KR101923054B1 - 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 - Google Patents

시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 Download PDF

Info

Publication number
KR101923054B1
KR101923054B1 KR1020160158074A KR20160158074A KR101923054B1 KR 101923054 B1 KR101923054 B1 KR 101923054B1 KR 1020160158074 A KR1020160158074 A KR 1020160158074A KR 20160158074 A KR20160158074 A KR 20160158074A KR 101923054 B1 KR101923054 B1 KR 101923054B1
Authority
KR
South Korea
Prior art keywords
information
wired
wireless gateway
security
status
Prior art date
Application number
KR1020160158074A
Other languages
English (en)
Other versions
KR20180059611A (ko
Inventor
류동주
정동섭
Original Assignee
(주)휴네시온
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴네시온 filed Critical (주)휴네시온
Priority to KR1020160158074A priority Critical patent/KR101923054B1/ko
Publication of KR20180059611A publication Critical patent/KR20180059611A/ko
Application granted granted Critical
Publication of KR101923054B1 publication Critical patent/KR101923054B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 유무선 게이트웨이를 공격하는 악성코드 및 악성파일을 시그니쳐 기반으로 분석하여 탐지하고 이를 차단 및 보안 처리를 수행함으로써 유무선 게이트웨이 자체에 대한 공격 등 악성행위를 사전에 차단할 수 있는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법에 대한 것이다.
본 발명에 따른 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이는, 유무선 게이트웨이에 송수신되는 데이터를 시그니쳐 기반의 룰셋을 이용하여 분석하여 악성코드인지 여부를 판단하는 데이터 분석부 및 데이터 분석부의 분석 결과 악성코드로 판단된 데이터에 대하여 보안 정책을 실행하는 보안 처리부를 포함하는 것을 특징으로 한다.

Description

시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법{WIRE AND WIRELESS GATEWAY FOR DETECTING MALIGNANT ACTION AUTONOMOUSLY BASED ON SIGNATURE AND METHOD THEREOF}
본 발명은 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법에 대한 것으로, 더욱 상세하게는 유무선 게이트웨이를 공격하는 악성코드 및 악성파일을 시그니쳐 기반으로 분석하여 탐지하고 이를 차단 및 보안 처리를 수행함으로써 유무선 게이트웨이 자체에 대한 공격 등 악성행위를 사전에 차단할 수 있는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법에 대한 것이다.
최근 들어 모바일 디바이스의 사용이 빈번해지고 스마트 TV나 셋톱박스 등이 가정 내에 보편적으로 사용됨에 따라 대부분의 사용자 단말기들이 네트워크를 통해 서비스를 이용할 수 있는 형태로 진화하고 있다. 이에 따라, 사무실 뿐만 아니라 가정 내에서도 다양한 단말기들을 서로 연결하거나 특히 외부 인터넷 망에 연결하기 위하여 유무선 게이트웨이를 사용하고 있는 현실이다.
한편, 이와 같이 대부분의 사용자 단말기들이 유무선 네트워크에 연결되고 사용자 단말기에 중요한 사용자 정보(개인 정보, 카드와 같은 결제 정보 등)가 저장됨에 따라, 네트워크를 통해 사용자 단말기에 접근하여 사용자 단말기의 정상 동작을 방해하거나 사용자 정보를 빼 내가는 악성행위 역시 다양화되어 가고 있는 추세이다.
이러한 악성행위를 차단하기 위하여 스마트 폰이나 컴퓨터, 노트북 등에 다양한 백신 프로그램이나 방화벽 등을 설치하고는 있으나, 유무선 게이트웨이에 연결되는 사용자 단말기가 다양화하다 보니 보안에 취약한 사용자 단말기가 발생하게 된다. 이로 인해, 해당 단말기가 악성행위에 노출될 경우 네트워크를 통해 서로 연결된 댁내의 다른 사용자 단말기 역시 위험에 노출될 수 있는 문제점이 있었다.
한편, 사용자 단말기가 외부의 네트워크(예를 들어 인터넷)에 연결하기 위해서는 유무선 게이트웨이를 통해 연결되어야 하는데, 통상의 악성행위는 외부의 네트워크에서 전파된다. 따라서 악성 데이터가 댁내 망 등 내부 네트워크로 유입되기 이전에 유무선 게이트웨이 단에서 이러한 악성행위를 차단하는 것이 가장 효과적이라 할 것이다.
한편, 최근에는 유무선 게이트웨이에 악성코드가 감염되어 연결된 단말기를 공격하는 것이 아니라, 유무선 게이트웨이 자체를 공격하고 주변 네트워크 장비(공유기, 게이트웨이 등)를 감염시키거나 사용하지 못하게 하는 형태로 공격 형태가 변화하고 있다. 또한, 단말기에서의 공격이 아닌 유무선 게이트웨이 자체에서 외부 네트워크로 공격을 수행하도록 악성코드가 설정되는 경우도 발생하고 있다.
한편, 2016년 9월 미국 미라이(Mirai)에 펌웨어를 조작하여 판매한 IoT(Internet Of Things) 제품으로 인해 미국에서는 인터넷 마비가 발생하여 전량 수거 폐기해야 하는 일이 발생하기도 하였다. 특히, 미라이 봇넷(Mirai Botnet)은 보안이 취약한 IoT 제품을 매개로 하여 다른 단말기로 DDOS(Distributed Denial Of Service) 공격을 하는 등 문제가 발생되고 있다.
그러나 현재 유무선 게이트웨이의 펌웨어에 악성코드에 대한 취약점들이 내포되어진 상황에서 유무선 게이트웨이를 통한 전송 기법에 대한 방어 분석 기술은 전무한 상태이다. 따라서 유무선 게이트웨이의 펌웨어에서 동작하여 데이터를 유출하거나 취약점을 이용한 악성코드 송수신에 대한 방어 및 분석을 원활하게 하기 위한 기술이 매우 필요한 상황이다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제시된 것으로, 본 발명의 목적은 유무선 게이트웨이를 감염시켜 외부 네트워크를 공격하거나 유무선 게이트웨이 자체를 공격하는 악성행위를 탐지 및 차단할 수 있는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은 외부 네트워크로부터 전송된 데이터/파일을 시그니쳐 기반으로 분석하여 악성코드 및 악성파일을 탐지하고 이를 차단 및 보안 처리하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법을 제공하는 것이다.
상기의 목적을 달성하기 위하여, 본 발명에 따른 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이는, 유무선 게이트웨이를 공격하는 악성코드를 시그니쳐 기반으로 분석하여 탐지하고 보안 처리를 수행하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이로서, 유무선 게이트웨이에 송수신되는 데이터를 시그니쳐 기반의 룰셋을 이용하여 분석하여 악성코드인지 여부를 판단하는 데이터 분석부 및 데이터 분석부의 분석 결과 악성코드로 판단된 데이터에 대하여 보안 정책을 실행하는 보안 처리부를 포함하는 것을 특징으로 한다.
바람직하게는, 시그니쳐 기반의 룰셋이 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보를 포함하고, 데이터 분석부가 데이터의 확장자를 시그니쳐 기반의 룰셋과 비교하여 악성코드인지 여부를 판단한다. 이때, 보안 처리부는, 보안 정보를 제공하는 원격의 보안 정보 제공 서버로부터 확장자 정보를 포함한 보안 정보를 수신하고, 시그니쳐 기반의 룰셋을 업데이트한다. 더욱 바람직하게는, 보안 정보 제공 서버로 NSRL(National Software Reference Library)의 DB를 사용한다.
또한, 본 발명에 따른 유무선 게이트웨이는, 펌웨어가 로드되고, 펌웨어가 로드되는 영역이 외부의 접근이 차단되는 보안 영역 및 사용자 영역으로 구분되는 메모리를 더 포함하고, 보안 처리부는 운영체제를 보안 영역에 로드한다. 이때, 데이터 분석부는 메모리 중 사용자 영역을 모니터링한다.
또한, 본 발명에 따른 유무선 게이트웨이는, 유무선 게이트웨이의 상태정보를 주기적으로 수집하고, 수집된 상태정보를 분석하여 유무선 게이트웨이의 상태를 분석하는 상태 탐지부를 더 포함하고, 보안 처리부는 상태 탐지부의 분석 결과 유무선 게이트웨이의 상태가 비정상 상태인 경우 보안 정책을 실행한다.
또한, 상기의 다른 목적을 달성하기 위하여, 본 발명에 따른 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법은, 유무선 게이트웨이를 공격하는 악성코드를 시그니쳐 기반으로 분석하여 탐지하고 보안 처리를 수행하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법으로서, 유무선 게이트웨이에 송수신되는 데이터를 시그니쳐 기반의 룰셋을 이용하여 분석하여 데이터가 악성코드인지 여부를 판단하는 단계, 그리고 데이터가 악성코드로 판단되면 데이터에 대하여 보안 정책을 실행하는 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 시그니쳐 기반의 룰셋이 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보를 포함하고, 데이터가 악성코드인지 여부를 판단하는 단계가, 데이터의 확장자를 시그니쳐 기반의 룰셋과 비교하여 악성코드인지 여부를 판단하는 단계를 포함한다. 이때, 보안 정보를 제공하는 원격의 보안 정보 제공 서버로부터 확장자 정보를 포함한 보안 정보를 수신하는 단계와, 시그니쳐 기반의 룰셋을 업데이트하는 단계를 더 포함한다. 또한, 보안 정보 제공 서버로는 NSRL(National Software Reference Library)의 DB를 사용하는 것이 바람직하다.
또한, 펌웨어가 로드되는 메모리 영역을 외부의 접근이 차단되는 보안 영역 및 사용자 영역으로 구분하는 단계, 그리고 운영체제를 보안 영역에 로드하는 단계를 더 포함하고, 데이터가 악성코드인지 여부를 판단하는 단계가, 메모리 중 사용자 영역을 모니터링하는 단계를 포함한다.
또한, 유무선 게이트웨이의 상태정보를 주기적으로 수집하는 단계, 수집된 상태정보를 분석하여 유무선 게이트웨이의 상태를 분석하는 단계, 그리고 분석 결과 유무선 게이트웨이의 상태가 비정상 상태인 경우 보안 정책을 실행하는 단계를 더 포함한다.
이상 설명한 바대로, 본 발명에 따른 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법은 유무선 게이트웨이를 감염시켜 외부 네트워크를 공격하거나 유무선 게이트웨이 자체를 공격하는 악성행위를 효과적으로 탐지 및 차단할 수 있다.
또한, 펌웨어를 보안 영역(시큐어 영역)과 사용자 영역으로 나누고 운영체제는 보안 영역에 로드되도록 함으로써 외부의 악성행위로부터 운영체제를 보호할 수 있다. 또한, 사용자 영역은 주기적/지속적으로 모니터링하여 악성행위를 탐지 및 차단할 수 있다.
또한, 외부 네트워크로부터 전송된 데이터/파일을 시그니쳐 기반으로 분석함으로써 파일의 확장자(포맷)를 변경하여 전송되는 악성코드 및 악성파일을 효과적으로 탐지할 수 있다.
또한, 파일의 확장자를 변경하여 악성파일이 유입되는 것을 사전에 차단할 뿐만 아니라, 악성파일이 이미 유입된 상황에서도 펌웨어에 대한 메모리 및 주요 상주 영역에 대한 보호 모니터링을 수행하여 지속적인 감시 체계 확보가 가능하다.
도 1은 본 발명에 따른 유무선 게이트웨이의 구성도이다.
도 2a 및 도 2b는 본 발명에 따른 유무선 게이트웨이의 상태정보의 예를 도시한 도이다.
도 3은 본 발명에 따른 유무선 게이트웨이에 대한 악성행위 탐지 과정의 흐름도이다.
이하에서는, 첨부한 도면을 참조하여 본 발명의 장점, 특징 및 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 유무선 게이트웨이의 구성도이다.
유무선 게이트웨이(100)는 유선 또는 무선으로 연결된 단말기(미도시)을 외부 네트워크에 연결하여 데이터 패킷을 송수신하는 기능을 수행한다. 유무선 게이트웨이(100)에 연결되는 단말기는 스마트 폰, 태블릿 PC, 스마트 워치 등의 모바일 디바이스, 스마트 TV, 셋톱박스, 노트북, 데스크탑 컴퓨터 등 네트워크에 연결되어 관련 기능을 제공할 수 있는 다양한 단말기를 포함한다. 도 1에 도시한 바와 같이, 본 발명에 따른 유무선 게이트웨이(100)는, 통신부(110), 메모리(120), 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160)를 포함한다. 한편, 도 1에서는 유무선 게이트웨이(100)의 일부 구성만을 도시한 것으로, 이외에도 일반적인 유무선 게이트웨이의 동작을 위한 구성이 포함될 수 있음은 물론이다.
또한, 도 1에서 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160)는 본 발명의 특징을 설명하기 위하여 기능적으로 구분하여 도시한 것으로, 실제로 각 구성부는 서로 분리 또는 통합되거나 유무선 게이트웨이(100)의 다른 구성부의 일부로 구성될 수 있다. 예를 들어, 데이터 분석부(130)와 상태 탐지부(140)는 하나의 구성부로 이루어질 수도 있으며, 데이터 분석부(130)는 통신부(110)에 내부에 포함된 형태로 구성될 수도 있다. 또한, 상기 각 구성부들은 프로그램 또는 S/W(Software) 형태로 구성되거나 회로 또는 칩셋 등 H/W(Hardware) 형태로 구성될 수도 있으며, S/W와 H/W가 복합된 형태로 구성될 수도 있다.
또한, 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160) 등은 유무선 게이트웨이(100)의 내부에 일종의 에이전트(Agent) 형태로 구성될 수도 있고, 별도의 물리적 또는 H/W적으로 독립된 형태로 구성될 수도 있다.
여기서, 에이전트란 특정 목적에 대하여 작업을 수행하는 자율적 프로세스로서, OS/네트워크 등의 안에서 동작할 수 있다. 또한, 에이전트는 다른 에이전트와 정보 교환 및 통신을 통해 문제를 해결할 수 있다. 따라서 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160) 등은 유무선 게이트웨이(100)의 하나의 구성요소로서 구성되지만 유무선 게이트웨이의 다른 구성요소와는 독립적으로 동작하여 유무선 게이트웨이에 대한 악성행위나 악성코드 또는 악성파일을 탐지 및 차단하게 된다. 또한, 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160)는 각 구성부 간 또는 유무선 게이트웨이(100)의 다른 구성부와 데이터 버스(data bus)와 같은 장치 내부 데이터 통신 인터페이스를 통해 데이터를 송수신할 수 있다.
한편, 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160)가 물리적 또는 H/W적으로 독립된 형태로 구성될 경우 상기 각 구성부들은 유무선 게이트웨이(100)와 USB 형태 또는 SoC(System On Chip) 형태로 (통신) 연결될 수 있다. 즉, 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안 정보 데이터베이스(160)가 별도의 장치 또는 칩셋 형태로 구성되어 유무선 게이트웨이(100)와 별도의 인터페이스를 통해 연결될 수 있다.
한편, 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150)는 원격의 보안 관리 서버(200) 등과 통신함에 있어서 통신부(110)를 통해 통신을 수행할 수도 있고, 별도의 통신부를 구비하여 별도의 통신부를 통해 통신을 수행할 수도 있다.
통신부(110)는 유선 또는 무선으로 통신 연결된 단말기에 IP를 할당하고 외부 네트워크를 통신 연결하여 데이터(패킷)를 송수신할 수 있도록 한다.
메모리(120)는 유무선 게이트웨이(100)의 동작에 필요한 데이터/파일이 로드되거나 유무선 게이트웨이의 펌웨어(Firmware)가 로드된다. 메모리(120)는 RAM(Random Access Memory), 플래시(Flash) 메모리 등을 포함한다.
한편, 본 발명에 따른 메모리(120) 중 펌웨어가 로드되는 영역은 보안(Secure) 영역과 사용자 영역으로 구분되도록 구성된다. 그리고 보안 처리부(150)의 제어 하에, 운영체제(OS: Operating System)는 펌웨어의 보안 영역에 로드되도록 한다. 보안 영역은 일반적인 외부로부터의 접근이 차단되는 보호 영역이며, 사용자 영역은 통상의 RAM과 같이 외부로부터의 접근 및 데이터의 읽기/쓰기가 가능한 영역을 의미한다. 통상적으로, 특정 시스템에 악성코드가 내부 감염될 경우 RAM에 악성코드가 로드(load)되고 펌웨어나 운영체제를 강제로 악성코드에 삽입하는 형태로 진행되는 것이 대부분이다. 따라서 본 발명에서는 메모리(120) 중 펌웨어가 로드되는 영역을 보안 영역과 사용자 영역으로 구분하고 운영체제를 보안 영역에 로드함으로써, 운영체제에 악성코드가 감염되거나 악성행위가 이루어지는 것을 차단한다.
데이터 분석부(130)는 통신부(110)와 메모리(120)의 펌웨어 로드 영역 중 사용자 영역을 모니터링한다. 즉, 데이터 분석부(130)는 통신부(110)를 통해 송수신되는 데이터 패킷을 분석하고, 상기 사용자 영역의 데이터(로드되거나 유입되는 데이터)를 분석한다.
데이터 분석부(130)는 통신부(110)와 메모리(120)의 사용자 영역의 데이터를 분석함에 있어 시그니쳐(Signature) 기반의 룰셋(Rule Set)을 이용하여 악성코드를 탐지/인식한다. 시그니쳐는 정책 위반, 취약한 상태, 침입과 관련되었을 수 있는 활동을 나타내는 작업의 상태 또는 패턴이다. 시그니쳐에 관한 정보로는 속성, 설명 텍스트가 포함될 수 있다. 본 발명에서 시그니쳐는 파일의 확장자를 포함한다. 한편, 시그니쳐 기반 룰셋은 기존의 침입차단시스템(IPS: Intrusion Prevention System)의 PCRE(Perl Compatible Regular Expressions) 룰셋과 유사하게 구성될 수 있다. 일반적으로 기존의 악성코드는 파일 확장자를 변경하여 시스템을 속이면서 유입된다. 또한, 악성코드/파일 그 자체를 위와 같이 확장자를 변경하거나, 위와 같은 확장자를 갖는 파일 안에 악성코드를 감추고 유입되기도 한다. 예를 들어, 운영체제로 윈도우즈를 사용하는 시스템의 경우 .exe 확장자로 변경하여 유입을 시도하지만 Patch 형태(.pat 확장자)로 변경하기도 한다. 또한, 위와 같은 확장자 이외에도 문서 파일 형태(.pdf, .hwp, .doc 등)로 변경하기도 한다. 이러한 확장자를 갖는 파일이 시스템 내부로 들어오게 되면 확장자와 관계없이 업데이트나 기타 설정들이 실행되어 악성코드가 시스템에 감염되게 된다. 한편, 유무선 게이트웨이의 경우 대부분 리눅스 운영체제를 사용하므로 위와 같은 확장자의 파일이 전혀 대입되지 않는다. 따라서 데이터 분석부(130)는 이러한 확장자가 정의된 시그니쳐 기반의 룰셋을 이용하여 통신부(110)와 메모리(120)의 데이터를 모니터링 및 분석하게 된다. 즉, 데이터 분석부(130)는 악성파일을 패킷에서 전체적으로 모니터링 및 분석하는 것이 아니라 해당 파일의 확장자를 분석하여 악성코드 또는 악성파일인지 여부를 판단하게 된다. 한편, 시그니쳐 기반의 룰셋은 후술하는 제1 보안 정보 데이터베이스(160)에 저장될 수도 있고, 보안 관리 서버(200)에 의해 제공될 수도 있다. 시그니쳐 기반의 룰셋이 보안 관리 서버(200)에 의해 제공되는 경우, 데이터 분석부(130)는 보안 관리 서버(200)와 연계하여 데이터 분석을 진행할 수 있다. 즉, 보안 관리 서버(200)와 통신 연결된 상태에서 통신부(110)와 메모리(120)에서 모니터링된 데이터의 확장자 정보를 보안 관리 서버에 저장된 시그니쳐 기반의 룰셋과 비교하여 분석 및 검증할 수 있다. 데이터 분석부(130)의 분석결과 악성코드 또는 악성파일로 판단되는 경우 이에 대한 정보(데이터 분석 정보)를 보안 처리부(150)로 전송한다. 데이터 분석 정보는, 분석한 데이터의 이름, 타입(확장자), 전송 유형(송신 또는 수신), 목적지 및 출발지 정보, 송수신 시간 및 분석결과(악성코드/악성파일 여부, 악성코드/악성파일 종류 등) 등을 포함할 수 있다.
상태 탐지부(140)는 유무선 게이트웨이(100) 내에서 발생하는 각종 외부 공격 및 내부 악성코드 감염에 의한 이상 동작을 확인하기 위해 시스템 자원 및 각종 변경 이력 등을 주기적으로 수집한다. 구체적으로, 상태 탐지부(140)는 유무선 게이트웨이의 각 구성부로부터 다양한 이벤트 정보 및 데이터를 수신한다. 또한, 상태 탐지부(140)는 주기적으로 유무선 게이트웨이의 시스템 자원(CPU, 메모리, 저장공간)의 사용량 등을 주기적으로 모니터링하고, 통신부(110)를 통한 송수신 데이터 트래픽 등을 주기적으로 모니터링한다. 상태 탐지부(140)는 유무선 게이트웨이(100) 내부에서 데이터 값을 추출하기 위하여 시스템 정보가 되는 CPU사용량과 메모리 사용량 등이 기록/저장된 디렉토리를 분석할 수도 있다. 한편, 무선 시그널(signal) 중 정상적 시그널과 비정상적 시그널을 분석하기 위하여, 상태 탐지부(140)는 AI(Artificial Intelligence) 및 머신러닝 기법을 이용하여 무선 시그널에 대한 데이터도 수집할 수 있다.
상태 탐지부(140)에 의해 수집되는 상태정보는 시스템 및 네트워크 상태정보와 보안 이벤트 정보를 포함할 수 있다. 상태정보는 도 2a 및 도 2b를 참조하여 설명한다. 도 2a 및 도 2b는 본 발명에 따른 유무선 게이트웨이의 상태정보의 예를 도시한 도로서, 도 2a는 시스템 및 네트워크 상태정보의 예를 도시한 도이고, 도 2b는 보안 이벤트 정보의 예를 도시한 도이다.
도 2a에 도시한 바와 같이, 상태정보 중 시스템 및 네트워크 상태정보는 시스템 상태정보 및 네트워크 상태정보를 포함할 수 있다. 시스템 상태정보는 CPU 사용량(use_cpu), 메모리(RAM) 사용량(use_memory), 저장공간(Disk) 사용량(use_disk)을 포함한다. 또한, 네트워크 상태정보는 외부로부터 유무선 게이트웨이(100)로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 유무선 게이트웨이로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함한다. 상태 탐지부(140)는 유무선 게이트웨이(100)의 시스템 자원의 사용 상태를 모니터링하거나, 유무선 게이트웨이의 시스템 자원의 사용량 정보가 저장되는 디렉토리를 확인함으로써 시스템 상태정보를 수집할 수 있다. 또한, 상태 탐지부(140)는 유무선 게이트웨이(100)의 통신부(110)를 통한 송수신 데이터의 트래픽을 모니터링함으로써 네트워크 상태정보를 수집할 수 있다.
다음으로, 도 2b에 도시한 바와 같이, 상태정보 중 보안 이벤트 정보는 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit), 스캔 공격 정보(Scan), 시스템 DOS(Denial Of Service) 공격 정보(SysDos), 네트워크 DOS 공격 정보(NetDos) 및 DNS 파밍(Pharming) 공격 정보(DNSPharm) 등을 포함한다. 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit)는 무결성 검사 결과(hash_check), 해쉬 알고리즘(hash_sign) 및 해쉬값(hash_info) 등을 포함하며, 스캔 공격 정보(Scan)는 스캔 공격 유형(scan_type) 및 스캔 대상 정보(scan_info) 등을 포함한다. 스캔 공격은 IP 스캔을 통한 공격 및 포트 스캔을 통한 공격으로 구분할 수 있다. 시스템 DOS 공격 정보(SysDos)는 시스템 공격 유형(sysd_type), 발생량(usage) 및 시스템 정보(message)를 포함하고, 네트워크 DOS 공격 정보(NetDos)는 네트워크 공격 유형(nets_type), 목적지 IP 주소(dst_ip), 서비스 포트 번호(port_num) 및 발생량(burst_count)을 포함한다. 그리고 DNS 파밍 공격 정보(DNSPharm)는 파밍 IP 주소(pharm_ip) 및 접속 URL 정보(url_info)를 포함한다. 파밍 IP 주소는 파밍 공격을 통해 접속을 유도하려는 IP 주소이고, 접속 URL 정보는 사용자가 접속을 시도한 URL 정보이다. 상태 탐지부(140)는 유무선 게이트웨이(100)의 시스템 자원 및 각종 변경 이력 등을 모니터링 및 수집하고 이를 통해 각종 외부 공격 및 내부 악성코드 감겸에 의한 이상 동작, 즉 보안 이벤트 정보를 수집할 수 있다. 또한, 상태 탐지부(140)는 유무선 게이트웨이(100)가 사전에 정의된 행위 명령 이외의 행위를 할 경우 이를 수집 및 비교 분석함으로써 보안 이벤트 정보를 수집할 수도 있다. 예를 들어, 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit)의 경우, 상태 탐지부(140)는 유무선 게이트웨이의 제어부(미도시)에 의한 펌웨어 무결성 검사 결과를 수집하는 방식으로 정보를 수집할 수 있다.
다시 도 1을 참조하여 상태 탐지부(140)에 대하여 설명한다.
상태 탐지부(140)는 수집한 상태정보를 분석하여 유무선 게이트웨이(100)의 상태를 판단한다. 구체적으로, 상태 탐지부(140)는 유무선 게이트웨이(100)의 정상 상태정보와 수집된 상태정보(현재 상태정보)를 비교하여 유무선 게이트웨이가 현재 정상 상태(정상 동작)인지 비정상 상태(비정상 동작, 악성행위에 감염 등)인지를 판단한다. 정상 상태정보는 제1 보안 정보 데이터베이스(160)에 저장될 수 있으며, 보안 관리 서버(200)로부터 제공될 수도 있다.
정상 상태정보는 유무선 게이트웨이(100)의 정상 동작 상태에 대한 정보(일종의 기준값)로서, 유무선 게이트웨이의 제조시 설정될 수도 있고 이후 펌웨어 업데이트 등을 통해 제공될 수도 있다. 또한, 유무선 게이트웨이(100)의 상태정보를 지속적으로 모니터링하면서 유무선 게이트웨이의 성능 연관성을 고려하여 평균 임계치를 선택 및 업데이트함으로써 정상 상태정보를 업데이트할 수도 있다. 유무선 게이트웨이(100)는 사용 환경과 사용 기간에 따라 그 성능과 상태정보가 달라질 수 있다. 즉, 유무선 게이트웨이(100)에 통신 연결되는 단말기가 많거나 사용자가 많은 데이터를 송수신하는 경우 데이터 트래픽이 많을 수밖에 없으며, 사용 기간이 늘어날수록 시스템 자원의 성능이 저하된다. 물론 유무선 게이트웨이(100)의 최적의 상태를 고려하여 정상 상태정보를 설정하고 정상 상태정보 대비 임계 범위를 넘어가는 경우 비정상 상태로 판단하여 그에 따른 처리(보안정책 실행 등)를 수행할 수도 있지만, 유무선 게이트웨이의 사용 환경 상 정상적으로 동작 중임에도 불필요하게 비정상 상태에 따른 처리가 이루어질 수도 있다. 따라서 본 발명에 따른 상태 탐지부(140)는 유무선 게이트웨이(100)의 상태정보를 지속적으로 모니터링하여 그 평균값을 정상 상태정보에 반영함으로써 유무선 게이트웨이의 사용 환경 및 현재 상태에 적합하도록 정상 상태정보를 업데이트한다.
상태 탐지부(140)는 수집한 상태정보(현재 상태정보)와 정상 상태정보를 비교하여 현재 상태정보가 정상 상태정보의 범위 내인지 판단한다. 만일, 현재 상태정보가 정상 상태정보의 범위를 벗어나는 경우(예를 들어 정상 상태정보 보다 큰 경우) 일정 시간 현재 상태정보를 지속적으로 확인하여 지속적으로 정상 상태정보의 범위를 벗어나는 현재 상태정보가 수집되는 경우 유무선 게이트웨이(100)의 상태를 비정상 상태로 판단한다. 반면, 현재 상태정보가 정상 상태정보의 범위 내인 경우(예를 들어 정상 상태정보 보다 작은 경우) 상태 탐지부(140)는 유무선 게이트웨이(100)의 상태를 정상 상태로 판단한다. 상태 탐지부(140)는 현재 상태정보 분석 결과 유무선 게이트웨이(100)의 상태를 비정상 상태로 판단한 경우, 비정상 상태 유형도 함께 판단할 수 있다. 구체적으로, 상태 탐지부(140)는 도 2a 및 도 2b에 도시한 각 유형별 상태정보에 대하여 현재 상태정보와 정상 상태정보를 비교하고, 정상 상태정보의 범위를 벗어난 현재 상태정보의 유형을 비정상 상태 유형으로 판단할 수 있다. 비정상 상태 유형은 시스템 비정상 상태, 네트워크 비정상 상태 및 보안 비정상 상태를 포함할 수 있다.
또한, 상태 탐지부(140)는 네트워크 상태정보를 고려하여 시스템 상태정보를 분석함으로써 유무선 게이트웨이(100)의 상태를 판단할 수 있으며, 정상 상태정보 역시 네트워크 상태정보별로 시스템 상태정보를 다르게 설정할 수 있다. 일반적으로, 유무선 게이트웨이(100)가 데이터를 다운로드(수신) 중일 경우 CPU와 메모리 등 시스템 자원을 대부분 사용한다. 하지만, 유무선 게이트웨이(100)가 데이터를 업로드(송신) 중일 경우에는 다운로드에 비해 시스템 지원을 적게 사용한다. 따라서 CPU 사용량의 정상 상태정보를 다운로드(수신)의 경우 80%, 업로드(송신)의 경우 50%와 같이 설정할 수 있다. 또한, 상태 탐지부(140)는 네트워크 상태정보의 수신 데이터와 송신 데이터의 바이트/패킷수를 확인하여 유무선 게이트웨이(100)의 데이터 흐름(데이터 수신 또는 송신)을 판단하고 유무선 게이트웨이의 연결된 세션 수를 확인한 후, 그에 따른 정상 상태정보를 기준으로 시스템 자원이 정상 범위 내인지 판단할 수 있다. 예를 들어, 유무선 게이트웨이(100)가 데이터를 업로드(송신) 중이거나 연결된 세션이 없는데도 CPU와 메모리 등 시스템 자원의 사용량이 높은 경우 악성행위 및 공격이 발생하고 있는 것으로 판단할 수 있다.
상태 탐지부(140)의 분석 결과 유무선 게이트웨이(100)가 비정상 상태인 경우 이에 대한 정보(상태 분석 정보)를 보안 처리부(150)로 전송한다. 상태 분석 정보는, 현재 상태정보, 상태정보 수집 시간 및 분석 결과(비정상 상태 유형 등) 등을 포함할 수 있다.
보안 처리부(150)는 데이터 분석부(130) 및/또는 상태 탐지부(140)의 모니터링 및 분석 결과 유무선 게이트웨이(100)에 이상이 발생한 경우, 즉 악성코드/악성파일 감염 또는 악성행위가 탐지되는 경우 그에 따른 보안 정책을 실행한다. 보안 정책은 제1 보안 정보 데이터베이스(160)에 저장될 수도 있고, 보안 관리 서버(200)로부터 제공될 수도 있다.
구체적으로, 데이터 분석부(130)의 모니터링 및 분석 결과 파일 타입(확장자)의 변경에 의한 악성코드/악성파일의 송수신이 감지되는 경우, 보안 처리부(150)는 해당 데이터/파일을 감염 이전 상태로 복구를 시도하고 복구가 불가능한 경우 별도 공간에 격리하거나 삭제한다.
또한, 상태 탐지부(140)의 모니터링 및 분석 결과 유무선 게이트웨이(100)가 비정상 상태로 판단되는 경우 보안 처리부(150)는 비정상 상태의 유형, 즉 악성행위의 유형에 따라 유무선 게이트웨이(100)의 재부팅, 초기화, 펌웨어 등의 재설치 등 보안 정책을 실행한다. 예를 들어, 상태 탐지부(140)의 메모리에 대한 상태정보 분석 결과 악성파일이 유입되어 펌웨어의 취약점을 공격한 것으로 판단되는 경우, 보안 처리부(150)는 악성파일을 삭제하기 위해 유무선 게이트웨이(100)를 재부팅하고 원 설치 파일 복원 기능을 수행할 수 있다. 또한, 상태 탐지부(140)의 분석 결과 유무선 게이트웨이(100)가 주변의 게이트웨이나 단말기 등 외부기기와 접속이 이루어지지 않은 상태에서 스스로 특정 행위를 하는 경우(사전 정의된 행동 파일 이외의 행위 명령들) 보안 처리부(150)는 유무선 게이트웨이가 외부로 악성 공격을 수행하는 것으로 판단하여 모든 활동을 강제로 중지 시키고 신뢰된 기존의 운영체제 및 설정 파일을 복원 또는 초기화 과정을 수행할 수 있다.
보안 처리부(150)는 보안 정책을 실행한 후 보안 처리결과 정보를 보안 관리 서버(200)로 전송한다. 보안 처리결과 정보는, 악성행위의 종류 및 정보, 발생 시간, 실행한 보안 정책 정보 및 처리 결과 등을 포함할 수 있다.
한편, 보안 처리부(150)는 데이터 분석부(130) 및 상태 탐지부(140)의 모니터링 및 분석 결과 악성행위가 탐지되는 경우 이를 유무선 게이트웨이(100)에 구비되는 별도의 출력장치(미도시)를 통해 출력할 수 있다. 출력장치는 유무선 게이트웨이가 정상 상태일 때와 비정상 상태일 때 이를 사용자가 식별 가능하도록 (시각 또는 음향) 정보를 출력하며, 디스플레이, 유무선 게이트웨이의 상태에 따라 다른 색을 발광하는 LED 램프, 유무선 게이트웨이가 비정상 상태인 경우 경고음을 출력하는 스피커 중 하나 이상이 사용될 수 있다. 실시예에 따라 출력장치는 상태 탐지부(140)가 수집한 상태정보(예를 들어 시스템 상태정보)를 사용자가 확인할 수 있도록 UI(User Interface)를 구성하여 출력할 수 있다.
제1 보안 정보 데이터베이스(160)는 데이터 분석부(130)의 데이터 분석을 위한 시그니쳐 기반의 룰셋, 상태 탐지부(140)의 상태정보 분석을 위한 정상 상태정보, 보안 처리부(150)의 악성행위 처리를 위한 기준인 보안 정책을 저장한다. 시그니쳐 기반의 룰셋, 정상 상태정보 및 보안 정책은 보안 관리 서버(200)로부터 제공된 정보를 저장할 수도 있다. 특히, 시그니쳐 기반의 룰셋 및 보안 정책은 보안 관리 서버(200)로부터 주기적으로 정보를 수신하여 업데이트할 수 있다. 또한, 상태 탐지부(140)에 의해 정상 상태정보가 유무선 게이트웨이의 상태를 반영하여 업데이트되는 경우, 제1 보안 정보 데이터베이스(160)에 저장된 정상 상태정보를 업데이트한다. 또한, 제1 보안 정보 데이터베이스(160)는 데이터 분석부(130)의 데이터 분석 결과 정보 및 로그값, 상태 탐지부(140)가 수집한 현재 상태정보 및 상태정보 분석 결과, 보안 처리부(150)의 보안 정책 처리 결과(처리 로그값)를 저장할 수도 있다.
보안 관리 서버(200)는 유무선 게이트웨이(100)와 통신 연결되며 유무선 게이트웨이와 연동하여 유무선 게이트웨이에 대한 악성 공격을 탐지 및 차단한다. 보안 관리 서버(200)는 웹 서버(210), 보안 관리부(220), 제2 보안 정보 데이터베이스(230) 및 보안 정책 데이터베이스(240)를 포함한다.
웹 서버(210)는 유무선 게이트웨이(100)의 보안 처리결과 및 상태정보 등을 제공하는 웹 페이지를 제공 및 관리한다. 웹 서버(210)는 상태 탐지부(140)에 의해 수집된 상태정보를 실시간으로 수신하여 상기 웹 페이지를 통해 제공할 수 있다. 또한, 보안 처리부(150)에 의해 전송된 보안 처리결과 정보 역시 상기 웹 페이지를 통해 제공할 수 있다. 한편, 웹 서버(210)는 상기 웹 페이지를 통해 사용자가 유무선 게이트웨이(100)의 설정을 변경하거나 유무선 게이트웨이의 상태에 따른 보안 정책 실행을 선택 또는 설정하기 위한 UI를 제공할 수도 있다.
보안 관리부(220)는 유무선 게이트웨이(100)의 보안 관리, 즉 악성행위의 판단/분석과 보안 정책 실행 과정을 수행하거나 유무선 게이트웨이의 각 구성부의 동작을 보조할 수 있다. 예를 들어, 보안 관리부(220)는 데이터 분석부(130)와 연동하여 통신부(110)와 메모리(120)의 데이터를 시그니쳐 기반으로 분석할 수 있다. 또한, 보안 관리부(220)는 상태 탐지부(140)와 연동하여 유무선 게이트웨이의 상태정보를 분석할 수 있다. 또한, 보안 처리부(220)는 유무선 게이트웨이(100)의 보안 관리를 위한 정보/데이터의 관리 및 업데이트를 수행할 수도 있다. 구체적으로, 보안 처리부(220)는 데이터 분석부(130)의 데이터 분석 기준이 되는 시그니쳐 기반의 룰셋을 업데이트하고, 상태 탐지부(140)의 상태정보 분석 기준인 정상 상태정보의 업데이트를 관리할 수 있다. 또한, 보안 처리부(150)에 의해 실행되는 보안 정책을 최신 보안 정보를 반영하여 업데이트한다. 한편, 시그니쳐 기반의 룰셋을 업데이트하기 위하여 보안 정보 제공 서버(300)로부터 해당 정보를 주기적으로 수신하여 업데이트할 수 있다.
제2 보안 정보 데이터베이스(230)는 시그니쳐 기반의 룰셋을 저장한다. 상기한 바와 같이 시그니쳐 기반의 룰셋은 보안 정보 제공 서버(300)로부터 주기적으로 정보를 업데이트하여 저장한다. 제2 보안 정보 데이터베이스(230)는 유무선 게이트웨이(100)의 정상 상태정보를 저장할 수 있다. 또한, 제2 보안 정보 데이터베이스(230)는 유무선 게이트웨이(100)의 보안 관리 정보, 즉 데이터 분석부(130)에 의한 데이터 분석 정보, 상태 탐지부(140)에 의한 상태 분석 정보 및 보안 처리부(150)에 의한 보안 처리결과 정보를 유무선 게이트웨이(100)로부터 수신하여 저장할 수도 있다.
보안 정책 데이터베이스(240)는 보안 처리부(150)에 의해 실행될 보안 정책을 저장한다. 상기한 바와 같이 보안 정책은 최신 보안 정보를 반영하여 주기적으로 업데이트되도록 한다.
보안 정보 제공 서버(300)는 시그니쳐 기반의 룰셋에 포함될 보안 정보, 즉 악성코드/악성파일의 확장자 변경에 대한 정보를 보안 관리 서버(200)에 제공한다. 보안 정보 제공 서버(300)에 의해 제공된 정보는 보안 관리 서버(200)의 제2 보안 정보 데이터베이스(230)에 업데이트 저장되며, 유무선 게이트웨이(100)에도 제공되어 제1 보안 정보 데이터베이스(160)에 업데이트 저장될 수도 있다. 실시예에 따라, 보안 정보 제공 서버(300)는 보안 관리 서버(200)를 거치지 않고 유무선 게이트웨이(100)로 직접 보안 정보를 제공할 수도 있다. 즉, 유무선 게이트웨이(100)의 데이터 분석부(130)나 보안 처리부(150) 또는 별도의 구성부에서 보안 정보 제공 서버(300)에 직접 접속하여 보안 정보를 요청 및 수신할 수도 있다. 바람직하게는, 보안 정보 제공 서버(300)로 NSRL(National Software Reference Library)의 DB를 사용한다. NSRL은 미국에서 지속적으로 업데이트 및 제공하는 보안 정보 라이브러리로 악성코드/악성파일의 확장자 변경과 관련하여 최신의 파일 확장자 관련 정보를 수신할 수 있다. 따라서 악성코드/악성파일의 확장자 변경을 통한 공격에 보다 효과적으로 대응할 수 있게 된다.
도 3은 본 발명에 따른 유무선 게이트웨이에 대한 악성행위 탐지 과정의 흐름도이다. 이하에서는, 도 3을 참조하여 본 발명에 따른 유무선 게이트웨이에 대한 악성행위 탐지 과정에 대하여 설명한다.
메모리(120) 중 펌웨어가 로드되는 영역을 보안 영역과 사용자 영역으로 구분하고, 보안 처리부(150)의 제어 하에 운영체제를 보안 영역에 로드한다(ST100).
이후, 데이터 분석부(130)는 통신부(110)를 통해 송수신 되는 데이터 및 메모리(120) 중 사용자 영역의 데이터를 모니터링하고 분석한다(ST110, ST120). 이때, 데이터 분석부(130)는 시그니쳐 기반의 룰셋을 이용하여 분석 대상 데이터의 시그니쳐를 분서한다. 즉, 악성코드나 악성파일이 시그니쳐 기반의 룰셋에 정의된 확장자와 같이 변경하여 유입되는 것을 탐지한다.
데이터 분석부(130)는 분석 결과 악성코드/악성파일이 발견되지 않은 경우 계속해서 모니터링 및 분석을 계속하고, 악성코드/악성파일이 발견된 경우 데이터 분석 정보를 보안 처리부(150)로 전송한다(ST130).
보안 처리부(150)는 데이터 분석 정보를 통해 악성행위 유형, 즉 악성코드/악성파일의 유형(종류)을 판단하고 그에 따라 보안 정책을 실행한다(ST170, ST180). 예를 들어, 보안 처리부(150)는 해당 데이터/파일을 감염 전 상태로 복구를 시도하거나, 복구가 불가능한 경우 별도 영역에 격리하거나 삭제할 수 있다.
한편, 상태 탐지부(140)는 유무선 게이트웨이(100)의 상태정보를 주기적으로 수집하고, 수집한 상태정보를 정상 상태정보와 비교하는 방식으로 분석하여 유무선 게이트웨이(100)의 상태를 판단한다(ST140, ST150).
상태 탐지부(140)는 분석 결과 유무선 게이트웨이(100)가 정상 상태로 판단되는 경우 계속해서 상태정보를 수집 및 분석하고, 유무선 게이트웨이가 비정상 상태로 판단되는 경우 상태 분석 정보를 보안 처리부(150)로 전송한다(ST160).
보안 처리부(150)는 상태 분석 정보를 통해 악성행위의 유형을 판단하고 보안 정책을 실행한다(ST170, ST180).
한편, 보안 정보 제공 서버(300)로부터 보안 정보가 수신되면 보안 처리부(150)는 수신된 정보를 시그니쳐 기반의 룰셋에 반영하여 업데이트한 후 제1 보안 정보 데이터베이스(160)에 저장한다(ST190). 이때, 보안 제공 서버(300)로부터 전송되는 보안 정보는 시그니쳐 기반의 룰셋에 포함될 정보로서, 악성코드/악성파일이 변경을 시도하는 최신 확장자 정보를 포함한다. 보안 정보는 보안 제공 서버(300)로부터 유무선 게이트웨이(100)로 직접 제공될 수도 있고, 보안 관리 서버(200)를 통해 제공될 수도 있다. 바람직하게는, 보안 정보 제공 서버(300)로 NSRL의 DB를 사용한다.
한편, 상기에서는 본 발명의 구성이 유무선 게이트웨이에 적용된 실시예를 중심으로 설명하였으나, 유무선 게이트웨이 이외에도 유무선 공유기 또는 다양한 네트워크 장비에 적용될 수 있음은 물론이다. 따라서 네트워크 장비로 유입되는 악성코드/악성파일을 시그니쳐 기반으로 분석하여 신속하게 탐지하여 네트워크 장비에 유입되는 것을 차단할 수 있다. 또한, 악성코드/악성파일이 이미 유입된 경우에도 네트워크 장비의 상태정보를 수집 및 분석함으로써 악성행위를 쉽게 탐지하고 필요한 보안 조치를 취할 수 있다. 이를 통해 네트워크 장비 자체에 대한 악성공격을 효과적으로 방어할 수 있으며, 네트워크 장비에 연결되어 있는 단말기나 다른 네트워크 장비로 악성코드/악성파일이 전염되는 것을 방지할 수 있다.
본 발명의 바람직한 실시예에 대해 특정 용어들을 사용하여 기재하였으나, 그러한 기재는 오로지 본 발명을 설명하기 위한 것이며, 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않는 범위 내에서 다양하게 변경될 수 있는 것으로 이해되어야 한다.
100: 유무선 게이트웨이 110: 통신부
120: 메모리 130: 데이터 분석부
140: 상태 탐지부 150: 보안 처리부
160: 제1 보안 정보 DB 200: 보안 관리 서버
210: 웹 서버 220: 부안 관리부
230: 제2 보안 정보 DB 240: 보안 정책 DB
300: 보안 정보 제공 서버

Claims (13)

  1. 유무선 게이트웨이를 공격하는 악성코드를 시그니쳐 기반으로 분석하여 탐지하고 보안 처리를 수행하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이로서,
    상기 유무선 게이트웨이에 송수신되는 데이터를 시그니쳐 기반의 룰셋을 이용하여 분석하여 악성코드인지 여부를 판단하는 데이터 분석부; 및
    상기 데이터 분석부의 분석 결과 악성코드로 판단된 데이터에 대하여 보안 정책을 실행하는 보안 처리부를 포함하고,
    상기 유무선 게이트웨이의 상태정보를 주기적으로 수집하고, 상기 수집된 상태정보를 분석하여 상기 유무선 게이트웨이의 상태를 분석하는 상태 탐지부를 더 포함하고,
    상기 보안 처리부가, 상기 상태 탐지부의 분석 결과 상기 유무선 게이트웨이의 상태가 비정상 상태인 경우 보안 정책을 실행하고,
    상기 상태정보가, 상기 유무선 게이트웨이의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 게이트웨이의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 게이트웨이의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 게이트웨이로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 상기 유무선 게이트웨이로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 상태 탐지부가, 상기 수집한 상태정보를 상기 유무선 게이트웨이의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우 상기 유무선 게이트웨이의 상태를 정상 상태로 판단하고, 상기 수집한 상태정보가 상기 정상 상태정보 범위를 벗어나는 경우 상기 유무선 게이트웨이의 상태를 비정상 상태로 판단하고,
    상기 상태 탐지부가, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우, 상기 수집한 상태정보를 상기 정상 상태정보에 반영하여 상기 정상 상태정보를 업데이트하되, 상기 유무선 게이트웨이의 사용 환경 및 현재 상태에 적합하게 상기 상태정보를 업데이트하기 위하여 상기 유무선 게이트웨이의 상태정보를 지속적으로 모니터링하여 평균값을 상기 정상 상태정보에 반영하고,
    상기 정상 상태정보가 상기 네트워크 상태정보에 따라 상기 시스템 상태정보의 정상 범위가 상이하게 설정되되, 상기 유무선 게이트웨이가 데이터 다운로드 상태인 경우의 상기 시스템 상태정보의 정상 범위가 상기 유무선 게이트웨이가 데이터 업로드 상태인 경우의 상기 시스템 상태정보의 정상 범위보다 높게 설정되고,
    상기 상태 탐지부가, 상기 네트워크 상태정보의 수신 바이트수 및 수신 패킷수와 송신 바이트수 및 송신 패킷수를 이용하여 상기 유무선 게이트웨이의 데이터 흐름이 데이터 다운로드인지 데이터 업로드인지를 판단하고, 상기 유무선 게이트웨이의 연결된 세션 수를 확인하여, 이에 대한 정상 상태정보를 기준으로 수집된 시스템 정보가 정상 범위 내인지 여부를 판단하는 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  2. 제1항에 있어서,
    상기 시그니쳐 기반의 룰셋이, 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보를 포함하고,
    상기 데이터 분석부가, 상기 데이터의 확장자를 상기 시그니쳐 기반의 룰셋과 비교하여 악성코드인지 여부를 판단하는 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  3. 제2항에 있어서,
    상기 보안 처리부가,
    보안 정보를 제공하는 원격의 보안 정보 제공 서버로부터 상기 확장자 정보를 포함한 보안 정보를 수신하고, 상기 시그니쳐 기반의 룰셋을 업데이트하는 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  4. 제3항에 있어서,
    상기 보안 정보 제공 서버가 NSRL(National Software Reference Library)의 DB인 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  5. 제1항에 있어서,
    펌웨어가 로드되고, 상기 펌웨어가 로드되는 영역이 외부의 접근이 차단되는 보안 영역 및 사용자 영역으로 구분되는 메모리를 더 포함하고,
    상기 보안 처리부가,
    운영체제를 상기 보안 영역에 로드하는 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  6. 제5항에 있어서,
    상기 데이터 분석부가,
    상기 메모리 중 상기 사용자 영역을 모니터링하는 것을 특징으로 하는 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이.
  7. 삭제
  8. 유무선 게이트웨이를 공격하는 악성코드를 시그니쳐 기반으로 분석하여 탐지하고 보안 처리를 수행하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법으로서,
    상기 유무선 게이트웨이에 송수신되는 데이터를 시그니쳐 기반의 룰셋을 이용하여 분석하여 상기 데이터가 악성코드인지 여부를 판단하는 단계; 및
    상기 데이터가 악성코드로 판단되면 상기 데이터에 대하여 보안 정책을 실행하는 단계를 포함하고,
    상기 유무선 게이트웨이의 상태정보를 주기적으로 수집하는 단계;
    상기 수집된 상태정보를 분석하여 상기 유무선 게이트웨이의 상태를 분석하는 단계; 및
    상기 분석 결과 상기 유무선 게이트웨이의 상태가 비정상 상태인 경우 보안 정책을 실행하는 단계를 더 포함하고,
    상기 상태정보가, 상기 유무선 게이트웨이의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 게이트웨이의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 게이트웨이의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 게이트웨이로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 상기 유무선 게이트웨이로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 유무선 게이트웨이의 상태를 분석하는 단계가,
    상기 수집한 상태정보를 상기 유무선 게이트웨이의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우 상기 유무선 게이트웨이의 상태를 정상 상태로 판단하는 단계; 및
    상기 수집한 상태정보가 상기 정상 상태정보 범위를 벗어나는 경우 상기 유무선 게이트웨이의 상태를 비정상 상태로 판단하는 단계를 포함하고,
    상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우, 상기 수집한 상태정보를 상기 정상 상태정보에 반영하여 상기 정상 상태정보를 업데이트하되, 상기 유무선 게이트웨이의 사용 환경 및 현재 상태에 적합하게 상기 상태정보를 업데이트하기 위하여 상기 유무선 게이트웨이의 상태정보를 지속적으로 모니터링하여 평균값을 상기 정상 상태정보에 반영하는 단계를 더 포함하고,
    상기 정상 상태정보가 상기 네트워크 상태정보에 따라 상기 시스템 상태정보의 정상 범위가 상이하게 설정되되, 상기 유무선 게이트웨이가 데이터 다운로드 상태인 경우의 상기 시스템 상태정보의 정상 범위가 상기 유무선 게이트웨이가 데이터 업로드 상태인 경우의 상기 시스템 상태정보의 정상 범위보다 높게 설정되고,
    상기 유무선 게이트웨이의 상태를 분석하는 단계에서,
    상기 네트워크 상태정보의 수신 바이트수 및 수신 패킷수와 송신 바이트수 및 송신 패킷수를 이용하여 상기 유무선 게이트웨이의 데이터 흐름이 데이터 다운로드인지 데이터 업로드인지를 판단하고, 상기 유무선 게이트웨이의 연결된 세션 수를 확인하여, 이에 대한 정상 상태정보를 기준으로 수집된 시스템 정보가 정상 범위 내인지 여부를 판단하는 것을 특징으로 하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법.
  9. 제8항에 있어서,
    상기 시그니쳐 기반의 룰셋이, 악성코드를 유입하기 위해 변경되는 파일의 확장자 정보를 포함하고,
    상기 데이터가 악성코드인지 여부를 판단하는 단계가,
    상기 데이터의 확장자를 상기 시그니쳐 기반의 룰셋과 비교하여 악성코드인지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법.
  10. 제9항에 있어서,
    보안 정보를 제공하는 원격의 보안 정보 제공 서버로부터 상기 확장자 정보를 포함한 보안 정보를 수신하는 단계; 및
    상기 시그니쳐 기반의 룰셋을 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법.
  11. 제10항에 있어서,
    상기 보안 정보 제공 서버가 NSRL(National Software Reference Library)의 DB인 것을 특징으로 하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법.
  12. 제8항에 있어서,
    펌웨어가 로드되는 메모리 영역을 외부의 접근이 차단되는 보안 영역 및 사용자 영역으로 구분하는 단계; 및
    운영체제를 상기 보안 영역에 로드하는 단계를 더 포함하고,
    상기 데이터가 악성코드인지 여부를 판단하는 단계가,
    상기 메모리 중 상기 사용자 영역을 모니터링하는 단계를 포함하는 것을 특징으로 하는 시그니쳐 기반으로 유무선 게이트웨이에 대한 악성행위를 탐지하는 방법.
  13. 삭제
KR1020160158074A 2016-11-25 2016-11-25 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 KR101923054B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160158074A KR101923054B1 (ko) 2016-11-25 2016-11-25 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160158074A KR101923054B1 (ko) 2016-11-25 2016-11-25 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법

Publications (2)

Publication Number Publication Date
KR20180059611A KR20180059611A (ko) 2018-06-05
KR101923054B1 true KR101923054B1 (ko) 2018-11-29

Family

ID=62635412

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160158074A KR101923054B1 (ko) 2016-11-25 2016-11-25 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법

Country Status (1)

Country Link
KR (1) KR101923054B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102101250B1 (ko) * 2019-09-11 2020-04-20 주식회사 아신아이 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200044210A (ko) 2018-10-11 2020-04-29 임영찬 무선 IoT장비에 대한 이상행위 패킷탐지 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221876A (ja) * 2010-04-12 2011-11-04 Canon It Solutions Inc 情報処理装置、情報処理方法及びプログラム
KR101662947B1 (ko) * 2015-03-25 2016-10-05 (주)에이티솔루션즈 보안운영체제를 이용한 세션보안 제공 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221876A (ja) * 2010-04-12 2011-11-04 Canon It Solutions Inc 情報処理装置、情報処理方法及びプログラム
KR101662947B1 (ko) * 2015-03-25 2016-10-05 (주)에이티솔루션즈 보안운영체제를 이용한 세션보안 제공 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102101250B1 (ko) * 2019-09-11 2020-04-20 주식회사 아신아이 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템

Also Published As

Publication number Publication date
KR20180059611A (ko) 2018-06-05

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
US9973531B1 (en) Shellcode detection
KR101737726B1 (ko) 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출
WO2015149663A1 (zh) 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
US20100251370A1 (en) Network intrusion detection system
US11258812B2 (en) Automatic characterization of malicious data flows
US10931685B2 (en) Malware analysis and recovery
EP3374870B1 (en) Threat risk scoring of security threats
CN111565202B (zh) 一种内网漏洞攻击防御方法及相关装置
US8763121B2 (en) Mitigating multiple advanced evasion technique attacks
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치
US20210058414A1 (en) Security management method and security management apparatus
CN117411711A (zh) 一种入侵检测防御系统的威胁阻断方法
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR101153115B1 (ko) 해킹 툴을 탐지하는 방법, 서버 및 단말기
KR101375375B1 (ko) 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템
US10250625B2 (en) Information processing device, communication history analysis method, and medium
KR101922594B1 (ko) 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법
CN110784471A (zh) 黑名单采集管理方法、装置、计算机设备及存储介质
Bhumika et al. Use of honeypots to increase awareness regarding network security
US8806211B2 (en) Method and systems for computer security
Oh et al. Detection of Malware for Android Smartphones

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant