KR101765200B1 - 시스템 보안관리장치 및 그 방법 - Google Patents

시스템 보안관리장치 및 그 방법 Download PDF

Info

Publication number
KR101765200B1
KR101765200B1 KR1020150165557A KR20150165557A KR101765200B1 KR 101765200 B1 KR101765200 B1 KR 101765200B1 KR 1020150165557 A KR1020150165557 A KR 1020150165557A KR 20150165557 A KR20150165557 A KR 20150165557A KR 101765200 B1 KR101765200 B1 KR 101765200B1
Authority
KR
South Korea
Prior art keywords
user
connection
security
request
access
Prior art date
Application number
KR1020150165557A
Other languages
English (en)
Other versions
KR20170060845A (ko
Inventor
민소연
조은숙
김원익
유기형
Original Assignee
서일대학교산학협력단
(주)멜리타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서일대학교산학협력단, (주)멜리타 filed Critical 서일대학교산학협력단
Priority to KR1020150165557A priority Critical patent/KR101765200B1/ko
Publication of KR20170060845A publication Critical patent/KR20170060845A/ko
Application granted granted Critical
Publication of KR101765200B1 publication Critical patent/KR101765200B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방하는 시스템 보안관리장치 및 그 방법에 관한 것이다. 본 발명에 의한 시스템 보안관리장치는 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 추출부; 상기 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 저장부; 상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단하는 제어부; 상기 제어부에 의해 사용자 PC의 접속 요청이 거부된 경우 관리자에게 보안경고 메시지를 알리는 알림부를 포함한다. 본 발명에 의하면, 악성코드에 감염된 내부 사용자 PC가 정상적인 연결을 가장하여 보안 서버에 접속하는 것을 차단할 수 있는 장점이 있다.

Description

시스템 보안관리장치 및 그 방법{Apparatus and method for system security management}
본 발명은 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방하는 시스템 보안관리장치 및 그 방법에 관한 것이다.
통신시스템의 디지털화에 의하여 대량의 정보를 데이터로 송수신 가능하게 발전되었으며, 특히 인터넷의 발달 등에 의하여 언제 어디서나 필요한 정보를 즉시 검색하거나 게재할 수 있게 되었다. 또한, 정보를 제공하거나 보관하기 위하여 데이터 서버를 사용하며, 이러한 서버 또는 IT 인프라는 인터넷 상에서 사이트로 불리고, 누구나 접속할 수 있도록 하거나, 패스워드와 아이디를 입력하여 허용된 경우에만 접속하도록 제한하는 것이 일반적이다.
타인의 접속을 제한하는 서버 또는 IT 인프라의 경우, 회사나 조직의 경영에 중요한 정보가 기록 관리되거나 타인에게 알려지면 곤란한 사생활 정보 등이 기록 및 관리되며, 이러한 IT 정보 자산이 부당하게 유출되는 것을 차단하기 위하여 서버의 접속을 보안 처리한다. 보안된 서버에 허용되지 않은 상태로 접속하여 데이터를 검색 및 삭제하거나 쓸모없는 정보의 게재 행위를 일반적으로 해킹 또는 침입이라고 한다.
이러한 해킹 또는 침입을 방지하기 위하여 다양한 솔루션이 제시되고 있으며, 일예로, 가상사설망(VIRTUAL PRIVATE NET: VPN), 방화벽(FIREWALL), 침입탐지시스템(INTRUSION DETECTION SYSTEM: IDS), 침입방지시스템(INTRUSION PREVENTION SYSTEM: IPS), 웹 방화벽, 바이러스 백신 등이 제시되고 있다. 각 솔루션 별로 해킹을 차단하는 특징 또는 특성이 다르므로, 서버의 IT 정보 자산을 안전하게 보호하는 시스템에는 최소 2개 이상으로부터 많으면 수십 개의 솔루션을 구축하여 동시 운용하는 것이 일반적이다.
그러나 현재는 좀비단말의 행위를 분석하고 더불어 개인의 행위패턴을 분석하여 원격제어 공격과 부정행위에 따른 자료정보 유출을 사전에 탐지하고 차단하는 보안 제품이 없는 상태이다. 또한 기존 백신 프로그램들은 바이러스에 대한 사후 처리를 위한 해결책이 되지만, 알려지지 않은 리버스 해킹 활동을 제한하거나 원천적인 활동을 탐지, 차단하는 역할은 하지 못하고 있다. 그리고 기존 PC 방화벽의 경우 외부로 연결되는 인터넷 서비스 접속을 무제한으로 허용하기 때문에 내부에서 외부로 연결되는 리버스 해킹 좀비 PC 를 구분해 내지 못하는 문제점이 있었다. 뿐만 아니라 개인의 불법적인 자료유출은 현재 나와 있는 보안시스템으로는 사후 확인은 가능하나 사전에 이를 탐지, 예방할 수 없는 문제점이 있었다.
이와 같은 종래기술로는 한국공개특허 10-2014-0011518호(악성코드를 차단하기 위한 방법 및 시스템)가 개시되어 있다.
본 발명은 상기와 같은 문제점들을 해결하기 위하여 제안된 것으로서, 악성코드에 감염된 내부 사용자 PC가 정상적인 연결을 가장하여 보안 서버에 접속하는 것을 차단하는 것이 가능한 시스템 보안관리장치 및 그 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방하는 것이 가능한 시스템 보안관리장치 및 그 방법을 제공하는 것을 목적으로 한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명에 의한 시스템 보안관리장치는 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 추출부; 상기 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 저장부; 상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단하는 제어부; 상기 제어부에 의해 사용자 PC의 접속 요청이 거부된 경우 관리자에게 보안경고 메시지를 알리는 알림부를 포함하는 시스템 보안관리장치에 있어서, 상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고, 상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 한다.
그리고 상기 제어부는 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출부에 의해 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용하여 상기 사용자 PC의 접속 허용 여부를 판단할 수 있다.
또한, 상기 접근권한에 관한 추가 요청은 상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 것일 수 있다.
그리고 상기 제어부는 상기 접근권한에 관한 추가 요청에 대하여 오답이 입력되거나 상기 접근권한에 관한 추가 요청 이후 미리 정해진 시간이 경과하는 경우, 사용자 PC의 접속 요청을 거부할 수 있다.
또한, 상기 제어부는 상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용 결과 사용자 PC의 접속 요청을 거부하는 경우, 모든 사용자 PC에 대하여 관리자의 실시간 요청을 포함하는 3단계 보안정책을 적용할 수 있다.
그리고 상기 추출부는 일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하고, 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출할 수 있다.
또한, 상기 추출부는 기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환할 수 있다.
그리고 상기 접속기록은 상기 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함할 수 있다.
한편, 본 발명에 의한 시스템 보안관리방법은 (a) 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 단계; (b) 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계; (c) 상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단하는 단계; (d) 상기 사용자 PC의 접속 요청이 거부된 경우 관리자에게 보안경고 메시지를 알리는 단계를 포함하는 시스템 보안방법에 있어서, 상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고, 상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 한다.
그리고 상기 (c) 단계는, (c-1) 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용하여 상기 사용자 PC의 접속 허용 여부를 판단하는 단계를 포함할 수 있다.
또한, 상기 접근권한에 관한 추가 요청은 상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 것일 수 있다.
그리고 상기 (c) 단계는, (c-2) 상기 접근권한에 관한 추가 요청에 대하여 오답이 입력되거나 상기 접근권한에 관한 추가 요청 이후 미리 정해진 시간이 경과하는 경우, 사용자 PC의 접속 요청을 거부하는 단계를 더 포함할 수 있다.
또한, 상기 (c) 단계는, 상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용 결과 사용자 PC의 접속 요청을 거부하는 경우, 모든 사용자 PC에 대하여 관리자의 실시간 요청을 포함하는 3단계 보안정책을 적용하는 단계를 더 포함할 수 있다.
그리고 상기 (b) 단계는, (b-1) 일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하는 단계; (b-2) 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계를 포함할 수 있다.
또한, 상기 (b-2) 단계는, 기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환하는 것에 의하여 수행될 수 있다.
그리고 상기 접속기록은, 상기 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함할 수 있다.
본 발명의 일실시예에 따른 시스템 보안관리장치 및 그 방법에 의하면, 악성코드에 감염된 내부 사용자 PC가 정상적인 연결을 가장하여 보안 서버에 접속하는 것을 차단할 수 있는 장점이 있다.
또한, 이와 같이 본 발명의 일실시예에 따른 시스템 보안관리장치 및 그 방법은 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방할 수 있는 장점이 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 시스템 보안관리장치의 구성을 도시한 블록도이다.
도 2는 본 발명의 일실시예에 따른 시스템 보안관리방법을 도시한 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 시스템 보안관리장치의 구성을 도시한 블록도이다.
도 1에 도시한 바와 같이, 본 발명의 일실시예에 따른 시스템 보안관리장치는 추출부(100), 저장부(200), 제어부(300) 및 알림부(400)를 포함하여 구성된다.
본 발명의 사용자 PC는 통신망을 통하여 보안 서버와 정보를 송수신한다. 여기서 통신망은 다양한 형태로 이용될 수 있다. 예컨대 상기 통신망은 인터넷 프로토콜(IP)을 기반으로 대용량 데이터 송수신이 가능한 IP망, 인터넷 프로토콜을 기반으로 서로 다른 망이 통합된 구조를 갖는 ALL-IP망을 비롯하여, Wibro(Wireless Broadband)와 Wi-Fi와 같은 무선망(Wireless LAN), WPAN(Wireless Personal Area Network), 이동통신망 및 유선통신망, 그리고 위성통신망과 같이 다양한 형태로 이용될 수 있다.
본 발명의 일실시예에 따른 시스템 보안관리장치를 구성하는 추출부(100)는 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출한다. 더욱 구체적으로 상기 추출부(100)는 일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하고, 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출한다.
또한, 상기 추출부(100)는 기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환한다. 보다 구체적으로, 상기 추출부(100)는 보안 서버에 대한 불법적인 접속을 감시하기 위하여 각 사용자 PC가 보안 서버에 접속한 기록을 수집한다. 상기 접속기록은 각 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함한다. 이때 상기 추출부(100)는 기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중에서 반복되는 접속기록을 로그 포맷으로 변환한다.
또한, 각 사용자 PC에서 보안 서버로의 연결정보가 생성되면, 상기 추출부(100)는 일정기간 단위로 연결정보를 수집하고, 상기 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출할 수 있다. 여기서 연결정보는 보안 서버와의 연결이 수립된 후 주고받는 모든 정보가 될 수 있으며, 연결이 수립되기 이전에 연결 수립을 위해 주고받는 정보까지 포함할 수 있다. 예컨대, 신뢰성 있는 연결을 수행하는 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반으로 보안 서버에 접속하고자 할 경우, 연결요청(Synchronous, SYN), 연결요청응답(Synchronous/Acknowledge, SYN/ACK) 및 응답확인(Acknowledge, ACK) 패킷을 주고받는 과정이 필요한데, 이때 주고받는 모든 패킷 정보가 상기 연결정보에 포함될 수 있다.
상기 추출부(100)는 일정기간 단위, 예컨대 30초 또는 1분 단위로 연결정보를 수집하고, 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후, 기설정된 필터정보에 따라 불필요한 연결정보를 제거할 수 있다. 예컨대, 상술한 연결정보에 로컬 호스트(127.0.0.1)로 연결되는 정보, HTTP 기반으로 웹 연결된 상태(PORT 80, STATE ESTABLISHED) 정보는 불법적인 상태가 아니므로, 상기 필터정보에 따라 불필요한 연결정보를 제거할 수 있다.
저장부(200)는 상기 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장한다. 상기 저장부(200)는 데이터를 저장하고 관리하는 데이터베이스로, 램, 롬, 하드디스크, 플래시 메모리, CD-ROM, DVD 뿐만 아니라, 네트워크 접근 스토리지와 같이 모든 종류의 저장매체를 포함할 수 있다.
여기서 보안정책은 이상공격징후 또는 내부 부정행위를 탐지하기 위하여 보안을 위협하는 위험도 수준에 따라 단계별로 미리 정해진 규약을 의미한다. 즉, 보안정책은 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 그 접속 허용 여부를 판단하는 기준이 된다. 일반적으로 사용자 PC를 통한 보안 서버에의 접근이 상기 보안정책에서 보안을 위협하는 것으로 정해진 행동과 일치하는 경우, 이를 감지하여 정보 유출 등의 보안 사고를 미연에 방지할 필요가 있다.
예컨대 방화벽을 제거하거나 외부 바이러스 및 악성코드의 침입의 징후가 되는 루트킷 파일이 감지되는 경우, 보안을 위협하는 높은 수준의 보안정책에 위배되는 것으로 정할 수 있다. 그리고 USB, 외장하드 등 저장장치를 연결하거나 외부 웹서버 등에 접속한 상태에서 보안 서버에 저장된 파일에 접근하는 행동의 경우, 보안을 위협하는 중간 수준의 보안정책에 위배되는 것으로 정할 수 있다. 또한, 내부 네트워크가 아닌 외부 네트워크를 사용하여 보안 서버에 접속하는 행동의 경우, 보안을 위협하는 낮은 수준의 보안정책에 위배되는 것으로 정할 수 있다.
상기 보안정책은 보안에 대한 위협도에 따라 정보 유출에 의한 보안 사고가 발생할 가능성이 높은 경우부터 낮은 경우까지 순차적으로 복수 개의 단계로 구성될 수 있다. 상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고, 상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 한다.
제어부(300)는 상기 추출부(100)에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단한다. 보다 구체적으로, 상기 제어부(300)는 각 사용자 PC의 보안서버에 대한 접속 요청이 상기 추출부(100)에 의해 추출된 접속 패턴과 동일하고, 상기 접속 요청이 기설정된 단계별 보안정책에 위배되지 않는 경우 사용자 PC의 보안 서버에 대한 접속을 허용할 수 있다.
상기 제어부(300)는 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출부(100)에 의해 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용할 수 있다. 여기서 상기 접근권한에 관한 추가 요청은 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 방식으로 이루어질 수 있다. 이때 상기 제어부(300)는 상기 접근권한에 관한 추가 요청, 즉 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대하여 오답이 입력되거나 또는 상기 접근권한에 관한 추가 요청 이후 답변을 입력하지 않은 상태로 미리 정해진 시간이 경과하는 경우, 사용자 PC의 접속 요청을 거부할 수 있다.
상기 제어부(300)가 상기 추출부(100)에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용 결과 사용자 PC의 접속 요청을 거부하는 경우, 모든 사용자 PC에 대하여 3단계 보안정책을 적용할 수 있다. 여기서 3단계 보안정책은 관리자의 실시간 요청을 포함한다. 보다 구체적으로, 상기 제어부(300)에 의해 사용자 PC의 접속 요청이 거부된 경우, 관리자는 보안 서버에 접속을 요청하는 모든 사용자 PC에 대하여 실시간으로 접근권한 유무를 판단하기 위한 요청을 할 수 있다.
상기 제어부(300)는 적어도 하나의 사용자 PC에 대하여 각 사용자 PC 별로 보안정책을 설정할 수 있다. 상기 제어부(300)는 사용자 PC로부터 보안 서버에 대한 접속 요청이 수신되면, 상기 접속 요청을 기설정된 보안정책과 비교하여 이상공격징후 또는 내부부정행위에 해당하는지 여부를 판단한다. 이때 상기 보안정책과 비교한 결과 보안을 위협하는 접속 요청인 것으로 판단되는 경우, 상기 제어부(300)는 사용자 PC의 접속 요청을 거부하는 명령 또는 이미 이루어진 접속 상태를 차단하는 명령을 송신할 수 있다.
상기 제어부(300)에 의해 사용자 PC의 접속 요청이 거부된 경우, 알림부(400)는 보안경고 메시지를 발송함으로써 관리자에게 사용자 PC의 접속 요청이 거부되었음을 알린다. 보다 구체적으로, 상기 알림부(400)는 상기 제어부(300)에 의해 사용자 PC의 보안 서버에 대한 접속 요청이 거부된 경우, 기등록된 보안 관리자의 단말로 알람을 전송한다.
상술한 본 발명의 시스템 보안관리장치는 서버 기반 컴퓨팅 방식 또는 클라우드 방식으로 동작하는 하나 이상의 서버로 구현될 수 있다. 특히, 보안 강화 시스템을 통해 송수신되는 정보는 인터넷 상의 클라우드 컴퓨팅 장치에 영구적으로 저장될 수 있는 클라우드 컴퓨팅(Cloud Computing) 기능을 통해 제공될 수 있다. 여기서, 클라우드 컴퓨팅은 데스크톱, 태블릿 컴퓨터, 노트북, 넷북 및 스마트폰 등의 디지털 단말기에 인터넷 기술을 활용하여 가상화된 IT(Information Technology) 자원, 예를 들어, 하드웨어(서버, 스토리지, 네트워크 등), 소프트웨어(데이터베이스, 보안, 웹 서버 등), 서비스, 데이터 등을 온 디맨드(On demand) 방식으로 서비스하는 기술을 의미한다.
이와 같이 본 발명의 일실시예에 따른 시스템 보안관리장치는 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방할 수 있는 장점이 있다.
도 2는 본 발명의 일실시예에 따른 시스템 보안관리방법을 도시한 순서도이다.
도 2에 도시한 바와 같이, 본 발명의 일실시예에 따른 시스템 보안관리방법은 사용자 PC의 보안 서버 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 단계로부터 시작된다(S100). 여기서 보안정책은 이상공격징후 또는 내부 부정행위를 탐지하기 위하여 보안을 위협하는 위험도 수준에 따라 단계별로 미리 정해진 규약을 의미한다. 상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고, 상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 한다.
즉, 보안정책은 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 그 접속 허용 여부를 판단하는 기준이 된다. 일반적으로 사용자 PC를 통한 보안 서버에의 접근이 상기 보안정책에서 보안을 위협하는 것으로 정해진 행동과 일치하는 경우, 이를 감지하여 정보 유출 등의 보안 사고를 미연에 방지할 필요가 있다.
다음으로, 본 발명의 일실시예에 따른 시스템 보안관리방법은 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계를 수행한다(S200). 상술한 제 200 단계는 일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하는 단계와 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계를 포함할 수 있다. 이때, 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계는, 기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환하는 것에 의하여 수행될 수 있다.
여기서, 상기 접속기록은 상기 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함한다.
또한, 각 사용자 PC에서 보안 서버로의 연결정보가 생성되면 일정기간 단위로 연결정보를 수집하고, 상기 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출할 수 있다. 여기서 연결정보는 보안 서버와의 연결이 수립된 후 주고받는 모든 정보가 될 수 있으며, 연결이 수립되기 이전에 연결 수립을 위해 주고받는 정보까지 포함할 수 있다. 예컨대, 신뢰성 있는 연결을 수행하는 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반으로 보안 서버에 접속하고자 할 경우, 연결요청(Synchronous, SYN), 연결요청응답(Synchronous/Acknowledge, SYN/ACK) 및 응답확인(Acknowledge, ACK) 패킷을 주고받는 과정이 필요한데, 이때 주고받는 모든 패킷 정보가 상기 연결정보에 포함될 수 있다.
또한, 일정기간 단위, 예컨대 30초 또는 1분 단위로 연결정보를 수집하고, 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후, 기설정된 필터정보에 따라 불필요한 연결정보를 제거할 수 있다. 예컨대, 상술한 연결정보에 로컬 호스트(127.0.0.1)로 연결되는 정보, HTTP 기반으로 웹 연결된 상태(PORT 80, STATE ESTABLISHED) 정보는 불법적인 상태가 아니므로, 상기 필터정보에 따라 불필요한 연결정보를 제거할 수 있다.
이어서, 상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출된 접속 패턴과 유사한지 여부를 판단하는 단계를 수행한다(S300). 여기서, 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출된 접속 패턴과 유사하면, 사용자 PC의 보안 서버에 대한 접속 요청을 허용하는 제 800 단계를 수행한다.
한편, 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용하여 상기 사용자 PC의 접속 허용 여부를 판단하는 단계를 수행한다(S400). 여기서 상기 접근권한에 관한 추가 요청은 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 방식으로 이루어질 수 있다.
다음으로, 상기 접근권한에 관한 추가 요청, 즉 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대하여 정답이 입력되는지, 아니면 오답이 입력되는지 여부를 판단하는 단계를 수행한다(S500). 여기서, 상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대하여 정답이 입력되면, 사용자 PC의 보안 서버에 대한 접속 요청을 허용하는 제 800 단계를 수행한다.
한편, 상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대하여 오답이 입력되면, 상기 접근권한에 관한 추가 요청 이후 답변을 입력하지 않은 상태로 미리 정해진 시간이 경과하는지 여부를 판단하는 단계를 수행한다(S600). 여기서, 상기 접근권한에 관한 추가 요청 이후 답변을 입력하지 않은 상태로 미리 정해진 시간이 경과하지 않았다면, 제 500 단계를 다시 수행한다.
반면에, 상기 접근권한에 관한 추가 요청 이후 답변을 입력하지 않은 상태로 미리 정해진 시간이 경과하면, 사용자 PC의 접속 요청을 거부하고 관리자에게 보안 경고 메시지를 알리는 단계를 수행한다(S700).
이와 같이 본 발명의 일실시예에 따른 시스템 보안관리방법은 사용자 PC의 악성코드의 행위를 분석하여 감염에 신속하게 대응하고 사용자 부정행위를 통한 불법적인 자료유출을 감지 및 예방할 수 있는 장점이 있다
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 추출부 200: 저장부
300: 제어부 400: 알림부

Claims (16)

  1. 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 추출부;
    상기 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 저장부;
    상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단하는 제어부;
    상기 제어부에 의해 사용자 PC의 접속 요청이 거부된 경우 관리자에게 보안경고 메시지를 알리는 알림부를 포함하는 시스템 보안관리장치에 있어서,
    상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고,
    상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 하고,
    상기 제어부는,
    상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출부에 의해 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용하여 상기 사용자 PC의 접속 허용 여부를 판단하는 것을 특징으로 하며,
    상기 접근권한에 관한 추가 요청은,
    상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 것을 특징으로 하고,
    상기 제어부는,
    상기 접근권한에 관한 추가 요청에 대하여 오답이 입력되거나 상기 접근권한에 관한 추가 요청 이후 미리 정해진 시간이 경과하는 경우, 사용자 PC의 접속 요청을 거부하는 것을 특징으로 하며,
    상기 제어부는,
    상기 추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용 결과 사용자 PC의 접속 요청을 거부하는 경우, 모든 사용자 PC에 대하여 관리자의 실시간 요청을 포함하는 3단계 보안정책을 적용하는 것을 특징으로 하는 시스템 보안관리장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제 1 항에 있어서,
    상기 추출부는,
    일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하고, 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 것을 특징으로 하는 시스템 보안관리장치.
  7. 제 6 항에 있어서,
    상기 추출부는,
    기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환하는 것을 특징으로 하는 시스템 보안관리장치.
  8. 제 6 항에 있어서,
    상기 접속기록은,
    상기 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함하는 것을 특징으로 하는 시스템 보안관리장치.
  9. (a) 사용자 PC의 보안 서버에 대한 접속 허용 여부를 판단하기 위한 기준이 되는 보안정책을 저장하는 단계;
    (b) 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계;
    (c) 상기 사용자 PC로부터 보안 서버에 대한 접속 요청이 있는 경우, 상기 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용을 통하여 상기 사용자 PC의 접속 허용 여부를 판단하는 단계;
    (d) 상기 사용자 PC의 접속 요청이 거부된 경우 관리자에게 보안경고 메시지를 알리는 단계를 포함하는 시스템 보안관리방법에 있어서,
    상기 단계별 보안정책은 접근권한에 대한 인증을 요청하는 1단계 보안정책을 포함하고,
    상기 접근권한에 대한 인증 요청은 상기 사용자 PC에 할당된 계정 및 패스워드의 입력을 요청하는 것을 특징으로 하고,
    상기 (c) 단계는,
    (c-1) 상기 사용자 PC의 보안 서버에 대한 접속 요청이 상기 추출된 접속 패턴과 비유사한 것으로 판단되는 경우, 접근권한에 관한 추가 요청을 포함하는 2단계 보안정책을 적용하여 상기 사용자 PC의 접속 허용 여부를 판단하는 단계를 포함하는 것을 특징으로 하며,
    상기 접근권한에 관한 추가 요청은,
    상기 관리자가 미리 작성한 복수 개의 질문리스트 중 무작위로 선정된 질문에 대한 답을 요청하는 것임을 특징으로 하고,
    상기 (c) 단계는,
    (c-2) 상기 접근권한에 관한 추가 요청에 대하여 오답이 입력되거나 상기 접근권한에 관한 추가 요청 이후 미리 정해진 시간이 경과하는 경우, 사용자 PC의 접속 요청을 거부하는 단계를 더 포함하고,
    상기 (c) 단계는,
    추출부에 의해 추출된 접속 패턴과의 유사성 판단 및 기설정된 단계별 보안정책의 적용 결과 사용자 PC의 접속 요청을 거부하는 경우, 모든 사용자 PC에 대하여 관리자의 실시간 요청을 포함하는 3단계 보안정책을 적용하는 단계를 더 포함하는 것을 특징으로 하는 시스템 보안관리방법.
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 제 9 항에 있어서,
    상기 (b) 단계는,
    (b-1) 일정 기간 단위로 각 사용자 PC의 보안 서버에 대한 접속기록을 수집하는 단계;
    (b-2) 상기 수집된 접속기록 중 반복되는 접속기록으로부터 각 사용자 PC의 보안 서버에 대한 접속 패턴을 추출하는 단계를 포함하는 것을 특징으로 하는 시스템 보안관리방법.
  15. 제 14 항에 있어서,
    상기 (b-2) 단계는,
    기설정된 필터정보에 따라 불필요한 접속기록을 제거하고, 상기 수집된 접속기록 중 반복되는 접속기록을 로그 포맷으로 변환하는 것에 의하여 수행되는 것을 특징으로 하는 시스템 보안관리방법.
  16. 제 14 항에 있어서,
    상기 접속기록은, 상기 사용자 PC의 보안 서버에 대한 접속시각, 일정 기간 단위의 접속횟수, 시간당 데이터 전송량, 사용자 PC의 실시간 동영상 정보, 파일 및 프로그램 사용, 웹사이트 접속 이력, 키보드 입력 정보, 네트워크 사용 정보. 프로세스 현황 정보를 포함하는 것을 특징으로 하는 시스템 보안관리방법.
KR1020150165557A 2015-11-25 2015-11-25 시스템 보안관리장치 및 그 방법 KR101765200B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150165557A KR101765200B1 (ko) 2015-11-25 2015-11-25 시스템 보안관리장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150165557A KR101765200B1 (ko) 2015-11-25 2015-11-25 시스템 보안관리장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20170060845A KR20170060845A (ko) 2017-06-02
KR101765200B1 true KR101765200B1 (ko) 2017-08-04

Family

ID=59222265

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150165557A KR101765200B1 (ko) 2015-11-25 2015-11-25 시스템 보안관리장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101765200B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102004505B1 (ko) * 2017-04-13 2019-07-26 양보륜 사용자 행위분석에 의해 컴퓨터 저장장치를 실시간 보호하는 시스템의 제어방법
KR102403522B1 (ko) * 2021-06-29 2022-05-31 주식회사 에이텍 컴퓨터의 사전 탐지를 이용한 장애 예방장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009526328A (ja) * 2006-02-10 2009-07-16 ベリサイン・インコーポレイテッド ネットワークベースの不正および認証サービスのシステムと方法
KR101173810B1 (ko) * 2011-09-07 2012-08-16 (주)멜리타 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009526328A (ja) * 2006-02-10 2009-07-16 ベリサイン・インコーポレイテッド ネットワークベースの不正および認証サービスのシステムと方法
KR101173810B1 (ko) * 2011-09-07 2012-08-16 (주)멜리타 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법

Also Published As

Publication number Publication date
KR20170060845A (ko) 2017-06-02

Similar Documents

Publication Publication Date Title
EP3101865B1 (en) Detection of anomalous administrative actions
JP6432210B2 (ja) セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
CN107211016B (zh) 会话安全划分和应用程序剖析器
EP2297993B1 (en) Protecting a mobile device against a denial of service attack
US20060129810A1 (en) Method and apparatus for evaluating security of subscriber network
JP5987627B2 (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
KR20170024428A (ko) 네트워크 보안 시스템 및 보안 방법
CN110233817A (zh) 一种基于云计算的容器安全系统
CN107046516B (zh) 一种识别移动终端身份的风控控制方法及装置
CN110417717A (zh) 登录行为的识别方法及装置
KR101576632B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN115883170A (zh) 网络流量数据监测分析方法、装置及电子设备及存储介质
CN104883364A (zh) 一种判断用户访问服务器异常的方法及装置
KR101765200B1 (ko) 시스템 보안관리장치 및 그 방법
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN111405548B (zh) 一种钓鱼wifi的检测方法及装置
CN110430199B (zh) 识别物联网僵尸网络攻击源的方法与系统
CN107231365B (zh) 一种取证的方法及服务器以及防火墙
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN111343194B (zh) 一种摄像头违规识别方法、系统、设备及计算机存储介质
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
KR102221726B1 (ko) Edr 단말 장치 및 방법
KR101132573B1 (ko) 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법
CN112491897A (zh) 一种基于数据库安全的远程防暴力破解方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right