KR101591304B1 - 전산망 침입 기록의 재현 방법 및 장치 - Google Patents

전산망 침입 기록의 재현 방법 및 장치 Download PDF

Info

Publication number
KR101591304B1
KR101591304B1 KR1020140077424A KR20140077424A KR101591304B1 KR 101591304 B1 KR101591304 B1 KR 101591304B1 KR 1020140077424 A KR1020140077424 A KR 1020140077424A KR 20140077424 A KR20140077424 A KR 20140077424A KR 101591304 B1 KR101591304 B1 KR 101591304B1
Authority
KR
South Korea
Prior art keywords
packet
random number
number value
encrypted
terminal
Prior art date
Application number
KR1020140077424A
Other languages
English (en)
Other versions
KR20160000256A (ko
Inventor
이병길
Original Assignee
이병길
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이병길 filed Critical 이병길
Priority to KR1020140077424A priority Critical patent/KR101591304B1/ko
Publication of KR20160000256A publication Critical patent/KR20160000256A/ko
Application granted granted Critical
Publication of KR101591304B1 publication Critical patent/KR101591304B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입자의 행위를 시각적 수단을 통해 직관적으로 파악할 수 있는 전산망 침입 기록의 재현 방법 및 장치에 관한 것이다.
본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치는, 서버로부터 수집한 암호화된 패킷을 저장하는 제1 저장부, 상기 서버로부터 수집한 서버 난수값 및 암호화된 제1 단말 난수값과, 상기 암호화된 제1 단말 난수값을 복호하기 위한 비밀 키를 저장하는 제2 저장부, 상기 암호화된 제1 단말 난수값을 상기 비밀 키를 이용하여 복호화하고, 상기 복호화된 제1 단말 난수값 및 상기 서버 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 키 생성부, 상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하는 복호화부, 및 상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 패킷 재생부를 포함한다.

Description

전산망 침입 기록의 재현 방법 및 장치{METHOD AND DEVICE FOR REPRODUCING NETWORK INTRUSION RECORDS}
본 발명은 사이버 테러 등에 대응하기 위한 전산망 침입 기록의 재현 방법 및 장치에 관한 것으로, 더욱 자세하게는 가상 데스크탑을 이용한 전산망 침입 기록의 재현 방법 및 장치에 관한 것이다.
최근의 개인정보 유출 사건 및 전산망 해킹 등 이른바 사이버 테러가 빈번하게 발생하고 있어 사회적인 문제가 되고 있다. 이와 같은 사이버 테러 혹은 사이버 공격은 전산망 침입 및 관리자 권한 탈취와 같은 형태로 이루어지는데, 피해자는 사이버 공격 당시에는 아무런 징후를 감지하지 못하는 것이 일반적이며, 중요 데이터의 파괴 혹은 기업정보 유출과 같은 피해가 발생한 뒤에서야 사이버 공격 사실을 인지하게 된다. 이에 따라 피해자와 법 집행기관은 사후 대응으로서, 공격당한 시스템의 하드디스크의 기록 및 네트워크 여기저기에 흩어져 있는 보안 장비의 기록 등을 조합하여 공격당한 시스템에의 침입 행적을 조사한다.
위와 같은 일련의 조사 프로세스에 의해, 침입자의 행위를 추정할 수 있는 정보들은 각종 기술적 근거에 뒷받침되어 보고서로 작성되며, 이 보고서는 수사 과정에서의 중요한 근거 자료가 됨은 물론 피의자의 위법 행위를 입증할 중요한 증거 자료로도 활용된다.
그러나, 실제 수사 과정 또는 소송 단계에 있어서, 수사 지휘권자, 판사 등과 같은 수사 및 소송상 중요한 결정권을 가지는 자들이 모두 디지털 포렌식(digital forensic)에 관한 전문적인 지식을 보유하고 있다고 장담하기 어렵고, 실제로도 이들 결정권자들은 난해한 기술용어가 가득한 위 보고서를 매우 어렵게 인식하고 있는 실정이다.
본 발명은 상술한 과제를 해결하기 위하여 안출된 것으로서, 전산망에 무단으로 침입한 자가 피해 시스템에 어떠한 행위를 하였는지 동영상과 같이 재현하여 확인할 수 있는 전산망 침입 기록의 재현 방법 및 장치를 제공한다.
본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치는, 서버로부터 수집한 암호화된 패킷을 저장하는 제1 저장부, 상기 서버로부터 수집한 서버 난수값 및 암호화된 제1 단말 난수값과, 상기 암호화된 제1 단말 난수값을 복호하기 위한 비밀 키를 저장하는 제2 저장부, 상기 암호화된 제1 단말 난수값을 상기 비밀 키를 이용하여 복호화하고, 상기 복호화된 제1 단말 난수값 및 상기 서버 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 키 생성부, 상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하는 복호화부, 및 상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 패킷 재생부를 포함할 수 있다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치는, 네트워크로부터 수집한 암호화된 패킷을 저장하는 제1 저장부, 상기 네트워크로부터 수집한 서버 난수값 및 암호화된 제1 단말 난수값과, 상기 암호화된 제1 단말 난수값을 복호하기 위한 비밀 키를 저장하는 제2 저장부, 상기 암호화된 제1 단말 난수값을 상기 비밀 키를 이용하여 복호화하고, 상기 복호화된 제1 단말 난수값 및 상기 서버 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 키 생성부, 상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하는 복호화부, 및 상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 패킷 재생부를 포함할 수 있다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치에 있어서, 상기 패킷 재생부는, 상기 복호화된 패킷의 내용이 실행되어 상기 가상 데스크톱 상에서 시각적으로 구현되는 것을 스트리밍(streaming)에 의하여 제2 단말로 전송하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치에 있어서, 상기 암호화된 패킷은 상기 서버 또는 상기 제1 장치에서, 상기 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 생성된 패킷 암호화 키에 의하여 암호화된 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치에 있어서, 상기 패킷 복호화 키 및/또는 패킷 암호화 키는 RC4 알고리즘에 기초한 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치에 있어서, 상기 암호화된 패킷은 Microsoft사가 제공한 RDP에 의거한 패킷인 것을 특징으로 한다.
본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 장치에 있어서, 상기 복호화된 패킷의 내용이 실행되어 상기 가상 데스크톱 상에서 시각적으로 구현되는 것을 영상 또는 동영상의 형태로 저장하는 제3 저장부를 더 포함하는 것을 특징으로 한다.
본 발명의 다양한 실시예에 따르면, 전산망에 무단으로 침입한 자의 각 동작을 전산망 침입 기록의 재현 장치에 의하여 영상 또는 동영상과 같이 재현할 수 있게 되므로, 하드디스크 및 네트워크 상의 수많은 기록을 살펴 보지 않더라도 침입자의 행위를 시각적으로 매우 용이하게, 직관적으로 파악할 수 있다.
도 1은 본 발명의 실시예에 따른 전산망 침입 기록의 재현 방법 및 장치가 구현되는 환경을 나타낸다.
도 2는 제1 단말이 서버에 접속하고 통신하는 과정을 나타낸다.
도 3은 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치의 구성을 나타낸다.
도 4는 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법의 흐름도를 나타낸다.
도 5는 본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 방법의 흐름도를 나타낸다.
도 6은 본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 방법에 있어서 제2 단말의 화면을 나타낸다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명에 따른 실시예들을 첨부도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 전산망 침입 기록의 재현 방법 및 장치가 구현되는 환경을 나타낸다.
도 1을 참조하면 본 발명의 실시예에 따른 전산망 침입 기록의 재현 방법 및 장치가 구현되는 환경에는 제1 단말(10), 서버(20A, 20B), 네트워크(30), 전산망 침입 기록의 재현 장치(1000), 및 제2 단말(2000)이 포함될 수 있다.
제1 단말(10)은 네트워크(30)를 통해 서버(20A, 20B)와 소정의 통신 패킷을 송수신함으로써 통신할 수 있고, 상기 소정의 통신 패킷에 의하여 서버(20A, 20B)가 통신 패킷의 내용에 따른 동작을 수행하도록 할 수 있다. 예를 들어 제1 단말(10)은 무단으로 관리자 권한을 취득하여 서버(20A, 20B)에 원격으로 접속하고, RDP(Remote Desktop Protocol) 패킷으로 서버(20A, 20B)를 원격 조정하여 특정 데이터를 삭제, 변조, 교체할 수 있다. 제1 단말(10)은 무단으로 서버(20A, 20B)에 침입하는 단말에 한하지 않으며, 서버(20A, 20B)에 의하여 정당한 권한을 부여받은 클라이언트 단말(예를 들어 사내 전산망에 접속된 회사원 개인의 단말)이거나, 권한이 별도로 요구되지 않는 불특정 다수의 단말일 수도 있다. 즉, 제1 단말(10)은 서버(20A, 20B)가 특정 동작을 수행하도록 할 수 있는 네트워크(30) 상의 단말이면 족하다.
또한, 통신 패킷은 RDP에 의거한 패킷뿐만 아니라 RDP보다 단순한 구조를 가진 SSH(Secure SHell)에도 적용이 가능하며, VNC(Virtual Network Computing)와 같은 유사 프로토콜에도 적용이 가능함은 물론이다.
서버(20A, 20B)는 예를 들어 대학, 회사 등의 전산 시스템을 이루는 구성으로, 기업의 영업비밀, 핵심기술, 고객 정보 등을 두루 저장하고 있을 수 있다. 서버(20A, 20B)는 통상 엄격한 보안 시스템이 적용되어 있는 것이 일반적이며, 정당한 권한을 가진 클라이언트 단말의 요청에 대하여는 상응하는 정보를 응답으로서 제공할 수 있다. 서버(20A, 20B)는 네트워크(30)를 통해 제1 단말(10), 전산망 침입 기록의 재현 장치(1000), 제2 단말(2000)과 통신할 수 있다.
네트워크(30)는 제1 단말(10), 서버(20A, 20B), 전산망 침입 기록의 재현 장치(1000), 제2 단말(2000) 간 통신을 가능케하는 유선 또는 무선의 통신망으로서, 예컨대 WAN, LAN, WLAN, 3G/4G 이동통신망 등의 형태로 구현될 수 있다.
전산망 침입 기록의 재현 장치(1000)는 본 발명에 따른 전산망 침입 기록의 재현 방법을 수행하는 장치로, 서버와 같은 정보처리 장치에 하드웨어적으로 또는 소프트웨어적으로 포함되어 동작할 수 있다. 전산망 침입 기록의 재현 장치(1000)는 서버(20A, 20B)로부터 네트워크(30)를 통하여 패킷을 수집할 수 있고, 수집한 패킷을 가상 데스크탑 상에서 시각적으로 구현할 수도 있다. 전산망 침입 기록의 재현 장치(1000)의 구성 및 동작의 상세는 후술한다.
제2 단말(2000)은 전산망 침입 기록의 재현 장치(1000)에 네트워크(30)을 통해 접속 및 로그인할 수 있고, 전산망 침입 기록의 재현 장치(1000)가 가상 데스크탑 상에서 구현한 것을 스트리밍을 통해 시각적으로 제공받을 수 있다.
한편, 전산망 침입 기록의 재현 장치(1000)가 포함될 수 있는 정보처리 장치, 제1 단말(10), 제2 단말(2000), 및 서버(20A, 20B)는 적어도 하나의 중앙 프로세서, 주메모리(예를 들어, RAM), 보조 메모리(예를 들어 HDD, ODD, FDD), 각종 인터페이스 회로, 그래픽 프로세서 및 표시부로서의 디스플레이 등을 포함함으로써 구성될 수 있다.
이상에서는 본 발명의 실시예에 따른 전산망 침입 기록의 재현 방법 및 장치가 구현되는 환경 및 각 개체를 간략히 설명하였으나, 이하에서는 제1 단말(10)이 서버(20A)에 접속(혹은 침입)하고 통신하는 과정, 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치의 구성, 및 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법을 상세하게 설명한다.
도 2는 제1 단말(10)이 서버(20A)에 접속하고 통신하는 과정을 나타낸다.
도 2를 참조하면, 제1 단말(10)이 서버(20A)에 접속하고 통신하는 과정의 일례로서, 제1 단말(10)이 서버(20A)에 무단으로 접속하여 침입하는 과정이 도시되어 있다.
단계 S201에서, 제1 단말(10)은 소정의 경로를 통해 관리자 권한을 획득하고 서버(20A)에 원격으로 접속할 수 있다. 예를 들어 서버(20A)가 Linux 또는 UNIX 계열의 운영체제를 사용하는 경우 제1 단말(10)은 TCP 22번 포트를 사용하는 암호화된 Secure Shell로 접속할 수 있으며, 서버(20A)가 Microsoft사의 Windows 운영체제를 사용하는 경우 제1 단말(10)은 TCP 3389번 포트를 사용하는 Remote Desktop으로 접속할 수 있다.
단계 S202에서 서버(20A)는 32bytes의 평문(plain text)으로된(혹은 복호화된) 서버 난수값(Server Random 값)을 생성하고, 평문으로된 서버 난수값 및 공개 키(public key)를 제1 단말(10)로 전송할 수 있다.
단계 S203에서 제1 단말(10)은 자체적으로 32bytes의 평문으로된(혹은 복호화된) 제1 단말 난수값을 생성할 수 있다. 제1 단말 난수값은 제1 단말(10) 고유의 클라이언트 난수값으로, 다른 단말이 생성한 클라이언트 난수값과는 그 값이 상이함이 일반적이다(동일할 확룔 = 1/232).
단계 S204에서 제1 단말(10)은 단계 S202에서 서버(20A)로부터 수신한 공개 키를 이용하여 제1 단말 난수값을 암호화할 수 있다.
단계 S205에서 제1 단말(10)은 암호화된 제1 단말 난수값을 서버(20A)로 전송할 수 있다.
단계 S206에서 서버(20A)는 암호화된 제1 단말 난수값을 상기 공개 키에 대응되는 비밀 키(private key)를 이용하여 복호화하고, 평문으로된 제1 단말 난수값을 얻는다. 이로써, 제1 단말(10)과 서버(20A) 양방 모두 패킷 암/복호화 키를 생성하는데 기초가 되는, 평문으로된 서버 난수값과 제1 단말 난수값을 확보할 수 있다.
단계 S206 이후, 제1 단말(10)과 서버(20A)는 각각 서버 난수값과 제1 단말 난수값을 기초로 패킷 암호화 키 및 패킷 복호화 키를 각각 생성해서 패킷의 암호화 통신을 수행할 수 있다. 이때, 제1 단말 난수값은 제1 단말(10) 고유의 클라이언트 난수값이므로, 제1 단말 난수값에 기초하여 생성된 패킷 암호화 키에 의해 암호화된 패킷은 다른 단말의 클라이언트 난수값에 기초한 패킷 복호화 키로 복호화될 수 없다.
단계 S201~S206에 의하여 서버(20A)와 제1 단말(10)은 전송되는 모든 통신 패킷을 암/복호화할 수 있게 된다. 즉, 통신 패킷은 전송 경로(네트워크(30))상에서 암호화되어 전송되고, 제1 단말(10)과 서버(20A)측에서 각각 복호화될 수 있다.
실시 형태에 따라서, 패킷 암호화 키 및 패킷 복호화 키는 예를 들어 RC4 알고리즘을 이용한 것일 수 있다. 또한 제1 단말(10)과 서버(20A) 사이에서 전송되는 패킷은 제1 단말(10)이 서버(20A)를 원격 제어하기 위한 RDP(Remote Desktop Protocol)에 의거한 통신 패킷일 수 있으며, 예컨대 원격 제어하는 제1 단말(10) 키보드의 입력값, 마우스의 위치값 등이 RDP 패킷에 포함될 수 있다. 제1 단말(10)은 예를 들어 서버(20A)로 암호화된 RDP 패킷을 전송하고 서버(20A)가 이를 복호화함으로써, RDP 패킷 내용에 따라 서버(20A)를 원격 조정하여 특정 데이터를 삭제, 변조, 교체할 수 있다.
도 3은 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치(1000)의 구성을 나타낸다.
도 3을 참조하면 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치(1000)는 제어부(101), 제1 수집부(102), 제1 저장부(103), 제2 수집부(104), 제2 저장부(105), 키 생성부(106), 복호화부(107), 및 패킷 재생부(108)를 포함할 수 있다. 전산망 침입 기록의 재현 장치(1000)의 이와 같은 각 구성들은 통상적으로 정보처리 장치 내에서 구현되어, 상기 정보처리 장치에 일반적으로 구비된 통신 모듈과, 키보드, 마우스와 같은 입력 장치, 및 모니터와 같은 디스플레이와 내부 버스를 통해 연결되어 있을 수 있다.
제어부(101)는 전산망 침입 기록의 재현 장치(1000)의 각 구성요소의 동작을 제어할 수 있다. 즉, 이하에서 설명하는 각 부의 동작은 제어부(101)에서 생성된 제어 신호 또는 제어 명령에 의하여 이루어지는 것일 수 있다.
제1 수집부(102)는 서버(20A, 20B)와 제1 단말(10) 사이에서 네트워크(30)를 통해 송수신되는 통신 패킷을, 네트워크(30) 경로 상에서 수집하거나 서버(20A, 20B)로부터 전송받을 수 있다. 이때 전송 또는 수집되는 통신 패킷은 원격 제어를 위한 RDP 패킷일 수 있으며, 서버와 클라이언트 단말 각각에서 소정의 방법으로 (예컨대 RC4 알고리즘에 의하여) 암호화될 수 있다. 또한, 제1 수집부(102)가 수집한 통신 패킷은 제1 저장부(103)에 저장될 수 있다. 예를 들어 도 1의 경우 전산망 침입 기록의 재현 장치(1000)의 제1 수집부(102)는 제1 단말(10)과 서버(20A) 사이에서 네트워크(30)를 통해 송수신되는 암호화된 통신 패킷을 수집할 수 있고, 이를 제1 저장부(103)에 저장할 수 있다.
아울러 실시 형태에 따라서, 제1 수집부(102)는 복수의 서버로부터 통신 패킷을 수집할 수도 있고, 특정 통신 경로 상에서 전송되는 통신 패킷을 상시 수집할 수도 있다. 이것에 의하면 서버가 악의의 단말로부터 피해를 입기 전이라도 통신 패킷을 상시 감시할 수 있게 되어, 마치 CCTV와 같은 역할을 수행할 수 있게 된다.
제1 저장부(103)는 제1 수집부(102)가 수집한 암호화된 통신 패킷을 저장할 수 있다. 구체적으로, 제1 저장부(103)는 제1 수집부(102)로부터 수신한 암호화된 통신 패킷을 pcap 파일의 형태로, 상기 통신 패킷이 생성된 일시와 함께 저장할 수 있다.
제2 수집부(104)는 평문으로된 서버 난수값과, 제1 단말(10)에 의하여 암호화된 제1 단말 난수값을 서버(20A, 20B)로부터 수집할 수 있다. 상술한 바와 같이, 제1 단말 난수값은 제1 단말(10) 고유의 클라이언트 난수값이므로, 제1 단말(10)에 의하여 암호화된 통신 패킷을 복호하기 위하여는 전산망 침입 기록의 재현 장치(1000) 자신의 클라이언트 난수값이 아니라 제1 단말의 클라이언트 난수값을 수신 및 이용하여야 한다.
제2 저장부(105)는 제2 수집부(104)가 수집한 평문으로된 서버 난수값과 암호화된 제1 단말 난수값을 저장할 수 있다. 또한, 제2 저장부(105)는 서버(20A, 20B)의 공개 키 및 이에 대응되는 비밀 키를 미리 입력받아 저장해둘 수 있다. 이러한 공개 키, 비밀 키, 서버 난수값, 및 암호화된 제1 단말 난수값은 수신처에 따라 서버(20A, 20B) 별로 제2 저장부(105)에 저장될 수 있고, 실시 형태에 따라서는 제2 저장부(105)는 제1 저장부(103)와 일체로 구성될 수 있다. 제1 저장부(103)와 일체로 구성되면, 서버(20A, 20B)에 따라서 공개 키, 비밀 키, 서버 난수값, 및 암호화된 제1 단말 난수값과, 암호화된 통신 패킷은 각각 대응지어져 저장될 수도 있다.
한편, 제1 저장부(102) 및 제2 저장부(105)는 예컨대, ROM, RAM, DRAM(dynamic RAM), DDRAM(Double-Data-Rate DRAM), SDRAM(synchronous DRAM), SRAM(static RAM), PROM(programmable ROM), EPROM(erasable programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리 또는 임의의 다른 적합한 저장 디바이스로 구현될 수 있다.
키 생성부(106)는 제2 저장부(105)에 미리 저장되어 있는 서버(20A)의 비밀 키를 이용하여 암호화된 제1 단말 난수값을 복호하고, 평문으로된 제1 단말 난수값을 생성할 수 있다. 아울러, 키 생성부(106)는 상기 평문으로된 제1 단말 난수값 및 평문으로된 서버 난수값을 확보하였으므로, 이를 통해 제1 저장소(103)에 저장된 암호화된 패킷을 복호화할 수 있는 패킷 복호화 키를 생성할 수 있다. 한편 상기 패킷 복호화 키는 예를 들어 RC4 알고리즘에 기초한 것일 수 있다.
복호화부(107)는 제1 저장부(103)에 저장되어 있는 암호화된 통신 패킷을 키 생성부(106)에서 생성된 패킷 복호화 키를 이용하여 복호화할 수 있다. 이어서 복호화부(107)는 복호화한 통신 패킷을 패킷 재생부(108)로 전달할 수 있다.
패킷 재생부(108)는 복호화부(107)에서 복호화된 통신 패킷 내용에 따른 동작을 가상 데스크탑 상에서 수행하게 할 수 있다. 가령, 통신 패킷이 RDP 패킷인 경우 패킷 내용에 따른 동작은 대부분 제1 단말(10)에 의한 마우스의 움직임과 키보드 입력값일 수 있다. 이와 같은 제1 단말(10)에 의한 동작 또는 이벤트는 가상 데스크탑 상에서 수행되어, 전산망 침입 기록의 재현 장치(1000)의 도시하지 않은 디스플레이부를 통해 시각적으로 구현되거나, 제2 단말(2000)로 스트리밍되어 제2 단말(2000)에 있어서 시각적으로 구현될 수 있다.
특히, 실시 형태에 따라서 상기 제1 수집부(102)는 특정 통신 경로 상에서 전송되는 통신 패킷을 상시 수집할 수 있거나, 또는 서버(20A, 20B)에서 생성된 통신 패킷을 생성과 동시에 실시간으로 전송받을 수 있다. 이를 통해, 패킷 재생부(108)는 수집한(또는 전송받은) 통신 패킷 내용에 따른 동작을 실시간으로 가상 데스크탑 상에서 실시간으로 수행하고, 이를 상기 재현 장치(1000) 또는 제2 단말(2000)의 디스플레이부를 통해 시각적으로 구현하게 할 수 있다. 다시 말해, 전산망 침입 기록의 재현 장치(1000) 또는 제2 단말(2000)의 사용자는 마치 CCTV를 시청하듯이 통신 패킷의 내용에 따른 동작을 실시간으로 감시할 수 있게 된다.
또한, 다른 실시 형태에 있어서, 패킷 재생부(108)에 의하여 가상 데스크탑 상에서 수행되는 통신 패킷 내용에 따른 동작은, 제1 저장부(103)에 저장된 통신 패킷과는 별도로 영상 또는 동영상의 파일 포맷으로 저장(녹화)될 수 있다. 이에 따라 본 다른 실시 형태에 의한 전산망 침입 기록의 재현 장치는 상기 영상 또는 동영상 파일을 저장하기 위한 제3 저장부를 더 포함할 수 있다.
이상 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 장치(1000)의 구성을 설명하였다. 이하에서는 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법의 각 단계를 도 4를 참조하여 설명하기로 한다.
도 4는 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법의 흐름도를 나타낸다.
도 4에 도시된 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법은, 예컨대 도 2의 경우와 같이, 제1 단말(10)이 서버(20A)에 무단으로 접속하여 침입한 이후에 수행될 수 있다. 도 2의 침입 과정이 이루어지면, 서버(20A)에는 침입자 단말(제1 단말(10))의 서버 난수값, 암호화된 제1 단말 난수값, 공개 키, 비밀 키, 및 암호화된 통신 패킷이 저장되어 있을 수 있다. 이때 비밀 키는 서버(20A) 자체의 저장소(레지스트리)로부터 추출될 수 있는데, 예를 들어 Microsoft사의 Windows OS가 서버(20A)에 탑재된 경우, 비밀 키는 Windows Registry에 포함된 LSA(Local Security Authority) Secrets의 L$HYDRAENCKEY_28ada6da-d622-11d1-9cb9-00c04fb16e75”의 하위 64bytes로부터 추출될 수 있다.
상기를 감안하여 도 4를 참조하면, 본 발명의 일 실시예에 따른 전산망 침입 기록의 재현 방법은, 서버 난수값, 암호화된 제1 단말 난수값, 및 암호화된 패킷을 상기 서버로부터 수신하는 단계(S401, S402), 암호화된 제1 단말 난수값을 미리 저장된 비밀 키를 이용하여 복호하고, 복호화된 제1 단말 난수값을 생성하는 단계(S403), 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 단계(S404), 및 상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하고(S405), 복호화된 패킷의 내용을 실행시켜(S406) 가상 데스크톱 상에서 시각적으로 구현하는 단계(S407)를 포함할 수 있다.
단계 S401에서 전산망 침입 기록의 재현 장치(1000)의 제1 수집부(102)는 서버(20A)가 제1 단말(10)과 송수신하였던 암호화된 통신 패킷을 서버(20A)로부터 생성된 순서로 수신하고, 제1 저장부(103)에 저장할 수 있다. 한편, 상술한 바와 같이 상기 암호화된 통신 패킷은 RDP에 의거한 통신 패킷일 수 있으며, RC4 알고리즘에 의하여 암호화된 것일 수 있다.
단계 S402에서 전산망 침입 기록의 재현 장치(1000)의 제2 수집부(104)는 평문으로된 서버 난수값과, 제1 단말에 의하여 공개 키로 암호화된 제1 단말 난수값을 서버(20A)로부터 수신하고, 제2 저장부(105)에 저장할 수 있다.
단계 S403에서 전산망 침입 기록의 재현 장치(1000)의 키 생성부(106)는 공개 키로 암호화된 제1 단말 난수값을 미리 저장된 비밀 키로 복호하여, 평문으로된 제1 단말 난수값을 생성할 수 있다. 즉, 전산망 침입 기록의 재현 장치(1000)는 제1 단말(10)이 생성한 제1 단말 난수값을 사용하는데, 이는 전산망 침입 기록의 재현 장치(1000)에서 자체적으로 클라이언트 난수값을 생성하는 경우 제1 단말 난수값과 통상 동일하지 않아, 제1 단말 난수값에 기초하여 암호화된 패킷을 복호하기 곤란하기 때문이다.
단계 S404에서 전산망 침입 기록의 재현 장치(1000)의 키 생성부(106)는 단계 S403을 통해 확보한 평문으로된 제1 단말 난수값과 평문으로된 서버 난수값을 기초로 암호화된 통신 패킷을 복호화하기 위한 패킷 복호화 키를 생성할 수 있다. 한편, 상술한 바와 마찬가지로 상기 패킷 복호화 키는 RC4 알고리즘에 기초한 것일 수 있다.
단계 S405에서 복호화부(107)는 단계 S404에서 생성한 패킷 복호화 키를 이용하여, 제1 저장부(103)에 저장된 암호화된 통신 패킷을 복호화할 수 있다. 이어서 복호화부(107)는 복호화된 통신 패킷을 패킷 재생부(108)로 전달할 수 있다.
단계 S406에서 전산망 침입 기록의 재현 장치(1000)의 패킷 재생부(108)는 복호화된 통신 패킷을 가상 데스크탑 실행창에서 실행시켜, 그 내용에 따른 동작을 구현할 수 있다.
단계 S407에서 패킷 재생부(108)는, 복호화된 통신 패킷의 동작을 영상 신호로 변환하고, 도시하지 않은 표시부(예를 들어 액정 디스플레이 모니터)를 통해 시각적으로 구현할 수 있다. 이것에 의하여 전산망 침입 기록의 재현 장치(1000)의 사용자는 통신 패킷의 내용을 동영상 보듯 파악할 수 있다.
한편 도시하지는 않았으나, 실시 형태에 따라서는 단계 S407에 이어서 단계 S408로서, 복호화된 통신 패킷의 동작을 영상 신호로 변환한 것을 영상 또는 동영상 파일로 별도 저장(녹화)하는 단계를 더 포함할 수 있다. 이와 같이 재현한 영상을 별도로 동영상으로써 저장한다면 매번 본 발명을 실시하지 않더라도 저장한 동영상을 예를 들어 법정 등에서 용이하게 시연할 수 있는 이점이 있다.
또한, 본 발명의 일 실시예에 의하여 재현되는 영상은 통신 패킷이 생성된 순서에 따르므로, 각 통신 패킷에 관한 pcap 파일의 생성 일시 등을 참조하여, 단계 S406 및 S407에서 재현되는 영상을, 침입자가 침입시 보아온 화면과 동일한 시간적 타이밍으로 동기화시킬 수 있다. 특히, 재현되는 영상의 시각과 복호화되는 통신 패킷의 내용을 동기화하여 분석하면, 특정 정보를 담은 패킷을 신속하게 파악할 수 있다. 예를 들어 재현되는 영상의 특정 시점에, 비밀번호와 같이 화면상으로 보이지 않는 내용이 입력되는 것을 확인하면, 해당 특정 시점에 전송되었던 통신 패킷을 특정하고 분석함으로써 그 비밀번호를 알아낼 수 있다.
또한, 각 통신 패킷에 관한 pcap 파일의 생성 일시 등을 참조하여, 복호화되는 각각의 통신 패킷의 재현 간격을 조절하면, 단계 S406 및 S407에서 재현되는 영상을 0.5배속, 1.5배속, 2배속 등으로 재생/재현할 수 있다. 이것에 의하면, 불필요한 부분을 건너뛸 수 있어 사건의 개요 파악에 유용한 툴(tool)로서 기능할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 방법의 흐름도를 나타내고, 도 6은 도 6은 본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 방법에 있어서 제2 단말(2000)의 화면을 나타낸다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 전산망 침입 기록의 재현 방법은 제2 단말(2000)이 전산망 침입 기록의 재현 장치(1000)에 로그인하여 접속하는 단계(S501), 제2 단말(2000)이 전산망 침입 기록의 재현 방법을 수행할 서버 및 일시(패킷의 범위)를 선택하는 단계(S502)와, 전산망 침입 기록의 재현 장치(1000)가 서버 난수값, 암호화된 제1 단말 난수값, 및 암호화된 패킷을 상기 서버로부터 수신하는 단계(S503, S504), 암호화된 제1 단말 난수값을 미리 저장된 비밀 키를 이용하여 복호하고, 복호화된 제1 단말 난수값을 생성하는 단계(S505), 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 단계(S506), 및 상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하고(S507), 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 단계(S508) 및 제2 단말(2000)로 영상 신호를 스트리밍 하는 단계(S509)를 포함할 수 있다.
다만, 단계 S503~S508는 도 4의 단계 S401~S406과 동일하므로, 이들에 대한 설명은 생략한다.
단계 S501에서 제2 단말(2000)의 사용자는 전산망 침입 기록의 재현 장치(1000)에 로그인하여 접속할 수 있다. 예를 들어 도 6(a)와 같은 화면이 제2 단말(2000)의 표시부에 표시될 수 있다.
단계 S502에서 제2 단말(2000)의 사용자는 전산망 침입 기록의 재현 방법의 대상이 되는 피해 서버와, 상기 피해 서버로부터 수신한 패킷의 생성 일시를 확인하고, 소망하는 피해 서버의 패킷 재생을 선택할 수 있다. 예를 들어 도 6(b)에 있어서, 제2 단말(2000)의 사용자가 서버 2를 피해 서버로 판단하고, 피해 발생 일시가 2014년 5월 29일 17시경이라 판단한 경우 3번째 항목의 재생 버튼을 클릭할 수 있다.
단계 S502에서 피해 서버(서버 2)의 패킷 재생이 선택되면 전산망 침입 기록의 재현 장치(1000)는 피해 서버(서버 2)와의 관계에서 단계 S503~S508의 동작을 수행할 수 있다. 이것에 의하여 전산망 침입 기록의 재현 장치(1000)는 2014년 5월 29일 16시 33분부터 17시 24분까지 피해 서버(서버 2)에서 생성 및 저장되었던 통신 패킷의 내용을 가상 데스크탑 실행창에서 실행시킬 수 있다.
단계 S509에서 전산망 침입 기록의 재현 장치(1000)의 패킷 재생부(108)는 복호화된 패킷의 내용이 실행되어서 가상 데스크톱 상에서 시각적으로 구현되는 것을 영상 신호의 형태로 제2 단말(2000)로 전송할 수 있다. 이때 영상 신호는 TCP에 의거한 스트리밍을 이용하여 전송될 수 있으며, 예를 들어 도 6(c)에 나타낸 바와 같이 제2 단말(2000)은 스트리밍으로 수신한 영상 신호를 표시부를 통해 시각적으로 재현할 수 있다. 한편, 제2 장치(2000)는 수신한 영상 신호를 시각적으로 재현함에 있어서, 원격 접속 명령어인 mstsc.exe를 사용하여 재현할 수도 있다.
또한, 전술한 바와 같은 본 발명의 다양한 실시예에 의한 방법은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현할 수 있다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.
일반적으로, 서버에 있어서 복호화된 통신 패킷을 개별적으로 분석하여 마우스, 키보드와 같은 입력장치의 이벤트를 잡아내고, 그에 대응하는 화면의 변화를 감지해 사용자가 인식할 수 있는 데이터로 변환하는 것은 Microsoft에서 제공하는 RDP Specification와 OpenSource project Rdesktop을 참고함으로써 가능하다. 하지만, 이와 같은 방법은 수많은 통신 패킷에 대하여 복잡한 처리절차를 일일이 적용해야 하므로 실제 수사 과정에 적용하기 곤란한 면이 있다.
또한, 사고 발생을 예견하거나, 혹은 사고 발생을 인식한 뒤 RDP 또는 SSH(Secure SHell) 패킷을 수집하였더라도 위와 같은 복잡한 과정을 거치지 않고서는 그 내용을 확인하기 여의치 않았다.
그러나, 본 발명의 다양한 실시예에 의하면, 하드디스크와 네트워크 상의 수 많은 기록들을 살펴 보지 않더라도 침입자의 행위를 시각적으로 매우 용이하게, 직관적으로 파악할 수 있고, 난해한 기술용어들이 가득한 보고서를 정독하지 않더라도 침입 상황이나 사건의 개요를 쉽게 파악할 수 있게 된다. 이는, 예컨대 살인자의 살인 과정이나 기업 비밀을 복사하는 과정이 폐쇄회로 TV에 촬영되어 있으면, 이를 시청한 자는 보다 직관적으로 사건의 개요를 파악할 수 있게 될 뿐만 아니라, 사고 분석 보고서를 보다 쉽게 읽어 내려갈 수 있는 것과 마찬가지이다.
또한, 본 발명의 다양한 실시예는, 상기와 같이 특정 전산망 서버로 침입하려는 자의 동작 검출에 그 활용처가 한정되지 않는다. 예컨대, 회사 전산망에 대한 각 사원의 서버 접근 감시에도 활용할 수 있고, 소송상 유력한 증거로서 활용될 수 있으며, 부수적으로는 범죄 예방 효과를 가질 수도 있다.
본 발명에서 설명하는 특정 실행들은 일 실시예들로서, 어떠한 방법으로도 본 발명의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어 시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, “필수적인”, “중요하게” 등과 같이 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
본 발명의 명세서(특히 특허청구범위에서)에서 “상기”의 용어 및 이와 유사한 지시 용어의 사용은 단수 및 복수 모두에 해당하는 것일 수 있다. 또한, 본 발명에서 범위(range)를 기재한 경우 상기 범위에 속하는 개별적인 값을 적용한 발명을 포함하는 것으로서(이에 반하는 기재가 없다면), 발명의 상세한 설명에 상기 범위를 구성하는 각 개별적인 값을 기재한 것과 같다. 마지막으로, 본 발명에 따른 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 따라 본 발명이 한정되는 것은 아니다. 본 발명에서 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 본 발명을 상세히 설명하기 위한 것으로서 특허청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 본 발명의 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 특허청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 팩터에 따라 구성될 수 있음을 알 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
10 : 제1 단말
20A, 20B : 서버
30 : 네트워크
1000 : 전산망 침입 기록의 재현 장치
101 : 제어부
102 : 제1 수집부
103 : 제1 저장부
104 : 제2 수집부
105 : 제2 저장부
106 : 키 생성부
107 : 복호화부
108 : 패킷 재생부
2000 : 제2 단말

Claims (19)

  1. 서버에 접속한 제1 단말의 전산망 침입 기록을 재현하는 방법으로서,
    서버 난수값, 암호화된 제1 단말 난수값, 및 암호화된 패킷을 상기 서버로부터 수신하는 단계;
    상기 암호화된 제1 단말 난수값을 미리 저장된 비밀 키(private key)를 이용하여 복호하고, 복호화된 제1 단말 난수값을 생성하는 단계;
    상기 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 단계; 및
    상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하고, 상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 단계를 포함하는 전산망 침입 기록의 재현 방법.
  2. 서버와 네트워크를 통해 접속한 제1 단말의 전산망 침입 기록을 재현하는 방법으로서,
    서버 난수값, 암호화된 제1 단말 난수값, 및 암호화된 패킷을 상기 네트워크로부터 수집하는 단계;
    상기 암호화된 제1 단말 난수값을 미리 저장된 비밀 키를 이용하여 복호하고, 복호화된 제1 단말 난수값을 생성하는 단계;
    상기 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 단계; 및
    상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하고, 상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 단계를 포함하는 전산망 침입 기록의 재현 방법.
  3. 청구항 1에 있어서,
    상기 가상 데스크톱 상에서 시각적으로 구현하는 단계는, 제2 단말이 스트리밍(streaming)을 통해 시각적으로 구현하는 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  4. 청구항 1에 있어서,
    상기 암호화된 제1 단말 난수값은 상기 제1 단말에 의하여 생성되어, 상기 서버의 공개 키(public key)에 의하여 암호화된 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  5. 청구항 1에 있어서,
    상기 암호화된 패킷은
    상기 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 생성된 패킷 암호화 키에 의하여 암호화된 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  6. 청구항 5에 있어서,
    상기 패킷 암호화 키는 RC4 알고리즘에 기초한 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  7. 청구항 1에 있어서,
    상기 패킷 복호화 키는 RC4 알고리즘에 기초한 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  8. 청구항 1에 있어서,
    상기 암호화된 패킷은 Microsoft사가 제공한 RDP(Remote Desktop Protocol)에 의거한 패킷인 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  9. 청구항 1에 있어서,
    상기 복호화된 패킷의 내용을 상기 가상 데스크톱 상에서 시각적으로 구현하는 단계는,
    상기 암호화된 패킷의 생성 일시과 시간적으로 동기화되어 구현되는 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  10. 청구항 1에 있어서,
    상기 복호화된 패킷의 내용이 실행되어 상기 가상 데스크톱 상에서 시각적으로 구현되는 것을 영상 또는 동영상으로 저장하는 단계를 더 포함하는 것을 특징으로 하는 전산망 침입 기록의 재현 방법.
  11. 청구항 1 내지 청구항 10 중 어느 한 항에 기재된 전산망 침입 기록의 재현 방법의 각 단계를 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  12. 서버로부터 수집한 암호화된 패킷을 저장하는 제1 저장부;
    상기 서버로부터 수집한 서버 난수값 및 암호화된 제1 단말 난수값과, 상기 암호화된 제1 단말 난수값을 복호하기 위한 비밀 키를 저장하는 제2 저장부;
    상기 암호화된 제1 단말 난수값을 상기 비밀 키를 이용하여 복호화하고, 상기 복호화된 제1 단말 난수값 및 상기 서버 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 키 생성부;
    상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하는 복호화부; 및
    상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 패킷 재생부를 포함하는 전산망 침입 기록의 재현 장치.
  13. 네트워크로부터 수집한 암호화된 패킷을 저장하는 제1 저장부;
    상기 네트워크로부터 수집한 서버 난수값 및 암호화된 제1 단말 난수값과, 상기 암호화된 제1 단말 난수값을 복호하기 위한 비밀 키를 저장하는 제2 저장부;
    상기 암호화된 제1 단말 난수값을 상기 비밀 키를 이용하여 복호화하고, 상기 복호화된 제1 단말 난수값 및 상기 서버 난수값에 기초하여 상기 암호화된 패킷을 복호하기 위한 패킷 복호화 키를 생성하는 키 생성부;
    상기 패킷 복호화 키를 이용하여 상기 암호화된 패킷을 복호화하는 복호화부; 및
    상기 복호화된 패킷의 내용을 실행시켜 가상 데스크톱 상에서 시각적으로 구현하는 패킷 재생부를 포함하는 전산망 침입 기록의 재현 장치.
  14. 청구항 12에 있어서,
    상기 패킷 재생부는, 상기 복호화된 패킷의 내용이 실행되어 상기 가상 데스크톱 상에서 시각적으로 구현되는 것을 스트리밍(streaming)에 의하여 제2 단말로 전송하는 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
  15. 청구항 12에 있어서,
    상기 암호화된 패킷은
    상기 서버 난수값 및 상기 복호화된 제1 단말 난수값에 기초하여 생성된 패킷 암호화 키에 의하여 암호화된 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
  16. 청구항 15에 있어서,
    상기 패킷 암호화 키는 RC4 알고리즘에 기초한 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
  17. 청구항 12에 있어서,
    상기 패킷 복호화 키는 RC4 알고리즘에 기초한 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
  18. 청구항 12에 있어서,
    상기 암호화된 패킷은 Microsoft사가 제공한 RDP에 의거한 패킷인 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
  19. 청구항 12에 있어서,
    상기 복호화된 패킷의 내용이 실행되어 상기 가상 데스크톱 상에서 시각적으로 구현되는 것을 영상 또는 동영상의 형태로 저장하는 제3 저장부를 더 포함하는 것을 특징으로 하는 전산망 침입 기록의 재현 장치.
KR1020140077424A 2014-06-24 2014-06-24 전산망 침입 기록의 재현 방법 및 장치 KR101591304B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140077424A KR101591304B1 (ko) 2014-06-24 2014-06-24 전산망 침입 기록의 재현 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140077424A KR101591304B1 (ko) 2014-06-24 2014-06-24 전산망 침입 기록의 재현 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160000256A KR20160000256A (ko) 2016-01-04
KR101591304B1 true KR101591304B1 (ko) 2016-02-03

Family

ID=55164191

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140077424A KR101591304B1 (ko) 2014-06-24 2014-06-24 전산망 침입 기록의 재현 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101591304B1 (ko)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템

Also Published As

Publication number Publication date
KR20160000256A (ko) 2016-01-04

Similar Documents

Publication Publication Date Title
EP3710974B1 (en) Method and arrangement for detecting digital content tampering
EP3380979B1 (en) Systems and methods for detecting sensitive information leakage while preserving privacy
CN104349135B (zh) 监控服务器、监控服务器的处理数据的方法以及监控系统
US11349656B2 (en) Systems and methods for secure storage and transmission of a data stream
Dezfoli et al. Digital forensic trends and future
KR20200002033A (ko) 미디어 데이터 처리 방법, 컴퓨터 디바이스 및 저장 매체
Puvvadi et al. Cost-effective security support in real-time video surveillance
CN103457995A (zh) 终端设备数据信息的存储方法、终端设备和云端服务器
CN113301431A (zh) 视频数据的加解密方法、装置、电子设备及系统
JP2016184917A (ja) 監視システムおよび再生装置
Anand et al. PARVP: Passively assessing risk of vulnerable passwords for HTTP authentication in networked cameras
KR102244504B1 (ko) 캐시 파일을 이용한 삭제 메시지 복구 장치 및 방법
Han et al. The privacy protection framework for biometric information in network based CCTV environment
CN112966042A (zh) 一种基于区块链的执法记录仪信息处理方法及系统
KR101591304B1 (ko) 전산망 침입 기록의 재현 방법 및 장치
Rastoceanu et al. Securing Personal Data in a Video Identification System
US20220014501A1 (en) Method and device for monitoring data output by a server
KR102034390B1 (ko) 디스플레이 송출정보에 기반한 데이터 사용 로그 추적 시스템
JP4660658B1 (ja) 通信情報解析システム
US20150040222A1 (en) Detecting and reacting to inappropriate equipment and programming in a computer system without generating alerts to unauthorized users of the detection
CN113177216B (zh) 一种数据传输方法、装置、计算机设备和存储介质
CN117319521B (zh) 一种基于隐私计算网络的数据传输方法及系统
US20180159886A1 (en) System and method for analyzing forensic data in a cloud system
KR102277014B1 (ko) Vpn 기반의 cctv 시스템 및 이를 이용하는 모니터링 방법
WO2016119437A1 (zh) 一种数据的保护方法、装置和移动终端

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190325

Year of fee payment: 4