KR101268298B1 - 위치정보 기반 인증 관제 시스템 및 방법 - Google Patents

위치정보 기반 인증 관제 시스템 및 방법 Download PDF

Info

Publication number
KR101268298B1
KR101268298B1 KR1020110103211A KR20110103211A KR101268298B1 KR 101268298 B1 KR101268298 B1 KR 101268298B1 KR 1020110103211 A KR1020110103211 A KR 1020110103211A KR 20110103211 A KR20110103211 A KR 20110103211A KR 101268298 B1 KR101268298 B1 KR 101268298B1
Authority
KR
South Korea
Prior art keywords
location
authentication
computer device
information
location information
Prior art date
Application number
KR1020110103211A
Other languages
English (en)
Other versions
KR20130038710A (ko
Inventor
정영석
이도학
최우림
황재연
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020110103211A priority Critical patent/KR101268298B1/ko
Priority to PCT/KR2012/007248 priority patent/WO2013055037A1/ko
Publication of KR20130038710A publication Critical patent/KR20130038710A/ko
Application granted granted Critical
Publication of KR101268298B1 publication Critical patent/KR101268298B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 기등록된 이동통신단말기의 위치와 현재 1차 로그인된 컴퓨터단말기의 위치를 비교하여 사용자 인증이 이루어지도록 하는 2차 인증시스템에서, 인증 과정을 실시간으로 모니터링하고 분석하여 인증 과정에서 발생할 수 있는 정보 유출 위협을 탐지하고 인증 과정에 대한 로그를 수집하여 수집된 로그를 기반으로 인증 이력을 사용자에게 보고하는 관제 시스템 및 방법에 관한 것이다.
이 발명에 따른 위치정보 기반 인증 관제 시스템은, 컴퓨터장치의 위치정보와 이동통신단말기의 위치정보를 수집하는 정보수집부와; 상기 정보수집부에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 차이값에 따라 위치 기반 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하는 관제처리부와; 상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와; 상기 관제처리부의 보안 위협 레벨에 따른 대응에 따라 2차 인증 시스템과 상기 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한다.

Description

위치정보 기반 인증 관제 시스템 및 방법 {surveillance system and method for authentication procedure based by positioning information}
본 발명은 기등록된 이동통신단말기의 위치와 현재 1차 로그인된 컴퓨터단말기의 위치를 비교하여 사용자 인증이 이루어지도록 하는 2차 인증시스템에서, 인증 과정을 실시간으로 모니터링하고 분석하여 인증 과정에서 발생할 수 있는 정보 유출 위협을 탐지하고 인증 과정에 대한 로그를 수집하여 수집된 로그를 기반으로 인증 이력을 사용자에게 보고하는 관제 시스템 및 방법에 관한 것이다.
최근 인터넷 발달로 인하여 다양한 종류의 온라인 서비스가 제공되고 있다. 대부분의 온라인 서비스 시스템은 온라인을 통해 해당 서비스에 접근하는 클라이언트장치가 해당 온라인 서비스를 이용할 자격을 가지는지 여부를 인증한다.
가장 보편적으로 사용되는 사용자 인증방법은 사용자 아이디와 비밀번호를 이용한 인증방법이다. 예컨대, 온라인 서비스 시스템은, 사용자가 해당 시스템에 회원으로 가입할 때 로그인 정보(사용자 아이디와 비밀번호)을 등록하도록 하고, 추후 해당 사용자가 해당 시스템에 접근하면 그 접근자로부터 로그인 정보(사용자 아이디와 비밀번호)을 입력받아 그 사용자의 본인 여부를 검증한다. 그러나, 이러한 아이디와 비밀번호를 이용한 인증방법은 로그인 정보가 도용되거나 해킹되기 쉬우며, 로그인 정보가 노출될 경우 악의적인 접근 시도를 차단할 수 없는 문제점이 있다.
온라인 서비스 시스템에는 다양한 개인 정보들이 관리되고 있고, 최근 온라인 서비스 시스템을 통한 무형의 자산(예컨대, 온라인 게임에서의 아이템, 사이버 머니 등)이 증가함에 따라, 보다 강력한 본인 인증방법들이 요구되고 있다.
이러한 요구에 따라 상술한 사용자 아이디와 비밀번호에 의한 1차 로그인 후에 수행하는 다양한 2차 인증방식들이 시도되고 있다. 이 중 현재 사용자의 이동통신단말기를 이용한 일회용 인증키 기반 2차 인증방식이 널리 사용되고 있다.
이러한 일회용 인증키 기반 2차 인증방식은 다음과 같은 절차로 진행된다. 먼저, 온라인 서비스 시스템은 임의의 컴퓨터장치에 대한 1차 로그인 절차(예컨대, 사용자 아이디와 비밀번호 확인)를 진행하고, 1차 로그인 인증 후 2차 인증서버에게 상기 컴퓨터장치에 대한 2차 인증을 요청한다. 그러면, 2차 인증서버는 사용자의 이동통신단말기에 일회용 인증키가 포함된 문자메시지(SMS)를 발송한다. 온라인 서비스시스템은 상기 컴퓨터장치를 통해 인증키 값을 입력받아 2차 인증서버에게 전달한다. 2차 인증서버는 이동통신단말기에 발송한 인증키 값과 온라인 서비스시스템을 통해 입력받은 인증키 값이 동일한 지를 검증함으로써, 1차 로그인 인증이 완료된 컴퓨터장치를 최종 인증한다.
이러한 일회용 인증키 기반 2차 인증방식은 본인 인증 보안 강도를 어느 정도 강화시킬 수는 있으나, 해킹에 의해 일회용 인증키가 노출될 경우에는 여전히 보안의 취약점이 존재한다. 따라서, 일회용 인증키를 이용한 2차 인증방식으로서, 해킹에 의해 일회용 인증키가 갈취되더라도, 이에 저항할 수 있는 보다 강력한 본인 인증기술이 필요하다.
이러한 필요성에 의해 이 발명의 출원인은 새로운 방식의 일회용 인증키를 이용한 2차 인증기술을 개발하여, 2011년 2월 24일자로 특허출원 제2011-0016302호, "위치정보 기반 인증시스템 및 방법"을 출원한 바 있다.
이 선행 출원 제2011-0016302호에 따르면, 1차 로그인 인증이 완료된 컴퓨터장치의 위치와, 1차 로그인 정보에 대응하여 기등록된 이동통신단말기의 위치를 각각 입수하여 두 위치가 허용 가능 범위 내에 존재할 경우에만 사용자를 인증함으로써, 인증 보안을 강화시킨다.
이러한 위치정보 기반 인증시스템은 2차 인증 과정에서 해킹의 위협이 발생할 경우 해당 사용자에 대한 인증을 거부하여 보안을 강화시킬 수 있으나, 해킹 위협에 대해 단지 일회성 조치만을 할 수 있을 뿐이며, 다양한 해킹 위협에 대한 지속적인 감시, 분석, 근원지 추적 등을 할 수 없기 때문에 근본적인 대책을 수립할 수 없는 문제점이 있다.
따라서, 위치정보 기반 인증시스템 환경에서 인증 과정에 대한 로그를 수집하고 분석하여 인증과정에서 발생하는 다양한 해킹 위협을 감시하며, 그 전파 및 근원지를 파악하도록 하는 관제 시스템 기술이 필요하다.
이 발명의 목적은, 위치정보 기반 2차 인증시스템 환경에서 인증 과정을 실시간 모니터링하여 다양한 해킹 위협을 감시 및 탐지하고, 로그를 수집하고 분석하여 탐지된 위협의 내역 및 근원지를 추적하거나 사용자별 인증 내역을 통계할 수 있도록 하는 관제 시스템 및 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 이 발명에 따른 위치정보 기반 인증 관제 시스템은, 2차 인증 시스템이 1차 로그인 정보로 온라인 서비스 시스템에 1차 로그인 인증된 컴퓨터장치의 위치와, 상기 1차 로그인 정보와 매칭되어 기저장된 이동통신단말기의 위치를 기반으로 상기 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 시스템에 있어서,
상기 컴퓨터장치의 위치정보와 상기 이동통신단말기의 위치정보를 수집하는 정보수집부와;
상기 정보수집부에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 차이값에 따라 위치 기반 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하는 관제처리부와;
상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와;
상기 관제처리부의 보안 위협 레벨에 따른 대응에 따라 상기 2차 인증 시스템과 상기 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한 것을 특징으로 한다.
또한, 이 발명에 따른 위치정보 기반 인증 관제 방법은, 관제시스템이, 2차 인증 시스템이 1차 로그인 인증된 컴퓨터장치의 위치와, 상기 1차 로그인 정보와 매칭되어 기저장된 이동통신단말기의 위치를 기반으로 상기 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 방법에 있어서,
상기 관제시스템이 상기 컴퓨터장치의 위치정보와 상기 이동통신단말기의 위치정보를 수집하는 제1단계와;
상기 관제시스템이 상기 제1단계에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 차이값에 따라 위치 기반 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응 조치하는 제2단계와;
상기 관제시스템이 상기 제1단계에서 수집된 정보들과 상기 제2단계에서 수행되는 동작들을 로그로 수집하는 제3단계와;
상기 관제시스템이 상기 제2단계의 보안 위협 레벨에 따른 대응 조치에 따라 상기 2차 인증 시스템과 상기 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 제4단계를 포함한 것을 특징으로 한다.
이상과 같이 이 발명에 따르면, 2차 인증시스템의 보안성이 향상되고, 2차 인증과정을 관제하여 위협의 근원지를 추적하여 해킹 위협에 능동적으로 대응할 수 있는 효과가 있다.
도 1은 선행 특허출원 제2011-0016302호에 기재된 위치정보 기반 인증 시스템의 개략적인 구성 블록도이다.
도 2는 도 1에 도시된 위치정보 기반 인증 시스템에서, 2차 인증 시스템의 동작을 도시한 동작 흐름도이다.
도 3은 이 발명에 따른 위치기반 인증 관제 시스템을 도시한 구성 블록도이다.
도 4는 컴퓨터장치의 보안인증모듈이 컴퓨터장치의 위치정보를 획득하는 과정을 도시한 동작 흐름도이다.
도 5는 이 발명의 관제 시스템의 위치정보수집부가 위치추정정보로부터 컴퓨터장치의 위치정보를 결정하는 과정을 도시한 동작 흐름도이다.
도 6은 이 발명에 따른 관제 시스템이 호스트 IP주소 기반 위치정보를 결정하는 과정을 도시한 동작 흐름도이다.
도 7은 이 발명에 따른 관제 시스템의 위협감지부가 위치 기반 보안 위협 레벨을 설정하는 과정을 도시한 동작 흐름도이다.
도 8은 이 발명에 따른 관제 시스템의 위협대응부가 위치 기반 보안 위협 레벨에 따른 대응 과정을 도시한 동작 흐름도이다.
이하, 첨부된 도면을 참조하여 이 발명에 따른 위치정보 기반 인증 관제 시스템 및 방법을 보다 상세하게 설명한다.
이 발명에 따른 위치정보 기반 인증 관제 시스템 및 방법을 설명하기에 앞서, 선행 특허출원 제2011-0016302호에 기재된 위치정보 기반 2차 인증 시스템 및 방법에 대해 먼저 설명한다.
해커가 정상 사용자의 로그인 정보(아이디와 비밀번호)를 해킹하여 도용하고자 한 경우, 통상 해커는 그 정상 사용자와는 지리적으로 멀리 떨어진 위치의 컴퓨터장치를 이용하여 그 정상 사용자의 로그인 정보를 도용하여 온라인 서비스 시스템으로의 접속을 시도하고, 정상 사용자의 이동통신단말기에 입력되는 일회용 인증키는 다양한 해킹 기법을 통해 갈취한다. 따라서, 해커가 사용하는 컴퓨터장치와, 정상 사용자가 소지한 이동통신단말기는 지리적으로 서로 떨어진 위치에 존재하게 된다. 다시 설명하면, 해킹된 정상 사용자의 로그인 정보로 1차 로그인 인증이 완료된 해커 컴퓨터장치의 위치와, 그 정상 사용자의 로그인 정보와 매칭되어 기등록된 정상 사용자의 이동통신단말기의 위치는 서로 다르게 된다.
이 선행 특허출원 제2011-0016302호에서 위치정보 기반 인증이란, 1차 로그인 인증된 컴퓨터장치의 위치정보와, 기등록된 이동통신단말기의 위치정보를 각각 취득하고 비교함으로써, 1차 로그인 인증된 컴퓨터장치에게 온라인 서비스 시스템의 접속 권한을 부여하거나 차단한다.
도 1은 선행 특허출원 제2011-0016302호에 기재된 위치정보 기반 인증 시스템의 개략적인 구성 블록도이다.
종단실체(110)는 이 발명을 통한 인증 절차를 이용하는 최종 사용자이다. 이 종단실체(110)는 통신망(100)을 통해 온라인 서비스 시스템(120)에서 온라인 서비스를 제공받기 위해 이 발명에 따른 인증 절차를 이용한다. 종단실체(110)는 온라인 서비스 시스템(120)과의 통신을 통해 1차 로그인 절차를 수행하는 컴퓨터장치(111)와, 이 발명에 따른 2차 인증을 수행하기 위한 이동통신단말기(112)를 포함한다. 여기서, 1차 로그인 절차를 수행하는 컴퓨터장치(111)는 정상 사용자의 컴퓨터장치일 수도 있고, 해커의 컴퓨터장치일 수도 있다.
온라인 서비스 시스템(120)은 통신망(100)을 통해 다수의 사용자들에게 온라인 서비스를 제공하는 웹 상의 시스템으로서, 종단실체(110)에 대한 1차 로그인 절차를 수행한다. 통상적으로 온라인 서비스 시스템(120)은 로그인 처리 시스템(121)을 구비하고, 이 로그인 처리 시스템(121)에서 종단실체(110)에 대한 1차 로그인 인증을 수행한다. 1차 로그인 인증은 지식기반인증, 소유기반인증, 존재(신체)기반인증 등의 모든 단일요소인증(Single Factor Authentication) 형태를 포함한다.
푸시(PUSH)서버(130)는 종단실체(110)의 이동통신단말기(112)의 제조업체에서 제공하는 서비스이다. 이동통신단말기(112)는 임의의 어플리케이션에 대해 푸시서비스를 제공받고자 할 경우, 먼저 푸시서버(130)로부터 해당 어플리케이션에 대응하는 장치토큰을 발급받는다. 그러면, 푸시서버(130)는 이동통신단말기(112)에 푸시메시지를 전송하여 이동통신단말기(112)를 깨우고(wakeup), 해당 장치토큰에 대응되는 어플리케이션(이 발명에서는 보안인증모듈)을 활성화시키는 역할을 수행한다. 푸시서버(130)의 예로서, iOS계열은 애플에서 제공하는 APNs(Apple Push Notification Service)를 푸시서버로 사용하고, 안드로이드 계열은 구글에서 제공하는 C2DM(Cloud To Device Messaging)을 푸시서버로 사용한다.
2차 인증 시스템(140)은 1차 로그인 인증된 종단실체(110)에 대해 온라인 서비스 시스템(120)으로부터 2차 인증이 요청되면, 온라인 서비스 시스템(120)을 통해 컴퓨터장치(111)의 위치정보를 입력받고, 푸시서버(130)를 통해 이동통신단말기(112)에 푸시메시지를 전송한 후 이동통신단말기(112)와 통신하여 이동통신단말기(112)의 위치정보를 입력받는다. 그리고, 종단실체(110)의 컴퓨터장치(111)의 위치와 이동통신단말기(112)의 위치가 허용 가능한 범위 내이면 이동통신단말기(112)에게 일회용 인증키를 발급하고, 종단실체(110)의 컴퓨터장치(111)를 통해 일회용 인증키를 입력받는다. 2차 인증 시스템(140)는 컴퓨터장치(111)와 온라인 서비스 시스템(120)을 통해 입력되는 일회용 인증키와 이동통신단말기(112)에 발급한 일회용 인증키가 동일한지를 비교함으로써 검증하고, 그 검증결과를 온라인 서비스 시스템(120)에게 통보한다.
2차 인증 시스템(140)은 1차 로그인 완료된 종단실체(110)의 컴퓨터장치(111)의 위치와 미리 등록된 이동통신단말기(112)의 위치를 검증하고, 일회용 인증키를 생성 및 발급한 후 검증하는 일회용 인증 처리부를 포함한다. 이 일회용 인증 처리부는 1차 로그인 인증된 컴퓨터장치의 위치정보와 1차 로그인 정보와 매칭되어 등록된 이동통신단말기의 위치정보를 획득하여 검증하는 위치검증부와, 일회용인증키를 생성하는 인증키생성부와, 컴퓨터장치의 위치와 이동통신단말기의 위치가 허용 가능한 범위 내에 존재할 경우 이동통신단말기에게 상기 일회용인증키를 발급하는 인증키발급부와, 1차 로그인 인증된 컴퓨터장치에 입력되는 일회용인증키를 입력받아 상기 발급한 일회용인증키와 상기 입력된 일회용인증키를 비교하는 인증키검증부를 포함한다.
다음, 상술한 바와 같이 구성된 도 1의 위치정보 기반 인증 시스템의 동작을 설명한다.
먼저, 보안인증모듈이 설치된 이동통신단말기가 2차 인증에 필요한 종단실체 정보(예컨대, 온라인 서비스 시스템에 접속하기 위한 1차 로그인 정보와 1차 로그인 정보에 매칭되어 등록된 이동통신단말기의 시스템 정보 등)를 2차 인증 시스템에게 전송하고, 2차 인증 시스템(140)은 2차 인증에 필요한 종단실체 정보를 수집한다. 다음, 2차 인증 시스템(140)은 수집된 종단실체 정보를 확인하고, 이동통신단말기(112) 자체에 대해 실명인증 및 본인인증을 수행하며, 그 결과(인증 성공/실패)를 이동통신단말기(112)에게 전송하고, 인증 성공한 이동통신단말기(112)로부터 장치토큰을 입력받아 등록한다.
이러한 환경에서, 임의의 컴퓨터장치(111)가 온라인 서비스 시스템(120)에 접근하면, 온라인 서비스 시스템(120)은 이 컴퓨터장치(111)에 대해 1차 로그인 인증을 수행한다. 이때, 컴퓨터장치(111)는 인증에 필요한 종단실체 정보와 컴퓨터장치(111)의 위치정보수집부에서 수집된 컴퓨터장치(111)의 위치정보를 온라인 서비스 시스템(120)에게 전송한다. 1차 로그인 인증에 성공하면, 온라인 서비스 시스템(120)은 종단실체 정보와 컴퓨터장치(111)의 위치정보를 2차 인증 시스템(140)에게 전달하며 2차 인증을 요청한다.
도 2는 도 1에 도시된 위치정보 기반 인증 시스템에서, 온라인 서비스 시스템으로부터 2차 인증을 요청받은 2차 인증 시스템의 동작을 도시한 동작 흐름도이다.
2차 인증 시스템(140)은 온라인 서비스 시스템(121)으로부터 종단실체 정보(예컨대, 사용자 아이디를 포함)와 1차 로그인 인증된 컴퓨터장치의 위치정보가 입력되면서 2차 인증이 요청되면(S201), 수신된 종단실체 정보에 대응하여 이동통신단말기가 등록되어 있는지를 확인한다(S202). 이동통신단말기가 등록되어 있으면(S203), 해당 이동통신단말기의 장치토큰을 이용하여 해당 이동통신단말기의 위치정보 수집을 요청하는데, 해당 이동통신단말기의 장치토큰과 이동통신단말기의 위치정보를 요청하는 메시지를 푸시서버에게 전송한다(S204).
푸시서버(130)는 2차 인증 시스템(140)으로부터 전달받은 장치토큰으로부터 메시지를 전달할 이동통신단말기(112)를 파악하고, 해당 이동통신단말기(112)에 푸시메시지(이동통신단말기의 위치정보를 2차 인증 시스템에게 전달하라는 명령 포함)를 전달하여 이동통신단말기(112)에 내장된 보안인증모듈을 활성화시킨다. 그러면, 그 활성화된 보안인증모듈은 이동통신단말기(112)의 위치정보수집부를 통해 이동통신단말기의 위치정보를 수집하여 2차 인증 시스템(140)에게 전송한다. 이로써, 2차 인증 시스템(140)은 해당 이동통신단말기(112)의 위치정보를 수집할 수 있다(S205).
2차 인증 시스템(140)은 수집된 2개의 위치정보, 즉, 온라인 서비스 시스템(120)을 통해 수집된 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)로부터 수집된 이동통신단말기(112)의 위치정보를 비교한다(S206). 두 위치정보가 허용가능한 범위 내에 존재하면, 2차 인증 시스템(140)은 일회용 인증키를 생성하고(S207), 생성된 일회용 인증키를 이동통신단말기(112)에게 발급한다(S208). 여기서, 두 위치정보를 비교함에 있어서, 컴퓨터장치(111)의 위치정보수집부와 이동통신단말기(112)의 위치정보수집부가 서로 다른 방식으로 위치를 수집할 수도 있기 때문에 정확하게 일치하지 않을 확률이 높다. 따라서, 허용 가능한 범위 내에 존재하는 지를 비교하며, 그 허용 가능한 범위는 종단실체 또는 온라인 서비스 시스템의 요구, 2차 인증 시스템의 운영 정책에 따라 탄력적으로 설정될 수 있다.
일회용 인증키는 통신망(100)을 통해 이동통신단말기(112)에게 전송되고, 이를 수신한 종단실체는 이동통신단말기(112)로 수신된 일회용 인증키를 1차 로그인 인증된 컴퓨터장치(111)에 입력한다.
컴퓨터장치(111)에 입력된 일회용 인증키는 온라인 서비스 시스템(120)을 경유하여 2차 인증 시스템(140)에 입력된다(S209). 2차 인증 시스템(140)은 단계 S208에서 발급한 일회용 인증키와 단계 S209에서 입력된 일회용 인증키를 비교하여(S210), 1차 로그인 인증된 컴퓨터장치에 대한 2차 인증을 수행한다. 즉, 발급한 일회용 인증키와 입력된 일회용 인증키가 동일하면(S210), 2차 인증을 승인 처리하고 해당 종단실체 위치정보를 저장하며(S211), 온라인 서비스 시스템(120)에게 그 결과를 전송한다(S212). 그러나, 발급한 일회용 인증키와 입력된 일회용 인증키가 동일하지 않으면(S210), 인증 실패 처리를 하고(S214), 그 결과를 온라인 서비스 시스템(120)에 통보한다(S212).
한편, 단계 S203에서 종단실체 정보에 대응하는 이동통신단말기가 등록되어 있지 않으면 미등록 이동통신단말로 처리하고(S213), 미등록 이동통신단말임을 온라인 서비스 시스템에 통보한다(S212). 또한, 단계 S206에서 종단실체 컴퓨터장치의 위치와 종단실체 이동통신단말기의 위치가 허용가능한 범위내에 존재하지 않으면 인증 실패 처리하고(S214) 온라인 서비스 시스템에게 그 결과를 통보한다(S212).
이 발명은 도 1에 도시된 바와 같은 위치기반 인증 시스템에서, 2차 인증 시스템(140)과 통신하여 온라인 서비스 시스템(120)에 접근하는 종단실체에 대한 2차 인증 과정을 실시간 모니터링하여 다양한 해킹 위협을 감시 및 탐지하는 관제 시스템을 추가하여 구성한다. 이 관제 시스템은 2차 인증 과정에 대한 로그를 수집하고 분석하여 보안 위협을 탐지하고, 탐지된 보안 위협의 내역 및 근원지를 추적하는 기능을 수행한다.
도 3은 이 발명에 따른 위치기반 인증 관제 시스템(300)을 도시한 구성 블록도이다.
이 발명에서 종단실체(110)의 컴퓨터장치(111)는 정상 사용자의 로그인 정보(아이디와 비밀번호) 등으로 1차 로그인 인증에 성공한 컴퓨터장치를 의미하는 바, 이는 정상 사용자의 컴퓨터장치일 수도 있고, 해커의 컴퓨터장치일 수도 있다. 이 발명에서 종단실체(110)의 이동통신단말기(112)는 정상 사용자의 이동통신단말기로서, 2차 인증 시스템(140)에 정상 사용자의 로그인 정보와 함께 미리 등록된 이동통신단말기이다. 이 종단실체(110)의 이동통신단말기(112)는 정상 사용자가 소지한 것으로 가정한다. 컴퓨터장치(111)와 이동통신단말기(112)에는 각각 이 발명에 따른 2차 인증을 수행하기 위한 보안인증모듈이 설치되어 내장된다.
이 발명에 따른 관제 시스템(300)은 종단실체(110)와 푸시서버(130)와 2차 인증 시스템(140)과의 데이터 송수신을 위한 송수신처리부(310)와, 송수신되는 데이터를 암호화 또는 복호화하는 암복호화 처리부(320)와, 2차 인증을 요청한 임의의 종단실체에 대해 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)의 위치정보와 일회용인증키의 생성/발급/검증에 관한 정보를 수집하는 정보수집부(330)와, 상기 정보수집부(330)에서 수집된 위치정보들을 기반으로 해킹 위협을 감지하고 감지된 위협에 대응하여 조치하는 관제처리부(350)와, 상기 관제처리부(350)에서 수집된 정보들과 수행되는 동작들을 로그로 수집하는 로그수집부(360)와, 상기 관제처리부(350)에서 감지된 보안 위협의 레벨에 따라 온라인 서비스 시스템(120)과 이동통신단말기(112) 중 적어도 하나에게 메시지를 발송하는 위협전파부(340)를 포함한다.
이 발명의 관제 시스템(300)과 2차 인증 시스템(140)은 동일한 시스템으로 구현될 수도 있는 바, 관제 시스템(300)은 2차 인증 시스템(140)을 통하거나 직접 온라인 서비스 시스템(120)과 통신할 수 있다.
송수신처리부(310)는 유선통신망을 통해 온라인 서비스 시스템(120), 푸시서버(130) 및 2차 인증 시스템(140)과 통신하는 유선처리부(311)와, 무선통신망을 통해 이동통신단말기(112)와 통신하는 무선처리부(312)를 포함한다.
정보수집부(330)는 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)의 위치정보를 수집하는 위치정보수집부(331)와, 종단실체(110)와 2차 인증 시스템(140) 사이의 통신을 통한 일회용인증키 발급요청, 일회용인증키 생성, 일회용인증키 전달(발급), 일회용인증키 비교(검증) 결과 등과 같이 일회용 인증키가 생성/발급/검증되는 과정에서의 정보를 수집하는 일회용인증키정보수집부(332)를 포함한다. 이러한 일회용인증키에 관한 정보들은 온라인 서비스 시스템(120)에 부여된 고유코드와 함께 수집된다.
이 발명은 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)의 위치정보를 기반으로 컴퓨터장치(111)를 2차 인증하기 때문에, 컴퓨터장치(111)와 이동통신단말기(112)의 정확한 위치정보를 수집하는 것이 매우 중요하다. 위치정보수집부(331)가 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)의 위치정보를 수집하는 상세한 과정은 후술하기로 한다.
도 2에 설명한 바와 같이 2차 인증 시스템은 자체적으로 컴퓨터장치(111)의 위치정보와 이동통신단말기(112)의 위치정보를 획득하고 두 위치를 비교함으로써 2차 인증 여부를 결정할 수도 있고, 자체적인 위치 비교를 생략하고 이 발명에 따른 관제처리부(350)로부터 위치 비교 결과 메시지를 받아 2차 인증 여부를 결정할 수도 있다.
관제 처리부(350)는 컴퓨터장치(111)의 위치와 이동통신단말기(112)의 위치의 거리 차이에 따라 보안 위협 레벨을 감지하는 위협감지부(351)와, 상기 보안 위협 레벨에 대응하는 조치를 수행하는 위협대응부(352)를 포함한다. 위협감지부(351)는 컴퓨터장치(111)의 위치와 이동통신단말기(112)의 위치의 거리 차이값에 따라 보안 위협 레벨을 3단계(보통, 경고, 차단)로 구분한다. 위치 차이에 따른 보안 위협 레벨 중, 보통 레벨은 두 장치의 위치 차이값이 제1임계값 이내인 경우이고, 경고 레벨은 두 장치의 위치 차이값이 제1임계값을 초과하나 제2임계값 이내인 경우이며, 차단 레벨은 두 장치의 위치 차이값이 제2임계값을 초과하는 경우를 의미한다. 제1임계값과 제2임계값은 관제 관리자에 의해 설정되는 임의의 값으로서, 제2임계값은 제1임계값보다 큰 값이다.
위협감지부(351)는 일회용 인증키의 생성 내지 검증까지의 전반적인 흐름을 감시하여 비정상적인 패턴을 탐지하고 그 결과에 따라 보안 위협 레벨을 3단계(보통, 경고, 차단)로 구분한다. 일회용인증키에 따른 보안 위협 레벨 중, 보통 레벨은 일회용인증키의 생성 내지 검증 과정이 정상적으로 완료된 경우이며, 경고 레벨은 일회용인증키가 재발급 요청되거나 일회용인증키가 미등록되는 등 종단실체 계정에 크게 위협이 되지 않는 비정상적인 경우이며, 차단 레벨은 하나의 종단실체 계정에 대해 다수의 일회용인증키 검증 요청과 같이 종단실체 계정에 직접적인 위협이 발생하는 경우를 의미한다. 일회용인증키의 생성 내지 검증과정에서 발생하는 비정상적인 패턴에 따른 보안 위협 레벨은 관제 관리자에 의해 설정될 수 있다.
위협대응부(352)는 위협감지부(351)에서 감지된 보안 위협 종류(위치 기반 보안 위협 또는 일회용인증키 기반 보안 위협) 및 그 보안 위협 레벨(보통, 경고, 차단)에 따라 로그수집부(360)에 로그를 저장하고, 이동통신단말기(112)에 경고 메시지를 전송하거나 2차 인증 시스템(140)의 2차 인증 절차를 차단한다.
위협전파부(340)는 위협대응부(352)의 조치 내용에 따라 이동통신단말기(112)에 경고 메시지를 전송하거나, 2차 인증 시스템(120)에게 2차 인증 절차 차단 메시지를 전송한다.
보안 위협 종류(위치 기반 보안 위협 또는 일회용인증키 기반 보안 위협) 및 각 보안 위협 종류에 따른 보안 위협 레벨의 개수(이 발명의 실시예에서는 3개의 레벨로 구분하였으나 그 이상의 레벨로 구분하여도 무관함), 각 보안 위협 레벨에 따른 대응 조치 내용은 보안 정책에 따라 달라질 수 있다.
관제처리부(350)는 로그수집부(360)에 수집된 로그를 이용하여 종단실체 계정별로 인증 내역, 인증시의 컴퓨터장치와 이동통신단말기의 지리적 위치, 보안 위협의 내역 및 보안 위협 근원지(보안 위협이 발생할 때의 컴퓨터장치의 지리적 위치) 등을 수집 및 통계하여 보고서로 작성하는 보고서작성부(353)를 더 포함할 수 있다.
다음, 상술한 바와 같이 구성된 이 발명에 따른 위치기반 인증 관제 시스템(300)의 동작을 설명한다.
[컴퓨터장치의 위치정보 획득]
1차 로그인 인증된 컴퓨터장치는 온라인 서비스 시스템(120)을 통해 2차 인증 시스템(140)에게 2차 인증을 요청한다. 이때, 1차 로그인 인증된 컴퓨터장치에 설치된 보안인증모듈은 컴퓨터장치의 위치정보를 획득하여 온라인 서비스 시스템(120)에게 전달한다.
컴퓨터장치의 보안인증모듈이 컴퓨터장치의 위치정보를 획득하는 과정은 도 4에 도시된 바와 같다.
컴퓨터장치의 보안인증모듈은 컴퓨터장치의 외부망 접속타입을 탐지하여, 상기 컴퓨터장치가 무선랜을 통해 외부망(인터넷)에 접속한 경우이면(S41), 접속타입 정보를 무선으로 설정하고(S42), 무선랜 접속을 위한 억세스포인트(AP:Access Point)의 이름, IP주소 또는 MAC주소 등을 기반으로 해당 억세스포인트(AP)의 위치정보를 획득한다(S43). 단계 S43 후 접속타입 정보와 무선 억세스포인트(AP)의 위치정보를 온라인 서비스 시스템에게 전송한다(S44).
단계 S41에서 컴퓨터장치의 외부망 접속타입이 무선랜이 아니라 유선랜이면, 컴퓨터장치의 내부 IP주소가 사설IP인지 혹은 공인IP인지를 검증한다(S45). 단계 S45에서, 컴퓨터장치의 내부 IP주소가 공인IP이면, 접속타입 정보를 공인IP로 설정한다(S46). 단계 S45에서, 컴퓨터장치의 내부 IP주소가 공인IP가 아닌 사설IP이면, 접속타입 정보를 사설IP로 설정한다(S48). 단계 S46 또는 단계 S48 후, 접속타입 정보와 컴퓨터장치의 내부 IP주소 정보를 온라인 서비스 시스템에게 전송한다(S47).
이 발명의 실시예에서, 단계 S44의 무선 억세스포인트(AP)의 위치정보와 단계 S47의 컴퓨터장치의 내부 IP주소 정보는 관제 시스템이 컴퓨터장치의 위치를 추정하기 위한 정보로서, 이를 위치추정정보라고 명명한다.
도 5는 이 발명의 관제 시스템의 위치정보수집부가 위치추정정보로부터 컴퓨터장치의 위치정보를 결정하는 과정을 도시한 동작 흐름도이다.
관제 시스템은 컴퓨터장치의 접속타입 정보와 함께, 컴퓨터장치와 온라인 서비스 시스템으로부터 위치추정정보를 수집한다(S51). 관제 시스템이 수집하는 위치추정정보에는, 컴퓨터장치가 접속된 무선 억세스포인트(AP)의 위치정보와, 컴퓨터장치가 획득한 컴퓨터장치의 내부 IP주소 정보(사설 IP 또는 공인 IP)와, 온라인 서비스 시스템이 획득한 컴퓨터장치의 외부 IP주소 정보가 포함된다.
여기서, 관제 시스템이 위치추정정보로서, 컴퓨터장치가 획득한 컴퓨터장치의 내부 IP주소 정보와, 온라인 서비스 시스템이 획득한 컴퓨터장치의 외부 IP주소 정보를 모두 수집하는 이유를 설명하면, 컴퓨터장치의 내부 IP주소가 사설IP인지 혹은 공인IP인지에 따라, 또한 컴퓨터장치가 프락시서버(proxy server)를 경유하는지 여부에 따라, 컴퓨터장치에서 획득한 내부 IP주소가 컴퓨터장치의 실제 위치를 반영할 수도 있고, 온라인 서비스 시스템에서 획득한 외부 IP주소가 컴퓨터장치의 실제 위치를 반영할 수도 있기 때문이다.
즉, 컴퓨터장치가 공인IP를 사용할 경우에는 컴퓨터장치가 획득한 컴퓨터장치의 내부 IP주소 정보가 컴퓨터장치의 실제 위치를 반영하지만, 컴퓨터장치가 사설IP를 사용하는 경우에는 온라인 서비스 시스템이 획득한 컴퓨터장치의 외부 IP주소 정보가 컴퓨터장치의 실제 위치를 반영한다.
관제 시스템은 컴퓨터장치의 접속타입이 무선인지 혹은 아닌지를 판별하여(S52), 그 접속타입이 무선이면 컴퓨터장치로부터 수신된 컴퓨터장치의 위치추정정보 즉, 컴퓨터장치가 접속된 무선 억세스포인트(AP)의 위치정보를 컴퓨터장치의 위치정보로 결정한다(S53).
단계 S52에서 접속타입이 무선이 아니면 접속타입이 공인IP인지 혹은 아닌지를 판별하여(S54), 접속타입이 공인IP이면 컴퓨터장치로부터 획득된 위치추정정보 즉, 컴퓨터장치가 획득한 컴퓨터장치의 내부 IP주소를 호스트 IP주소로 선택하고(S55), 선택된 호스트 IP주소를 기반으로 컴퓨터장치의 위치를 결정한다(S56).
단계 S54에서 접속타입이 공인IP가 아니면 온라인 서비스 시스템으로부터 획득된 위치추정정보 즉, 온라인 서비스 시스템이 획득한 컴퓨터장치의 외부 IP주소를 호스트 IP주소로 선택하고(S57), 선택된 호스트 IP주소를 기반으로 컴퓨터장치의 위치를 결정한다(S56). 단계 S56에서, 선택된 호스트 IP주소를 기반으로 위치를 결정하는 상세한 과정은 도 6에 도시되어 있다.
도 6은 이 발명에 따른 관제 시스템이 호스트 IP주소 기반 위치정보를 결정하는 과정(S56)을 도시한 동작 흐름도이다.
관제 시스템은 IP주소 대비 위치정보를 저장한 자체 위치데이터베이스(DB)를 보유한다.
관제 시스템은 호스트 IP주소를 자체 위치데이터베이스(DB)에서 검색하여, 호스트 IP주소에 대응하는 위치정보가 자체 위치데이터베이스에 존재하면(S61), 그 검색된 위치정보를 컴퓨터장치의 위치정보로 결정한다(S62).
단계 S61에서 호스트 IP주소에 대응하는 위치정보가 자체 위치데이터베이스로에 저장되어 있지 않으면, 관제 시스템은 외부 위치데이터베이스(예컨대, IP to Location)에 상기 호스트 IP주소를 쿼리한다(S63). 외부 위치데이터베이스로부터 상기 호스트 IP주소의 위치정보가 수신되면(S64), 수신결과를 자체 위치데이터베이스에 추가하고(S65), 수신결과의 위치정보를 컴퓨터장치의 위치정보로 결정한다(S62).
단계 S64에서 외부 위치데이터베이스로부터 호스트 IP주소의 위치정보가 수신되지 않으면, 호스트 IP주소의 일부 상위옥텟(예컨대, 1옥텟 내지 3옥텟)을 추출하여 자체 위치데이터베이스를 검색한다(S66). 호스트 IP주소(예컨대, '129.123.73.8')는 4개의 옥텟(마디)으로 이루어지는데, 지리적으로 근접한 지역에는 유사한 IP주소가 할당된다. 즉, 지리적으로 근접한 지역에 할당된 IP주소들은 상위 3개의 옥텟(1옥텟 내지 3옥텟)이 동일하고, 마지막 4옥텟의 숫자만 약간 차이가 있다. 따라서, 이 발명에서는 호스트 IP주소가 자체 위치데이터베이스 및 외부 위치데이터베이스를 통해 그 위치정보를 획득할 수 없는 경우에는, 호스트 IP주소의 상위옥텟과 동일한 상위옥텟을 가지는 IP주소에 매칭된 위치정보들을 기반으로 상기 호스트 IP주소의 위치를 추정한다.
단계 S66에서의 검색결과 상위옥텟에 매칭되는 위치정보가 검색되면(S67), 해당 상위옥텟 IP들의 위치 분포를 확인하여(S68), 그 위치 분포 정보와 호스트 IP주소의 최하위옥텟 정보를 이용하여 호스트 IP 주소의 위치정보를 추정하고(S69), 추정된 호스트 IP 주소의 위치정보를 자체 위치데이터베이스에 추가하며(S65), 추정된 호스트 IP 주소의 위치정보를 컴퓨터장치의 위치정보로 결정한다(S62). 한편, 단계 S66에서의 검색결과 상위옥텟에 매칭되는 위치정보가 검색되지 않으면(S67), 컴퓨터장치의 위치정보를 결정하는 것이 불가능하다고 판단하고(S70) 오류 메시지 등을 발송하면서 종료한다.
관제 시스템은 도 5와 도 6의 컴퓨터장치의 위치 결정 과정에서 발생하는 보안 위협을 감지하고 로그로 수집하며, 보안 위협 레벨에 따라 필요한 조치를 수행한다.
[이동통신단말기의 위치정보 획득]
2차 인증 요청을 받은 2차 인증 시스템은 도 2에 도시된 바와 같은 절차를 통해 이동통신단말기의 위치정보를 획득하며, 관제 시스템은 2차 인증 시스템을 통해 이동통신단말기의 위치정보를 수집한다.
이동통신단말기의 보안인증모듈은 이동통신단말기 내에 탑재된 GPS(Global Positioning System)수신기를 통해 자신의 위치정보를 획득하거나, 무선랜에 접속하기 위한 억세스포인트(AP)를 기반으로 자신의 위치정보를 획득한다.
이동통신단말기는 획득한 자신의 위치정보를 2차 인증 시스템에게 전달하고, 관제 시스템은 2차 인증 시스템을 통해 이동통신단말기의 위치정보를 수집한다.
[위치 기반 보안 위협 레벨 설정]
도 7은 이 발명에 따른 관제 시스템의 위협감지부가 위치 기반 보안 위협 레벨을 설정하는 과정을 도시한 동작 흐름도이다.
관제 시스템은 상술한 바와 같이 컴퓨터장치의 위치정보 및 시스템정보를 수집하고(S71), 아울러 이동통신단말기의 위치정보 및 시스템정보를 수집한다(S72).
수집된 컴퓨터장치의 시스템정보와 이동통신단말기의 시스템정보를 기반으로 블랙리스트를 검색하여, 상기 컴퓨터장치와 이동통신단말기의 쌍이 블랙리스트에 포함되어 있으면(S73), 보안 위협 레벨을 차단 상태로 설정한다(S74). 이 발명의 블랙리스트는 컴퓨터장치의 시스템정보와 이동통신단말기의 시스템정보가 쌍으로 등록되는 바, 해커가 동일한 컴퓨터장치를 가지고 동일한 정상 사용자의 로그인 정보를 도용할 경우에는 그 위치를 검토하지 않고 바로 차단한다.
상기 컴퓨터장치와 이동통신단말기의 쌍이 블랙리스트에 포함되어 있지 않으면(S73), 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치를 비교하여 두 위치의 차이값을 계산한다(S75).
상기 두 위치의 차이값이 제1임계값 이내이면(S76), 보안 위협 레벨을 보통 상태로 설정한다(S77). 상기 두 위치의 차이값이 제1임계값 초과이고(S76), 제2임계값 이내이면(S78), 보안 위협 레벨을 경고 상태로 설정한다(S79). 두 위치의 차이값이 제2임계값 초과이면(S78), 보안 위협 레벨을 차단 상태로 설정한다(S74).
[보안 위협 레벨에 따른 대응]
도 8은 이 발명에 따른 관제 시스템의 위협대응부가 위치 기반 보안 위협 레벨에 따른 대응 과정을 도시한 동작 흐름도이다.
관제 시스템은 위치 기반 보안 위협 레벨이 보통 상태이면(S81), 인증 내역에 대한 로그를 수집한(S87) 후 종료한다.
관제 시스템은 위치 기반 보안 위협 레벨이 보통 상태가 아니면(S81) 경고 상태인지를 판별하고(S82), 경고 상태가 아니라 차단 상태이면(S83), 2차 인증 시스템에 인증 차단을 요청하고(S84), 컴퓨터장치의 시스템정보와 이동통신단말기의 시스템정보 쌍을 블랙리스트에 등록한다(S85). 그리고, 이동통신단말기에게 차단 내역을 전달하고(S86), 그 과정에 대한 로그를 수집한(S87) 후 종료한다.
관제 시스템은 위치 기반 보안 위협 레벨이 경고 상태이면(S82), 2차 인증 시스템에게 인증 절차 중단을 요청하고(S88), 이동통신단말기에게 보안 위협 경고메시지를 전송하며, 인증 절차를 계속하여 진행할 지 여부를 질의한다(S89).
이동통신단말기로부터 인증 절차 계속 진행이 요청되면(S90), 2차 인증 시스템에게 인증 절차 계속 진행을 요청하고(S91), 그 과정에 대한 로그를 수집한(S87) 후 종료한다. 단계 S90에서 이동통신단말기로부터 인증절차 진행이 요청되지 않으면 단계 S84 내지 단계 S87을 진행하여, 2차 인증 시스템에게 인증 차단을 요청하고, 컴퓨터장치와 이동통신단말기의 쌍을 블랙리스트에 등록하며, 이동통신단말기에게 차단 내역을 전달하고 그 과정에 대한 로그를 수집한 후 종료한다.
이상과 같이 2차 인증이 인증 과정 도중 발생한 보안 위협에 의해 차단되면, 위협 근원지(컴퓨터장치)에 대한 역추적을 수행할 수도 있다. 이러한 근원지 역추적은 종래의 호스트 기반 및 네트워크 기반 역추적 기술과, 수집된 컴퓨터장치의 위치정보를 이용하여 위치기반서비스(LBS; Location Based Service) 역추적 기술을 활용하여 수행될 수 있다. 역추적 결과를 이동통신단말기에게 통지한다.
110 : 종단실체 111 : 컴퓨터장치
112 : 이동통신단말기 120 : 온라인 서비스 시스템
130 : 푸시서버 140 : 2차 인증 시스템
300 : 관제 시스템 310 : 송수신처리부
320 : 암복호화처리부 330 : 정보수집부
340 : 위협전파부 350 : 관제처리부
360 : 로그수집부

Claims (27)

  1. 2차 인증 시스템이 1차 로그인 정보로 온라인 서비스 시스템에 1차 로그인 인증된 컴퓨터장치의 위치와, 상기 1차 로그인 정보와 매칭되어 기저장된 이동통신단말기의 위치를 기반으로 상기 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 시스템에 있어서,
    상기 컴퓨터장치의 위치정보와 상기 이동통신단말기의 위치정보를 수집하는 정보수집부와;
    상기 정보수집부에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 차이값에 따라 위치 기반 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 관제처리부와;
    상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와;
    상기 관제처리부의 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한 것을 특징으로 하는 위치정보 기반 인증 관제 시스템.
  2. 제 1 항에 있어서, 상기 정보수집부는 상기 컴퓨터장치의 위치정보와 이동통신단말기의 위치정보를 수집하는 위치정보수집부와,
    상기 컴퓨터장치와 상기 이동통신단말기에서 일회용인증키가 생성되고 발급되고 검증되는 과정에서의 정보를 수집하는 일회용인증키정보수집부를 포함한 것을 특징으로 하는 위치정보 기반 인증 관제 시스템.
  3. 제 2 항에 있어서, 상기 관제 처리부는 상기 위치정보수집부에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 거리 차이값에 따라 상기 위치 기반 보안 위협 레벨을 다수의 단계로 구분하는 위협감지부와, 상기 위협감지부에서 감지된 보안 위협 종류 및 보안 위협 레벨에 따라 상기 로그수집부에 로그를 저장하고 상기 이동통신단말기에 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 위협대응부를 포함한 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  4. 제 3 항에 있어서, 상기 위협감지부는 상기 거리 차이값이 제1임계값 이내이면 상기 위치 기반 보안 위협 레벨을 보통 상태로 설정하고, 상기 거리 차이값이 제1임계값 초과 및 제2임계값 이내이면 상기 위치 기반 보안 위협 레벨을 경고 상태로 설정하며, 상기 거리 차이값이 제2임계값 초과이면 상기 위치 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  5. 제 3 항에 있어서, 상기 위협감지부는 상기 컴퓨터장치와 상기 이동통신단말기 쌍이 블랙리스트에 존재하면 상기 위치 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  6. 제 4 항에 있어서, 상기 위협대응부는 상기 위치 기반 보안 위협 레벨이 경고 상태이면 상기 2차 인증 시스템에게 인증 절차 중단을 요청하고, 상기 이동통신단말기에게 보안 위협 경고를 전달하면서 인증 절차에 대한 계속 진행 여부를 질의한 후 상기 인증 절차가 계속 수행되도록 하거나 차단되도록 하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  7. 제 4 항에 있어서, 상기 위협대응부는 상기 위치 기반 보안 위협 레벨이 차단 상태이면 상기 2차 인증 시스템에게 인증 절차 차단을 요청하고, 상기 컴퓨터장치와 이동통신단말기 쌍을 블랙리스트에 등록하고, 상기 이동통신단말기에게 인증 차단 내역을 전달하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  8. 제 3 항에 있어서, 상기 위협감지부는 일회용인증키정보수집부에서 수집된 상기 일회용인증키가 생성되고 발급되고 검증되는 과정에서의 정보를 이용하여 비정상적인 패턴을 탐지하고 상기 탐지된 비정상적인 패턴의 종류에 따라 일회용인증키 기반 보안 위협 레벨을 다수의 단계로 구분하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  9. 제 1 항에 있어서, 상기 관제처리부는 상기 로그수집부에 수집된 로그를 이용하여 인증 내역 보고서와 보안 위협 보고서를 생성하는 보고서작성부를 포함한 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  10. 제 2 항에 있어서, 상기 위치정보수집부는 상기 컴퓨터장치로부터 상기 컴퓨터장치가 접속된 억세스포인트의 위치정보를 수집하고 상기 억세스포인트의 위치정보를 상기 컴퓨터장치의 위치정보로 결정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  11. 제 2 항에 있어서, 상기 위치정보수집부는 상기 컴퓨터장치로부터 상기 컴퓨터장치의 공인 IP주소를 수집하고, 상기 컴퓨터장치의 공인IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  12. 제 2 항에 있어서, 상기 위치정보수집부는 상기 온라인 서비스 시스템으로부터 상기 컴퓨터장치의 외부 IP주소를 수집하고, 상기 컴퓨터장치의 외부 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 시스템.
  13. 관제시스템이, 2차 인증 시스템이 1차 로그인 정보로 1차 로그인 인증된 컴퓨터장치의 위치와, 상기 1차 로그인 정보와 매칭되어 기저장된 이동통신단말기의 위치를 기반으로 상기 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 방법에 있어서,
    상기 관제시스템이 상기 컴퓨터장치의 위치정보와 상기 이동통신단말기의 위치정보를 수집하는 제1단계와;
    상기 관제시스템이 상기 제1단계에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 차이값에 따라 위치 기반 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응 조치하는 제2단계와;
    상기 관제시스템이 상기 제1단계에서 수집된 정보들과 상기 제2단계에서 수행되는 동작들을 로그로 수집하는 제3단계와;
    상기 관제시스템이 상기 제2단계의 보안 위협 레벨에 따른 대응 조치에 따라 상기 2차 인증 시스템과 상기 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 제4단계를 포함한 것을 특징으로 하는 위치정보 기반 인증 관제 방법.
  14. 제 13 항에 있어서, 상기 제1단계는 상기 컴퓨터장치의 위치정보와 이동통신단말기의 위치정보 및 상기 컴퓨터장치와 이동통신단말기에서 일회용인증키가 생성되고 발급되고 검증되는 과정에서의 정보를 수집하는 것을 특징으로 하는 위치정보 기반 인증 관제 방법.
  15. 제 14 항에 있어서, 상기 제2단계는, 상기 관제시스템이 상기 제1단계에서 수집된 상기 컴퓨터장치의 위치와 상기 이동통신단말기의 위치의 거리 차이값에 따라 상기 위치 기반 보안 위협 레벨을 다수의 단계로 구분하는 제21단계와, 상기 제21단계에서 감지된 보안 위협 종류 및 보안 위협 레벨에 따라 상기 로그가 저장되도록 하고 상기 이동통신단말기에 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 제22단계를 포함한 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  16. 제 15 항에 있어서, 상기 제21단계는, 상기 관제시스템이 상기 거리 차이값이 제1임계값 이내이면 상기 위치 기반 보안 위협 레벨을 보통 상태로 설정하고, 상기 거리 차이값이 제1임계값 초과 및 제2임계값 이내이면 상기 위치 기반 보안 위협 레벨을 경고 상태로 설정하며, 상기 거리 차이값이 제2임계값 초과이면 상기 위치 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  17. 제 15 항에 있어서, 상기 제21단계는, 상기 관제시스템이 상기 컴퓨터장치와 상기 이동통신단말기 쌍이 블랙리스트에 존재하면 상기 위치 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  18. 제 16 항에 있어서, 상기 제22단계는, 상기 관제시스템이 상기 위치 기반 보안 위협 레벨이 경고 상태이면 상기 2차 인증 시스템에게 인증 절차 중단을 요청하고, 상기 이동통신단말기에게 보안 위협 경고를 전달하면서 인증 절차에 대한 계속 진행 여부를 질의한 후 상기 인증 절차가 계속 수행되도록 하거나 차단되도록 하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  19. 제 16 항에 있어서, 상기 제22단계는, 상기 관제시스템이 상기 위치 기반 보안 위협 레벨이 차단 상태이면 상기 2차 인증 시스템에게 인증 절차 차단을 요청하고, 상기 컴퓨터장치와 이동통신단말기 쌍을 블랙리스트에 등록하고, 상기 이동통신단말기에게 인증 차단 내역을 전달하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  20. 제 15 항에 있어서, 상기 제21단계는, 상기 관제시스템이 상기 제1단계에서 수집된 상기 일회용인증키가 생성되고 발급되고 검증되는 과정에서의 정보를 이용하여 비정상적인 패턴을 탐지하고 상기 탐지된 비정상적인 패턴의 종류에 따라 일회용인증키 기반 보안 위협 레벨을 다수의 단계로 구분하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  21. 제 13 항에 있어서, 상기 관제시스템이 상기 제3단계에서 수집된 로그를 이용하여 인증 내역 보고서와 보안 위협 보고서를 생성하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  22. 제 13 항에 있어서, 상기 제1단계는 상기 컴퓨터장치로부터 상기 컴퓨터장치가 접속된 억세스포인트의 위치정보를 수집하고 상기 억세스포인트의 위치정보를 상기 컴퓨터장치의 위치정보로 결정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  23. 제 13 항에 있어서, 상기 제1단계는 상기 컴퓨터장치로부터 상기 컴퓨터장치의 공인 IP주소를 수집하고, 상기 컴퓨터장치의 공인 IP주소를 호스트 IP주소로 설정하며, 상기 호스트 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  24. 제 13 항에 있어서, 상기 제1단계는 온라인 서비스 시스템으로부터 상기 컴퓨터장치의 외부 IP주소를 수집하고, 상기 컴퓨터장치의 외부 IP주소를 호스트 IP주소로 설정하며, 상기 호스트 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  25. 제 23 항 또는 제 24 항에 있어서, 상기 호스트 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것은,
    상기 관제시스템이 상기 호스트 IP주소를 자체 위치데이터베이스에서 검색하여, 상기 호스트 IP주소에 대응하는 위치정보가 상기 자체 위치데이터베이스로부터 검색되면, 그 검색된 위치정보를 상기 컴퓨터장치의 위치정보로 결정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  26. 제 23 항 또는 제 24 항에 있어서, 상기 호스트 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것은,
    상기 관제시스템이 상기 호스트 IP주소를 외부 위치데이터베이스에 쿼리하여 상기 외부 위치데이터베이스로부터 상기 호스트 IP주소의 위치정보가 수신되면, 상기 수신 결과의 위치정보를 상기 컴퓨터장치의 위치정보로 결정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.
  27. 제 23 항 또는 제 24 항에 있어서, 상기 호스트 IP주소를 기반으로 상기 컴퓨터장치의 위치정보를 추정하는 것은,
    상기 관제시스템이 상기 호스트 IP 주소의 일부 상위옥텟을 추출하여 자체 데이터베이스를 검색하고, 상기 검색 결과 상기 상위옥텟에 매칭되는 위치정보가 검색되면 상기 검색된 위치 분포를 확인하고, 상기 검색된 위치 분포와 상기 호스트 IP 주소의 하위옥텟 정보를 이용하여 상기 호스트 IP 주소의 위치정보를 추정하고, 상기 추정된 호스트 IP 주소의 위치정보를 상기 컴퓨터장치의 위치정보로 결정하는 것을 특징으로 하는 위치 정보 기반 인증 관제 방법.

KR1020110103211A 2011-10-10 2011-10-10 위치정보 기반 인증 관제 시스템 및 방법 KR101268298B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110103211A KR101268298B1 (ko) 2011-10-10 2011-10-10 위치정보 기반 인증 관제 시스템 및 방법
PCT/KR2012/007248 WO2013055037A1 (ko) 2011-10-10 2012-09-10 위치정보 기반 인증 관제 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110103211A KR101268298B1 (ko) 2011-10-10 2011-10-10 위치정보 기반 인증 관제 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130038710A KR20130038710A (ko) 2013-04-18
KR101268298B1 true KR101268298B1 (ko) 2013-05-28

Family

ID=48082055

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110103211A KR101268298B1 (ko) 2011-10-10 2011-10-10 위치정보 기반 인증 관제 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR101268298B1 (ko)
WO (1) WO2013055037A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016018217A1 (en) * 2014-07-28 2016-02-04 Hewlett-Packard Development Company, Lp Location-locked data
KR20160083744A (ko) * 2015-01-02 2016-07-12 에스케이플래닛 주식회사 사용자키 식별 시스템, 그리고 이에 적용되는 장치 및 그 장치의 동작 방법
KR101585985B1 (ko) 2015-01-19 2016-01-15 경희대학교 산학협력단 개인정보 비식별화 전송장치 및 전송방법
CN112448939B (zh) * 2019-09-05 2023-08-22 阿里巴巴集团控股有限公司 一种安全防护方法、装置及存储介质
KR102313284B1 (ko) * 2020-05-07 2021-10-14 김도연 발신번호 변경 시스템 및 발신번호 변경 서비스 제공 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007094548A (ja) 2005-09-27 2007-04-12 Softbank Telecom Corp アクセス制御システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723842B1 (ko) * 2005-10-21 2007-05-31 한국전자통신연구원 사용자 생성 위치기반 서비스 시스템 및 그 제공 방법
KR20070076343A (ko) * 2006-01-18 2007-07-24 학교법인 대전기독학원 한남대학교 그리드 환경에서 인증서버 및 보안 시스템의 로그 분석 및감사 방법
KR100906389B1 (ko) * 2007-05-10 2009-07-07 에스케이 텔레콤주식회사 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007094548A (ja) 2005-09-27 2007-04-12 Softbank Telecom Corp アクセス制御システム

Also Published As

Publication number Publication date
KR20130038710A (ko) 2013-04-18
WO2013055037A1 (ko) 2013-04-18

Similar Documents

Publication Publication Date Title
CN110324287B (zh) 接入认证方法、装置及服务器
CN112970236B (zh) 协作风险感知认证
US9942220B2 (en) Preventing unauthorized account access using compromised login credentials
KR100814561B1 (ko) 이동통신 단말기를 이용한 일회용 패스워드 방식의 사용자인증 방법
US8819803B1 (en) Validating association of client devices with authenticated clients
CN105939326B (zh) 处理报文的方法及装置
KR101569753B1 (ko) 보안 로그인 시스템, 방법 및 장치
CN107948204A (zh) 一键登录方法及系统、相关设备以及计算机可读存储介质
Preuveneers et al. SmartAuth: dynamic context fingerprinting for continuous user authentication
KR101028882B1 (ko) 휴대단말기를 이용한 otp 방식의 사용자인증 시스템 및 방법
KR101268298B1 (ko) 위치정보 기반 인증 관제 시스템 및 방법
US9332432B2 (en) Methods and system for device authentication
CN114143343B (zh) 雾计算环境中远程访问控制系统、控制方法、终端及介质
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
KR20170013231A (ko) 데이터 통신
AlQahtani et al. Ts2fa: Trilateration system two factor authentication
US20240089260A1 (en) System and method for graduated deny list
KR101197213B1 (ko) 위치 정보 기반 인증시스템 및 방법
KR101212509B1 (ko) 서비스 제어시스템 및 그 방법
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR101334771B1 (ko) 고유식별자 기반 인증 관제 시스템 및 방법
US9369438B2 (en) Supervised data transfer
CN115002775A (zh) 设备入网方法、装置、电子设备以及存储介质
JP6322590B2 (ja) 端末検知システムおよび方法
JP2018142266A (ja) 不正アクセス検出装置、プログラム及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160516

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180515

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 7