KR101893758B1 - 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법 - Google Patents

암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법 Download PDF

Info

Publication number
KR101893758B1
KR101893758B1 KR1020160158228A KR20160158228A KR101893758B1 KR 101893758 B1 KR101893758 B1 KR 101893758B1 KR 1020160158228 A KR1020160158228 A KR 1020160158228A KR 20160158228 A KR20160158228 A KR 20160158228A KR 101893758 B1 KR101893758 B1 KR 101893758B1
Authority
KR
South Korea
Prior art keywords
computer
internal
monitoring
packet
certificate
Prior art date
Application number
KR1020160158228A
Other languages
English (en)
Other versions
KR20180059076A (ko
Inventor
원유재
윤지훈
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020160158228A priority Critical patent/KR101893758B1/ko
Priority to US16/463,969 priority patent/US11153288B2/en
Priority to PCT/KR2017/013101 priority patent/WO2018097548A1/ko
Publication of KR20180059076A publication Critical patent/KR20180059076A/ko
Application granted granted Critical
Publication of KR101893758B1 publication Critical patent/KR101893758B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의한 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법은, 내부 컴퓨터와 외부 컴퓨터가 직접 SSL 세션을 생성하지 않고, 모니터링 컴퓨터가 내부 컴퓨터 및 외부 컴퓨터와 각각 SSL 세션을 생성하여, 내부 컴퓨터에서 외부 컴퓨터로 데이터 패킷을 전달할 때, 모니터링 컴퓨터가 상기 데이터 패킷에 내부 정보가 있는지를 검사한 후 전달하는 것을 특징으로 한다.

Description

암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법{SYSTEM AND METHOD FOR MONITORING LEAKAGE OF INTERNAL INFORMATION THROUGH ANALYZING ENCRYPTED TRAFFIC}
본 발명은 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법에 관한 것으로, 더욱 상세하게는, 내부 컴퓨터에서 외부 컴퓨터로 전송되는 암호화된 데이터 패킷에 내부 기밀 정보가 있는지를 모니터링하는 내부 정보 유출 모니터링 시스템 및 방법에 관한 것이다.
최근 기업들은 인터넷을 통한 내부 정보 유출의 감시를 강화하고 있다.
특허문헌 1은 SSL/TLS 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 HTTPS 접속 선별 차단 방법에 관한 기술에 관한 것인데, 인터넷을 통한 내부 정보 유출의 감시를 위한 기술의 하나로 볼 수 있다.
그런데 특허문헌 1의 감시방법에 의하면, 차단 대상 URL로 데이터를 보내는지 여부만을 확인할 수 있을 뿐 보내는 데이터에 내부 정보가 있는지의 여부를 확인할 수는 없다. 왜냐하면, HTTPS 통신은 SSL 세션을 형성하여 데이터를 암호화하여 주고 받기 때문이다.
내부 정보 유출을 효과적으로 모티터링하려면, 내부 컴퓨터가 외부 컴퓨터와 SSL 세션을 형성하여 데이터를 암호화하여 주고 받을 때에도 전송되는 데이터의 내용을 확인할 수 있는 기술이 필요하다.
KR 10-1275708 B1(등록일: 2013. 6. 11.)
본 발명에서 해결하고자 하는 과제는, 내부 컴퓨터가 외부 컴퓨터로 SSL세션을 통해 데이터를 전송하는 경우에도 그 데이터 내용을 확인할 수 있도록 하여 효과적인 내부 정보 유출 모니터링을 할 수 있는 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법을 제공하는 것이다.
본 발명에 의한 내부 정보 유출 모니터링 시스템은, 내부 컴퓨터, 모니터링 컴퓨터, 외부 컴퓨터를 포함하는 내부 정보 유출 모티터링 시스템으로서, 모니터링 컴퓨터는, 내부 컴퓨터로부터 SSL 세션 생성 요청을 전송받은 후 외부 컴퓨터로 SSL 세션 요청을 하고 그 응답을 받아서 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성하고, 내부 컴퓨터로 SSL 세션 생성 요청에 대한 응답을 전송하여 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성하고, 내부 컴퓨터에서 외부 컴퓨터로 패킷을 전달할 때, 모니터링 컴퓨터가 상기 패킷에 내부 정보가 있는지를 검사한 후 전달하는 것을 특징으로 한다.
상기 내부 정보 유출 모니터링 시스템은, 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성할 때는 외부 컴퓨터가 전송해준 원본 인증서를 이용하여 SSL 세션을 생성하고, 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성할 때는 상기 원본 인증서를 모니터링 컴퓨터가 변경한 모니터링 컴퓨터 변경 인증서를 이용하여 SSL 세션을 생성하고, 모니터링 컴퓨터가 상기 패킷에 내부 정보가 있는지를 검사한 후 전달할 때는, 모니터링 컴퓨터가 모니터링 컴퓨터 변경 인증서와 연관된 세션키로 상기 패킷을 복호화하여 상기 패킷에 내부 정보가 있는지를 검사한 후, 상기 복호화된 패킷을 원본 인증서와 연관된 세션키로 암호화하여 외부 컴퓨터로 전송할 수 있다.
상기 모니터링 컴퓨터는 네트워크 인터페이스, ARP 스푸핑 모듈, SSL 트래픽 복호 및 암호화 모듈, SSL 세션 정보 저장부를 포함하고, 상기 네트워크 인터페이스를 통해 모니터링 컴퓨터가 내부 컴퓨터 및 외부 컴퓨터와 데이터 송수신이 가능하게 되고, 상기 ARP 스푸핑 모듈은 패킷의 흐름이 모니터링 컴퓨터를 거치도록 변경하고, 상기 SSL 세션 정보 저장부는 모니터링 컴퓨터 변경 인증서와 연관된 세션키, 원본 인증서와 연관된 공개키를 저장할 수 있고, 모니터링 컴퓨터 변경 인증서와 연관된 세션키로 내부 컴퓨터가 전송한 패킷을 복호화한 후 상기 복호화된 패킷을 원본 인증서와 연관된 세션키로 암호화할 수 있는 것을 특징으로 할 수 있다.
상기 내부 정보 유출 모니터링 시스템은, 외부 컴퓨터에서 내부 컴퓨터로 패킷을 전달할 때, 내부 정보 유출을 위한 코드가 있는지를 검사한 후 전달할 수 있다.
본 발명에 의한 내부 정보 유출 모니터링 방법은, 내부 컴퓨터, 모니터링 컴퓨터, 외부 컴퓨터를 포함하는 내부 정보 유출 모티터링 시스템을 이용하여, 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 방법으로서, 모니터링 컴퓨터가 내부 컴퓨터로부터 SSL 세션 생성 요청을 전송받는 제1단계; 모니터링 컴퓨터가 외부 컴퓨터와 모니터링 컴퓨터 사이에 새로운 SSL 세션을 생성하기 위해 외부 컴퓨터로 SSL 세션 요청을 하고 그 응답을 받는 제2 단계; 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성한 후 내부 컴퓨터 로 SSL 세션 생성 요청에 대한 응답을 전송하는 제3 단계; 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성하는 제4 단계; 내부 컴퓨터에서 외부 컴퓨터로 패킷을 전달할 때, 모니터링 컴퓨터가 상기 패킷에 내부 정보가 있는지를 검사한 후 전달하는 제5 단계;를 포함하는 것을 특징으로 할 수 있다.
상기 내부 정보 유출 모니터링 방법은, 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성할 때는 외부 컴퓨터가 전송해준 원본 인증서를 이용하여 SSL 세션을 생성하고, 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성할 때는 상기 원본 인증서를 모니터링 컴퓨터가 변경한 모니터링 컴퓨터 변경 인증서를 이용하여 SSL 세션을 생성하고, 상기 제5 단계에서는, 모니터링 컴퓨터가 모니터링 컴퓨터 변경 인증서와 연관된 세션키로 상기 패킷을 복호화하여 상기 패킷에 내부 정보가 있는지를 검사한 후, 상기 복호화된 패킷을 원본 인증서와 연관된 세션키로 암호화하여 외부 컴퓨터로 전송할 수 있다.
본 발명에 의한 내부 정보 유출 모니터링 시스템 및 방법은, 내부 컴퓨터가 외부 컴퓨터로 SSL세션을 통해 데이터를 전송하는 경우에도 그 데이터 내용을 확인할 수 있도록 하여 효과적인 내부 정보 유출 모니터링을 할 수 있도록 한다.
도 1은 SSL 핸드세이크 과정을 나타낸 도면
도 2는 본 발명에 의한 모니터링 컴퓨터의 구성도
도 3은 본 발명에 의한 SSL 세션 생성 과정을 나타낸 도면
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
아래에서는 본 발명을 첨부된 도면을 통해 더욱 상세히 설명한다.
SSL(Secure Sockets Layer)은 전송계층 상에서 데이터 암호화와 인증기능을 제공하는 보안 프로토콜로서, 암호화된 통신에 필요한 정보를 교환하기 위해 SSL 핸드셰이크(Handshake) 과정을 거친다. SSL Handshake 과정 중, 세션키 생성에 필요한 비밀 값은 공개키 알고리즘을 적용하여 전달되기 때문에 제 3자의 세션키 획득을 어렵게 만든다.
도 1은 SSL 핸드세이크 과정을 나타낸 도면이다.
도 1에서 R 은 랜덤 값을 나타내고, K 는 세션키를 나타내고, S 는 시크릿(Secret, 비밀)을 나타내고, PU 는 공개키를 나타내고, E 는 암호화함수를 나타낸다.
도 1의 SSL 핸드세이크 과정은 다음과 같다.
(1) 클라이언트 헬로(Client Hello)
클라이언트가 지원되는 암호 알고리즘, 클라이언트의 랜덤값을 서버로 전송한다.
(2) 서버 헬로(Server Hello)
서버가 서버인증서, 선택된 암호 알고리즘, 서버의 랜덤값을 클라이언트로 전송한다.
(3) 클라이언트의 서버 인증서 검증, 세션키 생성
클라이언트가 서버 인증서를 검증하고, 클라이언트의 랜덤값, 서버의 랜덤값, 시크릿을 이용하여 클라이언트의 세션키를 생성한다.
(4) 클라이언트 키 교환(Client Key Exchange)
암호화된 시크릿, 핸드셰이크 메시지에 대한 해시값을 클라이언트가 서버로 전송한다.
이때 시크릿은 서버 헬로(Server Hello)를 통해 선택된 암호화 함수에 의해 암호화되며, 암호화에는 서버의 공개키가 사용된다.(서버의 공개키로 암호화된 시크릿은 오직 서버만 가지고 있는 개인키로 복호화 할 수 있다)
(5) 서버의 세션키 생성
클라이언트의 랜덤값, 서버의 랜덤값, 시크릿을 이용하여 서버의 세션키를 생성한다.
(6) 피니시드(Finished, 핸드셰이크 종료)
핸드셰이크 메시지에 대한 해시값을 서버가 클라이언트로 전송한다.
(7) 메시지 교환(Exchange Message)
세션키를 이용하여 암호화된 메시지를 교환하고 세션키를 이용하여 복호화한다.
위의 SSL 세션 형성과 메시지 교환에 이용되는 공개키, 개인키, 세션키, 서버 인증서 등은 모두 같은 SSL 세션 형성과 메시지 교환에 이용되므로, 서로 연관되어 있다고 표현할 수 있다.
도 2는 본 발명에 의한 모니터링 컴퓨터의 구성도이다.
도 2의 모니터링 컴퓨터는 네트워크 인터페이스(Network Interface), ARP 스푸핑 모듈(ARP Spoofing Module), SSL 트래픽 복호 및 암호화 모듈(SSL traffic Decryption - Encryption Module), SSL 세션 정보 저장부(SSL Sessiom information DB)를 포함한다.
네트워크 인터페이스는 모니터링 컴퓨터가 기업 내부 네트워크와 인터넷 등과 연결되도록 하는 역할을 한다.
ARP 스푸핑 모듈은 모니터링 컴퓨터가 ARP 스푸핑을 할 수 있도록 해 준다.
ARP 스푸핑 기능은 기업 내부 및 외부로 이동하는 트래픽의 흐름을 모티터링 컴퓨터를 거치도록 변경하여, 모니터링 컴퓨터가 암호화된 트래픽을 분석할 수 있도록 해준다.
SSL 세션 정보 저장부는 모니터링 컴퓨터의 SSL 세션 연결과 관련된 정보(공개키, 세션키 등)을 저장하는 역할을 한다.
SSL 트래픽 복호 및 암호화 모듈은 내부 컴퓨터가 전송하는 메시지를 복호화하고 그 메시지를 외부 컴퓨터로 전송하기 전에 다시 암호화하는 역할을 한다.
도 3은 본 발명에 의한 SSL 세션 생성 과정을 나타낸 도면이다.
도 3의 내부 컴퓨터는 외부 컴퓨터로 패킷(데이터 패킷)을 전송하는데, 모니터링 컴퓨터는 그 사이에서 내부 컴퓨터 및 외부 컴퓨터와 SSL 세션을 생성하여 내부 컴퓨터로부터 데이터 패킷을 전달받아 외부 컴퓨터로 데이터 패킷을 전송할 수 있고, 외부 컴퓨터로부터 데이터 패킷을 전달받아 내부 컴퓨터로 데이터 패킷을 전송할 수 있게 된다.
도 3의 내부 컴퓨터, 외부 컴퓨터는 회사 내부의 컴퓨터, 회사 외부의 컴퓨터를 의미한다. 도 3의 내부 컴퓨터는 데이터 전송을 위해 외부 컴퓨터에 SSL 세션 생성을 요청하게 되므로, 도 3의 내부 컴퓨터, 외부 컴퓨터는 도 1의 클라이언트, 서버에 대응한다고 볼 수 있다.
도 3의 (A)에서, 모니터링 컴퓨터는 내부 컴퓨터로부터 SSL 세션 생성 요청을 전달받는다.
도 3의 (B)에서, 모니터링 컴퓨터와 외부 컴퓨터 사이에 새로운 SSL 세션을 생성하기 위해 외부 컴퓨터로 SSL 세션 요청을 하고 그 응답을 받는다.
도 3의 (C)에서, 모니터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성한 후 내부 컴퓨터로 SSL 세션 생성 요청에 대한 응답을 전달한다.
도 3의 (D)에서, 모니터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션이 생성된다.
도 3의 SSL 세션 생성 과정을 거치고 나면, 내부 컴퓨터는 원래 연결하려는 외부 컴퓨터가 아닌 모니터링 컴퓨터와 SSL 세션을 형성하게 된다.
이때, 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성할 때는 외부 컴퓨터가 전송해준 원본 인증서를 이용하여 SSL 세션을 생성하고, 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성할 때는 상기 원본 인증서를 모니터링 컴퓨터가 변경한 모니터링 컴퓨터 변경 인증서를 이용하여 SSL 세션을 생성한다.
원본 인증서는 외부 컴퓨터가 전송해준 인증서로서 공인인증기관(CA)의 서명을 받은 인증서이다.
모니터링 컴퓨터와 내부 컴퓨터 사이의 SSL 세션을 생성하기 위해서는 외부 컴퓨터의 인증서와 외부 컴퓨터의 인증서에 포함된 외부 컴퓨터의 공개키와 대칭이 되는 외부 컴퓨터의 개인키를 보유하고 있어야 하는데, 외부 컴퓨터의 개인키는 오직 외부 컴퓨터만 보유하고 있기 때문에 모니터링 컴퓨터에서 임의로 생성한 개인키와 임의로 생성한 개인키와 대칭이 되는 공개키가 포함된 인증서를 생성하여 SSL 세션을 생성한다. 이때 인증서 식별을 위해 기존 외부 컴퓨터의 인증서(원본 인증서)의 인증서 내용을 복사하고 원본 인증서의 공개키 정보를 임의로 생성한 공개키로 대체한다.
따라서 모니터링 컴퓨터는 원본 인증서를 임의로 생성한 공개키로 변경한 변경 인증서(이하 “모니터링 컴퓨터 변경 인증서”라 함)를 만들고, 이 모니터링 컴퓨터 변경 인증서를 내부 컴퓨터로 전송한다.
이때, 모니터링 컴퓨터 변경 인증서도 사설 CA 등을 통해 서명을 하여 전송할 수 있는데, 사설 CA를 사용하는 이유는 다음과 같다.
SSL 세션이 생성할 때 내부 컴퓨터는 외부 컴퓨터의 인증서에 대한 유효성을 검사한다. 이때 검사하는 내용은 외부 컴퓨터의 인증서의 주체(URL, 도메인 등)와 실제 접속하는 URL이 일치하는지 여부와 인증서를 발급한 공인인증기관(CA)이 신뢰할 수 있는지 여부이다. 이 중 주체에 대한 식별은 외부 컴퓨터의 인증서를 복사하는 과정에서 통과되지만, 공인인증서의 발급자에 대한 신뢰문제는 변경된 인증서를 실제 공인인증기관을 통해 인증받을 수 없기 때문에 해결할 수 없다. 그렇기 때문에 변경된 인증서에 대한 인증을 모니터링 컴퓨터에서 생성한 임의의 사설 CA가 인증을 해주고, 이러한 사설 CA를 내부 컴퓨터의 신뢰할 수 있는 인증기관에 등록하여 모니터링 시스템에서 사용하는 변경된 인증서에 대한 신뢰문제를 해결할 수 있게 된다.
본 발명에서는 사설 CA의 인증을 받은 변경된 인증서와 개인키를 이용하여 내부 컴퓨터와 모니터링 컴퓨터 사이의 SSL 세션을 생성한다. 또한 모니터링 컴퓨터와 생성된 SSL 세션(외부 컴퓨터와의 SSL 세션, 내부 컴퓨터와의 SSL 세션)을 통해 암호화된 패킷을 확인하여 내부 정보 유출이 있는지 검사하고, 내부 정보 유출이 없는 경우 원래 목적지의 SSL 세션을 통해 암호화된 패킷을 전달한다.
따라서 본 발명의 모니터링 컴퓨터는, 내부 컴퓨터로부터 SSL 세션 생성 요청을 전송받은 후 외부 컴퓨터로 SSL 세션 요청을 하고 그 응답을 받아서 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성하고, 내부 컴퓨터로 SSL 세션 생성 요청에 대한 응답을 전송하여 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성한다. 또한, 모티터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성할 때는 외부 컴퓨터가 전송해준 원본 인증서를 이용하여 SSL 세션을 생성하고, 모티터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성할 때는 상기 원본 인증서를 모니터링 컴퓨터가 변경한 모니터링 컴퓨터 변경 인증서를 이용하여 SSL 세션을 생성한다.
또한, 내부 컴퓨터에서 외부 컴퓨터로 패킷을 전달할 때는, 모니터링 컴퓨터가 상기 패킷에 내부 정보가 있는지를 검사한 후 전달하고, 외부 컴퓨터에서 내부 컴퓨터로 패킷을 전달할 때, 내부 정보 유출을 위한 코드(내부 정보 유출을 유도하는 입력화면이 표시되도록 하는 코드, 예를 들면 개인의 주민등록번호가 내부 정보라면, 개인의 주민등록번호 입력을 유도하는 입력 화면이 표시되도록 하는 코드)가 있는지를 검사한 후 전달한다.

Claims (6)

  1. 내부 컴퓨터, 모니터링 컴퓨터, 외부 컴퓨터를 포함하는 내부 정보 유출 모니터링 시스템으로서,
    모니터링 컴퓨터는, 내부 컴퓨터로부터 SSL 세션 생성 요청을 전송받은 후 외부 컴퓨터로 SSL 세션 요청을 하고 그 응답을 받아서 모니터링 컴퓨터와 외부 컴퓨터 사이에 SSL 세션을 생성하고, 내부 컴퓨터로 SSL 세션 생성 요청에 대한 응답을 전송하여 모니터링 컴퓨터와 내부 컴퓨터 사이에 SSL 세션을 생성하고, 내부 컴퓨터에서 외부 컴퓨터로 패킷을 전달할 때, 모니터링 컴퓨터가 상기 패킷에 내부 정보가 있는지를 검사한 후 전달하고, 외부 컴퓨터에서 내부 컴퓨터로 패킷을 전달할 때, 모니터링 컴퓨터가 상기 패킷에 내부 정보 유출을 위한 코드가 있는지를 검사한 후 전달하고,
    모니터링 컴퓨터는 네트워크 인터페이스, ARP 스푸핑 모듈, SSL 세션 정보 저장부, SSL 트래픽 복호 및 암호화 모듈을 포함하고,
    상기 네트워크 인터페이스를 통해 모니터링 컴퓨터가 내부 컴퓨터 및 외부 컴퓨터와 데이터 송수신이 가능하게 되고,
    상기 ARP 스푸핑 모듈은 패킷의 흐름이 모니터링 컴퓨터를 거치도록 변경하고,
    상기 SSL 세션 정보 저장부는 모니터링 컴퓨터 변경 인증서와 연관된 세션키, 원본 인증서와 연관된 공개키를 저장할 수 있고,
    상기 SSL 트래픽 복호 및 암호화 모듈은 모니터링 컴퓨터 변경 인증서와 연관된 세션키로 내부 컴퓨터가 전송한 패킷을 복호화한 후 패킷에 내부 정보가 있는지를 검사하고,
    내부 정보가 없는 경우, 상기 복호화된 패킷을 원본 인증서와 연관된 세션키로 암호화할 수 있고,
    외부 컴퓨터에서 내부 컴퓨터로 패킷을 전달할 때, 원본 인증서와 연관된 세션키로 외부 컴퓨터가 전송한 패킷을 복호화한 후 내부 정보 유출을 위한 코드가 있는지를 검사한 후 전달하고,
    상기 복호화된 패킷을 모니터링 컴퓨터 변경 인증서와 연관된 세션키로 암호화한 후 내부 컴퓨터로 전달하고,
    상기 모니터링 컴퓨터는 원본 인증서를 임의로 생성한 공개키로 변경한 모니터링 컴퓨터 변경 인증서를 만들고, 이 모니터링 컴퓨터 변경 인증서를 사설 CA로 서명한 후 내부 컴퓨터로 전송하고,
    사설 CA의 인증을 받은 변경된 인증서와 개인키를 이용하여 내부 컴퓨터와 모니터링 컴퓨터 사이의 SSL 세션을 생성하는 것을 특징으로 하는 내부 정보 유출 모니터링 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
KR1020160158228A 2016-11-25 2016-11-25 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법 KR101893758B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020160158228A KR101893758B1 (ko) 2016-11-25 2016-11-25 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
US16/463,969 US11153288B2 (en) 2016-11-25 2017-11-17 System and method for monitoring leakage of internal information by analyzing encrypted traffic
PCT/KR2017/013101 WO2018097548A1 (ko) 2016-11-25 2017-11-17 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160158228A KR101893758B1 (ko) 2016-11-25 2016-11-25 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20180059076A KR20180059076A (ko) 2018-06-04
KR101893758B1 true KR101893758B1 (ko) 2018-08-31

Family

ID=62195219

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160158228A KR101893758B1 (ko) 2016-11-25 2016-11-25 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법

Country Status (3)

Country Link
US (1) US11153288B2 (ko)
KR (1) KR101893758B1 (ko)
WO (1) WO2018097548A1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100671044B1 (ko) * 2005-09-21 2007-01-17 유넷시스템주식회사 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법
US20160173488A1 (en) * 2014-12-16 2016-06-16 Fortinet, Inc. Management of certificate authority (ca) certificates

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7900042B2 (en) * 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
US7895652B2 (en) * 2005-01-04 2011-02-22 Trustwave Holdings, Inc. System to enable detecting attacks within encrypted traffic
US8533473B2 (en) * 2005-03-04 2013-09-10 Oracle America, Inc. Method and apparatus for reducing bandwidth usage in secure transactions
US20150054947A1 (en) * 2005-03-16 2015-02-26 Paul J. Dawes Device for data routing in networks
US8782393B1 (en) * 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
WO2011139305A1 (en) * 2010-05-04 2011-11-10 Azuki Systems, Inc. Method and apparatus for carrier controlled dynamic rate adaptation and client playout rate reduction
KR101294280B1 (ko) * 2011-08-31 2013-08-23 (주)소만사 패킷 미러링 방식으로 암호화된 https 통신 데이터를 모니터링하여 개인정보유출을 방지하는 개인정보 유출 방지 시스템 및 방법
KR101275708B1 (ko) 2011-12-20 2013-06-17 (주)소만사 Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법
US10778684B2 (en) * 2017-04-07 2020-09-15 Citrix Systems, Inc. Systems and methods for securely and transparently proxying SAAS applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility
GB2577434B (en) * 2017-06-30 2021-12-08 Motorola Solutions Inc Lifecycle management method and apparatus for trusted certificates and trust chains
US10812269B2 (en) * 2017-11-07 2020-10-20 Arris Enterprises Llc Advanced crypto token authentication

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100671044B1 (ko) * 2005-09-21 2007-01-17 유넷시스템주식회사 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법
US20160173488A1 (en) * 2014-12-16 2016-06-16 Fortinet, Inc. Management of certificate authority (ca) certificates

Also Published As

Publication number Publication date
US20190394178A1 (en) 2019-12-26
US11153288B2 (en) 2021-10-19
KR20180059076A (ko) 2018-06-04
WO2018097548A1 (ko) 2018-05-31

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
US11303616B2 (en) System and method for a multi system trust chain
CN110855671B (zh) 一种可信计算方法和系统
US11849029B2 (en) Method of data transfer, a method of controlling use of data and cryptographic device
US9332002B1 (en) Authenticating and authorizing a user by way of a digital certificate
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
WO2017084273A1 (zh) 客户端与服务器进行握手的方法、装置及系统
US20140281502A1 (en) Method and apparatus for embedding secret information in digital certificates
CN105072125B (zh) 一种http通信系统及方法
US10257171B2 (en) Server public key pinning by URL
CN110933078B (zh) 一种h5未登录用户会话跟踪方法
JP2004509399A (ja) ネットワークにわたって配布されるオブジェクトを保護するためのシステム
JP2012519995A (ja) ネットワーク通信を保護する方法および装置
KR102128244B1 (ko) Ssl/tls 기반의 네트워크 보안 장치 및 방법
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
CN112118242A (zh) 零信任认证系统
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
KR101893758B1 (ko) 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
CN112702170A (zh) 车辆数据的管理方法、管理系统及查看方法、查看终端
CN116015906B (zh) 用于隐私计算的节点授权方法、节点通信方法和装置
US20240121083A1 (en) Secure restoration of private key
CN113656365B (zh) 一种基于区块链的数据共享方法及系统
KR102086739B1 (ko) 보안 소켓 계층 복호화 장치에서 다양한 전자 서명 알고리즘을 지원하기 위한 전자 재서명 방법
CN116015906A (zh) 用于隐私计算的节点授权方法、节点通信方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant