminal 1, identification information of the client terminal 1, access information, and behavior.
보안이벤트수집부(210)는 보안이벤트로그정보를 포함하는 트랜잭션을 생성하여 복구용블록체인(310)으로 전송한다. 그러면, 어느 하나의 노드에 의해 복구용블록체인(310)에 보안이벤트로그정보가 기록된다. 그리고 보안이벤트수집부(210)는 보안이벤트로그정보가 기록될 때, 복구용블록체인(310) 상에서 보안이벤트로그정보를 포함하는 트랜잭션을 검증하기 위해 사용된 트랜잭션해쉬(txn hash)값을 수신할 수 있다. 그러면, 보안이벤트수집부(210)는 보안이벤트로그정보 및 트랙잭션해쉬값을 인자로 병합해쉬값을 산출할 수 있다. 그런 다음, 보안이벤트수집부(210)는 복구용블록체인(310)에 보안이벤트로그정보에 대응하는 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. The security event collection unit 210 generates a transaction including security event log information and transmits it to the recovery block chain 310. Then, the security event log information is recorded in the recovery block chain 310 by any one node. And when the security event log information is recorded, the security event collection unit 210 receives the transaction hash value used to verify the transaction including the security event log information on the recovery block chain 310. I can. Then, the security event collection unit 210 may calculate a merge hash value by taking the security event log information and the transaction hash value as a factor. Then, the security event collection unit 210 indexes the transaction hash value and the merge hash value corresponding to the security event log information in the recovery block chain 310.
또한, 보안이벤트수집부(210)는 복구용블록체인(310)에 저장한 정보와 동일한 정보인 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 보안이벤트데이터베이스(400)에 저장한다. 그리고 무결성 검증을 위해 보안이벤트수집부(210)는 스마트컨트랙트(320) 및 검증용블록체인(330)에 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. 즉, 보안이벤트수집부(210)는 스마트컨트랙트(320) 및 검증용블록체인(330)에 시간 순서에 따라 트랜잭션해쉬값 및 병합해쉬값을 저장한다. In addition, the security event collection unit 210 stores security event log information, transaction hash value, and merge hash value, which are the same information as the information stored in the recovery block chain 310, in the security event database 400. In addition, for integrity verification, the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330. That is, the security event collection unit 210 stores the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 according to the time sequence.
보안이벤트조회부(220)는 보안 이벤트가 발생하면 보안이벤트데이터베이스(400)에 조회하여 최초의 보안 이벤트인지 혹은 최초가 아닌 후속의 보안 이벤트인지 여부 확인한다. 또한, 보안이벤트조회부(220)는 트랜잭션해쉬값 및 병합해쉬값을 기초로 보안이벤트로그정보가 변조되었는지 여부를 확인할 수 있다. When a security event occurs, the security event inquiry unit 220 checks the security event database 400 to determine whether it is the first security event or a subsequent security event rather than the first. In addition, the security event inquiry unit 220 may check whether the security event log information has been altered based on the transaction hash value and the merge hash value.
데이터복원부(230)는 보안이벤트데이터베이스(400)의 보안이벤트로그정보가 변조된 경우, 복구용블록체인(310)에 접근하여 복구용블록체인(310)의 보안이벤트정보로 보안이벤트데이터베이스(400)를 복구한다. When the security event log information of the security event database 400 is altered, the data restoration unit 230 accesses the recovery block chain 310 and uses the security event database 400 as the security event information of the recovery block chain 310. ) To recover.
보안이벤트수집부(210), 보안이벤트조회부(220) 및 데이터복원부(230)를 포함하는 보안이벤트관리장치(200)의 동작은 아래에서 더 상세하게 설명될 것이다. The operation of the security event management apparatus 200 including the security event collection unit 210, the security event inquiry unit 220, and the data restoration unit 230 will be described in more detail below.
도 3을 참조하면, 블록체인네트워크(300)는 복구용블록체인(310), 스마트컨트랙트(320) 및 검증용블록체인(330)을 포함한다. 복구용블록체인(310), 스마트컨트랙트(320) 및 검증용블록체인(330)은 동일 또는 서로 다른 블록체인 네트워크에 탑재될 수 있다. 3, the block chain network 300 includes a recovery block chain 310, a smart contract 320, and a verification block chain 330. The recovery block chain 310, the smart contract 320, and the verification block chain 330 may be mounted on the same or different block chain networks.
복구용블록체인(310)은 보안 이벤트가 발생할 때마다, 보안이벤트로그정보를 저장하며, 보안이벤트로그정보의 인덱스로 트랜잭션해쉬값 및 병합해쉬값을 저장한다. The recovery block chain 310 stores security event log information whenever a security event occurs, and stores a transaction hash value and a merge hash value as an index of the security event log information.
스마트컨트랙트(320)는 무결성 검증을 위해 보안 이벤트가 발생한 시간 순서에 따라 보안이벤트로그정보에 대응하는 트랜잭션해쉬값 및 병합해쉬값을 저장한다. 스마트컨트랙트(320)는 저장된 트랜잭션해쉬값 및 병합해쉬값을 기 설정된 보관 주기 동안만 유지한다. The smart contract 320 stores a transaction hash value and a merge hash value corresponding to the security event log information according to the time sequence in which the security event occurs for integrity verification. The smart contract 320 maintains the stored transaction hash value and the merge hash value only for a preset storage period.
검증용블록체인(330)은 스마트컨트랙트(320)와 마찬가지로 무결성 검증을 위해 보안 이벤트가 발생한 시간 순서에 따라 보안이벤트로그정보에 대응하는 트랜잭션해쉬값 및 병합해쉬값을 저장한다. 검증용블록체인(330)은 스마트컨트랙트(320)와는 달리 저장된 트랜잭션해쉬값 및 병합해쉬값을 영구 보존한다. Like the smart contract 320, the verification block chain 330 stores a transaction hash value and a merge hash value corresponding to the security event log information according to the time sequence in which security events occur for integrity verification. Unlike the smart contract 320, the verification block chain 330 permanently preserves the stored transaction hash value and the merge hash value.
한편, 보안이벤트데이터베이스(400)는 보안 이벤트가 발생할 때마다, 보안이벤트로그정보를 저장하며, 그 보안이벤트로그정보의 인덱스로 트랜잭션해쉬값 및 병합해쉬값을 저장한다. Meanwhile, the security event database 400 stores security event log information whenever a security event occurs, and stores a transaction hash value and a merge hash value as an index of the security event log information.
관리자장치(500)는 보안정보처리서버(100), 보안이벤트관리장치(200), 블록체인네트워크(300) 및 보안이벤트데이터베이스(400)를 포함하는 보안시스템(10)의 관리자가 사용하는 장치이다. 관리자는 관리자장치(500)를 통해 필요한 정보를 조회할 수 있다. 또한, 보안이벤트관리장치(200)는 데이터의 변조가 발견되면, 관리자장치(500)로 변조가 발생하였음을 알리고, 관리자장치(500)는 관리자가 인식할 수 있도록 경고를 발생시킨다. The manager device 500 is a device used by the administrator of the security system 10 including the security information processing server 100, the security event management device 200, the blockchain network 300, and the security event database 400. . The manager may inquire necessary information through the manager device 500. In addition, when data tampering is found, the security event management device 200 notifies the manager device 500 that the tampering has occurred, and the manager device 500 generates a warning so that the manager can recognize it.
다음으로, 본 발명의 실시예에 따른 최초 보안 이벤트 발생 시 보안 이벤트를 처리하는 방법에 대해서 설명하기로 한다. 도 4는 본 발명의 실시예에 따른 최초 보안 이벤트 발생 시 보안 이벤트를 처리하는 방법을 설명하기 위한 흐름도이다. 특히, 도 4의 실시예는 최초로 보안 이벤트가 발생한 경우를 상정한다. Next, a method of processing a security event upon occurrence of an initial security event according to an embodiment of the present invention will be described. 4 is a flowchart illustrating a method of processing a security event when an initial security event occurs according to an embodiment of the present invention. In particular, the embodiment of FIG. 4 assumes that a security event occurs for the first time.
도 4를 참조하면, 클라이언트 단말(1)이 보안정보처리서버(100)에 접속을 시도한 경우, 보안이벤트가 발생한다. 이때, 보안이벤트조회부(220)는 S110 단계에서 최초로 발생한 보안 이벤트임을 인식할 수 있다. 최초 보안 이벤트 발생의 경우, 보안이벤트데이터베이스(400)에 저장된 내용이 없기 때문에 보안이벤트데이터베이스(400)를 조회하여 최초로 발생한 보안 이벤트임을 인식할 수 있다. 4, when the client terminal 1 attempts to access the security information processing server 100, a security event occurs. In this case, the security event inquiry unit 220 may recognize that it is the first security event occurring in step S110. In the case of the first occurrence of a security event, since there is no content stored in the security event database 400, the security event database 400 may be searched to recognize that it is the first security event.
이와 같이 최초의 보안이벤트가 발생하면, 보안이벤트수집부(210)는 S120 단계에서 클라이언트 단말(1)의 접속에 대한 정보, 예컨대, 접속시간, 단말 식별정보, 접근 정보, 행위 정보 등을 포함하는 보안이벤트로그정보를 수집한다. As such, when the first security event occurs, the security event collection unit 210 includes information on the connection of the client terminal 1 in step S120, for example, access time, terminal identification information, access information, behavior information, etc. Collects security event log information.
보안이벤트수집부(210)는 S130 단계에서 앞서 수집된 원본 데이터인 보안이벤트로그정보를 복구용블록체인(310)에 기록한다. The security event collection unit 210 records the security event log information, which is the original data previously collected in step S130, in the recovery block chain 310.
그런 다음, 보안이벤트수집부(210)는 S140 단계에서 복구용블록체인(310)으로부터 반환되는 트랜잭션해쉬(txn hash)값을 전송 받아 보안이벤트로그정보 및 트랙잭션해쉬값을 인자로 병합해쉬값을 산출한다. Then, the security event collection unit 210 receives the transaction hash value returned from the recovery block chain 310 in step S140 and calculates a merge hash value using the security event log information and the transaction hash value as a factor. do.
이어서, 보안이벤트수집부(210)는 S150 단계에서 복구용블록체인(310)에 원본데이터인 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. Subsequently, the security event collection unit 210 indexes the original data, the security event log information, the transaction hash value, and the merge hash value, in the recovery block chain 310 in step S150.
그런 다음, 보안이벤트수집부(210)는 S160 단계에서 동일한 정보, 즉, 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 보안이벤트데이터베이스(400)에 저장한다. Then, the security event collection unit 210 stores the same information, that is, the security event log information, the transaction hash value, and the merge hash value in the security event database 400 in step S160.
또한, 보안이벤트수집부(210)는 S170 단계에서 스마트컨트랙트(320) 및 검증용블록체인(330)에 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. In addition, the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 in step S170.
다음으로, 본 발명의 실시예에 따른 보안 이벤트를 처리하는 방법에 대해서 설명하기로 한다. 도 5는 본 발명의 실시예에 따른 보안 이벤트를 처리하는 방법을 설명하기 위한 흐름도이다. Next, a method of processing a security event according to an embodiment of the present invention will be described. 5 is a flowchart illustrating a method of processing a security event according to an embodiment of the present invention.
도 5를 참조하면, 클라이언트 단말(1)이 보안정보처리서버(100)에 접속을 시도하여 보안이벤트가 발생하였다고 가정한다. 이때, 보안이벤트조회부(220)는 S210 단계에서 최초로 발생한 보안 이벤트가 아님을 인식할 수 있다. 보안이벤트데이터베이스(400)에 저장된 내용이 있기 때문에 보안이벤트데이터베이스(400)를 조회하여 최초로 발생한 보안 이벤트가 아님을 인식할 수 있다. Referring to FIG. 5, it is assumed that the client terminal 1 attempts to access the security information processing server 100 and a security event occurs. In this case, the security event inquiry unit 220 may recognize that it is not the first security event that has occurred in step S210. Since there is a content stored in the security event database 400, it can be recognized that it is not the first security event that occurred by inquiring the security event database 400.
최초 보안 이벤트가 아님을 인식한 보안이벤트조회부(220)는 S220 단계에서 보안이벤트데이터베이스(400)의 맨 마지막 열(row)의 트랜잭션해쉬값 및 병합해쉬값, 즉, 보안이벤트데이터베이스(400)에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값을 독출한 후, 독출된 트랜잭션해쉬값 및 병합해쉬값과, 스마트컨트랙트(320)에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교한다. The security event inquiry unit 220, recognizing that it is not the first security event, is a transaction hash value and a merge hash value of the last row of the security event database 400, that is, in the security event database 400 in step S220. After reading the last recorded transaction hash value and the merge hash value, compare whether the read transaction hash value and the merge hash value are the same as the last recorded transaction hash value and the merge hash value in the smart contract 320 do.
상기 S220 단계의 비교 결과, 동일하면, 보안이벤트조회부(220)는 보안이벤트데이터베이스(400)에 접근하여 데이터를 수정 혹은 삭제하는 등의 변조가 없는 것으로 판단하고, S230 단계로 진행한다. 반면, 상기 S220 단계의 비교 결과, 동일하지 않으면, 변조가 있는 것으로 판단하고, S280 단계로 진행한다. If the result of the comparison in step S220 is the same, the security event inquiry unit 220 determines that there is no tampering such as accessing the security event database 400 to modify or delete data, and proceed to step S230. On the other hand, if it is not the same as a result of the comparison in step S220, it is determined that there is modulation, and the process proceeds to step S280.
S230 단계에서 보안이벤트수집부(210)는 보안이벤트로그정보를 복구용블록체인(310)에 기록한다. 그런 다음, 보안이벤트수집부(210)는 S240 단계에서 복구용블록체인(310)으로부터 반환되는 트랜잭션해쉬(txn hash)값을 전송 받아 보안이벤트로그정보 및 트랙잭션해쉬값을 인자로 병합해쉬값을 산출한다. 그리고 보안이벤트수집부(210)는 S250 단계에서 복구용블록체인(310)에 원본데이터인 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. 그런 다음, 보안이벤트수집부(210)는 S260 단계에서 동일한 정보, 즉, 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 보안이벤트데이터베이스(400)에 저장한다. 이어서, 보안이벤트수집부(210)는 S270 단계에서 스마트컨트랙트(320) 및 검증용블록체인(330)에 트랜잭션해쉬값 및 병합해쉬값을 인덱싱한다. In step S230, the security event collection unit 210 records the security event log information in the recovery block chain 310. Then, the security event collection unit 210 receives the transaction hash value returned from the recovery block chain 310 in step S240 and calculates a merge hash value using the security event log information and the transaction hash value as a factor. do. In addition, the security event collection unit 210 indexes the security event log information, the transaction hash value, and the merged hash value, which are original data, in the recovery block chain 310 in step S250. Then, the security event collection unit 210 stores the same information, that is, the security event log information, the transaction hash value, and the merge hash value in the security event database 400 in step S260. Subsequently, the security event collection unit 210 indexes the transaction hash value and the merge hash value in the smart contract 320 and the verification block chain 330 in step S270.
한편, 변조가 있는 것으로 판단한 경우, S280 단계에서 복원 절차를 수행한다. 복원 절차는 복구용블록체인(310)으로부터 원본데이터인 보안이벤트로그정보를 추출하여, 보안이벤트데이터베이스의 데이터를 복원하는 절차이다. 그러면, 본 발명의 실시예에 따른 보안 이벤트를 처리하는 중 전술한 S280 단계의 복원 절차에 대해 보다 상세하게 설명하기로 한다. 도 6은 본 발명의 실시예에 따른 보안 이벤트를 처리 중 복원 절차를 설명하기 위한 흐름도이다. 또한, 도 7은 본 발명의 실시예에 따른 보안 이벤트를 처리 중 복원 절차를 설명하기 위한 도면이다. Meanwhile, if it is determined that there is modulation, a restoration procedure is performed in step S280. The restoration procedure is a procedure for restoring data in the security event database by extracting the security event log information, which is the original data, from the recovery block chain 310. Then, the restoration procedure of step S280 described above during processing of a security event according to an embodiment of the present invention will be described in more detail. 6 is a flowchart illustrating a restoration procedure while processing a security event according to an embodiment of the present invention. In addition, FIG. 7 is a diagram for explaining a restoration procedure while processing a security event according to an embodiment of the present invention.
도 6을 참조하면, 데이터복원부(230)는 S310 단계에서 변조 시점을 검출한다. 예컨대, 데이터복원부(230)는 스마트컨트랙트(320)에 기록된 트랜잭션해쉬값 및 병합해쉬값과 보안이벤트데이터베이스(400)에 기록된 트랜잭션해쉬값 및 병합해쉬값을 이진 탐색 알고리즘을 이용하여 변조된 시점을 검출할 수 있다. 스마트컨트랙트(320)는 기 설정된 보관 주기를 가진다. 즉, 스마트컨트랙트(320)는 기 설정된 보관 주기 동안만 트랜잭션해쉬값 및 병합해쉬값을 저장한다. 따라서 스마트컨트랙트(320)에 기록된 트랜잭션해쉬값 및 병합해쉬값과 보안이벤트데이터베이스(400)에 기록된 트랜잭션해쉬값 및 병합해쉬값의 비교를 통해 변조 시점 검출을 위한 탐색 속도가 향상된다. 만약, 스마트컨트랙트(320)의 보관주기를 초과하면, 검증용블록체인(230)에 기록된 트랜잭션해쉬값 및 병합해쉬값과 보안이벤트데이터베이스(400)에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 변조된 시점을 검출할 수 있다. Referring to FIG. 6, the data restoration unit 230 detects a modulation time point in step S310. For example, the data restoration unit 230 modulates the transaction hash value and the merge hash value recorded in the smart contract 320 and the transaction hash value and the merge hash value recorded in the security event database 400 using a binary search algorithm. The viewpoint can be detected. The smart contract 320 has a preset storage period. That is, the smart contract 320 stores the transaction hash value and the merge hash value only during a preset storage period. Accordingly, the search speed for detecting the tampering point is improved by comparing the transaction hash value and the merge hash value recorded in the smart contract 320 with the transaction hash value and the merge hash value recorded in the security event database 400. If the storage period of the smart contract 320 is exceeded, the transaction hash value and the merge hash value recorded in the verification block chain 230 and the transaction hash value and the merge hash value recorded in the security event database 400 are compared. Thus, the modulated time point can be detected.
예컨대, 도 7에 도시된 바와 같이, 해쉬 트리를 이용하여 변조된 시점을 검출할 수 있다. 스마트컨트랙트(320) 및 보안이벤트데이터베이스(400)의 시간별 트랜잭션해쉬값 및 병합해쉬값을 이용하여 해쉬 트리를 생성하여 이를 비교하면, 변조된 시점을 검출할 수 있다. 예를 들어 도 7의 해쉬 트리에서 도면 부호 Td가 지시하는 트랜잭션해쉬값 및 병합해쉬값이 변조되었다면, Td가 지시하는 트랜잭션해쉬값 및 병합해쉬값이 기초가 되는 해쉬 트리의 생성 경로에 존재하는 해쉬값, 즉, 점선의 박스로 표시된 T-hash(01), Hash(0-0), D-hash(30day), D-hash(30), Hash(0-14), ..., M-hash(1Month)은 상이하고, 나머지 해쉬값은 동일할 것이다. For example, as shown in FIG. 7, a modulated time point may be detected using a hash tree. When a hash tree is generated and compared using the transaction hash value and the merged hash value for each time of the smart contract 320 and the security event database 400, a modified time point can be detected. For example, if the transaction hash value and the merged hash value indicated by Td in the hash tree of FIG. 7 are modulated, the transaction hash value and the merged hash value indicated by Td are the hash existing in the generation path of the hash tree that is the basis. Value, i.e. T-hash(01), Hash(0-0), D-hash(30day), D-hash(30), Hash(0-14), ..., M- indicated by dotted box hash(1Month) will be different, and the rest of the hash will be the same.
변조 시점이 검출되면, 데이터복원부(230)는 S320 단계에서 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 복구용블록체인(310)으로부터 원본 데이터인 보안이벤트로그정보를 추출한 후, 추출된 보안이벤트로그정보로 보안이벤트데이터베이스(400)를 복원한다. When the tampering time point is detected, the data restoration unit 230 extracts the original data security event log information from the recovery block chain 310 using the transaction hash value and the merged hash value of the tampering time point detected in step S320, The security event database 400 is restored with the extracted security event log information.
이와 같이, 본 발명의 실시예에 따르면, 복구용블록체인(310)은 원본데이터(보안이벤트로그정보)를 저장하고 있으며, 보안이벤트데이터베이스(400)의 원본데이터(보안이벤트로그정보)가 손상되더라도 원본데이터를 안전하게 복구 가능하다. 종래의 기술에서는 블록체인을 활용하여 단순히 무결성만을 검증하였다. 하지만, 본 발명은 무결성을 검증할 수 있을 뿐만 아니라 원본 데이터를 복구할 수 있다. 또한 본 발명에서는 스마트컨트랙트(320)와 복구용블록체인(310)을 결합하여 최소한의 시간으로 무결성이 손상된 위치만 찾아서 복구할 수 있다. 한편, 복구용블록체인(310)의 방대한 데이터 양으로 인해 조회 시 처리속도 저하될 수 있다. 하지만, 본 발명은 스마트컨트랙트(320) 또는 검증용블록체인(330)을 이용하여 조회 시 처리 속도 문제를 해결할 수 있다. 즉, 검증용블록체인(330)은 트랜잭션해쉬 및 병합해쉬만을 가지고 있으므로, 탐색 속도가 향상된다. 특히, 일정한 보관주기를 가지는 스마트컨트랙트(320)를 이용하여 탐색속도를 더 향상시킬 수 있다. As described above, according to an embodiment of the present invention, the recovery block chain 310 stores original data (security event log information), and even if the original data (security event log information) of the security event database 400 is damaged It is possible to safely restore the original data. In the conventional technology, only integrity was verified by using a block chain. However, the present invention can not only verify the integrity, but can also restore the original data. In addition, in the present invention, by combining the smart contract 320 and the recovery block chain 310, it is possible to find and restore only the location where integrity is damaged in a minimum time. On the other hand, due to the vast amount of data in the recovery block chain 310, the processing speed may be reduced during inquiry. However, the present invention can solve the problem of processing speed during inquiry by using the smart contract 320 or the verification block chain 330. That is, since the verification block chain 330 has only a transaction hash and a merge hash, the search speed is improved. In particular, it is possible to further improve the search speed by using the smart contract 320 having a constant storage period.
병합해쉬값은 인자로서, 원본 데이터인 보안이벤트로그정보 및 트랜잭션해쉬값을 가진다. 단순히 트랜잭션해쉬값만으로는 원본 데이터의 손상 여부를 직접 확인할 수 없지만, 본 발명은 병합해쉬값을 채용하여, 해쉬값의 비교만으로도 원본 데이터의 손상 여부를 신속하게 확인할 수 있다. 즉, 트랜잭션해쉬만으로 원본 데이터의 손상 여부를 확인하기 위해서는 복구용블록체인(310)에 트랜잭션해쉬를 통해 조회하여 원본 데이터를 얻어온 후, 비교하는 과정을 거쳐야 한다. 반면, 본 발명은 단순히 트랜잭션해쉬값과 보인이벤트로그정보(원본 데이터)를 병합한 병합해쉬값으로 해쉬값만을 비교하여 신속하게 원본 데이터의 손상 여부를 확인할 수 있다. The merge hash value is an argument, and has the security event log information and transaction hash value, which are the original data. Although it is not possible to directly check whether the original data is damaged by simply using the transaction hash value, the present invention employs a merged hash value, so that it is possible to quickly check whether the original data is damaged only by comparing the hash values. That is, in order to check whether the original data is damaged with only the transaction hash, the original data must be retrieved through the transaction hash in the recovery block chain 310 and then compared. On the other hand, in the present invention, it is possible to quickly check whether the original data is damaged by comparing only the hash value with a merge hash value obtained by simply merging the transaction hash value and the shown event log information (original data).
한편, 앞서 설명된 본 발명의 실시예에 따른 보안 이벤트를 처리하기 위한 방법은 다양한 컴퓨터수단을 통하여 판독 가능한 프로그램 형태로 구현되어 컴퓨터로 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 와이어뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 와이어를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. Meanwhile, the method for processing a security event according to an embodiment of the present invention described above may be implemented in the form of a program that can be read through various computer means and recorded in a computer-readable recording medium. Here, the recording medium may include a program command, a data file, a data structure, or the like alone or in combination. The program instructions recorded on the recording medium may be specially designed and constructed for the present invention, or may be known and usable to those skilled in computer software. For example, the recording medium includes magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic-optical media such as floptical disks ( magneto-optical media), and a hardware device specially configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions may include not only machine language wires such as those made by a compiler, but also high-level language wires that can be executed by a computer using an interpreter or the like. Such a hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, and vice versa.
이상에서 설명한 바와 같이, 본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안 되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다. As explained above, the specification includes details of a number of specific implementations, but these should not be understood as limiting to the scope of any invention or claimable, but rather may be peculiar to a particular embodiment of a particular invention. It should be understood as a description of the features that are present. Certain features described herein in the context of separate embodiments may be implemented in combination in a single embodiment. Conversely, various features described in the context of a single embodiment can also be implemented in multiple embodiments individually or in any suitable sub-combination. Furthermore, although features operate in a particular combination and may be initially described as so claimed, one or more features from a claimed combination may in some cases be excluded from the combination, and the claimed combination may be a sub-combination. Or sub-combination variations.
본 발명의 실시예는 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다. 따라서 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 따라서 본 발명의 범위는 설명된 실시예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.The embodiments of the present invention present the best mode of the present invention, and provide examples to illustrate the present invention and to enable those skilled in the art to make and use the present invention. The written specification is not intended to limit the present invention to the specific terms presented. Therefore, although the present invention has been described in detail with reference to the above-described examples, those skilled in the art can make modifications, changes, and modifications to these examples without departing from the scope of the present invention. Therefore, the scope of the present invention should not be determined by the described embodiments, but should be determined by the claims.
[부호의 설명][Explanation of code]
1: 클라이언트 단말 1: client terminal
10: 보안시스템 10: security system
100: 보안정보처리서버 100: security information processing server
200: 보안이벤트관리장치 200: security event management device
210: 보안이벤트수집부 210: security event collection unit
220: 보안이벤트조회부 220: Security event inquiry unit
300: 블록체인네트워크 300: Blockchain network
310: 복구용블록체인 310: Blockchain for recovery
320: 스마트컨트랙트 320: smart contract
330: 검증용블록체인 330: Blockchain for verification
400: 보안이벤트데이터베이스 400: security event database
500: 관리자장치 500: manager device

Claims (13)

  1. 보안 이벤트를 처리하기 위한 장치에 있어서, In the device for processing a security event,
    보안 이벤트가 발생할 때마다, 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하고, 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 보안이벤트수집부; 및 Whenever a security event occurs, the security event log information, the transaction hash value, and the merged hash value are stored in the recovery block chain and the security event database, and the transaction hash value and the merged hash value are stored in a smart contract. part; And
    상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 보안이벤트조회부;를 포함하는 것을 특징으로 하는 To verify whether the security event log information is tampered with by comparing whether the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the smart contract are the same. It characterized in that it comprises a; security event inquiry unit
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  2. 제1항에 있어서, The method of claim 1,
    상기 보안이벤트수집부는 The security event collection unit
    상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하고, When the security event occurs, the security event log information is collected and recorded in the recovery block chain,
    상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, When the transaction hash value corresponding to the security event log information is returned from the recovery blockchain,
    상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하고, Calculating the merged hash value using the security event log information and the transaction hash value as factors,
    상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 것을 특징으로 하는 Indexing the transaction hash value and the merge hash value corresponding to the security event log information in the recovery block chain.
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  3. 제1항에 있어서, The method of claim 1,
    상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 하는 As a result of the comparison, if the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the smart contract are not the same, the security event stored in the security event database It is characterized in that it is determined that the log information has been altered.
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  4. 제3항에 있어서, The method of claim 3,
    상기 보안이벤트로그정보가 변조된 시점을 검출하고, 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출한 후, 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 데이터복원부;를 더 포함하는 것을 특징으로 하는 The security event log information is detected when the security event log information is tampered with, and the security event log information is extracted from the recovery block chain using the transaction hash value and the merged hash value at the detected modulation time, and then the extracted security event log information is used. And a data restoration unit for restoring the security event database.
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  5. 제4항에 있어서, The method of claim 4,
    상기 데이터복원부는 The data restoration unit
    상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 하는 Comparing the transaction hash value and the merge hash value recorded in the smart contract with the transaction hash value and the merge hash value recorded in the security event database to detect the altered time point.
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  6. 제1항에 있어서, The method of claim 1,
    상기 보안이벤트수집부는 The security event collection unit
    상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장할 때, 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에도 저장하며, When storing the transaction hash value and the merge hash value in a smart contract, the same transaction hash value and the merge hash value are also stored in the verification blockchain,
    상기 보안이벤트조회부는 The security event inquiry unit
    상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 것을 특징으로 하는 When a preset storage period for the transaction hash value and the merge hash value of the smart contract is exceeded, the transaction hash value and the merge hash value last recorded in the security event database and the last recorded in the verification blockchain. Comparing whether the transaction hash value and the merged hash value are the same to verify whether the security event log information is tampered with.
    보안 이벤트를 처리하기 위한 장치. A device for handling security events.
  7. 보안 이벤트를 처리하기 위한 방법에 있어서, In a method for handling a security event,
    보안이벤트수집부가 보안 이벤트에 대한 보안이벤트로그정보, 트랜잭션해쉬값 및 병합해쉬값을 복구용블록체인과 보안이벤트데이터베이스에 저장하는 단계; Storing, by the security event collection unit, security event log information, transaction hash value, and merge hash value for the security event in the recovery block chain and the security event database;
    보안이벤트수집부가 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계; Storing the transaction hash value and the merge hash value in a smart contract by a security event collection unit;
    보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계;를 더 포함하는 것을 특징으로 하는 Modulation of the security event log information by comparing whether the security event inquiry unit is the same as the transaction hash value and the merge hash value last recorded in the security event database with the transaction hash value and the merge hash value last recorded in the smart contract. The step of verifying whether or not; characterized in that it further comprises
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  8. 제7항에 있어서, The method of claim 7,
    상기 보안이벤트데이터베이스에 저장하는 단계는 The step of storing in the security event database
    상기 보안이벤트수집부가 상기 보안 이벤트가 발생하면, 상기 보안이벤트로그정보를 수집하여 복구용블록체인에 기록하는 단계; Collecting the security event log information when the security event occurs by the security event collection unit and recording it in a recovery block chain;
    상기 보안이벤트수집부가 상기 복구용블록체인으로부터 상기 보안이벤트로그정보에 대응하는 트랜잭션해쉬값이 반환되면, 상기 보안이벤트로그정보 및 상기 트랙잭션해쉬값을 인자로 상기 병합해쉬값을 산출하는 단계; 및 When the security event collection unit returns a transaction hash value corresponding to the security event log information from the recovery block chain, calculating the merge hash value using the security event log information and the transaction hash value as factors; And
    상기 보안이벤트수집부가 상기 복구용블록체인에 상기 보안이벤트로그정보에 대응하는 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 인덱싱하는 단계;를 포함하는 것을 특징으로 하는 And indexing the transaction hash value and the merge hash value corresponding to the security event log information in the recovery block chain by the security event collection unit.
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  9. 제7항에 있어서, The method of claim 7,
    상기 보안이벤트로그정보의 변조 여부를 검증하는 단계는 The step of verifying whether the security event log information is tampered with
    상기 비교 결과, 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 스마트컨트랙트에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일하지 않으면, 상기 보안이벤트데이터베이스에 저장된 상기 보안이벤트로그정보가 변조된 것으로 판단하는 것을 특징으로 하는 As a result of the comparison, if the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the smart contract are not the same, the security event stored in the security event database It is characterized in that it is determined that the log information has been altered.
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  10. 제9항에 있어서, The method of claim 9,
    데이터복원부가 상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계; Detecting, by a data restoration unit, a time point at which the security event log information is altered;
    상기 데이터복원부가 상기 검출된 변조 시점의 트랜잭션해쉬값 및 병합해쉬값을 이용하여 상기 복구용블록체인으로부터 상기 보안이벤트로그정보를 추출하는 단계; 및 Extracting the security event log information from the recovery block chain using the transaction hash value and the merge hash value of the detected modulation time by the data restoration unit; And
    상기 추출된 보안이벤트로그정보로 상기 보안이벤트데이터베이스를 복원하는 단계;를 더 포함하는 것을 특징으로 하는 And restoring the security event database with the extracted security event log information.
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  11. 제10항에 있어서, The method of claim 10,
    상기 보안이벤트로그정보가 변조된 시점을 검출하는 단계는 The step of detecting the time point at which the security event log information has been tampered with
    상기 데이터복원부가 상기 스마트컨트랙트에 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 보안이벤트데이터베이스에 기록된 트랜잭션해쉬값 및 병합해쉬값을 비교하여 상기 변조된 시점을 검출하는 것을 특징으로 하는 Characterized in that the data restoration unit compares the transaction hash value and the merge hash value recorded in the smart contract with the transaction hash value and the merge hash value recorded in the security event database to detect the altered time point.
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  12. 제7항에 있어서, The method of claim 7,
    상기 트랜잭션해쉬값 및 상기 병합해쉬값을 스마트컨트랙트에 저장하는 단계는 Storing the transaction hash value and the merge hash value in a smart contract
    상기 트랜잭션해쉬값 및 상기 병합해쉬값과 동일한 상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계;를 포함하며, And storing the transaction hash value and the merge hash value equal to the transaction hash value and the merge hash value in a verification block chain; and
    상기 트랜잭션해쉬값 및 상기 병합해쉬값을 검증용블록체인에 저장하는 단계 후, After the step of storing the transaction hash value and the merge hash value in a verification block chain,
    상기 스마트컨트랙트의 상기 트랜잭션해쉬값 및 상기 병합해쉬값에 대한 기 설정된 보관 주기를 도과하면, When a preset storage period for the transaction hash value and the merge hash value of the smart contract is exceeded,
    상기 보안이벤트조회부가 상기 보안이벤트데이터베이스에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값과 상기 검증용블록체인에 마지막으로 기록된 트랜잭션해쉬값 및 병합해쉬값이 동일한지 여부를 비교하여 상기 보안이벤트로그정보의 변조 여부를 검증하는 단계;를 더 포함하는 것을 특징으로 하는 The security event log compares whether the transaction hash value and the merge hash value last recorded in the security event database and the transaction hash value and the merge hash value last recorded in the verification blockchain are the same. The step of verifying whether the information is tampered with; characterized in that it further comprises
    보안 이벤트를 처리하기 위한 방법. Methods for handling security events.
  13. 컴퓨터에 제7항 내지 제12항 중 어느 한 항에 따른 보안 이벤트를 처리하기 위한 방법을 실행시키는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium on which a program for executing a method for processing a security event according to any one of claims 7 to 12 is recorded on a computer.
PCT/KR2019/014775 2019-10-31 2019-11-04 Device for processing security event using blockchain and smart contract, and method therefor WO2021085701A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190137490A KR102124049B1 (en) 2019-10-31 2019-10-31 Apparatus for processing security event using block chain and smart contract and method therefor
KR10-2019-0137490 2019-10-31

Publications (1)

Publication Number Publication Date
WO2021085701A1 true WO2021085701A1 (en) 2021-05-06

Family

ID=71405514

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2019/014775 WO2021085701A1 (en) 2019-10-31 2019-11-04 Device for processing security event using blockchain and smart contract, and method therefor

Country Status (2)

Country Link
KR (1) KR102124049B1 (en)
WO (1) WO2021085701A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240291679A1 (en) * 2023-02-28 2024-08-29 CUBE Security Inc. Proxy autonomous protocol for blockchain access control

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102493041B1 (en) * 2021-02-10 2023-01-30 주식회사 케이티 Apparatus for monitoring log by using block chain
KR20230046061A (en) * 2021-09-29 2023-04-05 삼성전자주식회사 Electronic device recovering block data and method in blockchain network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012213118A (en) * 2011-03-31 2012-11-01 Hitachi Solutions Ltd Electronic data distribution system
KR20190075771A (en) * 2017-12-21 2019-07-01 바스아이디 랩 재팬 컴퍼니 리미티드 Authentication System Using Block Chain Through Distributed Storage after Separating Personal Information
KR20190077765A (en) * 2017-12-26 2019-07-04 경희대학교 산학협력단 Method of storing data using block-chain and Cloud System using thereof
KR20190078451A (en) * 2017-12-26 2019-07-04 숭실대학교산학협력단 Server and Recovery server for performing failure recovery of service server using block chain, Method for controlling the server
KR20190111261A (en) * 2018-03-22 2019-10-02 주식회사 이글루시큐리티 Security Management System using Block Chain Technology and Method thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170137388A (en) 2016-06-03 2017-12-13 (주) 블록체인오에스 A method for ensuring integrity by using a blockchain technology

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012213118A (en) * 2011-03-31 2012-11-01 Hitachi Solutions Ltd Electronic data distribution system
KR20190075771A (en) * 2017-12-21 2019-07-01 바스아이디 랩 재팬 컴퍼니 리미티드 Authentication System Using Block Chain Through Distributed Storage after Separating Personal Information
KR20190077765A (en) * 2017-12-26 2019-07-04 경희대학교 산학협력단 Method of storing data using block-chain and Cloud System using thereof
KR20190078451A (en) * 2017-12-26 2019-07-04 숭실대학교산학협력단 Server and Recovery server for performing failure recovery of service server using block chain, Method for controlling the server
KR20190111261A (en) * 2018-03-22 2019-10-02 주식회사 이글루시큐리티 Security Management System using Block Chain Technology and Method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240291679A1 (en) * 2023-02-28 2024-08-29 CUBE Security Inc. Proxy autonomous protocol for blockchain access control

Also Published As

Publication number Publication date
KR102124049B1 (en) 2020-06-17

Similar Documents

Publication Publication Date Title
CN110414268B (en) Access control method, device, equipment and storage medium
CN110826111B (en) Test supervision method, device, equipment and storage medium
WO2021085701A1 (en) Device for processing security event using blockchain and smart contract, and method therefor
US7096497B2 (en) File checking using remote signing authority via a network
CN103098070A (en) Methods, apparatus and systems for monitoring locations of data within a network service
WO2023096027A1 (en) Data backup system having enhanced security
WO2018097521A1 (en) Method for duplexing database
KR20010000088A (en) Restoring service system and a method thereof for internet-based remote data and file
WO2013100320A1 (en) System, user terminal, method, and apparatus for protecting and recovering system file.
WO2021172668A1 (en) First copyright holder authentication system using blockchain, and method therefor
WO2023090864A1 (en) Apparatus and method for automatically analyzing malicious event log
CN109325360B (en) Information management method and device
WO2023106504A1 (en) Method, device, and computer-readable recording medium for machine learning-based observation level measurement using server system log, and for risk level calculation according to same measurement
CN112214769B (en) Active measurement system of Windows system based on SGX architecture
CN112583805A (en) Data processing method and device based on block chain, electronic equipment and storage medium
CN112163036A (en) Block chain information construction and query method and related device
WO2021070978A1 (en) Blockchain-based edr device and method
KR20000040269A (en) Method for realtime invasion detection using agent structure in realtime invasion detection system
CN113468607B (en) Method for generating and using encrypted tamper-proof file
CN115422578A (en) Information processing method, device, equipment and storage medium
US20210089497A1 (en) Method, device, and computer program product for managing data object
CN112416981A (en) Data processing method and device based on block chain, electronic equipment and storage medium
KR101640929B1 (en) Method and apparatus for tracking data access route
CN112929402A (en) Mobile ad hoc network device for realizing trusted data storage
WO2024085272A1 (en) Content wallet, and system for issuing original data and preventing sharing of illegal data using same

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19950391

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19950391

Country of ref document: EP

Kind code of ref document: A1