KR101486307B1 - 보안 관제 장치 및 그 방법 - Google Patents

보안 관제 장치 및 그 방법 Download PDF

Info

Publication number
KR101486307B1
KR101486307B1 KR20130140030A KR20130140030A KR101486307B1 KR 101486307 B1 KR101486307 B1 KR 101486307B1 KR 20130140030 A KR20130140030 A KR 20130140030A KR 20130140030 A KR20130140030 A KR 20130140030A KR 101486307 B1 KR101486307 B1 KR 101486307B1
Authority
KR
South Korea
Prior art keywords
file
packet
malicious code
user
malicious
Prior art date
Application number
KR20130140030A
Other languages
English (en)
Inventor
이철호
강정민
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20130140030A priority Critical patent/KR101486307B1/ko
Priority to US14/466,969 priority patent/US20150143454A1/en
Application granted granted Critical
Publication of KR101486307B1 publication Critical patent/KR101486307B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 사용자 단말에서 특정 서버를 프록시 서버 또는 브이피엔 서버로 설정하는 경우에 사용자 단말에서 발생되거나 사용자 단말로 향하는 네트워크 패킷을 모니터링하는 보안 관제 장치 및 그 방법에 관한 것이다. 특히, 보안 관제 장치는 사용자의 단말로부터 사용자 정보를 입력받고, 사용자 정보와 보안 관제 센터에 등록되어 있는 정보를 비교하여, 사용자 인증 절차를 수행하는 사용자 인증부, 사용자의 단말로부터 전달 받은 패킷을 보안 관제 센터에서 설정한 규칙에 따라 검사하고, 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달하는 패킷 검사부, 목적지로 전달한 패킷 또는 목적지에서 반송되는 패킷에서 특정 프로토콜을 인식하고, 인식한 결과를 토대로 파일을 추출하는 패킷 추출부, 추출한 파일이 악성 파일인지 아닌지를 판단하는 파일 분석부 및 추출한 파일이 악성 파일인 경우에, 파일 분석부의 분석 결과를 토대로 추출한 파일에 대응하는 악성코드 치료 에이전트를 생성하고, 악성코드 치료 에이전트를 실행하여 악성코드를 제거하는 에이전트 생성부를 포함한다.

Description

보안 관제 장치 및 그 방법{APPARATUS AND METHOD FOR SECURITY MONITORING}
본 발명은 보안 관제 장치 및 그 방법에 관한 것으로, 특히 사용자 단말에서 특정 서버를 프록시 서버 또는 브이피엔 서버로 설정하는 경우에 사용자 단말에서 발생되거나 사용자 단말로 향하는 네트워크 패킷을 모니터링하는 보안 관제 장치 및 그 방법에 관한 것이다.
종래의 네트워크 보안 관제 기술은 특정 기관 또는 기업의 네트워크 회선에 방화벽(F/W), 침입탐지시스템(Intrusion Detection System, IDS), 침입방지시스템(Intrusion Prevention System, IPS) 등의 보안장비를 연결하여 침입을 탐지하고, 탐지한 결과에 대응하였다.
예를 들어, 한국공개특허 제10-2002-0022740호 "인터넷 접속 서비스 제공 시스템"은 가입자 망에 전용 VPN 접속장비를 두고 두 개 이상의 공중망을 연결하여 회선의 장애 및 각 VPN 서버의 상태에 따라 적절한 공중망을 전환하도록 하는 방법에 관하여 기재하고 있다.
다만, 종래에는 한국공개특허 제10-2002-0022740호와 같이 다중 공중망에 연결된 VPN 접속장비를 이용하여 보안 관제를 수행하였다.
그러나, 현재 보안 분야에서는 전용 VPN 장비 없이도 단말이 보안 관제 서비스를 제공받을 수 있는 기술을 필요로 하고 있다.
보안 관제 서비스를 받고 있는 기관 또는 기업에 속한 사용자가 해당 기관 또는 기업 영역 밖으로 이동하여 사용자 단말을 사용하는 경우, 해당 사용자 단말은 보안 관제 서비스를 받지 못하므로 관제 영역 밖에 있었던 기간 동안 해당 사용자 단말을 대상으로 한 보안위협을 탐지할 수 없으므로 관제사각지대에 놓이게 된다. 본 발명의 목적은 사용자가 어디에 있건 사용자 단말에 대한 보안 관제가 가능한 장치 및 그 방법을 제공하는 것이다.
또한, 네트워크 보안관제를 위한 보안장비(예를 들어, F/W, IDS, IPS 등)와 전담 보안인력을 갖추지 못한 기관 또는 기업은 네트워크 보안 관제 서비스를 받을 수 없으므로 다양한 보안 위협에 그대로 노출되게 된다. 본 발명의 목적은 네트워크 보안 관제 서비스를 받을 수 없는 상황에서 보안 관제가 가능하도록 하는 장치 및 그 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 실시예에 따른 보안 관제 방법은
보안 관제 장치가 사용자의 단말로부터 사용자 정보를 입력받은 단계; 상기 사용자 정보와 보안 관제 센터에 등록되어 있는 정보를 비교하여, 사용자 인증 절차를 수행하는 단계; 상기 사용자의 단말로부터 전달 받은 패킷을 상기 보안 관제 센터에서 설정한 규칙에 따라 검사하는 단계; 및 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달하는 단계를 포함한다.
이 때, 상기 수행하는 단계는 상기 보안 관제 장치와 연동하여 동작하는 Proxy 서버 또는 VPN 서버에서 수행될 수 있는 것을 특징으로 한다.
이 때, 상기 검사하는 단계는 IDS(Intrusion Detection System) 또는 IPS(Intrusion Prevention System)에서 수행될 수 있는 것을 특징으로 한다.
또한, 본 발명의 실시예에 따른 보안 관제 방법은
보안 관제 장치가 인바운드 및 아웃바운드 패킷에서 특정 프로토콜을 인식하고, 인식한 결과를 토대로 파일을 추출하는 단계; 추출한 파일이 악성 파일인지 아닌지를 판단하는 단계; 상기 추출한 파일이 악성 파일인 경우에, 상기 추출한 파일에 대응하는 악성코드 치료 에이전트를 생성하는 단계; 및 상기 악성코드 치료 에이전트를 실행하여 악성코드를 제거하는 단계를 포함한다.
이 때, 상기 파일을 추출하는 단계에서 상기 인바운드 패킷은 인터넷을 통해 외부로 전달되는 패킷에 해당하고, 상기 아웃바운드 패킷은 목적지에서 반송되는 패킷에 해당하는 것을 특징으로 한다.
이 때, 상기 판단하는 단계는 상기 추출한 파일이 악성 파일에 해당한다고 판단되면, 추출한 파일의 해쉬값과 추출한 파일에 대응하는 경로 정보를 획득하는 것을 특징으로 한다.
이 때, 악성코드를 다운로드 하거나 업로드하는 것으로 판단되는 사용자의 단말이 HTTP 연결을 맺을 경우, 해당 HTTP 응답 패킷 내에 경고 팝업창을 뛰우는 코드를 삽입하여 단말에 표출되도록 제어하는 단계를 더 포함하는 것을 특징으로 한다.
이 때, 상기 악성코드를 제거하는 단계는 상기 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아내는 단계; 및 상기 치료대상 악성코드의 특징과 그 파생파일을 사용자의 단말에서 제거하도록 제어하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 실시예에 따른 보안 관제 장치는
사용자의 단말로부터 사용자 정보를 입력받고, 상기 사용자 정보와 보안 관제 센터에 등록되어 있는 정보를 비교하여, 사용자 인증 절차를 수행하는 사용자 인증부; 상기 사용자의 단말로부터 전달 받은 패킷을 상기 보안 관제 센터에서 설정한 규칙에 따라 검사하고, 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달하는 패킷 검사부; 상기 목적지로 전달한 패킷 또는 상기 목적지에서 반송되는 패킷에서 특정 프로토콜을 인식하고, 인식한 결과를 토대로 파일을 추출하는 패킷 추출부; 추출한 파일이 악성 파일인지 아닌지를 판단하는 파일 분석부; 및 상기 추출한 파일이 악성 파일인 경우에, 상기 파일 분석부의 분석 결과를 토대로 상기 추출한 파일에 대응하는 악성코드 치료 에이전트를 생성하고, 상기 악성코드 치료 에이전트를 실행하여 악성코드를 제거하는 에이전트 생성부를 포함한다.
이 때, 상기 사용자 인증부는 상기 보안 관제 장치와 연동하여 동작하는 Proxy 서버 또는 VPN 서버에서 수행될 수 있는 것을 특징으로 한다.
이 때, 상기 패킷 검사부는 IDS(Intrusion Detection System) 또는 IPS(Intrusion Prevention System)에서 수행될 수 있는 것을 특징으로 한다.
이 때, 상기 파일 분석부는 상기 추출한 파일이 악성 파일에 해당한다고 판단되면, 추출한 파일의 해쉬값과 추출한 파일에 대응하는 경로 정보를 획득하는 것을 특징으로 한다.
이 때, 악성코드를 다운로드 하거나 업로드하는 것으로 판단되는 사용자의 단말이 HTTP 연결을 맺을 경우, 해당 HTTP 응답 패킷 내에 경고 팝업창을 뛰우는 코드를 삽입하여 단말에 표출되도록 제어하는 표시부를 더 포함하는 것을 특징으로 한다.
이 때, 상기 에이전트 생성부는 상기 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아내고, 상기 치료대상 악성코드의 특징과 그 파생파일을 사용자의 단말에서 제거하도록 제어하는 것을 특징으로 한다.
본 발명에 따르면, 보안 관제 장치 및 그 방법은 고정된 네트워크 회선에 의존적인 종래 보안 관제 센터 개념에서 벗어나, 프록시 또는 브이피엔 설정과 같은 소프트웨어적인 방법으로만 보안 관제 서비스를 제공하므로, PC와 스마트폰을 모두 포함하는 사용자 단말 중심의 보안 관제가 가능하고, 악성 코드에 감염된 사용자 단말을 자동으로 치료할 수 있다는 점에서 큰 효과가 있을 것으로 판단된다.
도 1은 본 발명의 실시예에 따른 보안 관제 장치가 적용되는 환경을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 보안 관제 장치를 개략적으로 나타내는 구성도이다.
도 3은 본 발명의 실시예에 따른 보안 관제 방법을 나타내는 흐름도이다.
도 4는 본 발명의 실시예에 따른 보안 관제 장치에서 패킷에서 파일을 추출하고, 추출한 파일에 대응하는 악성코드 치료 에이전트를 생성하는 과정을 나타내는 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예 따른 보안 관제 장치 및 그 방법에 대하여 첨부한 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 보안 관제 장치가 적용되는 환경을 나타내는 도면이다.
도 1을 참고하면, 보안 관제 장치(100)는 침입탐지시스템(Intrusion Detection System, IDS), 침입방지시스템(Intrusion Prevention System, IPS) 등의 보안장비와 보안 전담인력이 없는 기관 또는 기업의 사용자(10)의 단말(20)도 프록시 설정 또는 브이피엔 설정만으로 보안장비와 보안 전담인력이 완비된 것과 동일한 관제 서비스를 제공받을 수 있도록 한다.
또한, 보안 관제 장치(100)는 침입탐지시스템(Intrusion Detection System, IDS), 침입방지시스템(Intrusion Prevention System, IPS) 등의 보안장비와 보안 전담인력이 없는 기관 또는 기업의 사용자(10)의 단말(20)과 인터넷간에 송수신되는 네트워크 패킷을 토대로 다운로드 또는 업로드 파일을 추출 및 분석하여 악성코드 여부를 탐지하고, 탐지한 결과를 토대로 악성코드 치료 에이전트를 자동으로 생성하여 사용자(10)가 단말(20)에 다운로드 하여 치료할 수 있도록 한다.
보안 관제 장치(100)는 보안 관제 센터(200)와 연동하여 동작한다.
보안 관제 센터(200)는 보안 전문가(30)가 직접 보안 관제 장치(100)를 제어할 수 있도록 한다. 예를 들어, 보안 관제 센터(200)는 보안 관제 장치(100)에서 침입탐지 이벤트가 발생하는 경우, 보안 전문가(30)의 최종적인 판단에 따라 대응할 수 있도록 제어할 수 있다.
다음, 보안 관제 장치(100)를 도 2를 참조하여 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 보안 관제 장치를 개략적으로 나타내는 구성도이다.
도 2를 참고하면, 보안 관제 장치(100)는 사용자 인증부(110), 패킷 검사부(120), 파일 추출부(130), 파일 분석부(140), 에이전트 생성부(150) 및 표시부(160)를 포함한다.
보안 관제 장치(100)는 IDS, IPS 등의 보안장비와 보안 전담인력이 없는 기관 또는 기업의 사용자(10)의 단말(20)에서 프록시(Proxy) 설정 또는 브이피엔(VPN) 설정을 통해서 해당 단말의 네트워크 트래픽에 대응하는 사용자 인증 절차를 수행하도록 제어한다. 여기서, 프록시 설정 또는 브이피엔 설정은 단말(20)에 기본적으로 탑재되거나 별도로 설치한 프로그램에 의해서 수행된다.
사용자 인증부(110)는 프록시 설정 또는 브이피엔 설정 시 사용자 인증 절차를 수행하고, 사용자 인증 절차를 통해 허가받지 않은 사용자의 접속을 차단한다.
구체적으로, 사용자 인증부(110)는 사용자의 단말(20)을 통해 사용자 정보 즉, 사용자의 아이디와 패스워드를 입력받아, 입력받은 사용자 정보와 보안 관제 센터(200)에 등록되어 있는 사용자의 아이디와 패스워드를 비교함으로써, 사용자 인증 절차를 수행한다.
또한, 사용자 인증부(110)는 사용자(10)의 단말(20)을 통해 입력받은 사용자 정보와 보안 관제 센터(200)에 등록되어 있는 정보가 일치하지 않을 경우, 해당 사용자(10)의 접속을 차단한다.
본 발명의 실시예에 따른 사용자 인증부(110)는 프록시 서버 또는 브이피엔 서버에 해당할 수 있으며, 이에 한정되지 않는다.
사용자 인증부(110)는 프록시 설정 또는 브이피엔 설정 시 터널링된 네트워크 패킷을 터널링이 해제된 일반 패킷으로 전환하고, 일반 패킷을 패킷 검사부(120)로 전달한다.
패킷 검사부(120)는 사용자 인증부(110)에서 인증된 사용자의 단말로부터 일반 패킷을 전달받고, 전달받은 패킷을 보안 관제 센터(200)에서 설정한 규칙에 따라 패킷을 검사한다. 패킷 검사부(120)는 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달한다.
이때, 목적지에서 반송되는 패킷은 패킷 검사부(120)를 통과할 때 각종 침입탐지 규칙에 따라 검사된 후, 사용자 인증부(110)에서 터널링을 위한 캡슐화된 패킷으로 전환되어 사용자의 단말(20)로 전달된다.
본 발명의 실시예에 따른 패킷 검사부(120)는 침입탐지시스템(Intrusion Detection System, IDS), 침입방지시스템(Intrusion Prevention System, IPS)에 해당할 수 있으며, 이에 한정되지 않는다.
파일 추출부(130)는 패킷 검사부(120)에서 인터넷으로 통해 외부로 전달하는 패킷과, 목적지에서 반송되는 패킷을 전달받는다. 여기서, 목적지에서 반송되는 패킷은 별도의 네트워크 탭(도시하지 않음.)을 이용하여 파일 추출부(130)에 전달된다.
파일 추출부(130)는 인바운드 및 아웃바운드 패킷에서 특정 프로토콜(예를 들어, HTTP, FTP 등)을 인식하고, 인식한 결과를 토대로 송수신되는 파일을 추출하는 역할을 수행한다. 여기서, 인바운드 패킷은 패킷 검사부(120)에서 인터넷으로 통해 외부로 전달하는 패킷에 해당하고, 아웃바운드 패킷은 목적지에서 반송되는 패킷에 해당한다.
파일 분석부(140)는 파일 추출부(130)에서 추출한 파일을 정적 및 동적 분석을 수행하고, 분석 결과를 토대로 추출한 파일이 악성 파일인지 아닌지를 판단한다.
또한, 파일 분석부(140)는 분석 결과를 토대로 추출한 파일이 악성 파일에 해당한다고 판단되면, 추출한 파일의 해쉬값과 추출한 파일에 파생적으로 발생되는 파일들에 대한 경로 정보를 획득한다.
에이전트 생성부(150)는 파일 분석부(140)에서 획득한 정보 즉, 추출한 파일의 해쉬값과 경로 정보를 특정 형식 예를 들어, XML 등의 형식으로 암호화하여 악성코드 치료 에이전트를 생성한다.
에이전트 생성부(150)는 생성한 악성코드 치료 에이전트가 실행되는 경우, 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아낸다. 다음, 에이전트 생성부(150)는 치료대상 악성코드의 특징과 그 파생파일을 사용자(10)의 단말(20)에서 제거하도록 제어한다.
악성코드를 다운로드 하거나 업로드하는 것으로 판단되는 사용자의 단말(20)이 HTTP 연결을 맺을 경우, 해당 HTTP 응답 패킷 내에 경고 팝업창을 뛰우는 HTM: 코드를 삽입하여 단말(20)에 표출되도록 한다.
표시부(160)는 상기 경고 팝업창을 표시하는 것으로, 악성코드로 의심되는 이유와 의심되는 파일에 대한 정보를 표시하고, 해당 악성코드를 치료하는 악성코드 치료 에이전트를 생성한 에이전트 생성부(150)의 URL 경로를 표시한다.
사용자는 경고 팝업창의 안내에 따라 악성코드 치료 에이전트를 다운로드 받아 자신의 단말(20)을 치료하게 된다.
다음, 보안 관제 방법을 도 3 및 도 4를 참조하여 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 보안 관제 방법을 나타내는 흐름도이다.
도 3을 참고하면, IDS, IPS 등의 보안장비와 보안 전담인력이 없는 기관 또는 기업의 사용자(10)의 단말(20)은 사용자 정보 즉, 사용자의 아이디와 패스워드를 입력받고(S310), 입력받은 사용자 정보를 보안 관제 장치의 사용자 인증부(110)로 전달한다(S320).
사용자 인증부(110)는 입력받은 사용자 정보와 보안 관제 센터(200)에 등록되어 있는 사용자의 아이디와 패스워드를 비교함으로써, 사용자 인증 절차를 수행한다(S330). 이때, 사용자 인증부(110)는 입력받은 사용자 정보와 보안 관제 센터(200)에 등록되어 있는 정보가 일치하지 않을 경우, 해당 사용자(10)의 접속을 차단한다.
사용자 인증부(110)는 단말(20)로부터 터널링된 네트워크 패킷을 전달받아(S340), 터널링이 해제된 일반 패킷을 패킷 검사부(120)로 전달한다(S350).
패킷 검사부(120)는 패킷을 보안 관제 센터(200)에서 설정한 규칙에 따라 패킷을 검사한다(S360).
다음, 패킷 검사부(120)는 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달한다(S370).
도 4는 본 발명의 실시예에 따른 보안 관제 장치에서 패킷에서 파일을 추출하고, 추출한 파일에 대응하는 악성코드 치료 에이전트를 생성하는 과정을 나타내는 흐름도이다.
도 4를 참고하면, 파일 추출부(130)는 목적지에서 인터넷을 통해 반송되는 패킷을 전달받는다(S410).
파일 추출부(130)는 S410 단계에서 전달받은 패킷에서 특정 프로토콜(예를 들어, HTTP, FTP 등)을 인식하고, 인식한 결과를 토대로 송수신되는 파일을 추출한다(S420). 또한, 파일 추출부(130)는 추출한 파일을 파일 분석부(140)로 전달한다(S430).
파일 분석부(140)는 S430 단계에서 전달받은 파일에 대하여 정적 및 동적 분석을 수행하고, 분석 결과를 토대로 추출한 파일이 악성 파일인지 아닌지를 판단한다(S440). 이때, 파일 분석부(140)는 분석 결과를 토대로 추출한 파일이 악성 파일에 해당한다고 판단되면, 추출한 파일의 해쉬값과 추출한 파일에 파생적으로 발생되는 파일들에 대한 경로 정보를 획득한다.
파일 분석부(140)는 추출한 파일의 해쉬값과 추출한 파일에 파생적으로 발생되는 파일들에 대한 경로 정보를 에이전트 생성부(150)로 전달한다(S450).
에이전트 생성부(150)는 S450 단계에서 전달받은 파일의 해쉬값과 경로 정보를 특정 형식 예를 들어, XML 등의 형식으로 암호화하여 악성코드 치료 에이전트를 생성한다(S460).
에이전트 생성부(150)는 S460 단계에서 생성한 악성코드 치료 에이전트를 단말(20)로 다운로드(S465)하여, 단말(20)에서 악성코드 치료 에이전트를 실행(S470)하도록 함으로써, 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아낸다(S480).
다음, 에이전트 생성부(150)는 찾아낸 치료대상 악성코드의 특징과 그 파생파일에 해당하는 단말과 연동하여 악성코드를 제거한다(S480). 이때, 표시부(160)는 경고 팝업창을 표시하는 것으로, 악성코드로 의심되는 이유와 의심되는 파일에 대한 정보를 표시하고, 해당 악성코드를 치료하는 악성코드 치료 에이전트를 생성한 에이전트 생성부(150)의 URL 경로를 표시한다. 그러면, 사용자는 경고 팝업창의 안내에 따라 악성코드 치료 에이전트를 다운로드 받아 자신의 단말(20)을 치료하게 된다.
이와 같이, 본 발명은 고정된 네트워크 회선에 의존적인 종래 보안 관제 센터 개념에서 벗어나, 프록시 또는 브이피엔 설정과 같은 소프트웨어적인 방법으로만 보안 관제 서비스를 제공하므로, PC와 스마트폰을 모두 포함하는 사용자 단말 중심의 보안 관제가 가능하고, 악성 코드에 감염된 사용자 단말을 자동으로 치료할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100; 보안 관제 장치
110; 사용자 인증부 120; 패킷 검사부
130; 파일 추출부 140; 파일 분석부
150; 에이전트 생성부 160; 표시부
10; 사용자 20; 단말
200; 보안 관제 센터 30; 보안 전문가

Claims (14)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 보안 관제 장치가 인바운드 및 아웃바운드 패킷에서 특정 프로토콜을 인식하고, 인식한 결과를 토대로 파일을 추출하는 단계;
    추출한 파일이 악성 파일인지 아닌지를 판단하고, 상기 추출한 파일이 악성 파일에 해당한다고 판단되면 상기 추출한 파일의 해쉬값과 상기 추출한 파일에 대응하는 경로 정보를 획득하는 단계;
    상기 추출한 파일이 악성 파일인 경우에, 상기 추출한 파일의 해쉬값과 경로 정보를 암호화하여 악성코드 치료 에이전트를 생성하는 단계; 및
    상기 악성코드 치료 에이전트를 실행하여 악성코드를 제거하는 단계를 포함하고,
    상기 악성코드를 제거하는 단계는 상기 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아내는 단계; 및 상기 치료대상 악성코드의 특징과 그 파생파일을 사용자의 단말에서 제거하도록 제어하는 단계를 포함하는 것을 특징으로 하는 보안 관제 방법.
  5. 청구항 4에 있어서,
    상기 파일을 추출하는 단계에서
    상기 인바운드 패킷은 인터넷을 통해 외부로 전달되는 패킷에 해당하고, 상기 아웃바운드 패킷은 목적지에서 반송되는 패킷에 해당하는 것을 특징으로 하는 보안 관제 방법.
  6. 삭제
  7. 청구항 4에 있어서,
    악성코드를 다운로드 하거나 업로드하는 것으로 판단되는 사용자의 단말이 HTTP 연결을 맺을 경우, 해당 HTTP 응답 패킷 내에 경고 팝업창을 뛰우는 코드를 삽입하여 단말에 표출되도록 제어하는 단계를 더 포함하는 것을 특징으로 하는 보안 관제 방법.
  8. 삭제
  9. 사용자의 단말로부터 사용자 정보를 입력받고, 상기 사용자 정보와 보안 관제 센터에 등록되어 있는 정보를 비교하여, 사용자 인증 절차를 수행하는 사용자 인증부;
    상기 사용자의 단말로부터 전달 받은 패킷을 상기 보안 관제 센터에서 설정한 규칙에 따라 검사하고, 검사가 완료된 패킷을 인터넷을 통해 목적지로 전달하는 패킷 검사부;
    상기 목적지로 전달한 패킷 또는 상기 목적지에서 반송되는 패킷에서 특정 프로토콜을 인식하고, 인식한 결과를 토대로 파일을 추출하는 패킷 추출부;
    추출한 파일이 악성 파일인지 아닌지를 판단하고, 상기 추출한 파일이 악성 파일에 해당한다고 판단되면 상기 추출한 파일의 해쉬값과 상기 추출한 파일에 대응하는 경로 정보를 획득하는 파일 분석부; 및
    상기 추출한 파일이 악성 파일인 경우에, 상기 추출한 파일의 해쉬값과 경로 정보를 암호화하여 악성코드 치료 에이전트를 생성하고, 상기 악성코드 치료 에이전트를 실행하여 악성코드를 제거하는 에이전트 생성부를 포함하고,
    상기 에이전트 생성부는 상기 악성코드 치료 에이전트가 포함하는 정보를 복호화하여 치료대상 악성코드의 특징과 그 파생파일을 찾아내고, 상기 치료대상 악성코드의 특징과 그 파생파일을 사용자의 단말에서 제거하도록 제어하는 것을 특징으로 하는 보안 관제 장치.
  10. 청구항 9에 있어서,
    상기 사용자 인증부는
    상기 보안 관제 장치와 연동하여 동작하는 Proxy 서버 또는 VPN 서버에서 수행될 수 있는 것을 특징으로 하는 보안 관제 장치.
  11. 청구항 9에 있어서,
    상기 패킷 검사부는
    IDS(Intrusion Detection System) 또는 IPS(Intrusion Prevention System)에서 수행될 수 있는 것을 특징으로 하는 보안 관제 장치.
  12. 삭제
  13. 청구항 9에 있어서,
    악성코드를 다운로드 하거나 업로드하는 것으로 판단되는 사용자의 단말이 HTTP 연결을 맺을 경우, 해당 HTTP 응답 패킷 내에 경고 팝업창을 뛰우는 코드를 삽입하여 단말에 표출되도록 제어하는 표시부를 더 포함하는 것을 특징으로 하는 보안 관제 장치.
  14. 삭제
KR20130140030A 2013-11-18 2013-11-18 보안 관제 장치 및 그 방법 KR101486307B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20130140030A KR101486307B1 (ko) 2013-11-18 2013-11-18 보안 관제 장치 및 그 방법
US14/466,969 US20150143454A1 (en) 2013-11-18 2014-08-23 Security management apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130140030A KR101486307B1 (ko) 2013-11-18 2013-11-18 보안 관제 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR101486307B1 true KR101486307B1 (ko) 2015-01-29

Family

ID=52592852

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130140030A KR101486307B1 (ko) 2013-11-18 2013-11-18 보안 관제 장치 및 그 방법

Country Status (2)

Country Link
US (1) US20150143454A1 (ko)
KR (1) KR101486307B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017204566A1 (ko) * 2016-05-24 2017-11-30 주식회사 케이티 회선 제어 장치 및 방법
KR102198104B1 (ko) 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법
KR102197590B1 (ko) 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법
KR102424075B1 (ko) 2021-12-02 2022-07-25 (주)소만사 컨테이너 환경에서의 트래픽 포워딩 시스템 및 방법

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361585B2 (en) 2014-01-27 2019-07-23 Ivani, LLC Systems and methods to allow for a smart device
US9729572B1 (en) * 2015-03-31 2017-08-08 Juniper Networks, Inc. Remote remediation of malicious files
US9474042B1 (en) 2015-09-16 2016-10-18 Ivani, LLC Detecting location within a network
US10325641B2 (en) 2017-08-10 2019-06-18 Ivani, LLC Detecting location within a network
US11350238B2 (en) 2015-09-16 2022-05-31 Ivani, LLC Systems and methods for detecting the presence of a user at a computer
US10321270B2 (en) 2015-09-16 2019-06-11 Ivani, LLC Reverse-beacon indoor positioning system using existing detection fields
US10382893B1 (en) 2015-09-16 2019-08-13 Ivani, LLC Building system control utilizing building occupancy
US10455357B2 (en) 2015-09-16 2019-10-22 Ivani, LLC Detecting location within a network
US10665284B2 (en) 2015-09-16 2020-05-26 Ivani, LLC Detecting location within a network
US11533584B2 (en) 2015-09-16 2022-12-20 Ivani, LLC Blockchain systems and methods for confirming presence
US10326599B2 (en) * 2016-05-09 2019-06-18 Hewlett Packard Enterprise Development Lp Recovery agents and recovery plans over networks
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100725910B1 (ko) * 2005-12-08 2007-06-11 홍상선 네트워크 안전접속방법
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
KR20120058670A (ko) * 2010-10-29 2012-06-08 (주)대성정보기술 Db 보안을 제공하는 통합 게이트웨이 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US20080077793A1 (en) * 2006-09-21 2008-03-27 Sensory Networks, Inc. Apparatus and method for high throughput network security systems
US8191147B1 (en) * 2008-04-24 2012-05-29 Symantec Corporation Method for malware removal based on network signatures and file system artifacts

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100725910B1 (ko) * 2005-12-08 2007-06-11 홍상선 네트워크 안전접속방법
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
KR20120058670A (ko) * 2010-10-29 2012-06-08 (주)대성정보기술 Db 보안을 제공하는 통합 게이트웨이 장치

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017204566A1 (ko) * 2016-05-24 2017-11-30 주식회사 케이티 회선 제어 장치 및 방법
KR102198104B1 (ko) 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 플레이북 자동 생성 시스템 및 그 방법
KR102197590B1 (ko) 2020-06-19 2021-01-05 주식회사 이글루시큐리티 머신러닝을 이용한 대응 자동화 프로세스의 승인 절차 개선 시스템 및 그 방법
KR102424075B1 (ko) 2021-12-02 2022-07-25 (주)소만사 컨테이너 환경에서의 트래픽 포워딩 시스템 및 방법

Also Published As

Publication number Publication date
US20150143454A1 (en) 2015-05-21

Similar Documents

Publication Publication Date Title
KR101486307B1 (ko) 보안 관제 장치 및 그 방법
US20230388349A1 (en) Policy enforcement using host information profile
JP6106780B2 (ja) マルウェア解析システム
US10091167B2 (en) Network traffic analysis to enhance rule-based network security
US9443075B2 (en) Interception and policy application for malicious communications
US9985981B2 (en) Monitoring traffic in a computer network
US10218725B2 (en) Device and method for detecting command and control channel
CN104837159B (zh) Android平台OAuth协议误用安全检测方法
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP6007308B1 (ja) 情報処理装置、情報処理方法及びプログラム
JP5966076B1 (ja) 情報処理装置、情報処理方法及びプログラム
JP6105797B1 (ja) 情報処理装置、情報処理方法及びプログラム
Kamiya et al. The method of detecting malware-infected hosts analyzing firewall and proxy logs
JP6063593B1 (ja) 情報処理装置、情報処理方法及びプログラム
JP2017117432A (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 6