KR101489770B1

KR101489770B1 - 정상 프로파일 정보를 이용한 비정상 이용 탐지 방법

Info

Publication number: KR101489770B1
Application number: KR20130162165A
Authority: KR
Inventors: 임채태; 오주형; 강동완; 고은별; 박현승; 김태은; 조창민
Original assignee: 한국인터넷진흥원
Priority date: 2013-12-24
Filing date: 2013-12-24
Publication date: 2015-02-04

Abstract

BYOD(Bring Your Own Device) 및 스마트워크 환경에서 정보 유출 등 기업 내부 인프라의 보안을 위협하는 요소에 대응하도록 사용자별 프로파일 기반의 동적 통제를 실시할 수 있는 정상 프로파일을 이용한 비정상 접속 탐지 방법이 개시된다.
이를 위해 본 발명은 평균 트래픽 발생량 초과 여부, 평균 이용 시간 초과 여부 및 이용 시간 대비 트래픽 발생량 임계비율 초과 여부 등을 수행함으로써 비정상 이용자를 탐지할 수 있게 된다. 이로 인해, 본 발명은 BYOD 및 스마트워크 환경에서의 보안성을 향상시킬 수 있다.

Description

정상 프로파일 정보를 이용한 비정상 이용 탐지 방법{NONNORMAL UTILIZATION DETECTION METHOD USING NORMAL PROFILE INFORMATION}

본 발명은 비정상 접속 탐지 방법에 관한 것으로서, 더욱 상세하게는 BYOD(Bring Your Own Device) 및 스마트워크 환경에서 정보 유출 등 기업 내부 인프라의 보안을 위협하는 요소에 대응하도록 사용자별 프로파일 기반의 동적 통제를 실시할 수 있는 정상 프로파일을 이용한 비정상 접속 탐지 방법에 관한 것이다.

새로운 IT 환경인 BYOD 및 스마트워크 환경은 무선 인터넷 환경 구축과 태블릿 PC, 스마트폰등 스마트 기기의 대중화, 데스크탑 가상화와 클라우드 서비스의 활용 증가, 실시간 커뮤니케이션과 업무 연속성의 중시 등으로 환경 형성이 가속화되었다.

기업 입장에서도 업무 생산성 및 효율성을 높이고 기기 구매 등의 비용 절감을 위해 BYOD를 적극적으로 도입하고 있는 추세이다. 이렇듯 BYOD 시대가 도래되면서 기업 내부인프라가 폐쇄적 환경에서 개방적 환경으로 전환되고 있다. 언제 어디서나 개인 기기의 기업 인프라 접근이 허용되고 있는 것이다.

기업 내부에서 무선 공유기(AP), 스위치 등을 통해서 개인 기기의 기업 인프라 접근이 가능하며, 이동통신망, 공개 와이파이(Wi-Fi), VPN 등을 통해 기업외부로부터 개인 기기를 통하여 기업 인프라에 접근할 수도 있다.

이와 같이, 개방적 환경으로의 변화는 업무 연속성과 편의성를 획득한 반면, 이전에는 생각지 못했던 보안 위협 또한 다수 발생하였다. 무엇보다도, 개인 기기들이 기업 내부 인프라에 접근함에 따라 기업 내부 데이터가 유출될 수 있는 위험이 커졌다. 즉, 개인 기기의 분실이나 도난 등에 의해 기업 내부 데이터의 유출 발생 가능성이 있고, 악성코드에 감염된 개인용 기기의 내부 인트라넷 접속으로 인한 기업 IT 자산이 위협 받을 수도 있었다.

위와 같은 IT 자산의 위협에 대응하여 BYOD 및 스마트워크 환경에서 최근 각광받고 있는 보안 기술로는 NAC과 MDM을 들 수 있다. NAC 기술이란 사용자 PC(단말)이 내부 네트워크에 접근하기 전에 보안 정책을 준수했는지를 검사하여 비정상 단말 여부에 따라 네트워크 접속을 통제하는 기술을 가리킨다.

이러한 상기 NAC는 자체가 사용자 인증 및 접근 제어를 주목적으로 하여 네트워크 접근 이후 사용자나 단말기기의 비정상 행위를 탐지하여 대응하는 기능이 부족하다. 또한 등록된 사용자 기반 인증이 중심이어서 단말기기 인증에 대한 기능도 부족하였다.

무엇보다도, 상기 NAC는 태생적으로 네트워크 접근 자체에 대한 차단을 목적으로 하고 있어 앞에서도 언급했듯이, 다양한 개인 기기의 활용 및 업무 연속성 보장 위에, 비정상 행위의 사용자를 격리시켜 기업 데이터를 보호해야 하는 보안 특수성이 부족한 실정이다.

반면, MDM이란 OTA(휴대폰무선전송기술, Over The Air)을 이용하여 언제 어디서나 모바일기기가 Power On 상태로 있으면 원격에서 단말 등록/관리, 분실 단말 사용중지, 단말 추적 관리 등의 기능을 제공하는 시스템을 가리킨다.

그러나, 상기 MDM은 하나의 어플리케이션에 해당되므로 다른 어플리케이션 접근 제어 및 모니터링이 어렵다.

또한, 상기 MDM은 시스템 레벨의 네트워크 레이어 접근이 불가능하며 네트워크 데이터에 대한 행위 분석이 불가능하였다. 무엇보다도, 개인 프라이버시에 대한 보호 요구 등으로 사용자들이 개인기기 상에 MDM 에이전트 설치를 꺼려해 보급 및 확산이 어려우며, 더불어 다양한 단말 기기에 대한 지속적인 버전 관리 비용이 증가되었다.

이와 같이, 앞서 설명한 종래의 NAC 및 MDM 기술은 BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있었다.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 프로파일링된 기기의 네트워크 행위 프로파일 정보를 통해 접속중인 1회 접속시의 트래픽 발생량과 임계 비율 트래픽 발생량을 분석하여 비정상 이용자를 쉽게 탐지할 수 있는 비정상 이용 탐지 방법을 제공하는데 그 목적이 있다.

또한, 본 발명은 상기와 같은 트래픽 발생량과 임계 비율의 트래픽 발생량 분석과 더불어 1회 접속시의 이용시간을 분석하여 비정상 이용자를 쉽게 탐지할 수 있는 비정상 이용 탐지 방법을 제공하는데 그 다른 목적이 있다.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.

본 발명의 일 관점에 따르면, BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 프로파일 정보를 이용한 비정상 이용 탐지 방법으로서, (a) 프로파일 데이터베이스에 저장된 프로파일 정보 중 제1 기기 프로파일 정보를 조회하여 1회 접속시의 평균 트래픽 발생량 정보와 평균 이용 시간 정보를 추출하는 단계; (b) 접속중에 발생된 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 트래픽 발생량이 상기 평균 트래픽 발생량 정보보다 초과했는지를 판단하는 단계; (c) 상기 (b) 단계의 판단 결과 초과했을 경우, 상기 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 이용 시간이 상기 평균 이용 시간 정보보다 초과했는지를 판단하는 단계; (d) 상기 (c) 단계의 판단 결과 초과했을 경우, 상기 이용 시간 대비 상기 트래픽 발생량이 미리 설정된 임계 비율을 초과했는지를 판단하는 단계; 및 (e) 상기 (d) 단계의 판단 결과 초과했을 경우, 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상인 접속인 것으로 판정하는 단계를 포함하는 비정상 이용 탐지 방법이 제공된다.

여기서, 본 발명의 일 관점에 따른 비정상 이용 탐지 방법은 (f) 상기 (b) 단계 및 (d) 단계의 판단 결과 각각 초과하지 않을 경우, 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하는 단계;를 더 포함하여 이루어질 수 있다.

또한, 본 발명의 일 관점에 따른 비정상 이용 탐지 방법은 (g) 상기 (c) 단계의 판단 결과 초과하지 않을 경우 상기 1회 접속시 평균 트래픽 발생량 정보 대비 허용 가능한 트래픽 발생량의 임계 비율을 초과하였는지를 판단하는 단계;를 더 포함하여 이루어질 수 있다.

또한, 본 발명의 일 관점에 따른 비정상 이용 탐지 방법은 (h) 상기 (g) 단계의 판단 결과, 초과했을 경우 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하는 단계;를 더 포함하여 이루어질 수 있다.

또한, 본 발명의 일 관점에 따른 비정상 이용 탐지 방법은 (i) 상기 (g) 단계의 판단 결과, 초과하지 않을 경우 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상 접속인 것으로 판정하는 단계;를 더 포함하여 이루어질 수 있다.

이상과 같이, 본 발명에 따르면, 1회 접속시의 평균 트래픽 발생량과 평균 이용 시간 초과 여부를 판단함으로써, 비정상 이용 행위를 쉽게 판단 할 수 있기 때문에 BYOD 및 스마트워크 환경에서의 보안성을 향상시킬 수 있는 효과가 있다.

특히, 위와 같이 비정상 이용 행위를 탐지하게 되면, BYOD 및 스마트워크 환경에서 내부 자원을 보호하는데 한계가 있는 기존의 NAC 및 MDM 기술을 대체할 수 있는 효과가 있다.

도 1은 본 발명의 일 실시예에 따른 비정상 이용 탐지 방법(S100)을 예시적으로 나타낸 순서도이다.
도 2는 본 발명의 일 실시예에 따른 이용 시간별 트래픽 발생량 누적 그래프를 나타낸 도면이다.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.

도 1은 본 발명의 일 실시예에 따른 비정상 이용 탐지 방법(S100)을 예시적으로 나타낸 순서도이다.

도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 비정상 이용 탐지 방법(S100)은 BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 사용자의 프로파일 정보를 이용하여 비정상 이용을 탐지하기 위하여 S110 단계 내지 S195 단계를 포함하여 이루어진다.

먼저, 본 발명에 따른 S110 단계에서는 프로파일 데이터베이스에 저장된 프로파일 정보 중 제1 기기 프로파일 정보(사용자의 송수신 데이터량에 대하여 과거부터의 누적치 기반 기기 프로파일 정보를 의미함)를 조회하여 1회 접속시의 평균 트래픽 발생량 정보와 평균 이용 시간 정보를 추출한다.

여기서, 프로파일 정보는 사용자 권한정보, 총 인증 실패횟수, 최근 접속 일시, 최초 접속 일시, 총 이용시간 및 총 접 속횟수로 이루어진 사용자 프로파일과, 기기 ID, 종류, OS, 브라우져, 기기명, MAC, 에이젼트 설치 유무, 화면 잠금 여부, 설치 프로그램 정보, 자동 로그인 설정 및 최근 접속 일시로 이루어진 제1 기기 프로파일과 기기에 따른 목적지별 송수신 데이터량을 계산한 네트워크 행위 프로파일, 접속 행위 패턴 정보로 이루어진 접속 행위 프로파일을 포함한다.

이럴 경우, 본 발명에 따른 S110 단계에서는 위와 같은 프로파일 정보 중 기기 프로파일로부터 1회 접속시의 평균 트래픽 발생량 정보와 평균 이용 시간 정보를 추출하게 된다. 이때, 평균 트래픽 발생량 정보의 평균 트래픽 발생량은 (목적지 대상) 송수신 패킷수/ 기기의 총 접속수의 식에 의하여 계산되고, 평균 이용 시간 정보의 평균 이용 시간은 기기 총 사용 시간/기기의 총 접속 횟수의 식에 의해 계산되어질 수 있다.

이후, 본 발명에 따른 S120 단계에서는 접속중에 발생된 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 트래픽 발생량이 S110 단계에 의해 추출된 평균 트래픽 발생량 정보보다 초과했는지를 판단하게 된다.

이와 같은 판단 기준으로서 적용된 평균 트래픽 발생량 정보는 사용자가 현재 사용 기기를 통해 1회 접속시에 발생된 평균 데이터량을 의미한다.

이후, 본 발명에 따른 S130 단계에서는 S120 단계의 판단 결과, 초과하지 않을 경우에는 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하게 된다.

이후, 본 발명에 따른 S140 단계에서는 S120 단계의 판단결과 초과했을 경우, 비정상 접속인 것으로 가정한 후 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 이용 시간이 평균 이용 시간 정보보다 초과했는지를 판단한다.

이와 같은 판단 기준으로서 적용된 평균 이용 시간은 사용자가 현재 사용 기기를 통해 접속시의 평균 사용 시간을 의미하고, 상기 이용 시간은 마지막 통신 시간 - 접속 시간을 의미한다.

이후, 본 발명에 따른 S150 단계에서는 S140 단계의 판단 결과 초과했을 경우, 이용 시간 대비 트래픽 발생량이 미리 설정된 임계 비율을 초과했는지를 판단하게 된다. 이때, 임계 비율은 평균 이용 시간내 평균 이상의 트래픽 발생량 허용 범위를 의미한다.

이때, 상기 이용 시간 대비 트래픽 발생량은 (목적지 대상) 사용자가 현재 사용 기기를 통해 특정 이용 시간별 사용하는 평균 데이터량을 의미하는 것으로서, (목적지 대상)송수신 패킷수/ 기기의 총 이용 시간 × 측정 대상 이용 시간의 식에 의해 계산되어질 수 있다.

그러나, 본 발명에 따른 S160 단계에서는 S140 단계의 판단 결과 초과하지 않을 경우 1회 접속시 평균 트래픽 발생량 정보 대비 허용 가능한 트래픽 발생량의 임계 비율을 초과하였는지를 판단하게 된다.

이후, 본 발명에 따른 S170 단계에서는 S160 단계의 판단 결과, 초과했을 경우 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상 접속인 것으로 판정한다.

그러나, 본 발명에 따른 S180 단계에서는 S160 단계의 판단 결과 초과하지 않을 경우 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하게 된다.

한편, 본 발명에 따른 S190 단계에서는 앞서 설명한 150 단계의 판단 결과 초과하지 않을 경우 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정한다.

그러나, 본 발명에 따른 S195 단계에서는 앞서 설명한 S150 단계의 판단 결과 초과했을 경우 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상 접속인 것으로 판정하게 된다.

이와 같이, 본 실시예에서는 위와 같은 각 과정을 통해 현재 접속중인 단말기기가 비정상 이용자임을 알수 있게 되어 BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 보안성을 높일 수 있게 된다.

도 2는 본 발명의 일 실시예에 따른 이용 시간별 트래픽 발생량 누적 그래프를 나타낸 도면이다.

도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 이용 시간별 트래픽 발생량의 누적 그래프에서는 비정상 이용 탐지를 위하여 1회 접속시 평균 이용 시간 그래프와 평균 이용 시간의 평균 트래픽 발생량을 기반으로 한 이용 시간대별 발생 가능 트래픽량의 범위 등 다양한 그래프 상태를 확인할 수 있을 것이다.

이상에서 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.

Claims

BYOD(Bring Your Own Device) 및 스마트워크 환경에서의 프로파일 정보를 이용한 비정상 이용 탐지 방법으로서,
(a) 프로파일 데이터베이스에 저장된 프로파일 정보 중 제1 기기 프로파일 정보를 조회하여 1회 접속시의 평균 트래픽 발생량 정보와 평균 이용 시간 정보를 추출하는 단계;
(b) 접속 중에 발생된 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 트래픽 발생량이 상기 평균 트래픽 발생량 정보보다 초과했는지를 판단하는 단계;
(c) 상기 (b) 단계의 판단 결과 초과했을 경우, 상기 제2 기기 프로파일 정보로부터 획득한 1회 접속시의 이용 시간이 상기 평균 이용 시간 정보보다 초과했는지를 판단하는 단계;
(d) 상기 (c) 단계의 판단 결과 초과했을 경우, 상기 이용 시간 대비 상기 트래픽 발생량이 미리 설정된 임계 비율을 초과했는지를 판단하는 단계;
(e) 상기 (d) 단계의 판단 결과 초과했을 경우, 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상인 접속인 것으로 판정하는 단계; 및
(g) 상기 (c) 단계의 판단 결과 초과하지 않을 경우 상기 1회 접속시 평균 트래픽 발생량 정보 대비 허용 가능한 트래픽 발생량의 임계 비율을 초과하였는지를 판단하는 단계를 포함하여 이루어지는 것을 특징으로 하는 비정상 이용 탐지 방법.
제1항에 있어서,
(f) 상기 (b) 단계 및 (d) 단계의 판단 결과 각각 초과하지 않을 경우, 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하는 단계;
를 더 포함하는 것을 특징으로 하는 비정상 이용 탐지 방법.
삭제
제1항에 있어서,
(h) 상기 (g) 단계의 판단 결과, 초과했을 경우 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 비정상 접속인 것으로 판정하는 단계를 더 포함하는 것을 특징으로 하는 비정상 이용 탐지 방법.
제1항에 있어서,
(i) 상기 (g) 단계의 판단 결과, 초과하지 않을 경우 상기 접속중인 제2 기기 프로파일 정보를 생성한 단말 기기에 대하여 정상 접속인 것으로 판정하는 단계를 더 포함하는 것을 특징으로 하는 비정상 이용 탐지 방법.