KR101744631B1 - 네트워크 보안 시스템 및 보안 방법 - Google Patents

네트워크 보안 시스템 및 보안 방법 Download PDF

Info

Publication number
KR101744631B1
KR101744631B1 KR1020150119696A KR20150119696A KR101744631B1 KR 101744631 B1 KR101744631 B1 KR 101744631B1 KR 1020150119696 A KR1020150119696 A KR 1020150119696A KR 20150119696 A KR20150119696 A KR 20150119696A KR 101744631 B1 KR101744631 B1 KR 101744631B1
Authority
KR
South Korea
Prior art keywords
user terminal
server
information
security
terminal
Prior art date
Application number
KR1020150119696A
Other languages
English (en)
Other versions
KR20170024428A (ko
Inventor
전석기
소준영
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020150119696A priority Critical patent/KR101744631B1/ko
Priority to PCT/KR2015/011066 priority patent/WO2017034072A1/ko
Publication of KR20170024428A publication Critical patent/KR20170024428A/ko
Application granted granted Critical
Publication of KR101744631B1 publication Critical patent/KR101744631B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안 시스템에 관한 것으로, 내부 네트워크를 이용하는 복수의 사용자 단말, 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 복수의 사용자 단말을 관리하는 관리자 단말 및 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템을 제공할 수 있다.

Description

네트워크 보안 시스템 및 보안 방법{NETWORK SECURITY SYSTEM AND A METHOD THEREOF}
본 발명은 네트워크 보안 시스템 보안 방법에 관한 것으로, 외부의 알려지지 않은 해킹 위험에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법에 관한 것이다.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.
국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법")에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.
그러나 국내등록특허 제10-0635130호는 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 있는 기술이 개시되어 있지 않다.
본 발명이 해결하고자 하는 과제는 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 시스템의 침해 의심이 발생하는 경우 복구기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.
또한, 본 발명이 해결하고자 하는 다른 과제는 주요 정보 또는 문서 정보에 접근하는 사용자 및 관리자 클라이언트를 보호하고, 감시하여 주요 정보 또는 문서 정보 유출을 인지하고 위험 요소를 제거할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.
상기 과제를 해결하기 위하여, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서, 상기 보안 서버는 상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈; 상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및 상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템을 제공할 수 있다.
상기 예방 통제 모듈은 상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부를 포함할 수 있다.
상기 예방 통제 모듈은 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 취약성 분석부를 더 포함할 수 있다.
상기 예방 통제 모듈은 상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부를 더 포함할 수 있다.
상기 예방 통제 모듈은 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부; 상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C C&C(Command & Control) 서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부; 상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및 상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 더 포함할 수 있다.
상기 교정 통제 모듈은 상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부; 상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부; 상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및 상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함할 수 있다.
또한, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 보안 방법에 있어서, (a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계; (b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계; (c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계; (d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계; (e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계; (f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계; (g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및 (h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하는 보안 방법을 제공할 수 있다.
상기 단계 (a) 이전에, 상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함할 수 있다.
상기 단계 (b)는 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증할 수 있다.
상기 단계 (h) 이후, 상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함할 수 있다.
본 발명의 실시 예에 따른 네트워크 보안 시스템 및 보안 방법은 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 내부 네트워크의 침입 의심이 발생하는 경우 복구 기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있다.
또한, 사용자 단말 인식시 2팩터 인증을 통해 보안을 강화할 수 있고, 서비스 채널과 인증을 위한 채널을 다르게 하여 인증 시에 사용되는 정보를 보호할 수 있다.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도.
도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도.
도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도.
도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도.
도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도.
도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도.
이하, 도면을 참조한 본 발명의 설명은 특정한 실시 형태에 대해 한정되지 않으며, 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있다. 또한, 이하에서 설명하는 내용은 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용되는 용어로서, 그 자체에 의미가 한정되지 아니하며, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 명세서 전체에 걸쳐 사용되는 동일한 참조번호는 동일한 구성요소를 나타낸다.
본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 이하에서 기재되는 "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것으로 해석되어야 하며, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시 예를 첨부한 도 1 내지 도 6을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 시스템은 사용자 단말(10), 관리자 단말(20), 보안 서버(40) 및 시스템 서버(30)를 포함할 수 있다.
구체적으로, 사용자 단말(10)은 기업, 학교, 기관 등에서 사용되는 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다.
관리자 단말(20)은 사용자 단말(10)과 같은 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다.
시스템 서버(30)는 사용자 단말(10)과 내부 통신망을 통해 접속되어 사용자 단말(10)에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장할 수 있다. 시스템 서버(30)는 접속하는 사용자 단말(10)의 사용환경을 제공할 수 있다.
보안 서버(40)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가하여 중요도별로 접근 권한을 설정한다. 예를 들면, 보안 서버(40)는 복수의 주요 정보 또는 문서 정보들 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가하고, 평가된 주요 정보 또는 문서 정보들을 중요도에 따라 접근 권한을 다르게 한다.
또한, 보안 서버(40)는 위험 요소를 분석하여 위험 요소가 있는 주요 정보 또는 문서 정보의 접근을 통제한다. 보안 서버(40)는 주요 정보 또는 문서 정보의 접근 통제를 위하여 권한에 따른 사용자 단말(10)의 주요 정보 또는 문서 정보 접근을 통제한다.
보안 서버(40)는 외부 외부 해킹으로부터 주요 정보 또는 문서 정보를 보호하기 위하여, 해킹으로 사용되는 외부 서버를 등록하고, 사용자 단말(10)이 해킹의 주요 루트가 되는 외부 서버로 접속하는 것을 사전에 차단하거나, 외부 서버에서 사용자 단말(10)로 접근하는 것을 통제한다.
이를 위하여, 보안 서버(40)는 사용자 단말(10)의 네트워크 트래픽을 감시한다. 또한, 보안 서버(40)는 사용자 단말(10)의 로그 파일을 저장하며, 사용자 단말(10)을 통한 해킹을 포함하는 비정상행위가 모니터링되면 해당 사용자 단말의 업무를 종료시키거나, 사용자 단말(10)를 로그오프 시킨다.
이때, 보안 서버(40)는 사용자 단말(10)의 백업 이미지를 생성하여 저장하고, 백업 이미지를 복원하여 사용자 단말(10)에 제공할 수 있다.
보안 서버(40)는 백업 이미지 복원 이전에 사용자 단말(10)을 통해 접속된 해킹 서버 등의 위험에 대한 위험 요소를 업데이트하여 사용자 단말(10)에 공지할 수 있다.
상기의 보안 서버(40)에 대한 설명은 도 2 내지 도 5를 참조하여 다시 상세히 하기로 한다.
도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도이고, 도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도이며, 도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도이며, 도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도이다.
도 2 내지 도 5를 참조하면, 보안 서버(40)는 예방 통제 모듈(100), 탐지 통제 모듈(200) 및 교정 통제 모듈(300)를 구비할 수 있다.
먼저, 예방 통제 모듈(100)은 정보 자산 평가부(110), 위험 분석부(120) 및 통제 정책 관리부(130)를 포함할 수 있다.
구체적으로, 정보 자산 평가부(110)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가한다. 정보 자산 평가부(110)는 미리 설정된 기준에 따라 복수의 주요 정보 또는 문서 정보들의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가한다. 예를 들면, 정보 자산 평가부(110)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보를 기밀성에 대하여 상, 중, 하 또는 A, B, C,... 또는 1, 2, 3, ... 등으로 등급을 설정한다. 예를 들면, 개인 정보, 금융 정보 등의 경우 기밀성을 높게 설정하고, 일반 업무 문서 등의 문서는 기밀성을 상대적으로 낮게 설정한다.
그리고 정보 자산 평가부(110)는 기밀성 평가가 완료된 문서에 대하여 결함 여부를 평가한다. 문서의 결함여부는 바이러스 또는 악성 코드의 감염여부, 문서의 작성 종결 여부, 암호화 여부 등을 통해 기밀성 평가와 같이 등급을 설정한다. 또한, 정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 가용성에 대하여 기밀성 평가와 같이 등급을 설정한다.
정보 자산 평가부(110)는 기밀성, 무결성 및 가용성을 종합하여 등급을 설정한다. 정보 자산 평가부(110)는 종합 등급이 높은 주요 정보 또는 문서 정보와 종합 등급이 낮은 주요 정보 또는 문서 정보 등을 구분한다.
정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 등급이 결정되면 등급에 따라 사용자 단말(10) 또는 관리자 단말(20)에서 접근시 접근 권한을 다르게 할 수 있다. 예를 들면, 주요 정보 또는 문서 정보의 등급이 높을 경우 사용자 단말(10)에서 접근이 불가능하도록 하며, 관리자 단말(20)에서만 접근이 가능하도록 할 수 있다. 또한, 주요 정보 또는 문서 정보의 등급이 낮아질 경우 사용자 단말(10)에서도 접근이 가능하도록 할 수 있다.
위험 분석부(120)는 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 위험 분석부(120)는 취약성 분석 도구를 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석하고, 신규 취약성에 발견되면 신규 취약성에 대한 안전성 검사를 수행하도록 관리자 단말(20)에 신규 취약성 발견에 대한 정보를 제공한다.
또한, 위험 분석부(120)는 잠재적 위험 요소의 취약성 검사 및 취약성 발견 정보와 관련된 이력을 저장하며, 이러한 이력을 관리자 단말(20)에 제공할 수 있다.
위험 분석부(120)는 관리자 단말(20)로 제공되는 취약성 정보 또는 이력을 시각적으로 인지하도록 그래프, 도형, 수치 등으로 제공할 수 있다.
통제 정책 관리부(130)는 주요 정보 또는 문서 정보에 접근을 통제하기 위하여, 사용자 단말(10) 또는 관리자 단말(20)이 인가되지 않은 웹서버로 접근하는 것을 통제한다. 이를 위하여, 통제 정책 관리부(130)는 접속 가능한 웹서버 또는 접속 차단한 웹서버의 URL 정보를 미리 설정한다. 통제 정책 관리부(130)는 사용자 단말(10) 또는 관리자 단말(20)에서 접속 차단한 웹서버의 URL 접속시 접속을 차단하도록 통지할 수 있다.
또한, 통제 정책 관리부(130)는 사용자 단말(10)로 보안공지를 강제하도록 할 수 있다. 예를 들면, 통제 정책 관리부(130)는 관리자 단말(20)에서 사용자 단말(10)로 보안공지를 웹페이지 형태로 전송하면, 사용자 단말(10)의 접속된 웹페이지를 차단하고, 보안공지 웹페이지로 접속을 유도할 수 있다.
통제 정책 관리부(130)는 관리자 단말(20)에서 발송된 보안공지를 사용자 단말(10)의 확인 여부를 파악하기 위하여 사용자 단말(10)로 전송된 보안공지를 관리자 단말(20) 또는 통제 정책 관리부(130)에 피드백하도록 할 수 있다.
예방 통제 모듈(100)은 단말 인증부(210), 서버 관리부(220), 서버 접근 통제부(230) 및 네트워크 트래픽 분석부(240)를 포함할 수 있다.
구체적으로, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)의 업무를 위한 시스템 서버(30) 접속 인증을 수행할 수 있다. 이때, 단말 인증부(210)는 2개 이상의 인증 요소를 사용하여 인증할 수 있는 2팩터(2 factor) 인증 방식을 사용할 수 있다. 예를 들면, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)에서 아이디(ID)와 패스워드(Password) 입력시 1차 인증을 수행하고, 1차 인증이 완료되면 이후 OTP, 공인인증서, ARS, QR코드 등의 방식을 이용하여 2차 인증을 수행한다. 이를 통해 단말의 접속 보안을 강화할 수 있다.
이때, 단말 인증부(210)는 별도의 채널을 통해 인증을 수행하며, 인증용 채널은 다른 서비스를 이용하지 않는 것이 바람직하다. 이를 통해, 사용자 단말(10) 또는 관리자 단말(20)은 인증 중에 공격자의 계정 탈취에 대한 위험을 원천적으로 차단할 수 있다.
단말 인증부(210)에서 인증이 완료되면, 시스템 서버(30)에 이를 통지하여 사용자 단말(10) 또는 관리자 단말(20)에서 시스템 서버(30)로 접근하도록 할 수 있다.
서버 관리부(220)는 지능형 타깃 지속 공격(APT; Advanced Persistent Threat)의 호스트 역할을 역할을 하는 C&C(Command & Control) 서버의 IP 목록을 관리하고, 이에 대한 관련 정보를 수집 및 분석한다. 서버 관리부(220)는 RSS 서비스로 제공되는 신규 C&C 서버의 목록을 주기적으로 업데이트하여 사용자 단말(10) 또는 관리자 단말(20)에서 C&C 서버를 통해 접속하거나, C&C 서버를 통해 사용자 단말(10) 또는 관리자 단말(20)이 시스템 서버(30)로 접속하는 것을 관리할 수 있다.
서버 접근 통제부(230)는 사용자 단말(10) 또는 관리자 단말(20)이 P2P서버 또는 유해 사이트에 접근하는 것을 통제할 수 있다. 서버 접근 통제부(230)는 미리 설정된 P2P서버 또는 유해 사이트의 URL정보를 이용하여 유해 사이트의 접근을 통제할 수 있다. 이때, 서버 접근 통제부(230)는 C&C 서버 접속 이외의 P2P서버 또는 유해 사이트들의 접근을 통제한다.
서버 접근 통제부(230)는 단말들에서 주요 정보 또는 문서 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 단말들에 접속 시간 및 포트를 정하는 공지 메시지를 전송한다.
이때, 서버 접근 통제부(230)는 공지 발송 이후, 공지에 대한 회신이 없을 경우 외부 서버의 침입으로 판단하여 관리자 단말(20)에 설정된 전화번호, 메신저, 이메일 등을 이용하여 경고 메시지를 전송한다.
또한, 서버 접근 통제부(230)는 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근시 이를 탐지하여 관리자 단말(20)에 통보한다.
네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 발생되는 모든 네트워크 트래픽을 수집하고 경로를 저장한다. 이때, 네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 허가되지 않은 주요 정보 또는 문서 정보의 접속이 모니터링될 경우 해당 사용자 단말(10)의 정확한 분석을 위하여 포트, 서비스 활성 상태, 주요 윈도우 로그 등을 수집할 수 있다.
한편, 네트워크 트래픽 분석부(240)는 URL과 IP의 사전 매칭을 이용하여 미리 등록된 사이트 또는 서버에 대해서 패킷 감시를 수행하지 않을 수 있다.
한편, 네트워크 트래픽 분석부(240)는 IP 기반 C&C 서버의 탐지를 위하여 암호화 통신을 통해 전달되는 비밀 패킷을 모니터링할 수 있다.
교정 통제 모듈(300)은 TCP 패킷 태깅 및 인식부(310), 보안 에이전트 관리부(320), 중앙 문서 관리부(330), 사용자 단말 제어부(340) 및 시스템 복원부(350)를 포함할 수 있다.
구체적으로, TCP 패킷 태깅 및 인식부(310)는 내부 네트워크의 공유기를 사용하는 사용자 단말(10)에서 발생한 네트워크 패킷을 구별하기 위하여 사용자 단말(10)에서 발생한 모든 TCP 패킷에 고유 ID를 태깅할 수 있다. 이를 통해, TCP 패킷 태깅 및 인식부(310)는 TCP 패킷을 구분할 수 있어 네트워크 트래픽 분석부(240)에서 수집된 네트워크 트래픽을 용이하게 분석하도록 할 수 있다.
보안 에이전트 관리부(320)는 사용자 단말(10)에 설치되는 보안 에이전트(예를 들면, 보안 프로그램 또는 안티 바이러스 프로그램 등)의 설치를 감시하고, 보안 에이전트가 설치되지 않은 사용자 단말(10)에 보안 에이전트를 설치하도록 보안 에이전트를 사용자 단말(10)에 전송할 수 있다.
또한, 보안 에이전트 관리부(320)는 사용자 단말(10)에 설치된 보안 에이전트에 최신 버전의 업데이트를 진행한다.
중앙 문서 관리부(330)는 사용자 단말(10)에서 작업된 문서를 시스템 서버(30)에 저장할 수 있도록 파일 시스템 드라이버를 사용한다. 여기서, 파일 시스템 드라이버는 사용자 단말(10)의 문서 작성 표준 파일 시스템일 수 있다.
사용자 단말 제어부(340)는 허가되지 않은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근할 경우 이를 외부 공격으로 판단하고, 사용자 단말(10)의 네트워크를 통신 및 주요 매체(시스템 서버 등)으로 접근을 차단할 수 있다. 사용자 단말 제어부(340)는 사용자 단말(10)에 접근하여 내부에 악성코드, 스파이웨어, 바이러스, 스파이 봇 등의 위험요소로 분류된 프로세스 또는 프로그램의 실행을 강제로 종료시키거나, 해당 프로세서의 실행을 방지할 수 있다. 그리고, 사용자 단말 제어부(340)는 상기 위험 요소가 발견되지 않은 사용자 단말(10)에 시스템 서버(30)로 접근이 가능하도록 1회용 암호를 생성하여 전송하고, 암호 입력시 시스템 서버(30)로 접근을 허락한다.
시스템 복원부(350)는 사용자 단말(10)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면, 해당 사용자 단말의 백업 이미지를 저장한다.
시스템 복원부(350)는 사용자 단말(10)을 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염 이전 상태로 복원한다. 이때, 시스템 복원부(350)는 디지털 포렌식을 수행하고, 포렌식 결과를 통제 정책 관리부(130)에 통보할 수 있다.
도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도이다.
도 6을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 방법은 보안 서버의 예방 통제 모듈에서 통제 정책을 정의하는 단계(S150), 사용자 단말의 인증을 수행하는 단계(S220), 사용자 단말의 업무 수행 시 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 통제 정책 위반 여부를 확인하는 단계(S297), 통제 정책 위반 시 교정 통제 모듈에서 관리자 단말에 통지하는 단계(S310), 사용자 단말의 네트워크를 차단하는 단계(S320), 포렌식을 위한 이미지 보관 단계(S330), 이미지 복구 단계(S340), 포렌식 단계(S335) 및 포렌식 결과에 대한 통제 정책 반영 단계(S357)를 포함할 수 있다.
구체적으로, 통제 정책을 정의하는 단계(S150)는 예방 통제 모듈(100)에서 수행되는 단계이다. 통제 정책을 정의하는 단계(S150) 이전에 정보 자산 업무 영향 평가 단계(S110), 중요 자산을 식별하는 단계(S120), 위험 분석 단계(S130) 및 취약점 분석 단계(S140)가 선행된다.
정보 자산 업무 영향 평가 단계(S110) 및 중요 자산을 식별하는 단계(S120)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보들을 설정된 기준에 따라 중요도를 평가하고, 중요도에 따라 중요 자산을 식별한다. 주요 정보 또는 문서 정보들의 중요도는 상술한 바와 같이, 정보 자산 평가부(110)에서 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성을 평가한다. 이때, 높은 등급의 주요 정보 또는 문서 정보들이 중요 자산으로 구분한다.
다음으로, 위험 분석 단계(S130) 및 취약점 분석 단계(S140)는 예방 통제 모듈(100)에서 내부 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 이때, 취약성 분석 도구 또는 프로그램을 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석한다. 위험 분석 단계(S130)에서 주요 정보 또는 문서 정보의 위험 요소가 발견되면 안전성 검사를 수행하고, 관리자 단말(20)에 이를 통지한다.
통제 정책을 정의하는 단계(S150)는 주요 정보 또는 문서 정보의 접근을 통제하기 위하여, 접속 가능한 서버의 URL과 접속 금지한 서버의 URL을 정의한다. 이를 통해, 사용자 단말 또는 관리자 단말에서 접속 금지한 서버의 URL로 접근 시 이를 차단하고, 사용자 단말(10) 또는 관리자 단말(20)에서 수행되는 업무를 종료 시킬 수 있다.
또한, 통제 정책을 정의하는 단계(S150)는 사용자 단말(10)로 보안 공지를 강제하도록 하는 단계를 포함할 수 있다. 이때, 예방 통제 모듈(100)에서 관리자 단말(20)을 통해 보안 공지를 사용자 단말(10)로 전송하도록 유도하며, 보안 공지를 수신한 사용자 단말(10)은 접속된 웹페이지를 차단하고, 보안 공지 웹페이지로 접속되도록 할 수 있다.
사용자 단말의 인증을 수행하는 단계(S220)는 사용자 단말(10)이 시스템 서버(30)에 접근 시 2팩터(2factor)인증을 미리 수행한다. 이때, 2팩터 인증은 상술한 바와 같이 사용자 아이디와 패스워드를 통해 1차 인증을 수행하고, 추가 인증 수단(예를 들면, OTP, 공인인증서, ARS, QR코드 등)을 이용하여 2차 인증을 수행한다.
이때, 2팩터 인증이 수행되지 않을 경우, 사용자 단말(10)이 시스템 서버(30)로 접속하지 못하도록 하거나, 사용자 단말(10)을 종료시킬 수 있다(S225).
인증이 완료된 사용자 단말(10)은 업무 이후 생성된 주요 정보 또는 문서 정보를 시스템 서버에 저장할 수 있다(S230, S235). 또한, 사용자 단말(10)은 관리자 단말(20)로부터 수신되는 주요 보안 사항 공지를 수신할 수 있다(S240). 관리자 단말(20) 또는 시스템 서버(30)는 이에 상응하는 확인 로그를 저장할 수 있다. 사용자 단말(10)은 사용자 단말 제어부(340)로부터 보안 에이전트를 수신하여 사용자 단말(10) 내부의 보안 점검을 수행한다(S250). 이때, 보안 에이전트는 주기적으로 업데이트된다. 이후, 보안 점검에 대한 결과를 시스템 서버(30) 또는 보안 서버(40)에 결과 로그를 저장할 수 있다(S255). 보안 점검 이후 사용자 단말(10)은 업무수행을 계속 진행할 수 있다(S260).
한편, 탐지 통제 모듈(200)은 사용자 단말(10)의 업무수행 중 사용자 단말(10)로부터 비정상 행위를 감시한다(S270). 이때, 사용자 단말(10)에서 비정상 행위가 감지되지 않을 경우 정상적으로 업무를 수행하고, 업무 수행 이후 종료한다. 여기서, 업무종료 이후, 교정 통제 모듈(300)은 사용자 단말(10)로 전송한 보안 패치의 여부를 확인한다(S350). 보안패치 확인 결과 보안 패치의 필요성이 없을 경우 최종적으로 사용자 단말(10)의 윈도우를 종료시킬 수 있다. 보안 패치가 필요할 경우 사용자 단말(10)의 이미지를 저장한다. 이어서, 사용자 단말(10)에 보안 패치를 설치하고(S370), 설치 정보에 대한 로그 파일을 저장한다. 이어서, 사용자 단말(10)의 시스템 이미지를 저장한 이후(S375), 시스템 이미지를 복구한다(S360).
탐지 통제 모듈(200)에서 비정상 행위가 모니터링 되었을 경우, 주요 서버 접속을 확인한다(S275). 이때, 주요 서버에 대한 정보는 미리 설정된 서버들의 URL 또는 IP 주소일 수 있다.
탐지 통제 모듈(200)은 주요 서버 접속 확인 결과, 설정된 주요 서버에 접속한 경우 해당 사용자 단말에 사용자 확인 공지 메시지를 발송한다(S280). 또한, 해당 사용자 단말(10)로 인증을 요청한다(S300). 사용자 단말(10)과의 인증을 위하여 상술한 2팩터 인증을 수행할 수 있다. 이때, 사용자 단말(10)과 보안 서버(40)는 인증을 위한 전용 채널을 통해 인증을 수행할 수 있다. 인증이 완료되면, 업무수행을 계속 진행하도록 한다(S260).
그러나, 인증이 확인되지 않을 경우 관리자 단말(20)에 통보하고, 사용자 단말의 시스템 이미지 복구를 위하여 로그 파일을 저장한다(S310).
한편, 탐지 통제 모듈(200)에서 주요 서버 접속 확인 결과, 주요 서버 접속이 아닌 경우 C&C 서버 접근 여부를 확인한다(S290). 또한, C&C 서버 접근 여부를 확인 후 C&C 서버 접근이 아닐 경우, P2P 서버 접근을 확인한다(S295). P2P 서버 접근 확인 결과 P2P 서버 접근이 아닐 경우 유해 사이트 접근을 확인한다(S299). 상기에서 C&C 서버 또는 P2P 서버 또는 유해 사이트 접근으로 확인될 경우 정책 위반 여부를 판단한다(S297). 이때, 탐지 통제 모듈(200)에서 사용자 단말(10)의 정책 위반으로 판단한 경우 관리자 단말(20)에 통보하고, 로그 파일을 저장한다(S310).
이어서, 사용자 단말의 네트워크를 차단한다(S320).
이후, 포렌식을 위하여 사용자 단말(100)의 시스템 이미지 보관한다(S330). 이때, 사용자 단말(10)의 디지털 포렌식을 위하여 사용자 단말의 최종 시스템 전체 이미지를 저장한다.
다음으로, 저장된 이미지를 이용하여 사용자 단말(10)의 시스템 이미지 복구한다(S340).
이후, 사용자 단말(10)의 디지털 포렌식을 수행하고(S335), 디지털 포렌식 결과에 대한 통제 정책 반영한다(S357).
상기에서 설명한 보안 서버는 시스템 서버와 결합될 수 있고, 시스템 서버 내에서 동작하는 OS 또는 프로그램일 수 있다.
또한, 상기 단말 인증부는 탐지 통제 모듈에 포함된 것을 예를 들어 설명하였으나, 이에 한정 되지 않으며, 교정 통제 모듈 또는 시스템 서버에 포함될 수 있다.
이상으로 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 그 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
10: 사용자 단말
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 모듈
110: 정보 자산 평가부
120: 위험 분석부
130: 통제 정책 관리부
200: 탐지 통제 모듈
210: 단말 인증부
220: 서버 관리부
230: 서버 접근 통제부
240: 네트워크 트래픽 분석부
300: 교정 통제 모듈
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부

Claims (10)

  1. 내부 내트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서,
    상기 보안 서버는
    상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈;
    상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및
    상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하고,
    상기 예방 통제 모듈은
    상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부;
    상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 위험 분석부;
    상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부;
    상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 중 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부;
    상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C(Command & Control)서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부;
    상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및
    상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 포함하되,
    상기 통제 정책 관리부는
    관리자 단말에서 발송된 보안공지를 사용자 단말의 확인 여부를 파악하기 위하여 사용자 단말로 전송된 보안공지를 관리자 단말 또는 통제 정책 관리부에 피드백하고,
    상기 위험 분석부는
    관리자 단말로 제공되는 취약성 정보 또는 이력을 시각적으로 인지하도록 그래프, 도형, 수치로 제공하는 것을 특징으로 하는 네트워크 보안 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제 1 항에 있어서,
    상기 교정 통제 모듈은
    상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부;
    상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부;
    상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및
    상기 사용자 단말이 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되면 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함하는 네트워크 보안 시스템.
  7. 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 정보 보호 방법에 있어서,
    (a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계;
    (b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계;
    (c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계;
    (d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계;
    (e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계;
    (f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계;
    (g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및
    (h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하고,
    상기 단계 (a) 이전에,
    상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및
    상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함하고,
    상기 단계 (b)는
    상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 중 적어도 1개의 인증 요소를 사용하여 인증하고,
    상기 안전성 검사를 수행하는 단계는
    상기 관리자 단말로 그래프, 도형, 수치로 제공되는 취약성 정보 또는 이력을 이용하는 것을 특징으로 하는 네트워크 보안 방법.
  8. 삭제
  9. 삭제
  10. 제 7 항에 있어서,
    상기 단계 (h) 이후,
    상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함하는 네트워크 보안 방법.
KR1020150119696A 2015-08-25 2015-08-25 네트워크 보안 시스템 및 보안 방법 KR101744631B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150119696A KR101744631B1 (ko) 2015-08-25 2015-08-25 네트워크 보안 시스템 및 보안 방법
PCT/KR2015/011066 WO2017034072A1 (ko) 2015-08-25 2015-10-20 네트워크 보안 시스템 및 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150119696A KR101744631B1 (ko) 2015-08-25 2015-08-25 네트워크 보안 시스템 및 보안 방법

Publications (2)

Publication Number Publication Date
KR20170024428A KR20170024428A (ko) 2017-03-07
KR101744631B1 true KR101744631B1 (ko) 2017-06-20

Family

ID=58100642

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150119696A KR101744631B1 (ko) 2015-08-25 2015-08-25 네트워크 보안 시스템 및 보안 방법

Country Status (2)

Country Link
KR (1) KR101744631B1 (ko)
WO (1) WO2017034072A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190017208A (ko) 2017-08-10 2019-02-20 한국전자통신연구원 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법
KR20190066690A (ko) 2017-12-06 2019-06-14 한국전자통신연구원 콘솔 접속을 통한 보안 취약점 점검 장치 및 그 방법
KR20200108742A (ko) * 2019-03-11 2020-09-21 한국전자통신연구원 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법
KR20230072648A (ko) 2021-11-18 2023-05-25 (주)디에스멘토링 다중 신뢰도 기반 접근통제 시스템

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101989581B1 (ko) * 2017-07-24 2019-06-14 한국전자통신연구원 내부망 전달용 파일 검증 장치 및 방법
KR101983997B1 (ko) * 2018-01-23 2019-05-30 충남대학교산학협력단 악성코드 검출시스템 및 검출방법
KR101986738B1 (ko) * 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
CN112217770B (zh) * 2019-07-11 2023-10-13 奇安信科技集团股份有限公司 一种安全检测方法、装置、计算机设备及存储介质
KR102623681B1 (ko) * 2022-02-21 2024-01-11 주식회사 리니어리티 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법
KR102678389B1 (ko) * 2022-05-13 2024-06-25 (주)플레인비트 포렌식 분석 기반 사이버 침해사고 분석 시스템 및 방법
CN115021999A (zh) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 一种基于大数据管理的网络信息安全监控系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (ko) * 2003-01-15 2004-07-23 권창훈 통합형 호스트 기반의 보안 시스템 및 방법
KR20060058296A (ko) * 2004-11-25 2006-05-30 주식회사 코어그리드테크놀로지 시스템/데이터의 자동 백업 및 복구 통합 운영 방법
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
KR100968200B1 (ko) * 2008-03-04 2010-07-06 주식회사 조은시큐리티 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190017208A (ko) 2017-08-10 2019-02-20 한국전자통신연구원 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법
US10929541B2 (en) 2017-08-10 2021-02-23 Electronics And Telecommunications Research Institute Apparatus and method for assessing cybersecurity vulnerabilities based on serial port
KR20190066690A (ko) 2017-12-06 2019-06-14 한국전자통신연구원 콘솔 접속을 통한 보안 취약점 점검 장치 및 그 방법
KR20200108742A (ko) * 2019-03-11 2020-09-21 한국전자통신연구원 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법
KR102559568B1 (ko) * 2019-03-11 2023-07-26 한국전자통신연구원 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법
KR20230072648A (ko) 2021-11-18 2023-05-25 (주)디에스멘토링 다중 신뢰도 기반 접근통제 시스템

Also Published As

Publication number Publication date
KR20170024428A (ko) 2017-03-07
WO2017034072A1 (ko) 2017-03-02

Similar Documents

Publication Publication Date Title
KR101744631B1 (ko) 네트워크 보안 시스템 및 보안 방법
JP6894003B2 (ja) Apt攻撃に対する防御
CN107659583B (zh) 一种检测事中攻击的方法及系统
EP3225010B1 (en) Systems and methods for malicious code detection accuracy assurance
US9648029B2 (en) System and method of active remediation and passive protection against cyber attacks
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US7890612B2 (en) Method and apparatus for regulating data flow between a communications device and a network
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
Alnabulsi et al. Protecting code injection attacks in intelligent transportation system
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN112583841B (zh) 虚拟机安全防护方法及系统、电子设备和存储介质
KR101889503B1 (ko) 비행자료 보호 장치 및 비행자료 보호 방법
SOX This White Paper
CA2587867C (en) Network security device
CN111464551A (zh) 一种网络安全分析系统
KR101872605B1 (ko) 지능형 지속위협 환경의 네트워크 복구 시스템
Al Makdi et al. Trusted security model for IDS using deep learning
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
CN113079182B (zh) 一种网络安全控制系统
CN114205166A (zh) 病毒防护系统
KR101904415B1 (ko) 지능형 지속위협 환경에서의 시스템 복구 방법
Banday et al. A study of Indian approach towards cyber security
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant