KR101089154B1 - 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 - Google Patents

가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR101089154B1
KR101089154B1 KR1020100020055A KR20100020055A KR101089154B1 KR 101089154 B1 KR101089154 B1 KR 101089154B1 KR 1020100020055 A KR1020100020055 A KR 1020100020055A KR 20100020055 A KR20100020055 A KR 20100020055A KR 101089154 B1 KR101089154 B1 KR 101089154B1
Authority
KR
South Korea
Prior art keywords
packet
network
virtual environment
internal
address
Prior art date
Application number
KR1020100020055A
Other languages
English (en)
Other versions
KR20110100952A (ko
Inventor
박희안
강경완
김광태
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020100020055A priority Critical patent/KR101089154B1/ko
Priority to PCT/KR2011/001468 priority patent/WO2011108863A2/ko
Priority to US13/582,247 priority patent/US20130003582A1/en
Publication of KR20110100952A publication Critical patent/KR20110100952A/ko
Application granted granted Critical
Publication of KR101089154B1 publication Critical patent/KR101089154B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

본 발명은 가상환경을 이용한 네트워크 기반 망분리에 있어서, 사내망에 연결되는 다수의 사용자 단말에 외부망 접속을 위한 가상환경을 구현하고, 가상환경을 통해서 발생되는 데이터 패킷을 네트워크상 외부망과 연결되는 망분리 장치에서 먼저 수신하여 가상환경에서 발생된 패킷인지 여부와 해당 패킷의 목적지 IP 주소를 검사한 후, 가상환경에서 발생된 패킷 중 외부망을 나타내는 IP 주소를 가지는 패킷에 대해서만 외부망으로 전송시키며, 사내망을 나타내는 IP 주소를 가지는 패킷에 대해서는 이를 악의적 의도를 가지고 사내망으로 접근을 시도하는 패킷으로 판단하여 사내망으로 전송하지 않는 방식으로 망분리를 수행하게 된다. 이에 따라, 사용자 단말로부터 발생되는 패킷을 가상환경을 이용한 논리적 망분리를 통해 각각의 해당하는 외부망 또는 사내망으로 분리하여 전송시킴으로써 인터넷 등의 외부망과 사내망을 물리적으로 분리시키지 않고도 네트워크상 최소한의 변경만으로 망분리가 가능하게 된다.

Description

가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법{NETWORK SEPARATION DEVICE AND SYSTEM USING VIRTUAL ENVIRONMENT AND METHOD THEREOF}
본 발명은 망분리 시스템에 관한 것으로, 특히 컴퓨터(computer) 등의 사용자 단말로부터 발생되는 패킷(packet)을 가상환경을 이용한 논리적 망분리를 통해 각각의 해당하는 인터넷(internet) 등의 외부망 또는 인트라넷(intranet) 등의 사내망으로 분리하여 전송시킴으로써 외부망과 사내망을 물리적으로 분리시키지 않고도 네트워크상 최소한의 변경만으로 망분리가 가능하도록 하는 가상환경(virtual environment)을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법에 관한 것이다.
근래에 들어, 컴퓨터 기술의 급속한 발달로 인해 컴퓨터 및 컴퓨터 네트워크(computer network)의 광범위한 이용이 가능하게 되었으며, 공공기관이나 회사에서는 연구, 이메일(e-mail) 송신, 서로 다른 장소에서의 파일 전송 등을 업무에 활용하기 위해 사내망 뿐만 아니라, 인터넷 등의 외부망을 활발히 이용하고 있다.
위와 같이 인터넷 등의 외부의 공격에 쉽게 노출될 수 있는 외부망이 광범위하게 이용됨에 따라 공공기관이나 회사 등에서는 내부의 중요 정보에 대한 보안을 위해 방화벽(firewall)을 설치하여 운용하고 있으나, 방화벽은 방화벽을 우회하여 침투되는 액세스(access)에 대해서는 침투를 방지할 수 없는 등 외부의 의도적인 공격으로부터 완벽하게 내부의 중요정보를 차단시키지는 못하고 있다.
이에 따라, 최근에는 사내망과 외부망을 분리하여 내부의 중요정보가 외부망으로부터 공격받는 것을 방지시키고자하는 망분리 기술이 도입되고 있다.
망분리 기술이라함은, 네트워킹을 위해 사용하는 네트워크망을 목적에 따라 구분된 두 가지 이상의 네트워크망으로 구성하여 각각의 네트워크망 간에는 네트워크 패킷 데이터가 전달될 수 없도록 하여 한쪽의 네트워크망이 해킹 등의 이유로 취약해지더라도 다른 쪽 네트워크망에는 그 피해가 발생하지 않도록 하는 기술을 말한다.
위와 같은 망분리 기술은 크게 물리적 망분리와 논리적 망분리로 구분할 수 있는데, 물리적 망분리라 함은 모든 장비들을 인터넷 등의 외부망용으로 하나씩 더 마련하여 물리적으로 완전히 망을 분리하는 것으로 특별한 기술을 필요로 하지 않는다. 또한 논리적 망분리는 현재 SBC 솔루션(solution)을 통해 주로 구축되고 있으며 한 대의 PC에서 네트워크 연결을 통해 원격지에 있는 서버에 접속하여 서버 상에서 동작하는 게스트(guest) OS(operating system)에서 인터넷을 사용할 수 있도록 하는 것이다.
그러나, 위와 같은 종래 망분리 기술들은 한 명당 업무 PC와 인터넷 PC 또는 서버(server) 장비가 필요하게 되며, 대대적인 네트워크 라인(network line)의 증설과 방화벽, 라우터(router) 등의 추가적인 장비의 도입이 필요하게 되어 망분리 구현에 있어서 상당한 비용이 발생하는 문제점이 있었다. 또한 한 명의 사용자가 두 대의 PC를 사용하거나 여러 명의 사용자가 한 대의 서버에 접속해서 사용함으로 인한 사용 편의성 저하와 서버 사용 시 성능 저하 등으로 업무 효율이 떨어지게 되는 문제점이 있었다.
따라서, 본 발명은 컴퓨터 등의 사용자 단말로부터 발생되는 패킷을 가상환경을 이용한 논리적 망분리를 통해 각각의 해당하는 인터넷 등의 외부망 또는 사내망으로 분리하여 전송시킴으로써 외부망과 사내망을 물리적으로 분리시키지 않고도 네트워크상 최소한의 변경만으로 망분리가 가능하도록 하는 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법을 제공하고자 한다.
상술한 본 발명은 망분리 장치로서, 사내망에 연결되는 사용자 단말의 가상환경에서 발생되는 패킷을 수신하거나, 상기 패킷을 외부망 또는 상기 사내망으로 송신하는 패킷 송/수신부와, 상기 패킷 송/수신부로부터 수신된 패킷의 정보를 분석하는 패킷 분석부와, 상기 패킷 분석부로부터의 상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 상기 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리부를 포함한다.
또한, 상기 패킷 처리부는, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되는 경우, 상기 패킷을 외부망으로 전송하며, 상기 패킷이 사내망으로 전송되려고 하는 경우 이를 차단시키는 것을 특징으로 한다.
또한, 상기 패킷 분석부에서 분석된 상기 패킷의 정보를 통해 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 것을 특징으로 한다.
또한, 상기 패킷 처리부는, 상기 패킷 분석부에서 분석된 상기 패킷의 정보를 통해 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 상기 사내망으로의 접근시도로 판단하여 차단시키는 것을 특징으로 한다.
또한, 상기 패킷은, 상기 사용자 단말로부터 상기 패킷 수신부로 터널링 방식을 통해 직접 전송되는 것을 특징으로 한다.
또한, 본 발명은 망분리 시스템으로서, 사내망에 연결되며 가상환경에서 발생한 패킷을 네트워크를 통해 전송시키는 사용자 단말과, 상기 사용자 단말로부터 전송된 패킷을 수신하여 상기 패킷을 분석하고, 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 망분리 장치를 포함한다.
또한, 상기 망분리 장치는, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되는 경우, 상기 패킷을 외부망으로 전송하며, 상기 패킷이 사내망으로 전송되려고 하는 경우 이를 차단시키는 것을 특징으로 한다.
또한, 상기 망분리 장치는, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 것을 특징으로 한다.
또한, 상기 망분리 장치는, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 상기 사내망으로의 접근시도로 판단하여 차단시키는 것을 특징으로 한다.
또한, 상기 사용자 단말은, 상기 가상환경에서 발생한 패킷을 터널링 방식을 통해 상기 망분리 장치로 직접 전송시키는 것을 특징으로 한다.
또한, 본 발명은 망분리 방법으로서, 사내망에 연결되는 사용자 단말로부터 가상환경에서 발생한 패킷을 수신하는 패킷 수신 단계와, 상기 수신된 패킷을 분석하는 패킷 분석 단계와, 상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리 단계를 포함한다.
또한, 상기 패킷 처리 단계에서, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되는 경우, 상기 패킷을 외부망으로 전송하며, 상기 패킷이 사내망으로 전송되려고 하는 경우 이를 차단시키는 것을 특징으로 한다.
또한, 상기 패킷 처리 단계는, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 단계와, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 사내망으로의 접근시도로 판단하여 차단시키는 단계를 포함하는 것을 특징으로 한다.
본 발명에서는 가상환경을 이용한 네트워크 기반 망분리에 있어서, 사내망에 연결되는 다수의 사용자 단말에 외부망 접속을 위한 가상환경을 구현하고, 가상환경에서 발생된 패킷 중 외부망을 나타내는 IP 주소를 가지는 패킷에 대해서만 외부망으로 전송시키며, 사내망을 나타내는 IP 주소를 가지는 패킷에 대해서는 이를 악의적 의도를 가지고 사내망으로 접근을 시도하는 패킷으로 판단하여 사내망으로 전송하지 않는 방식을 통하여 보다 간단하고 신뢰성 있는 망분리를 수행할 수 있는 이점이 있다.
또한, 사용자 단말로부터 발생되는 패킷을 가상환경을 이용한 논리적 망분리를 통해 각각의 해당하는 외부망 또는 사내망으로 분리하여 전송시킴으로써 인터넷 등의 외부망과 사내망을 물리적으로 분리시키지 않고도 네트워크상 최소한의 변경만으로 망분리가 가능하여 망분리에 소요되는 비용을 최소화할 수 있는 이점이 있다.
도 1은 본 발명의 실시 예에 따른 망분리 시스템의 네트워크 구성도이다.
도 2는 본 발명의 실시 예에 따른 망분리 장치의 상세 블록 구성도이다.
도 3은 본 발명의 실시 예에 따른 망분리 시스템에서 논리적 망분리 동작 제어 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시 예에 따른 사내망과 외부망을 가상환경을 이용하여 논리적으로 망분리하는 망분리 시스템의 네트워크 구성을 도시한 것이다.
도 1을 참조하면, 본 발명의 망분리 시스템은 망분리 장치(102)와 가상환경을 지원하는 컴퓨터 등의 사용자 단말(user terminal)(108)과, 스위치(switch)(106), 사용자 인증장치(104) 등을 포함할 수 있다.
라우터(router)(100)는 보내지는 송신정보에서 수신처 주소를 읽고 가장 적절한 통신통로를 지정하고, 다른 통신망으로 전송하는 장치를 말한다.
사내망에 연결되어 있는 사용자 단말(108)이 인터넷 등의 외부망으로 접속할 수 있도록 하는 인터페이스(interface)를 제공한다.
사용자 단말(108)은 개인용 PC 등의 인터넷이 가능한 컴퓨터 단말로써 스위치(106) 등을 통해 사내망에 연결되며, 망분리 장치(102)를 통해 인터넷 등의 외부망에 연결된다. 이때, 사용자 단말(108)은 인터넷 등의 외부망으로의 접속이 필요한 프로세스(process)의 실행 시에는 이를 사내망과 논리적으로 분리되는 가상환경을 생성하여 실행하도록 구현되며, 가상환경에서 외부망의 접속과 관련되는 프로세스의 실행에 따라 발생되는 데이터 패킷에 대해서는 망분리 장치(102)로 터널링(tunneling) 전송시킨다.
즉, 외부망으로의 연결을 시도하는 인터넷 익스플로러(internet explorer) 등과 같은 프로세스에 대해서는 사용자 단말(108) 상에서 사내망과 논리적으로 망분리가 이루어지도록 구현된 가상환경에서 실행되도록 한 후, 가상환경을 통해 인터넷 등의 외부망과 연결되도록 함으로서 인터넷 등의 외부망을 통해 유입될 수 있는 악성 코드 등이 사내망으로 침투하는 것을 방지시켜 사내망에 연결되는 다른 사용자 단말을 보호하면서 안전하게 인터넷 등의 외부망을 사용할 수 있도록 하는 것이다.
이때, 예를 들어 사용자 단말(108)은 위와 같은 외부망으로의 접속을 위해 가상환경이 실행되는 경우 사용자 단말(108)의 표시부(120)에 별도의 외부망 접속을 위한 가상환경 화면(122)을 표시시킨 후, 가상환경 화면(122) 내 인터넷 익스플로러 등의 외부망 접속과 관련된 프로세스의 아이콘(124)을 표시시킴으로써 사용자가 가상환경 내에서 원하는 프로세스를 실행시켜 외부망에 접속할 수 있도록 한다.
망분리 장치(102)는 스위치(106)를 통해 수신되는 사용자 단말(108)로부터의 사내망 트래픽(traffic) 또는 외부망 트래픽을 수신한 후, 이를 미리 설정된 정책에 따라 논리적으로 망분리하여 해당 사내망 또는 외부망으로 전송한다. 또한 본 발명의 실시 예에 따라 사용자 단말(108)의 가상환경에서 실행된 프로세스로부터 발생하여 전송된 데이터 패킷에 대해서는 해당 패킷의 목적지 IP 주소를 분석하여 인터넷 등의 외부망으로 전송하거나 가상환경에서 발생된 패킷임에도 불구하고 해당 패킷의 목적지 IP 주소가 사내망을 나타내는 IP 주소로 분석되는 경우에는 이를 악의적인 의도에 의한 IP 변경으로 판단하여 사내망으로 전송하지 않고 이를 폐기시키게 된다.
망분리 시스템을 관리하는 관리자(도시하지 않음)는 가상환경에서 발생된 패킷에 대한 처리 정책을 미리 망분리 장치(102)에 설정하게 되며, 망분리 장치(102)는 위와 같이 설정된 정책에 따라 패킷을 외부망 또는 사내망으로 전송하게 된다.
즉, 위 정책이 가상환경의 패킷에 대해서는 인터넷 등의 외부망으로만 전송하도록 설정된 경우 망분리 장치(102)는 위 설명한 바와 같이 사용자 단말(108)의 가상환경에서 실행된 프로세스로부터 발생된 패킷에 대해서는 외부망으로 전송하게 되는 것이다.
이때, 위와 같이 가상환경에서 발생하는 패킷에 대해서는 망분리를 위해 사내망으로부터 전송되는 패킷의 목적지 IP 주소와 구별되는 특정 IP 주소를 가지도록 구현할 수 있다. 이와 같은 IP 주소는 망분리 장치(102)에서 가상환경으로부터 발생한 패킷을 정책에 따라 지정된 외부망 또는 사내망으로 보다 명확하게 전송하는데 이용된다. 즉, 가상환경에서 발생된 패킷의 목적지 IP 주소를 검사하여 본 결과 외부망을 나타내는 IP 주소를 가지고 있는 경우 망분리 장치(102)는 이를 외부망으로 전송하게 되며, 가상환경에서 발생된 패킷임에도 불구하고 IP 주소 검사결과 사내망을 나타내는 IP 주소를 가지고 있는 것으로 검사되는 경우 망분리 장치(102)는 이를 악의적인 의도에 의한 IP 변경으로 판단하여 사내망으로 전송하지 않고 이를 폐기시킴으로서 논리적 망분리를 구현하게 되는 것이다.
또한, 이때 사용자 단말(108)에서 가상환경이 시작되는 경우 해당 가상환경의 사용자에 대한 인증 요청이 사용자 단말(108)로부터 망분리 장치(102)로 전송되는데, 망분리 장치(102)는 해당 인증 요청을 사용자 인증장치(104)로 전송하여 정상적인 사용자인지를 인증하고, 사용자 인증이 완료되는 경우 해당 사용자의 가상환경에 대한 인증정보를 저장한다.
도 2는 본 발명의 실시 예에 따른 망분리 장치(102)의 상세 블록 구성을 도시한 것으로, 망분리 장치(102)는 패킷 수신부(200), 패킷 분석부(204), 패킷 처리부(206) 등을 포함할 수 있다.
패킷 송/수신부(200)는 사내망에 연결되는 다수의 사용자 단말(108)로부터 인터넷 등의 외부망으로 전송시키기 위한 패킷을 수신하여 패킷 분석부(204)로 인가시키며, 외부망으로부터 수신되는 패킷을 수신하여 패킷 분석부(204)로 인가시킨다. 또한 패킷 처리부(202)로부터 처리된 패킷을 제어에 따라 외부망 또는 사내망으로 송신시킨다.
패킷 분석부(204)는 패킷 송/수신부(200)로부터 수신되는 사용자 단말(108)로부터의 송신 패킷을 분석하여 사용자 단말(108)의 가상환경으로부터 발생된 패킷인지 여부를 분석하고, 해당 패킷의 목적지 IP 주소를 추출하여 패킷 처리부(202)로 인가시킨다.
패킷 처리부(202)는 패킷 분석부(204)를 통해 분석된 사용자 단말(108)로부터의 패킷 정보에 따라 해당 패킷이 사용자 단말(108)의 가상환경에서 실행된 프로세스로부터 발생된 패킷인지를 검사하고, 가상환경에서 발생된 패킷으로 확인된 패킷에 대해서는 다시 해당 패킷의 목적지 IP 주소를 검사하여 IP 주소가 외부망을 나타내는 IP 주소인지를 확인한다.
이때, 패킷 처리부(202)는 패킷의 목적지 IP 주소가 외부망을 나타내는 IP 주소인 경우에는 패킷을 정상적인 패킷으로 판단하여 외부망으로 전송시키며, 패킷의 목적지 IP 주소가 사내망을 나타내는 IP 주소인 경우에는 이를 악의적 의도를 가지고 사내망으로 접근을 시도하는 패킷으로 판단하여 해당 패킷을 사내망으로 전송하지 않고 폐기하여 사내망으로의 접근을 차단시키게 된다.
도 3은 본 발명의 실시 예에 따른 망분리 시스템에서 사내망과 외부망을 논리적으로 망분리시키는 동작 제어 흐름을 도시한 것이다. 이하, 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저 회사 등의 사내망에 연결된 컴퓨터 등의 사용자 단말을 이용하여 임의의 사용자가 인터넷 등의 외부망에 연결하고자 하는 경우 사용자는 먼저 자신의 사용자 단말(108) 상에 가상환경을 실행시킨 후, 가상환경에서 인터넷 등의 외부망에 접속하기 위한 인터넷 익스플로러 등의 프로세스를 실행시키게 된다.
이때, 익스플로러 등의 외부망에 접속하는 프로세스는 사용자 단말(108)의 가상환경에서만 실행될 수 있도록 각 사용자 단말(108)에는 가상환경 에이전트(virtual environment agent)가 탑재되어 가상환경 외의 일반 작업 환경에서는 외부망에 접속하는 프로세스가 실행되더라도 외부망에 연결이 되지 않도록 제어하게 된다.
즉, 사용자에 의해 가상환경의 실행 요청이 있는 경우(S300), 사용자 단말(108)은 가상환경을 실행시켜, 예를 들어 도 1에서 보여지는 바와 같이, 사용자 단말(108)의 표시부(120)에 별도의 외부망 접속을 위한 가상환경 화면(122)을 표시시킨다. 즉, 가상환경 화면(122)내 인터넷 익스플로러 등의 외부망 접속과 관련된 프로세스의 아이콘(124)을 표시시킴으로써 사용자가 가상환경 내에서 원하는 프로세스를 실행시켜 외부망에 접속할 수 있도록 하는 가상환경을 생성시킨다.
이에 따라, 사용자는 가상환경 화면(122)내 인터넷 익스플로러 등의 외부망 접속을 위한 프로세스를 선택하여 실행을 요청하게 된다. 그러면 사용자 단말(108)은 (S302)단계에서 사용자에 의해 실행 요청된 프로세스를 가상환경에서 실행시킨다.
위와 같은 프로세스의 실행에 따라 가상환경 패킷이 생성되는데 사용자 단말(108)은 (S304)단계에서 외부망 접속 프로세스의 실행에 따라 생성되는 가상환경 패킷에 대해 패킷의 목적지 IP 주소를 확인하여 가상환경 패킷이 전송되는 목적지가 외부망을 나타내고 있는지를 검사한다.
이때, 검사결과 패킷의 목적지 IP 주소가 사내망을 나타내는 IP 주소인 경우 사용자 단말(108)은 (S304)단계에서 (S306)단계로 진행해서 해당 패킷을 폐기하여 사내망으로의 접근을 차단시킨다.
그러나, 이와 달리 검사결과 패킷의 목적지 IP 주소가 외부망을 나타내는 IP 주소인 경우 사용자 단말(108)은 (S304)단계에서 (S308)단계로 진행해서 외부망 접속 프로세스의 실행에 따라 발생하는 데이터 패킷을 망분리 장치(102)로 전송시킨다.
이때, 위와 같이 외부망으로 전송되는 패킷은 사내망내 다수의 사용자 단말(108)을 연결시키는 스위치(106)를 통과하여 망분리 장치(102)까지 곧바로 터널링(tunneling) 전송되도록 함으로써, 가상환경에서 발생된 패킷이 망분리 장치(102)를 거치지 않고 스위치(106)를 통해 다른 사용자 단말(106)로 전송되는 것을 방지시킨다.
그러면, 망분리 장치(102)는 (S310)단계에서 위와 같이 사용자 단말(108)로부터 외부망으로 전송이 요청되는 패킷을 수신하고, (S312)단계에서 패킷을 분석하여 수신된 패킷이 사용자 단말(108)의 가상환경으로부터 발생된 패킷인지 여부를 분석하고, 해당 패킷의 목적지 IP 주소를 추출한다.
이어, 망분리 장치(102)는 (S314)단계에서 분석된 패킷의 목적지 IP 주소를 확인하여 IP 주소가 외부망을 나타내는 IP 주소인지 또는 사내망을 나타내는 IP 주소인지 여부를 검사한다.
이때, 검사결과 패킷의 목적지 IP 주소가 외부망을 나타내는 IP 주소인 경우 망분리 장치(102)는 (S316)단계에서 (S318)단계로 진행해서 사용자 단말(108)로부터 전송된 패킷을 정상적인 패킷으로 판단하여 외부망으로 전송시킨다.
그러나, 이와 달리 검사결과 패킷의 목적지 IP 주소가 사내망을 나타내는 IP 주소인 경우 망분리 장치(102)는 이를 악의적 의도를 가지고 사내망으로 접근을 시도하는 패킷으로 판단하여 (S316)단계에서 (S320)단계로 진행해서 해당 패킷을 사내망으로 전송하지 않고 폐기하여 사내망으로의 접근을 차단시키게 된다.
상기한 바와 같이, 본 발명은 가상환경을 이용한 네트워크 기반 망분리에 있어서, 사내망에 연결되는 다수의 사용자 단말에 외부망 접속을 위한 가상환경을 구현하고, 가상환경을 통해서 발생되는 데이터 패킷을 네트워크상 외부망과 연결되는 망분리 장치에서 먼저 수신하여 가상환경에서 발생된 패킷인지 여부와 해당 패킷의 목적지 IP 주소를 검사한 후, 가상환경에서 발생된 패킷 중 외부망을 나타내는 IP 주소를 가지는 패킷에 대해서만 외부망으로 전송시키며, 사내망을 나타내는 IP 주소를 가지는 패킷에 대해서는 이를 악의적 의도를 가지고 사내망으로 접근을 시도하는 패킷으로 판단하여 사내망으로 전송하지 않는 방식으로 망분리를 수행하게 된다.
이에 따라, 사용자 단말로부터 발생되는 패킷을 가상환경을 이용한 논리적 망분리를 통해 각각의 해당하는 외부망 또는 사내망으로 분리하여 전송시킴으로써 인터넷 등의 외부망과 사내망을 물리적으로 분리시키지 않고도 네트워크상 최소한의 변경만으로 망분리가 가능하게 된다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 즉, 본 발명의 실시 예에서는 가상환경에서 발생한 패킷을 인터넷 등의 외부망으로 전송하고 사내망으로는 전송되지 않도록 차단시키는 것을 예를 들어 설명하였으나, 가상환경의 특성을 반대로 설정하여 가상환경에서 발생한 패킷을 사내망으로 전송하도록 하고, 외부망으로는 전송되지 않도록 차단시키는 경우에도 동일하게 변경 적용할 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
100 : 라우터 102 : 망분리 장치
104 : 사용자 인증장치 106 : 스위치
108 : 사용자 단말

Claims (14)

  1. 삭제
  2. 망분리 장치로서,
    사내망에 연결되는 사용자 단말의 가상환경에서 발생되는 패킷을 수신하거나, 상기 패킷을 외부망 또는 상기 사내망으로 송신하는 패킷 송/수신부와,
    상기 패킷 송/수신부로부터 수신된 패킷의 정보를 분석하는 패킷 분석부와,
    상기 패킷 분석부로부터의 상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 상기 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리부를 포함하되,
    상기 패킷 처리부는, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되어 있는 경우, 외부망으로 향하는 패킷을 허용하며, 사내망으로 전송되려고 하는 패킷은 차단시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 장치.
  3. 망분리 장치로서,
    사내망에 연결되는 사용자 단말의 가상환경에서 발생되는 패킷을 수신하거나, 상기 패킷을 외부망 또는 상기 사내망으로 송신하는 패킷 송/수신부와,
    상기 패킷 송/수신부로부터 수신된 패킷의 정보를 분석하는 패킷 분석부와,
    상기 패킷 분석부로부터의 상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 상기 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리부를 포함하되,
    상기 패킷 처리부는, 상기 패킷 분석부에서 분석된 상기 패킷의 정보를 통해 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 장치.
  4. 제 3 항에 있어서,
    상기 패킷 처리부는,
    상기 패킷 분석부에서 분석된 상기 패킷의 정보를 통해 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 상기 사내망으로의 접근시도로 판단하여 차단시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 장치.
  5. 망분리 장치로서,
    사내망에 연결되는 사용자 단말의 가상환경에서 발생되는 패킷을 수신하거나, 상기 패킷을 외부망 또는 상기 사내망으로 송신하는 패킷 송/수신부와,
    상기 패킷 송/수신부로부터 수신된 패킷의 정보를 분석하는 패킷 분석부와,
    상기 패킷 분석부로부터의 상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 상기 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리부를 포함하되,
    상기 패킷은, 상기 사용자 단말로부터 상기 패킷 수신부로 터널링 방식을 통해 직접 전송되는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 장치.
  6. 삭제
  7. 망분리 시스템으로서,
    사내망에 연결되며 가상환경에서 발생한 패킷을 네트워크를 통해 전송시키는 사용자 단말과,
    상기 사용자 단말로부터 전송된 패킷을 수신하여 상기 패킷을 분석하고, 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 망분리 장치를 포함하되,
    상기 망분리 장치는, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되어 있는 경우, 외부망으로 향하는 패킷을 허용하며, 사내망으로 전송되려고 하는 패킷은 차단시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 시스템.
  8. 망분리 시스템으로서,
    사내망에 연결되며 가상환경에서 발생한 패킷을 네트워크를 통해 전송시키는 사용자 단말과,
    상기 사용자 단말로부터 전송된 패킷을 수신하여 상기 패킷을 분석하고, 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 망분리 장치를 포함하되,
    상기 망분리 장치는, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 시스템.
  9. 제 8 항에 있어서,
    상기 망분리 장치는,
    상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 상기 사내망으로의 접근시도로 판단하여 차단시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 시스템.
  10. 망분리 시스템으로서,
    사내망에 연결되며 가상환경에서 발생한 패킷을 네트워크를 통해 전송시키는 사용자 단말과,
    상기 사용자 단말로부터 전송된 패킷을 수신하여 상기 패킷을 분석하고, 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 망분리 장치를 포함하되,
    상기 사용자 단말은, 상기 가상환경에서 발생한 패킷을 터널링 방식을 통해 상기 망분리 장치로 직접 전송시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 시스템.
  11. 삭제
  12. 망분리 방법으로서,
    사내망에 연결되는 사용자 단말로부터 가상환경에서 발생한 패킷을 수신하는 패킷 수신 단계와,
    상기 수신된 패킷을 분석하는 패킷 분석 단계와,
    상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리 단계를 포함하되,
    상기 패킷 처리 단계에서, 상기 정책이 상기 가상환경에서 발생된 패킷을 외부망으로 전송하도록 설정되어 있는 경우, 외부망으로 향하는 패킷을 허용하며, 사내망으로 전송되려고 하는 패킷은 차단시키는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 방법.
  13. 망분리 방법으로서,
    사내망에 연결되는 사용자 단말로부터 가상환경에서 발생한 패킷을 수신하는 패킷 수신 단계와,
    상기 수신된 패킷을 분석하는 패킷 분석 단계와,
    상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리 단계를 포함하되,
    상기 패킷 처리 단계는, 상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 외부망을 나타내는 IP 주소인 경우 해당 패킷을 상기 외부망으로 전송시키는 단계와,
    상기 패킷의 목적지 IP 주소를 검사하여 상기 IP 주소가 사내망을 나타내는 IP 주소인 경우 해당 패킷을 사내망으로의 접근시도로 판단하여 차단시키는 단계를 포함하는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 방법.
  14. 망분리 방법으로서,
    사내망에 연결되는 사용자 단말로부터 가상환경에서 발생한 패킷을 수신하는 패킷 수신 단계와,
    상기 수신된 패킷을 분석하는 패킷 분석 단계와,
    상기 패킷의 분석 결과와 미리 설정된 정책에 따라 상기 패킷을 외부망 또는 상기 사내망으로 분리하여 전송시키는 패킷 처리 단계를 포함하되,
    상기 패킷은, 상기 사용자 단말로부터 터널링 방식을 통해 직접 수신되는 것을 특징으로 하는
    가상환경을 이용한 네트워크 기반 망분리 방법.
KR1020100020055A 2010-03-05 2010-03-05 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 KR101089154B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020100020055A KR101089154B1 (ko) 2010-03-05 2010-03-05 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
PCT/KR2011/001468 WO2011108863A2 (ko) 2010-03-05 2011-03-03 가상환경을 이용한 네트워크 분리 장치, 시스템 및 방법
US13/582,247 US20130003582A1 (en) 2010-03-05 2011-03-03 Network splitting device, system and method using virtual environments

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100020055A KR101089154B1 (ko) 2010-03-05 2010-03-05 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20110100952A KR20110100952A (ko) 2011-09-15
KR101089154B1 true KR101089154B1 (ko) 2011-12-02

Family

ID=44542723

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100020055A KR101089154B1 (ko) 2010-03-05 2010-03-05 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법

Country Status (3)

Country Link
US (1) US20130003582A1 (ko)
KR (1) KR101089154B1 (ko)
WO (1) WO2011108863A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101459261B1 (ko) * 2014-03-07 2014-11-17 (주) 퓨전데이타 논리적 망분리 환경에서 브라우저 자동전환 장치 및 방법
KR101469193B1 (ko) * 2014-01-20 2014-12-09 (주)이월리서치 망 분리환경에서 필요한 시점에만 물리적인 연결을 통해 정보를 교환하는 시스템 및 그 방법
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101076683B1 (ko) * 2009-07-14 2011-10-26 주식회사 안철수연구소 호스트 기반의 망분리 장치 및 방법
KR20130119290A (ko) * 2012-04-23 2013-10-31 한국전자통신연구원 망 분리 장치 및 방법
KR101373068B1 (ko) * 2012-08-27 2014-03-11 주식회사 신한은행 망분리 시스템, 망분리를 위한 더미 웹서버 및 망분리 방법
KR101404161B1 (ko) * 2012-08-29 2014-06-05 주식회사 신한은행 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법
WO2014163256A1 (ko) * 2013-04-01 2014-10-09 주식회사 앤솔루션 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
KR101420650B1 (ko) * 2013-04-01 2014-07-18 주식회사 앤솔루션 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
KR20140122025A (ko) 2013-04-09 2014-10-17 한국전자통신연구원 논리적 망분리 방법 및 장치
KR101480443B1 (ko) * 2013-09-17 2015-01-09 주식회사 하나은행 하이브리드 망 분리 시스템 및 그 방법
US10525848B2 (en) * 2016-08-02 2020-01-07 Here Global B.V. Vehicle charging lanes
JP6671701B1 (ja) * 2019-07-19 2020-03-25 Eaglys株式会社 演算装置、演算方法、演算プログラム、および演算システム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072508A1 (en) 1999-05-25 2000-11-30 Engineering Systems Solutions, Inc. System and method for high assurance separation of internal and external networks

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
KR100826050B1 (ko) * 2001-05-16 2008-04-28 엘지노텔 주식회사 음성과 데이터의 통신경로를 분리한 이동통신망
DE10392494B4 (de) * 2002-04-08 2014-01-30 Telefonaktiebolaget Lm Ericsson (Publ) Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche
US20060031928A1 (en) * 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
US20070171904A1 (en) * 2006-01-24 2007-07-26 Intel Corporation Traffic separation in a multi-stack computing platform using VLANs
KR100710648B1 (ko) * 2006-03-13 2007-04-25 포스데이타 주식회사 망 분리 구조의 데이터 전송 장치 및 그 방법
KR20080019104A (ko) * 2006-08-23 2008-03-03 삼성전자주식회사 이동통신망과 연동되는 라우팅 시스템 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072508A1 (en) 1999-05-25 2000-11-30 Engineering Systems Solutions, Inc. System and method for high assurance separation of internal and external networks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101469193B1 (ko) * 2014-01-20 2014-12-09 (주)이월리서치 망 분리환경에서 필요한 시점에만 물리적인 연결을 통해 정보를 교환하는 시스템 및 그 방법
KR101459261B1 (ko) * 2014-03-07 2014-11-17 (주) 퓨전데이타 논리적 망분리 환경에서 브라우저 자동전환 장치 및 방법
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법

Also Published As

Publication number Publication date
WO2011108863A3 (ko) 2011-12-15
KR20110100952A (ko) 2011-09-15
US20130003582A1 (en) 2013-01-03
WO2011108863A2 (ko) 2011-09-09

Similar Documents

Publication Publication Date Title
KR101089154B1 (ko) 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
US10110562B2 (en) Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN)
ES2806379T3 (es) Aislamiento de seguridad virtualizado basado en hardware
KR101737726B1 (ko) 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출
US9787717B2 (en) Intelligent security analysis and enforcement for data transfer
US7636943B2 (en) Method and system for detecting blocking and removing spyware
WO2014055372A2 (en) Secure computer architectures, systems, and applications
US20090119745A1 (en) System and method for preventing private information from leaking out through access context analysis in personal mobile terminal
CN106332070B (zh) 一种安全通信方法、装置及系统
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
WO2011108877A2 (ko) 클라이언트 가상화를 이용한 서버의 논리적 분리 시스템 및 방법
CN110022319B (zh) 攻击数据的安全隔离方法、装置、计算机设备及存储设备
KR101420650B1 (ko) 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
US10757078B2 (en) Systems and methods for providing multi-level network security
KR102479438B1 (ko) 하드웨어 기반의 신뢰할 수 있는 안전한 컨테이너 네트워크
KR20160052978A (ko) 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템
JP2009239331A (ja) アクセス管理システム、アクセス管理方法、及びアクセス制御用プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161128

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171128

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181128

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191128

Year of fee payment: 9