KR101275708B1 - Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법 - Google Patents

Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법 Download PDF

Info

Publication number
KR101275708B1
KR101275708B1 KR1020110138344A KR20110138344A KR101275708B1 KR 101275708 B1 KR101275708 B1 KR 101275708B1 KR 1020110138344 A KR1020110138344 A KR 1020110138344A KR 20110138344 A KR20110138344 A KR 20110138344A KR 101275708 B1 KR101275708 B1 KR 101275708B1
Authority
KR
South Korea
Prior art keywords
blocking
url
message
server
packet
Prior art date
Application number
KR1020110138344A
Other languages
English (en)
Inventor
백승태
김태완
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020110138344A priority Critical patent/KR101275708B1/ko
Application granted granted Critical
Publication of KR101275708B1 publication Critical patent/KR101275708B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 정보유출방지 시스템 및 HTTPS 접속 선별 차단 방법에 대하여 개시한다. 본 발명의 일면에 따른 정보유출방지 시스템은, 관리서버로부터 다운로드 받은 차단대상 URL 목록을 저장하는 차단대상 DB; 및 미러링(Mirroring) 방식으로 인터넷 패킷을 전달받아, 상기 인터넷 패킷 중에서 SSL 핸드쉐이킹(Secure Socket Layer Handshaking) 과정의 메시지로부터 호스트 URL(Uniform Resource Locator)을 추출하고, 추출된 상기 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당되는지를 확인하며, 상기 차단대상 URL 목록 중 적어도 하나에 해당하면 해당 세션을 차단하는 패킷 처리부를 포함하는 것을 특징으로 한다.

Description

SSL/TLS 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 HTTPS 접속 선별 차단 방법{Network-based Data Loss Prevention System using Information of SSL/TLS Handshaking Packet and HTTPS Access Selection Block Method thereof}
본 발명은 네트워크 기반 정보유출방지 기술에 관한 것으로서, 더 구체적으로는 클라이언트와 서버 간에 송수신 되는 특정 정보를 이용하여 특정 HTTPS 접속을 차단할 수 있는 정보유출방지 시스템 및 HTTPS 접속 선별 차단 방법에 관한 것이다.
최근, 전자상거래, 인터넷뱅킹 및 기타 웹 기반 B2B, B2C 서비스 등의 웹서비스에서 전송 계층의 통신 암호화 표준 프로토콜인 SSL(Secure Socket Layer)/TLS(Transport Layer Security)를 이용한 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)는 정보의 기밀성 및 무결성을 보장하여 인터넷 서비스의 안전성을 보장하는 기술로 자리매김하였다.
이로 인해, 방화벽은 국제 표준 프로토콜 규약의 SSL/TLS를 위해 할당된 TCP 443번 포트와 웹 표준 프로토콜인 HTTP를 위해 할당된 TCP 80번 포트를 필수적으로 허용하고 있다.
그러나, 허용된 TCP 포트를 사용하여도 기업/기관의 기밀 정보나, 개인 정보 등의 유출 채널로 활용될 수 있는 웹메일, 블로그, 웹 하드나, 기타 웹 기반 데이터/파일 업로드 서비스 등의 웹 기반 데이터 전송 서비스는 적절히 통제 및 감시되어야 할 필요가 있다.
이를 위하여, SSL/TLS 통신의 종단인 클라이언트와 서버 간의 SSL/TLS 통신을 중계하는 SSL/TLS 프록시는 클라이언트에서 서버로 전송되는 암호화된 메시지 및 데이터 내용을 임시로 평문화하여 클라이언트의 전송 내역을 모니터링하고, 통제하고 있다.
하지만, SSL/TLS 프록시가 클라이언트와 서버 간의 SSL/TLS 통신을 중계하기 위해서는 별도의 인증서를 필요로 하고, 클라이언트 단말에도 해당 인증서를 사전에 배포하여 웹 브라우저상에 등록시켜야 한다. 이 경우, 해당 인증서는 공인 인증기관의 인증을 받지 않은 사설 인증서일 수밖에 없어, SSL/TLS 프록시는 웹브라우저의 보안 수준이 높으면 제 기능을 수행할 수 없다. 더욱이, SSL/TLS 프록시는 인터넷 서비스를 위한 네트워크 성능과 가용성에도 영향을 줄 수 있다.
최근에는 방화벽이나 유해사이트 차단 시스템 등이 URL 기반의 사이트 접속 통제가 어렵다는 점을 악용하여 HTTPS 기반의 우회접속 서비스들이 우후죽순 생겨나고 있다.
유해사이트 차단 시스템은 전문적으로 차단 대상 URL, IP 및 포트 목록을 수집/갱신/배포하므로, 수집된 우회접속 서비스의 사이트 IP로 TCP 443번 포트의 접속을 감시하고 차단할 수 있다. 하지만, 종래의 유해사이트 차단 시스템은 SSL/TLS 프로토콜을 사용하지 않는(TCP 443번 포트를 사용하지 않는) 우회접속 서비스의 사이트를 통제하기는 어려웠다.
더욱이, 유해사이트 차단 시스템이 웹 포털 서비스인 구글의 계정 로그인 관리 서비스의 HTTPS 접속(TCP 443번 포트를 사용하는 서비스)을 차단할 경우, 동일 로그인 계정을 통한 개인 검색, 웹메일(Gmail), 캘린더 등의 서비스가 모두 차단되는 문제가 있다. 그렇다고, 구글의 HTTPS를 허용하면, Gmail 서비스를 통해서 기업/기관의 기밀 정보 및 개인 정보가 유출될 소지가 있으며, 암호화되어 송수신되는 해당 내역을 모니터링하거나 통제하는 것도 어려우므로, 정보 보안에 취약해질 수밖에 없다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, SSL 핸드쉐이킹 과정의 "Client Hello" 및 "Certificate" 메시지 내 평문 형태로 제공되는 호스트 URL을 이용하여 정보유출 가능성이 있는 HTTPS 세션을 선별적으로 차단할 수 있는 정보유출방지 시스템 및 HTTPS 접속 선별 차단 방법을 제공하는 것을 그 목적으로 한다.
본 발명의 일면에 따른 정보유출방지 시스템은, 관리서버로부터 다운로드 받은 차단대상 URL 목록을 저장하는 차단대상 DB; 및 미러링(Mirroring) 방식으로 인터넷 패킷을 전달받아, 상기 인터넷 패킷 중에서 SSL 핸드쉐이킹 과정의 메시지로부터 호스트 URL(Uniform Resource Locator)을 추출하고, 추출된 상기 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당되는지를 확인하며, 상기 차단대상 URL 목록 중 적어도 하나에 해당하면 해당 세션을 차단하는 패킷 처리부를 포함하는 것을 특징으로 한다.
본 발명의 다른 면에 따른 패킷 처리기에 의한 HTTPS 접속 선별 차단 방법은, 미러링 방식으로 전달받은 인터넷 패킷 중에서 SSL 핸드쉐이킹 과정의 메시지를 선별하여 상기 메시지로부터 호스트 URL을 추출하는 단계; 추출된 상기 호스트 URL이 기등록된 차단대상 URL 목록 중 적어도 하나에 해당되는지를 확인하는 단계; 및 상기 추출된 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당하면 상기 메시지에 대응하는 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) 접속을 차단하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, SSL/TLS 핸드쉐이킹 과정에서 클라이언트와 서버 간에 송수신 되는 메시지 상의 호스트 URL을 이용하여 일반적인 HTTPS는 모두 허용하면서 중요 정보의 유출 채널이 될 수 있는 특정 HTTPS 접속이나, 비정상적인 HTTPS 접속에 대해서만 선별적으로 차단할 수 있다.
뿐만 아니라, 본 발명은 SSL/TLS 핸드쉐이킹 메시지로부터 암호화되지 않고 평문 형태로 제공되는 호스트 URL을 확인하므로, 모니터링, 적용 및 통제가 용이할 수 있다.
삭제
도 1은 본 발명의 실시예에 따른 HTTPS 데이터 통신 과정을 도시한 도면.
도 2 및 3은 본 발명의 실시예에 따른 "Client Hello" 메시지를 도시한 도면.
도 4 및 5는 본 발명의 실시예에 따른 "Certificate" 메시지를 도시한 도면.
도 6은 본 발명의 실시예에 따른 차단대상 URL 관리 방법을 도시한 흐름도.
도 7a 및 7b는 본 발명의 실시예에 따라 수집된 차단대상 URL의 예.
도 8은 본 발명의 실시예에 따른 NDLP 시스템을 도시한 구성도.
도 9는 본 발명의 실시예에 따른 HTTPS 접속 선별 차단 방법을 도시한 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 본 발명의 구체적 실시예를 설명하기에 앞서, 도 1을 참조하여 본 발명에서 감시되는 SSL/TLS(이하 "SSL"이라고 함)를 이용한 HTTPS 데이터 통신 과정에 대해 간단히 설명한다. 도 1은 본 발명의 실시예에 따른 HTTPS 데이터 통신 과정을 도시한 도면이다.
SSL는 "넷스케이프(Netscape)"사에서 개발한 프로토콜로서, 현재 인터넷 전자상거래 등 금융 거래 정보 및 개인정보 등의 안전한 교환을 위한 사실상의 표준 프로토콜이다. SSL 3.0 버전부터 IETF(Internet Engineering Task Force)에 의해 표준화되어 TLS로 명명되었다. 즉, SSL 3.0과 TLS 1.0은 같은 프로토콜이다. SSL은 TCP/IP 기반의 모든 응용 프로토콜에 이용될 수 있지만, 최근 주로 사용되는 대표 응용 프로토콜은 HTTP(Web)이다.
HTTPS은 종래의 HTTP 프로토콜의 데이터 통신 패킷을 SSL을 이용하여 전송 계층(Transport Layer)에서 암호화하여 송/수신하는 일종의 HTTP 변형 프로토콜이다.
HTTPS는 다음과 같은 SSL의 세 가지 기능에 의하여 데이터 송/수신의 안정성을 보장한다.
□ Site Authentication (사이트 인증)
클라이언트가 접속하려는 웹사이트의 인증서 검증을 통해 해당 웹사이트의 신뢰성을 판단하는 기능이다. 즉, 해당 웹사이트의 인증서가 신뢰할 수 있는 인증기관(Trusted CA)으로부터 발급된 것인지 여부를 확인하는 기능이다.
□ Data Privacy (데이터 기밀성 보장)
다양한 암호화 알고리즘을 사용하여 데이터의 송/수신시에 제3자에 의한 판독 불가를 보장하는 기능이다.
□ Data Integrity (데이터 무결성 보장)
데이터 전송을 위한 패킷 생성시에 MAC(Message Authentication Code) 알고리즘을 이용하여 데이터의 송/수신시에 데이터의 위/변조의 미발생을 보장하는 기능이다.
SSL은 데이터 암호화/복호화 기능을 위해 기본적으로 비대칭키(Asymmetric-Key) 암호화 기법을 사용하는 공개키 암호화 방식을 사용한다.
구체적으로, 웹서버는 공개키(Public Key)가 포함된 웹서버의 인증서(Certificate)를 클라이언트로 전달하고, 클라이언트는 웹서버 인증서의 검증 및 웹서버의 공개키를 추출하고, 데이터 송/수신시의 암호화 키(Key)로 사용할 세션키(Session Key)를 생성한 후 웹서버의 공개키로 암호화하여 웹서버로 전달한다. 웹서버는 클라이언트로부터 전달받은 암호화된 세션키를 자신의 비밀키(Private Key)로 복호화하여 추출함으로써 대칭적 암호화 키 즉, 세션키를 클라이언트와 공유하며, 이후 송/수신할 데이터의 암/복호화에 공유된 세션키를 사용한다. 도 1과 같이, 전술한 일련의 과정은 SSL 핸드쉐이킹(HandShaking; 세션 설정) 과정(⑴, ⑵, ⑶, ⑷)에서 이루어진다. 웹서버와 클라이언트는 SSL 핸드쉐이킹 후 HTTPS 통신한다⑸.
이하, 도 2 내지 5를 참조하여 SSL 핸드쉐이킹 과정의 송수신 메시지에 대해서 살펴본다. 도 2 및 3은 본 발명의 실시예에 따른 "Client Hello" 메시지를 도시한 도면이며, 도 4 및 5는 본 발명의 실시예에 따른 "Certificate" 메시지를 도시한 도면이다.
SSL 핸드쉐이킹 과정에서, 클라이언트로부터 서버로 전송되는 "Client Hello" 메시지 내 "Server_name"이라는 확장 필드에는 접속하고자 하는 서버의 호스트 URL(즉, HTTPS 접속 호스트 URL)정보가 포함된다.
또한, SSL 핸드쉐이킹 과정에서, 서버로부터 클라이언트로 전송되는 "Client Hello" 메시지에 대응하는 "Certificate" 메시지의 "id-at-commonName"라는 세부 파라미터 정보에도 호스트 URL 정보가 포함된다.
도 2를 참조하면, 구글의 통합 계정 로그인 시 "Server_name" 필드에는 "accounts.google.com"이라는 호스트 URL이 포함된다.
그리고, 도 4와 같이, 도 2의 "Client Hello" 메시지에 대응하는 "Certificate" 메시지 내 "id-at-commonName"에도 "Client Hello" 메시지의 "Server_name" 필드의 값과 동일한 호스트 URL인 "accounts.google.com"이 포함된다.
또 다른 예로서, 도 3을 참조하면, 구글의 웹 메일 서비스인 "Gmail" 서비스로의 접속시 "Server_name" 필드에는 "mail. google.com"이라는 호스트 URL이 포함된다.
또한, 도 5와 같이, 도 3의 "Client Hello" 메시지에 대응하는 "Certificate" 메시지 내 "id-at-commonName"에도 "Client Hello"의 "Server_name" 필드의 값과 동일한 호스트 URL인 "mail.google.com"이 포함됨을 알 수 있다.
본 발명은 SSL 핸드쉐이킹 과정의 "Client Hello" 메시지 및 "Certificate" 메시지로부터 접속하고자 하는 웹서버의 호스트 URL 정보를 식별할 수 있다는 점과, 호스트 URL을 평문으로 추출할 수 있다는 점에서 착안 되었으며, 네트워크 패킷 미러링(Mirroring) 방식으로 HTTPS 패킷을 수집하여 탐지 및 차단할 수 있다. 이하, 본 발명의 구체적 실시예에 대하여 설명한다.
우선, 도 6, 도 7a 및 7b를 참조하여 전문가 시스템에 의한 본 발명의 실시예에 따른 차단대상 URL 관리 방법에 대하여 설명하기로 한다.
도 6은 본 발명의 실시예에 따른 차단대상 URL 관리 방법을 도시한 흐름도이고, 도 7a 및 7b는 본 발명의 실시예에 따라 수집된 차단대상 URL의 예다. 이때, 전문가 시스템은 전문가에 의해 조작되며, 패킷 분석 툴(Tool)을 포함하는 PC 등의 시스템일 수 있다.
도 6을 참조하면, 전문가 시스템은 일반적인 패킷 분석 툴이나, 별도의 SSL 핸드쉐이킹 패킷 분석 툴을 이용하여 HTTPS를 정보 유출 채널로 사용하는 웹서비스 이용을 위한 SSL 핸드쉐이킹 과정에서 "Client Hello" 메시지 및 그에 대응하는 서버의 "Certificate" 메시지를 선별한다(S610). 이때, 호스트 URL의 수집 방법 및 도구는 특정 수집 방법 및 도구에 한정되지 않는다.
전문가 시스템은 "Client Hello" 메시지 및 "Certificate" 메시지의 기설정된 필드로부터 호스트 URL을 자동으로 추출하여 수집한다(S620)
전문가 시스템은 추출된 호스트 URL을 확인하여 기설정된 기준에 따라 웹메일, 블로그, 웹 하드나, 기타 웹 기반 데이터/파일 업로드 서비스 등의 웹 기반 서비스를 제공하는 호스트 중에서 정보유출위험이 높은 차단대상 URL(즉, 차단대상 호스트의 URL)을 결정한다(S630).
이때, 전문가 시스템은 패킷 분석 툴에 의해 웹 기반 서비스를 제공하는 호스트 URL을 선별하고, 그 중에서 정보유출이 많은 것으로 확인된 호스트 URL을 수작업으로 선별하여 차단대상 URL을 결정할 수 있다.
전문가 시스템은 차단대상 URL의 수집이 완료되면, 차단대상 URL을 관리서버(도 8의 "20")에 등록한다(S640). 이때, 전문가 시스템은 차단대상 URL을 기존 목록에 없는 신규 추가 호스트 URL 목록과, 기등록된 호스트 URL 중 수정/해지 등으로 더 이상 유효하지 않은 삭제 처리할 호스트 URL 목록으로 구분하여 등록할 수 있다.
또한, 전문가 시스템은 차단대상 URL 목록을 별도의 DB에도 저장하고, 갱신 시점의 날짜를 기준으로 갱신 목록의 버전을 관리할 수 있다.
이후, 네트워크 기반 정보유출방지 시스템(Network-based Data Loss Prevention System, 이하, NDLP 시스템)은 관리자에 의해 설정된 갱신주기(일,주,월 단위)마다 자동으로 관리서버로부터 차단대상 URL 목록을 확인 후 다운로드 받아 기존 목록을 갱신하고, 갱신된 차단대상 URL 목록을 이용하여 정보유출위험이 높은 HTTPS 접속을 선별적으로 차단할 수 있다.
이때, NDLP 시스템은 관리서버로부터 업데이트할 차단대상 URL 목록이 있다고 통보받으면, 차단대상 URL 목록을 다운로드 받아 기준 목록을 새로운 버전의 차단대상 URL로 갱신할 수 있다.
한편, (S610) 및 (S620) 단계에서, 수집된 차단대상 URL은 도 7a와 같이 일반적인 호스트 URL 형태일 수 있으며, 도 7b와 같이 변형된 형태일 수 있다.
도 7b를 참조하면, 전문가 시스템은 "g1.mail.google.com", "g11.mail.google.com", "k1.wim.nate.com", "w1.wim.nate.com" 등과 같이 다중 호스트 도메인을 가지는 호스트의 경우, 특수문자 "*"를 이용하여 호스트 URL을 변형시켜 등록할 수 있다. 이 경우, NDLP 시스템은 왼쪽에서부터 첫 번째 "."(점;dot) 이전의 문자열을 모두 무시하고, 이후의 문자열을 이용하여 수집된 호스트 URL이 차단대상 URL인지 여부를 판단하므로, 다중 호스트 도메인의 모든 호스트 URL을 등록하지 않아도 차단대상으로 관리할 수 있다.
이하, 도 8을 참조하여 본 발명의 실시예에 따른 NDLP 시스템에 대하여 설명한다. 도 8은 본 발명의 실시예에 따른 NDLP 시스템을 도시한 구성도이다.
도 8에 도시된 바와 같이, 본 발명의 실시예에 따른 NDLP 시스템(10)은 패킷 미러링 디바이스(110), 패킷 처리부(120), 차단대상 DB(140) 및 로그 DB(130)를 포함한다. 이때, 미러링 디바이스(110)는 NDLP 시스템(10)과 별개로 존재할 수도 있다.
차단대상 DB(140)는 관리서버(20)로부터 다운로드된 차단대상 URL를 저장한다. 이때, 패킷 처리부(120) 또는 관리서버(20)는 기설정된 갱신주기마다 또는 갱신된 버전의 차단대상 URL 목록이 있음을 확인하면, 관리서버(20)로부터 차단대상 URL 목록을 다운로드 받아 차단대상 DB(140)를 갱신할 수 있다.
미러링 디바이스(110)는 클라이언트에서 서버로 전달되거나, 서버로부터 클라이언트로 전달되는 양방향 HTTPS 패킷을 미러링하여 패킷 처리부(120)에 전달한다.
패킷 처리부(120)는 HTTPS 패킷에서 "Client Hello" 메시지 및 "Certificate" 메시지를 추출하고, "Client Hello" 메시지의 "Server_name" 필드 및 "Certificate" 메시지의 "id-at-commonName" 필드에서 호스트 URL을 추출한다.
패킷 처리부(120)는 추출된 호스트 URL을 차단대상 DB(140) 내 차단대상 URL 목록과 비교하여 추출된 호스트 URL이 차단대상인지 여부를 확인한다.
패킷 처리부(120)는 추출된 호스트 URL이 차단대상 URL이면, 차단 패킷을 "Client Hello" 메시지를 송신한 클라이언트 및 "Certificate" 메시지를 송신한 서버로 전송하여 해당 HTTPS 접속을 위한 세션을 차단한다. 그리고, 로그 DB(130)에 클라이언트 IP 주소, 클라이언트의 포트 번호(=443번), 서버의 IP 주소, 서버의 포트 번호, 호스트 URL 정보나, 로깅(Logging) 시간 등의 로그 정보를 저장한다.
한편, 패킷 처리부(120)는 추출된 호스트 URL이 차단대상 URL이 아니면, 클라이언트 IP 주소, 클라이언트의 포트 번호(=443번), 서버의 IP 주소, 서버의 포트 번호, 호스트 URL 정보나, 로깅(Logging) 시간 등의 로그 정보만을 저장한다.
이하, 도 9를 참조하여 본 발명의 실시예에 따른 NDLP 시스템의 HTTPS 접속 선별 차단 방법에 대하여 설명한다. 도 9는 본 발명의 실시예에 따른 HTTPS 접속 선별 차단 방법을 도시한 흐름도이다.
도 9를 참조하면, NDLP 시스템(10)은 클라이언트와 서버 간의 인터넷 접속을 위한 네트워크 임의 구간에서 패킷 미러링 디바이스(110)를 통해 인터넷 트래픽을 수집한다(S910).
NDLP 시스템(10)은 수집된 인터넷 트래픽 중에서 HTTPS 패킷을 선별한다(S920).
NDLP 시스템(10)은 HTTPS 패킷에서 "Client Hello" 메시지 및 "Certificate" 메시지를 추출한다(S930).
NDLP 시스템(10)은 "Client Hello" 메시지의 경우 "Server_name" 필드에서, "Certificate" 메시지의 경우 "id-at-commonName" 필드 정보에서 호스트 URL을 추출한다(S940).
NDLP 시스템(10)은 추출된 호스트 URL이 차단대상 URL인지 여부를 확인한다(S950).
NDLP 시스템(10)은 차단대상 URL이면, 해당 SSL 세션의 클라이언트와 서버로 차단 패킷을 전송하여 해당 세션을 차단하고(S960), 처리 결과에 대한 로그 정보를 저장한다(S970).
이때, NDLP 시스템(10)은 추출된 호스트 URL이 차단대상 URL이 아니면, 그냥 클라이언트 IP 주소, 클라이언트의 포트 번호, 서버의 IP 주소, 서버의 포트 번호, 호스트 URL 정보나, 로깅(Logging) 시간 등의 로그 정보만을 저장한다.
본 발명은 "Client Hello" 및 "Certificate" 메시지를 이용하여 차단대상 URL에 해당하는지 여부를 중복 확인하여 네트워크 미러링 방식의 단점인 일시적인 패킷 손실에 의한 차단 실패를 줄일 수 있다.
본 발명은 호스트 URL 정보를 이용하여 구글과 같은 통합 계정 로그인을 위한 HTTPS 접속은 허용하되, 정보 유출의 채널이 될 수 있는 구글 웹메일(Gmail) 사용을 위한 HTTPS 접속만을 선별적으로 차단할 수 있다.
이와 같이, 본 발명은 SSL/TLS 핸드쉐이킹 과정에서 클라이언트와 서버 간에 송수신 되는 메시지 상의 호스트 URL을 이용하여 일반적인 HTTPS는 모두 허용하면서 중요 정보의 유출 채널이 될 수 있는 특정 HTTPS 접속이나, 비정상적인 HTTPS 접속에 대해서만 선별적으로 차단할 수 있다.
뿐만 아니라, 본 발명은 SSL/TLS 핸드쉐이킹 메시지로부터 암호화되지 않고 평문 형태로 제공되는 호스트 URL을 확인하므로, 모니터링, 적용 및 통제가 용이할 수 있다.
삭제
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.

Claims (10)

  1. 관리서버로부터 다운로드 받은 차단대상 URL 목록을 저장하는 차단대상 DB; 및
    미러링(Mirroring) 방식으로 인터넷 패킷을 전달받아, 상기 인터넷 패킷 중에서 SSL 핸드쉐이킹(Secure Socket Layer Handshaking) 과정의 기설정된 메시지로부터 호스트 URL(Uniform Resource Locator)을 추출하고, 추출된 상기 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당되는지를 확인하며, 상기 차단대상 URL 목록 중 적어도 하나에 해당하면 상기 메시지에 대응하는 세션을 차단하는 패킷 처리부를 포함하되,
    상기 패킷 처리부는, 상기 인터넷 패킷 중에서, 상기 SSL 핸드쉐이킹 과정에 송수신되는 "Client Hello" 메시지 및 "Certificate" 메시지를 선별하고, 상기 "Client Hello" 메시지의 "Server_name" 필드 및 상기 "Certificate" 메시지의 "id-at-commonName" 필드로부터 상기 호스트 URL을 추출하는 것인 정보유출방지 시스템.
  2. 삭제
  3. 제1항에 있어서, 상기 패킷 처리부 또는 다른 장치는,
    상기 관리서버의 DB에 상기 차단대상 URL 목록의 갱신이 있음을 확인하거나, 기설정된 주기에 도래하면, 상기 관리서버로부터 갱신된 상기 차단대상 URL 목록을 다운로드 받아 상기 차단대상 DB의 차단대상 URL 목록을 갱신하는 것인 정보유출방지 시스템.
  4. 삭제
  5. 제1항에 있어서, 상기 패킷 처리부는,
    상기 추출된 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당하면, 상기 메시지를 송수신중인 클라이언트 및 서버에 차단 패킷을 전송하고, 상기 메시지에 대응하는 세션을 차단하는 것인 정보유출방지 시스템.
  6. 제1항에 있어서, 로그 DB를 더 포함하고,
    상기 패킷 처리부는, 상기 추출된 호스트 URL에 대응하는 클라이언트 IP 주소, 클라이언트의 포트 번호, 서버의 IP 주소, 서버의 포트 번호, 호스트 URL 정보 및 로깅(Logging) 시간 중 적어도 하나의 로그 정보를 상기 로그 DB에 저장하는 것인 정보유출방지 시스템.
  7. 패킷 처리기에 의한 HTTPS 접속 선별 차단 방법으로서,
    미러링(Mirroring) 방식으로 전달받은 인터넷 패킷 중에서 SSL 핸드쉐이킹(Secure Socket Layer Handshaking) 과정의 기설정된 메시지를 선별하여 상기 메시지로부터 호스트 URL(Uniform Resource Locator)을 추출하는 단계;
    추출된 상기 호스트 URL이 기등록된 차단대상 URL 목록 중 적어도 하나에 해당되는지를 확인하는 단계; 및
    상기 추출된 호스트 URL이 상기 차단대상 URL 목록 중 적어도 하나에 해당하면 상기 메시지에 대응하는 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) 접속을 차단하는 단계를 포함하고,
    상기 추출하는 단계는,
    상기 인터넷 패킷 중에서, 상기 SSL 핸드쉐이킹 과정에 송수신되는 "Client Hello" 메시지 및 "Certificate" 메시지를 선별하는 단계; 및
    상기 "Client Hello" 메시지의 "Server_name" 필드 및 상기 "Certificate" 메시지의 "id-at-commonName" 필드로부터 상기 호스트 URL을 추출하는 단계
    를 포함하는 것인 HTTPS 접속 선별 차단 방법.
  8. 삭제
  9. 제7항에 있어서,
    관리서버의 DB에 상기 차단대상 URL 목록의 갱신이 있음을 확인하거나, 기설정된 갱신주기인지를 확인하는 단계;
    상기 갱신이 있음을 확인하거나, 상기 갱신주기이면, 상기 관리서버의 DB로부터 상기 차단대상 URL 목록을 다운로드 받아 차단대상 DB 내 차단대상 URL 목록을 갱신하는 단계
    를 더 포함하는 HTTPS 접속 선별 차단 방법.
  10. 제7항에 있어서,
    상기 추출된 호스트 URL에 대응하는 클라이언트 IP 주소, 클라이언트의 포트 번호, 서버의 IP 주소, 서버의 포트 번호, 호스트 URL 정보 및 로깅(Logging) 시간 중 적어도 하나의 로그 정보를 저장하는 단계
    를 더 포함하는 HTTPS 접속 선별 차단 방법.
KR1020110138344A 2011-12-20 2011-12-20 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법 KR101275708B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110138344A KR101275708B1 (ko) 2011-12-20 2011-12-20 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110138344A KR101275708B1 (ko) 2011-12-20 2011-12-20 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법

Publications (1)

Publication Number Publication Date
KR101275708B1 true KR101275708B1 (ko) 2013-06-17

Family

ID=48867158

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110138344A KR101275708B1 (ko) 2011-12-20 2011-12-20 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법

Country Status (1)

Country Link
KR (1) KR101275708B1 (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015088133A1 (ko) * 2013-12-09 2015-06-18 주식회사 시큐아이 선택적으로 보안 검사를 수행하는 보안 장치 및 그것의 동작 방법
KR101542762B1 (ko) 2014-01-02 2015-08-12 (주)소만사 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
KR101788019B1 (ko) * 2015-11-02 2017-10-20 주식회사 수산아이앤티 정보유출방지 장치 및 방법
KR20180059076A (ko) 2016-11-25 2018-06-04 충남대학교산학협력단 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
KR20190014643A (ko) * 2017-08-03 2019-02-13 (주)엔토빌소프트 Tls/ssl 통신 연결을 제어하는 장치 및 그 방법
WO2020068521A1 (en) * 2018-09-27 2020-04-02 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US10812971B2 (en) 2018-09-27 2020-10-20 Palo Alto Networks, Inc. Service-based security per data network name in mobile networks
US10812972B2 (en) 2018-09-27 2020-10-20 Palo Alto Networks, Inc. Service-based security per user location in mobile networks
US10944796B2 (en) 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
WO2021060641A1 (ko) * 2019-09-27 2021-04-01 주식회사 수산아이앤티 보안 소켓 계층 복호화 장치에서 접속할 수 없는 사이트를 제외하는 방법
US11019077B2 (en) 2018-09-27 2021-05-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
KR102302331B1 (ko) * 2020-03-05 2021-09-15 주식회사 수산아이앤티 보안 시스템으로의 사용자 접속없이 사용자 로그를 제공하는 방법 및 그 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050060314A (ko) * 2003-12-16 2005-06-22 주식회사 케이티 Ssl 가상 사설망 서비스 처리 방법
KR20070011711A (ko) * 2005-07-21 2007-01-25 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
US20070180510A1 (en) * 2006-01-31 2007-08-02 Darrell Long Methods and systems for obtaining URL filtering information
KR20100046524A (ko) * 2008-10-27 2010-05-07 (주)소만사 유해 사이트 차단 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050060314A (ko) * 2003-12-16 2005-06-22 주식회사 케이티 Ssl 가상 사설망 서비스 처리 방법
KR20070011711A (ko) * 2005-07-21 2007-01-25 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
US20070180510A1 (en) * 2006-01-31 2007-08-02 Darrell Long Methods and systems for obtaining URL filtering information
KR20100046524A (ko) * 2008-10-27 2010-05-07 (주)소만사 유해 사이트 차단 장치 및 방법

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015088133A1 (ko) * 2013-12-09 2015-06-18 주식회사 시큐아이 선택적으로 보안 검사를 수행하는 보안 장치 및 그것의 동작 방법
KR101542762B1 (ko) 2014-01-02 2015-08-12 (주)소만사 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법
WO2016195344A1 (ko) * 2015-06-02 2016-12-08 주식회사 수산아이앤티 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
KR101788019B1 (ko) * 2015-11-02 2017-10-20 주식회사 수산아이앤티 정보유출방지 장치 및 방법
KR20180059076A (ko) 2016-11-25 2018-06-04 충남대학교산학협력단 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
US11153288B2 (en) 2016-11-25 2021-10-19 The Industry & Academic Cooperation In Chungnam National University (Iac) System and method for monitoring leakage of internal information by analyzing encrypted traffic
KR20190014643A (ko) * 2017-08-03 2019-02-13 (주)엔토빌소프트 Tls/ssl 통신 연결을 제어하는 장치 및 그 방법
KR101952357B1 (ko) 2017-08-03 2019-02-26 (주)엔토빌소프트 Tls/ssl 통신 연결을 제어하는 장치 및 그 방법
US10812971B2 (en) 2018-09-27 2020-10-20 Palo Alto Networks, Inc. Service-based security per data network name in mobile networks
US10812972B2 (en) 2018-09-27 2020-10-20 Palo Alto Networks, Inc. Service-based security per user location in mobile networks
US10944796B2 (en) 2018-09-27 2021-03-09 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US11019077B2 (en) 2018-09-27 2021-05-25 Palo Alto Networks, Inc. Multi-access distributed edge security in mobile networks
WO2020068521A1 (en) * 2018-09-27 2020-04-02 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US11582264B2 (en) 2018-09-27 2023-02-14 Palo Alto Networks, Inc. Network slice-based security in mobile networks
US11792235B2 (en) 2018-09-27 2023-10-17 Palo Alto Networks, Inc. Network slice-based security in mobile networks
WO2021060641A1 (ko) * 2019-09-27 2021-04-01 주식회사 수산아이앤티 보안 소켓 계층 복호화 장치에서 접속할 수 없는 사이트를 제외하는 방법
KR102302331B1 (ko) * 2020-03-05 2021-09-15 주식회사 수산아이앤티 보안 시스템으로의 사용자 접속없이 사용자 로그를 제공하는 방법 및 그 시스템

Similar Documents

Publication Publication Date Title
KR101275708B1 (ko) Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법
CN111034150B (zh) 选择性地解密ssl/tls通信的方法和装置
US11038854B2 (en) Terminating SSL connections without locally-accessible private keys
US7069434B1 (en) Secure data transfer method and system
US11700239B2 (en) Split tunneling based on content type to exclude certain network traffic from a tunnel
US9774631B2 (en) TLS connection abandoning
US20150381584A1 (en) Selectively performing man in the middle decryption
Lee et al. maTLS: How to Make TLS middlebox-aware?
Serme et al. Enabling message security for RESTful services
JP2013523050A (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
RU2422893C2 (ru) Способ, система и устройство для шифрованного доступа по https
Abbas et al. Security assessment and evaluation of VPNs: a comprehensive survey
KR20140091221A (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
KR101996044B1 (ko) 암호화 트래픽의 네트워크 포렌식 서비스 제공을 위한 icap 프로토콜 확장 방법과 이를 지원하는 네트워크 포렌식 장치 및 웹 프락시
KR101881278B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법
KR101881279B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
CN116938492A (zh) 一种网络安全防护方法、设备及存储介质
KR102042086B1 (ko) 암호화 통신 프로토콜 제어 모듈
Heo et al. Vulnerability of information disclosure in data transfer section for constructing a safe smart work infrastructure
KR20190014958A (ko) 접속 제어 장치 및 방법
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs
Zaman et al. A Study of the Effects of Heartbleed Vulnerability in Bangladesh
Simone Certificate Validation and TLS Interception

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160527

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170623

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180530

Year of fee payment: 6