KR101910605B1 - 무선 단말의 네트워크 접속 제어 시스템 및 방법 - Google Patents

무선 단말의 네트워크 접속 제어 시스템 및 방법 Download PDF

Info

Publication number
KR101910605B1
KR101910605B1 KR1020170077529A KR20170077529A KR101910605B1 KR 101910605 B1 KR101910605 B1 KR 101910605B1 KR 1020170077529 A KR1020170077529 A KR 1020170077529A KR 20170077529 A KR20170077529 A KR 20170077529A KR 101910605 B1 KR101910605 B1 KR 101910605B1
Authority
KR
South Korea
Prior art keywords
address
communication terminal
wireless communication
mac address
access point
Prior art date
Application number
KR1020170077529A
Other languages
English (en)
Inventor
임호문
주재응
박정일
서영수
송현선
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020170077529A priority Critical patent/KR101910605B1/ko
Application granted granted Critical
Publication of KR101910605B1 publication Critical patent/KR101910605B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support

Abstract

IP 주소 및 MAC 주소를 도용하는 비인가 무선 통신 단말을 신속하게 차단할 수 있는 네트워크 접속 제어 시스템 및 방법이 개시된다. 일 실시예에 따른 네트워크 접속 장비를 통해 네트워크에 접속하는 무선 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템은, 상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하고, 또한 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 수집 모듈; 및 상기 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보의, 일치 여부를 판단하고, 불일치시, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 포함한다.

Description

무선 단말의 네트워크 접속 제어 시스템 및 방법{SYSTEM AND METHOD FOR CONTROLLING NETWORK ACCESS OF WIRELESS TERMINAL}
본 발명은 네트워크 접속 제어 기술에 관한 것으로, 보다 구체적으로 사설망과 같은 보안이 필요한 네트워크로 접속하는 무선 통신 단말을 제어하는 네트워크 접속 제어 시스템 및 방법에 관한 것이다.
네트워크 접속 제어 시스템은 기업에 구축된 사설망 등과 같은 네트워크에서 접근 허용 조건을 만족하는 통신 단말만을 네트워크에 접속할 수 있도록 허가하는 시스템이다. 통상적으로, 네트워크 관리자는, 통신 단말에 사용을 허용한 IP 주소 대역, 설치 요구되는 필수 소프트웨어 목록 등이 포함된 네트워크 접속 허용 조건을 설정하고, 이 접속 허용 조건에 부합된 통신 단말에 대해서 네트워크 접속을 허용한다. 아래의 특허문헌은 필수 프로그램 설치 정보를 이용한 네트워크 접속 제어 시스템 및 이의 방법에 대해서 개시한다.
통신 단말이 네트워크로 접속하기 하기 위해서는, 네트워크 관리자가 상기 통신 단말이 사용할 IP 주소를 사전에 배정해야 하며, 또한 통신 단말에는 해당 IP 주소가 설정되고 필수 소프트웨어가 설치되어야 한다. 네트워크 접속 제어 시스템에는 상기 통신 단말의 MAC 주소, 네트워크 관리자 배정한 IP 주소 및 필수 소프트웨어 설치 정보가 사전에 등록되어야 한다. 이에 따라, 네트워크 접속 제어 시스템에 등록되지 않은 통신 단말은 네트워크로의 접속이 불가능하다.
네트워크 접속 제어 시스템에 통신 단말을 등록하기 위해서는 단말 사용자가 단말의 MAC 주소를 네트워크 관리자에게 송부하여 등록 절차를 수행해야 한다. 그러나 이러한 등록 방식은, 사용자의 불편함을 유발하게 되고 네트워크 관리자의 업무를 가중시키게 되는 문제점이 있다. 또한, 네트워크 관리자 입장에서는 사용자가 송부하는 단말 정보(예, MAC 주소)에 의존하여 네트워크를 사용하는 단말을 인증해야 한다는 보안상의 문제점도 존재한다. 특히, 근래에는 MAC 주소를 변경할 수 있는 악성 프로그램이 나타남에 따라, 통신 단말의 MAC 주소를 기반으로 사용자를 인증하는 방식은 보안상의 문제점이 있다.
또한, 네트워크에 접속하는 통신 단말은 요구되는 필수 소프트웨어의 운영과 설치를 위하여, 에이전트를 설치해야 되는데, 네트워크 접속 허용 조건이 총족되지 않은 상태인 통신 단말은 네트워크 접속 자체가 불가능하여, 상기 에이전트를 오프라인 매체를 통해서 설치해야 되는 문제점도 발생한다.
근래에 와서는 Wi-Fi 기술 발전 및 무선 접속 방식의 편리함으로 인해 기업 내부망 접속 방식이 유선 방식에서 무선 방식으로 급속히 전환되고 있으며, 이에 따라 Wi-Fi 환경에서 IP 주소 및 MAC 주소를 도용한 무선 통신 단말의 탐지 및 차단이 중요해지고 있다.
한국공개특허 제10-2011-0002947호
본 발명은 IP 주소 및 MAC 주소를 도용하는 비인가 무선 통신 단말을 신속하게 차단할 수 있는 네트워크 접속 제어 시스템 및 방법을 제공하는 데 목적이 있다.
일 실시예에 따른 네트워크 접속 장비를 통해 네트워크에 접속하는 무선 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템은, 상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하고, 또한 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 수집 모듈; 및 상기 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보의, 일치 여부를 판단하고, 불일치시, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 포함한다.
상기 시스템은, 상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로 유동 IP 주소를 할당하는 유동 IP 주소 할당 모듈; 상기 유동 IP 주소를 할당받은 상기 무선 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 DNS 모듈; 및 상기 고정 IP 주소 신청 페이지를 제공하고 상기 무선 통신 단말에 대한 고정 IP 주소를 할당하는 웹 서버를 포함할 수 있다.
상기 DNS 모듈은, 상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답할 수 있다.
상기 DNS 모듈은, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 설치 안내 페이지의 IP 주소를 응답하고, 상기 제어 모듈은, 상기 무선 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송할 수 있다.
상기 DNS 모듈은, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 로그인 안내 페이지의 IP 주소를 응답하고, 상기 제어 모듈은, 상기 무선 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 전송할 수 있다.
상기 제어 모듈은, 상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 무선 통신 단말의 단말 정보가 일정한 시간 내에 상기 수집 모듈에서 미수집되는 경우 접속 차단 명령을 전송할 수 있다.
상기 단말 정보는, 상기 무선 통신 단말의 하드웨어 고유 키 값을 포함하고, 상기 제어 모듈은, 상기 단말 정보에 포함된 상기 하드웨어 고유 키 값과 기 저장된 하드웨어 고유 키 값이 불일치하는 경우 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송할 수 있다.
상기 제어 모듈은, 네트워크 접속이 차단된 무선 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 고정 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송할 수 있다.
다른 실시예에 따른 네트워크 접속 장비를 통해 네트워크에 접속하는 무선 통신 단말의 상기 네트워크 접속을 제어하는 네트워크 접속 제어 시스템은, 상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하여 데이터베이스에 저장하고, 또한 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 수집 모듈; 및 상기 MAC 테이블에 포함된 MAC 주소를 이용하여 동일한 MAC 주소를 갖는 무선 통신 단말이 최근 N(>0) 시간 동안 접속한 액세스 포인트의 식별정보의 목록을 상기 데이터베이스에서 확인하고, 그 확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 포함된 액세스 포인트의 식별정보가 존재하지 않는 경우, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 포함한다.
또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 무선 통신 단말의 네트워크 접속을 제어하는 방법은, 상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하는 단계; 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 단계; 및 상기 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보의, 일치 여부를 판단하고, 불일치시, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 포함한다.
상기 방법은, 상기 무선 통신 단말로부터 수집하는 단계 이전에, 상기 네트워크 접속 장비를 통해 접속하는 상기 무선 통신 단말로 유동 IP 주소를 할당하는 단계; 상기 유동 IP 주소를 할당받은 상기 무선 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 단계; 및 상기 무선 통신 단말로 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 단계를 포함할 수 있다.
상기 방법은, 상기 고정 IP 주소를 할당하는 단계 이후에, 상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 단계를 더 포함할 수 있다.
상기 IP 주소를 응답하는 단계는, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 설치 안내 페이지의 IP 주소를 응답하고, 상기 방법은, 상기 무선 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 단계를 더 포함할 수 있다.
상기 IP 주소를 응답하는 단계는, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 로그인 안내 페이지의 IP 주소를 응답하고, 상기 방법은, 상기 무선 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 전송하는 단계를 더 포함할 수 있다.
상기 접속 차단 명령을 전송하는 단계는, 상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 무선 통신 단말의 단말 정보가 상기 무선 통신 단말에 설치되는 보안 소프트웨어로부터 일정한 시간 내에 미수집되는 경우 접속 차단 명령을 전송할 수 있다.
상기 단말 정보는, 상기 무선 통신 단말의 하드웨어 고유 키 값을 포함하고, 상기 방법은, 상기 단말 정보에 포함된 상기 하드웨어 고유 키 값과 기 저장된 하드웨어 고유 키 값이 불일치하는 경우 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
상기 방법은, 네트워크 접속이 차단된 무선 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 고정 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 무선 통신 단말의 네트워크 접속을 제어하는 방법은, 상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하여 데이터베이스에 저장하는 단계; 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 단계; 상기 MAC 테이블에 포함된 MAC 주소를 이용하여 동일한 MAC 주소를 갖는 무선 통신 단말이 최근 N(>0) 시간 동안 접속한 액세스 포인트의 식별정보의 목록을 상기 데이터베이스에서 확인하는 단계; 및 확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 포함된 액세스 포인트의 식별정보가 존재하지 않는 경우, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송하는 단계를 포함한다.
본 발명은 기업 내부망을 불법적으로 사용하는 IP 주소 및 MAC 주소를 도용하는 무선 통신 단말을 신속하게 탐지하여 차단함으로써 기업의 보안을 강화할 수 있다.
또한, 본 발명은, 비인가 무선 통신 단말의 등록 절차를 온라인으로 진행함으로써, 무선 통신 단말 등록 과정에서 발생하는 종래의 불편함을 해소한다.
또한, 본 발명은 유동 IP 주소를 이용하여 제한된 접속을 무선 통신 단말로 허락한 후 고정 IP 주소를 무선 통신 단말로 할당하고, 도메인 네임에 대한 쿼리 응답을 이용하여 무선 통신 단말에 필수 보안 소프트웨어를 설치시킴으로써, 네트워크 접속에 대한 보안성 및 편의성을 향상시킨 효과가 있다.
또한, 본 발명은 무선 통신 단말에 설치된 보안 소프트웨어로부터 단말 정보를 주기적으로 수집하여, 이 수집된 단말 정보를 토대로 무선 통신 단말이 도용되고 있는지 여부를 검증함으로써 내부 시스템의 침입을 탐지하고 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템이 적용되는 통신 환경을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 유동 IP 주소를 할당하는 방법을 설명하는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 무선 통신 단말을 보안 정책 준수 안내 페이지로 접속 유도하는 방법을 설명하는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 무선 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 무선 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 무선 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 무선 통신 단말이 네트워크 접속 장비의 포트를 변경하였을 때 인증하는 방법을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템이 적용되는 통신 환경을 나타내는 도면이다.
도 1을 참조하면, 기업 등의 사내망(60)은 무선 통신 단말(90)과 네트워크 접속 장비를 통해 통신한다. 여기서 네트워크 접속 장비는 도 1에 도시된 바와 같이, 무선 통신 연결을 위한 액세스 포인트(AP:Access Point)(10), AP 제어기(20) 및 L3 장치(30)를 포함한다. 네트워크 접속 제어 시스템(80)은, 사내망(60)에 연결되어 무선 통신 단말(90)과 상기 네트워크 접속 장비를 통해 통신하고, 무선 통신 단말(90)의 사내망(60) 또는 사내망(60)을 통한 외부 인터넷(70)의 접속 제어를 수행한다.
AP 제어기(20)는, 다수의 액세스 포인트(10)와 연결되어 액세스 포인트(10)에 접속하는 무선 통신 단말(90)의 IP 트래픽을 집중하여 L3 장치(30)로 전달하고, L3 장치(30)로부터 수신되는 IP 트래픽을 액세스 포인트(10)를 통해 무선 통신 단말(90)로 전달하는 장치이다. AP 제어기(20)는 무선 통신 단말(90)의 MAC 주소와 무선 통신 단말(90)이 접속한 액세스 포인트(10)의 식별정보(예를 들어 BSSID(Basic service set identifier))의 매핑 테이블을 실시간으로 보유한다. 이하에서 이 매핑 테이블을 MAC 테이블이라 한다. AP 제어기(20)는 액세스 포인트(10)의 식별정보로서 BSSID를 사용할 수 있고, 또는 본 실시예의 시스템을 운영하는 관리자가 액세스 포인트(10)에 설정한 액세스 포인트의 이름을 사용할 수도 있다. 액세스 포인트의 이름(name)(예, 과천 사옥 8층)을 식별정보로서 사용할 경우, 네트워크 접속 제어 시스템(80)에는 액세스 포인트의 BSSID와 이름의 매핑 정보를 보유하고, 액세스 포인트의 이름으로부터 BSSID를 조회할 수 있다.
L3 장치(30)는 OSI 7 레이어 모델 중 네트워크 레이어의 역할을 수행한다. L3 장치(30)는 무선 통신 단말(90)들의 IP 주소를 MAC 주소에 대응시키기 위해 ARP(Address Resolution Protocol) 프로토콜을 사용하고, IP 주소 및 MAC 주소의 대응 정보를 ARP 테이블에 저장한다. 즉, ARP 테이블을 조회하면 무선 통신 단말(90)의 IP 주소와 그에 대응하는 MAC 주소를 확인할 수 있다. 또한 L3 장치(30)는 ARP 테이블 이외, 포트별 통신 단말(90)의 MAC 주소를 기록한 MAC 테이블을 포함하고, 또한 접속 제어 리스트(ACL:Access Control List)를 구비한다. 여기서 접속 제어 리스트는, 네트워크 접속 제어 시스템(80)에서 무선 통신 단말(90)에 할당 가능한 유동 IP 주소, 그리고 네트워크 접속 제어 시스템(80)에서 접속을 허용한 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함할 수 있다. L3 장치(30)는 접속 제어 리스트에 기초하여 무선 통신 단말(90)의 접속을 차단할 수 있다. L3 장치(30)는 라우터 또는 스위치가 사용될 수 잇다.
무선 통신 단말(90)은 태블릿 컴퓨터, 스마트폰, 노트북 등으로서, 네트워크 접속 제어 시스템(80)의 제어에 따라 사내망(60)으로의 접속이 선택적으로 허락된다. 무선 통신 단말(90)은 Wi-Fi 등의 근거리 무선 통신 카드를 탑재하여 액세스 포인트(10)와 근거리 무선 통신을 수행할 수 있다. 무선 통신 단말(90)은 사내망(60)으로 접근이 허락된 경우, 사내망(60) 및/또는 외부 인터넷(70)으로 접근하여 사내망(60)의 자원을 활용하거나 외부 인터넷(70)으로 접속할 수 있다.
네트워크 접속 제어 시스템(80)은 사내망(60)에 접속하는 무선 통신 단말(90)의 접속을 제어한다. 네트워크 접속 제어 시스템(80)은 보안 정책을 미준수하는 무선 통신 단말(90)의 접속을 차단하고 보안 정책을 준수하는 무선 통신 단말(90)의 접속은 허용한다. 네트워크 접속 제어 시스템(80)은 보안 정책을 준수하는 무선 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 네트워크 접속 장비, 예컨대 L3 장치(30)로 전송하고, 보안 정책을 준수하지 않는 무선 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송한다.
도 1을 참조하면, 네트워크 접속 제어 시스템(80)은, 유동 IP 주소 할당 모듈(81), 지능형 웹 서버(82), 지능형 DNS 서버(83), 제어 서버(84), 수집 서버(85) 및 데이터베이스(86)를 포함한다. 본 실시예에서는 네트워크 접속 제어 시스템(80)을 별개의 서버들의 집합으로 설명하지만 여기에 제한되는 것은 아니고 각 서버들을 하나의 독립된 모듈로 구현하여 네트워크 접속 제어 시스템(80)을 하나의 서버 형태로 구현할 수도 있다. 네트워크 접속 제어 시스템(80)은 메모리 및 프로세서를 포함하고 프로세서는 메모리에 저장된 프로그램을 구동하여 동작을 수행할 수 있다.
유동 IP 주소 할당 모듈(81)은, 유동 IP 주소 풀(Pool)을 구비하고, 네트워크 접속 장비(20, 30)를 통해 접속하는 비인가 무선 통신 단말(90)로 유동 IP 주소를 할당한다. 유동 IP 주소는 무선 통신 단말(90)이 고정 IP 주소를 할당받기 위해 임시로 사용하는 IP 주소로서 일정한 시간 동안만 사용이 가능하다. 유동 IP 주소 할당 모듈(81)은, 무선 통신 단말(90)로 유동 IP 주소를 할당하며 무선 통신 단말(90)의 정보, 즉 MAC 주소, L3 장치(30)의 IP 주소를 수집하여, 상기 할당한 유동 IP 주소와 함께 데이터베이스(86)에 저장한다. 또한 유동 IP 주소 할당 모듈(81)은 무선 통신 단말(90)로 유동 IP 주소를 할당하면서 단말의 DNS 서버의 주소를 지능형 DNS 서버(83)의 주소로 설정한다.
지능형 DNS 서버(83)는, 무선 통신 단말(90)로부터 DNS 쿼리 수신시, DNS 쿼리의 소스 IP 주소를 추출한 후, 추출한 소스 IP 주소 및 데이터베이스(86)에 저장된 블랙 리스트 또는 화이트 리스트에 기초하여 무선 통신 단말(90)로 DNS 쿼리 응답을 전송한다. 블랙 리스트에는 접속 차단된 무선 통신 단말(90)의 IP 주소 및 MAC 주소가 기록되고, 화이트 리스트에는 접속 허용된 무선 통신 단말(90)의 IP 주소 및 MAC 주소가 기록된다.
구체적으로, 지능형 DNS 서버(83)는, 무선 통신 단말(90)로부터 수신된 DNS 쿼리에 포함된 소스 IP 주소가 유동 IP 주소인 경우, 고정 IP 주소 신청 페이지의 IP 주소를 응답한다. 또한 지능형 DNS 서버(83)는, 무선 통신 단말(90)로부터 수신된 DNS 쿼리에 포함된 소스 IP 주소가 고정 IP 주소인 경우, 해당 고정 IP 주소가 블랙 리스트에 포함되어 있는 경우, 보안 정책 준수 안내 페이지의 IP 주소를 응답한다. 여기서 블랙 리스트에 포함된 IP 주소는, 필수 보안 소프트웨어를 설치하지 않은 고정 IP 주소, 보안 소프트웨어에 로그인하지 않은 고정 IP 주소, IP 주소/MAC 주소가 도용된 고정 IP 주소를 포함한다. 보안 정책 준수 안내 페이지의 IP 주소는 지능형 웹 서버(82)의 IP 주소일 수 있고, 또는 안내 페이지 자체의 IP 주소일 수 있다. 지능형 DNS 서버(83)는, DNS 쿼리에 포함된 소스 IP 주소가 고정 IP 주소이고 블랙 리스트에 포함되지 않는 경우, 사내 DNS 서버로 DNS 쿼리를 릴레이하여 IP 주소를 받아 무선 통신 단말(90)로 응답할 수 있고, 또는 자체 정보를 이용하여 IP 주소를 응답할 수 있다. 지능형 DNS 서버(83)는 데이터베이스(86)에 저장된 블랙 리스트를 가져와 자체 메모리에 저장하여 이용할 수 있다. 자체 메모리에 저장하여 이용함으로써 데이터베이스(86)에 접근하여 정보를 확인하는 과정을 줄여 속도를 높일 수 있다.
한편, 지능형 DNS 서버(83)는, 무선 통신 단말(90)로부터 DNS 쿼리가 수신되면 DNS 쿼리에 포함된 소스 IP 주소를 제어 서버(84)로 통지한다.
지능형 웹 서버(82)는 보안 정책 준수 안내 페이지를 운영한다. 지능형 웹 서버(82)는, 무선 통신 단말(90)로부터 접속 패킷을 수신하면, 접속 패킷에 포함된 소스 IP 주소를 추출하고, 추출한 소스 IP 주소에 따라 무선 통신 단말(90)로 보안 정책 준수 안내 페이지를 제공한다. 보안 정책 준수 안내 페이지는, 고정 IP 주소 신청 페이지, 보안 소프트웨어 설치 안내 페이지, 보안 소프트웨어 로그인 안내 페이지, OTP(One Time Password) 인증 페이지 등을 포함한다. 지능형 웹 서버(82)는, 소스 IP 주소가 유동 IP 주소인 경우 고정 IP 주소 신청 페이지를 제공한다. 지능형 웹 서버(82)는, 소스 IP 주소가 고정 IP 주소인 경우 데이터베이스(86)에 저장된 블랙 리스트와 소스 IP 주소를 비교하여 보안 정책 미준수 유형을 파악하고, 그 유형에 따라 무선 통신 단말(90)로 그 유형에 맞는 보안 정책 준수 안내 페이지를 제공한다.
지능형 웹 서버(82)는, 무선 통신 단말(90)이 보안 소프트웨어를 설치하는 경우 해당 무선 통신 단말(90)의 고정 IP 주소, MAC 주소 등과 함께 그 설치 정보를 데이터베이스(96)에 저장하고, 제어 서버(84)로 통지한다. 또한 지능형 웹 서버(82)는, 무선 통신 단말(90)이 보안 소프트웨어 설치 안내 페이지에 접속하였으나 일정한 시간 내에 보안 소프트웨어를 설치하지 않는 경우 이를 제어 서버(84)로 통지하고, 또는 로그인 안내 페이지에 접속하는 경우 이를 제어 서버(84)로 통지한다.
수집 서버(85)는, 보안 소프트웨어를 설치한 무선 통신 단말(90)의 보안 소프트웨어로부터 통신 단말의 정보를 수집한다. 여기서 통신 단말의 정보는, 필수 보안 소프트웨어의 설치 여부, 보안 소프트웨어 로그인 여부, 통신 단말의 하드웨어 고유 키 값, 통신 단말의 IP 주소/MAC 주소, 통신 단말이 접속한 액세스 포인트(10)의 식별정보(예, BSSID)를 포함한다. 수집 서버(85)는 무선 통신 단말(90)의 수집 정보를 제어 서버(84)로 전달한다. 또한, 수집 서버(85)는 AP 제어기(20)로부터 주기적으로 또는 필요시 MAC 테이블 정보를 수집하여 제어 서버(84)로 전달한다. 여기서 MAC 테이블은, 앞서 설명한 바와 같이, 액세스 포인트(10)의 식별정보(예, BSSID) 및 액세스 포인트(10)에 접속한 무선 통신 단말(90)의 MAC 주소의 매핑 정보를 포함한다.
제어 서버(84)는, 데이터베이스(86)의 정보를 관리한다. 제어 서버(84)는, 무선 통신 단말(90)의 보안 소프트웨어로부터 전송되어 수집 서버(85)에 의해 수집된 통신 단말(90)의 단말 정보 및, 수집 서버(85)에 의해 수집된 AP 제어기(20)의 MAC 테이블을 데이터베이스(86)에 저장한다. 또한, 제어 서버(84)는 보안 정책 준수 여부에 따라 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 블랙 리스트 또는 화이트 리스트에 기록할 수 있다. 블랙 리스트에는 고정 IP 주소별로 보안 소프트웨어의 설치 여부, 보안 소프트웨어 로그인 여부, IP 주소/MAC 주소 도용 여부가 기록된다.
제어 서버(84)는, 무선 통신 단말(90)의 보안 정책 준수 여부에 따라 무선 통신 단말(90)의 사내망(60) 접속을 선택적으로 차단하거나 허용한다. 제어 서버(84)는, 차단시 무선 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비, 예컨대 L3 장치(30)로 전송하고, 허용시 무선 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 네트워크 접속 장비, 예컨대 L3 장치(30)로 전송한다.
제어 서버(84)는, 지능형 웹 서버(82)로부터 필수 보안 소프트웨어를 모두 설치한 무선 통신 단말(90)의 정보, 예컨대 고정 IP 주소를 통지받으면, 해당 무선 통신 단말(90)에 대한 접속 허용 명령을 L3 장치(30)로 전송한다. 또한, 제어 서버(84)는, 보안 소프트웨어 설치 안내 페이지에 접속하였으나 일정한 시간 내에 보안 소프트웨어를 설치하지 않는 무선 통신 단말(90)의 정보, 예컨대 고정 IP 주소를 지능형 웹 서버(82)로부터 통지받으면, 해당 무선 통신 단말(90)에 대한 접속 차단 명령을 L3 장치(30)로 전송한다. 또한, 제어 서버(84)는, 로그인 안내 페이지에 접속한 무선 통신 단말(90)의 정보를 지능형 웹 서버(82)로부터 통지받으면, 해당 무선 통신 단말(90)의 보안 소프트웨어로부터 로그인 정보가 일정한 시간 내에 수신되지 않을 경우 접속 차단 명령을 L3 장치(30)로 전송한다. 또한, 제어 서버(84)는 수집 서버(85)를 통해 수집된 무선 통신 단말(90)의 IP 주소 및 MAC 주소가 화이트 리스트에 기록된 IP 주소 및 MAC 주소와 불일치하면, 그 수신된 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 L3 장치(30)로 전송한다. 즉 무선 통신 단말(90)에서 임의의 고정 IP 주소를 사용하는 경우 차단하는 것이다. 또한, 제어 서버(84)는 수집 서버(85)를 통해 AP 제어기(20)로부터 수집된 MAC 테이블에 포함된 무선 통신 단말(90)의 MAC 주소가 화이트리스트에 존재하지 않으면 해당 MAC 주소를 포함하는 접속 차단 명령을 L3 장치(30)로 전송한다. 즉, 무선 통신 단말(90)에서 임의의 MAC 주소를 사용하는 경우 차단하는 것이다. 또한 제어 서버(84)는 허가된 IP 주소 및 MAC 주소를 도용한 것으로 판단된 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 L3 장치(30)로 전송한다. 제어 서버(84)는, 접속 차단 명령을 전송하며 해당 고정 IP 주소 및 MAC 주소를 블랙 리스트에 기록할 수 있다. 제어 서버(84)는 다음과 같은 기준에 따라 IP 주소 및 MAC 주소의 도용을 판단한다.
제어 서버(84)는, 수집 서버(85)를 통해 수집된 무선 통신 단말(90)의 하드웨어 고유 키 값이 데이터베이스(86)에 기 저장된 하드웨어 고유 키 값과 불일치하면 도용으로 판단한다. 데이터베이스(86)에는 고정 IP 주소별로 단말 하드웨어 고유 키 값이 저장되어 있고, 제어 서버(84)는 수집 서버(85)를 통해 수집된 무선 통신 단말(90)의 IP 주소 및 하드웨어 고유 키 값과 데이터베이스(86)에 기 저장된 고정 IP 주소별 단말 하드웨어 고유 키 값을 비교하여 일정한 시간 동안 불일치시 도용으로 판단한다. 비인가 무선 통신 단말(90)에서 IP 주소 및 MAC 주소를 도용하는 경우 단말은 변경되었으므로 단말 하드웨어 고유 키 값이 변경되고 이를 탐지하는 것이다. 단말 하드웨어 고유 키 값으로 IP 주소 및 MAC 주소의 도용을 판단하는 경우는, 인가 무선 통신 단말은 미접속 상태에서 비인가 무선 통신 단말이 IP 주소 및 MAC 주소를 도용하는 경우이다.
제어 서버(84)는, 지능형 DNS 서버(83)로부터 통지되는 고정 IP 주소에 해당하는 무선 통신 단말(90)의 수집 정보가 수집 서버(85)를 통해 일정한 시간 내에 수신되지 않으면, 해당 고정 IP 주소 및 MAC 주소는 도용된 것으로 판단한다. 비인가 무선 통신 단말(90)에서 IP 주소 및 MAC 주소를 도용하고 보안 소프트웨어를 설치하지 않은 상태에서 인터넷을 사용하는 경우 지능형 DNS 서버(83)로 DNS 쿼리가 전송되고 이를 탐지하는 것이다.
또한, 제어 서버(84)는, 수집 서버(85)를 통해 AP 제어기(20)로부터 주기적으로 MAC 테이블을 수집하고, 그 MAC 테이블에 기록된 MAC 주소에 대응하는 무선 통신 단말(90)의 단말 정보가 수집 서버(85)를 통해 일정한 시간 내에 수신되지 않고 지능형 DNS 서버(83)로부터도 해당 무선 통신 단말(90)에 대한 통지가 없는 경우, 해당 MAC 주소 및 IP 주소가 도용된 것으로 판단한다. 즉, MAC 테이블에 기록된 MAC 주소가 고정 IP 주소에 대응하는 경우(예컨대 화이트 리스트에 속하는 경우), 제어 서버(84)는 해당 MAC 주소에 대응하는 고정 IP 주소의 무선 통신 단말(90)로부터 일정한 시간 내에 수집 서버(85)를 통해 단말 정보가 수신되지 않는 경우, 도용으로 판단하는 것이다.
또한, 제어 서버(84)는, 수집 서버(85)를 통해 AP 제어기(20)로부터 수신되는 MAC 테이블에 기록된 MAC 주소를 이용하여, 동일한 MAC 주소를 갖는 무선 통신 단말(90)이 최근 N 분간 접속한 액세스 포인트의 식별정보의 목록을 데이터베이스(86)에서 확인하고, 그 확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 기록된 액세스 포인트의 식별정보가 존재하지 않는 경우, 해당 MAC 주소 그리고 그 MAC 주소를 갖는 무선 통신 단말(90)의 IP 주소는 도용된 것으로 판단할 수 있다. 즉, 인가 무선 통신 단말(90)이 접속하지 않은 상태에서, 비인가 무선 통신 단말이 MAC 주소/IP 주소를 도용한 경우를 탐지하는 것이다. MAC 테이블에 기록된 액세스 포인트의 식별정보가 BSSID가 아닌 관리자에 설정된 액세스 포인트의 이름인 경우, 제어 서버(84)는 액세스 포인트의 이름을 이용하여 데이터베이스(86)에서 이에 대응하는 액세스 포인트의 BSSID를 검색하여 이용할 수 있다.
또한, 제어 서버(84)는, 수집 서버(85)를 통해 AP 제어기(20)로부터 수신된 MAC 테이블과 무선 통신 단말(90)로부터 수신된 단말 정보를 비교하여 MAC 주소 및 액세스 포인트의 식별정보의 쌍이 불일치하면, 그 MAC 주소를 갖는 무선 통신 단말(90)의 MAC 주소 및 IP 주소가 도용된 것으로 판단한다. 인가 무선 통신 단말(90)이 전원 ON 상태에서 사내망(60)에 접속을 하게 되면, 인가 무선 통신 단말(90)의 보안 소프트웨어는 단말의 MAC 주소와 해당 단말이 접속한 액세스 포인트의 식별정보(BSSID)를 수집하여 수집 서버(85)로 전송하고, AP 제어기(20)는 하위에 있는 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말(90)의 MAC 주소를 기록한 MAC 테이블을 수집 서버(85)로 전송한다. 따라서 인가 무선 통신 단말(90)만 접속 중인 상태에서는 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보는 동일하다. 그러나, 인가 무선 통신 단말(90)의 MAC 주소 및 IP 주소를 도용한 비인가 무선 통신 단말(90)이 동시에 접속 중이라면, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보와 인가 무선 통신 단말(90)이 전송한 MAC 주소 및 액세스 포인트의 식별정보는 불일치한다.
한편, 제어 서버(84)는 L3 장치(30)로 접속 차단 명령을 전송하기 전에 고정 IP 주소의 원 소유자에게 도용 의심 문자 또는 메일을 발송하고, 또한 접속 차단을 한 후에 도용 차단을 알리는 문자 또는 메일을 발송할 수 있다. 또한, 제어 서버(84)는, 고정 IP 주소가 차단된 원 소유자가 지능형 웹 서버(82)를 통해 OTP 인증을 수행하는 경우, 지능형 웹 서버(82)로부터 이 사실을 통지받고 즉시 L3 장치(30)로 접속 허용 명령을 전송하여 차단을 해제할 수 있다.
도 2는 본 발명의 일 실시예에 따른 유동 IP 주소를 할당하는 방법을 설명하는 흐름도이다.
도 2를 참조하면, 무선 통신 단말(90)은 액세스 포인트(10)에 접속하여 IP 주소 할당 요청 메시지를 전송한다. IP 주소 할당 요청 메시지는 액세스 포인트(10), AP 제어기(20) 및 L3 장치(30)를 경유하여 사내망(60)을 통해 네트워크 접속 제어 시스템(80)의 유동 IP 주소 할당 모듈(81)로 전송된다. 무선 통신 단말(90)은 DHCP(Dynamic Host Configuration Protocol)를 이용하여 IP 주소 할당 요청 메시지를 전송한다. 유동 IP 주소 할당 모듈(81)은 유동 IP 주소 풀(Pool)에서 미사용 중인 유동 IP 주소를 무선 통신 단말(90)로 할당하면서 단말의 DNS 서버의 주소를 지능형 DNS 서버(83)의 주소로 설정한다(S21).
유동 IP 주소를 할당받은 무선 통신 단말(90)에서 사용자는 임의의 인터넷 사이트에 접속을 시도한다. 예를 들어, 인터넷 브라우저를 구동하여 임의의 웹 사이트 주소를 입력한다. 따라서 무선 통신 단말(90)은 상기 설정된 지능형 DNS 서버(82)의 주소에 따라 지능형 DNS 서버(83)로 DNS 쿼리를 전송한다(S23).
지능형 DNS 서버(83)는 상기 DNS 쿼리에 포함된 소스 IP 주소를 기초로 유동 IP 주소임을 식별하고 이에 따라 고정 IP 주소를 신청하기 위한 지능형 웹 서버(82)의 IP 주소를 응답한다(S25). 무선 통신 단말(90)은 지능형 DNS 서버(83)로부터 수신된 지능형 웹 서버(82)의 IP 주소를 이용하여 지능형 웹 서버(82)에 접속하고 사용자는 지능형 웹 서버(82)에서 제공하는 고정 IP 주소 신청 페이지에서 고정 IP 주소를 신청한다(S27). 이때 지능형 웹 서버(82)는 무선 통신 단말(90)의 MAC 주소, L3 스위치의 IP 주소, 유동 IP 주소 등을 자동으로 수집하여 데이터베이스(86)에 저장한다. MAC 주소 및 고정 IP 주소는 임시로 블랙 리스트에 저장될 수 있다.
본 실시예에서 지능형 웹 서버(82)는 무선 통신 단말(90)이 접속해 오면 무선 통신 단말(90)의 소스 IP 주소가 유동 IP 주소임을 식별한 후 고정 IP 주소 신청 페이지로 리다이렉트시킨다. 또는 다른 실시예로서, 지능형 DNS 서버(83)는 별도의 고정 IP 주소 신청 페이지의 IP 주소를 보유하고 있고 DNS 쿼리에 대한 응답을 무선 통신 단말(90)로 회신할 때 고정 IP 주소 신청 페이지의 IP 주소를 회신할 수도 있다.
관리자는 고정 IP 주소 신청 페이지를 통해 접수된 신청 정보(이메일, 사원번호, 이동 전화번호, ID/패스워드 등)를 확인하여 정당한 권한을 가진 사용자의 신청이면 신청을 승인하고 고정 IP 주소 풀에서 고정 IP 주소를 선정한다. 이에 따라 지능형 웹 서버(82)는 제어 서버(84)로 통보하고, 제어 서버(84)는 L3 장치(30)에 고정 IP 주소 및 통신 단말(90)의 MAC 주소를 포함하는 접속 허용 명령을 전송하여 접속을 허용한다(S29). 그리고 제어 서버(84)는 문자 메시지를 통해 무선 통신 단말(90)로 고정 IP 주소 승인 내역을 통보하거나, 이메일로 고정 IP 주소 승인 내역을 통보한다. 고정 IP 주소는 지능형 웹 서버(82)를 통해 무선 통신 단말(90)에 설정될 수 있고, 또는 상기 승인 내역에 따라 사용자가 직접 수작업으로 무선 통신 단말(90)에 고정 IP 주소를 설정할 수도 있다.
이상의 도 2를 참조하여 설명한 실시예에 따라 사내망(60)에 접속하는 무선 통신 단말(90)은 임시로 유동 IP 주소를 할당받은 후 정식 절차에 따라 고정 IP 주소를 신청하여 고정 IP 주소를 할당받게 된다. 한편, 무선 통신 단말(90)이 고정 IP 주소를 할당받더라도 보안 소프트웨어를 설치하지 않으면 인터넷(70)에 접속할 수 없다. 이하에서 도 3을 참조하여 보안 소프트웨어를 설치하는 방법을 설명한다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 통신 단말을 보안 정책 준수 안내 페이지로 접속 유도하는 방법을 설명하는 흐름도이다.
도 3을 참조하면, 도 2를 참조하여 설명한 실시예의 절차를 통해 고정 IP 주소를 할당받은 무선 통신 단말(90)의 사용자는 무선 통신 단말(90)을 통해 임의의 웹 사이트에 접속을 시도한다. 예컨대 웹 브라우저에 임의의 웹 사이트의 도메인 네임을 입력한다. 이에 따라 무선 통신 단말(90)은 네트워크 접속 장비인 AP 제어기/L3 장치(20, 30)를 경유하여 지능형 DNS 서버(83)로 DNS 쿼리를 전송한다(S31). L3 장치(30)에는 무선 통신 단말(90)의 MAC 주소와 고정 IP 주소가 접속 허용되어 있으므로 DNS 쿼리는 차단되지 않고 지능형 DNS 서버(83)로 전송된다.
지능형 DNS 서버(83)는 상기 DNS 쿼리에 포함된 소스 IP 주소, 즉 무선 통신 단말(90)의 고정 IP 주소를 기초로 데이터베이스(86)의 블랙 리스트를 검색하여 해당 소스 IP 주소가 블랙 리스트에 속하는 것을 판별한다. 즉, 무선 통신 단말(90)에는 보안 정책을 준수하지 않은 것으로 체크되어 해당 무선 통신 단말(90)의 고정 IP 주소는 블랙 리스트로 등록되어 있다. 여기서 보안 정책의 준수는, 필수 보안 소프트웨어의 설치, 보안 소프트웨어의 로그인 등을 포함한다.
지능형 DNS 서버(83)는 보안 정책 준수 안내 페이지로 무선 통신 단말(90)을 접속시키기 위해 지능형 웹 서버(82)의 IP 주소를 응답한다(S33). 무선 통신 단말(90)은 지능형 DNS 서버(83)로부터 수신된 지능형 웹 서버(82)의 IP 주소를 이용하여 지능형 웹 서버(82)에 접속하고 사용자는 지능형 웹 서버(82)에서 제공하는 보안 정책 준수 안내 페이지에 접속한다(S35). 여기서 보안 정책 준수 안내 페이지는 보안 소프트웨어 설치 안내 페이지이다.
본 실시예에서 지능형 웹 서버(82)는 무선 통신 단말(90)이 접속해 오면 무선 통신 단말(90)의 소스 IP 주소, 즉 고정 IP 주소를 이용하여 데이터베이스(86)에서 해당 고정 IP 주소가 보안 정책 미준수에 의해 블랙 리스트에 속하는 것을 판별한 후, 보안 정책 미준수 유형에 따른 보안 정책 준수 안내 페이지로 리다이렉트시킨다. 또는 다른 실시예로서, 지능형 DNS 서버(83)는 유형별 보안 정책 준수 안내 페이지의 IP 주소를 보유하고 있고 DNS 쿼리에 대한 응답을 무선 통신 단말(90)로 회신할 때 보안 정책 미준수 유형에 따른 보안 정책 준수 안내 페이지의 IP 주소를 회신할 수도 있다.
보안 정책 준수에서 설치를 요구하는 필수 보안 소프트웨어는 적어도 하나 이상일 수 있다. 예를 들어, 네트워크 접속 시스템(80)의 클라이언트 프로그램, 바이러스 백신 프로그램, DRM 프로그램 등을 포함할 수 있고, 하나의 안내 페이지에서 이러한 모든 프로그램의 설치 안내를 할 수 있고, 또는 각 프로그램마다 설치 안내 페이지를 별도로 구축하여 이용할 수도 있다.
사용자는 보안 정책 준수 안내 페이지에서 필요한 보안 프로그램을 선택하여 무선 통신 단말(90)로 다운로드하여 설치한다(S37). 지능형 웹 서버(82)는 보안 소프트웨어에 설치에 관한 정보를 제어 서버(84)로 통지한다. 또한 무선 통신 단말(90)에 설치되는 보안 프로그램 중에서 네트워크 접속 시스템(80)의 클라이언트 프로그램은, 무선 통신 단말(90)의 정보, 예컨대 필수 보안 소프트웨어들의 설치 유무, 보안 소프트웨어들의 로그인 유무, 통신 단말(90)의 하드웨어 고유 키 값을 포함하는 단말 정보를 주기적으로 수집 서버(85)로 전송한다(S39). 수집 서버(85)는 클라이언트 프로그램으로부터 수신되는 정보를 제어 서버(84)로 전달하고, 제어 서버(84)는 그 전달되는 정보에 따라 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 블랙 리스트에서 삭제하고 화이트 리스트에 저장할 수 있다.
한편, 제어 서버(84)는 지능형 웹 서버(82)의 통지에 따라 무선 통신 단말(90)이 보안 정책 준수 안내 페이지에 접속하였으나 보안 소프트웨어를 일정 시간 내에 설치하지 않은 것으로 판단되면, 해당 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송할 수 있다.
이상의 도 3를 참조하여 설명한 실시예에 따라 고정 IP 주소를 할당받고 필수적인 보안 소프트웨어를 설치하여 로그인 한 무선 통신 단말(90)의 사용자는 해당 무선 통신 단말(90)을 통해 인터넷(70)에 접속할 수 있다.
한편, 도 3을 참조한 실시예에서 무선 통신 단말(90)이 보안 소프트웨어를 설치하는 과정을 설명하였으나, 다른 실시예로서, 무선 통신 단말(90)이 보안 소프트웨어를 설치하였으나 보안 소프트웨어(예, 클라이언트 프로그램)에 로그인하지 않은 경우, 제어 서버(84)는 수집 서버(85)로부터 주기적으로 단말 정보가 수집되지 않으므로 해당 무선 통신 단말(90)의 고정 IP 주소를 블랙 리스트에 등록한다. 이에 따라 무선 통신 단말(90)에서 DNS 쿼리를 전송하면 해당 무선 통신 단말(90)은 보안 준수 안내 페이지, 구체적으로 보안 소프트웨어 로그인 안내 페이지로 접속이 유도되고, 일정한 시간 내에 로그인하지 않는 경우, 제어 서버(84)는 해당 무선 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송할 수 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 4를 참조한 실시예에서, 무선 통신 단말(90)은 필수 보안 소프트웨어를 설치하고 보안 소프트웨어(예, 클라이언트 프로그램)의 로그인도 하였으나, 고정 IP 주소와 MAC 주소를 도용한 단말이다(S41). 무선 통신 단말(90)의 클라이언트 프로그램은 주기적으로 무선 통신 단말(90)의 단말 정보, 즉 보안 소프트웨어의 설치 유무, 보안 소프트웨어의 로그인 유무, 통신 단말(90)의 하드웨어 고유 키 값을 포함하는 단말 정보를 주기적으로 수집 서버(85)로 전송한다(S43).
수집 서버(85)는 무선 통신 단말(90)의 클라이언트 프로그램으로부터 수신된 단말 정보를 제어 서버(84)로 전달하고, 제어 서버(84)는 수집 서버(85)로부터 수신된 단말 정보 중 무선 통신 단말(90)의 하드웨어 고유 키 값을 데이터베이스(86)에 기 저장된 하드웨어 고유 키 값과 비교한다. 고정 IP 주소와 MAC 주소는 도용되었으므로, 데이터베이스(86)에서 고정 IP 주소 및 MAC 주소에 매핑되어 있는 무선 통신 단말의 하드웨어 고유 키 값은, 수집 서버(85)로부터 전달되는 하드웨어 고유 키 값과 다르다. 따라서 제어 서버(84)는 하드웨어 고유 키 값이 불일치하므로 무선 통신 단말(90)에서 고정 IP 주소와 MAC 주소를 도용한 것으로 판단하고, L3 장치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S45). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다. 제어 서버(84)는 차단 전에 도용 의심을 문자 또는 이메일로 안내할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 5를 참조한 실시예에서, 무선 통신 단말(90)은 바이러스 프로그램 등의 보안 소프트웨어는 설치하였으나 클라이언트 프로그램은 삭제하거나 설치하지 않고 고정 IP 주소와 MAC 주소를 도용한 단말이다(S51). 클라이언트 프로그램이 삭제되었으므로 수집 서버(85)로는 주기적인 단말 정보의 전송이 이루어지지 않는다. 그러나 V3 등의 바이러스 프로그램은 주기적으로 DNS 쿼리를 수행하게 된다. 따라서 바이러스 프로그램에 의해 무선 통신 단말(90)은 DNS 쿼리를 전송한다(S53).
DNS 쿼리를 수신한 지능형 DNS 서버(83)는, DNS 쿼리의 소스 IP 주소, 즉 무선 통신 단말(90)의 고정 IP 주소를 기초로 데이터베이스(86)를 조회하여 화이트 리스트에 속하는 것을 확인한다. 무선 통신 단말(90)의 악의적 사용자(예, 해커)는 필수 보안 소프트웨어를 모두 설치한 다른 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 도용하고 있으므로, 해당 도용된 고정 IP 주소는 화이트 리스트로 등록되어 있다. 지능형 DNS 서버(83)는 DNS 쿼리를 수신할 때마다 화이트 리스트에 속하는 소스 IP 주소, 즉 고정 IP 주소를 제어 서버(84)로 전송한다(S55).
제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소를 토대로 해당 고정 IP 주소를 갖는 무선 통신 단말(90)로부터 주기적으로 단말 정보가 수신되는지 확인한다. 그러나 본 실시예의 무선 통신 단말(90)은 클라이언트 프로그램이 설치되어 있지 않으므로 단말 정보는 수집 서버(85)로 전송되지 않고, 따라서 제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소는 도용된 IP 주소로 판단하고 L3 장치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S57). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다. 본 실시예에서 제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소에 해당하는 무선 통신 단말(90)로부터 일정한 시간 동안 단말 정보가 수신되지 않으면 상기 차단 명령을 전송한다. 여기서 일정한 시간은 클라이언트 프로그램이 단말 정보를 주기적으로 전송하는 전송 주기를 의미할 수 있다.
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 6을 참조한 실시예에서, 무선 통신 단말(90)은 필수 보안 소프트웨어는 설치하지 않고 고정 IP 주소와 MAC 주소를 도용한 단말이다. 일반적으로 윈도우 등의 운영체제는 무선 통신 단말(90)의 전원이 켜져 부팅되면 자동으로 무선 네트워크에 접속을 하게 되고, 따라서 AP 제어기(20)는 액세스 포인트(10)에 접속한 무선 통신 단말(90)의 MAC 주소와 그 액세스 포인트(10)의 식별정보(예, BSSID)를 수집하여 MAC 테이블을 기록한다. 수집 서버(85)는 주기적으로 AP 제어기(20)로부터 상기 MAC 테이블을 수집한다(S63). 수집 서버(85)는 수집된 MAC 테이블을 제어 서버(84)로 전송한다.
제어 서버(84)는 수집 서버(85)로부터 수신된 MAC 테이블에 기록된 MAC 주소를 갖는 무선 통신 단말(90)로부터 일정한 시간 내에 DNS 쿼리 및 단말 정보가 수신되는지 확인한다. 본 실시예에서 무선 통신 단말(90)은 필수 보안 소프트웨어를 설치하지 않았으므로, 단말 정보를 수집 서버(85)로 전송하지 않고, 또한 사용자가 임의의 웹 사이트에 접속하지 않는 이상 DNS 쿼리도 전송하지 않는다. 따라서 제어 서버(84)는 무선 통신 단말(90)을 IP 주소 및 MAC 주소를 도용한 단말로 판별하고, 네트워크 접속 장비인 L3 장치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S65). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다.
도 6의 실시예의 대안으로서, 제어 서버(84)는, 수집 서버(85)를 통해 AP 제어기(20)로부터 수신되는 MAC 테이블에 기록된 MAC 주소를 이용하여, 동일한 MAC 주소를 갖는 무선 통신 단말(90)이 최근 N(>0) 시간 동안 접속한 액세스 포인트의 식별정보의 목록을 데이터베이스(86)에서 확인하고, 그 확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 기록된 액세스 포인트의 식별정보가 존재하지 않는 경우, 해당 MAC 주소 및 IP 주소는 도용된 것으로 판단할 수 있다.
도 7은 본 발명의 또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 7을 참조한 실시예에서, 무선 통신 단말(90a)은 인가 단말이고 무선 통신 단말(90b)은 비인가 단말로서 무선 통신 단말(90a)의 IP 주소 및 MAC 주소를 도용한 단말이다. 사내망(60)에 접속된 인가 단말(90a)에는 필수 보안 소프트웨어가 설치되어 있고 클라이언트 프로그램이 단말의 하드웨어 고유 키 값, IP 주소, MAC 주소 및 접속 중인 액세스 포인트(10a)의 식별정보(예, BSSID)를 포함하는 단말 정보를 주기적으로 수집 서버(85)로 전송한다(S71). 수집 서버(85)는 수집된 인가 단말(90a)의 단말 정보를 데이터베이스(86)에 저장하고 제어 서버(84)로 통지한다.
한편, AP 제어기(20)는 액세스 포인트(10a)의 식별정보(예, BSSID) 및 그 액세스 포인트(10a)에 접속 중인 인가 단말(90a)의 MAC 주소를 MAC 테이블에 기록하고 이를 주기적으로 또는 수집 서버(85)의 요청시 수집 서버(85)로 전송한다(S73). 수집 서버(85)는 수집된 인가 단말(90a)의 단말 정보를 데이터베이스(86)에 저장하고 제어 서버(84)로 통지한다. 제어 서버(84)는 MAC 테이블에 기록된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 인가 단말(90a)로부터 수신된 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보가 동일하므로, 인가된 단말의 접속으로 판단한다.
그런데, 인가 단말(90a)이 접속 중인 상태에서, 비인가 단말(90b)이 IP 주소 및 MAC 주소를 도용하여 다른 액세스 포인트(10b)에 접속하는 경우, AP 제어기(20)는 비인가 단말(90b)의 MAC 주소와 상기 다른 액세스 포인트(10b)의 식별정보를 MAC 테이블에 기록하고 이를 수집 서버(85)로 전송한다(S73). 수집 서버(85)는 수신된 MAC 테이블을 데이터베이스(86)에 기록하고 제어 서버(84)로 통지한다. 제어 서버(84)는 MAC 테이블에 기록된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 인가 단말(90a)로부터 수신된 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보가 동일하지 않으므로, 즉 MAC 주소는 동일하나 액세스 포인트의 식별정보가 다르므로, 비인가 단말의 접속으로 판단하고, L3 장치(30)로 해당 MAC 주소 및 IP 주소에 대한 접속 차단 명령을 전송한다(S75). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
10 : 액세스 포인트
20 : AP 제어기
30 : L3 장치
60 : 사내망
70 : 인터넷
80 : 네트워크 접속 제어 시스템
81 : 유동 IP 주소 할당 모듈
82 : 지능형 웹 서버
83 : 지능형 DNS 서버
84 : 제어 서버
85 : 수집 서버
86 : 데이터베이스

Claims (18)

  1. 네트워크 접속 장비를 통해 네트워크에 접속하는 무선 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템에 있어서,
    상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로 유동 IP 주소를 할당하는 유동 IP 주소 할당 모듈;
    상기 유동 IP 주소를 할당받은 상기 무선 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 DNS 모듈;
    상기 고정 IP 주소 신청 페이지를 제공하고 상기 무선 통신 단말에 대한 고정 IP 주소를 할당하는 웹 서버;
    상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하고, 또한 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 수집 모듈; 및
    상기 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보의, 일치 여부를 판단하고, 불일치시, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 포함하는 네트워크 접속 제어 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 DNS 모듈은,
    상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 네트워크 접속 제어 시스템.
  4. 제 3 항에 있어서,
    상기 DNS 모듈은, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 설치 안내 페이지의 IP 주소를 응답하고,
    상기 제어 모듈은,
    상기 무선 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 네트워크 접속 제어 시스템.
  5. 제 3 항에 있어서,
    상기 DNS 모듈은, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 로그인 안내 페이지의 IP 주소를 응답하고,
    상기 제어 모듈은,
    상기 무선 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 전송하는 네트워크 접속 제어 시스템.
  6. 제 5 항에 있어서,
    상기 제어 모듈은,
    상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 무선 통신 단말의 단말 정보가 일정한 시간 내에 상기 수집 모듈에서 미수집되는 경우 접속 차단 명령을 전송하는 네트워크 접속 제어 시스템.
  7. 제 1 항에 있어서,
    상기 단말 정보는, 상기 무선 통신 단말의 하드웨어 고유 키 값을 포함하고,
    상기 제어 모듈은,
    상기 단말 정보에 포함된 상기 하드웨어 고유 키 값과 기 저장된 하드웨어 고유 키 값이 불일치하는 경우 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 네트워크 접속 제어 시스템
  8. 제 1 항, 제 3 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 제어 모듈은,
    네트워크 접속이 차단된 무선 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 고정 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 네트워크 접속 제어 시스템.
  9. 네트워크 접속 장비를 통해 네트워크에 접속하는 무선 통신 단말의 상기 네트워크 접속을 제어하는 네트워크 접속 제어 시스템에 있어서,
    상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하여 데이터베이스에 저장하고, 또한 액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 수집 모듈; 및
    상기 MAC 테이블에 포함된 MAC 주소를 이용하여 동일한 MAC 주소를 갖는 무선 통신 단말이 최근 N(>0) 시간 동안 접속한 액세스 포인트의 식별정보의 목록을 상기 데이터베이스에서 확인하고, 그 확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 포함된 액세스 포인트의 식별정보가 존재하지 않는 경우, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 포함하는 네트워크 접속 제어 시스템.
  10. 네트워크 접속 제어 시스템에서 무선 통신 단말의 네트워크 접속을 제어하는 방법에 있어서,
    상기 네트워크 접속 장비를 통해 접속하는 상기 무선 통신 단말로 유동 IP 주소를 할당하는 단계;
    상기 유동 IP 주소를 할당받은 상기 무선 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 단계;
    상기 무선 통신 단말로 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 단계;
    상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하는 단계;
    액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 단계; 및
    상기 단말 정보에 포함된 MAC 주소 및 액세스 포인트의 식별정보와, 상기 MAC 테이블에 포함된 MAC 주소 및 액세스 포인트의 식별정보의, 일치 여부를 판단하고, 불일치시, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 포함하는 방법.
  11. 삭제
  12. 제 10 항에 있어서,
    상기 고정 IP 주소를 할당하는 단계 이후에,
    상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 무선 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 단계를 더 포함하는 방법.
  13. 제 12 항에 있어서,
    상기 IP 주소를 응답하는 단계는, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 설치 안내 페이지의 IP 주소를 응답하고,
    상기 방법은,
    상기 무선 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 단계를 더 포함하는 방법.
  14. 제 12 항에 있어서,
    상기 IP 주소를 응답하는 단계는, 상기 보안 정책 준수 안내 페이지 중 보안 소프트웨어 로그인 안내 페이지의 IP 주소를 응답하고,
    상기 방법은,
    상기 무선 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 전송하는 단계를 더 포함하는 방법.
  15. 제 14 항에 있어서,
    상기 접속 차단 명령을 전송하는 단계는,
    상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 무선 통신 단말의 단말 정보가 상기 무선 통신 단말에 설치되는 보안 소프트웨어로부터 일정한 시간 내에 미수집되는 경우 접속 차단 명령을 전송하는 방법.
  16. 제 10 항에 있어서,
    상기 단말 정보는, 상기 무선 통신 단말의 하드웨어 고유 키 값을 포함하고,
    상기 방법은,
    상기 단말 정보에 포함된 상기 하드웨어 고유 키 값과 기 저장된 하드웨어 고유 키 값이 불일치하는 경우 상기 무선 통신 단말의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  17. 제 10 항, 제 12 항 내지 제 16 항 중 어느 한 항에 있어서,
    네트워크 접속이 차단된 무선 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 고정 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  18. 네트워크 접속 제어 시스템에서 무선 통신 단말의 네트워크 접속을 제어하는 방법에 있어서,
    상기 무선 통신 단말의 MAC 주소 및 상기 무선 통신 단말이 접속한 액세스 포인트의 식별정보를 포함하는 단말 정보를 상기 무선 통신 단말로부터 수집하여 데이터베이스에 저장하는 단계;
    액세스 포인트를 관리하는 액세스 포인트 제어기로부터 액세스 포인트의 식별정보 및 액세스 포인트에 접속한 무선 통신 단말의 MAC 주소를 포함하는 MAC 테이블을 수집하는 단계;
    상기 MAC 테이블에 포함된 MAC 주소를 이용하여 동일한 MAC 주소를 갖는 무선 통신 단말이 최근 N(>0) 시간 동안 접속한 액세스 포인트의 식별정보의 목록을 상기 데이터베이스에서 확인하는 단계; 및
    확인된 액세스 포인트의 식별정보의 목록에 상기 MAC 테이블에 포함된 액세스 포인트의 식별정보가 존재하지 않는 경우, 상기 MAC 주소 및 이에 대응하는 IP 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송하는 단계를 포함하는 방법.
KR1020170077529A 2017-06-19 2017-06-19 무선 단말의 네트워크 접속 제어 시스템 및 방법 KR101910605B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170077529A KR101910605B1 (ko) 2017-06-19 2017-06-19 무선 단말의 네트워크 접속 제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170077529A KR101910605B1 (ko) 2017-06-19 2017-06-19 무선 단말의 네트워크 접속 제어 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101910605B1 true KR101910605B1 (ko) 2018-10-23

Family

ID=64101627

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170077529A KR101910605B1 (ko) 2017-06-19 2017-06-19 무선 단말의 네트워크 접속 제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101910605B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102175772B1 (ko) * 2019-09-24 2020-11-06 프라이빗테크놀로지 주식회사 컨트롤러 기반 데이터 전송 시스템 및 방법
KR102204342B1 (ko) * 2020-04-21 2021-01-19 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
KR102204338B1 (ko) * 2020-07-28 2021-01-19 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
WO2021215787A1 (ko) * 2020-04-21 2021-10-28 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
KR102443714B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 사내 네트워크 외부 접속 보안 시스템
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009232248A (ja) 2008-03-24 2009-10-08 Toshiba Corp 無線基地局、通信制御方法及び通信プログラム
KR101136525B1 (ko) * 2010-11-02 2012-04-17 플러스기술주식회사 휴대용 단말장치의 보안 방법
KR101406719B1 (ko) 2013-01-11 2014-06-13 하이온넷(주) 아이.피 변경방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009232248A (ja) 2008-03-24 2009-10-08 Toshiba Corp 無線基地局、通信制御方法及び通信プログラム
KR101136525B1 (ko) * 2010-11-02 2012-04-17 플러스기술주식회사 휴대용 단말장치의 보안 방법
KR101406719B1 (ko) 2013-01-11 2014-06-13 하이온넷(주) 아이.피 변경방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102175772B1 (ko) * 2019-09-24 2020-11-06 프라이빗테크놀로지 주식회사 컨트롤러 기반 데이터 전송 시스템 및 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
KR102204342B1 (ko) * 2020-04-21 2021-01-19 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
WO2021215787A1 (ko) * 2020-04-21 2021-10-28 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
KR102204338B1 (ko) * 2020-07-28 2021-01-19 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템
KR102443714B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 사내 네트워크 외부 접속 보안 시스템

Similar Documents

Publication Publication Date Title
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
US8356340B2 (en) Secure subscriber identity module service
US7124197B2 (en) Security apparatus and method for local area networks
US7448076B2 (en) Peer connected device for protecting access to local area networks
US7966650B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US20090217346A1 (en) Dhcp centric network access management through network device access control lists
US20050198534A1 (en) Trust inheritance in network authentication
US20050254652A1 (en) Automated network security system and method
US20080009266A1 (en) Communication Device, Wireless Network, Program, And Storage Medium
KR20160114620A (ko) 동적 네트워크 액세스 관리를 위한 방법들, 디바이스들 및 시스템들
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
US8102860B2 (en) System and method of changing a network designation in response to data received from a device
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
CN106060072B (zh) 认证方法以及装置
WO2019084340A1 (en) SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
CA3118320A1 (en) Client device authentication to a secure network
KR101117628B1 (ko) 비인가 무선 단말기의 접속을 탐지할 수 있는 무선 보안 시스템 및 그 방법
JP2017204697A (ja) ネットワークシステムおよびサーバ装置
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
CN111416815B (zh) 报文处理方法、电子设备和存储介质
JP2018097821A (ja) 制御装置および通信制御方法
KR20180131765A (ko) 관리자 모드 네트워크 접속관리시스템 및 접속 방법
CN114710302A (zh) 互联网访问的控制方法及其控制装置
KR101910604B1 (ko) 네트워크 접근 제어 시스템 및 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant