KR101076683B1 - 호스트 기반의 망분리 장치 및 방법 - Google Patents

호스트 기반의 망분리 장치 및 방법 Download PDF

Info

Publication number
KR101076683B1
KR101076683B1 KR1020090064014A KR20090064014A KR101076683B1 KR 101076683 B1 KR101076683 B1 KR 101076683B1 KR 1020090064014 A KR1020090064014 A KR 1020090064014A KR 20090064014 A KR20090064014 A KR 20090064014A KR 101076683 B1 KR101076683 B1 KR 101076683B1
Authority
KR
South Korea
Prior art keywords
network
internal
host
external network
external
Prior art date
Application number
KR1020090064014A
Other languages
English (en)
Other versions
KR20110006399A (ko
Inventor
강경완
김광태
박희안
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020090064014A priority Critical patent/KR101076683B1/ko
Priority to US13/383,996 priority patent/US20120110657A1/en
Priority to PCT/KR2010/004565 priority patent/WO2011008017A2/ko
Publication of KR20110006399A publication Critical patent/KR20110006399A/ko
Application granted granted Critical
Publication of KR101076683B1 publication Critical patent/KR101076683B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks

Abstract

본 발명은 호스트 기반 망분리 방법에 있어서, 호스트 컴퓨터 시스템에서 실행되는 프로세스들이 호스트 컴퓨터에 연결되는 사내망 또는 외부망 등의 네트워크망을 사용하려고 하는 경우 시스템에 영향을 주거나 해당 프로세스를 직접 조작하지 않고도 망분리 스위치에서 해당 프로세스에 미리 할당된 망 사용 권한과 일치하는 사내망 또는 외부망으로 연결을 유도시키고, 해당 프로세스의 실행에 따라 발생된 패킷 데이터를 패킷 처리기를 통해 해당되는 사내망 또는 외부망으로 전송시킴으로써, 하나의 호스트 컴퓨터 시스템에서 보다 효율적으로 네트워크망에 대한 논리적 망분리가 가능하도록 한다.
망, 분리, 네트워크, 업무, 인터넷, 보안, 가상, 패킷

Description

호스트 기반의 망분리 장치 및 방법{APPARATUS AND METHOD FOR SPLITTING HOST-BASED NETWORKS}
본 발명은 네트워크(network) 보안에 관한 것으로, 특히 업무를 위한 사내망(internal network)과 인터넷(internet) 등의 접속을 위한 외부망(external network)이 동시에 연결되는 호스트 컴퓨터(host computer)에서 프로세스(process)별 접근할 수 있는 네트워크망을 프로세스에서 처리하는 정보의 특성에 따라 미리 할당하여 프로세스의 실행 시 프로세스가 접근할 수 있도록 미리 설정된 네트워크망으로만 데이터의 송/수신이 가능하도록 제어함으로써, 하나의 호스트 컴퓨터 시스템에서 추가의 망구축이나 서버(server)의 증설 없이도 보다 효율적으로 망분리가 가능하도록 하는 호스트 기반의 망분리 장치 및 방법에 관한 것이다.
근래에 들어, 컴퓨터 기술의 급속한 발달로 인해 컴퓨터(computer) 및 컴퓨터 네트워크(computer network)의 광범위한 이용이 가능하게 되었으며, 공공기관이나 회사에서는 연구, 이메일(e-mail) 송신, 서로 다른 장소에서의 파일 전송 등을 업무에 활용하기 위해 내부망 뿐만 아니라, 인터넷 등의 외부망을 활발히 이용하고 있다.
위와 같이 인터넷 등의 외부의 공격에 쉽게 노출될 수 있는 외부망이 광범위하게 이용됨에 따라 공공기관이나 회사 등에서는 내부 중요 정보에 대한 보안을 위해 방화벽(firewall)을 설치하여 운용하고 있으나, 방화벽은 방화벽을 우회하여 침투되는 액세스(excess)에 대해서는 침투를 방지할 수 없는 등 외부의 의도적인 공격으로부터 완벽하게 내부 중요정보를 차단시키지는 못하고 있다.
이에 따라, 최근에는 내부망과 외부망을 분리하여 내부의 중요정보가 외부망으로부터 공격받는 것을 방지시키고자하는 망분리 기술이 도입되고 있다.
망분리 기술이라함은, 네트워킹을 위해 사용하는 네트워크망을 목적에 따라 물리적으로 완전히 구분된 두 가지 이상의 네트워크망으로 구성하여 각각의 네트워크망 간에는 네트워크 패킷 데이터가 전달될 수 없도록 하여 한쪽의 네트워크망이 해킹 등의 이유로 취약해 지더라도 다른 쪽 네트워크망에는 그 피해가 발생하지 않도록 하는 기술을 말한다.
최근에는, 위와 같은 망분리 기술을 통해 보안성을 높이고자 많은 공공기관 및 회사들이 망분리 사업을 시행하고 있으나, 망분리를 위해서는 네트워크망을 추가로 구축하고, 추가된 네트워크망에만 접속할 수 있는 PC 및 서버들을 증설해야하는 등 비용이 발생하며 효율성 또한 저하되는 문제가 제기되고 있다.
도 1은 종래 망분리에 대한 이해를 높이기 위한 물리적인 망분리에 대한 개념을 도시한 것이다. 도 1에 도시된 바와 같이, 사용자 A가 두 대의 시스템을 이용해서 업무망 등의 사내망과 인터넷망 등의 외부망을 사용하도록 구성되어 있다. 이 때 도 1에서는 물리적으로 망분리가 이루어짐에 따라 각각의 네트워크망 간에는 어떠한 패킷 데이터도 교환될 수 없어 상대적으로 취약한 인터넷망 등의 외부망을 통해 사용자 A가 악성코드에 감염 혹은 해킹되었다 하더라도 중요 자료들이 존재하는 사내망으로는 접근할 수 없어 보안성을 높이게 된다.
하지만, 위 도 1에서 도시된 바와 같은 종래 망분리 기술에 있어서는, 분리된 네트워크 망 및 SBC를 지원하기 위한 서버 등의 추가 증설이 필요하게 되며, 여러 명이 동시에 사용함으로 인해 개인 PC보다 상대적으로 컴퓨팅 성능이 많이 떨어질 수밖에 없는 서버 상의 가상 PC에서 작업을 하게되어 사용성이 크게 떨어지는 문제점이 있었다.
따라서, 본 발명은 업무를 위한 사내망과 인터넷 접속을 위한 외부망이 동시에 연결되는 호스트 컴퓨터에서 프로세스별 접근할 수 있는 네트워크망을 프로세스에서 처리하는 정보의 특성에 따라 미리 할당하여 프로세스의 실행 시 프로세스가 접근할 수 있도록 미리 설정된 네트워크망으로만 데이터의 송/수신이 가능하도록 제어 함으로써, 하나의 호스트 컴퓨터 시스템에서 추가의 망구축이나 서버의 증설 없이도 보다 효율적으로 망분리가 가능하도록 하는 호스트 기반의 망분리 장치 및 방법을 제공하고자 한다.
상술한 본 발명은 호스트 기반 망 분리 장치로서, 호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망을 확인하여 IP별로 상기 프로세스를 분리하는 망분리 스위치와, 상기 망분리 스위치에 의해 IP별 분리된 프로세스의 패킷 데이터가 해당 IP에 할당되지 않은 다른 네트워크망으로 접근 시 이를 차단시키는 패킷 처리기를 포함한다.
또한, 본 발명은 호스트 기반 망 분리 장치로서, 호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 실행되도록 할당된 사내망 또는 외부망을 확인하여 상기 프로세스를 할당된 네트워크망별로 분리하는 망분리 스위치와, 상기 망분리 스위치로부터 상기 사내망으로 분리된 상기 프로세스의 패킷 데이터에 대해서는 상기 사내망에 연결된 제1 NIC를 통해 전송하는 사내망 패킷 처리기와, 상기 망분리 스위치로부터 상기 외부망으로 분리된 상기 프로세스의 패킷 데이터에 대해서는 상기 외부망에 연결된 제2 NIC를 통해 전송하는 외부망 패킷 처리기를 포함한다.
또한, 본 발명은 호스트 기반 망 분리 장치로서, 호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망를 확인하여 상기 프로세스의 실행을 위해 상기 사내망 또는 외부망으로의 접근이 논리적으로 분리된 가상 작업 환경을 생성시키는 가상환경 생성부와, 상기 프로세스의 실행 시 상기 프로세스가 실행된 가상환경을 확인하여 상기 프로세스를 상기 사내망 또는 외부망으로 분리하는 망분리 스위치와, 상기 망분리 스위치에 의해 상기 사내망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터를 상기 사내망에 연결된 제1 NIC로 전송 하는 사내망 패킷 처리기와, 상기 망분리 스위치에 의해 상기 외부망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터를 상기 외부망에 연결된 제2 NIC로 전송하는 외부망 패킷 처리기를 포함한다.
또한, 본 발명은 호스트 기반 망분리 방법으로서, 호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망을 확인하여 IP별로 분류하는 단계와, 상기 IP별로 분류된 프로세스의 패킷 데이터가 해당 IP에 할당되지 않은 다른 네트워크망으로 접근 시도를 하는지 검사하는 단계와, 상기 검사결과, 상기 프로세스의 패킷 데이터가 다른 네트워크망으로 접근 시도를 하는 경우 이를 차단시키는 단계와, 상기 검사결과, 상기 프로세스로의 패킷 데이터가 다른 네트워크망으로 접근 시도를 하지 않는 경우 상기 패킷 데이터를 상기 프로세스에 할당된 상기 사내망 또는 외부망으로 전송시키는 단계를 포함한다.
또한, 본 발명은 호스트 기반 망분리 방법으로서, 호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 실행되도록 할당된 사내망 또는 외부망을 확인하여 상기 프로세스를 할당된 네트워크망별로 분리하는 단계와, 상기 사내망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터에 대해서는 상기 사내망에 연결된 제1 NIC를 통해 전송하는 단계와, 상기 외부망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터에 대해서는 상기 외부망에 연결된 제2 NIC를 통해 전송하는 단계를 포함한다.
또한, 본 발명은 호스트 기반 망분리 방법으로서, 임의의 프로세스 실행 시 호스트 컴퓨터상 사내망 또는 외부망과 연결되는 상기 프로세스의 실행을 위한 가 상 작업 환경을 생성하는 단계와, 상기 호스트 컴퓨터에서 실행되는 프로세스를 상기 사내망 또는 외부망에 미리 할당하는 단계와, 상기 프로세스를 상기 프로세스에 할당된 사내망 또는 외부망과 연결되는 가상 작업 환경에서 실행되도록 유도하는 단계와, 상기 가상 작업 환경에서 상기 프로세스의 실행에 따라 발생하는 패킷 데이터를 NIC를 통해 상기 프로세스에 할당된 사내망 또는 외부망으로 전송시키는 단계를 포함한다.
본 발명에서는 호스트 기반 망분리 방법에 있어서, 호스트 컴퓨터 시스템에서 실행되는 프로세스들이 호스트 컴퓨터에 연결되는 사내망 또는 외부망 등의 네트워크망을 사용하려고 하는 경우 시스템에 영향을 주거나 해당 프로세스를 직접 조작하지 않고도 망분리 스위치에서 해당 프로세스에 미리 할당된 망 사용 권한과 일치하는 사내망 또는 외부망으로 연결을 유도시키고, 해당 프로세스의 실행에 따라 발생된 패킷 데이터를 패킷 처리기를 통해 해당되는 사내망 또는 외부망으로 전송시킴으로써, 하나의 호스트 컴퓨터 시스템에서 보다 효율적으로 네트워크망에 대한 논리적 망분리가 가능한 이점이 있다.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 2는 본 발명의 실시 예에 따른 호스트 기반의 망분리 개념을 도시한 것으로, 호스트 컴퓨터(host computer)(200)에 사내망과 외부망이 하나의 물리적인 네트워크망으로 연결되는 경우의 논리적 망분리 개념을 도시한 것이다.
도 2를 참조하면, 호스트 기반 망분리 장치는 망분리 스위치(204), 패킷 처리기(208), 네트워크 인터페이스 카드(network interface card : NIC)(210) 등을 포함한다.
먼저, 윈속(winsock)(202)은 통신을 위해 응용 프로그램에서 사용되는 통신 방법과 통신 기능에 대한 인터페이스(API: application programing interface)를 정의한다.
망분리 스위치(204)는 호스트 컴퓨터(200)상 임의의 프로세스(process) 실행 시 프로세스가 할당된 사내망 또는 외부망을 확인하여 IP별로 분리한다. 이때, 사내망과 외부망이 동시에 연결되는 호스트 컴퓨터(200)는 논리적인 망분리를 위해 사내망 또는 외부망과의 연결 시 사용되는 두 개의 서로 다른 IP가 부여되는데, 망분리 스위치(204)는 위 IP 정보를 통해 프로세스가 할당된 사내망 또는 외부망을 식별하게 된다. 또한 이때, 프로세스는 처리하는 정보 특성에 따른 정책에 따라 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당된다.
TCP/IP(transmission control protocol/internet protocol)부(206)는 TCP/IP를 제공하여 데이터 전송 시 윈도우 알고리즘을 사용한 흐름 제어를 통해 에러 프레임(error frame)의 재전송 등을 수행한다.
패킷 처리기(208)는 망분리 스위치(204)에 의해 분리된 프로세스의 실행에 따라 발생되는 패킷 데이터(packet data)에 대해 접근 권한이 할당되지 않는 다른 네트워크망으로의 접근 시도를 검사하고, 다른 네트워크망으로의 접근 시도가 없는 경우 해당 패킷 데이터를 NIC(210)를 통해 할당된 사내망 또는 외부망으로 전송시키며, 다른 망으로의 접근 시도 시에는 이를 차단시킨다.
NIC(210)는 사내망 또는 외부망에 연결되어 호스트 컴퓨터(200)와 네트워크망간 송/수신되는 데이터를 인터페이스하는 장치로, 패킷 처리기(208)로부터 인가되는 패킷 데이터에 대해 프로세스에 할당된 사내망 또는 외부망으로 전송시킨다.
상기한 바와 같이, 위 도 2에서는 호스트 컴퓨터(200)에 사내망과 외부망에 각각 분리 연결할 수 있는 두 개의 서로 다른 IP를 사용하도록 하여 하나의 물리적인 네트워크망을 이용하여 마치 두 개의 분리된 네트워크망처럼 사용할 수 있도록 하는 것이다.
즉, 호스트 컴퓨터(200)에서 실행되는 프로세스들은 망분리 스위치(204)에 의해 선택적으로 미리 할당된 사내망 또는 외부망으로 접근이 유도되고, 프로세스 실행에 따라 발생한 패킷 데이터에 대해서는 패킷 처리기(208)에 의해 프로세스의 네트워크망 접근 권한에 따라 분리한 후, NIC(210)를 통해 해당 프로세스에 미리 할당된 사내망 또는 외부망으로 전송되도록함으로써, 하나의 물리적인 네트워크망을 논리적으로 분리된 두 개의 망처럼 사용할 수 있게 되는 것이다.
도 3은 본 발명의 다른 실시 예에 따른 호스트 기반의 망분리 개념을 도시한 것으로, 호스트 컴퓨터(300)에 사내망과 외부망이 별도의 물리적인 네트워크로 연결되는 경우의 망분리 개념을 도시한 것이다.
도 3을 참조하면, 호스트 기반 망분리 장치는 망분리 스위치(302), 사내망 패킷 처리기(306), 외부망 패킷 처리기(310), 사내망에 연결되는 제1 NIC(308), 외부망에 연결되는 제2 NIC(312) 등을 포함한다.
먼저, 윈속(winsock)(300)은 통신을 위해 응용 프로그램에서 사용되는 통신 방법과 통신 기능에 대한 인터페이스(API)를 정의한다.
망분리 스위치(302)는 호스트 컴퓨터(300)상 임의의 프로세스 실행 시 프로세스가 실행되도록 할당된 사내망 또는 외부망을 확인하여 프로세스를 할당된 네트워크망별로 분리한다. 이때 프로세스는 처리하는 정보 특성에 따른 정책에 따라 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당된다. TCP/IP부(304)는 TCP/IP를 제공하여 데이터 전송 시 윈도우 알고리즘을 사용한 흐름 제어를 통해 에러 프레임의 재전송 등을 수행한다.
사내망 패킷 처리기(306)는 망분리 스위치(302)로부터 사내망으로 분리된 프로세스의 패킷 데이터에 대해서는 사내망에 연결되는 제1 NIC(308)를 통해 사내망으로 패킷 데이터를 전송한다.
외부망 패킷 처리기(310)는 망분리 스위치(302)로부터 외부망으로 분리된 프로세스의 패킷 데이터에 대해서는 외부망에 연결된 제2 NIC(312)를 통해 외부망으로 패킷 데이터를 전송한다.
즉, 위 도 3은 호스트 컴퓨터(300)에 사내망과 외부망이 물리적으로 서로 분리되도록 구축된 경우로 프로세스별 실행될 사내망 또는 외부망을 미리 설정하고, 임의의 프로세스의 실행 시 해당 프로세스에 할당된 사내망 또는 외부망에 연결되는 NIC를 통해 프로세스의 실행에 따라 발생되는 패킷 데이터가 해당 사내망 또는 외부망으로 분리되어 전송될 수 있도록 하는 것이다.
도 4는 본 발명의 다른 실시 예에 따른 호스트 기반의 망분리 개념을 도시한 것으로, 호스트 컴퓨터(400)에 사내망과 외부망이 별도의 물리적인 네트워크로 연결되는 경우 프로세스별 가상 작업 환경의 생성을 통한 망분리 개념을 도시한 것이다.
도 4를 참조하면, 호스트 기반 망분리 장치는 가상환경 생성부(402), 망분리 스위치(406), 사내망 패킷 처리기(410), 외부망 패킷 처리기(414), 사내망과 연결되는 제1 NIC(412), 외부망과 연결되는 제2 NIC(416) 등을 포함한다.
먼저, 윈속(winsock)(404)은 통신을 위해 응용 프로그램에서 사용되는 통신 방법과 통신 기능에 대한 인터페이스(API)를 정의한다.
가상환경 생성부(402)는 호스트 컴퓨터(400)상 임의의 프로세스 실행 시 프로세스가 할당된 사내망 또는 외부망를 확인하여 프로세스의 실행을 위해 사내망 또는 외부망으로의 접근이 논리적으로 분리된 가상 작업 환경을 생성시킨다. 이때, 프로세스는 처리하는 정보 특성에 따른 정책에 따라 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되며, 실행 시 호스트 컴퓨터(400)상 사내망 또는 외부망의 접근이 논리적으로 분리되는 해당 프로세스에 할당된 가상 작업 작업환경으로 유도된다.
망분리 스위치(406)는 프로세스의 실행 시 프로세스가 실행된 가상환경을 확인하여 프로세스를 가상환경에 대응되는 사내망 또는 외부망으로 분리한다. TCP/IP부(408)는 TCP/IP를 제공하여 데이터 전송 시 윈도우 알고리즘을 사용한 흐름 제어를 통해 에러 프레임의 재전송 등을 수행한다.
사내망 패킷 처리기(410)는 망분리 스위치(406)에 의해 프로세스가 실행된 가상환경에 따라 사내망으로 분리된 프로세스에 대해서는 해당 프로세스의 실행에 따른 패킷 데이터를 사내망에 연결되는 제1 NIC(412)를 통해 사내망으로 전송한다.
외부망 패킷 처리기(414)는 망분리 스위치(406)에 의해 프로세스가 실행된 가상환경에 따라 외부망으로 분리된 프로세스에 대해서는 해당 프로세스의 실행에 따른 패킷 데이터를 외부망에 연결되는 제2 NIC(416)를 통해 외부망으로 전송한다.
한편, 사내망 패킷 처리기(410)와 외부망 패킷 처리기(414)는 호스트 컴퓨터(400)와 연결되는 사내망 또는 외부망이 VLAN(virtual LAN)을 사용하는 경우 패킷 데이터에 VLAN망에서 인식될 수 있는 VLAN 태그를 삽입하여 전송시키게 된다.
즉, 위 도 4는 호스트 컴퓨터(400)에 사내망과 외부망이 물리적으로 서로 분리되도록 구축된 경우로 프로세스가 실행될 사내망 또는 외부망을 미리 설정하고, 프로세스 실행 시 컴퓨터상 사내망 또는 외부망과 연결되는 가상 작업 환경을 생성 하여, 해당 프로세스를 프로세스에 미리 할당된 사내망 또는 외부망과 연결되도록 생성되는 가상 작업 환경으로 유도시킴으로써, 다른 망으로부터의 접근이 차단될 수 있도록 하는 것이다.
상기한 바와 같이, 본 발명에서는 호스트 기반 망분리 방법에 있어서, 호스트 컴퓨터 시스템에서 실행되는 프로세스들이 호스트 컴퓨터에 연결되는 사내망 또는 외부망 등의 네트워크망을 사용하려고 하는 경우 시스템에 영향을 주거나 해당 프로세스를 직접 조작하지 않고도 망분리 스위치에서 해당 프로세스에 미리 할당된 망 사용 권한과 일치하는 사내망 또는 외부망으로 연결을 유도시키고, 해당 프로세스의 실행에 따라 발생된 패킷 데이터를 패킷 처리기를 통해 해당되는 사내망 또는 외부망으로 전송시킴으로써, 하나의 호스트 컴퓨터 시스템에서 보다 효율적으로 네트워크망에 대한 논리적 망분리가 가능하도록 한다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
도 1은 종래 망분리 개념도,
도 2는 본 발명의 실시 예에 따른 호스트 기반의 망분리 개념도,
도 3은 본 발명의 실시 예에 따른 물리적으로 구분된 네트워크망에서의 호스트 기반 망분리 개념도,
도 4는 본 발명의 실시 예에 따른 가상환경을 이용한 호스트 기반의 망분리 개념도.

Claims (30)

  1. 호스트 기반 망 분리 장치로서,
    호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망을 확인하여 IP별로 상기 프로세스를 분리하는 망분리 스위치와,
    상기 망분리 스위치에 의해 IP별 분리된 프로세스의 패킷 데이터가 해당 IP에 할당되지 않은 다른 네트워크망으로 접근 시 이를 차단시키는 패킷 처리기
    를 포함하는 호스트 기반 망 분리 장치.
  2. 제 1 항에 있어서,
    상기 호스트 컴퓨터는,
    상기 사내망 또는 외부망에 연결되기 위한 두 개의 서로 다른 IP를 가지는 호스트 기반 망 분리 장치.
  3. 제 1 항에 있어서,
    상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 상기 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되는 호스트 기반 망 분리 장치.
  4. 제 1 항에 있어서,
    상기 사내망과 외부망은,
    하나의 네트워크망으로 구축되어 상기 호스트 컴퓨터에 연결되는 호스트 기반 망 분리 장치.
  5. 제 1 항에 있어서,
    상기 외부망은,
    인터넷망인 호스트 기반 망 분리 장치.
  6. 호스트 기반 망 분리 장치로서,
    호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 실행되도록 할당된 사내망 또는 외부망을 확인하여 상기 프로세스를 할당된 네트워크망별로 분리하는 망분리 스위치와,
    상기 망분리 스위치로부터 상기 사내망으로 분리된 상기 프로세스의 패킷 데이터에 대해서는 상기 사내망에 연결된 제1 NIC를 통해 전송하는 사내망 패킷 처리 기와,
    상기 망분리 스위치로부터 상기 외부망으로 분리된 상기 프로세스의 패킷 데이터에 대해서는 상기 외부망에 연결된 제2 NIC를 통해 전송하는 외부망 패킷 처리기
    를 포함하는 호스트 기반 망 분리 장치.
  7. 제 6 항에 있어서,
    상기 사내망 패킷 처리기는,
    상기 사내망에 할당된 프로세스의 패킷 데이터가 정책상 접근이 허용되지 않은 상기 외부망으로 접근을 시도하는 경우 상기 외부망으로의 접근을 차단시키고, 상기 패킷 데이터를 상기 사내망으로 전달하는 호스트 기반 망 분리 장치.
  8. 제 6 항에 있어서,
    상기 외부망 패킷 처리기는,
    상기 외부망에 할당된 프로세스의 패킷 데이터가 정책상 접근이 허용되지 않은 상기 사내망으로 접근을 시도하는 경우 상기 사내망으로의 접근을 차단시키고, 상기 패킷 데이터를 상기 외부망으로 전달하는 호스트 기반 망 분리 장치.
  9. 제 6 항에 있어서,
    상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 상기 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되는 호스트 기반 망 분리 장치.
  10. 제 6 항에 있어서,
    상기 사내망과 외부망은,
    물리적으로 분리된 별로의 망으로 구축되어 상기 호스트 컴퓨터에 연결되는 호스트 기반 망 분리 장치.
  11. 제 6 항에 있어서,
    상기 외부망은,
    인터넷망인 호스트 기반 망 분리 장치.
  12. 호스트 기반 망 분리 장치로서,
    호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망를 확인하여 상기 프로세스의 실행을 위해 상기 사내망 또는 외부망으로의 접근이 논리적으로 분리된 가상 작업 환경을 생성시키는 가상환경 생성부와,
    상기 프로세스의 실행 시 상기 프로세스가 실행된 가상환경을 확인하여 상기 프로세스를 상기 사내망 또는 외부망으로 분리하는 망분리 스위치와,
    상기 망분리 스위치에 의해 상기 사내망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터를 상기 사내망에 연결된 제1 NIC로 전송하는 사내망 패킷 처리기와,
    상기 망분리 스위치에 의해 상기 외부망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터를 상기 외부망에 연결된 제2 NIC로 전송하는 외부망 패킷 처리기
    를 포함하는 호스트 기반 망 분리 장치.
  13. 제 12 항에 있어서,
    상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 상기 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되는 호스트 기반 망 분리 장치.
  14. 제 12 항에 있어서,
    상기 프로세스는,
    실행 시 상기 호스트 컴퓨터상 상기 사내망 또는 외부망의 접근이 논리적으로 분리되는 상기 프로세스의 실행을 위한 가상 작업 작업환경으로 유도되는 호스트 기반 망 분리 장치.
  15. 제 12 항에 있어서,
    상기 사내망과 외부망은,
    물리적으로 분리된 별로의 망으로 구축되어 상기 호스트 컴퓨터에 연결되는 호스트 기반 망 분리 장치.
  16. 제 12 항에 있어서,
    상기 외부망은,
    인터넷망인 호스트 기반 망 분리 장치.
  17. 호스트 기반 망분리 방법으로서,
    호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 할당된 사내망 또는 외부망을 확인하여 IP별로 분류하는 단계와,
    상기 IP별로 분류된 프로세스의 패킷 데이터가 해당 IP에 할당되지 않은 다른 네트워크망으로 접근 시도를 하는지 검사하는 단계와,
    상기 검사결과, 상기 프로세스의 패킷 데이터가 다른 네트워크망으로 접근 시도를 하는 경우 이를 차단시키는 단계와,
    상기 검사결과, 상기 프로세스로의 패킷 데이터가 다른 네트워크망으로 접근 시도를 하지 않는 경우 상기 패킷 데이터를 상기 프로세스에 할당된 상기 사내망 또는 외부망으로 전송시키는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  18. 제 17 항에 있어서,
    상기 사내망과 외부망은,
    하나의 망으로 구축되며, 상기 호스트 컴퓨터에 부여된 두 개의 서로 다른 IP를 통해 상기 호스트 컴퓨터에 선택적으로 연결되는 호스트 기반 망 분리 방법.
  19. 제 17 항에 있어서,
    상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 상기 사내망 또 는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되는 호스트 기반 망 분리 방법.
  20. 제 17 항에 있어서,
    상기 외부망은,
    인터넷망인 호스트 기반 망 분리 방법.
  21. 호스트 기반 망분리 방법으로서,
    호스트 컴퓨터상 임의의 프로세스 실행 시 상기 프로세스가 실행되도록 할당된 사내망 또는 외부망을 확인하여 상기 프로세스를 할당된 네트워크망별로 분리하는 단계와,
    상기 사내망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터에 대해서는 상기 사내망에 연결된 제1 NIC를 통해 전송하는 단계와,
    상기 외부망으로 분리된 상기 프로세스의 실행에 따른 패킷 데이터에 대해서는 상기 외부망에 연결된 제2 NIC를 통해 전송하는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  22. 제 21 항에 있어서,
    상기 사내망과 외부망은,
    물리적으로 분리된 별도의 망으로 구축되어 상기 호스트 컴퓨터에 연결되는 호스트 기반 망 분리 방법.
  23. 제 21 항에 있어서,
    상기 제1 NIC 및 제2 NIC는,
    상기 호스트 컴퓨터내 구비되어 상기 사내망과 외부망에 각각 연결되는 호스트 기반 망 분리 방법.
  24. 호스트 기반 망분리 방법으로서,
    임의의 프로세스 실행 시 호스트 컴퓨터상 사내망 또는 외부망과 연결되는 상기 프로세스의 실행을 위한 가상 작업 환경을 생성하는 단계와,
    상기 호스트 컴퓨터에서 실행되는 프로세스를 상기 사내망 또는 외부망에 미리 할당하는 단계와,
    상기 프로세스를 상기 프로세스에 할당된 사내망 또는 외부망과 연결되는 가상 작업 환경에서 실행되도록 유도하는 단계와,
    상기 가상 작업 환경에서 상기 프로세스의 실행에 따라 발생하는 패킷 데이 터를 상기 프로세스에 할당된 사내망 또는 외부망으로 전송시키는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  25. 제 24 항에 있어서,
    상기 유도 단계는,
    상기 프로세스의 실행 시 상기 프로세스가 접근 권한이 없는 다른 네트워크망의 가상 작업 환경으로 접근하려고 시도하는지 검사하는 단계와,
    상기 검사결과 상기 프로세스가 다른 네트워크망의 가상 작업 환경으로 접근하려고 시도하는 경우 이를 차단시키는 단계와,
    상기 프로세스를 상기 프로세스에 할당된 사내망 또는 외부망의 가상 작업 환경에서 실행되도록 유도하는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  26. 제 24 항에 있어서,
    상기 전송 단계는,
    상기 프로세스의 실행에 따라 발생된 패킷 데이터가 접근하려는 네트워크망을 검사하는 단계와,
    상기 패킷 데이터가 접근하려는 네트워크망이 상기 프로세스의 가상 작업 환 경과 연결된 네트워크망과 다른 네트워크망인 경우 상기 패킷 데이터가 상기 다른 네트워크망으로 접근하지 못하도록 차단시키는 단계와,
    상기 패킷 데이터가 접근하려는 네트워크망이 상기 프로세스의 가상 작업 환경과 연결된 네트워크망과 동일한 네트워크망인 경우 상기 패킷 데이터를 상기 프로세스에 할당된 사내망 또는 외부망으로 전송시키는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  27. 제 24 항에 있어서,
    상기 전송 단계는,
    상기 패킷 데이터가 전송되는 사내망 또는 외부망이 VLAN를 사용하는지 검사하는 단계와,
    상기 패킷 데이터가 전송되는 사내망 또는 외부망이 VLAN을 사용하는 경우 상기 패킷 데이터에 상기 VLAN망에서 인식될 수 있는 VLAN 태그를 삽입하는 단계와,
    상기 VLAN 태그가 삽입된 패킷 데이터를 상기 VLAN을 사용하는 내부망 또는 외부망으로 전송시키는 단계
    를 포함하는 호스트 기반 망 분리 방법.
  28. 제 24 항에 있어서,
    상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 상기 사내망 또는 외부망에 접근할 수 있도록 네트워크망 접근 권한이 미리 할당되는 호스트 기반 망 분리 방법.
  29. 제 24 항에 있어서,
    상기 사내망과 외부망은,
    물리적으로 분리된 별도의 망으로 구축되어 상기 호스트 컴퓨터에 연결되는 호스트 기반 망 분리 방법.
  30. 삭제
KR1020090064014A 2009-07-14 2009-07-14 호스트 기반의 망분리 장치 및 방법 KR101076683B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020090064014A KR101076683B1 (ko) 2009-07-14 2009-07-14 호스트 기반의 망분리 장치 및 방법
US13/383,996 US20120110657A1 (en) 2009-07-14 2010-07-14 Apparatus and method for host-based network separation
PCT/KR2010/004565 WO2011008017A2 (ko) 2009-07-14 2010-07-14 호스트 기반의 네트워크 분리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090064014A KR101076683B1 (ko) 2009-07-14 2009-07-14 호스트 기반의 망분리 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20110006399A KR20110006399A (ko) 2011-01-20
KR101076683B1 true KR101076683B1 (ko) 2011-10-26

Family

ID=43449965

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090064014A KR101076683B1 (ko) 2009-07-14 2009-07-14 호스트 기반의 망분리 장치 및 방법

Country Status (3)

Country Link
US (1) US20120110657A1 (ko)
KR (1) KR101076683B1 (ko)
WO (1) WO2011008017A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507701B1 (ko) 2013-12-18 2015-04-07 유상열 네트워크 필터 드라이버를 이용한 논리적 망 분리 시스템 및 그 방법
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130119290A (ko) * 2012-04-23 2013-10-31 한국전자통신연구원 망 분리 장치 및 방법
KR101255748B1 (ko) * 2012-08-29 2013-04-17 주식회사 컴트리 망 전환 단말기
WO2014163256A1 (ko) * 2013-04-01 2014-10-09 주식회사 앤솔루션 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
KR101420650B1 (ko) * 2013-04-01 2014-07-18 주식회사 앤솔루션 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
KR101449512B1 (ko) * 2013-09-01 2014-10-15 한국해양과학기술원 Ieee 802.1x와 다이나믹 브이랜 기반의 하이브리드 망 분리 방법 및 시스템
KR102010572B1 (ko) * 2018-05-31 2019-08-13 한전케이디엔 주식회사 독립적인 방향전환이 가능한 일방향 자료전달 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070171904A1 (en) 2006-01-24 2007-07-26 Intel Corporation Traffic separation in a multi-stack computing platform using VLANs

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6948003B1 (en) * 2000-03-15 2005-09-20 Ensim Corporation Enabling a service provider to provide intranet services
US7461148B1 (en) * 2001-02-16 2008-12-02 Swsoft Holdings, Ltd. Virtual private server with isolation of system components
US7240193B2 (en) * 2001-03-01 2007-07-03 Invicta Networks, Inc. Systems and methods that provide external network access from a protected network
US7257815B2 (en) * 2001-09-05 2007-08-14 Microsoft Corporation Methods and system of managing concurrent access to multiple resources
US7554993B2 (en) * 2003-03-27 2009-06-30 Hewlett-Packard Development Company, L.P. Method and apparatus for performing connection management with multiple stacks
JP4516458B2 (ja) * 2005-03-18 2010-08-04 株式会社日立製作所 フェイルオーバークラスタシステム及びフェイルオーバー方法
US7633864B2 (en) * 2006-12-20 2009-12-15 Sun Microsystems, Inc. Method and system for creating a demilitarized zone using network stack instances
KR101089154B1 (ko) * 2010-03-05 2011-12-02 주식회사 안철수연구소 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070171904A1 (en) 2006-01-24 2007-07-26 Intel Corporation Traffic separation in a multi-stack computing platform using VLANs

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507701B1 (ko) 2013-12-18 2015-04-07 유상열 네트워크 필터 드라이버를 이용한 논리적 망 분리 시스템 및 그 방법
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법

Also Published As

Publication number Publication date
WO2011008017A2 (ko) 2011-01-20
WO2011008017A3 (ko) 2011-04-07
US20120110657A1 (en) 2012-05-03
KR20110006399A (ko) 2011-01-20

Similar Documents

Publication Publication Date Title
Tabrizchi et al. A survey on security challenges in cloud computing: issues, threats, and solutions
CN109196505B (zh) 基于硬件的虚拟化安全隔离
US10027709B2 (en) Generating a honey network configuration to emulate a target network environment
US10091238B2 (en) Deception using distributed threat detection
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
US9954872B2 (en) System and method for identifying unauthorized activities on a computer system using a data structure model
US10148697B2 (en) Unified host based security exchange between heterogeneous end point security agents
US9832227B2 (en) System and method for network level protection against malicious software
US9167000B2 (en) Dynamic threat event management system and method
CN101802837B (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
US8281363B1 (en) Methods and systems for enforcing network access control in a virtual environment
WO2016160599A1 (en) System and method for threat-driven security policy controls
US11204998B2 (en) Detection and mitigation of fileless security threats
WO2016160595A1 (en) System and method for threat-driven security policy controls
US11171985B1 (en) System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints
CN111742533B (zh) 具有访问检查点的网关
KR101089154B1 (ko) 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
WO2012015485A1 (en) System and method for local protection against malicious software
JP4575696B2 (ja) ネットワークゾーン
US8272041B2 (en) Firewall control via process interrogation
US11599675B2 (en) Detecting data leakage to websites accessed using a remote browsing infrastructure
KR20040065674A (ko) 통합형 호스트 기반의 보안 시스템 및 방법
US20220070144A1 (en) Systems, devices, and methods for providing a secure client
KR20160052978A (ko) 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템
CN116781301A (zh) 跨命名空间的容器安全防护方法、装置、设备及介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141020

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151019

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161019

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171019

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191021

Year of fee payment: 9