KR101851680B1 - 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 - Google Patents
불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 Download PDFInfo
- Publication number
- KR101851680B1 KR101851680B1 KR1020150171429A KR20150171429A KR101851680B1 KR 101851680 B1 KR101851680 B1 KR 101851680B1 KR 1020150171429 A KR1020150171429 A KR 1020150171429A KR 20150171429 A KR20150171429 A KR 20150171429A KR 101851680 B1 KR101851680 B1 KR 101851680B1
- Authority
- KR
- South Korea
- Prior art keywords
- connection
- illegal
- spy
- address
- spyware
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
본 발명은 불법으로 탈취한 접속 아이디(ID)를 이용하여 불법으로 접속을 시도할 경우, 해당 불법 접속을 탐지하여 처리하기 위한 불법 접속 탐지 장치에 관한 것으로, 특히 스파이 ID를 생성하는 스파이 ID 생성부; 특정 단말에 설치된 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 유출된 후, 상기 스파이 ID를 통한 접속을 모니터링하는 접속 로그 검사부; 및 상기 접속 로그 검사부의 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 정보를 확인하여 저장하는 불법 IP 처리부;를 포함한다.
Description
본 발명은 서버로의 불법 접속을 탐지하고 처리하기 위한 시스템 등에 관한 것으로, 보다 상세하게는 불법으로 탈취한 접속 아이디(ID)를 이용하여 웹 서버 등에 로그인을 시도할 경우, 해당 불법 접속을 탐지하여 처리하기 위한 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.
일반적으로 인터넷은 전세계 어디서나, 누구나 접속하고자 하는 상대편 컴퓨터에 TCP/IP 라는 공통의 프로토콜을 적용하여 자유롭게 연결하여 사용할 수 있도록 구성된 개방형 네트워크로서, 기본적인 문자정보의 전달은 물론 압축기술의 발전과 더불어 멀티미디어 정보의 전달에 이용되는 등 전자우편, 파일전송, WWW(World Wide Web) 등의 다양한 서비스를 이용할 수 있다.
이와 같은 인터넷은 국내를 비롯하여 세계적으로 사용이 급격하게 증가되면서 기존 산업의 전 부분에 걸쳐 효율성과 생산성 제고를 위한 전략적인 도구로서 중요성이 급속히 증대되고 있으며, 인터넷을 통한 새로운 비즈니스 기회가 지속적으로 창출됨은 물론, 그 영역도 확장되고 있는 추세로서 인터넷을 이용한 사업자들도 점점 더 증가되고 있다.
한편, 이러한 인터넷을 통한 통신 환경을 저해하는 요소로서 악성 프로그램을 이용하여 인터넷에 연결된 특정 대상 컴퓨터를 공격함으로써 원하는 정보를 탈취하려는 공격들이 이루어지고 있다.
악성 프로그램(malicious program)은 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 멀웨어(malware, malicious software), 악성코드(malicious code)라고도 하며, 자기 복제 능력과 감염 대상의 유무에 따라, 바이러스(Virus), 웜바이러스(worm virus), 트로이목마(Trojan horse) 등으로 분류될 수 있다.
또한, 악성 프로그램과 유사한 스파이웨어(spyware)는 다른 사람의 컴퓨터에 잠입하여 중요한 개인정보를 추출해가는 소프트웨어로서, 최근에는 사용자 이름은 물론 IP 주소와 즐겨 찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많아 문제가 되고 있다. 이러한 악성 프로그램에 의한 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동 발송, 개인 정보 유출, 원격 제어 등으로 그 피해가 증대되고 있다. 또한, 대부분의 악성 프로그램은 해당 악성 프로그램이 보안 전문가에 의해 분석되더라도 쉽게 해당 악성 프로그램의 의도 및 행위가 알려지지 않도록 하기 위해 다양한 분석 방해 기법이 적용되고 있다.
이와 같이 종래의 악성 프로그램 탐지 방법은 기 발견된 악성 프로그램에 대한 전문가의 분석을 통해 시그니처를 생성하고 이를 기반으로 동일한 악성 프로그램이 사용되는 경우 이를 탐지하는 것이 대부분으로서, 이미 악성 프로그램에 감염되어 개인 정보가 탈취된 이후 불법 탈취된 개인 정보가 불법으로 사용될 경우에는 효과적으로 대처할 수가 없다는 문제점이 있다.
예컨대, 악성 프로그램에 감염된 컴퓨터를 이용하여 사용자가 특정 웹사이트에 접속하여 로그인하게 될 경우, 상기 감염된 악성 프로그램에 의해 로그인 정보(즉, 아이디 및 패스워드)가 탈취되어 특정 서버(예컨대, 불법 수집 서버)로 전송된다. 악성 프로그램 제작자는 이와 같이 다수의 감염된 컴퓨터로부터 다수의 개인 정보(예컨대, 로그인 정보)를 탈취하여 수집하고, 수집된 개인 정보를 악의의 사용자들에게 판매 또는 배포하게 된다.
따라서, 이미 개인 정보가 악성 프로그램에 의해 탈취된 이후에는 악성 프로그램을 탐지하고 치료하더라도, 이미 불법으로 탈취된 개인 정보로 로그인하는 사용자의 접속을 차단할 수 있는 방법이 없다는 문제가 있다.
한편, 이러한 악성 프로그램 또는 악성 사이트를 검출하기 위한 기술로서 대한민국 특허 등록 공보 제10-1044274호 "악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소)"(문헌 1)에는 특정 사이트에서 다운된 프로그램의 프로세스 실행 시점에 해당 프로세스 내에 인증서가 포함되어 있는지, 스택 구조가 정상적인지 여부를 확인하여 현재 사이트가 위험한 사이트인지 혹은 현재 컴퓨터에서 실행한 프로세스가 비정상적인지를 판단할 수 있는 방법이 개시된다.
그러나, 악성 프로그램으로 인한 증상이나 유포 방법이 점차 복잡해지고 지능화되고 있어, 이와 같은 기존의 안티바이러스 프로그램만으로는 다양한 악성프로그램을 통한 악의적인 접속에 효과적으로 대처할 수 없다는 한계가 있다.
따라서, 악성 프로그램이 배포되어 감염된 이후 탈취된 개인 정보를 이용하여 로그인하는 불법 사용자의 접속을 원천적으로 차단할 수 있는 방법의 필요성이 요구되고 있다.
본 발명의 목적은 스파이 ID(Identification)를 생성하여 악성 프로그램을 통해 의도적으로 유출시킨 후, 상기 유출시킨 스파이 ID로 로그인을 시도하는 불법 사용자를 검출하여 처리하는 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.
또한, 본 발명의 다른 목적은 스파이 ID(Identification)를 생성하여 악성 프로그램을 통해 의도적으로 유출시킨 후, 상기 유출시킨 스파이 ID로 로그인을 시도하는 불법 사용자의 IP를 검출하고, 해당 IP로 접속하는 ID들을 검출하여 처리하는 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.
또한, 본 발명의 다른 목적은 스파이 ID(Identification)를 생성하여 악성 프로그램을 통해 의도적으로 유출시켜, 해당 ID가 판매된 후 접속한 사용자 단말의 IP가 불법 탈취한 장치의 IP와 다르더라도, 불법 접속을 효과적으로 탐지할 수 있는 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 측면에 따르면, 불법 접속을 처리하기 위한 불법 접속 탐지 장치는 스파이 ID를 생성하는 스파이 ID 생성부; 특정 단말에 설치된 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 유출된 후, 상기 스파이 ID를 통한 접속을 모니터링하는 접속 로그 검사부; 및 상기 접속 로그 검사부의 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 정보를 확인하여 저장하는 불법 IP 처리부;를 포함한다.
바람직하게는, 상기 불법 IP 처리부는, 상기 스파이 ID를 통해 접속한 장치의 IP 주소를 정보로서 확인하여 저장한다.
바람직하게는, 상기 불법 IP 처리부는, 상기 스파이 ID를 통해 접속한 장치의 IP 주소와 인접한 IP 주소로 접속한 장치의 IP 주소를 더 확인하여 저장한다.
바람직하게는, 상기 인접한 IP 주소는 상기 스파이 ID를 통해 접속한 장치의 IP 주소와 클래스 C가 동일한 IP 주소이다.
바람직하게는, 상기 불법 접속 탐지 장치는, 접속을 시도한 장치의 IP 주소를 확인하는 IP 확인부; 및 상기 IP 확인부의 확인에 기초하여, 상기 저장된 IP 주소로부터 접속을 시도한 ID 중 접속에 성공한 ID를 탈취된 ID로 처리하는 탈취 ID 등록부;를 더 포함한다.
바람직하게는, 상기 불법 접속 탐지 장치는, 상기 탈취된 ID로 접속을 시도할 경우, 접속을 차단하는 탈취 ID 접속 차단부;를 더 포함한다.
바람직하게는, 상기 불법 접속 탐지 장치는, 상기 탈취된 ID로 접속을 시도할 경우, 미리 지정한 장치에 탈취된 ID임을 알리는 알림 메시지를 전송한다.
바람직하게는, 상기 탈취된 ID에는 상기 스파이 ID가 더 포함된다.
본 발명의 다른 측면에 따르면, 불법 접속 처리 시스템은 접속 시도하는 장치로부터 입력된 ID 및 패스워드를 확인하고, 확인된 ID 및 패스워드를 인증함으로써 접속 성공 여부를 처리하는 웹 서버; 및 스파이 ID를 생성하고, 특정 단말에 설치된 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 불법 수집 서버로 유출된 후, 상기 스파이 ID를 통한 상기 웹 서버로의 접속을 모니터링하며, 상기 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 정보를 확인하여 저장하는 불법 접속 탐지 장치;를 포함한다.
본 발명의 또 다른 측면에 따르면, 불법 접속을 처리하기 위한 불법 접속 처리 방법은, 불법 접속 탐지 장치에서 수행되는 각 단계가, 스파이 ID를 생성하는 단계; 특정 단말에 설치된 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 유출된 후, 상기 스파이 ID를 통한 접속을 모니터링하는 단계; 및 상기 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 정보를 확인하여 저장하는 단계;를 포함한다.
한편, 상기 불법 접속 탐지 및 처리 절차를 수행하기 위한 정보는 서버 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있다. 이러한 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있도록 프로그램 및 데이터가 저장되는 모든 종류의 기록매체를 포함한다. 그 예로는, 롬(Read Only Memory), 램(Random Access Memory), CD(Compact Disk), DVD(Digital Video Disk)-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있다. 또한, 이러한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
상술한 바와 같이, 본 발명에 따르면 각 사용자의 컴퓨터에서 감염된 악성 프로그램을 일일이 치료하지 않고서도 감염된 컴퓨터로부터 탈취된 개인 정보를 통해 로그인하는 불법 사용자의 접속을 원천적으로 차단할 수 있는 장점이 있다.
또한, 본 발명에 따르면 불법으로 탈취된 개인 정보가 판매 또는 배포되어 불법으로 이용되기 전, 악성 프로그램 배포자의 정보를 검출함으로써 불법으로 탈취된 개인 정보를 통해 로그인하는 불법 사용자의 접속을 원천적으로 차단할 수 있는 장점이 있다.
또한, 본 발명에 따르면 악성 프로그램 배포자의 정보를 검출하고, 악성 프로그램 배포자가 불법으로 수집한 개인 정보들을 확인함으로써 불법으로 탈취된 개인 정보를 통해 로그인하는 불법 사용자의 접속을 원천적으로 차단할 수 있는 장점이 있다.
또한, 본 발명에 따르면 악성 프로그램을 통해 의도적으로 유출시킨 스파이 ID를 통해, 해당 ID가 판매된 후 접속한 사용자 단말의 IP가 불법 탈취한 장치의 IP와 다르더라도, 불법 접속을 효과적으로 탐지할 수 있는 장점이 있다.
도 1 내지 도 3은 본 발명에 따른 불법 접속 탐지 및 처리 시스템의 구조 및 그 개념을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 불법 접속 탐지 장치의 세부 구성을 나타내는 블록도이다.
도 5는 본 발명의 실시예에 따른 악성 코드를 통한 스파이 ID 유출 절차를 나타내는 흐름도이다.
도 6은 본 발명의 실시예에 따른 불법 수집 서버의 IP를 탐지하는 절차를 나타내는 흐름도이다.
도 7은 본 발명의 실시예에 따른 불법 수집 서버에서 탈취한 ID를 탐지하는 절차를 나타내는 흐름도이다.
도 8은 본 발명의 실시예에 따른 웹 서버의 로그인 기록을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 불법 접속 탐지 장치의 세부 구성을 나타내는 블록도이다.
도 5는 본 발명의 실시예에 따른 악성 코드를 통한 스파이 ID 유출 절차를 나타내는 흐름도이다.
도 6은 본 발명의 실시예에 따른 불법 수집 서버의 IP를 탐지하는 절차를 나타내는 흐름도이다.
도 7은 본 발명의 실시예에 따른 불법 수집 서버에서 탈취한 ID를 탐지하는 절차를 나타내는 흐름도이다.
도 8은 본 발명의 실시예에 따른 웹 서버의 로그인 기록을 나타내는 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 발명은 스파이 ID(Identification)를 생성하여 악성 프로그램을 통해 의도적으로 유출시킨 후, 상기 유출시킨 스파이 ID로 로그인을 시도하는 불법 사용자를 검출함으로써 탈취된 개인 정보를 확인할 수 있는 불법 접속 탐지 및 처리 시스템을 개시한다.
즉, 본 발명은 불법으로 개인 정보를 수집하는 사용자(예컨대, 악성 코드 제작 또는 배포자)의 정보를 검출하기 위해 임의의 ID를 스파이 ID로 생성한 후, 이를 악성 코드에 감염된 단말을 통해 의도적으로 유출시킨다. 이후, 상기 스파이 ID에 의한 접속 시도를 감지하여 해당 접속 사용자의 IP를 악의의 불법 사용자의 단말 IP로 판단한다. 이에 따라, 상기 IP와 동일한(또는 인접한) IP로 로그인하는 다른 계정 정보들(즉, 아이디 및 패스워드)도 유출되어 불법으로 사용될 계정으로 판단한다.
한편, 후술하는 설명에서의 '스파이 ID(Spy ID)'는 불법으로 개인 정보를 탈취하는 사용자 또는 악성 코드 배포자 등의 정보를 검출하고 처리하기 위한 의도적인 유출을 목적으로 생성하는 ID 정보로서, 특정 종류의 ID를 지칭하는 것이 아니라 본 발명의 이해를 돕기 위해 사용하는 용어이다. 따라서, 상기 '스파이 ID'는 일반 사용자가 해당 웹사이트에서 회원 가입하여 생성한 ID가 아니라 불법 접속 탐지 장치에서 임의로 생성한 ID로서 스파이 패스워드와 쌍으로 생성되어 관리될 수 있다. 또한, 상기 '스파이 ID'는 일정 주기 또는 설정 기간마다 새로운 ID 형태로 반복 생성함으로써, 새로운 악성 코드 및 새로운 불법 수집 서버의 검출에 계속해서 활용될 수 있다.
또한, 후술하는 설명에서, '불법 수집 서버'는 악성 프로그램에 의해 탈취한 개인 정보를 수집하는 장치로서, 서버의 형태가 될 수도 있으며, 일반적인 컴퓨터 단말로 구성될 수도 있다. 따라서, 배포된 악성 프로그램이 특정 사용자 컴퓨터 등에 감염되어 실행될 경우, 해당 컴퓨터에서 사용자 계정 정보가 탈취되어 상기 불법 수집 서버로 전송 처리된다.
또한, 후술하는 설명에서의 '사용자 단말'은 일반적인 데스크톱 컴퓨터뿐만 아니라 스마트폰을 포함하는 개념으로서, 이동 통신 단말기, 데스크톱 컴퓨터, 노트북 컴퓨터, 워크스테이션, 팜톱(palmtop) 컴퓨터, 개인 휴대 정보 단말기(personal digital assistant: PDA), 웹 패드 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기라면 얼마든지 본 발명에 따른 사용자 단말로서 채택될 수 있다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
먼저, 도 1 내지 도 4을 참조하여 본 발명의 실시예에 따른 개념 및 시스템의 구조를 설명하며, 다음으로 도 4를 참조하여 본 발명의 실시예에 따른 불법 접속 탐지 장치의 세부 구조를 상세히 설명한다.
불법 접속 탐지 및 처리 시스템의 개념
도 1 내지 도 3은 본 발명에 따른 불법 접속 탐지 및 처리 시스템의 구조 및 그 개념을 나타내는 도면이다.
도 1 내지 도 3을 참조하면, 본 발명의 실시예에 따른 시스템은 불법 접속 탐지 장치(110) 등을 포함하여 구성될 수 있다.
웹 서버(100)는 후술할 불법 수집 서버(130)에서 개인 정보를 탈취하고 수집하고자 하는 목적의 대상이 되는 서버로서, 불법 접속 탐지 장치(110) 및/또는 사용자 단말(140)로부터 미리 등록한 개인 정보(예컨대, 로그인 ID 및 패스워드)를 입력하여 로그인된 후 서비스를 제공할 수 있는 서버는 모두 포함하는 광의의 개념이다. 따라서, 본 발명에서는 설명의 편의성을 위해 웹 서버로 기재되었으나, 그 기능이 반드시 웹 서버에 한정되는 것은 아니며 게임 서버, 메일 서버 등 로그인을 통해 사용자들에게 다양한 서비스를 제공할 수 있는 서버라면 모두 본 발명의 웹 서버(100)라 할 수 있다.
불법 수집 서버(130)는 악성 프로그램을 제작 또는 배포하고, 악성 프로그램에 감염된 사용자 단말(140)로부터 개인 정보(즉, 웹 서버(100)에 대한 접속 정보(예컨대, 로그인 ID 및 패스워드))를 탈취하여 수집한다. 상기 불법 수집 서버(130)에서는 상기 각 사용자 단말(140)로부터 불법으로 수집한 접속 정보의 정상 접속 여부를 확인한 후, 이를 불법으로 판매 또는 배포한다.
한편, 본 발명에서는 불법 접속 탐지 장치(110)에서 웹 서버(100)에 접속하여 로그인할 수 있는 접속 정보(즉, 로그인 ID 및 패스워드)를 임의로 생성하고, 상기 생성된 접속 정보를 악성 프로그램을 통해 의도적으로 유출시킨다. 이때, 후술하는 본 발명에서는 상술한 바와 같이 상기 의도적으로 유출하는 로그인 ID를 '스파이 ID'라 칭한다. 따라서, 상기 불법 접속 탐지 장치(110)에서는 스파이 ID 및 이에 대응하는 패스워드를 생성하여 의도적으로 악성 프로그램을 통해 유출시킨다.
*48상기 스파이 ID의 유출 방법은 다양하게 구현할 수 있다. 예컨대, 상기 불법 접속 탐지 장치(110)에 악성 프로그램을 감염시키고, 상기 생성된 스파이 ID 및 패스워드로 웹 서버(100)에 접속을 시도하면, 상기 감염된 악성 프로그램의 실행에 따라 상기 스파이 ID 및 패스워드가 불법 수집 서버(130)로 자동 전송된다. 또한, 다른 방법으로서, 도 1에 도시된 바와 같이 상기 불법 접속 탐지 장치(110)에서 생성한 스파이 ID 및 패스워드를 이용하여 악성 프로그램이 감염된 다른 사용자 단말(140)에서 접속을 시도하면, 도 2에 도시된 바와 같이 상기 사용자 단말(140)에 설치된 악성 프로그램의 실행에 따라 상기 스파이 ID 및 패스워드가 불법 수집 서버(130)로 전송된다.
한편, 상기 불법 수집 서버(130)에서는 악성 프로그램에 감염된 각 사용자 단말(140)들로부터 웹 서버(100)에 대한 접속 정보(예컨대, 로그인 ID 정보 및 패스워드 정보)를 수집한다. 이때, 본 발명의 실시예에 따라 상기 의도적으로 유출된 스파이 ID 및 패스워드도 함께 수집한다. 그러나, 상기 스파이 ID 및 패스워드는 일반 ID 및 패스워드와 동일한 형식을 가지므로, 상기 불법 수집 서버(130)에서는 스파이 ID와 일반 로그인 ID를 구별할 수 없다.
예컨대, 도 1을 참조하면, 불법 접속 탐지 장치(110)에서는 'tuvwxy'라는 임의의 스파이 ID를 생성하고, 이에 대응하는 패스워드로서 '345678'이라는 패스워드를 함께 생성한다. 이때, 상기 스파이 ID 및 패스워드는 웹서버(100)에서 정상적인 접속 성공이 되도록 할 수도 있으며, 접속 성공이 되지 않고(즉, 로그인이 되지 않고) 해당 스파이 ID를 통한 접속 시도만 감지하도록 구현할 수도 있다. 일 예로서, 도 1에서 화살표 ①로 도시되는 바와 같이 생성된 임의의 스파이 ID 및 패스워드는 악성 프로그램이 감염된 다른 사용자 단말(140)에서 이용될 수 있다.
따라서, 예시적으로 도 2에서 화살표 ② 및 ③으로 도시된 바와 같이, 사용자 단말(140)에서 웹서버(100)로 로그인 시도를 하는 경우(②) 상기 생성된 스파이 ID는 악성 프로그램에 감염된 단말을 통해 불법 수집 서버(130)로 전송, 즉 불법으로 탈취(③)된다.
그런 다음, 예시적으로 도 3을 참조하면, 화살표 ④로 도시된 바와 같이 각 불법 수집 서버(130)에서는 악성 프로그램을 이용하여 불법으로 탈취한 ID 및 패스워드가 정상적으로 웹 서버(100)에 접속 성공 되는지 여부를 검증한다. 이때, 다른 탈취된 ID와 함께 상기 도 2에서와 같이 스파이 ID 및 패스워드도 수집하였기 때문에, 불법 수집 서버(130)에서는 ID 검증 과정에서 상기 스파이 ID 및 패스워드로도 웹 서버(100)에 접속을 시도하게 된다.
이때, 본 발명의 실시예에 따라 불법 접속 탐지 장치(110)에서는 상기 스파이 ID를 통한 접속 시도 또는 접속 성공을 탐지하고, 상기 해당 불법 접속 탐지 장치(110)를 악의적인 사용자의 장치로 판단한다. 따라서, 본 발명의 실시예에 따라 상기 스파이 ID로 접속을 시도하려는 또는 접속에 성공한 불법 수집 서버(130)의 접속 IP 주소를 검출하고, 이를 불법 IP 정보로 데이터베이스에 저장한다. 이에 따라, 상기 저장된 불법 IP 주소로부터 접속을 시도하는 또는 접속에 성공한 모든 ID에 대해서는 불법으로 탈취된 ID로 간주하고, 접속을 차단하거나 유출되었음을 알리는 알림 메시지를 미리 지정한 장치에 전송하는 등 기타 다양한 조치를 취하게 된다. 또한, 본 발명의 실시예에 따라 상기 불법 수집 서버(130)의 IP주소와 근접한 IP 주소도 불법 수집 서버(130)로 간주할 수 있다. 예컨대, IPv4 주소 체계에서 클래스 C의 네트워크 부분이 동일한 경우(즉, 4개의 옥텟(8비트)로 이루어진 IPv4 주소에서 클래스 C의 네트워크 부분인 앞의 3개 옥텟이 동일한 경우), 또는 클래스 C에서 네트워크 부분이 동일하고 호스트 부분의 값이 유사할 경우(즉, 클래스 C에서 마지막 옥텟인 호스트 부분의 값이 특정 크기 이내인 경우) 서로 근접한 위치에 있는 장치들의 IP 주소로 판단하고, 이를 불법 수집 서버(130)로 간주할 수 있다.
또한, 상기 도 3에서와 같이 불법 수집 서버(130)에서 각 탈취된 ID로 접속을 시도하여 정상 사용 여부, 즉 접속 성공이 확인되면, 확인된 ID 및 패스워드를 다른 악의의 사용자들에게 판매 또는 배포하는 것이 일반적이다. 한편, 상기 탈취된 ID를 불법 수집 서버(130)로부터 구매 또는 획득한 악의의 사용자는 자신의 사용자 단말(140)에서 상기 구매 또는 획득한 ID로 웹 서버(100)에 접속 시도한다. 이때, 상기 탈취된 ID의 정보는 이미 불법 접속 탐지 장치(110)에서 확보하고 있으므로, 상기 탈취된 ID를 통한 웹 서버(100)로의 접속을 차단시키거나 별도의 제재를 가할 수 있다.
한편, 본 발명에서는 설명의 편의상 불법 수집 서버(130)에서 불법으로 ID 및 패스워드를 탈취하고, 탈취된 ID의 유효성을 판단한 후, 이를 판매 또는 배포하는 것으로 설명하였으나, ID 탈취, 유효성 판단, 판매 또는 배포 등을 각기 다른 단말(예컨대, 상이한 IP 주소를 갖는 단말)에서 수행하도록 구현할 수도 있다.
또한, 상기 불법 접속 탐지 장치(110)는 도 1 내지 도 3에서 웹 서버(100)와 별도로 도시되어 있으나, 웹 서버(100)의 사업자와 동일한 사업자가 상기 불법 접속 탐지 장치(110)를 구축하고, 이를 연동시킬 수도 있으며, 웹 서버(100) 내에 불법 접속 탐지 장치(110)의 구성을 포함하여 구현할 수도 있다. 또한, 불법 접속 탐지 장치(110)의 의도적인 스파이 ID 유출 기능 및 스파이 ID를 통한 접속 시도 탐지 기능은 물리적으로 서로 다른 기계에서 구현될 수도 있다.
또한, 상기 불법 접속 탐지 장치(110)는 기본적으로 후술하는 바와 같이 불법 접속에 대한 탐지를 수행하며, 추가로 탐지된 불법 접속에 대한 처리(예컨대, 접속 차단 또는 메시지 알림 등) 기능(즉, 불법 접속 처리 기능)을 더 수행할 수도 있다.
통신 네트워크(120)는 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 또한, 상기 통신 네트워크(120)는 공지의 월드와이드웹(WWW; World Wide Web)일 수 있으며, 적외선(Infrared Data Association; IrDA) 또는 블루투스(Bluetooth)와 같이 단거리 통신에 이용되는 무선전송기술을 이용할 수도 있다.
다음으로 도 4를 참조하여 상기 불법 접속 탐지 장치(110)의 세부 구성을 설명한다.
불법 접속 탐지 장치
도 4는 본 발명의 실시예에 따른 불법 접속 탐지 장치의 세부 구성을 나타내는 블록도이다. 도 4를 참조하면, 본 발명의 실시예에 따른 불법 접속 탐지 장치(110)는 악성 코드 수집부(401), 스파이 ID 배포부(402), 스파이 ID 생성부(403), 접속 로그 검사부(411), 스파이 ID 확인부(412), 불법 IP 처리부(413), IP 확인부(421), 탈취 ID 등록부(422), 및 탈취 ID 접속 차단부(423) 등을 포함하여 구성될 수 있다.
악성 코드 수집부(401)는 스파이 ID를 의도적으로 유출시키기 위해 각종 악성 코드(또는 악성 프로그램)를 수집하는 기능을 수행한다. 상기 수집된 악성 코드는 악성 코드 정보 데이터베이스(404)에 저장된다. 한편, 상기 스파이 ID를 불법 접속 탐지 장치(110)에서 직접 유출시키지 않고, 악성 코드에 감염된 다른 단말(사용자 단말(140))을 통해 유출시킬 경우, 상기 악성 코드 수집부(401)는 생략될 수 있다. 또한, 상기와 같이 악성 코드를 별도로 수집하지 않고, 불법 접속 탐지 장치(110)에 악성 코드를 의도적으로 감염시킬 수도 있다.
스파이 ID 생성부(403)는 상술한 바와 같이 본 발명에 따라 의도적으로 유출시키기 위한 계정 정보로서 스파이 ID를 생성하는 기능을 수행한다. 상기 생성된 스파이 ID는 스파이 ID 정보 데이터베이스(405)에 저장된다. 이때, 스파이 ID 및 그에 대응하는 패스워드를 함께 생성하고, 이를 매핑하여 저장하는 것이 바람직하다. 한편, 상기 생성된 스파이 ID 및 패스워드는 웹 서버(100)에서도 공유되어, 스파이 ID를 통한 접속 시도 시에 접속 성공 처리 즉 로그인 처리, 또는 접속 시도의 감지를 하도록 구현할 수 있다. 또한, 상기 스파이 ID 생성부(403)는 스파이 ID를 미리 설정된 주기마다 반복적으로 생성하도록 구현할 수 있다. 즉, 새롭게 생성되어 배포되는 악성 코드에 적용되기 위하여, 주기적 또는 반복적으로 스파이 ID를 생성함으로써 계속적으로 불법 수집 서버(130)를 탐지할 수 있다.
스파이 ID 배포부(402)는 상기 스파이 ID 생성부(403)를 통해 생성된 스파이 ID를 악성 코드 수집부(401)를 통해 수집된 악성 코드에 의해 유출되도록 하는 기능을 수행한다. 즉, 상기 생성된 스파이 ID로 웹 서버(100)에 접속을 시도할 경우, 수집된 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 불법 수집 서버(130)로 전송된다.
한편, 상술한 바와 같이 상기 스파이 ID를 불법 접속 탐지 장치(110)에서 직접 유출시키지 않고, 악성 코드에 감염된 다른 단말(사용자 단말(140))을 통해 유출시킬 경우, 상기 스파이 ID 배포부(402)는 생략될 수 있다. 이때에는, 상기 스파이 ID 생성부(403)를 통해 생성된 스파이 ID를 이용하여 악성 코드에 감염된 다른 단말에서 접속 시도하는 것만으로도 스파이 ID가 유출되어 불법 수집 서버(130)로 전송될 수 있다.
이와 같이, 생성된 스파이 ID가 유출되어 불법 수집 서버(130)로 전송되면, 불법 수집 서버(130)에서는 불법으로 탈취한 각 ID가 정상적으로 접속 성공이 가능한, 즉 로그인 가능한 ID인지를 검사하게 된다. 이때, 상기 불법으로 탈취한 ID 중 스파이 ID도 함께 포함될 수 있으며, 불법으로 탈취한 스파이 ID로 웹 서버(100)에 접속을 시도할 경우, 본 발명의 실시예에 따라 불법 접속 탐지 장치(110)에서 이를 탐지함으로써 불법 수집 서버(130)의 정보를 확인하게 된다.
*67즉, 접속 로그 검사부(411)에서는 웹 서버(100)로 접속하여 접속 시도하는 각 로그인 ID를 모니터링한다. 이때, 상기 로그인 ID를 모니터링하는 방법으로서, 웹 서버(100)에 접속하여 전송되는 패킷을 실시간으로 수집하여, 접속 시도하려는 ID를 검사할 수 있다.
다른 방법으로, 접속 로그 검사부(411)에서는 웹 서버(100)의 로그인 데이터에 주기적으로(예컨대, 1일 단위로) 접근하여 로그인 데이터를 검사할 수 있다. 이때, 상기 로그인 데이터에는 도 9에 도시된 바와 같이 웹 서버(100)로 접속하여 접속 시도하는 각 로그인 ID, 비밀번호, 접속 성공(로그인 성공) 여부, 접속을 시도하는 단말의 IP 주소 등을 포함할 수 있다.
스파이 ID 확인부(412)는 접속 로그 검사부(411)의 모니터링에 따라 접속을 시도했던 또는 접속에 성공하였던 ID 중에 생성된 스파이 ID가 존재하는지를 확인한다. 즉, 접속 로그 검사부(411)를 통해 수집된 로그인 ID를 스파이 ID 정보 데이터베이스(405)에 저장된 스파이 ID와 비교하여 일치하는지 여부를 확인한다.
상기 확인 결과 접속을 시도했던 또는 접속에 성공하였던 ID가 스파이 ID와 일치할 경우, 불법 IP 처리부(413)에서는 상기 스파이 ID로 접속을 시도했던 또는 접속에 성공하였던 단말을 불법 수집 서버(130)로 간주하고, 해당 단말의 IP를 불법 IP 정보 데이터베이스(414)에 저장한다. 또한, 상기 접속 로그 검사부(411)에서 실시간으로 패킷을 모니터링할 경우, 웹 서버(100)에 접속 시도하는 패킷을 검사하여, 해당 로그인 ID 중에 스파이 ID와 일치하는 ID가 존재하는 경우, 상기 패킷의 출발지 주소(source address)의 IP 주소를 불법 IP 정보 데이터베이스(414)에 저장할 수 있다.
한편, 상술한 바와 같이 불법 수집 서버(130)로 간주된 단말의 IP 주소뿐만 아니라, 본 발명의 실시예에 따라 상기 IP 주소와 인접한(예컨대, IP 주소의 C 클래스에서 네트워크 부분이 동일한) IP 주소도 불법 수집 서버(130)의 IP 주소로 간주할 수 있다.
이와 같이, 본 발명의 실시예에 따라 상기와 같이 불법 수집 서버(130)의 IP 주소를 확인한 후, 상기 확인된 IP 주소를 통해 상기 불법 수집 서버(130)에서 불법으로 탈취한 모든 ID를 확인할 수 있다. 즉, 상술한 바와 같이 상기 불법 수집 서버(130)에서는 불법으로 탈취한 모든 ID에 대해 사용 가능한 ID 인지를 확인하기 위해 각 ID로 웹 서버(100)에 접속을 시도하게 된다. 따라서, 상기 불법 수집 서버(130)의 IP 주소를 통해 접속을 시도하는 모든 ID를 로그인 데이터에 기초하여 검사하고, 도 9에 도시된 바와 같이 이 중 접속에 성공한, 즉 로그인에 성공한 ID를 탈취된 ID로 간주하여 처리할 수 있다.
즉, IP 확인부(421)는 웹 서버(100)에 접속하여 접속을 시도하는 또는 접속에 성공하였던 각 단말의 IP를 확인하고, 확인된 IP가 상기 불법 IP 정보 데이터베이스(414)에 불법 IP로 등록된 IP(즉, 불법 수집 서버(130)의 IP)인 지를 검사한다. 이때, 상기 접속에 성공하였던 단말의 IP를 확인하는 방법은 상술한 바와 같이 일정 기간(예컨대, 1일 단위) 동안의 웹 서버(100)의 로그 기록을 검사함으로써 확인이 가능하다.
상기 검사 결과, 확인된 IP가 불법 IP 정보 데이터베이스(414)에 저장된 불법 IP일 경우, 상기 접속을 시도하는 또는 접속에 성공하였던 ID를 탈취된 ID로 간주한다. 따라서, 탈취 ID 등록부(422)에서는 상기 탈취된 ID로 간주된 ID를 탈취 ID 정보 데이터베이스(424)에 저장한다.
탈취 ID 접속 차단부(423)에서는 상기 웹 서버(100)에 접속 시도하는 ID를 검사하고, 접속하려는 ID가 상기 탈취 ID 정보 데이터베이스(424)에 저장된 탈취 ID일 경우, 접속 차단 즉 로그인 차단 처리한다. 또 다른 방법으로, 해당 ID가 탈취 또는 도용된 ID임을 알리는 안내 메시지를 미리 지정한 장치에 제공하도록 구현할 수도 있다. 여기서 미리 지정한 장치란 불법 접속 탐지 장치를 관리하는 관리자의 단말기를 포함하여 불법 접속 탐지 장치에서 미리 지정한 단말은 모두 포함할 수 있으며 불법 접속 탐지 장치 그 자신으로 지정하거나 심지어 접속 시도하려는 단말기로 지정하여도 무방하다.
한편, 상기 불법 접속 탐지 장치(110)의 각각의 구성요소들은 기능 및 논리적으로 분리될 수 있음을 나타나기 위해 별도로 도면에 표시한 것이며, 물리적으로 반드시 별도의 구성요소이거나 별도의 코드로 구현되는 것을 의미하는 것은 아니다.
그리고 본 명세서에서 각 기능부(또는 모듈)라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 각 기능부는 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
또한, 본 명세서에서 데이터베이스라 함은, 각각의 데이터베이스에 대응되는 정보를 저장하는 소프트웨어 및 하드웨어의 기능적 구조적 결합을 의미할 수 있다. 데이터베이스는 상기 데이터베이스에 대응되는 정보를 저장할 수 있는 모든 데이터 저장매체 및 데이터 구조를 포함한다.
이하, 도 5 내지 도 7를 참조하여, 본 발명의 실시예에 따른 불법 접속 처리 절차를 설명한다.
불법 접속 처리 절차
도 5는 본 발명의 실시예에 따른 악성 코드를 통한 스파이 ID 유출 절차를 나타내는 흐름도이다. 도 5를 참조하면, 먼저 악성 코드를 수집(S501)하고, 본 발명의 실시예에 따라 스파이 ID를 생성(S502)한다. 그런 다음, 스파이 ID로 웹 서버에 접속(로그인)을 시도(S503)하게 되면, 상기 수집된 악성 코드가 실행(S504)되고, 실행된 악성 코드를 통해 스파이 ID가 유출(S505)된다.
한편, 본 발명의 다른 실시예에 따라, 상기와 같은 악성 코드의 수집 절차 없이, 생성된 스파이 ID를 가지고 악성 코드에 감염된 단말에서 웹 서버에 접속 성공(로그인)함으로써 스파이 ID를 유출시킬 수도 있다.
도 6은 본 발명의 실시예에 따른 불법 수집 서버의 IP를 탐지하는 절차를 나타내는 흐름도이다. 상기 도 5에서와 같이 의도적인 유출을 위해 생성한 스파이 ID가 유출되어 불법 수집 서버에서 수집되면, 불법 수집 서버에서 유출된 스파이 ID로 접속(로그인)을 시도할 때, 상기 불법 수집 서버의 정보(예컨대, IP 정보)를 확인할 수 있다.
즉, 도 6을 참조하면, 웹 서버 접속자에 대한 일정 기간 동안의 로그인 데이터를 수집(S601)하고, 수집된 패킷을 분석(S602)한다. 즉, 로그인 데이터에서 접속(로그인)을 시도한 접속 ID 중 상기 도 5에서 생성된 스파이 ID와 동일한 IP가 존재하는지(S603)를 검사한다.
상기 검사 결과, 상기 접속(로그인)을 시도한 접속 ID 중 스파이 ID와 동일한 ID가 존재할 경우, 상기 스파이 ID로 접속을 시도한 단말을 불법 수집 서버로 간주하고, 상기 단말의 IP 주소를 불법 IP 정보 데이터베이스에 저장(S604)한다. 이때, 상술한 바와 같이 본 발명의 실시예에 따라 상기 로그인 데이터에서 상기 불법 수집 서버로 간주된 단말의 IP 주소와 인접한 IP 주소가 존재할 경우, 상기 인접한 IP 주소도 마찬가지로 불법 수집 서버로 간주하여, 불법 IP 정보 데이터베이스에 저장(S604)할 수 있다.
도 7은 본 발명의 실시예에 따른 불법 수집 서버에서 탈취한 ID를 탐지하는 절차를 나타내는 흐름도이다. 도 7을 참조하면, 상기 도 6에서와 같이 일정 기간 웹 서버에 접속한 로그인 데이터를 수집하여 분석(S701)하고, 상기 불법 IP 정보 데이터베이스에 저장된 불법 IP 주소로 접속된 로그인 기록을 확인(S702)한다. 이때, 상기 불법 IP 주소로 접속된 로그인 기록 중에서 정상적으로 접속(로그인)이 성공된 ID를 탈취 ID로 간주하고, 이를 탈취 ID 정보 데이터베이스에 저장(S703)한다.
그런 다음, 상기 탈취된 ID에 대해서는 로그인이 되지 않도록 접속을 차단(S704)하거나, 탈취된 ID임을 미리 지정된 단말에 통보할 수도 있다.
본 발명의 일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
구현 예
도 8은 본 발명의 실시예에 따른 웹 서버의 로그인 기록을 나타내는 도면이다. 도 8을 참조하면, 상술한 바와 같이 웹 서버로부터 로그인 기록(800)을 분석함으로써 불법 수집 서버의 정보 및 탈취된 ID를 탐지할 수 있다.
예컨대, 도 1에서와 같이 스파이 ID가 'tuvwxy'일 경우, 상기 스파이 ID로 로그인을 시도한 단말의 IP 주소를 검사한다. 따라서, 도 8에서 제1 접속의 ID가 'tuvwxy'이므로, 상기 제1 접속의 IP 주소인 '10.11.22.33'을 불법 수집 단말의 IP 주소로 간주하고, 상기 해당 IP 주소로 접속(로그인)을 시도한 모든 ID를 탈취된 ID로 간주할 수 있다. 즉, 상기 도 8에서 제4 접속은 접속 단말의 IP 주소가 상기 제1 접속의 IP 주소와 동일하므로, 상기 제4 접속의 접속 ID인 'opqrst'를 탈취 ID로 간주할 수 있다. 그러나, 상기 제4 접속은 접속(로그인)을 실패하였으므로, 본 발명의 실시예에 따라 탈취된 ID로 간주하지 않을 수도 있다.
또한, 본 발명의 실시예에 따라, 도 8의 제3 접속의 IP 주소는 '10.11.22.34'로서 상기 불법 수집 단말의 IP 주소로 간주된 '10.11.22.33'와 유사한 IP 주소를 가지므로, 상기 제3 접속의 IP 주소도 불법 수집 단말의 IP 주소로 간주할 수 있다. 또한, 상기 제3 접속은 접속(로그인)에 성공하였으므로, 제3 접속의 ID인 'abcdef'를 탈취된 ID로 간주할 수 있다.
본 발명은 특정 기능들 및 그의 관계들의 성능을 나타내는 방법 단계들의 목적을 가지고 위에서 설명되었다. 이러한 기능적 구성 요소들 및 방법 단계들의 경계들 및 순서는 설명의 편의를 위해 여기에서 임의로 정의되었다. 상기 특정 기능들 및 관계들이 적절히 수행되는 한 대안적인 경계들 및 순서들이 정의될 수 있다. 임의의 그러한 대안적인 경계들 및 순서들은 그러므로 상기 청구된 발명의 범위 및 사상 내에 있다. 추가로, 이러한 기능적 구성 요소들의 경계들은 설명의 편의를 위해 임의로 정의되었다. 어떠한 중요한 기능들이 적절히 수행되는 한 대안적인 경계들이 정의될 수 있다. 마찬가지로, 흐름도 블록들은 또한 어떠한 중요한 기능성을 나타내기 위해 여기에서 임의로 정의되었을 수 있다. 확장된 사용을 위해, 상기 흐름도 블록 경계들 및 순서는 정의되었을 수 있으며 여전히 어떠한 중요한 기능을 수행한다. 기능적 구성 요소들 및 흐름도 블록들 및 순서들 둘 다의 대안적인 정의들은 그러므로 청구된 본 발명의 범위 및 사상 내에 있다.
본 발명은 또한 하나 이상의 실시예들의 용어로, 적어도 부분적으로 설명되었을 수 있다. 본 발명의 실시예는 본 발명, 그 측면, 그 특징, 그 개념, 및/또는 그 예를 나타내기 위해 여기에서 사용된다. 본 발명을 구현하는 장치, 제조의 물건, 머신, 및/또는 프로세스의 물리적인 실시예는 여기에 설명된 하나 이상의 실시예들을 참조하여 설명된 하나 이상의 측면들, 특징들, 개념들, 예들 등을 포함할 수 있다. 더구나, 전체 도면에서, 실시예들은 상기 동일한 또는 상이한 참조 번호들을 사용할 수 있는 상기 동일하게 또는 유사하게 명명된 기능들, 단계들, 모듈들 등을 통합할 수 있으며, 그와 같이, 상기 기능들, 단계들, 모듈들 등은 상기 동일한 또는 유사한 기능들, 단계들, 모듈들 등 또는 다른 것들일 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 웹서버 110 : 불법 접속 탐지 장치
120 : 통신 네트워크 130 : 불법 수집 서버
401 : 악성 코드 수집부 402 : 스파이 ID 배포부
403 : 스파이 ID 생성부 404 : 악성 코드 정보 데이터베이스
405 : 스파이 ID 정보 데이터베이스 411 : 접속 로그 검사부
412 : 스파이 ID 확인부 413 : 불법 IP 처리부
414 : 불법 IP 정보 데이터베이스 421 : IP 확인부
422 : 탈취 ID 등록부 423 : 탈취 ID 접속 차단부
424 : 탈취 ID 정보 데이터베이스
120 : 통신 네트워크 130 : 불법 수집 서버
401 : 악성 코드 수집부 402 : 스파이 ID 배포부
403 : 스파이 ID 생성부 404 : 악성 코드 정보 데이터베이스
405 : 스파이 ID 정보 데이터베이스 411 : 접속 로그 검사부
412 : 스파이 ID 확인부 413 : 불법 IP 처리부
414 : 불법 IP 정보 데이터베이스 421 : IP 확인부
422 : 탈취 ID 등록부 423 : 탈취 ID 접속 차단부
424 : 탈취 ID 정보 데이터베이스
Claims (12)
- 불법 접속을 처리하기 위한 불법 접속 탐지 장치에 있어서,
스파이 ID를 생성하는 스파이 ID 생성부;
악성 코드에 감염된 장치에서 상기 생성된 스파이 ID로 접속을 시도하여 상기 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 불법 수집 서버로 유출된 후, 상기 스파이 ID를 통한 접속을 모니터링하는 접속 로그 검사부 ; 및
상기 접속 로그 검사부의 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 IP 주소를 확인하여 저장하는 불법 IP 처리부;를 포함하고,
상기 저장된 IP 주소로부터 접속을 시도한 ID를 탈취된 ID로 처리하는 탈취 ID 등록부;를 더 포함하고,
상기 탈취 ID 등록부는,
상기 불법 IP 처리부에서 확인된 불법 IP를 통해 접속을 시도한 ID 중 접속에 성공한 ID를 상기 탈취된 ID로 처리하는 것을 특징으로 하는, 불법 접속 탐지 장치.
- 청구항 1에 있어서, 상기 불법 IP 처리부는,
상기 스파이 ID를 통해 접속한 장치의 IP 주소와 인접한 IP 주소로 접속한 장치의 IP 주소를 더 확인하여 저장하는, 불법 접속 탐지 장치.
- 청구항 1에 있어서, 상기 불법 접속 탐지 장치는,
상기 탈취된 ID로 접속을 시도할 경우, 접속을 차단하는 탈취 ID 접속 차단부;를 더 포함하는, 불법 접속 탐지 장치.
- 청구항 1에 있어서, 상기 불법 접속 탐지 장치는,
상기 탈취된 ID로 접속을 시도할 경우, 미리 지정한장치에 탈취된 ID임을 알리는 알림 메시지를 전송하는, 불법 접속 탐지 장치.
- 청구항 1에 있어서, 상기 탈취된 ID에는 상기 스파이 ID가 더 포함되는, 불법 접속 탐지 장치.
- 접속 시도하는 장치로부터 입력된 ID 및 패스워드를 확인하고, 확인된 ID 및 패스워드를 인증함으로써 접속 성공 여부를 처리하는 웹 서버; 및
스파이 ID를 생성하고, 악성 코드에 감염된 장치에서 상기 생성된 스파이 ID로 접속을 시도하여 상기 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 불법 수집 서버로 유출된 후, 상기 스파이 ID를 통한 상기 웹 서버로의 접속을 모니터링하며, 상기 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 IP 주소를 확인하여 저장하고, 상기 저장된 IP 주소로부터 접속을 시도한 ID 중 접속에 성공한 ID를 탈취된 ID로 처리하는 불법 접속 탐지 장치;를 포함하는, 불법 접속 처리 시스템.
- 불법 접속을 처리하기 위한 불법 접속 처리 방법으로서, 불법 접속 탐지 장치에서 수행되는 각 단계가,
스파이 ID를 생성하는 단계;
악성 코드에 감염된 장치에서 상기 생성된 스파이 ID로 접속을 시도하여 상기 악성 코드의 실행에 따라 상기 생성된 스파이 ID가 불법 수집 서버로 유출된 후, 상기 스파이 ID를 통한 접속을 모니터링하는 단계; 및
상기 모니터링 결과에 따라 상기 스파이 ID를 통해 접속한 장치의 IP 주소를 확인하여 저장하는 단계;를 포함하고,
상기 저장된 IP 주소로부터 접속을 시도한 ID를 탈취된 ID로 처리하는 단계;를 더 포함하고,
상기 탈취된 ID로 처리하는 단계는
상기 IP 주소를 확인하여 저장하는 단계에서 확인된 불법 IP를 통해 접속을 시도한 ID 중 접속에 성공한 ID를 상기 탈취된 ID로 처리하는 것을 특징으로 하는, 불법 접속 처리 방법.
- 청구항 7에 있어서, 상기 스파이 ID를 통해 접속한 장치의 정보를 확인하여 저장하는 단계는,
상기 스파이 ID를 통해 접속한 장치의 IP 주소와 인접한 IP 주소로 접속한 장치의 IP 주소를 확인하여 저장하는 단계를 더 포함하는, 불법 접속 처리 방법.
- 청구항 7에 있어서, 상기 방법은,
상기 탈취된 ID로 접속을 시도할 경우, 접속을 차단하는 단계;를 더 포함하는, 불법 접속 처리 방법.
- 청구항 7에 있어서, 상기 방법은,
상기 탈취된 ID로 접속을 시도할 경우, 미리 지정한 장치에 탈취된 ID임을 알리는 알림 메시지를 전송하는 단계;를 더 포함하는, 불법 접속 처리 방법.
- 청구항 7에 있어서, 상기 탈취된 ID에는 상기 스파이 ID가 더 포함되는, 불법 접속 처리 방법.
- 청구항 7 내지 청구항 11 중 어느 한 항의 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150171429A KR101851680B1 (ko) | 2015-12-03 | 2015-12-03 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150171429A KR101851680B1 (ko) | 2015-12-03 | 2015-12-03 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120138128A Division KR101576632B1 (ko) | 2012-11-30 | 2012-11-30 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150143394A KR20150143394A (ko) | 2015-12-23 |
| KR101851680B1 true KR101851680B1 (ko) | 2018-04-24 |
Family
ID=55082544
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150171429A KR101851680B1 (ko) | 2015-12-03 | 2015-12-03 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101851680B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9769209B1 (en) | 2016-03-04 | 2017-09-19 | Secureauth Corporation | Identity security and containment based on detected threat events |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101044274B1 (ko) | 2009-11-03 | 2011-06-28 | 주식회사 안철수연구소 | 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체 |
-
2015
- 2015-12-03 KR KR1020150171429A patent/KR101851680B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150143394A (ko) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101576632B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| JP5250594B2 (ja) | ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法 | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| US20170012978A1 (en) | Secure communication method and apparatus | |
| JP5987627B2 (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
| CN109413000B (zh) | 一种防盗链方法及防盗链网关系统 | |
| JP2009543163A (ja) | ソフトウェア脆弱性悪用防止シールド | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN110912855A (zh) | 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | |
| Ng et al. | Applying data mining techniques to intrusion detection | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN116545650B (zh) | 一种网络动态防御方法 | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
| US9380067B2 (en) | IPS detection processing method, network security device, and system | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| KR101851680B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| KR101754195B1 (ko) | 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 | |
| WO2017068714A1 (ja) | 不正通信制御装置および方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |