KR101772144B1 - 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 - Google Patents
홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 Download PDFInfo
- Publication number
- KR101772144B1 KR101772144B1 KR1020150073023A KR20150073023A KR101772144B1 KR 101772144 B1 KR101772144 B1 KR 101772144B1 KR 1020150073023 A KR1020150073023 A KR 1020150073023A KR 20150073023 A KR20150073023 A KR 20150073023A KR 101772144 B1 KR101772144 B1 KR 101772144B1
- Authority
- KR
- South Korea
- Prior art keywords
- monitoring
- monitoring equipment
- unit
- equipment
- security management
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Environmental & Geological Engineering (AREA)
- Alarm Systems (AREA)
Abstract
본 발명의 일 실시예에 따른 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치는 상기 모니터링 장비와 전기적으로 연결되는 접속부, 상기 모니터링 장비에서의 태스크를 감시하는 감시부 및 상기 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부를 포함할 수 있다.
Description
본 발명은 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법에 관한 것으로, 보다 자세하게는 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안을 관리하는 장치 및 방법에 관한 것이다.
일반적으로 홈 네트워크는 TV, 냉장고 및 에어컨 등 가정에서 사용하는 가전 제품과 도어락, 조명, 가스, 화재 등의 가정용 기기 등을 네트워크를 통해 제어가능하도록 하는 시스템을 말하며, 아파트나 오피스텔과 같은 공동 주거(거주) 공간이나 IBS(Intelligent Building System) 등에 적용되고 있다.
도 1은 이러한 홈 네트워크 시스템(40)을 예시적으로 도시한 도면이다. 도 1을 참조하면, 홈 네트워크 시스템(40)은 적어도 하나 이상의 세대(50)에 대한 네트워크 시스템을 지칭하고, 각 세대(50)에 설치된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 가전 제품이나 가정용 기기와 같은 다수의 기기를 모니터링하며, 이러한 모니터링 장비(52)는 공용 서버부(30)를 통해 네트워크(20)를 거쳐 외부(10)와 연결된다. 이 때, 이러한 모니터링 장비(52)는 예를 들면 각 세대(50)마다 설치되어 있는 월패드(wallpad)일 수 있다.
그런데, 이러한 홈 네트워크 시스템(40)에는 보안상 문제가 있다. 즉, 외부(10)로부터 공용 서버부(30) 자체에 대한 공격에 대해서는 방화벽이나 기타 이미 알려진 보안 기술로 차단할 수 있지만 모니터링 장비(52) 자체의 해킹 등에 대비한 보안 기술은 아직까지 등장하지 않았기 때문이다. 이에, 외부에서 모니터링 장비(52)를 해킹할 경우, 각 세대의 출입 비밀번호 등이 탈취 또는 변조되거나 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, CCTV, 도어락, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 또는 조명 등)가 임의로 조작될 수 있으며, 또한 이러한 모니터링 장비(52)가 DDos 공격 등에 악용될 수 있다.
따라서, 모니터링 장비(52)의 해킹에 대비하여 보안을 제공하는 기술이 요구된다.
도 1은 이러한 홈 네트워크 시스템(40)을 예시적으로 도시한 도면이다. 도 1을 참조하면, 홈 네트워크 시스템(40)은 적어도 하나 이상의 세대(50)에 대한 네트워크 시스템을 지칭하고, 각 세대(50)에 설치된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 가전 제품이나 가정용 기기와 같은 다수의 기기를 모니터링하며, 이러한 모니터링 장비(52)는 공용 서버부(30)를 통해 네트워크(20)를 거쳐 외부(10)와 연결된다. 이 때, 이러한 모니터링 장비(52)는 예를 들면 각 세대(50)마다 설치되어 있는 월패드(wallpad)일 수 있다.
그런데, 이러한 홈 네트워크 시스템(40)에는 보안상 문제가 있다. 즉, 외부(10)로부터 공용 서버부(30) 자체에 대한 공격에 대해서는 방화벽이나 기타 이미 알려진 보안 기술로 차단할 수 있지만 모니터링 장비(52) 자체의 해킹 등에 대비한 보안 기술은 아직까지 등장하지 않았기 때문이다. 이에, 외부에서 모니터링 장비(52)를 해킹할 경우, 각 세대의 출입 비밀번호 등이 탈취 또는 변조되거나 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, CCTV, 도어락, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 또는 조명 등)가 임의로 조작될 수 있으며, 또한 이러한 모니터링 장비(52)가 DDos 공격 등에 악용될 수 있다.
따라서, 모니터링 장비(52)의 해킹에 대비하여 보안을 제공하는 기술이 요구된다.
본 발명의 해결하고자 하는 과제는 홈 네트워크 시스템에서 다수의 기기를 모니터링하는 모니터링 장비에 대한 보안을 제공하고 관리하는 장치 및 방법을 제공하고자 한다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따르면, 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치는 상기 모니터링 장비와 전기적으로 연결되는 접속부, 상기 모니터링 장비에서의 태스크를 감시하는 감시부 및 상기 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부를 포함할 수 있다.
또한, 상기 보안 관리 장치는 상기 모니터링 장비 내에 포함되도록 구현되거나 또는 상기 모니터링 장비 외부에 별도로 구현되는 것을 특징으로 할 수 있다.
또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시부는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는 기기 목록 감시부를 포함할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시하는 초기화 과정 감시부를 포함할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비에 포함된 파일을 감시하는 파일 감시부, 상기 모니터링 장비에서의 프로세스를 감시하는 프로세스 감시부, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터를 감시하는 네트워크 감시부, 상기 모니터링 장비에 포함된 메모리에 대한 접근을 감시하는 메모리 접근 감시부 및 상기 모니터링 장비와 상기 기기 간의 통신을 감시하는 기기 통신 감시부를 포함할 수 있다.
또한, 상기 감시부는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.
또한, 상기 감시부는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.
또한, 상기 감시부는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.
또한, 상기 제어부는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.
본 발명의 다른 실시예에 따른 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치를 이용한 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계, 상기 모니터링 장비에서의 태스크를 감시하는 단계 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계를 포함할 수 있다.
또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시하는 단계는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비에 포함된 파일, 상기 모니터링 장비에서의 프로세스, 상기 모니터링 장비의 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 감시할 수 있다.
또한, 상기 감시하는 단계는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.
또한, 상기 허용하거나 차단하는 단계는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.
본 발명의 또 다른 실시예에 따르면 보안 관리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 포함할 수 있다.
또한, 상기 보안 관리 장치는 상기 모니터링 장비 내에 포함되도록 구현되거나 또는 상기 모니터링 장비 외부에 별도로 구현되는 것을 특징으로 할 수 있다.
또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시부는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는 기기 목록 감시부를 포함할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시하는 초기화 과정 감시부를 포함할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비에 포함된 파일을 감시하는 파일 감시부, 상기 모니터링 장비에서의 프로세스를 감시하는 프로세스 감시부, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터를 감시하는 네트워크 감시부, 상기 모니터링 장비에 포함된 메모리에 대한 접근을 감시하는 메모리 접근 감시부 및 상기 모니터링 장비와 상기 기기 간의 통신을 감시하는 기기 통신 감시부를 포함할 수 있다.
또한, 상기 감시부는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.
또한, 상기 감시부는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.
또한, 상기 감시부는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.
또한, 상기 감시부는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.
또한, 상기 제어부는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.
본 발명의 다른 실시예에 따른 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치를 이용한 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계, 상기 모니터링 장비에서의 태스크를 감시하는 단계 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계를 포함할 수 있다.
또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시하는 단계는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비에 포함된 파일, 상기 모니터링 장비에서의 프로세스, 상기 모니터링 장비의 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 감시할 수 있다.
또한, 상기 감시하는 단계는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.
또한, 상기 감시하는 단계는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.
또한, 상기 허용하거나 차단하는 단계는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.
본 발명의 또 다른 실시예에 따르면 보안 관리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 포함할 수 있다.
본 발명의 일 실시예에 따르면, 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 보안 관리 장치가 적용되는 홈 네트워크 시스템을 나타낸 도면이다.
도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이다.
도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이다.
도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.
도 5a 내지 5c는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 기기 간의 통신에 대한 보안을 관리하는 것을 개념적으로 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.
도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이다.
도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이다.
도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.
도 5a 내지 5c는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 기기 간의 통신에 대한 보안을 관리하는 것을 개념적으로 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이고, 도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이며, 도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.
도 2a를 먼저 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비와 전기적으로 연결되는 접속부(110), 모니터링 장비에서의 태스크를 감시하는 감시부(120) 및 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부(130)를 포함할 수 있으며, 다만 도 2a에 도시된 구성은 예시적인 것으로 이 중 적어도 하나 이상의 구성요소를 포함하지 않거나 또는 언급하지 않은 다른 구성요소를 더 포함할 수도 있다. 아울러, 이러한 보안 관리 장치(100)는 적어도 일부의 소프트웨어와 하드웨어의 하이브리드 구현 방식에 의하여, 프로세서 및 프로세서에 의해 실행되는 명령어들을 저장하는 메모리를 포함하는 전자 디바이스 또는 컴퓨터 프로그램에 의해 선택적으로 활성화 또는 재구성되는 프로그래밍 가능한 머신(machine)상에서 구현될 수 있다.
여기서, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 도 1에 도시된 홈 네트워크 시스템(40)의 적어도 하나의 세대(50)에 설치된 모니터링 장비(52) 각각에 적용되는 것을 전제로 설명하기로 한다. 이에, 이하에서는 먼저 도 1에 대하여 보다 자세하게 살펴보기로 하되, 본 명세서에서는 적어도 하나 이상의 '세대'를 포함하는 '홈' 네트워크 시스템이라고 지칭하고 있으나 본 발명의 사상이 단순히 '홈'이나 '세대'에 적용되는 것으로 한정되는 것은 아니다. 즉, 본 발명의 실시예에 따라서는 예를 들면 오피스텔, 사무실이나 IBS 등과 같이 공동 주거(거주) 공간에 적용될 수도 있다.
도 1을 참조하면, 공용 서버부(30)는 적어도 하나의 세대(50)에 포함된 모니터링 장비(52)를 관리하는 장치이며, 예를 들면 데스크탑이나 서버 등일 수 있고, 네트워크(20)를 통해 외부(10)와 연결될 수 있다.
이러한 공용 서버부(30)는 홈 네트워크 시스템(40)에 포함된 적어도 하나 이상의 세대(50) 내의 모니터링 장비(52)와 연결되는 구조일 수 있다. 이 때, 모니터링 장비(52)와 공용 서버부(30)와의 연결에 있어서 모니터링 장비(52)는 도 1에 도시된 것과 같이 공용 서버부(30)와 직접 연결되거나 또는 이와 달리 도 1에는 도시되지 않았지만 별도의 연결 구성(예를 들면, 게이트웨이(gateway))을 통해 공용 서버부(30)와 연결될 수도 있다.
각 세대(50)에 포함된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 다수의 기기와 연결된다. 다수의 기기는 예를 들면 도어락, 조명 또는 가스, TV, 냉장고, 에어컨, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 등의 다양한 전자 제품이나 전자 기기 등을 포함할 수 있으며, 이러한 전자 제품이나 전자 기기는 IP 기반의 통신 방식을 지원하거나 기타 유선/무선 기반의 통신을 지원할 수 있다. 이하에서는 이러한 다수의 기기와 모니터링 장비 간의 연결 방식에 대하여 도 3a 내지 3c를 참고하여 살펴보기로 한다.
도 3a를 참조하면, 다수의 기기 중 제1 기기(53)는 게이트웨이부(70)를 통해서 모니터링 장비(52)에 연결될 수 있으며, 다수의 기기 중 제2 기기(55)는 게이트웨이부(70)를 통하지 않고 모니터링 장비(52)에 직접 연결될 수 있다. 게이트웨이부(70)는 다수의 장비가 지원하는 통신 방식에 상관없이(예를 들면, RS-232, RS-485, RF, TCP/IP, 블루투스, NFC 등) 이러한 다수의 장비가 모니터링 장비(52)에 연결되도록 하는 인터페이스를 제공할 수 있으며 다만 이러한 게이트웨이부(70)의 구성 및 기능은 이미 공지된 것이므로 이에 관한 자세한 설명은 생략하기로 한다.
이 때, 도 3a 도시된 것과 같이 이러한 게이트웨이부(70)는 모니터링 장비(52) 내에 포함되도록 구현될 수 있으며 이와 달리 도 3b에 도시된 것과 같이 모니터링 장비(52) 외부에 별도로 구현될 수도 있다. 뿐만 아니라, 도 3c에 도시된 것과 같이 모니터링 장비(52) 내에 포함되도록 구현되면서(게이트웨이부 #1(70)) 동시에 모니터링 장비(52) 외부에 별도로 구현될 수도 있음(게이트웨이부 #2(71))은 물론이다.
도 2a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)에 포함된 접속부(110)는 보안 관리 장치(100)와 모니터링 장비(52)를 전기적으로 연결시킨다. 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)를 감시하고 제어할 수 있다.
이 때, 도 4a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 내에 포함되어 모니터링 장비와 전기적으로 연결되도록 구현될 수 있다. 이 경우, 접속부(110)는 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다.
따라서, 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)에서의 파일, 모니터링 장비(52)에서의 프로세스, 모니터링 장비(52)와 외부(예를 들면 공용 서버부 또는 기기)와의 통신, 또는 모니터링 장비(52)에 포함된 메모리에 대한 접근에 관한 사항을 전달받을 수 있다.
이와 달리, 도 4b를 참조하면 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 외부에 별도로 구현될 수도 있다.
이 때, 접속부(110)는 모니터링 장비(52)와 모니터링 장비(52) 외부에 별도로 구현된 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다. 따라서, 보안 관리 장치(100)는 비록 도 2a와는 상이하게 모니터링 장비(52) 외부에 구현되어 있지만 모니터링 장비(52) 내부에서의 파일, 프로세스, 통신, 메모리에 관한 접근에 관한 사항 등에 대해서 도 2a와 동일하게 감시할 수 있다.
감시부(120)는 모니터링 장비(52)에서의 태스크(task)를 감시할 수 있다. 이를 위해, 감시부(120)는 접속부(110)가 모니터링 장비(52)에 접속하여 태스크에 관한 사항을 전달받은 뒤, 이러한 태스크에 관한 사항이 실행을 허용하는 목록에 대한 기 설정된 화이트리스트 또는 블랙리스트에 포함되어 있는지 여부로 감시할 수 있다.
여기서, 태스크는 모니터링 장비(52)가 수행하는 작업을 지칭하는 것으로, 예를 들면 시스템 하드닝에 관한 작업, 코드 사이닝(code signing) 솔루션에 관한 작업, 인증서를 기반으로 모니터링 장비(52)에 접근하는 사용자나 기기를 인증하는 작업, 통신 상의 데이터 암호화에 관한 작업, 모니터링 장비(52)로의 접근에 일회성 패스워드(onetime password)를 적용하는 것과 관련된 작업, 보안 관제 서비스에 관한 작업, 데이터의 유출 방지에 관한 작업, 애플리케이션 보호 기술에 관한 작업, 서비스 연속성 보장에 관한 작업, 유사시 데이터 복구에 관한 작업 또는 기기의 비정상적인 사용에 관한 모니터링 등을 포함할 수 있으며 다만 이에 한정되는 것은 아니다.
이 중 몇 가지 작업에 대하여 보다 상세하게 살펴보면, 시스템 하드닝에 관한 작업은 모니터링 장비(52)에 설치 가능한 앱(소프트웨어)과 모니터링 장비(52)에 접근 가능한 파일이나 디렉토리, 레지스트리 등의 리소스 등을 미리 정의(예를 들면, 화이트리스트 또는 블랙리스트 기반)한 뒤, 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 감시하는 것을 지칭할 수 있다.
또한, 코드 사이닝 솔루션에 관한 작업은 코드 사이닝이 된 애플리케이션에 대해서만 정상적으로 실행 가능하도록 함으로써 해커 등에 의해 배포된 애플리케이션은 실행되지 않도록 하는 작업을 지칭할 수 있으며, 이 때 코드 사이닝은 애플리케이션의 배포 전 실행 파일에 인증서기반으로 코드를 사인하는 것을 의미할 수 있다.
또한, 인증서 기반으로 사용자나 기기를 인증하는 작업은 인증서가 설치된 사용자나 기기에 대해서만 접근을 허용하는 것을 지칭할 수 있으며, 이러한 인증서에는 예를 들면 저전력 근거리 통신을 위한 장치의 인증서, 미국 Cablelab의 케이블 모뎀의 국제 표준 인터페이스 인증서, DOCSIS의 유럽 규약 인증서 또는 시큐리티 모듈이 분리된 방송용 방식의 인증서 등을 포함할 수 있다.
또한, 통신 상의 데이터 암호화에 관한 작업은 SSL 인증서를 통한 데이터 암호화를 지칭하는 것으로, 예를 들면 변조된 사이트에는 정상적인 SSL 인증서가 없는 경우 이러한 사이트로의 접속을 차단하고, 정상 사이트에 대해서는 데이터 유출을 방지하는 것을 포함할 수 있다
또한, 보안 관제 서비스에 관한 작업은 URL/IPS/FILE 등을 모니터링하는 기능을 활용하여 게이트웨이 레벨에서 엔드포인트에 대한 악성코드 여부를 감시하는 것을 지칭할 수 있다.
또한, 데이터 유출 방지에 관한 작업은 외부로 전송되는 자료 중에서 기밀정보나 개인정보를 포함하는 자료를 탐지하여 차단 및 보고하는 것을 지칭하는 것으로, 예를 들면 IoT(사물 인터넷) 기능을 지원하는 기기로부터 기밀정보나 개인정보가 유출되는 것을 방지할 수 있다.
아울러, 애플리케이션 보호 기술에 관한 작업은 모니터링 장비(52)에 저장되는 데이터에 대하여 암호화를 적용하고 비밀 데이터를 분리함으로써 이러한 데이터의 외부 유출을 차단하는 것을 지칭하는 것으로, 예를 들면 데이터 분리, 도난 관리, 암호화 및 인증 등에 관한 작업을 포함할 수 있다.
이러한 감시부(120)는 전술한 작업 이외에도 도 2b에 도시된 것과 같이 파일 감시부(121), 프로세스 감시부(122), 네트워크 감시부(123), 메모리 접근 감시부(124), 초기화 과정 감시부(125) 또는 기기 통신 감시부(127)를 포함함으로써 아래와 같은 다양한 감시를 수행할 수 있고, 다만 이 중 적어도 하나 이상을 포함하지 않거나 여기에 도시되지 않은 다른 구성을 더 포함할 수도 이다.
파일 감시부(122)는 모니터링 장비(52)에서의 파일을 감시한다. 예를 들면, 파일 감시부(122)는 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있으며, 이 때 감시 대상인 파일에는 실행 파일, 설정 파일, 중요 데이터 파일, 레지스트리 또는 시스템 파일 등이 있을 수 있고, 보다 구체적인 예로는 모니터링 장비(52)를 이용한 세대간의 통화 내용을 저장하는 파일, 세대원이나 자동차 출입 또는 방문자 정보 등과 같은 개인정보를 저장하는 파일 등도 포함되며 다만 이에 한정되는 것은 아니다.
프로세스 감시부(122)는 모니터리 장비(52)에서의 프로세스를 감시한다. 예를 들면 프로세스 감시부(122)는 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.
네트워크 감시부(123)는 모니터링 장비(52)의 네트워크에 대한 접속 또는 네트워크를 통해 송수신되는 데이터 등을 화이트리스트 또는 블랙리스트를 기반으로 감시하며, 이 때 감시 대상인 네트워크에는 예를 들면 공용 서버부(30)로의 네트워크 접속, 기타 외부 네트워크(10)로의 네트워크 접속, 네트워크를 통해 송수신되는 패킷이나 데이터, 명령 등이 있을 수 있다.
메모리 접근 감시부(125)는 모니터링 장비(52)에 포함된 메모리에 대한 접근을 감시하며, 외부에서 모니터링 장비(52)에 포함된 메모리(이러한 메모리는 예를 들면 세대간의 통화 내용, 자동차 출입 정보, 세대원에 대한 개인 정보, 방문자 정보 등을 저장할 수 있음)에 접근하는 프로세스나 사용자를 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.
초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70)와의 초기화 과정을 감시할 수 있다. 즉, 초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70) 간의 통신을 가능하게 하는 다양한 초기화 과정을 감시할 수 있으며, 이러한 초기화 과정은 예를 들면 게이트웨이부(70)로 모니터링 장비(52)의 IP를 전달하는 과정을 포함할 수 있다.
또한, 기기 목록 감시부(127)는 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, 제1 기기 또는 제2 기기)의 목록을 감시할 수 있다. 보다 구체적으로 살펴보면, 기기 목록 감시부(127)는 기기 목록의 변조 또는 변경 등을 감시할 수 있으며, 아울러 기기 목록에 포함되어 있지 않은 비인가 기기의 모니터링 장비(52)로의 연결 등을 감시할 수 있다. 또한, 기기 목록 감시부(126)는 게이트웨이부(70)와 모니터링 장비(52) 간의 기기 목록 전송 과정 등을 감시할 수 있다. 여기서 기기 목록을 전송하는 과정은 모니터링 장비(52)가 게이트웨이부(70)에 연결된 기기(예를 들면 제1 기기)에 대한 정보를 게이트웨이부(70)로부터 전달받음으로써 해당 기기에 대한 조회 및 제어를 수행할 수 있도록 하는 과정을 지칭한다.
기기 통신 감시부(127)는 모니터링 장비(52)와 다수의 기기 간의 통신을 감시할 수 있다. 예를 들면, 모니터링 장비(52)에 연결 또는 내장되어 있는 카메라와 같은 촬영 수단이나 마이크와 같은 음성 입출력 수단 등에 대한 외부로부터의 비정상적인 접근 등을 감시할 수 있다.
또한, 기기 통신 감시부(127)는 기기(53)로 전달되거나 기기(53)로부터 전달된 통신(예를 들면, 제어 명령이나 이벤트, 이하 기기 관련 통신이라고 지칭)에 대하여 감시할 수 있는데, 이하에서는 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중(half-duplex)이면서 폴링 방식인 경우를 전제로, 도 5a 내지 5c를 참조하여 살펴보기로 한다. 이 때, 반이중이면서 폴링 방식의 통신 방식에서는 마스터가 요청을 하여야 슬레이브가 응답을 수행할 수 있으며, 마스터의 요청은 모든 슬레이브로 전달이 되고, 어느 한 슬레이브의 응답은 다른 슬레이브 및 마스터로 전달이 되는 것을 전제로 살펴보기로 한다.
도 5a는 홈 네트워크 시스템에서 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중 방식인 경우를 개념적으로 도시한 도면이다. 도 5a를 참조하면, 반이중이면서 폴링 방식인 경우, 모니터링 장비(52)는 통신을 요청(60)하는 마스터(master)이고 기기(53)는 요청(60)에 대하여 응답(61)하는 슬레이브(slave)일 수 있다. 즉, 반이중이면서 폴링 방식의 홈 네트워크 시스템에서 다수의 기기(53)는 모니터링 장비(52)의 요청(60)이 있어야만 응답(61)할 수 있다. 아울러, 마스터인 모니터링 장비(52)가 요청(60)을 하면 슬레이브인 기기(53)가 응답을 수행할 수 있으며, 이 때의 모니터링 장비(52)의 요청은 모든 기기(53)로 전달이 되고, 어느 한 기기(53)의 응답은 다른 기기 및 모니터링 장비(52)로 전달이 된다.
도 5b는 홈 네트워크 시스템에서 모니터링 장비(52)의 요청(60)이 없는 경우에도 기기(53)로부터 응답(61)이 있는 경우를 도시한 도면이다. 이 경우, 기기 통신 감시부(127)는 요청이 없음에도 불구하고 응답(61)이 있음을 분석할 수 있는데, 이러한 상황은 예를 들면 기기(53)가 악성 코드에 감염이 되어 요청이 없었음에도 스스로 전달하는 경우일 수 있으며, 이와 달리 도 5c와 같이 모니터링 장비(52)가 아닌 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우 이에 대하여 기기(53)가 응답한 경우일 수 있다.
한편, 도 5c에서 모니터링 장비(52)는 기기(53)가 아닌 제3의 장비(56)로부터 기기(53)를 공격하기 위한 요청(62)이 전달된 경우 이러한 요청(62)은 마스터 역할을 하는 모니터링 장비(52)도 전달받을 수 있으며, 따라서 기기 통신 감시부(127)는 제3의 장비(56)가 공격하기 위한 요청(62)을 전달하였는지 여부를 분석할 수 있다.
한편, 감시부(120)의 전술한 감시는 공용 서버부(30)와의 연동을 통해 공용 서버부(30)의 도움을 받아서 감시를 수행할 수도 있다. 예를 들면, 감시부(120)가 감시를 수행할 수 없는 경우에는 공용 서버부(30)가 감시부(120)가 수행해야할 감시를 대신 수행할 수 있다. 또는, 감시부(120)가 감시한 결과를 공용 서버부(30)로 전달하고 공용 서버부(30)로부터 분석 결과를 전달받은 뒤, 분석 결과가 해당 태스크에 대한 허용이나 차단 등을 판단하는데 사용되도록 할 수도 있다.
다시 도 2a로 돌아가면, 제어부(130)는 감시부(120가 감시한 결과를 기초로, 다음과 같은 태스크를 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 차단(lock down)할 수 있다.
예를 들면, 제어부(130)는 시스템 하드닝에 관한 작업에서 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 차단(락다운)할 수 있으며, 코드 사이닝 솔루션에 관한 작업에서 코드 사이닝이 되지 않은 애플리케이션의 실행을 차단(락다운)할 수 있고, 인증서 기반으로 사용자나 기기를 인증하는 작업에서 인증서가 없는 사용자나 기기에 대해서만 접근을 차단할 수 있다. 아울러, 통신 상이 데이터 암호화에 관한 작업에서 변조된 사이트로의 접속을 차단하고, 정상 사이트에 대해서 데이터 유출이 방지되도록 할 수 있다. 뿐만 아니라, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 차단(락다운)할 수 있으며, 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 차단할 수 있고, 공용 서버부(30)로의 네트워크 접속이나 기타 외부 네트워크(10)로의 네트워크 접속 등을 차단할 수 있으며, 외부에서 모니터링 장비(52)에 포함된 메모리에 접근하는 프로세스나 사용자를 기반으로 차단할 수 있다. 또한, 제어부(130)는 예를 들면 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근을 차단하거나, 메모리나 파일에 저장된 세대간 통화내용이나 개인정보, 기업내부정보 등의 유출 등을 차단할 수 있다.
또한, 제어부(130)는 초기화 과정에서의 데이터 등에 대한 변조나 탈취 등이 있는 경우 또는 기기 목록 전송 과정에서 모니터링 장비(52)에 연결되는 기기의 목록에 대한 변조나 탈취 등이 있는 경우 해당 통신을 차단할 수 있다.
아울러, 제어부(130)는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 응답(61)이나 요청(62)을 차단할 수 있다.
추가적으로, 도 2a에는 도시되지 않았지만 저장부는 감시부(120)가 감시한 결과를 저장할 수 있으며, 이러한 저장부는 데이터를 저장하는 메모리와 같은 형태일 수 있다. 이를 통해, 홈 네트워크 시스템(40)의 관리자 또는 공용 서버부(30)는 언제든지 저장부에 저장된 데이터를 기초로 홈 네트워크 시스템(40)에 대한 보안 문제를 인식하고 관리 및 처리할 수 있다.
아울러, 도 2a에는 도시되지 않았지만 알람부는 제어부(130)가 허용 또는 차단한 태스크 내역을 사용자 또는 관리자에게 전송할 수 있다. 예를 들면, 알람부는 차단된 앱의 설치나 실행 또는 리소스의 접근, 코드 사이닝이 되지 않은 애플리케이션의 실행에 대한 차단, 변조된 사이트로의 접속, 동작 자체를 무력화하려는 프로세스의 침입이나 실행, 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근, 메모리나 파일에 저장된 세대간 통화내용이나 개인(또는 기업)정보 등의 유출 시도 등을 사용자 또는 관리자에게 알림 메시지로 전달할 수 있으며, 다만 이는 예시적인 것으로 이에 한정되지 않고 이러한 알림 메시지는 SMS, MMS, LMS, 스마트폰의 어플리케이션 기타 다양한 형태일 수 있다.
아울러, 알람부는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 내역을 사용자나 관리자에게 알릴 수 있다.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 보안 관리 장치에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
아울러, 이하에서는 본 발명의 일 실시예에 따른 보안 관리 장치를 이용하여 홈 네트워크 시스템에서의 보안을 관리하는 방법에 대하여 살펴보기로 한다.
도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계(S100), 상기 모니터링 장비에서의 태스크를 감시하는 단계(S200) 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계(S300)를 포함할 수 있으며 다만, 본 발명의 사상이 도 6에 도시된 것으로 한정해석 되는 것은 아니다.
전기적으로 연결되는 단계(S100)는 예를 들면 보안 관리 장치(100)의 접속부(110)에 의해 수행되며, 이를 통해 보안 관리 장치(100)는 모니터링 장비(52)와 연결될 수 있다. 이 때, 보안 관리 장치(100)가 모니터링 장비(52) 내에 포함되는 경우 및 보안 관리 장치(100)가 모니터링 장비(52) 외부에 별도로 구현되는 경우 각각에 대하여 접속부(110)가 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시킬 수 있음은 전술한 바와 같다.
감시하는 단계(S200)는 예를 들면 보안 관리 장치(100)의 감시부(120)에 의해 수행되며, 이를 통해 보안 모니터링 장비(52)에서의 파일이나 프로세스, 네트워크 접속이나 메모리에 대한 접근, 초기화 과정이나 기기 목록 전송 과정, 그리고 모니터링 장비(52)와 기기 간의 통신이 감시될 수 있으며, 이는 전술한 바와 같다.
허용하거나 차단하는 단계(S300)는 감시하는 단계(S200)에서의 감시 결과를 기초로 화이트리스트 또는 블랙리스트에 기반하여 해당 태스크를 차단하거나 허용할 수 있다. 예를 들면, 시스템 하드닝에 관한 작업이나 코드 사이닝 솔루션에 관한 작업, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행, 프로세스의 침입이나 실행 등에 대하여 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 또는 차단할 수 있음은 전술한 바와 같다.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리, 기록 매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이고, 도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이며, 도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.
도 2a를 먼저 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비와 전기적으로 연결되는 접속부(110), 모니터링 장비에서의 태스크를 감시하는 감시부(120) 및 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부(130)를 포함할 수 있으며, 다만 도 2a에 도시된 구성은 예시적인 것으로 이 중 적어도 하나 이상의 구성요소를 포함하지 않거나 또는 언급하지 않은 다른 구성요소를 더 포함할 수도 있다. 아울러, 이러한 보안 관리 장치(100)는 적어도 일부의 소프트웨어와 하드웨어의 하이브리드 구현 방식에 의하여, 프로세서 및 프로세서에 의해 실행되는 명령어들을 저장하는 메모리를 포함하는 전자 디바이스 또는 컴퓨터 프로그램에 의해 선택적으로 활성화 또는 재구성되는 프로그래밍 가능한 머신(machine)상에서 구현될 수 있다.
여기서, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 도 1에 도시된 홈 네트워크 시스템(40)의 적어도 하나의 세대(50)에 설치된 모니터링 장비(52) 각각에 적용되는 것을 전제로 설명하기로 한다. 이에, 이하에서는 먼저 도 1에 대하여 보다 자세하게 살펴보기로 하되, 본 명세서에서는 적어도 하나 이상의 '세대'를 포함하는 '홈' 네트워크 시스템이라고 지칭하고 있으나 본 발명의 사상이 단순히 '홈'이나 '세대'에 적용되는 것으로 한정되는 것은 아니다. 즉, 본 발명의 실시예에 따라서는 예를 들면 오피스텔, 사무실이나 IBS 등과 같이 공동 주거(거주) 공간에 적용될 수도 있다.
도 1을 참조하면, 공용 서버부(30)는 적어도 하나의 세대(50)에 포함된 모니터링 장비(52)를 관리하는 장치이며, 예를 들면 데스크탑이나 서버 등일 수 있고, 네트워크(20)를 통해 외부(10)와 연결될 수 있다.
이러한 공용 서버부(30)는 홈 네트워크 시스템(40)에 포함된 적어도 하나 이상의 세대(50) 내의 모니터링 장비(52)와 연결되는 구조일 수 있다. 이 때, 모니터링 장비(52)와 공용 서버부(30)와의 연결에 있어서 모니터링 장비(52)는 도 1에 도시된 것과 같이 공용 서버부(30)와 직접 연결되거나 또는 이와 달리 도 1에는 도시되지 않았지만 별도의 연결 구성(예를 들면, 게이트웨이(gateway))을 통해 공용 서버부(30)와 연결될 수도 있다.
각 세대(50)에 포함된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 다수의 기기와 연결된다. 다수의 기기는 예를 들면 도어락, 조명 또는 가스, TV, 냉장고, 에어컨, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 등의 다양한 전자 제품이나 전자 기기 등을 포함할 수 있으며, 이러한 전자 제품이나 전자 기기는 IP 기반의 통신 방식을 지원하거나 기타 유선/무선 기반의 통신을 지원할 수 있다. 이하에서는 이러한 다수의 기기와 모니터링 장비 간의 연결 방식에 대하여 도 3a 내지 3c를 참고하여 살펴보기로 한다.
도 3a를 참조하면, 다수의 기기 중 제1 기기(53)는 게이트웨이부(70)를 통해서 모니터링 장비(52)에 연결될 수 있으며, 다수의 기기 중 제2 기기(55)는 게이트웨이부(70)를 통하지 않고 모니터링 장비(52)에 직접 연결될 수 있다. 게이트웨이부(70)는 다수의 장비가 지원하는 통신 방식에 상관없이(예를 들면, RS-232, RS-485, RF, TCP/IP, 블루투스, NFC 등) 이러한 다수의 장비가 모니터링 장비(52)에 연결되도록 하는 인터페이스를 제공할 수 있으며 다만 이러한 게이트웨이부(70)의 구성 및 기능은 이미 공지된 것이므로 이에 관한 자세한 설명은 생략하기로 한다.
이 때, 도 3a 도시된 것과 같이 이러한 게이트웨이부(70)는 모니터링 장비(52) 내에 포함되도록 구현될 수 있으며 이와 달리 도 3b에 도시된 것과 같이 모니터링 장비(52) 외부에 별도로 구현될 수도 있다. 뿐만 아니라, 도 3c에 도시된 것과 같이 모니터링 장비(52) 내에 포함되도록 구현되면서(게이트웨이부 #1(70)) 동시에 모니터링 장비(52) 외부에 별도로 구현될 수도 있음(게이트웨이부 #2(71))은 물론이다.
도 2a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)에 포함된 접속부(110)는 보안 관리 장치(100)와 모니터링 장비(52)를 전기적으로 연결시킨다. 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)를 감시하고 제어할 수 있다.
이 때, 도 4a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 내에 포함되어 모니터링 장비와 전기적으로 연결되도록 구현될 수 있다. 이 경우, 접속부(110)는 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다.
따라서, 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)에서의 파일, 모니터링 장비(52)에서의 프로세스, 모니터링 장비(52)와 외부(예를 들면 공용 서버부 또는 기기)와의 통신, 또는 모니터링 장비(52)에 포함된 메모리에 대한 접근에 관한 사항을 전달받을 수 있다.
이와 달리, 도 4b를 참조하면 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 외부에 별도로 구현될 수도 있다.
이 때, 접속부(110)는 모니터링 장비(52)와 모니터링 장비(52) 외부에 별도로 구현된 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다. 따라서, 보안 관리 장치(100)는 비록 도 2a와는 상이하게 모니터링 장비(52) 외부에 구현되어 있지만 모니터링 장비(52) 내부에서의 파일, 프로세스, 통신, 메모리에 관한 접근에 관한 사항 등에 대해서 도 2a와 동일하게 감시할 수 있다.
감시부(120)는 모니터링 장비(52)에서의 태스크(task)를 감시할 수 있다. 이를 위해, 감시부(120)는 접속부(110)가 모니터링 장비(52)에 접속하여 태스크에 관한 사항을 전달받은 뒤, 이러한 태스크에 관한 사항이 실행을 허용하는 목록에 대한 기 설정된 화이트리스트 또는 블랙리스트에 포함되어 있는지 여부로 감시할 수 있다.
여기서, 태스크는 모니터링 장비(52)가 수행하는 작업을 지칭하는 것으로, 예를 들면 시스템 하드닝에 관한 작업, 코드 사이닝(code signing) 솔루션에 관한 작업, 인증서를 기반으로 모니터링 장비(52)에 접근하는 사용자나 기기를 인증하는 작업, 통신 상의 데이터 암호화에 관한 작업, 모니터링 장비(52)로의 접근에 일회성 패스워드(onetime password)를 적용하는 것과 관련된 작업, 보안 관제 서비스에 관한 작업, 데이터의 유출 방지에 관한 작업, 애플리케이션 보호 기술에 관한 작업, 서비스 연속성 보장에 관한 작업, 유사시 데이터 복구에 관한 작업 또는 기기의 비정상적인 사용에 관한 모니터링 등을 포함할 수 있으며 다만 이에 한정되는 것은 아니다.
이 중 몇 가지 작업에 대하여 보다 상세하게 살펴보면, 시스템 하드닝에 관한 작업은 모니터링 장비(52)에 설치 가능한 앱(소프트웨어)과 모니터링 장비(52)에 접근 가능한 파일이나 디렉토리, 레지스트리 등의 리소스 등을 미리 정의(예를 들면, 화이트리스트 또는 블랙리스트 기반)한 뒤, 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 감시하는 것을 지칭할 수 있다.
또한, 코드 사이닝 솔루션에 관한 작업은 코드 사이닝이 된 애플리케이션에 대해서만 정상적으로 실행 가능하도록 함으로써 해커 등에 의해 배포된 애플리케이션은 실행되지 않도록 하는 작업을 지칭할 수 있으며, 이 때 코드 사이닝은 애플리케이션의 배포 전 실행 파일에 인증서기반으로 코드를 사인하는 것을 의미할 수 있다.
또한, 인증서 기반으로 사용자나 기기를 인증하는 작업은 인증서가 설치된 사용자나 기기에 대해서만 접근을 허용하는 것을 지칭할 수 있으며, 이러한 인증서에는 예를 들면 저전력 근거리 통신을 위한 장치의 인증서, 미국 Cablelab의 케이블 모뎀의 국제 표준 인터페이스 인증서, DOCSIS의 유럽 규약 인증서 또는 시큐리티 모듈이 분리된 방송용 방식의 인증서 등을 포함할 수 있다.
또한, 통신 상의 데이터 암호화에 관한 작업은 SSL 인증서를 통한 데이터 암호화를 지칭하는 것으로, 예를 들면 변조된 사이트에는 정상적인 SSL 인증서가 없는 경우 이러한 사이트로의 접속을 차단하고, 정상 사이트에 대해서는 데이터 유출을 방지하는 것을 포함할 수 있다
또한, 보안 관제 서비스에 관한 작업은 URL/IPS/FILE 등을 모니터링하는 기능을 활용하여 게이트웨이 레벨에서 엔드포인트에 대한 악성코드 여부를 감시하는 것을 지칭할 수 있다.
또한, 데이터 유출 방지에 관한 작업은 외부로 전송되는 자료 중에서 기밀정보나 개인정보를 포함하는 자료를 탐지하여 차단 및 보고하는 것을 지칭하는 것으로, 예를 들면 IoT(사물 인터넷) 기능을 지원하는 기기로부터 기밀정보나 개인정보가 유출되는 것을 방지할 수 있다.
아울러, 애플리케이션 보호 기술에 관한 작업은 모니터링 장비(52)에 저장되는 데이터에 대하여 암호화를 적용하고 비밀 데이터를 분리함으로써 이러한 데이터의 외부 유출을 차단하는 것을 지칭하는 것으로, 예를 들면 데이터 분리, 도난 관리, 암호화 및 인증 등에 관한 작업을 포함할 수 있다.
이러한 감시부(120)는 전술한 작업 이외에도 도 2b에 도시된 것과 같이 파일 감시부(121), 프로세스 감시부(122), 네트워크 감시부(123), 메모리 접근 감시부(124), 초기화 과정 감시부(125) 또는 기기 통신 감시부(127)를 포함함으로써 아래와 같은 다양한 감시를 수행할 수 있고, 다만 이 중 적어도 하나 이상을 포함하지 않거나 여기에 도시되지 않은 다른 구성을 더 포함할 수도 이다.
파일 감시부(122)는 모니터링 장비(52)에서의 파일을 감시한다. 예를 들면, 파일 감시부(122)는 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있으며, 이 때 감시 대상인 파일에는 실행 파일, 설정 파일, 중요 데이터 파일, 레지스트리 또는 시스템 파일 등이 있을 수 있고, 보다 구체적인 예로는 모니터링 장비(52)를 이용한 세대간의 통화 내용을 저장하는 파일, 세대원이나 자동차 출입 또는 방문자 정보 등과 같은 개인정보를 저장하는 파일 등도 포함되며 다만 이에 한정되는 것은 아니다.
프로세스 감시부(122)는 모니터리 장비(52)에서의 프로세스를 감시한다. 예를 들면 프로세스 감시부(122)는 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.
네트워크 감시부(123)는 모니터링 장비(52)의 네트워크에 대한 접속 또는 네트워크를 통해 송수신되는 데이터 등을 화이트리스트 또는 블랙리스트를 기반으로 감시하며, 이 때 감시 대상인 네트워크에는 예를 들면 공용 서버부(30)로의 네트워크 접속, 기타 외부 네트워크(10)로의 네트워크 접속, 네트워크를 통해 송수신되는 패킷이나 데이터, 명령 등이 있을 수 있다.
메모리 접근 감시부(125)는 모니터링 장비(52)에 포함된 메모리에 대한 접근을 감시하며, 외부에서 모니터링 장비(52)에 포함된 메모리(이러한 메모리는 예를 들면 세대간의 통화 내용, 자동차 출입 정보, 세대원에 대한 개인 정보, 방문자 정보 등을 저장할 수 있음)에 접근하는 프로세스나 사용자를 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.
초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70)와의 초기화 과정을 감시할 수 있다. 즉, 초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70) 간의 통신을 가능하게 하는 다양한 초기화 과정을 감시할 수 있으며, 이러한 초기화 과정은 예를 들면 게이트웨이부(70)로 모니터링 장비(52)의 IP를 전달하는 과정을 포함할 수 있다.
또한, 기기 목록 감시부(127)는 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, 제1 기기 또는 제2 기기)의 목록을 감시할 수 있다. 보다 구체적으로 살펴보면, 기기 목록 감시부(127)는 기기 목록의 변조 또는 변경 등을 감시할 수 있으며, 아울러 기기 목록에 포함되어 있지 않은 비인가 기기의 모니터링 장비(52)로의 연결 등을 감시할 수 있다. 또한, 기기 목록 감시부(126)는 게이트웨이부(70)와 모니터링 장비(52) 간의 기기 목록 전송 과정 등을 감시할 수 있다. 여기서 기기 목록을 전송하는 과정은 모니터링 장비(52)가 게이트웨이부(70)에 연결된 기기(예를 들면 제1 기기)에 대한 정보를 게이트웨이부(70)로부터 전달받음으로써 해당 기기에 대한 조회 및 제어를 수행할 수 있도록 하는 과정을 지칭한다.
기기 통신 감시부(127)는 모니터링 장비(52)와 다수의 기기 간의 통신을 감시할 수 있다. 예를 들면, 모니터링 장비(52)에 연결 또는 내장되어 있는 카메라와 같은 촬영 수단이나 마이크와 같은 음성 입출력 수단 등에 대한 외부로부터의 비정상적인 접근 등을 감시할 수 있다.
또한, 기기 통신 감시부(127)는 기기(53)로 전달되거나 기기(53)로부터 전달된 통신(예를 들면, 제어 명령이나 이벤트, 이하 기기 관련 통신이라고 지칭)에 대하여 감시할 수 있는데, 이하에서는 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중(half-duplex)이면서 폴링 방식인 경우를 전제로, 도 5a 내지 5c를 참조하여 살펴보기로 한다. 이 때, 반이중이면서 폴링 방식의 통신 방식에서는 마스터가 요청을 하여야 슬레이브가 응답을 수행할 수 있으며, 마스터의 요청은 모든 슬레이브로 전달이 되고, 어느 한 슬레이브의 응답은 다른 슬레이브 및 마스터로 전달이 되는 것을 전제로 살펴보기로 한다.
도 5a는 홈 네트워크 시스템에서 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중 방식인 경우를 개념적으로 도시한 도면이다. 도 5a를 참조하면, 반이중이면서 폴링 방식인 경우, 모니터링 장비(52)는 통신을 요청(60)하는 마스터(master)이고 기기(53)는 요청(60)에 대하여 응답(61)하는 슬레이브(slave)일 수 있다. 즉, 반이중이면서 폴링 방식의 홈 네트워크 시스템에서 다수의 기기(53)는 모니터링 장비(52)의 요청(60)이 있어야만 응답(61)할 수 있다. 아울러, 마스터인 모니터링 장비(52)가 요청(60)을 하면 슬레이브인 기기(53)가 응답을 수행할 수 있으며, 이 때의 모니터링 장비(52)의 요청은 모든 기기(53)로 전달이 되고, 어느 한 기기(53)의 응답은 다른 기기 및 모니터링 장비(52)로 전달이 된다.
도 5b는 홈 네트워크 시스템에서 모니터링 장비(52)의 요청(60)이 없는 경우에도 기기(53)로부터 응답(61)이 있는 경우를 도시한 도면이다. 이 경우, 기기 통신 감시부(127)는 요청이 없음에도 불구하고 응답(61)이 있음을 분석할 수 있는데, 이러한 상황은 예를 들면 기기(53)가 악성 코드에 감염이 되어 요청이 없었음에도 스스로 전달하는 경우일 수 있으며, 이와 달리 도 5c와 같이 모니터링 장비(52)가 아닌 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우 이에 대하여 기기(53)가 응답한 경우일 수 있다.
한편, 도 5c에서 모니터링 장비(52)는 기기(53)가 아닌 제3의 장비(56)로부터 기기(53)를 공격하기 위한 요청(62)이 전달된 경우 이러한 요청(62)은 마스터 역할을 하는 모니터링 장비(52)도 전달받을 수 있으며, 따라서 기기 통신 감시부(127)는 제3의 장비(56)가 공격하기 위한 요청(62)을 전달하였는지 여부를 분석할 수 있다.
한편, 감시부(120)의 전술한 감시는 공용 서버부(30)와의 연동을 통해 공용 서버부(30)의 도움을 받아서 감시를 수행할 수도 있다. 예를 들면, 감시부(120)가 감시를 수행할 수 없는 경우에는 공용 서버부(30)가 감시부(120)가 수행해야할 감시를 대신 수행할 수 있다. 또는, 감시부(120)가 감시한 결과를 공용 서버부(30)로 전달하고 공용 서버부(30)로부터 분석 결과를 전달받은 뒤, 분석 결과가 해당 태스크에 대한 허용이나 차단 등을 판단하는데 사용되도록 할 수도 있다.
다시 도 2a로 돌아가면, 제어부(130)는 감시부(120가 감시한 결과를 기초로, 다음과 같은 태스크를 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 차단(lock down)할 수 있다.
예를 들면, 제어부(130)는 시스템 하드닝에 관한 작업에서 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 차단(락다운)할 수 있으며, 코드 사이닝 솔루션에 관한 작업에서 코드 사이닝이 되지 않은 애플리케이션의 실행을 차단(락다운)할 수 있고, 인증서 기반으로 사용자나 기기를 인증하는 작업에서 인증서가 없는 사용자나 기기에 대해서만 접근을 차단할 수 있다. 아울러, 통신 상이 데이터 암호화에 관한 작업에서 변조된 사이트로의 접속을 차단하고, 정상 사이트에 대해서 데이터 유출이 방지되도록 할 수 있다. 뿐만 아니라, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 차단(락다운)할 수 있으며, 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 차단할 수 있고, 공용 서버부(30)로의 네트워크 접속이나 기타 외부 네트워크(10)로의 네트워크 접속 등을 차단할 수 있으며, 외부에서 모니터링 장비(52)에 포함된 메모리에 접근하는 프로세스나 사용자를 기반으로 차단할 수 있다. 또한, 제어부(130)는 예를 들면 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근을 차단하거나, 메모리나 파일에 저장된 세대간 통화내용이나 개인정보, 기업내부정보 등의 유출 등을 차단할 수 있다.
또한, 제어부(130)는 초기화 과정에서의 데이터 등에 대한 변조나 탈취 등이 있는 경우 또는 기기 목록 전송 과정에서 모니터링 장비(52)에 연결되는 기기의 목록에 대한 변조나 탈취 등이 있는 경우 해당 통신을 차단할 수 있다.
아울러, 제어부(130)는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 응답(61)이나 요청(62)을 차단할 수 있다.
추가적으로, 도 2a에는 도시되지 않았지만 저장부는 감시부(120)가 감시한 결과를 저장할 수 있으며, 이러한 저장부는 데이터를 저장하는 메모리와 같은 형태일 수 있다. 이를 통해, 홈 네트워크 시스템(40)의 관리자 또는 공용 서버부(30)는 언제든지 저장부에 저장된 데이터를 기초로 홈 네트워크 시스템(40)에 대한 보안 문제를 인식하고 관리 및 처리할 수 있다.
아울러, 도 2a에는 도시되지 않았지만 알람부는 제어부(130)가 허용 또는 차단한 태스크 내역을 사용자 또는 관리자에게 전송할 수 있다. 예를 들면, 알람부는 차단된 앱의 설치나 실행 또는 리소스의 접근, 코드 사이닝이 되지 않은 애플리케이션의 실행에 대한 차단, 변조된 사이트로의 접속, 동작 자체를 무력화하려는 프로세스의 침입이나 실행, 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근, 메모리나 파일에 저장된 세대간 통화내용이나 개인(또는 기업)정보 등의 유출 시도 등을 사용자 또는 관리자에게 알림 메시지로 전달할 수 있으며, 다만 이는 예시적인 것으로 이에 한정되지 않고 이러한 알림 메시지는 SMS, MMS, LMS, 스마트폰의 어플리케이션 기타 다양한 형태일 수 있다.
아울러, 알람부는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 내역을 사용자나 관리자에게 알릴 수 있다.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 보안 관리 장치에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
아울러, 이하에서는 본 발명의 일 실시예에 따른 보안 관리 장치를 이용하여 홈 네트워크 시스템에서의 보안을 관리하는 방법에 대하여 살펴보기로 한다.
도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계(S100), 상기 모니터링 장비에서의 태스크를 감시하는 단계(S200) 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계(S300)를 포함할 수 있으며 다만, 본 발명의 사상이 도 6에 도시된 것으로 한정해석 되는 것은 아니다.
전기적으로 연결되는 단계(S100)는 예를 들면 보안 관리 장치(100)의 접속부(110)에 의해 수행되며, 이를 통해 보안 관리 장치(100)는 모니터링 장비(52)와 연결될 수 있다. 이 때, 보안 관리 장치(100)가 모니터링 장비(52) 내에 포함되는 경우 및 보안 관리 장치(100)가 모니터링 장비(52) 외부에 별도로 구현되는 경우 각각에 대하여 접속부(110)가 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시킬 수 있음은 전술한 바와 같다.
감시하는 단계(S200)는 예를 들면 보안 관리 장치(100)의 감시부(120)에 의해 수행되며, 이를 통해 보안 모니터링 장비(52)에서의 파일이나 프로세스, 네트워크 접속이나 메모리에 대한 접근, 초기화 과정이나 기기 목록 전송 과정, 그리고 모니터링 장비(52)와 기기 간의 통신이 감시될 수 있으며, 이는 전술한 바와 같다.
허용하거나 차단하는 단계(S300)는 감시하는 단계(S200)에서의 감시 결과를 기초로 화이트리스트 또는 블랙리스트에 기반하여 해당 태스크를 차단하거나 허용할 수 있다. 예를 들면, 시스템 하드닝에 관한 작업이나 코드 사이닝 솔루션에 관한 작업, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행, 프로세스의 침입이나 실행 등에 대하여 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 또는 차단할 수 있음은 전술한 바와 같다.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리, 기록 매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 보안 관리 장치
110: 접속부 120: 감시부
130: 제어부
110: 접속부 120: 감시부
130: 제어부
Claims (20)
- 모니터링 장비에 대한 보안을 관리하는 보안 관리 장치에 있어서,
상기 모니터링 장비는,
홈 네트워크 시스템의 댁내마다 각각 설치되고, 상기 홈 네트워크 시스템을 구성하는 다수의 기기 각각과 상기 홈 네트워크 시스템 내에서 상기 홈 네트워크 시스템 내부의 네트워크를 통해 연결되며, 상기 다수의 기기로부터 정보를 수신하여 저장하고 상기 다수의 기기 각각에 대한 제어권을 가지며,
상기 모니터링 장비와 전기적으로 연결되는 접속부;
상기 모니터링 장비가 상기 기기를 제어하고자 하는 제어 명령 및 상기 홈 네트워크 시스템의 외부로부터 상기 모니터링 장비에 대한 접근을 감시하는 감시부; 및
상기 감시한 결과를 기초로 상기 제어 명령 또는 상기 접근을 상기 기기에 전달시키거나 차단시키는 제어부를 포함하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 보안 관리 장치는,
상기 모니터링 장비 내에 포함되도록 구현되거나 또는 상기 모니터링 장비 외부에 별도로 구현되는 것을 특징으로 하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며,
상기 감시부는,
상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는 기기 목록 감시부를 포함하는
보안 관리 장치.
- 제 3 항에 있어서,
상기 감시부는,
상기 모니터링 장비와 상기 게이트웨이부 간의 통신을 가능하게 하는 초기화 과정을 감시하는 초기화 과정 감시부를 포함하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 감시부는,
상기 모니터링 장비에 포함된 파일을 감시하는 파일 감시부;
상기 모니터링 장비에서의 프로세스를 감시하는 프로세스 감시부;
상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터를 감시하는 네트워크 감시부;
상기 모니터링 장비에 포함된 메모리에 대한 접근을 감시하는 메모리 접근 감시부; 및
상기 모니터링 장비와 상기 기기 간의 통신을 감시하는 기기 통신 감시부를 포함하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 감시부는,
기 설정된 화이트리스트 또는 블랙리스트를 기초로 감시하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 감시부는,
공용 서버부와의 연동하면서 감시하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 감시부는,
상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시하는
보안 관리 장치.
- 제 1 항에 있어서,
상기 감시부는,
상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시하는
보안 관리 장치.
- 제 5 항에 있어서,
상기 제어부는,
상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 또는 차단하는
보안 관리 장치.
- 보안 관리 장치에 의하여 수행되는 보안 관리 방법으로서,
상기 보안 관리 장치는 모니터링 장비와 전기적으로 연결되어서 상기 모니터링 장비에 대한 보안을 관리하며,
상기 모니터링 장비는,
홈 네트워크 시스템의 댁내마다 각각 설치되고, 상기 홈 네트워크 시스템을 구성하는 다수의 기기 각각과 상기 홈 네트워크 시스템 내에서 상기 홈 네트워크 시스템 내부의 네트워크를 통해 연결되며, 상기 다수의 기기로부터 정보를 수신하여 저장하고 상기 다수의 기기 각각에 대한 제어권을 가지며,
상기 모니터링 장비가 상기 기기를 제어하고자 하는 제어 명령 및 상기 홈 네트워크 시스템의 외부로부터 상기 모니터링 장비에 대한 접근을 감시하는 단계와,
상기 감시한 결과를 기초로 상기 제어 명령 또는 상기 접근을 상기 기기에 전달시키거나 차단시키는 단계를 포함하는
보안 관리 방법.
- 제 11 항에 있어서,
상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며,
상기 감시하는 단계는,
상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는
보안 관리 방법.
- 제 12 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비와 상기 게이트웨이부 간의 통신을 가능하게 하는 초기화 과정을 감시하는
보안 관리 방법.
- 제 11 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비에 포함된 파일, 상기 모니터링 장비에서의 프로세스, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 감시하는
보안 관리 방법.
- 제 11 항에 있어서,
상기 감시하는 단계는,
기 설정된 화이트리스트 또는 블랙리스트를 기초로 감시하는
보안 관리 방법.
- 제 11 항에 있어서,
상기 감시하는 단계는,
공용 서버부와 연동하면서 감시하는
보안 관리 방법.
- 제 14 항에 있어서,
상기 감시하는 단계는,
상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시하는
보안 관리 방법.
- 제 11 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시하는
보안 관리 방법.
- 제 14 항에 있어서,
상기 기기에 전달시키거나 차단시키는 단계는,
상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 또는 차단하는
보안 관리 방법.
- 제 11 항 내지 제 19항 중 어느 한 항의 보안 관리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150073023A KR101772144B1 (ko) | 2015-05-26 | 2015-05-26 | 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 |
| PCT/KR2016/005538 WO2016190663A1 (ko) | 2015-05-26 | 2016-05-25 | 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150073023A KR101772144B1 (ko) | 2015-05-26 | 2015-05-26 | 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20160138761A KR20160138761A (ko) | 2016-12-06 |
| KR101772144B1 true KR101772144B1 (ko) | 2017-09-12 |
Family
ID=57394114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150073023A KR101772144B1 (ko) | 2015-05-26 | 2015-05-26 | 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR101772144B1 (ko) |
| WO (1) | WO2016190663A1 (ko) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102368224B1 (ko) | 2017-06-16 | 2022-02-28 | 한화테크윈 주식회사 | 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법 |
| KR102005318B1 (ko) * | 2018-02-22 | 2019-07-30 | 피타입 주식회사 | 해킹을 방지하기 위한 홈 네트워크를 제공하는 방법 및 장치 |
| CN110535767A (zh) * | 2019-09-03 | 2019-12-03 | 北京百佑科技有限公司 | 智能门锁、智能网关以及云端的通信方法以及系统 |
| KR102307837B1 (ko) * | 2021-02-25 | 2021-10-05 | 주식회사 맥데이타 | 다세대 홈 네트워크 데이터의 중앙 집중형 수집 및 저장 방법 및 시스템 |
| KR20240060128A (ko) | 2022-10-28 | 2024-05-08 | 주식회사 맥시오 | 홈 네트워크의 통신보안성을 강화하는 장치 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080032788A (ko) | 2006-10-11 | 2008-04-16 | 이승훈 | 보안 기능을 구비한 홈네트워크 시스템 |
| KR20080113791A (ko) * | 2007-06-26 | 2008-12-31 | 주식회사 케이티 | 홈 네트워크의 보안관리 시스템 및 그 방법 |
| KR100947211B1 (ko) * | 2008-02-21 | 2010-03-11 | 주식회사 조은시큐리티 | 능동형 보안 감사 시스템 |
| KR20110087594A (ko) * | 2010-01-26 | 2011-08-03 | 삼성전자주식회사 | 네트워크로의 불법 접근 방지 방법 및 장치 |
| KR101769472B1 (ko) * | 2011-02-25 | 2017-08-18 | 삼성전자주식회사 | 네트워크 시스템 및 그 제어방법 |
| US9258321B2 (en) * | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
-
2015
- 2015-05-26 KR KR1020150073023A patent/KR101772144B1/ko active IP Right Grant
-
2016
- 2016-05-25 WO PCT/KR2016/005538 patent/WO2016190663A1/ko active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| KR20160138761A (ko) | 2016-12-06 |
| WO2016190663A1 (ko) | 2016-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11936619B2 (en) | Combined security and QOS coordination among devices | |
| KR101634295B1 (ko) | IoT 보안을 위한 인증 서비스 제공 시스템 및 방법 | |
| KR101289530B1 (ko) | 스마트폰의 관리하에서 스마트폰의 베어러 및 서버 독립 부모 제어를 위한 방법 및 장치 | |
| KR101772144B1 (ko) | 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법 | |
| US20090217346A1 (en) | Dhcp centric network access management through network device access control lists | |
| WO2012019410A1 (zh) | 智能家居内部网络防止非法入侵的方法及装置 | |
| JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
| US12028456B2 (en) | System and method for authorizing access of local and remote client devices to smart devices in a local environment | |
| Aldahmani et al. | Cyber-security of embedded IoTs in smart homes: challenges, requirements, countermeasures, and trends | |
| KR102130950B1 (ko) | 보안 기기 동작을 위한 시스템 및 방법 | |
| Mantoro et al. | Secured communication between mobile devices and smart home appliances | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| EP3018878B1 (en) | Firewall based prevention of the malicious information flows in smart home | |
| KR102455515B1 (ko) | 홈 네트워크 보안 시스템 및 방법 | |
| KR102110383B1 (ko) | 블록체인 기반의 모바일 보안 시스템 | |
| US11025663B1 (en) | Automated network policy management | |
| Wells | Better practices for IoT smart home security | |
| KR20150041613A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| Wall et al. | Software-defined security architecture for smart buildings using the building information model | |
| KR101591053B1 (ko) | 푸시 서비스를 이용한 원격제어 방법 및 그 시스템 | |
| Doan | Smart Home with Resilience Against Cloud Disconnection | |
| GB2574334A (en) | Combined security and QOS coordination among devices | |
| Winfield | Smart Homes: A Threat Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |