KR101117628B1 - 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법 - Google Patents

비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR101117628B1
KR101117628B1 KR1020110019067A KR20110019067A KR101117628B1 KR 101117628 B1 KR101117628 B1 KR 101117628B1 KR 1020110019067 A KR1020110019067 A KR 1020110019067A KR 20110019067 A KR20110019067 A KR 20110019067A KR 101117628 B1 KR101117628 B1 KR 101117628B1
Authority
KR
South Korea
Prior art keywords
wireless
wireless terminal
modem
policy server
virtual trap
Prior art date
Application number
KR1020110019067A
Other languages
English (en)
Inventor
정현철
김준모
이재구
Original Assignee
한국정보보안연구소 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보안연구소 주식회사 filed Critical 한국정보보안연구소 주식회사
Priority to KR1020110019067A priority Critical patent/KR101117628B1/ko
Application granted granted Critical
Publication of KR101117628B1 publication Critical patent/KR101117628B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/382Information transfer, e.g. on bus using universal interface adapter
    • G06F13/387Information transfer, e.g. on bus using universal interface adapter for adaptation of different data processing systems to different peripheral devices, e.g. protocol converters for incompatible systems, open system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/16Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
    • H04W28/24Negotiating SLA [Service Level Agreement]; Negotiating QoS [Quality of Service]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 보안 시스템이 제공된다. 본 무선 보안 시스템은 적어도 하나의 무선 단말기, 가상 트랩 AP 신호를 생성하여 브로드캐스팅하는 가상 트랩 AP 발생기, 및 정책 서버; 를 포함하며, 무선 단말기는 가상 트랩 AP 신호에 대응하여, 자신의 식별정보를 가상 트랩 AP 발생기로 전송하며, 가상 트랩 AP 발생기는 무선 단말기로부터 수신한 식별정보를 정책 서버로 전송할 수 있다. 이로써, 인가 받지 않은 무선 단말기의 무선 접속을 탐지하여 그 접속을 차단하고, 인가 받은 무선 단말기라도 기설정된 보안정책을 위반하는지를 탐지할 수 있게 된다.

Description

비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법{Wireless security system capable of detecting non-authorized access of wireless terminal and Method thereof}
본 발명은 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법에 관한 것으로, 보다 상세하게는, 인가 받지 않은 무선 단말기의 무선 접속을 탐지하여 그 접속을 차단하고, 인가 받은 무선 단말기라도 보안정책을 위반하는지를 탐지할 수 있는 무선 보안 시스템 및 그 방법에 관한 것이다.
3G는 통신사의 기지국을 통해 무선 인터넷 서비스를 제공하며, Wi-Fi는 유무선 공유기, 즉, 액세스 포인트를 이용하여 무선 인터넷 서비스를 제공한다. 스마트폰, 타블렛 PC와 같이 휴대가 가능한 단말기들은 시간과 장소의 제약없이 3G 또는 Wi-Fi를 이용하여 무선 인터넷 서비스를 사용할 수 있다. 다만, 사용자가 3G를 사용하는 경우, 사용자는 사용료를 지불하여야 하며, Wi-Fi를 사용하는 경우, 사용자는 무료로 인터넷을 사용할 수 있다. 최근에는, 많은 공공 장소와 같은 개방형 환경에서 Wi-Fi 서비스를 제공하고 있다.
그러나, Wi-Fi의 경우, 액세스 포인트를 이용하여 인터넷 서비스를 제공하므로, 해킹과 같은 공격을 받을 확률이 높으며, 따라서, 휴대용 단말기의 보안에 대한 신뢰도가 낮다. 특히, 해커와 같은 공격자가 자신의 단말기를 보안이 설정되어 있지 않은 액세스 포인트로 가장하고, 휴대용 단말기가 접속하면, 휴대용 단말기는 공격자 단말기의 공격에 의해 개인정보를 해킹당한다. 또한, 블루투스와 같이 근거리 무선 통신 방식을 통해 외부 단말기와 접속하는 경우에도, 외부 단말기가 공격성을 가지고 있는지 선별하지 않으므로, 해킹과 같은 공격에 쉽게 노출된다.
또한, 권한이 없는 무선 단말기가 접속을 할 수 있고, 권한을 가진 무선 단말기라도 기설정된 보안정책을 위반하는 경우가 있을 수 있는데, 이러한 경우들이 Wi-Fi와 같은 무선망에서는 쉽게 발생 될 수 있다.
본 발명의 일 실시예에 따르면, 인가 받지 않은 무선 단말기의 무선 접속을 탐지하여 그 접속을 차단하고, 인가 받은 무선 단말기라도 보안정책을 위반하는지를 탐지할 수 있는 무선 보안 시스템 및 그 방법을 제공함을 그 목적으로 한다.
또한, 본 발명의 다른 실시예에 따르면, 상술한 무선 보안 시스템 및/또는 방법에 사용될 수 있는 것으로서, 기설정된 보안 정책에 기초하여, 접속가능한 외부 통신망 또는 외부 디바이스들 중 해킹과 같은 공격성을 가지는 외부 통신망 또는 외부 디바이스들과의 접속을 미연에 차단할 수 있는 무선 단말기 및 그의 접속 제어 방법을 제공함을 목적으로 한다.
본 발명의 일 실시예에 따른 무선 보안 시스템은, 적어도 하나의 무선 단말기; 가상 트랩 AP 신호를 생성하여 브로드캐스팅하는 가상 트랩 AP 발생기; 및 정책 서버; 를 포함하며, 상기 무선 단말기는 상기 가상 트랩 AP 신호에 대응하여, 자신의 식별정보를 가상 트랩 AP 발생기로 전송하며, 상기 가상 트랩 AP 발생기는 상기 적어도 하나의 무선 단말기로부터 수신한 식별정보를 상기 정책 서버로 전송할 수 있다.
한편, 상기 적어도 하나의 무선 단말기는, 또한, 자신의 식별정보와 자신의 신호의 세기를 상기 정책 서버로 전송하며, 상기 정책 서버는 상기 무선 단말기로부터 전송받은 식별정보와 신호의 세기에 기초하여 상기 무선 단말기의 위치를 추적하는 것일 수 있다.
또한, 상기 정책 서버는 가상 트랩 AP 목록을 상기 가상 트랩 AP 발생기로 전송하며, 상기 가상 트랩 AP 발생기는 상기 가상 트랩 AP 목록에 기초하여 상기 가상 트랩 AP 신호를 생성하여 브로드캐스팅하는 것일 수 있다.
한편, 상기 가상 트랩 AP 발생기는 무선 USB 센서로서 구현되는 것일 수 있다.
또한, 상기 적어도 하나의 단말기 중 어느 하나의 단말기는, 적어도 하나의 무선 통신 모뎀; 정책 서버로부터 상기 적어도 하나의 무선 통신 모뎀에 대응하는 보안정책을 수신하는 통신부; 및 상기 적어도 하나의 무선 통신 모뎀의 동작을 상기 정책 서버로부터 수신되는 보안정책에 따라 개별적으로 제어하는 접속 제어 에이전트;를 포함하는 것일 수 있다.
한편, 상기 적어도 하나의 무선 통신 모뎀은, 와이브로 통신규약 또는 3세대 통신규약에 따라 통신하는 이더넷 모뎀, 근거리 통신규약에 따라 통신하는 무선 랜 모뎀, 및 블루투스 통신규약에 따라 통신하는 블루투스 모뎀 중 적어도 하나를 포함하는 것일 수 있다.
또한, 상기 적어도 하나의 무선 통신 모뎀이 상기 이더넷 모뎀을 포함하는 경우, 상기 보안정책은, 무선 통신 사업자들이 제공하는 복수의 와이브로 통신망과 복수의 3세대 통신망 중 상기 이더넷 모뎀으로의 접속이 허용된 통신망 리스트를 포함하며, 상기 접속 제어 에이전트는, 상기 통신망 리스트에 기초하여, 접속이 허용된 적어도 하나의 통신망과 통신하도록 상기 이더넷 모뎀을 제어하는 것일 수 있다.
또한, 상기 무선 단말기는, 무선 랜 서비스를 지원하는 액세스 포인트를 스캐닝하는 스캐닝부; 를 더 포함하며, 상기 접속 제어 에이전트는 상기 스캐닝부에 의해 스캐닝된 액세스 포인트의 스캐닝정보를 상기 정책 서버로 전송하며, 상기 정책 서버는 상기 액세스 포인트의 스캐닝정보에 기초하여 공격자 액세스 포인트의 여부를 판단하며, 상기 공격자 액세스 포인트로 판단된 액세스 포인트의 위치를 파악하는 것일 수 있다.
한편, 상기 정책 서버는, 상기 무선 통신 모뎀으로의 접속이 불허용된 액세스 포인트들의 리스트를 저장하며, 상기 저장된 리스트에 상기 공격자 액세스 포인트로 판단된 액세스 포인트를 추가하는 것일 수 있다.
또한, 본 발명의 일 실시예에 따른 무선 보안 방법은, 가상 트랩 AP 신호를 생성하여 적어도 하나의 무선 단말기로 브로드캐스팅하는 단계; 상기 적어도 하나의 무선 단말기는 상기 가상 트랩 AP 신호에 대응하여, 자신의 식별정보를 가상 트랩 AP 발생기로 전송하는 단계; 및 상기 적어도 하나의 무선 단말기로부터 수신한 식별정보에 기초하여, 불법 단말기를 탐지하는 단계; 를 포함할 수 있다.
한편, 상기 식별정보는 맥 어드레스일 수 있다.
또한, 본 방법은, 정책 서버가 가상 트랩 AP 목록을 생성하여 상기 가상 트랩 AP 발생기로 전송하는 단계;를 더 포함하며, 상기 가상 트랩 AP 발생기는 상기 가상 트랩 AP 목록에 기초하여 가상 트랩 AP 신호를 생성하는 것일 수 있다.
한편, 상기 가상 트랩 AP 발생기는 무선 USB 센서로서 구현되는 것일 수 있다.
또한, 상기 적어도 하나의 무선 단말기는, 또한, 자신의 식별정보와 자신의 신호의 세기를 상기 정책 서버로 전송하며, 상기 정책 서버는 상기 무선 단말기로부터 전송받은 식별정보와 신호의 세기에 기초하여 상기 무선 단말기의 위치를 추적하는 것일 수 있다.
본 발명의 다른 실시 예에 따르면, 적어도 하나의 무선 통신 모뎀; 정책 서버로부터 상기 적어도 하나의 무선 통신 모뎀에 대응하는 보안정책을 수신하는 통신부; 및 상기 적어도 하나의 무선 통신 모뎀의 동작을 상기 정책 서버로부터 수신되는 보안정책에 따라 개별적으로 제어하는 접속 제어 에이전트;를 포함하는 무선 단말기가 제공된다.
한편, 본 발명의 다른 실시 예에 따르면, 적어도 하나의 무선 통신 모뎀을 포함하는 무선 단말기의 접속 제어 방법은, 정책 서버로부터 상기 적어도 하나의 무선 통신 모뎀에 대응하는 보안정책을 수신하는 단계; 및 접속 제어 에이전트가 상기 적어도 하나의 무선 통신 모뎀의 동작을 상기 수신되는 보안정책에 따라 개별적으로 제어하는 단계;를 포함할 수 있다.
본 발명의 실시 예에 따르면, 인가 받지 않은 무선 단말기의 무선 접속을 탐지하여 그 접속을 차단하고, 인가 받은 무선 단말기라도 기설정된 보안정책을 위반하는지를 탐지할 수 있고, 또한 보안 정책에 기초하여, 접속가능한 외부 통신망 또는 외부 디바이스들 중 해킹과 같은 공격성을 가지는 외부 통신망 또는 외부 디바이스들과의 접속을 미연에 차단할 수 있다.
도 1은 본 발명의 실시 예에 따른 접속 제어를 위한 무선 단말기를 포함하는 무선 통신 시스템을 도시한 도면,
도 2는 본 발명의 실시 예에 따른 무선 단말기를 도시한 블록도,
도 3은 본 발명의 일 실시 예에 따른 무선 단말기의 접속 제어 방법을 설명하기 위한 흐름도,
도 4는 본 발명의 일 실시예에 따른 무선 보안 시스템을 도시한 도면, 그리고
도 5는 본 발명의 일 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시 예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시 예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.
도 1은 본 발명의 실시 예에 따른 접속 제어를 위한 무선 단말기를 포함하는 무선 통신 시스템을 도시한 도면이다.
도 1을 참조하면, 무선 통신 시스템은 정책 서버(100) 및 무선 단말기(200)를 포함한다.
정책 서버(100)는 무선 단말기(200)를 포함하는 복수의 무선 단말기들에게 제공할 보안정책을 관리한다. 보안정책은 무선 단말기(200)의 무선 방화벽 기능을 위한 정책으로서, 정책 서버(100)는 무선 단말기(200)에서 지원하는 적어도 하나의 무선통신타입에 따라 다른 보안정책을 작성할 수 있다. 이를 위하여, 정책 서버(100)는 무선 단말기(200)로부터 무선 단말기(200)가 지원하는 무선통신타입에 대한 정보를 제공받을 수 있다.
예를 들어, 무선 단말기(200)가 이더넷 통신, 와이파이 통신 및 블루투스 통신을 지원하는 경우, 정책 서버(100)는 이더넷 통신, 와이파이 통신 및 블루투스 통신 각각에 대한 보안정책을 작성하고, 작성된 보안정책을 무선 단말기(200)에게 제공한다. 또한, 무선 단말기(200)가 이더넷 통신 및 와이파이 통신을 지원하는 경우, 정책 서버(100)는 이더넷 통신 및 와이파이 통신 각각에 대한 보안정책을 작성하여 무선 단말기(200)에게 제공한다.
무선 단말기(200)는 음성통화기능, 인터넷 정보 검색, 유무선 통신에 의한 자료의 송수신, 팩스 송수신, 일정관리 등 다양한 기능을 제공하며, 개인 컴퓨터와 같이 운영체제가 탑재되어 있을 수 있으며, 태블렛 PC, 스마트폰 등을 예로 들 수 있다.
무선 단말기(200)는 접속 제어 에이전트(280) 및 정책 서버(100)로부터 제공받는 보안정책을 이용하여 무선 방화벽 기능을 수행할 수 있다.
무선 단말기(200)는 적어도 하나의 무선 통신 모뎀을 구비하며, 적어도 하나의 무선 통신 모뎀이 지원하는 통신 규격을 이용하여 통신할 수 있다. 도 1의 경우, 무선 통신 모뎀은 복수 개 구비되며, 각각 이더넷 모뎀(220), 무선 랜 모뎀(230) 및 블루투스 모뎀(240)이다.
이더넷 모뎀(220)은 와이브로 망(10)을 통해 통신하는 와이브로 통신 규격 또는 3G망(20)을 통해 통신하는 3세대 통신 규격을 지원한다. 무선 랜 모뎀(230)은 와이파이망(30)을 통해 액세스 포인트들(AP1, AP2, AP3)과 통신하는 무선 랜 통신 규격을 지원하며, 블루투스 모뎀(240)은 블루투스망(40)을 통해 블루투스 디바이스들(BT1, BT2, BT3)과 통신하는 블루투스 통신 규격을 지원한다.
무선 단말기(200)는 무선 통신 사업자들이 제공하는 통신망 중 보안정책에 따라 접속이 허용된 통신망을 통해 통신하도록 이더넷 모뎀(220)을 제어할 수 있다. 도 1의 경우, 무선 통신 사업자들인 제1 내지 제4사업자들이 제공하는 통신망은 와이브로 통신망과 3세대 통신망으로 구분된다. 와이브로 통신망은 SK 텔레콤과 같은 제1사업자에서 제공하는 통신망과 KT와 같은 제2사업자에서 제공하는 통신망을 포함하며, HSDPA(High Speed Downlink Packet Access)와 같은 3세대 통신망은 제3사업자에서 제공하는 통신망과 제4사업자에서 제공하는 통신망을 포함한다.
또한, 무선 단말기(200)는 무선 랜 모뎀(230)을 통해 접속가능한 액세스 포인트들(AP1, AP2, AP3) 중 보안정책에 따라 접속이 허용된 액세스 포인트와 와이파이망(30)을 형성하고 인터넷 서비스를 제공하도록 무선 랜 모뎀(230)을 제어할 수 있다.
또한, 무선 단말기(200)는 블루투스 모뎀(240)을 통해 접속가능한 블루투스 디바이스들(BT1, BT2, BT3) 중 보안정책에 따라 접속이 허용된 블루투스 디바이스와 접속하여 블루투스망(40)을 형성하고, 무선 통신하도록 블루투스 모뎀(240)을 제어할 수 있다.
이하에서는, 무선 통신 타입에 따라 작성되는 보안정책에 대해 설명한다.
1. 무선 단말기(200)에서 지원하는 무선 통신 타입이 이더넷 통신을 포함하는 경우, 정책 서버(100)는 제1 내지 제4사업자들이 제공하는 복수의 와이브로 통신망과 복수의 3세대 통신망 중 무선 단말기(200)에 구비된 이더넷 모뎀(220)으로의 접속이 허용된 통신망 리스트를 포함하는 보안정책을 작성할 수 있다. 이더넷 모뎀(220)은 와이브로 통신망 또는 3세대 통신망과 통신할 수 있다. 이더넷 모뎀(220)으로의 접속이 허용된 통신망은 무선 단말기(200)의 사용자가 가입한 통신망일 수 있다. 무선 단말기(200)의 이더넷 모뎀(220)이 제1 및 제2사업자에서 제공하는 통신규약에 따라 무선 통신 서비스를 제공하는 경우, 정책 서버(100)는 제1사업자와 제2사업자가 제공하는 와이브로망과 이더넷 모뎀(220) 간의 접속을 허용하는 통신망 리스트를 작성할 수 있다.
2. 무선 단말기(200)에서 지원하는 무선 통신 타입이 무선랜 통신을 포함하는 경우, 정책 서버(100)는 무선 단말기(200)와 통신가능한 근거리에 위치하는 액세스 포인트들(AP1, AP2, AP3) 중 무선 단말기(200)로의 접속을 허용하는 액세스 포인트 리스트를 작성할 수 있다. 선택적으로, 정책 서버(100)는 무선 단말기(200)와 통신가능한 근거리에 위치하는 액세스 포인트들(AP1, AP2, AP3) 중 무선 단말기(200)로의 접속을 불허용하는 액세스 포인트 리스트를 작성할 수 있다. 정책 서버(100)가 액세스 포인트의 접속 허용 리스트 또는 접속 불허용 리스트를 작성 또는 업데이트하는 방법에 대해서는 후술한다.
3. 무선 단말기(200)에서 지원하는 무선 통신 타입이 블루투스 통신을 포함하는 경우, 정책 서버(100)는 무선 단말기(200)와의 통신을 허용하는 블루투스 디바이스들(BT1, BT2, BT3)의 식별정보를 이용하여 블루투스 리스트를 작성할 수 있다. 식별정보는 MAC 어드레스, 모델명 등이 있다. 선택적으로, 정책 서버(100)는 공격자 단말기로 판별된 블루투스 디바이스들의 식별정보를 이용하여 블루투스 리스트를 작성할 수도 있다.
또는, 무선 단말기(200)가 무선 단말기(200)로 접속을 요청한 블루투스 디바이스(예를 들어, BT1)의 식별정보를 정책 서버(100)로 전송하면, 정책 서버(100)는 블루투스 디바이스(BT1)의 접속 허용 여부를 자체적으로 판단하거나 또는 관리자에게 판단을 요청할 수 있다.
상술한 1 내지 3에서 설명한 과정에 의해 통신망 리스트, 액세스 포인트의 접속 허용 리스트 및 접속 불허용 리스트 중 하나, 블루투스 리스트가 작성되면, 정책서버는 작성된 리스트들을 통합하여 보안정책을 작성하고, 작성된 보안정책을 무선 단말기(200)에게 제공할 수 있다.
도 2는 본 발명의 실시 예에 따른 무선 단말기를 도시한 블록도이다.
도 2를 참조하면, 무선 단말기(200)는 통신부(210), 이더넷 모뎀(220), 무선 랜 모뎀(230), 블루투스 모뎀(240), 스캐닝부(250), 드라이버 저장부(260), 보안정책 저장부(270), 접속 제어 에이전트(280) 및 제어부(290)를 포함할 수 있다.
통신부(210)는 정책 서버(100)와 통신하며, 정책 서버(100)에게 무선 단말기(200)에서 지원하는 무선 통신 타입에 대한 정보를 전송할 수 있다. 통신부(210)는 정책 서버(100)로부터 접속 제어 에이전트(280)를 다운로딩하고, 보안정책을 제공받을 수 있다. 또한, 통신부(210)는 정책 서버(100)에게 스캐닝부(250)에 의해 스캐닝된 액세스 포인트들(AP1, AP2, AP3)의 스캐닝정보를 전송할 수 있다.
무선 단말기(200)는 적어도 하나의 무선 통신 모뎀을 포함하며, 적어도 하나의 무선 통신 모뎀은 이더넷 모뎀(220), 무선 랜 모뎀(230) 및 블루투스 모뎀(240) 중 적어도 하나일 수 있다.
이더넷 모뎀(220)은 와이브로 망(10)을 통해 통신하는 와이브로 통신 규격 또는 3G망(20)을 통해 통신하는 3세대 통신 규격을 지원한다.
무선 랜 모뎀(230)은 와이파이망(30)을 통해 액세스 포인트들(AP1, AP2, AP3)과 통신하는 무선 랜 통신 규격을 지원한다. 액세스 포인트들(AP1, AP2, AP3)은 주변의 근거리에 위치하는 무선 단말기(200)에게 인터넷과 같은 무선 통신 서비스를 제공하기 위한 디바이스로서, 유무선 공유기를 예로 들 수 있다.
블루투스 모뎀(240)은 블루투스망(40)을 통해 블루투스 디바이스들(BT1, BT2, BT3)과 통신하는 블루투스 통신 규격을 지원한다.
스캐닝부(250)는 무선 랜 서비스를 지원하는 액세스 포인트를 스캐닝할 수 있다. 액세스 포인트들(AP1, AP2, AP3)은 무선 통신 서비스를 제공하는 자신의 존재를 알리는 패킷을 브로드캐스팅한다. 스캐닝부(250)는 통신부(210)에 의해 수신되는 패킷들을 통해 액세스 포인트를 자동으로 스캐닝할 수 있다. 브로드캐스팅되는 각 패킷의 헤더에는 맥 어드레스(MAC Address)와 SSID(Service Set Identifier)가 기록되어 있다. 맥 어드레스는 무선 통신을 위해 액세스 포인트들(AP1, AP2, AP3)에 부여된 고유 주소이며, SSID는 액세스 포인트들(AP1, AP2, AP3)에서 제공하는 무선랜 서비스의 이름으로서 서로 다르다. 스캐닝부(250)는 스캐닝된 액세스 포인트들(AP1, AP2, AP3)의 맥 어드레스와 SSID를 접속 제어 에이전트(280)에게 제공할 수 있다.
드라이버 저장부(260)는 이더넷 모뎀(220), 무선 랜 모뎀(230) 및 블루투스 모뎀(240)을 구동하기 위한 각각의 드라이버를 저장한다. 저장된 각 드라이버는 제어부(290)에 의해 RAM(미도시)과 같은 휘발성 메모리에 로딩되어 실행된다. RAM은 제어부(290)에 포함되어 있거나 별도로 마련될 수 있다 . 후술할 접속 제어 에이전트(280)는 각 드라이버를 통해, 이더넷 모뎀(220), 무선 랜 모뎀(230) 및 블루투스 모뎀(240)과 외부 통신망 또는 외부 디바이스와의 접속을 제어할 수 있다. 외부 통신망은 도 1의 와이브로망(10), 3G망(20), 와이파이망(30) 및 블루투스망(40) 중 적어도 하나이며, 외부 디바이스는 액세스 포인트들(AP1, AP2, AP3) 및 블루투스 디바이스들(BT1, BT2, BT3) 중 적어도 하나일 수 있다.
보안정책 저장부(270)는 정책 서버(100)로부터 제공받은 보안정책을 저장할 수 있다. 보안정책은 제1 내지 제4사업자들이 제공하는 복수의 와이브로 통신망과 복수의 3세대 통신망 중 이더넷 모뎀(220)으로의 접속이 허용된 통신망 리스트, 무선 랜 모뎀(230)으로의 접속이 허용된 액세스 포인트 리스트 및 무선 랜 모뎀(230)으로의 접속이 불허용된 액세스 포인트 리스트 중 하나, 그리고, 블루투스 모뎀(240)으로의 접속이 허용된 블루투스 디바이스 리스트 및 블루투스 모뎀(240)으로의 접속이 불허용된 블루투스 디바이스 리스트 중 하나를 포함할 수 있다. [표 1]은 무선 단말기(200)에 대한 보안정책의 일 예를 보여준다.
보안정책 리스트
이더넷 모뎀으로의 접속이 허용된
통신망		 ?제1사업자가 제공하는 와이브로망
?제3사업자가 제공하는 3G망
무선 랜 모뎀으로의 접속이 허용된
액세스 포인트		 ?액세스 포인트(AP1)
?액세스 포인트(AP2)
블루투스 모뎀으로의 접속이 불허용된 블루투스 디바이스 ?블루투스 디바이스(BT1)
도 1 및 [표 1]을 참조하면, 무선 단말기(200)의 스캐닝부(250)에 의해 스캐닝된 액세스 포인트들(AP1, AP2, AP3) 중 접속이 허용된 액세스 포인트는 'AP1'과 'AP2'이다. 따라서, 무선 랜 모뎀(230)은 액세스 포인트(AP3)와는 통신할 수 없으며, 이는, 액세스 포인트(AP3)는 정책 서버(100)에 의해 해킹을 위한 공격자 단말기로 판별되었기 때문이다. 또한, 블루투스 통신을 요청한 블루투스 디바이스들(BT1, BT2, BT3) 중 블루투스 디바이스(BT1)만 접속이 불허용되고, 'BT2'와 'BT3'와는 접속이 가능함을 알 수 있다. 이는, 보안 정책 중 접속이 불허용된 블루투스 디바이스 리스트에 블루투스 디바이스들(BT2, BT3)가 포함되어 있지 않기 때문이다.
접속 제어 에이전트(280)는 적어도 하나의 무선 통신 모뎀의 동작을 정책 서버(100)로부터 수신되는 보안정책에 따라 개별적으로 제어할 수 있다. 접속 제어 에이전트(280)는 무선 단말기(200)에 설치되어 보안정책에 따라 무선 단말기(200)의 보안을 담당하며, 보안 검증이 되지 않은 외부 통신망 또는 외부 디바이스들과의 접속을 제어하는 보안 프로그램이다.
접속 제어 에이전트(280)는 보안 정책 중 통신망 리스트에 기초하여, 접속이 허용된 적어도 하나의 통신망과 통신하도록 이더넷 모뎀(220)을 제어할 수 있다. 도 1에서, 접속 제어 에이전트(280)는 제1 내지 제4사업자들이 제공하는 통신망들 중 어느 하나, 또는 모두의 접속을 허용하거나, 또는, 모두의 접속을 허용하지 않을 수 있다. [표 1]에서와 같이 통신망 리스트에 제1사업자가 제공하는 와이브로망과 제3사업자가 제공하는 3G망이 포함된 경우, 접속 제어 에이전트(280)는 제1사업자가 제공하는 와이브로망과 제3사업자가 제공하는 3G망과 통신하도록 이더넷 모뎀(220)을 제어한다.
접속 제어 에이전트(280)는 보안 정책 중 접속이 허용된 액세스 포인트 리스트 및 접속이 불허용된 액세스 포인트 리스트 중 적어도 하나에 기초하여, 접속이 허용된 액세스 포인트들과 통신하도록 무선 랜 모뎀(230)을 제어할 수 있다. 와이파이 통신의 경우, 접속 제어 에이전트(280)는 액세스 포인트들(AP1, AP2, AP3)의 SSID를 확인하고, 확인된 SSID들 중 접속이 허용된 액세스 포인트 리스트에 포함되어 있는 SSID를 가지는 액세스 포인트들(AP1, AP2)와 통신하도록 무선 랜 모뎀(230)을 제어한다. 또는, 확인된 SSID들 중 접속이 불허용된 액세스 포인트 리스트에 포함되어 있는 SSID를 가지는 액세스 포인트와 통신하지 않도록 무선 랜 모뎀(230)을 제어한다.
또한, 접속 제어 에이전트(280)는 보안 정책 중 접속이 허용된 블루투스 디바이스 리스트 및 접속이 불허용된 블루투스 디바이스 리스트 중 적어도 하나에 기초하여, 접속이 허용된 블루투스 디바이스들(예를 들어, BT2, BT3)과 통신하도록 블루투스 모뎀(240)을 제어할 수 있다.
블루투스 통신의 경우, 접속 제어 에이전트(280)는 블루투스 디바이스들(BT1, BT2, BT3)의 종류를 자동으로 식별하고, 접속이 허용된 블루투스 디바이스 리스트 중 식별된 종류가 포함되어 있는 블루투스 디바이스(BT2)와 통신하도록 블루투스 모뎀(240)을 제어한다. 또는, 접속 제어 에이전트(280)는, 접속이 불허용된 블루투스 디바이스 리스트에 식별된 종류가 포함되어 있는 블루투스 디바이스(BT1)와는 통신하지 않도록 블루투스 모뎀(240)을 제어한다.
만약, 블루투스 디바이스(BT3)가 두 리스트 모두에 포함되어 있지 않으면, 접속 제어 에이전트(280)는 정책 서버(100)에게 블루투스 디바이스(BT3)는 UNKNOWN 장치이므로, 블루투스 디바이스(BT3)의 맥 어드레스와 모델명을 확인하여 정책 서버(100)로 전송할 수 있다.
정책 서버(100)는 수신된 블루투스 디바이스(BT3)의 맥 어드레스와 모델명을 기초로 블루투스 디바이스(BT3)의 접속 허용 여부를 자동으로 판단할 수 있다. 또는, 정책 서버(100)는 보안 정책 관리자에게 블루투스 디바이스(BT3)의 맥 어드레스와 모델명을 제공하며, 보안 정책 관리자는 수동으로 직접 블루투스 디바이스(BT3)의 접속 허용 여부를 정할 수 있다. 정책 서버(100)는 블루투스 디바이스(BT3)의 접속 허용 여부 결과를 무선 단말기(200)에게 제공하며, 접속 제어 에이전트(280)는 접속 허용 여부 결과를 기초로 블루투스 모뎀(240)의 동작을 제어할 수 있다.
한편, 정책 서버(100)는 무선 단말기(200)로부터 제공되는 액세스 포인트들(AP1, AP2, AP3)의 스캐닝정보를 이용하여 액세스 포인트들(AP1, AP2, AP3)이 공격자 단말기인지를 판단하며, 공격자 단말기로 판단된 액세스 포인트의 위치를 파악할 수 있다. 이를 위하여, 접속 제어 에이전트(280)는 스캐닝부(250)에 의해 스캐닝된 액세스 포인트들(AP1, AP2, AP3)의 스캐닝정보를 정책 서버(100)로 전송할 수 있다. 실질적으로 스캐닝정보는 통신부(210)에 의해 전송된다. 액세스 포인트들(AP1, AP2, AP3)의 스캐닝정보는 액세스 포인트들(AP1, AP2, AP3) 각각의 신호의 세기, 맥 어드레스 및 SSID를 포함할 수 있다. 액세스 포인트들(AP1, AP2, AP3)이 공격자 단말기인지를 판단하는 방법은 주지된 다양한 기술들 중 하나를 사용할 수 있다. 정책 서버(100)는 무선 랜 모뎀(230)으로의 접속이 허용된 액세스 포인트들의 리스트를 저장하며, 저장된 리스트에 판단된 공격자 단말기를 추가함으로써, 무선 단말기(200)에 대한 보안 정책을 업데이트할 수 있다.
예를 들어, 제1빌딩에 구비된 3대의 PC들에 각각 접속 제어 에이전트(280)가 설치되어 있다고 가정한다. 제1빌딩과 나란히 위치하는 제2빌딩에서 공격자 단말기가 액세스 포인트로 가장하여 패킷을 브로드캐스팅하면, PC들은 패킷을 수신하고, 수신된 패킷으로부터 공격자 단말기의 스캐닝정보를 정책 서버(100)에게 전송한다. 정책 서버(100)는 PC들로부터 수신된 스캐닝정보로부터 공격자 단말기의 신호의 세기를 노멀라이즈화(Normalization)하고, PC들의 위치를 이용하여 삼각측량법을 적용함으로써 공격자 단말기의 위치를 파악할 수 있다. 정책 서버(100)는 PC로부터 PC들의 위치 정보를 주기적 또는 비주기적으로 수신하거나, PC들에 요청하여 받을 수 있다.
상술한 접속 제어 에이전트(280)는 스텔스 프로세스 모드로 동작하여, 일반 사용자들이 접속 제어 에이전트(280)의 실행 여부를 인식하지 못하도록 할 수 있다. 이는, 윈도우 운영체제에서 제공되는 작업 관리자나 어플리케이션이 프로세스 종료 시스템 서비스 호출을 통해 특정 프로세스, 즉, 실행 중인 접속 제어 에이전트(280)를 종료시키는 것을 방지하기 위함이다.
제어부(290)는 무선 단말기(200)에 저장된 제어 프로그램, 운영체제, 어플리케이션을 이용하여 무선 단말기(200)의 동작을 제어할 수 있다. 예를 들어, 무선 단말기(200)에 전원이 공급되어 부팅이 완료되면, 제어부(290)는 접속 제어 에이전트(280)를 메모리(미도시)에 로딩하여 구동하고, 정책 서버(100)로부터 제공된 보안 정책에 기초하여 무선 방화벽 기능을 제공하도록 접속 제어 에이전트(280)를 제어할 수 있다. 또한, 제어부(290)는 접속 제어 에이전트(280)가 스텔스 프로세스 모드로 동작하도록 처리할 수 있다.
또한, 제어부(290)는 무선 단말기(200)에 이더넷 모뎀으로서 와이브로망을 이용하는 와이브로 모뎀(미도시)과 3G망을 이용하는 HSDPA 모뎀(미도시)이 모두 구비되어 있는 경우, 와이브로 모뎀과 HSDPA 모뎀을 구별할 수 있다. 제어부(290)는 와이브로 모뎀과 HSDPA 모뎀의 디바이스 정보를 나열하고, 나열된 정보에서 동일한 속성을 자동으로 검색하여 분류하는 인공지능 학습법을 이용할 수 있다. 예를 들어, 윈도우 디바이스에는 '장치명, 장치 설명, 하드웨어 ID, 서비스, 장치 클래스, ConfigFlags, 실제 장치의 개체 이름, 기능, 전원 데이터'를 포함하는 디바이스 정보가 포함되어 있다.
이러한 디바이스 정보를 실제로 나열하면 'Vmware Virtual Ethernet Adapter for VMnet8 1 3 111029 abcedf'같은 스트링으로 출력될 수 있다. 모든 HSDPA 모뎀에는 'ware'와 '029 abc'라는 스트링이 포함되어 있으며, 제어부(290)는 이러한 스트링을 데이터베이스화하여 메모리(미도시)에 저장할 수 있다. 새로운 이더넷 모뎀이 무선 단말기(200)에 설치되면, 제어부(290)는 새로운 이더넷 모뎀의 속성을 자동으로 검색 및 데이터베이스화된 기준데이터들과 비교하여 n% 이상 매칭되면, 이른 HSDPA 모뎀으로 구별할 수 있다. 즉, 제어부(290)는 학습법으로 검색한 스트링의 매칭률에 기초하여 모뎀의 타입을 구별하므로, 학습량이 많을수록 오탐률은 감소할 수 있다.
한편, 제어부(290)가 인공지능 학습법을 실제로 사용하는 경우, 보안상 False Positive가 False Negative에 비해 피해가 크므로, 보안 상태에 따라 n%의 n을 허용 범위 내에서 최대한 낮춰주는 것이 적합할 수도 있다. False Positive는 새로운 이더넷 모뎀이 HSDPA 모뎀이 아닌데 HSDPA 모뎀이라고 판단하는 것이며, False Negative는 새로운 이더넷 모뎀이 HSDPA 모뎀인데 HSDPA 모뎀이 아니라고 판단하는 것이다.
도 3은 본 발명의 일 실시 예에 따른 무선 단말기의 접속 제어 방법을 설명하기 위한 흐름도이다.
도 3의 접속 제어 방법을 수행하는 무선 단말기는 도 2를 참조하여 설명한 무선 단말기(200)이거나 또는 접속 제어 방법은 무선 단말기(200)에 설치된 접속 제어 에이전트(280)에 의해 수행될 수 있다.
S300단계에서, 무선 단말기는 접속 제어 에이전트를 설치한 후 실행할 수 있다. 접속 제어 에이전트는 정책 서버로부터 다운로딩되거나 관리자가 설치파일을 이용하여 설치할 수 있다. 실행되는 접속 제어 에이전트는 스텔스 프로세스 모드로 동작될 수 있다.
S305단계에서, 정책 서버는 무선 단말기에 대한 보안 정책을 작성할 수 있다. 즉, 정책 서버는 무선 단말기에서 지원하는 무선통신타입을 고려하여 무선통신타입에 적합한 보안 정책을 작성한다. 예를 들어, 무선 단말기가 현재 위치에서 무선 랜 서비스를 지원하는 경우, 정책 서버는 현재 위치에서 접속이 허용된 액세스 포인트 리스트를 포함하는 보안 정책을 작성할 수 있다.
S310단계에서, 정책 서버는 작성된 보안 정책을 무선 단말기에게 전송할 수 있다.
S315단계에서, 무선 단말기가 무선 랜 모뎀을 이용하여 무선 랜 서비스를 지원하면, S320단계에서, 무선 단말기는 주변에 위치하는 액세스 포인트들을 스캐닝할 수 있다.
S325단계에서, 무선 단말기는 스캐닝된 액세스 포인트들의 스캐닝정보를 확인할 수 있다. 스캐닝정보는 액세스 포인트의 신호 세기, 맥 어드레스, SSID를 포함할 수 있다.
S330단계에서, 무선 단말기는 스캐닝된 액세스 포인트들의 스캐닝정보를 정책 서버에게 전송한다. S330단계와 후술할 S340단계 중 하나가 선택적으로 수행될 수 있다.
S335단계에서, 무선 단말기는 스캐닝된 액세스 포인트들의 공격자 단말기 여부를 판단할 수 있다. 무선 단말기에서 지원하는 무선 통신 모뎀이 무선 랜 모뎀을 포함하는 경우, 보안 정책은 무선 랜 모뎀으로의 접속이 허용된 액세스 포인트 리스트 및 접속이 불허용된 액세스 포인트 리스트 중 적어도 하나를 포함할 수 있다. 접속 제어 에이전트는 액세스 포인트들 중 접속이 불허용된 액세스 포인트 리스트에 포함된 액세스 포인트를 공격자 단말기로 판단할 수 있다.
S340단계에서, 무선 단말기는 스캐닝된 액세스 포인트들 중 접속이 허용된 액세스 포인트 리스트에 스캐닝된 액세스 포인트가 포함되어 있지 않거나, 또는 접속이 불허용된 액세스 포인트 리스트에 포함되어 있는 액세스 포인트의 스캐닝 정보를 정책 서버에게 전송할 수 있다.
S345단계에서, 무선 단말기는 스캐닝된 액세스 포인트들 중 공격자 단말기로 판단된 액세스 포인트와의 접속하지 않도록 무선 랜 모뎀의 동작을 제어할 수 있다.
반면, 스캐닝된 액세스 포인트들 중 공격자 단말기가 없으면(S335-Y), S350단계에서, 무선 단말기는 스캐닝된 액세스 포인트들과 접속하도록 무선 랜 모뎀의 동작을 제어할 수 있다.
한편, S355단계에서, 정책 서버는 액세스 포인트들의 스캐닝정보를 이용하여 액세스 포인트들이 공격자 단말기인지를 주지된 다양한 기술 중 하나를 이용하여 판단한다.
공격자 단말기로 판단된 액세스 포인트가 있으면(S360-Y), S365단계에서, 정책 서버는 공격자 단말기로 판단된 액세스 포인트의 위치를 파악하고, 사이버 수사대와 같은 사이버 보안 센터에 신고할 수 있다. 일 예로, 무선 단말기를 포함하는 복수의 단말기들로부터 동일한 스캐닝정보가 수신되면, 정책 서버는 동일한 스캐닝정보를 가지는 액세스 포인트의 위치를 복수의 단말기들의 위치를 기반으로 파악할 수 있다.
S370단계에서, 정책 서버는 공격자 단말기로 판단된 액세스 포인트의 스캐닝정보를 접속 불허용 액세스 포인트 리스트에 추가할 수 있다. 이로써, 무선 단말기에 대해 관리되는 보안 정책은 업데이트된다. 업데이트된 보안 정책은 무선 단말기로 전송될 수 있다.
반면, 공격자 단말기로 판단된 액세스 포인트가 없으면(S360-N), S375단계에서, 정책 서버는 정상적인 액세스 포인트로 판단된 액세스 포인트의 스캐닝정보를 접속 허용 액세스 포인트 리스트에 추가할 수 있다. 이로써, 무선 단말기에 대해 관리되는 보안 정책은 업데이트된다. 업데이트된 보안 정책은 무선 단말기로 전송될 수 있다.
도 3은 무선 단말기가 무선 랜 모뎀을 구비한 경우, 보안 정책에 따라 무선 랜 모뎀의 동작을 제어하는 경우에 대해 설명하였다. 무선 랜 모뎀뿐만 아니라, 무선 단말기의 접속 제어 에이전트는 수신된 보안 정책에 기초하여 이더넷 모뎀과 블루투스 모뎀의 동작을 제어할 수 있다.
구체적으로, 무선 단말기에서 지원하는 무선 통신 모뎀이 이더넷 모뎀을 포함하는 경우, 보안 정책은 무선 통신 사업자들이 제공하는 복수의 와이브로 통신망 및 복수의 3세대 통신망 중 이더넷 모뎀으로의 접속이 허용된 통신망 리스트를 포함할 수 있다. 접속 제어 에이전트는 보안 정책에 포함된 통신망 리스트에 기초하여, 접속이 허용된 적어도 하나의 통신망과 통신하도록 이더넷 모뎀을 제어할 수 있다.
또한, 무선 단말기에서 지원하는 무선 통신 모뎀이 블루투스 모뎀을 포함하는 경우, 보안 정책은, 블루투스 모뎀으로의 접속이 허용된 블루투스 디바이스 리스트 및 접속이 불허용된 블루투스 디바이스 리스트 중 적어도 하나를 포함할 수 있다. 접속 제어 에이전트는 접속이 허용된 블루투스 디바이스 리스트 및 접속이 불허용된 블루투스 디바이스 리스트 중 적어도 하나에 기초하여, 접속이 허용된 블루투스 디바이스들과 통신하도록 블루투스 모뎀을 제어할 수 있다.
도 4는 본 발명의 일 실시예에 따른 무선 보안 시스템을 도시한 도면이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 무선 보안 시스템은, 적어도 하나의 무선 단말기들(200a, 200b, 200c), 가상 트랩 AP 발생기(300), 및 정책 서버(500)를 포함할 수 있다. 이하에서는 권한(또는 인가)이 없는 무선 단말기 또는 자신의 부여받은 권한의 범위를 벗어난 무선 단말기(이하, '불법 단말기'라고 함)(400)가 침입하는 경우를 가정하여, 본 무선 보안 시스템의 동작을 설명하기로 한다.
무선 단말기들(200a, 200b, 200c)과 정책 서버(500)는, 도 1 내지 도 3에서 설명한 바와 같은 무선 단말기(200)와 정책 서버(200)의 기능을 가질 수 있으며, 이들 기능에 대하여는 도 1 내지 도 3의 설명을 참조하기 바란다.
가상 트랩 AP 발생기(300)는 가상 트랩 AP 신호를 생성하여, 무선 단말기들로 브로드 캐스팅한다. 예를 들어, 무선 보안 시스템이 구축된 곳이 "S"라는 회사라면, 가상 트랩 AP 발생기(300)는 가상 트랩 AP 신호를 생성하여 적어도 위 "S" 회사 내의 모든 무선 단말기가 가상 트랩 AP 신호를 수신할 수 있을 정도의 신호 세기로 브로드 캐스팅한다.
가상 트랩 AP 발생기(300)가 생성하는 가상 트랩 AP 신호는 가상 트랩 AP 목록을 기초로 생성하며, 예를 들면 가장 많이 사용되는 AP들의 신호들일 수 있다.
발명의 일 실시예에 따른 가상 트랩 AP 발생기(300)는 가상 트랩 AP 목록을 정책 서버(500)로부터 전송받고, 그 목록에 기초하여 가상 트랩 AP 신호를 생성할 수 있다. 가상 트랩 AP 신호는 적어도 하나 이상일 수 있으며, 무선 단말기들(200a, 200b, 200c, 300)과 불법 단말기(400)는 그러한 가상 트랩 AP 신호를 가상이 아닌 진짜(REAL) AP 신호로서 인식할 수 있다. 무선 단말기들(200a, 200b, 200c, 300)과 불법 단말기(400)는, 가상 트랩 AP 신호에 대응하여 자신의 식별정보(예를 들면: Mac 어드레스)를 가상 트랩 AP 발생기(300)로 전송한다.
가상 트랩 AP 발생기(300)는 무선 단말기들(200a, 200b, 200c, 300)과 불법 단말기(400)로부터 수신하는 Mac 어드레스들에 대한 정보들(이하, 'Mac 어드레스 목록'이라고 함)을 정책 서버(500)로 전송한다. 정책 서버(500)는 가상 트랩 AP 발생기(300)로부터 수신한 Mac 어드레스 목록을 확인하여, 불법 단말기를 적발할 수 있다. 정책 서버(500)는 접근 권한이 정해진 White list나 접근이 차단된 black list를 기저장하고 있다가, 이러한 리스트와 가상 트랩 AP 발생기(300)로부터 수신한 Mac 어드레스 목록을 비교하여 불법 단말기를 적발할 수 있다.
나아가서, 정책 서버(500)는 그러한 적발한 불법 단말기의 Mac 어드레스를 기존의 White list나 black list에 추가하여 업 데이트하고, 기수립된 보안정책에 반영할 수 있다. 새롭게 반영된 보안정책은 주기적 또는 비주기적으로 무선 단말기들(200a, 200b, 200c, 300)로 전송될 수 있다.
한편, 본 발명의 일 실시예에 따른 가상 트랩 AP 발생기(300)는 무선 USB 센서의 형태로 구성될 수 있다. 예를 들면, 무선 랜 카드를 내장한 무선 USB 센서로서, 가상 트랩 AP 신호를 브로드캐스팅하도록 구성될 수 있다. AP 신호를 생성하는 구성요소(하드웨어 및/또는 소프트웨어로 구현될 수 있음)는 무선 USB 센서에 설치되거나 또는 무선 USB 센서가 장착되는 단말기에 설치될 수 있다.
본 발명의 일 실시예에 따른 무선 단말기들(200a, 200b, 200c, 300)은 상술한 도 1 내지 도 3의 기능 외에 추가적으로 다음과 같은 기능을 가질 수 있다.
즉, 무선 단말기들(200a, 200b, 200c, 300)(이하, 구별의 실익이 없는 한 '무선 단말기(200a)'로 통칭하기로 함)은 자신이 접속하는 AP의 신호의 세기와 AP의 Mac 어드레스를 정책 서버(500)로 전송한다. 이러한 기능은 접속 제어 에이전트(280)의 기능으로서 구현될 수 있지만, 별도의 구성요소로 구현되는 것도 가능하다.
정책 서버(500)는 무선 단말기(200a)로부터 수신하는 AP 신호의 세기와 Mac 어드레스에 기초하여, 무선 단말기(200a)의 위치를 추적할 수 있다. 위치를 추적하는 이유는, 권한이 있는 무선 단말기(200a)라도, 자신이 허가받은 장소를 벗어난 곳으로 이동되는지를 모니터링 하기 위해서이다. 예를 들면, 다층으로 구성된 건물에서, 특정의 층은 출입이 통제되는 장소라고 할 때, 무선 단말기(200a)가 그 특정의 층에 출입하는 것을 모니터링 할 수 있다.
정책 서버(500)는, 출입해서는 안 되는 곳이나 외부 유출이 되어서는 안 되는 곳을 출입하는 무선 단말기(200a)의 무선 통신을 제어할 수 있다. 예를 들면, 정책 서버(500)는, 무선 단말기(200a)가 가진 접속 제어 에이젼트로 보안정책을 전송할 때, 모든 무선 통신의 접속을 차단하는 내용의 보안정책을 전송할 수 있다.
도 5는 본 발명의 일 실시예에 따른 무선 보안 방법을 설명하기 위한 흐름도이다.
도 5의 무선 보안 방법을 수행하는 구성요소들은 예를 들면, 도 4를 참조하여 설명한 가상 트랩 AP 발생기와 정책 서버일 수 있다.
S401 단계에서, 정책 서버는 가상 트랩 AP 목록을 작성하여 가상 트랩 AP 발생기로 전송한다. 여기서, 가상 AP 목록은 상술한 바와 같이 가장 많이 사용되는 AP들에 대한 정보이다.
S403 단계에서, 가상 트랩 AP 발생기는 정책 서버로부터 수신한 가상 트랩 AP 목록을 참조하여, 가상 트랩 AP 신호들을 생성하여 무선 단말기들로 전송한다.
S405 단계에서, 무선 단말기와 불법 단말기들은 자신의 Mac 어드레스를 가상 트랩 AP 발생기로 전송할 수 있다.
S407 단계와 S409 단계에서, 가상 트랩 AP 발생기는 무선 단말기와 불법 단말기들로부터 수신한 Mac 어드레스에 대한 목록을 작성하여 정책 서버로 전송할 수 있다.
S411 단계와 S413 단계에서, 정책 서버는 자신이 기저장하던 보안정책을, 가상 트랩 AP 발생기로부터 수신한 Mac 어드레스 정보를 반영하여 업데이트 한 후, 무선 단말기로 전송한다.
상기와 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100, 400: 정책 서버
200, 200a, 200b, 200c: 무선 단말기
210: 통신부 220: 이더넷 모뎀
230: 무선 랜 모뎀 240: 블루투스 모뎀
250: 스캐닝부 260: 드라이버 저장부
270: 보안정책 저장부 280: 접속 제어 에이전트
290: 제어부
300: 가상 트랩 AP 발생기

Claims (13)

  1. 적어도 하나의 무선 단말기;
    수신되는 가상 트랩 AP 목록에 기초하여 가상 트랩 AP 신호를 생성하여 브로드캐스팅하는 가상 트랩 AP 발생기; 및
    상기 가상 트랩 AP 목록을 상기 가상 트랩 AP 발생기로 전송하는 정책 서버;를 포함하며,
    상기 무선 단말기는 상기 가상 트랩 AP 신호에 대응하여, 자신의 식별정보를 가상 트랩 AP 발생기로 전송하며, 상기 가상 트랩 AP 발생기는 상기 적어도 하나의 무선 단말기로부터 수신한 식별정보를 상기 정책 서버로 전송하는 것을 특징으로 하는 무선 보안 시스템.
  2. 제1항에 있어서,
    상기 적어도 하나의 무선 단말기는, 또한, 자신의 식별정보와 자신의 신호의 세기를 상기 정책 서버로 전송하며,
    상기 정책 서버는 상기 무선 단말기로부터 전송받은 식별정보와 신호의 세기에 기초하여 상기 무선 단말기의 위치를 추적하는 것을 특징으로 하는 무선 보안 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 가상 트랩 AP 발생기는 무선 USB 센서로서 구현되는 것을 특징으로 하는 무선 보안 시스템.
  5. 제1항에 있어서,
    상기 적어도 하나의 단말기 중 어느 하나의 단말기는,
    적어도 하나의 무선 통신 모뎀;
    정책 서버로부터 상기 적어도 하나의 무선 통신 모뎀에 대응하는 보안정책을 수신하는 통신부; 및
    상기 적어도 하나의 무선 통신 모뎀의 동작을 상기 정책 서버로부터 수신되는 보안정책에 따라 개별적으로 제어하는 접속 제어 에이전트;를 포함하는 것을 특징으로 하는 무선 보안 시스템.
  6. 제5항에 있어서,
    상기 적어도 하나의 무선 통신 모뎀은,
    와이브로 통신규약 또는 3세대 통신규약에 따라 통신하는 이더넷 모뎀, 근거리 통신규약에 따라 통신하는 무선 랜 모뎀, 및 블루투스 통신규약에 따라 통신하는 블루투스 모뎀 중 적어도 하나를 포함하는 것을 특징으로 하는 무선 보안 시스템.
  7. 제6항에 있어서,
    상기 적어도 하나의 무선 통신 모뎀이 상기 이더넷 모뎀을 포함하는 경우, 상기 보안정책은, 무선 통신 사업자들이 제공하는 복수의 와이브로 통신망과 복수의 3세대 통신망 중 상기 이더넷 모뎀으로의 접속이 허용된 통신망 리스트를 포함하며,
    상기 접속 제어 에이전트는, 상기 통신망 리스트에 기초하여, 접속이 허용된 적어도 하나의 통신망과 통신하도록 상기 이더넷 모뎀을 제어하는 것을 특징으로 하는 무선 보안 시스템.
  8. 제5항에 있어서,
    상기 무선 단말기는,
    무선 랜 서비스를 지원하는 액세스 포인트를 스캐닝하는 스캐닝부;
    를 더 포함하며,
    상기 접속 제어 에이전트는 상기 스캐닝부에 의해 스캐닝된 액세스 포인트의 스캐닝정보를 상기 정책 서버로 전송하며,
    상기 정책 서버는 상기 액세스 포인트의 스캐닝정보에 기초하여 공격자 액세스 포인트의 여부를 판단하며, 상기 공격자 액세스 포인트로 판단된 액세스 포인트의 위치를 파악하는 것을 특징으로 하는 무선 보안 시스템.
  9. 정책 서버가 가상 트랩 AP 목록을 생성하여 가상 트랩 AP 발생기로 전송하는 단계;
    상기 정책 서버로부터 수신되는 상기 가상 트랩 AP 목록에 기초하여 가상 트랩 AP 신호를 생성하여 적어도 하나의 무선 단말기로 브로드캐스팅하는 단계;
    상기 적어도 하나의 무선 단말기는 상기 가상 트랩 AP 신호에 대응하여, 자신의 식별정보를 가상 트랩 AP 발생기로 전송하는 단계; 및
    상기 적어도 하나의 무선 단말기로부터 수신한 식별정보에 기초하여, 불법 단말기를 탐지하는 단계;를 포함하는 무선 보안 방법.
  10. 제9항에 있어서,
    상기 식별정보는 맥 어드레스인 것을 특징으로 하는 무선 보안 방법.
  11. 삭제
  12. 제9항에 있어서,
    상기 가상 트랩 AP 발생기는 무선 USB 센서로서 구현되는 것을 특징으로 하는 무선 보안 방법.
  13. 제9항에 있어서,
    상기 적어도 하나의 무선 단말기는, 또한, 자신의 식별정보와 자신의 신호의 세기를 상기 정책 서버로 전송하며,
    상기 정책 서버는 상기 무선 단말기로부터 전송받은 식별정보와 신호의 세기에 기초하여 상기 무선 단말기의 위치를 추적하는 것을 특징으로 하는 무선 보안 방법.
KR1020110019067A 2011-03-03 2011-03-03 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법 KR101117628B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110019067A KR101117628B1 (ko) 2011-03-03 2011-03-03 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110019067A KR101117628B1 (ko) 2011-03-03 2011-03-03 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101117628B1 true KR101117628B1 (ko) 2012-04-06

Family

ID=46141237

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110019067A KR101117628B1 (ko) 2011-03-03 2011-03-03 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101117628B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429178B1 (ko) 2013-03-05 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템 및 방법
KR101564001B1 (ko) * 2013-11-14 2015-10-28 (주)노르마 유무선 통신을 안전하게 관리하는 장치
KR101591801B1 (ko) * 2014-04-16 2016-02-04 유넷시스템주식회사 보안 성능 측정 장치
CN111836239A (zh) * 2019-04-19 2020-10-27 诺玛有限公司 基于与蓝牙设备的连接筛选危险的蓝牙设备的方法
KR20200122909A (ko) * 2019-04-19 2020-10-28 (주)노르마 블루투스 기기의 위치에 기초한 위험한 블루투스 기기를 선별하는 시스템 및 방법
KR102321683B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080041367A (ko) * 2006-11-07 2008-05-13 주식회사 케이티 가입자 단말 관리 시스템 및 그 방법과, 이를 구현하기 위한 프로그램이 저장된 기록매체
KR20100056527A (ko) * 2007-08-17 2010-05-27 콸콤 인코포레이티드 애드-혹 스몰-커버리지 기지국을 위한 액세스 제어

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080041367A (ko) * 2006-11-07 2008-05-13 주식회사 케이티 가입자 단말 관리 시스템 및 그 방법과, 이를 구현하기 위한 프로그램이 저장된 기록매체
KR20100056527A (ko) * 2007-08-17 2010-05-27 콸콤 인코포레이티드 애드-혹 스몰-커버리지 기지국을 위한 액세스 제어

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429178B1 (ko) 2013-03-05 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템 및 방법
KR101564001B1 (ko) * 2013-11-14 2015-10-28 (주)노르마 유무선 통신을 안전하게 관리하는 장치
KR101591801B1 (ko) * 2014-04-16 2016-02-04 유넷시스템주식회사 보안 성능 측정 장치
CN111836239A (zh) * 2019-04-19 2020-10-27 诺玛有限公司 基于与蓝牙设备的连接筛选危险的蓝牙设备的方法
KR20200122909A (ko) * 2019-04-19 2020-10-28 (주)노르마 블루투스 기기의 위치에 기초한 위험한 블루투스 기기를 선별하는 시스템 및 방법
KR20200122859A (ko) * 2019-04-19 2020-10-28 (주)노르마 블루투스 기기와의 접속에 기초한 위험한 블루투스 기기를 선별하는 방법
KR102292022B1 (ko) * 2019-04-19 2021-08-23 (주)노르마 블루투스 기기와의 접속에 기초한 위험한 블루투스 기기를 선별하는 방법
KR20210103447A (ko) * 2019-04-19 2021-08-23 (주)노르마 블루투스 기기와의 접속에 기초한 위험한 블루투스 기기를 선별하는 방법
CN111836239B (zh) * 2019-04-19 2023-02-21 诺玛有限公司 基于与蓝牙设备的连接筛选危险的蓝牙设备的方法
KR102505212B1 (ko) * 2019-04-19 2023-03-03 (주)노르마 블루투스 기기와의 접속에 기초한 위험한 블루투스 기기를 선별하는 방법
KR102655601B1 (ko) * 2019-04-19 2024-04-11 (주)노르마 블루투스 기기의 위치에 기초한 위험한 블루투스 기기를 선별하는 시스템 및 방법
KR102321683B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치

Similar Documents

Publication Publication Date Title
KR101541073B1 (ko) 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
US8467355B2 (en) System and method for providing wireless local area networks as a service
US8428036B2 (en) System and method for providing wireless local area networks as a service
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
US8781483B2 (en) Controlling access to private access points for wireless networking
EP1836830B1 (en) Controlling wireless access to a network
KR101117628B1 (ko) 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법
US7316031B2 (en) System and method for remotely monitoring wireless networks
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
CN102724208B (zh) 用于控制对网络资源的访问的系统和方法
KR101563213B1 (ko) 신뢰도 있는 ap를 선택할 수 있는 단말기 및 방법
US11197157B2 (en) Method, apparatus, and system for performing authentication on terminal in wireless local area network
US20140282905A1 (en) System and method for the automated containment of an unauthorized access point in a computing network
WO2017008580A1 (zh) 无线站点接入局域网的方法及装置
WO2019084340A1 (en) SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK
CN106878992B (zh) 无线网络安全检测方法和系统
US8850513B2 (en) System for data flow protection and use control of applications and portable devices configured by location
US11336621B2 (en) WiFiwall
KR20150116170A (ko) 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
KR101127764B1 (ko) 무선 단말기 및 그의 접속 제어 방법
CN113094719B (zh) 访问控制方法、装置、设备
CN104735749B (zh) 一种接入网络的方法及无线路由器、门户平台服务器
JP2018097821A (ja) 制御装置および通信制御方法
CN106686590A (zh) 管制终端识别及管理方法、装置、无线接入点设备
KR20130044842A (ko) 단말기

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150126

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee