KR101896449B1 - 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 - Google Patents

암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 Download PDF

Info

Publication number
KR101896449B1
KR101896449B1 KR1020170177408A KR20170177408A KR101896449B1 KR 101896449 B1 KR101896449 B1 KR 101896449B1 KR 1020170177408 A KR1020170177408 A KR 1020170177408A KR 20170177408 A KR20170177408 A KR 20170177408A KR 101896449 B1 KR101896449 B1 KR 101896449B1
Authority
KR
South Korea
Prior art keywords
server
message
communication application
access control
access
Prior art date
Application number
KR1020170177408A
Other languages
English (en)
Inventor
김대옥
신호철
구제웅
염창주
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Priority to KR1020170177408A priority Critical patent/KR101896449B1/ko
Application granted granted Critical
Publication of KR101896449B1 publication Critical patent/KR101896449B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

기관의 주요 정보가 적재된 서버의 보안 관리를 위하여, 사용자가 암호화 통신 프로토콜(SSH, SFTP)을 이용하여 서버에 원격으로 접근하고 작업을 수행할 때, 해당 접근에 대하여 보안 정책에 맞도록 통제하고, 추후 감사를 위하여 작업 이력을 적재하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 관한 것으로서, 상기 사용자 단말에 설치되는 네트워크 후킹 드라이버에 의해 상기 통신 어플리케이션의 메시지가 후킹되면, 후킹된 통신 어플리케이션의 메시지를 수신하고, 상기 통신 어플리케이션와 키 분배를 수행하고, 상기 통신 어플리케이션의 후킹된 메시지를 복호화하는 서버 핸들러; 상기 통신 어플리케이션의 서버 접근에 대한 인가 여부를 결정하고, 복호화된 메시지에 대하여 보안 정책에 따라 분석하여 해당 메시지에 대한 인가 여부를 결정하는 보안정책 검사부; 상기 통신 어플리케이션의 서버 접근이 인가되면 상기 서버와 키 분배를 수행하고, 상기 통신 어플리케이션의 해당 메시지가 인가되면, 해당 메시지를 접근통제 시스템의 키로 암호화하여 상기 서버로 전송하는 클라이언트 핸들러를 포함하는 구성을 마련한다.
상기와 같은 접근 통제 시스템에 의하여, 암호화 통신 프로토콜(SSH, SFTP)을 사용하여 원격지의 서버에 접근할 때 암호화된 통신 내용을 복호화하여 보안 감사를 수행하고 통신을 중계함으로써, 파라미터 형태로 실행할 수 없는 원격 접근도 접근 통제를 할 수 있고 이를 통해 편의성을 제고할 뿐만 아니라 보안을 더욱 강화할 수 있다.

Description

암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 { A access control system for security audit and control of server remote access session using encryption communication protocol }
본 발명은 기관의 주요 정보가 적재된 서버의 보안 관리를 위하여, 사용자가 암호화 통신 프로토콜(SSH, SFTP)을 이용하여 서버에 원격으로 접근하고 작업을 수행할 때, 해당 접근에 대하여 보안 정책에 맞도록 통제하고, 추후 감사를 위하여 작업 이력을 적재하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 관한 것이다. 특히, 본 발명은 게이트웨이 방식의 접근통제 방법을 적용한다.
또한, 본 발명은 사용자가 암호화 통신 프로토콜(SSH, SFTP)을 사용하여 원격지의 서버에 접근할 때, 종래의 서버 접근통제 시스템의 경우 암호화된 통신 내용을 중간에서 해독할 수 없어 발생하는 이슈를 해결하고자, 암호화된 통신 내용을 복호화하여 보안 감사를 수행하고 통신을 중계하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 관한 것이다.
일반적으로, 종래기술에 의한 서버 접근통제 시스템은 사용자 단말과 서버 사이에서 보안 감사를 수행한다[특허문헌 1]. 즉, 종래기술에 따른 접근통제 시스템의 논리적인 구성은 도 1에 나타낸 바와 같다.
또한, 도 2에서 보는 바와 같이, 종래기술에 의한 서버 접근통제 시스템은 SSH(secure shell), SFTP(SSH File Transfer Protocol)와 같은 암호화 프로토콜에 대한 보안 기능 수행을 위해, 사용자 단말에서 접근통제 시스템(또는 게이트웨이) 간에 SSH, SFTP통신이 아닌 자체적인 통신을 수행한다. 그리고 접근통제 시스템(또는 게이트웨이)과 서버간에 사용자가 의도한 암호화 프로토콜(SSH, SFTP)로 서버와 통신을 수행한다. 이러한 방식으로 접근통제 시스템은 중간에서 사용자와 서버간 통신 내용을 중간에서 보안 감사를 수행할 수 있으며, 명령어 통제 및 이력을 적재할 수 있다.
구체적으로, 도 3에서 보는 바와 같이, (1) 사용자는 접근통제 전용 클라이언트 앱(Client App.)을 통해서 서버에 접근을 시도하고, (2) 접근통제 클라이언트 앱(Client App.)은 원격 접근을 위해서 미리 정의된 터미널 어플리케이션(Application)의 파라미터(ex: putty ―target_ip=192.168.0.2, -protocol=TELNET, -port=23, …) 값을 변경한다. 그리고 로컬에 존재하는 접근통제 프록시(Proxy) 서버에 텔넷(Telnet) 방식으로 변경하여 접속한다. (3) 접근통제 프록시(Proxy) 서버는 해당 접속을 접근통제 시스템에 자체 프로토콜로 변환하여 전송하고, (4) 접근통제 시스템은 사용자의 접속을 받아들이고, (5) 해당 접속에 대한 보안 인가 여부를 판단한다. 그리고 (6) 실제 서버에 암호화 프로토콜(SSH, SFTP)로 신규 접속 및 통신에 대한 중계를 수행한다.
이러한 방식으로 접근통제 시스템은 사용자와 서버 간의 접근에 대한 메시지 내용을 파악하여 접속 인가 및 작업 시 사용되는 명령어 대한 인가 여부를 판단할 수 있다.
하지만, 상기와 같은 종래 기술에 따른 접근통제 시스템은 다음과 같은 문제점이 있다.
먼저, 파라미터 방식으로 접속 경로를 변경할 수 있는 기능을 지원하여 일부 원격 접근 터미널 어플리케이션(putty, secureCRT,..)으로 한정된다. 또한, 접근통제 전용 클라이언트 앱(Client App.)을 통해서 파라미터를 변경하여 실행해야 하는 한계가 존재한다. 따라서 파라미터 형태로 실행할 수 없는 원격접근 어플리케이션(Eclipse, Ultra Edit,…)의 경우 접근 통제 보안 기능을 수행할 수 없는 문제가 발생한다.
또한, 암호화 프로토콜에 대한 접근통제를 수행하기 위하여, 내부적으로는 보안 기능이 표준화 되지 않고 자체적으로 구현한 프로토콜을 사용하기 때문에, 보안 취약점이 발생된다.
또한, 전용 접근통제 클라이언트 앱(Client App.)을 통해서만 접근할 수 있으므로, 사용자는 새로운 사용 환경을 배워야 하므로, 운영 측면에서 편이성이 매우 떨어진다. 또한, 개발자 환경에서는, 서버에 연결되어 수시로 자료를 업/다운이 가능한 개발 툴(Eclipse, Ultra Edit,..)을 사용해야 하는데, 파라미터 형태로 실행이 불가능하여 접근 통제 기능을 지원할 수 없다. 따라서 이 경우 예외적으로 접근통제 시스템을 경유하지 않고 서버에 직접 접근을 허용해야 한다. 이러한 서버에 직접 접근 허용은 보안에 큰 위협이 되고 있다.
한국등록특허 제10-1143847호(2012.05.10.공고)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 기관의 주요 정보가 적재된 서버의 보안 관리를 위하여, 사용자가 암호화 통신 프로토콜(SSH, SFTP)을 이용하여 서버에 원격으로 접근하고 작업을 수행할 때, 해당 접근에 대하여 보안 정책에 맞도록 통제하고, 추후 감사를 위하여 작업 이력을 적재하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템을 제공하는 것이다.
특히, 본 발명의 목적은 사용자가 암호화 통신 프로토콜(SSH, SFTP)을 사용하여 원격지의 서버에 접근할 때, 종래의 서버 접근통제 시스템의 경우 암호화된 통신 내용을 중간에서 해독할 수 없어 발생하는 이슈를 해결하고자, 암호화된 통신 내용을 복호화하여 보안 감사를 수행하고 통신을 중계하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 사용자 단말과 서버가 네트워크로 연결되고, 상기 사용자 단말에 설치된 통신 어플리케이션과 상기 서버 사이의 게이트웨이로 설치되어 통신을 중계하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 관한 것으로서, 상기 사용자 단말에 설치되는 네트워크 후킹 드라이버에 의해 상기 통신 어플리케이션의 메시지가 후킹되면, 후킹된 통신 어플리케이션의 메시지를 수신하고, 상기 통신 어플리케이션와 키 분배를 수행하고, 상기 통신 어플리케이션의 후킹된 메시지를 복호화하는 서버 핸들러; 상기 통신 어플리케이션의 서버 접근에 대한 인가 여부를 결정하고, 복호화된 메시지에 대하여 보안 정책에 따라 분석하여 해당 메시지에 대한 인가 여부를 결정하는 보안정책 검사부; 상기 통신 어플리케이션의 서버 접근이 인가되면 상기 서버와 키 분배를 수행하고, 상기 통신 어플리케이션의 해당 메시지가 인가되면, 해당 메시지를 접근통제 시스템의 키로 암호화하여 상기 서버로 전송하는 클라이언트 핸들러를 포함하는 것을 특징으로 한다.
또, 본 발명은 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서, 상기 서버 핸들러는 상기 통신 어플리케이션과 분배한 키를 이용하여 상기 통신 어플리케이션의 후킹된 메시지를 복호화하는 것을 특징으로 한다.
또, 본 발명은 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서, 상기 클라이언트 핸들러는 상기 서버와 분배한 키를 이용하여 상기 서버로부터 수신한 암호화된 메시지를 복호화하고, 상기 서버 핸들러는 상기 서버의 복호화된 메시지를, 상기 통신 어플리케이션과 분배한 키로 암호화하여 암호화된 메지시를 상기 통신 어플리케이션로 전송하는 것을 특징으로 한다.
또, 본 발명은 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서, 상기 네트워크 후킹 드라이버는 상기 통신 어플리케이션의 암호화된 메시지를 감지하면, 서버로 전송되는 데이터 패킷의 목적지를 접근통제 시스템으로 변경하여 전송하는 것을 특징으로 한다.
또, 본 발명은 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서, 상기 보안정책 검사부는 모든 통신 내용에 대해 권한 인가 여부를 결정하고, 작업 이력을 적재하는 것을 특징으로 한다.
또, 본 발명은 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서, 상기 시스템은, 사용자 인증을 수행하고, 사용자 인증이 성공하면 상기 사용자 단말에 설치된 네트워크 후킹 드라이버를 실행시키는 인증부를 더 포함하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 의하면, 암호화 통신 프로토콜(SSH, SFTP)을 사용하여 원격지의 서버에 접근할 때 암호화된 통신 내용을 복호화하여 보안 감사를 수행하고 통신을 중계함으로써, 파라미터 형태로 실행할 수 없는 원격 접근도 접근 통제를 할 수 있고 이를 통해 편의성을 제고할 뿐만 아니라 보안을 더욱 강화할 수 있는 효과가 얻어진다.
도 1은 종래기술에 따른 접근통제 시스템의 논리적인 구성을 나타낸 도면.
도 2는 종래기술에 따른 접근통제 시스템의 이상 사용자 탐지를 위한 기능 구성도.
도 3은 종래기술에 따른 접근통제 시스템에 의한 암호화된 프로토콜 접근 통제 과정을 상세히 도식한 도면.
도 4는 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 5는 본 발명의 일실시예에 따른 접근 통제 시스템에 대한 세부 구성도.
도 6은 본 발명의 일실시예에 따른 네트워크 후크 드라이버의 기능 실행을 설명하는 흐름도.
도 7은 본 발명의 일실시예에 따른 키 배분 및 암호화 통신 방법의 기본 원리를 설명하는 흐름도.
도 8은 본 발명의 일실시예에 따른 암호화 통신 접근 통제 방법을 설명하는 흐름도.
도 9는 본 발명의 일실시예에 따라 클라이언트에서 서버로의 암호화 통신 중계 방식을 설명하는 흐름도.
도 10은 본 발명의 일실시예에 따라 서버에서 클라이언트로의 암호화 통신 중계 방식을 설명하는 흐름도.
도 11은 본 발명의 일실시예에 따른 접근통제 클라이언트의 예시 화면과, 통신 어플리케이션의 예시 화면.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성의 예들에 대하여 도 4를 참조하여 설명한다.
도 4에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 사용자 단말(10)에 설치되는 통신 어플리케이션(20), 네트워크 후킹 드라이버(50), 접근통제 클라이언트(60), 서버(40), 및, 통신 어플리케이션(20)과 서버(40) 사이에서 게이트웨이 역할을 하는 접근통제 게이트웨이(30)로 구성된다. 또한, 사용자 단말(10)과 서버(40)는 네트워크(미도시)를 통해 연결된다.
사용자 단말(10)은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC 등이다. 또한, 사용자 단말(10)은 네트워크(미도시)를 통해 서버(40)에 연결할 수 있는 네트워크 기능을 보유한다. 또한, 사용자 단말(10)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다.
다음으로, 통신 어플리케이션(20)는 사용자 단말(10)에 설치되는 프로그램 시스템으로서, 서버(40)에 접속하기 위한 통신 어플리케이션, 터미널 어플리케이션이다. 즉, 클라이언트는 통신을 하기 위한 통신 프로토콜 기능을 구비한다. 특히, 통신 어플리케이션(20)는 SSH(secure shell), SFTP(SSH File Transfer Protocol) 등 암호화 프로토콜을 통해 서버(40)에 접속하고 통신을 수행한다. 예를들어, 통신 어플리케이션(20)는 원격접속 프로토콜인 텔넷(TELNET)을 이용하기 위하여, SSH(secure shell)의 암호화 프로토콜에 의한 쉘(Shell)을 통해 작업을 수행한다. 또한, 통신 어플리케이션(20)은 파일 전송을 위한 FTP를 사용하기 위하여, SSH(secure shell) 기반인 SFTP(SSH File Transfer Protocol)의 암호화 프로토콜을 사용한다.
다시 말하면, 통신 어플리케이션(20)은 사용자가 서버(40)에 원격 접근하기 위한 다양한 터미널 툴을 의미한다. 종래기술에 따른 접근통제 방식에서는 파라메터 형식을 지원하는 몇가지 툴(putty, securecrt, xshell,..)만 지원할 수 있으나, 본 발명에서는 사용자가 사용하는 어떠한 툴도 지원이 가능하다.
특히, 통신 어플리케이션(20)는 통신을 수행하는 사용자 레벨의 어플리케이션이고, 통신을 위한 시스템콜(system call)을 운영체제(또는 운영 시스템)에 요청하면, 사용자 단말(10)의 운영체제는 해당 시스템콜 요청을 처리하는데 이때, 네트워크 드라이버를 통해 네트워크에 접속한다. 즉, 통신 어플리케이션(20)은 시스템 레벨의 네트워크 드라이버를 통해 네트워크에 접속하여 통신을 수행한다. 따라서 통신 어플리케이션(20)이 송수신하는 모든 데이터 또는 데이터 패킷은 네트워크 드라이버(미도시)를 거쳐 처리된다(송수신 된다).
통신 어플리케이션(20)은 다양한 벤더(Vendor)에서 제작되고 무수히 많은 종류가 존재한다. 본 발명에 의하면, 어떠한 통신 어플리케이션(20)을 사용하더라도, 네트워크 후킹 드라이버(50)와 접근통제 게이트웨이(30)를 통해서 SSH 와 SFTP 통신을 수행한다. 따라서 서버에 접근하는 통신에 대한 보안 관리를 수행할 수 있다.
다음으로, 서버(40)는 사용자 단말(10) 또는 통신 어플리케이션(20)으로부터 네트워크(미도시)를 통해 접속 요청을 받고, 요청에 따라 접속을 허용하여 통신을 수행시켜준다. 이때, 바람직하게는, 서버(40)는 SSH(secure shell), SFTP(SSH File Transfer Protocol) 등 암호화 프로토콜을 통해, 통신 어플리케이션(20)과 암호화 통신을 수행한다.
또한, 서버(40)는 암호화 프로토콜을 이용하여, 통신 어플리케이션(20)으로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 통신 어플리케이션(20)에 전송한다. 이때, 통신 어플리케이션(20)과, 서버(40) 사이에는 세션이 형성되고, 세션 내에서 접속 요청 또는 메시지, 결과내용 등이 암호화 프로토콜을 통해 데이터 패킷으로 송수신된다.
한편, 위에서 설명된 서버(40)와 통신 어플리케이션(20)과의 통신은 직접 연결되어 처리되지 않고, 접근통제 게이트(30)를 통해 연결된다. 즉, 통신 어플리케이션(20)의 요청 메시지는 접근통제 게이트웨이(30)를 통해 서버(40)로 전달되고, 또한, 서버(40)의 응답 메시지도 접근통제 게이트웨이(30)를 통해 통신 어플리케이션(20)에 전달된다.
한편, 바람직하게는, 서버(40)는 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(10) 또는 통신 어플리케이션(20)은 직접 서버(50)에 접근할 수 없고 반드시 접근통제 게이트웨이(30)를 통해서만 서버(40)에 접근할 수 있다.
다음으로, 네트워크 후킹 드라이버(50)는 사용자 단말(10)에 설치되는 프로그램 시스템으로서, 네트워크 드라이버(미도시)를 후킹하는 시스템이다. 특히, 통신 어플리케이션(20)에서 송수신되는 통신 데이터들은 네트워크 드라이버를 통해 송수신되므로, 네트워크 후킹 드라이버(50)는 통신 어플리케이션(20)에서 송수신되는 통신 데이터들을 모두 후킹할 수 있다.
구체적으로, 네트워크 드라이버(미도시)는 사용자 단말(10)의 운영체제(OS)의 시스템 프로그램으로서, 사용자 프로그램에서 요청되는 네트워크 관련 시스템콜을 처리한다. 즉, 네트워크 드라이버(미도시)는 서버(40)와 통신을 수행해주는 시스템 프로그램으로서, 서버(40)와 세션을 설정하고, 전송할 데이터를 데이터 패킷으로 만들어 서버(40)에 전송하고, 수신한 데이터 패킷을 데이터로 복원한다. 즉, 네트워크를 이용하는 모든 사용자 프로그램은 시스템 프로그램인 네트워크 드라이버(미도시)를 통해, 데이터 패킷 차원으로 데이터를 송수신한다.
네트워크 후킹 드라이버(50)는 네트워크 드라이버(미도시)를 중간에서 후킹하여, 통신 어플리케이션(20)에서 전송할 패킷을 검사한다. 데이터 패킷을 검사하여 사전에 정해진 조건에 맞는 경우, 해당 데이터 패킷을 접근통제 게이트웨이(30)로 패킷의 목적지를 변경한다. 즉, 네트워크 후킹 드라이버(50)는 보안 관리가 필요한 서버(40)에 접근하는 데이터 패킷인 경우, 해당 데이터 패킷의 목적지를 변경함으로써, 직접 서버(40)로 전송하지 않고 접근통제 게이트웨이(30)로 우회시킨다.
다시 말하면, 네트워크 후킹 드라이버(50)는 네트워크의 모든 통신을 감청하고, 관리 대상인 서버(40)에 원격 접근하는 SSH 패킷을 감지한다. 감지된 SSH 패킷을 접근통제 게이트웨이(30)로 우회시킨다.
다음으로, 접근통제 클라이언트(60)는 사용자 단말(10)에 설치되는 프로그램(또는 어플리케이션)으로서, 접근통제 게이트웨이(30)에 대한 접근을 위해 사용자 인증을 수행하고, 사용자가 접근할 수 있는 서버(40)에 대한 정보를 사용자에게 제공해준다.
구체적으로, 사용자는 접근통제 클라이언트(60)를 실행하여 접근통제 게이트웨이(30)로부터 사용자 인증을 받는다. 사용자 인증 후, 접근통제 클라이언트(60)는 접근통제 게이트웨이(30)를 경유하여 접근 가능한 서버 정보를 전달받는다.
또한, 사용자 인증이 되면, 접근통제 클라이언트(60)는 접근 가능한 서버 정보와 함께, 네트워크 후킹 드라이버(50)를 실행시켜준다. 앞서 설명한 바와 같이, 네트워크 후킹 드라이버(50)가 실행되어 구동되면, 사용자에게 권한이 할당된 서버(40)에 원격 접근 패킷을 전송하려는 것을 감지하고, 접근통제 게이트웨이(30)로 패킷의 경로를 바꿔 전송하게 시킨다. 그러면 접근통제 게이트웨이(30)는 실제 서버(40)와 원격 접근하여 통신을 중계한다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.
다음으로, 접근통제 게이트웨이(30)는 사용자 단말(10) 또는 통신 어플리케이션(20)과 서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 통신 어플리케이션(20)과 서버(40) 사이를 모니터링하여 중계하거나 차단한다. 이때, 접근통제 게이트웨이(30)는 암호화 통신의 내용(또는 메시지)을 복호화 하여 전송되는 메시지를 분석하고 보안 정책에 따라 인가 여부 등을 결정한다.
즉, 접근통제 게이트웨이(30)는 사용자 단말(10)로부터 수신되는 메시지(또는 데이터 패킷)을 수신하여 서버(40)에 전달하고, 서버(40)로부터 결과(또는 데이터 패킷)를 수신하여 사용자 단말(10)로 전달한다.
이때, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)으로부터 수신되는 메시지를 복호화하여 분석하고, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 즉, 사전에 정해진 보안 정책에 따라, 해당 메시지를 서버(40)에 전송하거나 차단하는 등 모니터링하고, 통신 내용을 기록하고 저장한다.
바람직하게는, 접근통제 게이트웨이(30)는 복호화 된 메시지를 기반으로 사용자 권한별 보안 정책에 따라 인가 여부를 결정하고, 인가된 사용 요청일 경우 실제 서버에 신규로 암호화 통신을 연결하고, 사용자 단말과의 통신을 중계한다.
다음으로, 본 발명의 일실시예에 따른 접근통제 게이트웨이(30)의 세부 구성에 대하여 도 5를 참조하여 보다 구체적으로 설명한다.
앞서 설명한 바와 같이, 본 발명은 사용자 단말(10)의 통신 어플리케이션(20)에서 사용되는 원격 접근 툴의 제약없이 서버(40)에 원격 접근하려는 기술이다. 즉, 서버(40)에 원격 접근하려는 암호화 통신을 접근통제 게이트웨이(30)로 우회시킨다. 이때, 접근통제 게이트웨이(30)는 대상 서버(40)와의 통신을 중계함과 동시에 통신 내용을 해독하여, 사용자의 권한별 서버에 사용하는 명령어에 대한 인허가와 작업 전체 내역을 저장할 수 있도록 구성된다.
구체적으로, 사용자 단말에서 원격 접근 터미널 어플리케이션 등 통신 어플리케이션(20)을 통해 서버(30)에 접근하려고 시도하면, 앞서 네트워크 후킹 드라이버(50)가 네트워크의 모든 통신을 감청하여 관리대상인 서버(30)에 원격접근하는 SSH 패킷을 감지한다. 그리고 감지된 SSH 패킷을 접근통제 게이트웨이(30)로 우회하도록 패킷의 목적지를 변경한다. 그러면 접근통제 게이트웨이(30)에서, 원격 접근 터미널 앱(App.) 등 통신 어플리케이션(20)의 제약 및 작업 패턴의 변경 없이 접근통제 보안 기능이 수행된다.
이를 위해, 본 발명에 따른 접근통제 게이트웨이(30)는 접근통제에 대한 사용자 인증을 수행하는 인증부(31), 통신 어플리케이션(20)에 대하여 서버 역할을 가장하여 수행하는 서버 핸들러(32), 송수신되는 데이터를 검사하는 보안정책 검사부(33), 및, 서버(40)에 대하여 클라이언트 역할을 수행하는 클라이언트 핸들러(34)로 구성된다.
먼저, 인증부(31)는 사용자 단말(10)의 접근통제 클라이언트(60)와 데이터 송수신을 하고, 사용자 인증을 수행한다. 그리고 사용자 인증이 성공하면, 해당 사용자가 통신할 수 있는 서버(40) 정보(또는 서버 목록, 연결주소 등)를 접근통제 클라이언트(60)에 전송한다.
이때 사용자에 대한 서버(40)에서의 인증은 서버 정책(ID/PWD, SSH 인증서 기반)에 따라 별도로 수행된다. 즉, 접근통제 게이트웨이(30)에서 인증이 되었더라도, 각 서버(40)에서 사용자 인증을 별도로 처리한다는 것을 의미한다. 접근통제 게이트웨이(30)에서 사용자 인증을 수행하는 이유는 해당 사용자가 서버에 접근 시, 사용자 접근권한 유무에 따라 접속 중계 여부를 판단하기 위한 것이다.
다시 말하면, 사용자는 접근통제 게이트웨이 인증을 통해서 자신이 접근 가능한 서버 리스트를 전송받고, 자신이 권한을 갖은 서버에 접근할 때 접근통제 게이트웨이가 접속을 중계한다. 이때 서버 별로 설정된 인증 정책에 의하여 사용자는 적절한 인증(ID/PWD)을 수행하여야, 각 서버에 접속할 수 있다.
다음으로, 서버 핸들러(32)는 네트워크 후킹 드라이버(50)로부터 전송된 암호화 통신을 수신한다. 서버 핸들러(32)는 보안 정책 감사를 위해, 실제 통신 어플리케이션(20)이 접근을 시도한 서버(30)인 것처럼 위장한다. 이를 위해 서버 핸들러(32)는 통신 어플리케이션(20)과의 암호화 통신을 위한 키 분배를 가장하여 수행한다.
또한, 서버 핸들러(32)는 서버(40)로부터 수신하여 복호화한 메시지를 분배된 키로 암호화하여 통신 어플리케이션(20)으로 전송한다. 즉, 서버 핸들러(32)는 분배된 키를 이용하여, 통신 어플리케이션(20)으로부터 암호화 통신의 내용을 수신하여 복호화 하고, 서버(30)로부터 수신된 메시지를 암호화하여 통신 어플리케이션(20)에 전송한다.
다음으로, 보안정책 검사부(33)는 복호화 된 메시지를 기반으로 사용자 권한별 보안 정책에 따라 인가 여부를 결정한다. 즉, 앞서 서버 핸들러(32)에 의해 통신 어플리케이션(20)으로부터 수신한 암호화 통신 내용을 복호화하면, 보안정책 검사부(33)는 복호화된 데이터 또는 복호화된 메시지를 보안 정책에 따라 분석한다. 분석결과에 따라 허용되는 메시지는 서버(40)로 중계하고, 그렇지 않은 경우, 차단하거나 관리자에게 알람을 알린다.
다음으로, 클라이언트 핸들러(34)는 서버(40)에 대하여 통신 어플리케이션(20)을 가장한다. 즉, 서버(40)는 통신 어플리케이션(20)가 아닌 클라이언트 핸들러(34)와 암호화 통신을 직접적으로 수행한다.
이를 위해, 클라이언트 핸들러(34)는 인가된 사용 요청일 경우 실제 서버(40)에 신규로 암호화 통신을 연결하고, 통신 어플리케이션(20)과의 통신을 중계한다. 따라서 서버(40)는 클라이언트 핸들러(34)와 키 분배를 하고, 키를 통해 암호화 통신을 수행한다. 즉, 클라이언트 핸들러(34)는 분배된 키를 이용하여 서버(30)로부터 수신한 메시지를 복호화한다. 복호화된 메시지는 서버 핸들러(34)에 의해 암호화되어 통신 어플리케이션(20)으로 전송된다.
상기와 같은 복호화 된 통신 메시지는 모두 저장되어, 추후 감사 자료로 활용할 수 있도록 한다.
다음으로, 본 발명의 일실시예에 따른 네트워크 후킹 드라이버(50)에 대하여 도 6을 참조하여 보다 구체적으로 설명한다.
도 6에서 보는 바와 같이, 먼저, 사용자 식별을 위해 접근통제 클라이언트(60)를 통해 로그온을 수행한다(1).
다음으로, 접근통제 클라이언트(60)는 사용자에게 할당된 접근 가능한 서버의 정보(IP Address, Protocol)를 요청한다(2).
다음으로, 접근통제 게이트웨이(30)는 사용자에 접근 권한이 할당된 서버 정보를 반환한다(3).
다음으로, 접근통제 클라이언트(60)는 반환된 서버 정보와 함께 네트워크 후킹 드라이버(50)를 실행하여, 서버(40)를 접근하는 암호화 통신에 대한 감시를 수행하도록 한다(4).
다음으로, 사용자 또는 통신 어플리케이션(20)이 서버(30)에 접근을 시도할 때, 네트워크 후킹 드라이버(50)는 해당 패킷을 가로채어, 접근통제 게이트웨이(30)로 경로를 우회하도록 패킷을 변조하여 전달한다. 이를 통해, 접근통제 보안 기능을 수행할 수 있도록 한다(5).
단말(10)의 사용자가 서버(40)에 접근 시 어떠한 통신 어플리케이션(20)을 사용하더라도, 네트워크 패킷 관점에서는 목적지 IP주소와 TCP 포트번호를 기준으로 패킷이 전송된다. 따라서 네트워크 후킹 드라이버(50)는 사용자 단말(10)에서 발생되는 모든 패킷의 목적지 IP주소와 TCP 포트번호를 모니터링 하며, 사용자에게 권한 할당된 서버의 IP주소와 TCP 포트번호로 패킷이 전송될 경우 해당 패킷의 목적지 IP주소를 접근통제 게이트웨이(30)로 변경하여 전송한다.
네트워크 후킹 드라이버(50)가 상기한 역할을 수행하지 않으면, 사용자 단말(10)에서 서버(40)에 직접 접근하는 패킷은 방화벽에 의해 차단된다. 즉, 게이트웨이 방식의 접근통제 구축 시 요구되는 방화벽 정책(서버에 접근 가능한 경로는 게이트웨이로 한정함)에 의하여 차단된다.
도 11a는 접근통제 클라이언트의 화면을 예시하고 있고, 도 11b는 통신 어플리케이션의 화면을 예시하고 있다.
다음으로, 본 발명에서 사용되는 접근통제 게이트웨이(30)의 키 배분과 암호화 통신 방법의 기본 원리에 대하여 도 7을 참조하여 보다 구체적으로 설명한다.
접근통제 게이트웨이(30)는 통신 어플리케이션(20)과 서버(40) 간의 통신에 대한 보안을 위해, 중간에 위치한다. 그래서 접근통제 게이트웨이(30)는 클라이언트 입장에서는 통신 서버(SSH Server) 역할을 수행하고, 서버 입장에서는 통신 클라이언트(SSH Client) 역할을 수행한다. 그래서 접근통제 게이트웨이(30)는 모든 통신 내용에 대해 권한 인가 여부를 결정하고, 작업 이력을 적재할 수 있다.
도 7a에서 보는 바와 같이, 먼저, 통신 어플리케이션(20)는 서버(40)에게 자신의 공개키(C.pub)와 함께 서버(40)의 공개키(S.pub)를 요청한다(S110).
다음으로, 네트워크 후킹 드라이버(50)는 키 전송 및 서버 키 요청의 메시지를 후킹하고(S121), 후킹된 메시지는 접근통제 게이트웨이(30)로 전송된다(S121). 접근통제 게이트웨이(30)는 후킹한 메시지에서 클라이언트의 공개키(C.pub)를 저장한다(S122).
다음으로, 접근통제 게이트웨이(30)는 자신의 공개키(G.pub)와 함께 서버(40)의 공개키(S.pub)를 서버(40)에 요청한다(S131). 서버(40)는 수신한 공개키(G.pub), 즉, 게이트웨이의 공개키를 수신하여 저장한다(S132).
다음으로, 서버(40)는 자신의 공개키(S.pub)를 접근통제 게이트웨이(30)에 전송한다(S141). 접근통제 게이트웨이(30)는 서버의 공개키(S.pub)를 수신하여 저장한다(S142).
그리고 접근통제 게이트웨이(30)는 자신의 공개키(G.pub)를 통신 어플리케이션(20)으로 전송하면(S151), 통신 어플리케이션(20)는 게이트웨이의 공개키(G.pub)를 서버(40)의 공개키로 알고 저장한다(S152).
상기와 같은 방법으로, 통신 어플리케이션(20)과 서버(40)는 공개키를 서로 배분하여 저장한다. 이때, 통신 어플리케이션(20)과 서버(40)는 모두 접근통제 게이트웨이(30)의 공개키를 서로 상대방의 공개키인 것으로 착각하여 저장한다. 그리고 접근통제 게이트웨이(30)는 통신 어플리케이션(20)과 서버(40)의 공개키를 모두 가지고 저장해둔다.
이하에서는 상기와 같이 배분된 공개키를 이용하여 실제 암호화 메시지를 송수신하는 방법을 설명한다.
도 7b에서 보는 바와 같이, 통신 어플리케이션(20)는 저장된 게이트웨이의 공개키(G.pub)로 메시지를 암호화하여 암호문을 생성하고 이를 전송한다(S210). 이때, 클라이언트는 게이트웨이의 공개키(G.pub)를 서버(40)의 공개키로 착각하고 있다.
다음으로, 네트워크 후킹 드라이버(50)는 전송된 암호문을 후킹하여 접근통제 게이트웨이(30)로 전송한다(S221). 접근통제 게이트웨이(30)는 후킹된 암호문을 자신의 개인키(G.pri)로 복호화한다(S222). 접근통제 게이트웨이(30)는 복호화된 메시지를 대상으로 접근통제를 수행할 수 있다.
다음으로, 접근통제 게이트웨이(30)는 복호화된 메시지를 서버의 공개키(S.pub)로 암호화하여 암호문을 생성하고(S231), 생성된 암호문을 서버(40)로 전송한다(S232).
다음으로, 서버(40)는 암호문(S.pub)을 수신하고, 암호문을 자신의 개인키(S.pri)로 복호화한다. 서버(40)는 복호화된 메시지에 따라 작업을 수행해준다.
다음으로, 서버(40)는 수행 결과나 메시지의 요청에 따른 결과를 메시지로 작성하고, 작성된 메시지를 게이트웨이의 공개키(G.pub)로 암호화하여 암호문을 생성한다(S251). 생성된 암호문은 접근통제 게이트웨이(30)로 전송된다. 접근통제 게이트웨이(30)는 서버(40)로부터 수신한 암호문을 자신의 개인키(G.pri)로 복호화한다(S252).
다음으로, 접근통제 게이트웨이(30)는 복호화된 메시지를 클라이언트의 공개키(C.pub)로 암호화하여 암호문을 생성하고(S261), 생성된 암호문을 통신 어플리케이션(20)으로 전송한다(S262).
다음으로, 통신 어플리케이션(20)는 암호문(C.pub)을 수신하고, 암호문을 자신의 개인키(C.pri)로 복호화한다.
앞서 설명은 공개키 기반으로 설명하고 있으나, 비밀키 등 대칭키 기반으로 암호화 통신하는 경우에도 위와 같은 방식으로 적용될 수 있다. 또한, SSH 통신 프로토콜에서 사용하는 암호화 알고리즘을 이용하여 상기와 같은 방식으로, 게이트웨이(30)에서 키를 분배하고 암호화 또는 복호화를 수행한다.
다음으로, 본 발명의 일실시예에 따른 접근통제 시스템에 의한 암호화 통신의 접근 통제를 도 8을 참조하여 설명한다.
도 8에서 보는 바와 같이, 먼저, 접근통제 클라이언트(30)를 통해 로그온 한다(1).
다음으로, 접근통제 클라이언트(30)은 사용자가 접근할 수 있는 서버 정보와 함께, 네트워크 후킹 드라이버(50)를 실행하여 패킷을 감시한다(2).
다음으로, 사용자가 통신 어플리케이션(20)을 통해 서버 접근을 시도하면(3), 네트워크 후킹 드라이버(50)는 암호화 통신을 감지하고, 접근통제 게이트웨이(30)로 패킷의 목적지를 변경하여 전송한다(4).
다음으로, 접근통제 게이트웨이(30)는 요청 받은 접근 세션에 대해서 암호화 협상을 수행하고, 서로간의 비밀키 협상을 완료한다(5).
다음으로, 접근통제 게이트웨이(30)는 해당 사용자가 서버(40)에 접근 권한이 존재하는지 보안 정책 검사를 수행한다(6).
다음으로, 접근통제 게이트웨이(30)는 권한이 존재할 경우 서버(40)에 접근을 내부적으로 요청한다(7).
다음으로, 접근통제 게이트웨이(30)는 서버(40)에 신규로 암호화 통신을 수립하여(즉, 암호화 세션을 형성하여), 패킷을 중계 및 보안 검사를 수행한다(8).
다음으로, 본 발명의 일실시예에 따라 통신 어플리케이션(20)에서 서버(40)로의 암호화 통신을 중계하는 과정을 도 9를 참조하여 설명한다.
도 9에서 보는 바와 같이, 사용자 단말(10) 또는 통신 어플리케이션(20)에서 접근통제 게이트웨이(30)로 전달되는 암호화 패킷은 암호화 협상에서 확보한 통신 어플리케이션(20)과 접근통제 게이트웨이(30)의 서버 핸들러(32)에서의 세션의 암호화 비밀 키를 이용하여 복호화 된다.
그리고, MAC(Message Authentication Code) 검증(Verification)을 통해서 패킷을 인증한 후 해당 메시지의 코드를 확인한다. 그래서 데이터(Data)일 경우 접근 보안을 위하여, 보안 정책을 확인한다.
보안 정책은 사용자가 사용할 수 없는 위험한 명령어의 통제, 및 사용한 명령어에 대한 이력을 저장한다. 보안 정책 모듈을 통과하면 해당 메시지는 클라이언트 핸들러(34)에 의하여 재조립되고 서버(40)에 그대로 전송된다.
다음으로, 본 발명의 일실시예에 따라 서버(40)에서 통신 어플리케이션(20)으로의 암호화 통신을 중계하는 과정을 도 10을 참조하여 설명한다.
도 10에서 보는 바와 같이, 서버(40)에서 접근통제 게이트웨이(30)로 전달되는 암호화 패킷은 상술한 방식과 동일하게 세션의 비밀키로 복호화 되고, 데이터(Data)의 경우 보안 정책을 확인한다.
보안 정책은 사용자의 권한에 따라 허가되지 않은 개인정보와 같은 내용을 통제할 수 있으며, 사용자 단말(10) 또는 통신 어플리케이션(20)에 전송되는 모든 데이터를 추후 감사를 위해서 저장한다.
보안 정책이 통과되면, 해당 메시지는 서버 핸들러(32)에 의해 패킷이 재 조립되고 통신 어플리케이션(20)에 전송된다. 단, 보안 정책에 위배될 경우 접근통제 게이트웨이(30)는 정의된 정책에 의거하여, 패킷을 전달하지 않고 경고 메시지를 전송 또는 해당 세션을 차단하는 등의 조치를 자동으로 수행한다.
다음으로, 본 발명의 효과를 보다 구체적으로 설명한다.
국내외 개인정보 유출 및, 기관의 중요한 정보와 서비스 파괴 공격 등의 방어를 위해, 서버 접근을 사용자 권한 별로 중앙 통제한다. 또한, 보안 사고의 위험이 내포된 명령어를 차단하기 위해서 서버 접근통제 시스템을 도입하여 운영하고 있다.
그러나 종래에는 암호화 통신인 SSH, SFTP 프로토콜을 이용하여 서버에 접근하는 경우, 접근통제 시스템이 중간에서 암호화된 세션의 메시지를 해독할 수 없다. 따라서 이로 인해 완벽한 통제가 불가능하다. 이를 해결하기 위하여, 사용자 단말에서 파라미터 형식으로 프로토콜을 변형 가능한 터미널 툴만 사용하도록 강제하고 있다. 그러나 이러한 해결 방안은 실제 사용하는 다양한 원격 접속 툴을 지원하지 못한다. 결국, 종래기술에 의하면, 접근통제 기능을 적용하지 못하고 있는 실정이다.
또한, 일부 기술은 암호화 통신의 접속 시작과 종료에 대해서만 기록한다. 또한, 암호화 통신 내용은 복호화하지 못하여, 명령어에 대한 통제를 수행하지 못하고 있다. 이러한 보안 구성은 보안에 심각한 우려가 되고 있다.
그런데 본 발명이 접근통제 시스템에 적용될 경우, 실제 사용자들이 사용하는 모든 접속 툴의 암호화 통신에 대한 모든 메시지가 중간에서 해독 가능하다. 따라서, 명령어 사용에 대한 인가 여부까지 확인 및 적재가 가능하여 강력한 보안 기능을 제공할 수 있다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 사용자 단말 20 : 통신 어플리케이션
30 : 접근통제 시스템 31 : 인증부
32 : 서버 핸들러 33 : 보안정책 검사부
34 : 클라이언트 핸들러
40 : 서버 50 : 네트워크 후킹 드라이버
60 : 접근통제 클라이언트

Claims (6)

  1. 사용자 단말과 서버가 네트워크로 연결되고, 상기 사용자 단말에 설치된 통신 어플리케이션과 상기 서버 사이의 게이트웨이로 설치되어 통신을 중계하는, 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템에 있어서,
    상기 사용자 단말에 설치되는 네트워크 후킹 드라이버에 의해 상기 통신 어플리케이션의 메시지가 후킹되면, 후킹된 통신 어플리케이션의 메시지를 수신하고, 상기 통신 어플리케이션와 키 분배를 수행하고, 상기 통신 어플리케이션의 후킹된 메시지를 복호화하는 서버 핸들러;
    상기 통신 어플리케이션의 서버 접근에 대한 인가 여부를 결정하고, 복호화된 메시지에 대하여 보안 정책에 따라 분석하여 해당 메시지에 대한 인가 여부를 결정하는 보안정책 검사부;
    상기 통신 어플리케이션의 서버 접근이 인가되면 상기 서버와 키 분배를 수행하고, 상기 통신 어플리케이션의 해당 메시지가 인가되면, 해당 메시지를 접근통제 시스템의 키로 암호화하여 상기 서버로 전송하는 클라이언트 핸들러; 및,
    사용자 인증(이하 게이트웨이에 대한 사용자 인증)을 수행하고, 사용자 인증이 성공하면 상기 사용자 단말에 설치된 네트워크 후킹 드라이버를 실행시키는 인증부를 포함하고,
    상기 인증부는 게이트웨이에 대한 사용자 인증이 성공하면, 해당 사용자가 통신할 수 있는 서버 정보를 상기 사용자 단말로 전송하고,
    각 서버에 대한 사용자 인증은 각 서버에서 별도로 처리되고,
    상기 통신 어플리케이션은 SSH(secure shell) 프로토콜을 통해 서버에 접속하고 통신을 수행하고,
    상기 서버에는 방화벽이 설치되어, 상기 접근통제 시스템을 통해서만 접근하도록 통제되는 것을 특징으로 하는 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템.
  2. 제1항에 있어서,
    상기 서버 핸들러는 상기 통신 어플리케이션과 분배한 키를 이용하여 상기 통신 어플리케이션의 후킹된 메시지를 복호화하는 것을 특징으로 하는 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템.
  3. 제2항에 있어서,
    상기 클라이언트 핸들러는 상기 서버와 분배한 키를 이용하여 상기 서버로부터 수신한 암호화된 메시지를 복호화하고,
    상기 서버 핸들러는 상기 서버의 복호화된 메시지를, 상기 통신 어플리케이션과 분배한 키로 암호화하여 암호화된 메지시를 상기 통신 어플리케이션로 전송하는 것을 특징으로 하는 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템.
  4. 제1항에 있어서,
    상기 네트워크 후킹 드라이버는 상기 통신 어플리케이션의 암호화된 메시지를 감지하면, 서버로 전송되는 데이터 패킷의 목적지를 접근통제 시스템으로 변경하여 전송하는 것을 특징으로 하는 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템.
  5. 제1항에 있어서,
    상기 보안정책 검사부는 모든 통신 내용에 대해 권한 인가 여부를 결정하고, 작업 이력을 적재하는 것을 특징으로 하는 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템.
  6. 삭제
KR1020170177408A 2017-12-21 2017-12-21 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 KR101896449B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170177408A KR101896449B1 (ko) 2017-12-21 2017-12-21 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170177408A KR101896449B1 (ko) 2017-12-21 2017-12-21 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템

Publications (1)

Publication Number Publication Date
KR101896449B1 true KR101896449B1 (ko) 2018-09-07

Family

ID=63595113

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170177408A KR101896449B1 (ko) 2017-12-21 2017-12-21 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템

Country Status (1)

Country Link
KR (1) KR101896449B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101992976B1 (ko) 2019-01-25 2019-06-26 주식회사 넷앤드 Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
KR101992972B1 (ko) * 2018-11-20 2019-06-26 주식회사 넷앤드 서버 원격접근의 세션 공유 기반 위험 명령어의 안전 접근통제 시스템
CN114826644A (zh) * 2022-02-15 2022-07-29 杭州瑞网广通信息技术有限公司 一种数据保护加密管理系统
KR20230084926A (ko) * 2021-12-06 2023-06-13 ㈜더프라이밍 건조기 컨트롤러

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070121476A (ko) * 2006-06-22 2007-12-27 (주) 마이빌넷 인터넷 네트워크에서 서버와 클라이언트의 데이터를중개하는 보안 연결 매개 시스템 및 방법
KR20090098542A (ko) * 2008-03-14 2009-09-17 주식회사 엑스큐어넷 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법
KR101143847B1 (ko) 2005-04-14 2012-05-10 (주) 모두스원 네트워크 보안장치 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101143847B1 (ko) 2005-04-14 2012-05-10 (주) 모두스원 네트워크 보안장치 및 그 방법
KR20070121476A (ko) * 2006-06-22 2007-12-27 (주) 마이빌넷 인터넷 네트워크에서 서버와 클라이언트의 데이터를중개하는 보안 연결 매개 시스템 및 방법
KR20090098542A (ko) * 2008-03-14 2009-09-17 주식회사 엑스큐어넷 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101992972B1 (ko) * 2018-11-20 2019-06-26 주식회사 넷앤드 서버 원격접근의 세션 공유 기반 위험 명령어의 안전 접근통제 시스템
KR101992976B1 (ko) 2019-01-25 2019-06-26 주식회사 넷앤드 Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
KR20230084926A (ko) * 2021-12-06 2023-06-13 ㈜더프라이밍 건조기 컨트롤러
KR102549872B1 (ko) 2021-12-06 2023-07-05 (주)더프라이밍 건조기 컨트롤러
CN114826644A (zh) * 2022-02-15 2022-07-29 杭州瑞网广通信息技术有限公司 一种数据保护加密管理系统

Similar Documents

Publication Publication Date Title
US10341321B2 (en) System and method for policy based adaptive application capability management and device attestation
US10824736B2 (en) Industrial security agent platform
US10652745B2 (en) System and method for filtering access points presented to a user and locking onto an access point
KR101896449B1 (ko) 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템
US10135826B2 (en) Leveraging security as a service for cloud-based file sharing
EP3629181B1 (en) Privileged access auditing
US8959334B2 (en) Secure network architecture
US7353533B2 (en) Administration of protection of data accessible by a mobile device
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
KR101143847B1 (ko) 네트워크 보안장치 및 그 방법
US20080052755A1 (en) Secure, real-time application execution control system and methods
US20050182966A1 (en) Secure interprocess communications binding system and methods
US9210128B2 (en) Filtering of applications for access to an enterprise network
JP4790793B2 (ja) 安全な仮想プロジェクトルームを作るための方法及びシステム
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
CA3131208C (en) System and method for building a trusted network of devices
JP7568206B2 (ja) エアギャッピングハードウェアプロトコルを使用したセキュアなデータ転送のためのシステムおよび方法
Saleem et al. Certification procedures for data and communications security of distributed energy resources
JP4720576B2 (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
CN116781359A (zh) 一种使用网络隔离和密码编译的门户安全设计方法
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
KR20180031435A (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
EP2095598B1 (en) Secure network architecture
KR100926028B1 (ko) 정보 자원 관리 시스템
KR20190097573A (ko) 전자메일 서비스 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant