KR101541073B1 - 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법 - Google Patents

안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법 Download PDF

Info

Publication number
KR101541073B1
KR101541073B1 KR1020120156709A KR20120156709A KR101541073B1 KR 101541073 B1 KR101541073 B1 KR 101541073B1 KR 1020120156709 A KR1020120156709 A KR 1020120156709A KR 20120156709 A KR20120156709 A KR 20120156709A KR 101541073 B1 KR101541073 B1 KR 101541073B1
Authority
KR
South Korea
Prior art keywords
fake
situation
access point
terminal
ssid
Prior art date
Application number
KR1020120156709A
Other languages
English (en)
Other versions
KR20130079277A (ko
Inventor
정현철
김태범
김정식
Original Assignee
(주)노르마
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020110109134A external-priority patent/KR20130044842A/ko
Application filed by (주)노르마 filed Critical (주)노르마
Publication of KR20130079277A publication Critical patent/KR20130079277A/ko
Application granted granted Critical
Publication of KR101541073B1 publication Critical patent/KR101541073B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/102Route integrity, e.g. using trusted paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

엑세스포인트 선별을 위한 단말기 및 방법이 제공된다. 엑세스포인트 선별을 위한 방법은 무선 통신 서비스를 제공하는 복수의 엑세스포인트들로부터 복수의 패킷들을 수신하고, 수신된 복수의 패킷들을 분석하여 복수의 엑세스포인트들의 보안에 대한 신뢰도를 산출하며, 산출된 신뢰도 및 복수의 엑세스포인트들의 식별정보를 표시할 수 있다.

Description

안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법{Mobile Infringement Protection System based on smart apparatus for Securing Cloud Environments and Method thereof}
본 발명은 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법에 관한 것으로, 보다 상세하게는 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법과 이에 사용되는 페이크 엑세스포인트를 판단하고 수집할 수 있는 단말기에 관한 것이다.
3G는 기지국을 통해 무선 인터넷 서비스를 제공하는 통신방법이고, Wi-Fi는 엑세스포인트(Access Point)(이하, 'AP'라고도 함)를 이용하여 무선 인터넷 서비스를 제공하는 통신방법이다. 스마트폰, 타블렛 PC와 같이 휴대가 가능한 단말기들(스마트기기)은 시간과 장소의 제약없이 3G 또는 Wi-Fi를 이용하여 무선 인터넷 서비스를 사용할 수 있다. 다만, 사용자가 3G를 사용하는 경우, 사용자는 사용료를 지불하여야 하며, Wi-Fi를 사용하는 경우, 사용자는 무료로 인터넷을 사용할 수 있다. 최근에는, 많은 공공 장소와 같은 개방형 환경에서 Wi-Fi 서비스를 제공하고 있다.
그러나, 3G에 의한 인터넷은 보안 측면에서 안전한 편이나, Wi-Fi에 의한 인터넷은 AP를 이용하여 인터넷을 사용하므로, 휴대용 단말기의 보안에 대한 신뢰도가 낮다.
예를 들어, 해커와 같은 공격자가 자신(즉, 공격자)의 단말기를 AP로 가장하면, 휴대용 단말기는 그러한 AP가 공격자의 것인지를 알기가 어렵다. 따라서, 종종 휴대용 단말기가 그러한 AP에 접속하는 경우가 있을 수 있고, 이러한 경우 공격자는 접속한 휴대용 단말기에 저장된 정보를 휴대용 단말기의 사용자 몰래 인출할 수 있다. 따라서, 개방형 환경에서, AP로 가장한 공격자 단말기(이하, '페이크 AP'라고 함)를 선별할 수 있는 기술이 필요하다.
본 발명적 개념의 하나 이상의 예시적 실시예에 따르면, 페이크 AP를 수집할 수 있는 단말기, 서버 및 방법이 제공된다.
본 발명적 개념의 하나 이상의 예시적 실시예에 따르면, 복수 개의 AP들에 대한 신뢰도를 각각 산출하고, 신뢰도에 기초하여 페이크 AP와 비-페이크 AP를 선별할 수 있는 단말기 및 방법이 제공된다.
본 발명적 개념의 하나 이상의 예시적 실시예에 따르면, 단말기가, 복수 개의 AP들에 대한 신뢰도를 각각 산출하고, 신뢰도에 기초하여 페이크 AP와 비-페이크 AP를 선별할 수 있도록 동작하게 하는 프로그램이 기록된 기록매체가 제공된다.
본 발명적 개념이 하나 이상의 예시적 실시예에 따르면, 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 그 방법이 제공된다.
본 발명의 일 측면에 따르면, 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기에 있어서, 통신 서비스를 제공하는 복수의 엑세스포인트들로부터 복수의 패킷들을 수신하는 통신부; 상기 통신부가 수신한 복수의 패킷들을 분석하여 상기 복수의 엑세스포인트들 중에서 페이크 엑세스포인트를 선별하는 페이크 엑세스포인트 선별부;를 포함하며, 상기 페이크 엑세스포인트 선별부는, 제1상황(SSID는 서로 다르지만, 맥 어드레스는 동일한 경우), 제2상황(SSID와 맥 어드레스는 서로 다르지만, 수신 신호강도가 서로 동일 또는 유사한 경우), 제3상황(동일한 맥 어드레스를 가지고 있고, 수신 신호감도가 동일한 경우), 및 제4상황(SSID는 서로 다르지만, 수신 신호강도가 동일한 경우), 제5상황(엑세스포인트 제조사의 맥 어드레스가 아닌 경우) 중에서 적어도 어느 하나 이상의 상황에 해당되는지 여부를 판단하여 페이크 엑세스포인트를 선별하는 것을 특징으로 하는 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기가 제공될 수 있다.
상기 페이크 엑세스포인트 선별부는, 제6상황(휴대용 단말기의 엑세스포인트에 해당하는 경우), 및 제7상황(백앤드로 3G 망 또는 4G 망을 사용하는 경우) 중 적어도 어느 하나 이상을 추가적으로 고려하여 페이크 엑세스포인트를 선별하는 것일 수 있다.
상기 단말기 주위에 존재하는 엑세스포인트 패킷들을 수집하여 SSID와 맥 어드레스를 상기 페이크 엑세스포인트 선별부에 제공하는 엑세스포인트 스캐닝부;를 더 포함할 수 있다.
상기 엑세스포인트 스캐닝부에 의해 스캐닝된 엑세스포인트들로부터 수신한 패킷들의 수신 신호 세기를 비교하는 신호 세기 비교부;를 더 포함하며, 상기 페이크 엑세스포인트 선별부는, 상기 신호 세기 비교부에 의해 비교된 수신 신호 세기를 이용하는 것일 수 있다.
상기 페이크 엑세스포인트 선별부는, 제8상황(라우팅 경로가 다른 경우), 제9상황(SSID와 라우팅 경로가 모두 동일한 경우, 또는 SSID와 인증알고리즘과 라우팅 경로가 모두 동일한 경우), 제10상황(기정해진 암호화 순서에 해당하는 경우), 제11상황(블랙리스트 또는 화이트 리스트에 해당되는 경우),제12상황(히든 SSID를 가진 경우), 제13상황(같은 채널을 쓰는 경우), 제14상황(위치변화가 기준횟수 이상인 경우), 및 제15상황(맥 어드레스가 스마트폰 또는 노트북 제조사의 것일 경우) 중 적어도 어느 하나 이상을 추가적으로 고려하여 산출하는 것일 수 있다.
본 발명적 개념의 하나 이상의 예시적 실시예에 따르면, 주변에 존재하는 복수 개의 엑세스포인트들 중 해킹과 같은 공격성을 가지는 엑세스포인트(페이크 AP)를 선별할 수 있다. 사용자는 그러한 선택된 페이크 AP들에 대한 리스트를 이용하여 개인 정보의 유출을 미연에 방지할 수 있다.
도 1은 본 발명의 실시 예에 따른 단말기를 포함하는 무선 통신 시스템을 도시한 도면,
도 2는 도 1에 도시된 본 발명의 일 실시 예에 따른 제1 단말기(100)를 도시한 블록도,
도 3은 본 발명의 일 실시 예에 따른 단말기의 엑세스포인트 선별을 위한 방법을 설명하기 위한 흐름도,
도 4는 도 3의 S330단계를 자세히 설명하기 위한 흐름도, 그리고
도 5는 본 발명의 일 실시예에 따른 단말기의 동작을 설명하기 위한 블럭도이고,
도 6은 본 발명의 다른 실시예에 따른 단말기(200)의 블럭도이고,
도 7은 본 발명의 다른 실시예에 따른 단말기(300)의 블럭도이고,
도 8은 본 발명의 일 실시예에 따른 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 방법을 설명하기 위한 흐름도이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시 예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시 예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.
또한, 본원 명세서에서, 공격자 단말기와 Fake AP는 특별히 구별의 실익이 없는 한 혼용하여 사용하기로 한다.
도 1은 본 발명의 실시 예에 따른 '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'을 가진 휴대용 단말기를 포함하는 무선 통신 시스템을 도시한 도면이다.
도 1을 참조하면, 무선 통신 시스템은 제1 내지 제3 AP(AP: Access Point)(10, 20, 30) 및 제1 내지 제4휴대용 단말기들(100, 110, 120, 130)을 포함한다. 여기서, AP들의 개수나, 휴대용 단말기들의 개수는 예시적인 것으로서, 본 발명적 개념이 그러한 개수들에 한정되는 것이 아님을 당업자는 이해할 수 있다.
제1 내지 제3 AP들(10, 20, 30)은 근거리에 위치하는 단말기들에게 무선 통신 서비스를 제공하기 위한 디바이스로서, 유선 또는 무선 공유기(이하, '유무선 공유기')를 예로 들 수 있다. 제1 내지 제3 AP들(10, 20, 30)은 각각 무선 통신 서비스를 제공하는 자신의 존재를 나타내는 패킷을 브로드캐스팅한다. 이 때, 브로드캐스팅되는 각 패킷의 헤더에는 맥 어드레스(MAC Address)와 SSID(Service Set Identifier)가 포함되어 있다. 맥 어드레스는 무선 통신을 위해 제1 내지 제3 AP들(10, 20, 30)에 부여된 고유한 주소이며, SSID는 제1 내지 제3 AP들(10, 20, 30)에서 제공하는 무선랜 서비스의 명칭이다.
맥 어드레스는 원칙적으로 AP들 마다 다르지만, SSID는 액섹세스 포인트들 끼리 다르기도 하고 같은 것도 있을 수 있다. 대한민국에서 흔히 볼 수 있는 SSID의 예를 들면, iptime, u+zone, myLGnet.. 등등이 있을 수 있다.
제1 및 제2휴대용 단말기(100, 130)는 음성통화, 인터넷 정보 검색, 유무선 통신에 의한 자료의 송수신, 팩스 송수신, 일정관리 등 다양한 기능을 제공할 수 있으며, 개인 컴퓨터와 같이 운영체제가 탑재되어 있을 수 있으며, 스마트폰을 예로 들 수 있다. 제3 및 제4휴대용 단말기(120, 140)는 타블렛 PC를 예로 들 수 있다.
한편, 일반적으로 AP는 무선 매체와 IEEE 802.3과 같은 유선망을 연결시켜주는 엔티티(Entity)로서, AP는 WLAN(Wireless Local Area Network) 디바이스를 위한 기지국 역할을 하며, LAN과 같은 유선망에 WLAN 디바이스를 연결시켜 줄 수 있다. 통상 이러한 인터넷 접속 방식을 Wi-Fi라고 부르기도 한다. 한편, AP가 공유기 역할을 병행하는 경우, AP는 복수의 휴대용 단말기들이 인터넷을 사용할 수 있도록 지원한다.
최근에는 도서관, 회사내, 까페 등 공공 장소에서 Wi-Fi를 이용한 인터넷 서비스를 무료로 제공하고 있다. 예를 들면, 제1 내지 제3 AP들(10, 20, 30)이 설치되었다고 가정하면, 제1 내지 제4휴대용 단말기들(100, 110, 120, 130)은 그러한 제1 내지 제3 AP들(10, 20, 30)이 브로드캐스팅하는 패킷들을 수신하여 각각의 AP에 대한 신호의 세기와 SSID를 표시한다.
사용자는 휴대용 단말기가 표시한 AP들 중에서 페이크 AP로서 선별된 AP들은 제외하고, 다른 AP들 중에서 선택하여 접속할 수 있다.
도 2는 도 1에 도시된 본 발명의 일 실시 예에 따른 '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'을 가진 단말기(100)를 도시한 블록도이다.
도 2를 참조하면, 제1휴대용 단말기(100)는 입출력부(110), 저장부(120), 통신부(130), FAKE AP 선별부(140) 및 컴퓨터 프로세서(150)를 포함할 수 있다. 여기서, FAKE AP 선별부(140)는 컴퓨터 프로세서(150)의 제어하에 메모리(160)에 로딩되어 동작할 수 있다.
본원 명세서에서, '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'이라고 함은, 'FAKE AP (페이크 엑세스포인트) 선별부'와 이러한 FAKE AP 선별부가 동작하는데 필요한 하드웨어(예를 들면, 컴퓨터 프로세서 및 메모리)를 포함하는 의미로서 사용된다.
다르게는, 본원 명세서에서, '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'은 AP 스캐닝부 및 FAKE AP 선별부와 이러한 구성요소들이 동작하는데 필요한 하드웨어(예를 들면, 컴퓨터 프로세서 및 메모리)를 포함하는 의미로서 사용된다.
또 다르게는, 본원 명세서에서, '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'은 AP 스캐닝부와 FAKE AP 선별부와 신호세기 비교부와 이러한 구성요소들이 동작하는데 필요한 하드웨어(예를 들면, 컴퓨터 프로세서 및 메모리)를 포함하는 의미로서 사용된다.
입출력부(110)는 예를 들면 터치 스크린으로 구현될 수 있으며, 사용자와 제1휴대용 단말기(100) 간의 입력 또는 출력 인터페이싱을 담당한다. 사용자는 입출력부(110)를 통해서 제1휴대용 단말기(100)에서 제공하는 기능을 사용하거나 제공받을 수 있다. 예를 들어, 입출력부(110)가 터치 스크린으로 구성된 경우, 사용자는 입출력부(100)가 표시한 기능 아이콘들 중 원하는 아이콘을 터치 방식으로 선택할 수 있다.
입출력부(100)는, 표시부(112)와 입력부(114)를 포함할 수 있다. 표시부(112)는 제1휴대용 단말기(100)의 현재 상태를 나타내는 화면을 표시할 수 있고, 입력부(114)는 터치패널 또는 조작패널 등으로 구성될 수 있으며, 이들 패널을 통해서 사용자로부터 명령을 입력받을 수 있다. 본 실시예에서 터치 방식을 사용하는 터치 스크린을 위주로 설명하였으나, LED(Light Emitting Diode), LCD(Liquid Crystal Display)와 같은 표시패널, 키보드 또는 마우스와 같은 입력장치로도 구성될 수 있을 것이다.
저장부(120)는 제1휴대용 단말기(100)의 구동에 필요한 제어 프로그램, 운영체제, 어플리케이션, 하드웨어 구동을 위한 드라이버, 및/또는 운영체제 등과 같은 프로그램들과, 제1휴대용 단말기(100)의 동작 수행에 필요한 데이터 및 동작 중 발생하는 데이터를 저장할 수 있다. 여기서, 어플리케이션은 네트워크 망을 통해서 다운로드 받아 휴대용 단말기들에 설치될 수 있다.
여기서, 저장부(140)는, 데이터 및/또는 프로그램을 일시적 또는 영구적으로 저장할 수 있는 기록매체를 의미한다. 본 실시예에서, 저장부(140)를 1개 도시하였으나, 이는 본 발명적 개념의 용이한 설명을 위한 것으로서, 본 발명적 개념이 속하는 기술분야의 당업자는, 저장부(140)를 다양한 형태(예를 들면, 램, 롬, 하드디스크, 등등)로 다양한 개수로 구현할 수 있음은 물론이다.
통신부(130)는 전화를 위해 기지국(미도시)과 통신하며, 인터넷과 같은 무선 통신 서비스를 위해 AP와 통신할 수 있다. 이를 위해 통신부(130)는 복합적인 기능을 가진 모듈로 구현될 수 있다. 통신부(130)는, 컴퓨터 프로세서(150)의 제어하에, 현재 휴대용 단말기가 위치한 장소의 근처에서, AP들에 의해 브로드캐스팅되는 패킷들을 수신할 수 있다.
도 1과 도2를 참조하면, 통신부(130)는 제1 내지 제3 AP들(10, 20, 30)이 브로드캐스팅하는 패킷들을 수신할 수 있다.
FAKE AP 선별부(140)(이하, '페이크 AP 선별부')는 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들을 분석하여, 페이크 AP들을 선별할 수 있다. 한편, 여기서 선별된 페이크 AP는 리스트(이하, '페이크 AP 리스트')의 형태로 저장부(120)에 저장될 수 있으나, 페이크 AP 리스트가 반드시 저장부(120)에 저장될 필요는 없으나 다른 저장장치(미도시)에 저장되는 것도 가능할 것이다.
예를 들어, 페이크 AP 선별부(140)는 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들에 포함된 데이터들 중 맥 어드레스, SSID 및 수신 신호감도 중 적어도 어느 하나를 분석하여, 각 제1 내지 제3엑세스포인트들(10, 20, 30)이 페이크 AP 인지 여부를 선별할 수 있다.
예를 들면, 페이크 AP 선별부(140)는 다음과 같은 방법으로 페이크 AP들을 선별할 수 있다.
제1예를 들면, 페이크 AP 선별부(140), 각 AP 별로 신뢰도를 산출한 후, 그러한 신뢰도를 기준으로 페이크 AP들을 선별할 수 있다. 여기서, 신뢰도는 제1 내지 제3엑세스포인트들(10, 20, 30)이 페이크 AP일 가능성을 나타내는 지수로서, 신뢰도가 가장 적은 수치이거나 또는 특정 수치 이하인 경우가 페이크 AP로서 선별될 수 있다.
제2예를 들면, 페이크 AP 선별부(140)는, 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들을 분석하여, 특정 상황에 해당되면 페이크 AP로서 선별할 수 있다. 제2예의 경우에는, 미리 페이크 AP에 해당하는 경우를 저장하여 두고, 그러한 경우에 해당하면 페이크 AP로서 선별하는 방법이다.
제1상황
제1상황, SSID는 서로 다르지만 맥 어드레스는 동일한 경우이다.
예를 들면, 페이크 AP 선별부(140)는 제1 내지 제3 AP들(10, 20, 30)로부터 수신된 패킷들에 포함된 맥 어드레스와 SSID를 분석하여, 제1 내지 제3 AP들(10, 20, 30)중에서 페이크 AP를 선별할 수 있다.
예를 들면, 페이크 AP 선별부(140)는 제1 내지 제3 AP들(10, 20, 30) 중에서, SSID는 서로 다르고, 동일한 맥 어드레스를 가지는 AP들을 페이크 AP로서 선별할 수 있다.
2개의 AP의 SSID들이 서로 다르나, 맥 어드레스는 서로 동일하다는 것은, 그 2개의 AP는 서로 별개의 것이 아니고 실제로는 하나의 장치임을 나타낸다. 따라서, 그러한 AP들은 공격자 단말기일 확률이 높다.
페이크 AP 선별부(140)는, 제1엑세스포인트(10)가 제1상황에 해당하면 페이크 AP로서 선별할 수 있다.
한편, 페이크 AP 선별부(140)는, 제1상황에 해당하더라도 후술하는 다른 상황들 중 적어도 어느 하나 이상의 상황들을 고려하여, 페이크 AP로 판단할 수 있다. 예를 들면, 각 상황별에 값을 부여하고, 그러한 값들의 합계가 소정의 값 이상이 되는 경우, 페이크 AP 선별부(140)는 해당 AP를 페이크 AP로서 선별할 수 있다.
제2상황
제2상황은, SSID와 MAC 어드레스가 서로 다른 AP인데도, 이들 AP의 각 패킷의 수신 신호 강도가 서로 동일 또는 유사한 경우이다.
페이크 AP 선별부(140)는, 엑세스포인트들로부터 브로드캐스팅되는 패킷들의 신호 강도를 확인하여, 페이크 AP를 찾을 수 있다. SSID와 MAC 어드레스가 서로 다른 AP의 경우에도, 페이크 AP에 해당될 수 있다. 즉, 페이크 AP는 MAC 어드레스와 SSID가 다른 패킷을 브로드캐스팅할 수 있으며, 이러한 경우에는 MAC 어드레스와 SSID만으로 페이크 AP를 선별할 수 없다. 이를 해결하기 위해서, 페이크 AP 선별부(140)는, 각 패킷의 신호 강도가 동일 또는 유사한지 여부를 판단하고, 만약 신호강도가 동일 또는 유사하다면 페이크 AP로서 선별할 수 있다.
예를 들어, MAC 어드레스와 SSID가 서로 다른 제1 AP와 제2 AP가 있다고 가정한다. 이러한 경우, 페이크 AP 선별부(140)는 제1 AP의 신호 강도와 제2 AP의 신호 강도를 비교하여 양자가 동일 또는 유사한지를 판단한다. 만약 동일 또는 유사하다면, 제1 AP와 제2 AP는 실제로는 동일한 단말기로서 페이크 AP일 가능성이 크다고 판단하고, 페이크 AP 선별부(140)는 제1 AP와 제2 AP를 페이크 AP로서 선별할 수 있다.
상술한 실시예에서, AP의 신호 강도를 비교하는 동작을 페이크 AP 선별부(140)가 수행하는 것으로 설명하였지만, 이는 예시적인 것으로서 페이크 AP 선별부가 아닌 다른 별도의 구성요소를 마련하여 AP의 신호 강도를 비교하는 동작을 수행하도록 하는 것도 가능하다.
AP의 신호 강도를 비교하는 동작은 예를 들면, 각 AP의 신호에 대하여 소정의 시간영역동안 제곱하여 서로 동일한지 여부를 확인함으로써, 수행가능하다. 물론 이러한 방법은 예시적인 것으로서, AP의 신호 강도가 동일 유사인지 여부를 판단하는 다른 알고리즘을 사용하는 것도 가능할 것이다.
제3상황
제3 상황은 동일한 맥 어드레스를 가진 AP들로서 패킷들의 수신 신호감도가 서로 동일한 경우이다.
페이크 AP 선별부(140)는, 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들에 포함된 데이터들 중 동일한 맥 어드레스를 가지는 패킷들을 검출하고, 검출된 패킷들의 수신 신호감도가 서로 동일한 엑세스포인트들은 페이크 AP로서 선별할 수 있다.
제4상황
제4상황은 서로 다른 SSID를 가진 AP들로서, 신호강도가 서로 동일한 경우이다.
페이크 AP 선별부(140)는 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들에 포함된 데이터들 중 맥 어드레스, SSID 및 수신 신호감도를 분석하여, SSID 는 다른데 신호강도가 서로 완전히 동일한 경우에는 그러한 엑세스포인트를 페이크 AP 로서 선별할 수 있다.
제5상황
제5상황은 제조사가 없은 맥 어드레스를 가진 AP인 경우이다.
페이크 AP 선별부(140)는 제1 내지 제3엑세스포인트들(10, 20, 30)로부터 수신된 패킷들을 분석하여 제조사가 없는 맥 어드레스를 가진 엑세스포인트를 페이크 AP로서 선별할 수 있다. 요즘 제조사들은 OID를 공개하고 있으므로, 페이크 AP 선별부(140)는 맥 어드레스에 포함된 OID와 제조사들이 공개한 OID를 비교함으로서, 제조사가 존재하지 않는 엑세스포인트를 선별할 수 있다. 여기서, 도시하지는 않았지만, 제조사가 공개하는 OID를 저장하는 서버가 별도로 구비될 수 있으며, 제1단말기(100)는 그러한 OID를 저장하는 서버로부터 제조사의 OID를 획득할 수 있다.
제6상황
제6상황은 휴대용 AP에 해당하는 경우이다.
페이크 AP 선별부(140)는 패킷을 분석하여 휴대용 AP에 해당하는 경우 페이크 AP로서 선별할 수 있다. 휴대용 AP 인지 여부는 MAC 어드레스로 구별할 수 있다. MAC 어드레스에는 통상 제조사를 나타내는 정보가 있으며, 이러한 정보를 이용하여 휴대용 AP 인지 여부를 선별할 수 있다. 이를 위해서, 저장부(120)는, AP 제조사 리스트에 대한 정보를 저장할 수 있다. 여기서, AP 제조사 리스트는 각 AP 제조사들의 목록으로서 각각의 AP 제조사들에 대하여 휴대용 AP만 생산하는지 또는 휴대용 AP는 생산하지 않는지 등을 나타낸다. 예를 들면, MAC 어드레스가 AA:BB:CC:DD:EE:EF와 같이 되어 있을 때 AA:BB:CC 부분이 제조사를 구분하는 정보로서 OUI(Organizationally Unique Identifier)라고 불리운다.
제7상황
제7상황은 AP가 Back end 단에서 3G 또는 4G 망을 사용하는 경우이다.
페이크 AP 선별부(140)는 3G 또는 4G 망을 사용하는 AP를 선별할 수 있고, 이들 AP들을 페이크 AP 로서 선별할 수 있다.
통상 AP들은 Back end 단에서 이더넷 망을 사용하는데, 종종 3G와 4G 망을 사용하는 AP 들이 있다. 하지만, Back end 단에서 3G와 4G 망을 사용하게 되면, 비용이 비싸고 통신속도가 늦어서, 3G와 4G를 사용할 이유가 적으므로, 3G와 4G를 사용하는 AP들은 페이크 AP 일 가능성이 크다. 따라서, 본 실시예에 따른 페이크 AP 선별부(140)는 3G와 4G 망을 사용하는 AP들을 페이크 AP로서 선별한다.
3G와 4G를 사용하는 AP 들을 선별하는 방법은 여러가지 방법들이 있을 수 있으며, 예를 들면 다음과 같은 방법이 있을 수 있다.
일 방법으로서, 페이크 AP 선별부(140)는 라우팅 패스 경로를 알아냄으로써, AP가, 3G 망 또는 4G 망을 Back end 단에 사용하는지를 알아낼 수 있다. 예를 들어, 페이크 AP 선별부(140)는 ICMP (Internet Control Message Protocol) 프로토콜을 사용하여 라우팅 경로 패스를 알아낼 수 있다.
이처럼 페이크 AP 선별부(140)가 라우팅 패스 경로를 직접 알아낼 수 도 있고, 이와 다르게, 페이크 AP 선별부(140)가 단말기(100)가 가진 운영체제(0S)를 호출하여 운영체제(0S)가 라우팅 경로 패스를 알아내도록 할 수 있다. 운영체제(OS)가 ICMP (Internet Control Message Protocol) 프로토콜을 사용하여 라우팅 경로 패스를 알아내면, 그 결과를 페이크 AP 선별부(140)에게 통지한다.
여기서, 운영체제(0S)는 저장부(120) 또는 도시되지 않은 다른 저장부에 저장되어 있다가, 메모리(미도시)에 로딩되어 동작할 수 있다.
도 5는 본 발명의 일 실시예에 따른 단말기의 동작을 설명하기 위한 블럭도로서, 도 5를 참조하여, ICMP 프로토콜을 사용하여 라우팅 패스 경로를 알아내는 방법을 설명하기로 한다.
페이크 AP 선별부(140)가 ICMP 트랜스 라우팅 메시지를 AP에게 전송하면, AP는 자신의 IP 어드레스를 알려주고, AP와 연결된 라우터들(R1, R2)도 자신의 IP 어드레스를 단말기(100)에게 알려준다. 한편, 게이트웨이도 자신의 IP 어드레스를 단말기(100)에게 알려주는데, 단말기(100)는, 게이트웨이의 IP 어드레스를 참조하면 Back end 단에서 3G 망 또는 4G 망을 사용하는지를 알 수 있다.
상술한 3G 망 또는 4G 망을 Back end 단에서 사용하는 AP들을 선별하는 방법은 예시적인 것으로서 본원 발명이 그러한 방법에만 한정되는 것이 아님은 물론이다.
제8상황
제8상황은 기저장하고 있는 라우팅 경로와 다른 라우팅 경로를 가진 AP인 경우이다.
페이크 AP 선별부(140)는, 기저장하고 있던 라우팅 경로와 다른 라우팅 경로를 가진 AP를 선별하고 페이크 AP로서 선별할 수 있다. 이를 위해서, 저장부(120)는 AP마다 라우팅 경로를 저장하여 둘 수 있다. 단말기(100)가, 라우팅 경로는 상술한 바와 같이 ICMP 프로토콜을 사용하여 알아낼 수 있다.
제9상황
제9상황은, 과거 접속하였던 AP들 중 적어도 어느 하나의 AP의 SSID와 라우팅 경로가 현재 스캐닝한 AP의 SSID와 라우팅 경로가 동일한 경우, 또는 SSID와 라우팅 경로와 인증알고리즘까지 동일한 경우이다.
특정 타입의 단말기들은, 한번 접속하였던 AP에 대하여 자동접속하는 기능을 가지고 있는 단말기들이 있다.
예를 들면, 종래의 특정 타입의 단말기는 소정의 위치에서 무선인터넷 서비스를 이용하고자 하는 경우, 자산(단말기) 주위의 AP 들을 스캐닝하여 접속 가능한 AP들을 찾는다. 그리고, 단말기는, 찾은 AP들 중에서, 과거에 자신(단말기)이 접속하였던 AP와 i) 양자의 SSID가 동일하거나 또는 ii) 양자의 SSID가 동일하고 인증알고리즘이 동일한 경우에는, 단말기 사용자에게 접속 여부를 묻지 않고 과거에 접속하였던 AP로 자동으로 접속한다. 이러한, 허점을 Fake AP가 이용할 수 있다.
본 실시예에 따른 단말기(100)는, 그러한 Fake AP를 선별하기 위해서, 과거 접속하였던 AP들 각각에 대한 라우팅 경로를 적어도 2홉 이상 저장하여 둔다. 저장부(120)가 AP들 각각에 대한 라우팅 경로를 적어도 2홉 이상 저장할 수 있다. 또한, 본 실시예에 따른 단말기는, 과거에 접속하였던 AP들 각각에 대한 SSID와 인증알고리즘을 저장부(120)에 저장하여 둔다.
예를 들어, 단말기(100)는, 현재 위치에서 스캐닝된 AP들 중 어느 하나의 AP에 접속하려고 할 때, 그 스캐닝된 AP들의 SSID와 인증알고리즘을 확인한다. 그리고, 저장부(120)에 저장하여 둔 과거에 접속하였던 AP들의 SSID와 인증알고리즘을 비교한다.
비교 결과, 현재 위치에서 단말기(100)가 스캐닝한 AP들 중에서, 단말기(100)가 과거에 접속하였던 AP(이하, '기접속 AP'라고 함)의 i) SSID와 동일한 SSID를 가지고 있거나 또는 ii) 기 접속 AP의 SSID가 동일하고 동시에 인증알고리즘이 동일한 AP(설명의 편의를 위해서, 위 i) 또는 ii)에 해당하는 AP를 'i)ii)_AP'라고 함) 가 있는지 확인한다.
만약 단말기(100)가 현재 위치한 곳에서 스캐닝한 AP들 중에서, 'i)ii)_AP'에 해당하는 AP가 있다면, 단말기(100)는 'i)ii)_AP'에 대하여 라우팅 경로를 확인하는 동작을 수행한다.
즉, 단말기(100)는, 'i)ii)_AP'의 라우팅 경로와, 저장부(120)에 저장되어 있는 '기접속 AP'의 라우팅 경로가 동일한지를 확인하고, 양자가 동일하지 않으면, 'i)ii)_AP'에 대하여 Fake AP로 취급한다.
상술한 실시예에서, SSID와 인증알고리즘을 비교하고, 라우팅 경로를 확인하는 동작은 페이크 AP 선별부(140)에 의해 직접 수행될 수 있다.
다르게는, 페이크 AP 선별부(140)가 단말기(100)의 운영체제를 호출하여 'i)ii)_AP'의 라우팅 경로를 알아내도록 하고, 운영체제가 'i)ii)_AP'의 라우팅 경로를 알아내어 페이크 AP 선별부(140)에게 알려줄 수 있다.
페이크 AP 선별부(140)나 운영체제는, AP에 접속할 때마다, 접속한 AP의 SSID와 인증알고리즘 및 라우팅 경로를 저장부(120)에 저장하여 둘 수 있다.
상술한 실시예에서, 접속한 AP의 SSID와 인증알고리즘 및 라우팅 경로를저장부(120)에 저장하는 것으로 설명하였지만, 다른 저장부(미도시)에 각각 별도로 저장되는 것도 가능하다. 여기서, 다른 저장부(미도시)는 단말기(100)가 가지거나, 또는 단말기(100)와 통신을 통해서 연결된 장치(예를 들면, 클라우드 서버나 웹하드 등과 같이 네트워크를 통해서 저장장치를 제공하는 장치)일 수 있다.
제10상황
기정해진 시간적 순서대로 암호화를 하는 AP의 경우이다.
페이크 AP 선별부(140)는 스캐닝된 AP들의 암호화 방식의 시간적 변화를 고려하여, 각각의 AP들 중에서 페이크 AP를 선별할 수 있다.
예를 들면 암호화 방식이 OPEN, WEP, WPA, 및 WPA2 네가지 방식이 있고, 이들은 OPEN < WEP < WPA < WPA2 순으로 암호화의 정도가 강해진다고 하자.
예를 들어, 제1 AP가 처음에는 암호화 방식을 WPA2로 하다가 WEP로 바꾸었다면, 이러한 경우 페이크 AP 선별부(140)를 페이크 AP로서 선별할 수 있다. 즉, 암호화 방식의 시간적 변화가, 암호화의 정도가 강한 것에서 약한 것으로 변화되면 페이크 AP로서 선별할 수 있다.
페이크 AP 선별부(140)는, 현재 위치에서 스캐닝한 AP들에 대한 암호화 방식의 변화를, 단말기(100)가 가진 메모리(미도시)에 저장시켜둘 수있다.
제11상황
AP가, 기저장된 블랙리스트 또는 화이트 리스트에 포함되는 경우이다.
저장부(120)는, SSID에 대한 블랙 리스트와 화이트 리스트를 저장하고 있으며, 페이크 AP 선별부(140)는 그러한 리스트를 이용하여 페이크 AP를 선별할 수 있다. 예를 들면, 블랙 리스트에 특정 AP의 SSID가 포함된 경우는 페이크 AP로서 선별하며, 화이트 리스트에 특정 AP의 SSID가 포함된 경우는 페이크 AP로서 선별하지 않는다. 다르게는, 저장부(120)는 맥 어드레스에 대한 블랙 리스트와 화이트 리스트를 저장할 수도 있다. 이러한 경우, 페이크 AP 선별부(140)는 이러한 리스트를 이용하여 페이크 AP를 선별할 수 있다. 예를 들면, 블랙 리스트에 특정 AP의 맥 어드레스가 포함된 경우는 페이크 AP로서 선별하며, 화이트 리스트에 특정 AP의 맥 어드레스가 포함된 경우는 페이크 AP로서 선별하지 않는다.
한편, 저장부(120)가 저장하는 맥 어드레스에 대한 리스트(블랙, 화이트)에는 제품의 종류(스마트폰, PC, 프린터, 카메라, 등)와 모델 명칭이 더 포함되어 있을 수 있다. 또한, 맥 어드레스에 대한 리스트에는 제품의 종류 및 모델 다 보안에 취약한 취약점이 더 포함되어 있을 수 있다. 접속하고자 하는 AP의 맥 어드레스가 취약점이 많은 모델이면, 신뢰도 산출시에 낮게 하거나 페이크 AP로 판단할 수 있다.
제12상황
히든 SSID를 가진 AP가 있는 경우이다.
페이크 AP 선별부(140)는 엑세스포인트가 히든 SSID를 가진 경우에는 페이크 AP가 아닌것으로 취급한다. 다르게는, 비록 엑세스포인트가 히든 SSID를 가진 경우라도, 바로 페이크 AP로 취급하는 것은 아니며 다른 상황들을 같이 고려하여 페이크 AP를 선별한다.
제13상황
같은 채널을 사용하는 AP들이 있는 경우이다.
페이크 AP 선별부는, 같은 채널을 사용하는 AP들이 많은 경우, 그러한 AP들에 대하여는 페이크 AP로서 선별할 수 있다. 통상적으로, 서로 인접한 AP들은 서로 다른 대역의 채널을 사용하는데, Fake AP들의 경우는 모두 동일한 대역의 채널을 사용할 가능성이 높으므로, 특정 지역에서 동일한 대역의 채널을 사용하는 AP들이 매우 많다면 그 동일한 대역을 사용하는 AP들은 모두 Fake AP 일 가능성이 높을 것이다. 다르게는, 비록 같은 채널을 사용하는 엑세스포인트들이라도, 바로 페이크 AP로 취급하는 것은 아니며 다른 상황들을 같이 고려하여 페이크 AP를 선별한다.
제14상황
AP들의 시간적 위치변화가 기준횟수 이상으로 변화되는 경우이다.
페이크 AP 선별부(140)는 시간의 흐름에 따른 AP들의 위치 히스토리를 참조하여 페이크 AP를 선별할 수 있다. 예를 들면, 각 AP들의 위치 값을 제1휴대용 단말기(100)가 추적하여 시간대별로 메모리(미도시) 또는 저장부(120)에 저장할 수 있으며, 그 추적 결과를 페이크 AP 선별부(140)가 참조하여, 페이크 AP인지 여부를 판별할 수 있다.
제15상황
제15상황은 맥 어드레스가 스마트폰(또는 노트북) 제조사의 어드레스에 해당되는 경우이다.
페이크 AP 선별부(140)는 제1 내지 제3 AP들(10, 20, 30)로부터 수신된 패킷들에 포함된 맥 어드레스가 스마트폰(또는 노트북) 제조사의 맥 어드레스인지 확인하고, 스마트폰(또는 노트북) 제조사의 맥 어드레스인 경우, 페이크 AP로서 선별할 수 있다.
페이크 AP 선별부(140)는 상술한 제1 상황 내지 제15상황 중 특정 상황에 해당하는 경우에는, 다른 상황들을 고려하지 않고, 페이크 AP로 선별할 수 있다. 예를 들면, 제1상황에 해당되는 AP는 거의 공격자의 것일 가능성이 크므로, 제1상황에 해당되는 AP에 대하여는 페이크 AP로 선별한다.
다른 예를 들면, 블랙 리스트에 포함된 AP에 대하여도 페이크 AP로서 선별할 수 있다. 반면, 화이트 리스트에 포함된 AP에 대하여는 페이크 AP로 선별하지 않는다.
페이크 AP 선별부(140)는 상술한 제1 상황 내지 제15상황 중 여러 상황에 해당되는 경우, 각 상황에 대하여 미리 설정한 가중치를 적용하여, 신뢰도를 산출한 후, 그 신뢰도에 따라서 페이크 AP로 선별여부를 결정할 수 있다.
예를 들면, 제1 내지 제3 AP들(10, 20, 30)의 SSID가 모두 다르고, 맥 어드레스도 모두 다르지만, 제1 AP(10)와 제2 AP(20)는 서로 동일한 수신 신호강도를 가지고 있다고 하자. SSID와 맥 어드레스가 서로 다름에도 불구하고 수신 신호감도가 동일한 것은, 동일한 장소로부터 패킷이 브로드캐스팅되었을 가능성이 있고, 제1 AP(10)와 제2 (AP)는 공격자 단말기일 확률이 있다.
이러한 경우, 페이크 AP 선별부(140)는 제1 AP(10)와 제2 AP(20)의 신뢰도를 제3 AP(30)의 신뢰도보다 낮게 산출할 수 있다.
페이크 AP 선별부(140)가 신뢰도를 산출하는 방법은 예를 들면 다음들 중 어느 하나일 수 있다.
첫번째, 제1 내지 제15상황에 따라서 신뢰도를 '상', '중', '하'등과 같이 그레이드로 구분하는 것이다. 예를 들면, 제1 상황에 해당된 경우에는, 다른 상황에 해당 여부와 무관하게 항상 '권장 안 함'이라는 신뢰도를 산출하는 것이다. 다른 예를 들면, 제2상황과 제5상황에 해당되면, '권장 안함'으로 산출하는 것이다. 또 다른 예를 들면, 어떠한 상황에도 해당되지 않으면, '권장'으로 산출하는 것이다. 이와 같은 방식으로, 본 발명기술분야에 속하는 자는, 제1 내지 제15상황을 조합하여 적절하게 그레이드를 부여할 수 있을 것이다.
신뢰도(그레이드) 내용
상(권장함,안전함) 제10상황에서 화이트리스트에 포함된 경우
제1 내지 제15상황 어떠한 상황에도 해당되지 않는 경우
중(보통) 제4상황에만 해당하는 경우
하(권장않함, 위험) 제1상황에 해당되는 경우;
제1 내지 제15상황 중 적어도 3개 이상의 상황에 해당되는 경우;
제10상황에서 블랙리스트에 포함된 경우;
<표1>은 예시적인 것으로서 이해의 편의를 위해서 몇가지 상황에 대하여만 예시적으로 그레이드를 부여한 것이다. 페이크 AP 선별부(140)는 단말기(100)가 위치한 곳의 주위에서 스캐닝한 AP들에 대하여, 제1 상황 내지 제15상황 중 어떠한 상황에 해당되는지를 판단하고, 위 <표1>과 같은 상황별 신뢰도를 정한 표(상황별-신뢰도표)를 참조하여 신뢰도를 산출할 수 있다.
두번째, 제1 내지 제15상황에 해당하는 정도를 수학적으로 계산한 후, 그 값에 맞는 그레이드 찾아서 신뢰도로서 부여하는 것이다. 예를 들면, 페이크 AP 선별부(140)는 다음의 식을 사용하여 M을 구하고, <표2>를 참조하여, 신뢰도를 산출할 수 있을 것이다.
M = (A×X)+(B×Y)+(C×Z)+(D+W)
본 식은 설명의 편의를 위해서 제1 내지 제4상황에 대하여만 고려한 것으로서, X, Y, Z, W는 각각 제1상황, 제2상황, 제3상황, 및 제4상황에 대응되는 값이고, A, B, C, 및 D는 각 상황에 부여되는 가중치이다.
예를 들면, X는 제1상황에 해당되는 경우에는, 그 값이 '0'이고, 제1상황에 해당되지 않는 경우에는 그 값이 '25'이다. Y는 제2상황에 해당되는 경우에는 그 값이 '0'이고 제2상황에 해당되지 않는 경우에는 그 값이 '25'이다. Z와
A, B, C, D는 예를 들면 각각 2, 1.5, 1. 2, 1.7 과 같이 부여될 수 있다.
신뢰도(그레이드) M값
상(권장함, 안전함) 90이상
중(보통) 60 내지 90미만
하(권장하지 않음. 위험함) 60 미만
상술한 수치들은 모두 예시적인 것이므로 본 발명적 개념이 그러한 수치들에만 한정되는 것이 아님은 물론이다.
컴퓨터 프로세서(150)는 저장부(120)에 저장된 제어 프로그램, 운영체제, 어플리케이션을 메모리(160)에 로딩시켜 동작시킴으로써 제1휴대용 단말기(100)의 동작을 제어할 수 있다. 예를 들어, 컴퓨터 프로세서(150)는 사용자가 입력부(114)를 통해 복수의 어플리케이션들 중 하나를 선택하면, 선택된 어플리케이션을 메모리(160)에 로딩시켜 구동하며, 어플리케이션이 구동화면을 표시부(112)에 표시할 수 있다.
또한, 컴퓨터 프로세서(150)는 사용자가 무선 통신 서비스를 요청하면, 통신부(130)를 제어하여 주위의 AP들 예를 들면 제1 내지 제3 AP들(10, 20, 30)로부터 패킷을 수신하도록 하고, 페이크 AP 선별부(140)를 제어하여 통신부(130)가 수신한 패킷들을 분석하여 제1 내지 제3 AP들(10, 20, 30) 들 각각에 대한 신뢰도를 산출하고 그 신뢰도에 따라서 페이크 AP를 선별하도록 한다.
페이크 AP 선별부(140)에 의해 신뢰도가 산출되면, 컴퓨터 프로세서(150)는 산출된 신뢰도와 페이크 AP 여부와, 각 AP의 식별정보(예를 들어, SSID)를 보여주는 화면을 생성하고, 생성된 화면을 표시부(112)가 표시하도록 제어할 수 있다. 이로써, 사용자는 사용가능한 주변의 제1 내지 제3 AP들(10, 20, 30) 중 위험한 AP를 쉽게 구별할 수 있으며, 보안과 관련된 위험을 방지할 수 있다.
또는 컴퓨터 프로세서(150)는 페이크 AP 선별부(140)에서 동일한 맥 어드레스를 사용하는 AP들(예를 들어, 제1 AP(10))이 발견될 경우 '위험', 맥 제조사가 알려진 회사, 예를 들어, SAMSUNG, LG이면 제1 AP(10)를 스마트폰으로 정하고 '위험', OUI 규격으로 등록되어 있지 않은 맥 어드레스인 경우 '의심', 맥 어드레스는 다르지만 동일한 신호 감도를 가지는 경우, '의심'이라는 정보를 보여주는 화면을 생성하고, 생성된 화면을 표시부(112)에 표시할 수 있다.
상술한 방법에 의해 신뢰도가 산출되고, 페이크 AP 인지 여부가 결정(판단)되면, 컴퓨터 프로세서(150)는 산출된 신뢰도와 페이크 AP 여부 및 각 AP의 식별정보(예를 들어, SSID)를 보여주는 화면을 생성하고, 생성된 화면을 표시부(112)에 표시할 수 있다.
상술한 실시예에서, 저장부(120)에 제어 프로그램, 운영체제, 및 어플리케이션이 모두 저장된 것으로 설명하였으나 이는 예시적인 것으로서 서로 다른 별도의 저장부에 저장될 수 있음은 물론이다. 예를 들면 제어 프로그램과 운영체제를 저장하는 저장부와 어플리케이션이 저장된 저장부를 별도로 마련할 수 있다. 또한, 이들 제어 프로그램, 운영체제, 및 어플리케이션이 동작할 때는 램과 같이 휘발성 저장부(미도시)에 로딩되어 동작될 수 있으며, 이러한 기술은 널리 알려진 것이므로 더 상세히 설명하지는 않기로 한다.
상술한 실시예에서, 저장부(120)에 제어 프로그램, 운영체제, 및 어플리케이션이 모두 저장된 것으로 설명하였으나 이는 예시적인 것으로서 서로 다른 별도의 저장부에 저장될 수 있음은 물론이다. 예를 들면 제어 프로그램과 운영체제를 저장하는 저장부와 어플리케이션이 저장된 저장부를 별도로 마련할 수 있다. 또한, 이들 제어 프로그램, 운영체제, 및 어플리케이션이 동작할 때는 램과 같이 휘발성 저장부(미도시)에 로딩되어 동작될 수 있으며, 이러한 기술은 널리 알려진 것이므로 더 상세히 설명하지는 않기로 한다.
도 3은 본 발명의 일 실시 예에 따른 단말기의 엑세스포인트 선별을 위한 방법을 설명하기 위한 흐름도이다.
도 3의 엑세스포인트 선별을 위한 방법을 수행하는 단말기는 도 2를 참조하여 설명한 제1단말기(100)이거나 또는 제1단말기(100)에 설치된 어플리케이션 및/또는 하드웨어 형태로 구현될 수 있다.
S300단계 내지 S320단계에서, 제1 내지 제3엑세스포인트들은 무선 통신 서비스를 제공하는 자신들의 존재를 알리기 위해 각각 적어도 하나의 패킷을 브로드캐스팅할 수 있다.
S330단계에서, 주변의 무선신호의 검색을 사용자로부터 요청받은 단말기는 수신된 패킷들을 분석하여 제1 내지 제3엑세스포인트들의 신뢰도를 산출할 수 있다.
S350단계에서, 단말기는 S330단계에서 산출된 신뢰도에 기초하여 페이크 AP를 선별할 수 있다.
도 4는 도 3의 S330단계를 자세히 설명하기 위한 흐름도이다.
S410단계에서, 단말기는 수신된 패킷들에 포함된 맥 어드레스, SSID 및 수신 신호감도를 확인할 수 있다.
S420단계에서, 단말기는 확인된 맥 어드레스들 중 동일한 맥 어드레스가 존재하는지 확인한다.
동일한 맥 어드레스가 존재하면(S420-Y), S430단계에서, 단말기는 수신 신호감도를 더 고려할지를 정할 수 있다.
수신 신호감도를 더 고려하는 경우(S430-Y), S440단계에서, 단말기는 S420단계에서 확인된 동일한 맥 어드레스를 가지는 패킷들의 수신 신호감도들 중 동일한 신호감도가 존재하는지 확인할 수 있다.
동일한 신호감도가 존재하면(S440-Y), 단말기는 동일한 맥 어드레스를 가지는 패킷들 중 동일한 신호감도를 가지는 패킷을 송신한 엑세스포인트, 즉, 제1엑세스포인트의 신뢰도를 산출한다. 이 때, 제1엑세스포인트의 신뢰도는 최저의 수치로 산출될 수 있다. 이는, 패킷의 맥 어드레스가 동일하면서 신호감도도 동일함은, 제1엑세스포인트로부터 복수 개의 패킷들이 브로드캐스팅된 것이며, 따라서, 제1엑세스포인트는 페이크 AP일 확률이 높기 때문이다.
한편, 수신 신호감도를 더 고려하지 않는 경우(S430-N), S460단계에서, 단말기는 S420단계에서 확인된 동일한 맥 어드레스를 가지는 패킷들을 송신한 엑세스포인트, 즉, 제1엑세스포인트의 신뢰도를 산출한다. 이 때, 제1엑세스포인트의 신뢰도는 낮은 수치로 산출될 수 있다. 이는, 패킷의 맥 어드레스가 동일함은, 제1엑세스포인트로부터 복수 개의 패킷들이 브로드캐스팅된 것이며, 따라서, 제1엑세스포인트는 페이크 AP일 확률이 높기 때문이다.
또한, 동일한 맥 어드레스가 존재하지 않으면(S420-N), S470단계에서, 단말기는 S410단계에서 확인된 패킷들의 수신 신호감도들 중 동일한 신호감도가 존재하는지 확인할 수 있다.
동일한 신호감도가 존재하면(S470-Y), S480단계에서, 단말기는 동일한 맥 어드레스를 가지는 패킷들 중 동일한 신호감도를 가지는 패킷을 송신한 제1엑세스포인트의 신뢰도를 산출한다. 이 때, 제1엑세스포인트의 신뢰도는 낮은 수치로 산출될 수 있다. 이는, 패킷들의 맥 어드레스와 SSID가 동일하지 않더라도, 수신 신호감도가 동일함은 동일한 제1엑세스포인트에서 복수 개의 패킷들이 브로드캐스팅된 것이며, 따라서, 제1엑세스포인트는 페이크 AP일 확률이 높기 때문이다.
반면, 동일한 신호감도가 존재하지 않으면(S470-N), S490단계에서, 단말기는 페이크 AP가 주변에 존재하지 않는 것으로 판단하고, 패킷을 브로드캐스팅한 모든 제1 내지 제3엑세스포인트들의 신뢰도를 산출한다.
상술한 실시예들에서, 페이크 AP 선별부가 페이크 AP(또는 페이크 AP)를 선별하는 동작과 신뢰성 수치를 부여하는 동작을 모두 가진 것으로 설명하였으나, 이는 예시적인 것으로서 페이크 AP를 선별하는 동작을 수행하는 구성요소를 별도로 마련하고, 페이크 AP 선별부는 신뢰성 수치를 부여하는 동작을 수행하도록 구성하는 것도 가능할 것이다.
상술한 실시예들과 달리, 페이크 AP를 다른 방법으로서, 핑거 프린팅 방법이 제공될 수 있다. 이러한 방법은, 채널(주파수 대역), 할당받은 IP, SSID, 맥 어드레스, 인증방식을 모두 검사하는 방법이다.
예를 들면, 단말기가 정상적인 AP와 통신중에 페이크 AP가 끼어들 수 있다. 이러한 경우, 핑거 프린팅 기법을 이용하여 판단할 수 있다. 구체적인 예를 들면, 단말기는 2개의 핑거 프린링을 받을 수 있다. 즉, A라는 AP가 있을 때 단말기는 A에 접속하기 전에 핑거 프린팅(SSID, BSSID, 인증방식, 채널)을 받고, A에 접속한 후에도 핑거 프린팅(SSID, BSSID, 인증방식, 채널, 라우팅패스-k홉)을 받는다. 접속전의 핑거 프린팅은 단말기가 A에 접속하기 전에 A 가 정상인지 여부를 판단하기 위함이고, 접속후의 핑거 프린팅은 단말기와 AP가 통신중에 발생되느 페이크 AP를 탐지하기 위함이다. 이러한 핑거 프린팅 기법은, 상술한 도면 1 내지 도 5를 참조하여 설명한 실시예들과 같이 결합되어 실시될 수 있다. 즉, 상술한 제1 상황 내지 제 15 상황과 결합되어 페이크 AP인지 여부를 종합적으로 판단할 수 있다.
도 6은 본 발명의 다른 실시 예에 따른 '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'을 가진 단말기(200)를 도시한 구성 블록도이다.
도 6을 참조하면, 단말기(200)는 메모리(203), CPU(215), H/W 리소스들(218), S/W 리소스들(220), 및 입출력부(222)를 포함할 수 있다.
메모리(203)에는, 본 발명적 개념에 따른 신뢰성 있는 AP 정보를 제공하는 어플리케이션(205)과 운영체제(207)이 CPU(215)의 제어하에 로딩된다.
H/W 리소스들(218)과 S/W 리소스들(220)은 단말기(200)의 동작에 필요한 각각의 하드웨어 자원들과 소프트웨어 자원들을 의미하며, 특히 이들 리소스들(218, 220)은 어플리케이션(205), 운영체제(207), 메모리(203), 및 CPU(215)의 동작에 필요한 하드웨어 자원들과 소프트웨어 자원들을 의미한다.
운영체제(207)는, H/W 리소스들(218) 중의 하나인 하드 디스크에 저장되어 있다가, 단말기(200)에 전원이 들어오면 CPU(215)의 제어하에 메모리(203)에 로딩되어 동작할 수 있다.
어플리케이션(205)은, H/W 리소스들(218) 중의 하나인 하드 디스크에 저장되어 있다가, 사용자의 요청에 의거 CPU(215)의 제어하에 메모리(203)에 로딩되어 동작할 수 있다.
어플리케이션(205)은, AP 스캐닝부(209), 및 FP 선별부(211)(이하, '페이크 AP 선별부'라고 함)를 포함할 수 있다.
AP 스캐닝부(209)는 단말기(200) 주위에 존재하는 AP패킷들을 수집하여 SSID와 맥 어드레스를 페이크 AP 선별부(211)에 제공한다. 예를 들면, AP 스캐닝부(209)는 운영체제(207)의 API(213)를 호출하여, 단말기(200) 주위에 존재하는 AP 패킷들을 수집하도록 명령할 수 있다. API(213)는 자신이 직접하거나 또는 운영체제(207) 중의 다른 함수들이나 프로시저등을 호출하여, AP 스캐닝부(209)가 명령한 동작을 수행하도록 하고, 그 결과를 AP 스캐닝부(209)로 제공하거나 또는 페이크 AP 선별부(211)로 제공할 수 있다.
페이크 AP 선별부(211)의 동작은 상술한 도 1 내지 도 2에서의 페이크 AP 선별부(240)가 수행하는 동작을 수행할 수 있다.
또한, 상술한 도 2의 실시예에서 페이크 AP 선별부(140)가 라우팅 경로 패스를 알아내는 동작을 수행한다고 설명하였는데, 페이크 AP 선별부(211) 역시 라우팅 경로 패스를 알아내는 동작을 수행할 수 있다. 예를 들면, 페이크 AP 선별부(211)는 API(213)를 호출하여 AP 스캐닝부(205)가 스캐닝한 AP들에 대한 라우팅 경로 패스를 알아낼 것을 지시할 수 있다. API(213)는 그러한 지시에 의거하여 자신이 직접 라우팅 경로 패스를 알아내거나, 또는 운영체제에 속한 다른 함수나 프로시저 등을 호출하여 라우팅 경로을 알아낼 수 있으며, 그 결과를 페이크 AP 선별부(211)로 제공한다.
다르게는, 페이크 AP 선별부(211)가 아닌 라우팅 경로 패스 경로를 알아내는 '라우팅 경로 패스 파악부'(미도시)를 페이크 AP 선별부(211)와 별개로 어플리케이션(205)이 포함하도록 구성하는 것도 가능하다. 예를 들면, '라우팅 경로 패스 파악부'는, 자신이 직접 IP 어드레스를 알아내거나, API(213)를 호출하는 방식으로 알아낼 수 있다.
또한, 상술한 도 2의 실시예에서 페이크 AP 선별부(140)가 라우터들의 IP 어드레스를 알아내는 동작을 수행한다고 설명하였는데, 페이크 AP 선별부(211) 역시 IP 어드레스를 알아내는 동작을 수행할 수 있다. 예를 들면, 페이크 AP 선별부(211)는 API(213)를 호출하여 AP 스캐닝부(205)가 스캐닝한 AP들에 대한 라우팅 경로 상에 있는 라우터들의 IP 어드레스를 알아낼 것을 지시할 수 있다. API(213)는 그러한 지시에 의거하여 자신이 직접 IP 어드레스를 알아내거나, 또는 운영체제에 속한 다른 함수나 프로시저 등을 호출하여 IP 어드레스를 알아 낼 수 있으며, 그 결과를 페이크 AP 선별부(211)로 제공한다.
다르게는, 페이크 AP 선별부(211)가 아닌 IP 어드레스를 알아내는 'IP 어드레스 파악부'를 페이크 AP 선별부(211)와 별개로 어플리케이션(205)이 포함하도록 구성하는 것도 가능하다. 예를 들면, 'IP 어드레스 파악부'는, 자신이 직접 IP 어드레스를 알아내거나, API(213)를 호출하는 방식으로 알아낼 수 있다.
입출력부(222)는 도 2의 도면번호 110으로 부여된 구성요소와 동일 유사한 기능을 수행하므로, 그 상세한 설명은 생략하기로 한다.
도 6 실시예에서, 어플리케이션(205)는, 단말기(200)가 외부 서버로부터 인터넷망을 통해서 다운로드 받아서 H/W 리소스들(218) 중의 어느 하나인 하드 디스크에 저장될 수 있다.
운영체제(207)는 외부 서버로부터 어플리케이션(205)이 다운로드되어 실행가능한 상태로 하드 디스크에 저장하며, 실행가능한 상태가 되면 어플리케이션(205)을 동작시킬 수 있는 아이콘을 입출력부(222)를 통해서 사용자에게 표시할 수 있다. 예를 들면, 운영체제(207)는, 사용자에게 단말기(200)에서 실행가능한 어플리케이션들의 아이콘들을 사용자에게 화면으로 제공할 수 있으며, 사용자는 그러한 아이콘을 선택함으로서 어플리케이션을 실행할 있다.
본 발명적 개념에 따르면, 어플리케이션(205)는 사용자의 명령에 의해 실행되거나, 또는 사용자의 명령이 없더라도 자동적으로 실행될 수 있다.
어플리케이션(205)는, AP 스캐닝부(209)에 의해 스캐닝된 AP들에 대하여 페이크 AP로서 선별된 AP 리스트와, 페이크 AP가 아닌 AP 리스트를 지속적으로 저장시키는 구성요소(미도시)를 더 포함할 수 있다.
일 실시예에 따르면 H/W 리소스들(218) 중에는, 페이크 AP 리스트 및/또는 페이크 AP가 아닌 AP 리스트를 저장하는 하드 디스크를 포함할 수 있다.
어플리케이션(205)은, 주기적으로 또는 외부 서버로부터 요청이 있는 경우, 외부서버에게 페이크 AP 리스트 및/또는 페이크 AP가 아닌 AP 리스트를 전송할 수 있다.
도 7은 본 발명의 다른 실시예에 따른 '안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템'을 가진 단말기(300)를 도시한 구성 블록도이다.
도 7을 참조하면, 단말기(300)는 메모리(303), CPU(315), H/W 리소스들(318), S/W 리소스들(320), 및 입출력부(322)를 포함할 수 있다.
메모리(303)에는, 본 발명적 개념에 따른 신뢰성 있는 AP 정보를 제공하는 어플리케이션(305)과 운영체제(307)이 CPU(315)의 제어하에 로딩된다.
H/W 리소스들(318)과 S/W 리소스들(320)은 단말기(300)의 동작에 필요한 각각의 하드웨어 자원들과 소프트웨어 자원들을 의미하며, 특히 이들 리소스들(318, 320)은 어플리케이션(305), 운영체제(307), 메모리(303), 및 CPU(315)의 동작에 필요한 하드웨어 자원들과 소프트웨어 자원들을 의미한다.
도 6의 실시예와 비교하면, 어플리케이션(305)은, 신호세기 비교부(314)를 별도로 포함하고 있다는 점에서만 차이가 있고 나머지는 동일하다. 따라서, 신호세기 비교부(314)의 동작을 위주로 설명하고, 나머지 구성요소들에 대한 설명은 생략하기로 한다. 서로 기능적으로 동일 또는 유사하기 때문이다.
페이크 AP 선별부(311)의 동작은 상술한 도 1 내지 도 2에서의 페이크 AP 선별부(140)가 수행하는 동작을 수행할 수 있다. 다만, 도 7의 실시예에서는, AP 스캐닝부(305)에 의해 스캐닝된 AP들로부터 수신한 패킷들의 수신 신호 세기를 비교하는 동작은, 페이크 AP 선별부(311)가 아닌 신호 세기 비교부(314)가 수행하여, 그 결과를 페이크 AP 선별부(311)에 제공할 수 있다.
페이크 AP 선별부(311), 역시 라우팅 경로 패스를 알아내는 동작을 수행할 수 있다. 예를 들면, 페이크 AP 선별부(311)는 API(313)를 호출하여 AP 스캐닝부(305)가 스캐닝한 AP들에 대한 라우팅 경로 패스를 알아낼 것을 지시할 수 있다. API(313)는 그러한 지시에 의거하여 자신이 직접 라우팅 경로 패스를 알아내거나, 또는 운영체제에 속한 다른 함수나 프로시저 등을 호출하여 라우팅 경로을 알아낼 수 있으며, 그 결과를 페이크 AP 선별부(311)로 제공한다.
다르게는, 페이크 AP 선별부(311)가 아닌 라우팅 경로 패스 경로를 알아내는 '라우팅 경로 패스 파악부'(미도시)를 페이크 AP 선별부(311)와 별개로 어플리케이션(305)이 포함하도록 구성하는 것도 가능하다. 예를 들면, '라우팅 경로 패스 파악부'는, 자신이 직접 IP 어드레스를 알아내거나, API(313)를 호출하는 방식으로 알아낼 수 있다.
또한, 상술한 도 2의 실시예에서 페이크 AP 선별부(140)가 라우터들의 IP 어드레스를 알아내는 동작을 수행한다고 설명하였는데, 페이크 AP 선별부(311) 역시 IP 어드레스를 알아내는 동작을 수행할 수 있다. 예를 들면, 페이크 AP 선별부(311)는 API(313)를 호출하여 AP 스캐닝부(305)가 스캐닝한 AP들에 대한 라우팅 경로 상에 있는 라우터들의 IP 어드레스를 알아낼 것을 지시할 수 있다. API(313)는 그러한 지시에 의거하여 자신이 직접 IP 어드레스를 알아내거나, 또는 운영체제에 속한 다른 함수나 프로시저 등을 호출하여 IP 어드레스를 알아 낼 수 있으며, 그 결과를 페이크 AP 선별부(311)로 제공한다.
다르게는, 페이크 AP 선별부(311)가 아닌 IP 어드레스를 알아내는 'IP 어드레스 파악부'를 페이크 AP 선별부(311)와 별개로 어플리케이션(305)이 포함하도록 구성하는 것도 가능하다. 예를 들면, 'IP 어드레스 파악부'는, 자신이 직접 IP 어드레스를 알아내거나, API(313)를 호출하는 방식으로 알아낼 수 있다.
입출력부(322)는 도 2의 도면번호 110으로 부여된 구성요소와 동일 유사한 기능을 수행하므로, 그 상세한 설명은 생략하기로 한다.
도 7의 실시예에서, 어플리케이션(305)는, 단말기(300)가 외부 서버로부터 인터넷망을 통해서 다운로드 받아서 H/W 리소스들(318) 중의 어느 하나인 하드 디스크에 저장될 수 있다.
운영체제(307)는 외부 서버로부터 어플리케이션(305)이 다운로드되어 실행가능한 상태로 하드 디스크에 저장하며, 실행가능한 상태가 되면 어플리케이션(305)을 동작시킬 수 있는 아이콘을 입출력부(322)를 통해서 사용자에게 표시할 수 있다. 예를 들면, 운영체제(307)는, 사용자에게 단말기(300)에서 실행가능한 어플리케이션들의 아이콘들을 사용자에게 화면으로 제공할 수 있으며, 사용자는 그러한 아이콘을 선택함으로서 어플리케이션을 실행할 있다.
본 발명적 개념에 따르면, 어플리케이션(305)는 사용자의 명령에 의해 실행되거나, 또는 사용자의 명령이 없더라도 자동적으로 실행될 수 있다.
도 8은 본 발명의 일 실시예에 따른 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 방법을 설명하기 위한 흐름도이다.
도 8을 참조하여, 본 발명의 일 실시예에 따른 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 방법을 설명하면, 단말기(100)가 주위 AP들에 접속하여 데이터를 송수신함에 있어서 S510, S520, S530, S540, S550, S560, 및 S570 단계를 수행할 수 있다.
S510 단계에서, 단말기(100)는 AP 접속 전에 인증단계를 수행한다. 본 단계에서는, 전술한 15가지 상황 중 적어도 어느 하나의 상황이 있는지 여부를 고려하여 페이크 AP인지를 선별한다. S510 단계에서, 예를 들면, 전술한 15가지 상황 중에서 맥 어드레스 리스트를 이용한 상황(제11상황)이나 제13상황에 해당하는지 여부를 고려할 수 있다.
S520 단계에서, 단말기(100)는 S510 단계의 수행결과 페이크 AP 에 해당되는지 여부를 판단하며, 페이크 AP에 해당되지 않으면(즉, 인증되면) S530 단계를 수행한다. 페이크 AP에 해당되지 않으면(즉, 인증되지 않으면), 해당 AP에는 접속하지 않는다(S570).
S530 단계에서, 단말기(100)는, 특정 AP에 접속한 후에, 전술한 15가지 상황 중 적어도 어느 하나의 상황이 있는지 여부를 고려하여 페이크 AP인지를 선별한다. S530 단계에서, 예를 들면, SSID나 인증 알고리즘을 이용한 상황에 해당하는지 여부를 고려할 수 있다. 다른 예를 들면, 제7상황 내지 제9상황 중 적어도 어느 하나에 해당하는지 여부를 판단하여 페이크 AP인지를 선별할 수 있다.
S540 단계에서, 단말기(100)는 S530 단계의 수행결과 페이크 AP 에 해당되는지 여부를 판단하며, 페이크 AP에 해당되지 않으면(즉, 인증되면) S550 단계를 수행한다. 페이크 AP에 해당되면(즉, 인증되지 않으면), 해당 AP에의 접속을 해제한다.
S550 단계에서, 단말기(100)는, 접속한 특정 AP에 데이터를 전송하는 중에, ARP 스푸핑이 되었는지 여부, DNS 스푸핑이 되었는지 여부, 및 피씽(Pishing) 되었는지 여부를 판단하여 페이크 AP인지를 선별한다. 예를 들면, 단말기(100)는, 게이트 웨이와 DNS 서버의 IP 및/또는 맥 어드레스가 서로 동일하면 스푸핑이 되었다고 판단한다. 본 S550 단계에서 단말기(100)는, 게이트웨이와 DNS 서버가 인증이 된 경우라도 지속적으로 게이트웨이의 맥 어드레스를 모니터링한다.
S560 단계에서, 단말기(100)는 S550 단계의 수행결과 페이크 AP 에 해당되는지 여부를 판단하며, 페이크 AP에 해당되지 않으면(즉, 인증되면) S550 단계를 주기적으로 수행한다. 페이크 AP에 해당되면(즉, 인증되지 않으면), 해당 AP의 접속을 해제한다(S570).
이상과 같이 상술한 실시예들에서, 페이크 AP 선별부가 공격자 단말기(또는 Fake AP)를 선별하는 동작과 신뢰도를 산출하는 동작을 모두 가진 것으로 설명하였으나, 이는 예시적인 것으로서 공격자 단말기를 선별하는 동작을 수행하는 구성요소를 별도로 마련하고, 페이크 AP 선별부는 신뢰도를 산출한 동작을 수행하도록 구성하는 것도 가능할 것이다.
또한, 본 발명은, 상술한 방법들 전부 또는 적어도 일부를 단말기(100)가 실행가능하도록 하는 프로그램으로 구현될 수 있다.
또한, 본 발명은, 상술한 방법들 전부 또는 적어도 일부를 단말기(100)가 실행가능하도록 하는 프로그램이 저장된 컴퓨터 판독가능한 기록매체가 제공될 수 있다. 이러한 기록매체는, 단말기(100)에 포함되어 있거나, 또는 단말기(100)와 네트워크를 통해서 연결된 어떤 서버에 포함되어 있을 수 있다. 이러한 경우, 그러한 서버는 단말기와 연결되어, 단말기로 하여금 상술한 방법들 전부 또는 적어도 일부를 실행하도록 지원할 수 있다.
상기와 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10, 20, 30: 제1 내지 제3엑세스포인트
100, 110, 120, 130: 제1 내지 제4단말기들
110: 터치 스크린 120: 저장부
130: 통신부 140: 페이크 AP 선별부
150: 컴퓨터 프로세서 160: 메모리

Claims (5)

  1. 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기에 있어서,
    통신 서비스를 제공하는 복수의 엑세스포인트들로부터 복수의 패킷들을 수신하는 통신부;
    상기 통신부가 수신한 복수의 패킷들을 분석하여 상기 복수의 엑세스포인트들 중에서 페이크 엑세스포인트를 선별하는 페이크 엑세스포인트 선별부;를 포함하며,
    상기 페이크 엑세스포인트 선별부는, 제1상황(SSID는 서로 다르지만, 맥 어드레스는 동일한 경우), 제2상황(SSID와 맥 어드레스는 서로 다르지만, 수신 신호강도가 서로 동일 또는 유사한 경우), 제3상황(동일한 맥 어드레스를 가지고 있고, 수신 신호감도가 동일한 경우), 제4상황(SSID는 서로 다르지만, 수신 신호강도가 동일한 경우), 제5상황(엑세스포인트 제조사의 맥 어드레스가 아닌 경우), 제6상황(휴대용 단말기의 엑세스포인트에 해당하는 경우), 제7상황(백앤드로 3G 망 또는 4G 망을 사용하는 경우), 제8상황(라우팅 경로가 다른 경우), 제9상황(SSID와 라우팅 경로가 모두 동일한 경우, 또는 SSID와 인증알고리즘과 라우팅 경로가 모두 동일한 경우), 제10상황(기정해진 암호화 순서에 해당하는 경우), 제11상황(블랙리스트 또는 화이트 리스트에 해당되는 경우),제12상황(히든 SSID를 가진 경우), 제13상황(같은 채널을 쓰는 경우), 제14상황(위치변화가 기준횟수 이상인 경우), 및 제15상황(맥 어드레스가 스마트폰 또는 노트북 제조사의 것일 경우) 중에서 적어도 어느 하나 이상의 상황에 해당되는지 여부를 판단하여 페이크 엑세스포인트를 선별하는 것을 특징으로 하는 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기.
  2. 삭제
  3. 제1항에 있어서,
    상기 단말기 주위에 존재하는 엑세스포인트 패킷들을 수집하여 SSID와 맥 어드레스를 상기 페이크 엑세스포인트 선별부에 제공하는 엑세스포인트 스캐닝부;를 더 포함하는 것을 특징으로 하는 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기.
  4. 제3항에 있어서,
    상기 엑세스포인트 스캐닝부에 의해 스캐닝된 엑세스포인트들로부터 수신한 패킷들의 수신 신호 세기를 비교하는 신호 세기 비교부;를 더 포함하며,
    상기 페이크 엑세스포인트 선별부는, 상기 신호 세기 비교부에 의해 비교된 수신 신호 세기를 이용하는 것을 특징으로 하는 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템을 가진 단말기.
  5. 삭제
KR1020120156709A 2010-12-30 2012-12-28 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법 KR101541073B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR20100138873 2010-12-30
KR1020110109134A KR20130044842A (ko) 2011-10-25 2011-10-25 단말기
KR1020110147699 2011-12-30
KR1020110147699A KR20120078664A (ko) 2010-12-30 2011-12-30 단말기

Related Child Applications (2)

Application Number Title Priority Date Filing Date
KR1020130032063A Division KR101564000B1 (ko) 2010-12-30 2013-03-26 안전한 클라우드 환경 구현을 위한 단말기
KR1020140078018A Division KR20140098721A (ko) 2010-12-30 2014-06-25 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130079277A KR20130079277A (ko) 2013-07-10
KR101541073B1 true KR101541073B1 (ko) 2015-07-31

Family

ID=46383780

Family Applications (5)

Application Number Title Priority Date Filing Date
KR1020110147699A KR20120078664A (ko) 2010-12-30 2011-12-30 단말기
KR1020120156709A KR101541073B1 (ko) 2010-12-30 2012-12-28 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
KR1020130032063A KR101564000B1 (ko) 2010-12-30 2013-03-26 안전한 클라우드 환경 구현을 위한 단말기
KR1020140078018A KR20140098721A (ko) 2010-12-30 2014-06-25 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
KR1020150026469A KR20150039160A (ko) 2010-12-30 2015-02-25 안전한 클라우드 환경 구현을 위한 단말기

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020110147699A KR20120078664A (ko) 2010-12-30 2011-12-30 단말기

Family Applications After (3)

Application Number Title Priority Date Filing Date
KR1020130032063A KR101564000B1 (ko) 2010-12-30 2013-03-26 안전한 클라우드 환경 구현을 위한 단말기
KR1020140078018A KR20140098721A (ko) 2010-12-30 2014-06-25 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
KR1020150026469A KR20150039160A (ko) 2010-12-30 2015-02-25 안전한 클라우드 환경 구현을 위한 단말기

Country Status (3)

Country Link
US (1) US9264893B2 (ko)
KR (5) KR20120078664A (ko)
WO (1) WO2012091529A2 (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104838681B (zh) * 2012-10-11 2019-03-12 诺基亚通信公司 利用核心网络支持的伪基站检测
US9338635B2 (en) * 2014-07-01 2016-05-10 Nokia Technologies Oy Method, apparatus, and computer program product for device tracking
US9648548B1 (en) * 2015-01-02 2017-05-09 Sprint Spectrum L.P. WiFi mesh configuration
US9913201B1 (en) 2015-01-29 2018-03-06 Symantec Corporation Systems and methods for detecting potentially illegitimate wireless access points
US10148688B1 (en) 2015-02-09 2018-12-04 Symantec Corporation Systems and methods for detecting illegitimate devices on wireless networks
US9730075B1 (en) 2015-02-09 2017-08-08 Symantec Corporation Systems and methods for detecting illegitimate devices on wireless networks
US9781604B1 (en) 2015-02-09 2017-10-03 Symantec Corporation Systems and methods for detecting illegitimate devices on wireless networks
US9882931B1 (en) * 2015-02-18 2018-01-30 Symantec Corporation Systems and methods for detecting potentially illegitimate wireless access points
US9781601B1 (en) 2015-06-08 2017-10-03 Symantec Corporation Systems and methods for detecting potentially illegitimate wireless access points
CN105992198B (zh) * 2015-06-15 2019-09-17 中国银联股份有限公司 一种确定无线局域网安全程度的方法及装置
US9918224B1 (en) 2015-11-24 2018-03-13 Symantec Corporation Systems and methods for preventing computing devices from sending wireless probe packets
CN105407503A (zh) * 2015-12-03 2016-03-16 青岛海信移动通信技术股份有限公司 一种确定Wi-Fi信号辐射强度的方法及装置
WO2017126623A1 (ja) * 2016-01-22 2017-07-27 京セラ株式会社 無線端末及びプロセッサ
JP6690326B2 (ja) * 2016-03-14 2020-04-28 富士通株式会社 無線通信プログラム、方法及び装置
KR102088857B1 (ko) 2016-04-06 2020-03-13 삼성전자 주식회사 기지국 및/또는 기지국으로부터 수신된 정보의 진정성을 검증하는 시스템 및 방법
KR102461141B1 (ko) * 2016-04-25 2022-10-31 삼성전자주식회사 기지국 유효성 판단 방법 및 이를 지원하는 전자 장치
US10348755B1 (en) 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
CN105939521B (zh) * 2016-07-14 2020-02-07 北京元心科技有限公司 伪接入点的检测报警方法及装置
US10165619B2 (en) * 2016-09-30 2018-12-25 Intel Corporation Generation of a fingerprint of an access point
CN109660991B (zh) * 2017-10-11 2021-03-19 腾讯科技(深圳)有限公司 伪基站提示方法、装置及存储介质
US11457362B2 (en) 2018-05-28 2022-09-27 Samsung Electronics Co., Ltd. Terminal device and method for identifying malicious AP by using same
US10880804B2 (en) 2018-12-04 2020-12-29 At&T Intellectual Property I, L.P. Mobile device display of federated wireless access point networks for 5G or other next generation network
KR102321689B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 자율주행차량에서의 근접 디바이스 확인 방법 및 시스템
KR102258729B1 (ko) * 2020-07-29 2021-05-31 박일호 기악교육을 위한 ai 기반의 악기의 연주 동작의 자동 추적 및 매칭 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040046006A (ko) * 2002-11-26 2004-06-05 아이피원(주) 무선랜 접속 방법

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110231564A1 (en) * 2000-09-25 2011-09-22 Yevgeny Korsunsky Processing data flows with a data flow processor
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7068999B2 (en) * 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US7286515B2 (en) * 2003-07-28 2007-10-23 Cisco Technology, Inc. Method, apparatus, and software product for detecting rogue access points in a wireless network
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points
US20060070113A1 (en) * 2004-09-16 2006-03-30 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method for wireless network security exposure visualization and scenario analysis
JP4302617B2 (ja) * 2004-12-13 2009-07-29 インターナショナル・ビジネス・マシーンズ・コーポレーション 無線ステーション
KR100628325B1 (ko) * 2004-12-20 2006-09-27 한국전자통신연구원 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US7979368B2 (en) * 2005-07-01 2011-07-12 Crossbeam Systems, Inc. Systems and methods for processing data flows
US8638762B2 (en) * 2005-10-13 2014-01-28 Trapeze Networks, Inc. System and method for network integrity
US8374122B2 (en) * 2005-12-21 2013-02-12 Cisco Technology, Inc. System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement
US7808958B1 (en) * 2006-09-28 2010-10-05 Symantec Corporation Rogue wireless access point detection
US9049225B2 (en) * 2008-09-12 2015-06-02 University Of Utah Research Foundation Method and system for detecting unauthorized wireless access points using clock skews
US8756690B2 (en) * 2009-09-30 2014-06-17 Symbol Technologies, Inc. Extensible authentication protocol attack detection systems and methods

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040046006A (ko) * 2002-11-26 2004-06-05 아이피원(주) 무선랜 접속 방법

Also Published As

Publication number Publication date
US9264893B2 (en) 2016-02-16
KR101564000B1 (ko) 2015-10-28
US20140304770A1 (en) 2014-10-09
KR20140098721A (ko) 2014-08-08
KR20150039160A (ko) 2015-04-09
KR20130079277A (ko) 2013-07-10
KR20130079453A (ko) 2013-07-10
KR20120078664A (ko) 2012-07-10
WO2012091529A2 (ko) 2012-07-05
WO2012091529A3 (ko) 2012-11-08

Similar Documents

Publication Publication Date Title
KR101541073B1 (ko) 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
KR101563213B1 (ko) 신뢰도 있는 ap를 선택할 수 있는 단말기 및 방법
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
EP2575318B1 (en) Portable security device and methods for providing network security
EP1980128B1 (en) Determining the network location of a user device based on transmitter fingerprints
KR101453521B1 (ko) 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법
US9003527B2 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
US11706823B2 (en) Communication management and wireless roaming support
US20140282905A1 (en) System and method for the automated containment of an unauthorized access point in a computing network
US11228672B2 (en) Security system for inmate wireless devices
US9794119B2 (en) Method and system for preventing the propagation of ad-hoc networks
US20140082728A1 (en) Dongle device for wireless intrusion prevention
CN107438247B (zh) 无线中继实现方法及装置
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
KR101606352B1 (ko) 로그 ap 탐지를 위한 시스템, 사용자 단말, 방법 및 이를 위한 컴퓨터 프로그램
CN106878992B (zh) 无线网络安全检测方法和系统
KR101117628B1 (ko) 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법
KR20150041407A (ko) 신뢰 액세스포인트 접속 장치 및 방법
KR101553827B1 (ko) 불법 ap 탐지 및 차단 시스템
KR20130044545A (ko) 방화벽을 가진 휴대용 단말기 및 방법
KR20120095519A (ko) 방화벽을 가진 휴대용 단말기 및 방법
KR20130044842A (ko) 단말기
KR20180019335A (ko) 액세스 포인트 안전도 정보 제공 방법, 및 이를 위한 단말기 및 서버 장치
KR101564001B1 (ko) 유무선 통신을 안전하게 관리하는 장치

Legal Events

Date Code Title Description
A201 Request for examination
A107 Divisional application of patent
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant