KR101982164B1 - 네트워크 관리 장치 및 방법 - Google Patents

네트워크 관리 장치 및 방법 Download PDF

Info

Publication number
KR101982164B1
KR101982164B1 KR1020180029394A KR20180029394A KR101982164B1 KR 101982164 B1 KR101982164 B1 KR 101982164B1 KR 1020180029394 A KR1020180029394 A KR 1020180029394A KR 20180029394 A KR20180029394 A KR 20180029394A KR 101982164 B1 KR101982164 B1 KR 101982164B1
Authority
KR
South Korea
Prior art keywords
network
information
iot
iot device
basic
Prior art date
Application number
KR1020180029394A
Other languages
English (en)
Inventor
박수현
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020180029394A priority Critical patent/KR101982164B1/ko
Application granted granted Critical
Publication of KR101982164B1 publication Critical patent/KR101982164B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따른 네트워크 관리 장치는 디바이스와 통신을 수행하는 통신부와, 상기 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 능동적 정보 획득부와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는 디바이스 정보 획득부와, 상기 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하는 망 관리부를 포함한다.

Description

네트워크 관리 장치 및 방법{APPARATUS AND METHOD FOR MANAGING NETWORK}
본 발명은 네트워크를 관리하는 네트워크 관리 장치 및 방법에 관한 것이다.
최근 사물 인터넷(Internet of Things, IoT)에 대한 관심이 많아지면서 사물 인터넷 디바이스를 이용한 상용 서비스들이 제공되고 있다. 가정이나 기업 등에는 하나의 서브넷(subnet)에 적어도 하나의 사물 인터넷 디바이스가 다양한 다른 종류의 디바이스들, 예컨대 PC나 스마트폰 또는 프린터와 같은 단말과 함께 설치 및 이용되는 사례가 늘고 있다.
이러한 사물 인터넷 디바이스의 경우 보안상 취약점에 대한 관리가 제대로 되고 있지 못한다. 예컨대, 사물 인터넷 디바이스의 경우 그 특성상 펌웨어 등에 대한 업데이트가 쉽지 않으며, 해당 사물 인터넷 디바이스의 사용자 또한 업데이트에 대한 필요성을 인식하지 못하는 경우가 대부분이다. 따라서, 사물 인터넷 디바이스가 보안상 취약점을 갖는 펌웨어를 채용하고 있는 경우, 또는 사물 인터넷 디바이스가 오픈소스 소프트웨어를 채용하였는데 이러한 오픈소스 소프트웨어가 패치되지 않은 보안상 취약점을 갖고 있는 경우, 해당 사물 인터넷 디바이스 뿐 아니라 해당 사물 인터넷 디바이스와 같은 서브넷에 연결된 다른 단말까지도 보안상 위협을 받을 수 있다.
한국특허공개공보, 제 10-2017-0048748호 (2017.05.10. 공개)
전술한 바와 같이 사물 인터넷 디바이스의 경우, 보안상 취약점에 대한 관리가 제대로 이루어지고 있지 못한다.
이에, 본 발명의 해결하고자 하는 과제는 네트워크에 연결된 디바이스가 사물 인터넷 디바이스인지를 확인하고, 사물 인터넷 디바이스인 경우에는 해당 디바이스를 기본 망과는 망분리되어 있는 사물 인터넷 디바이스용 망에 할당하도록 관리하는 네트워크 관리 장치 및 방법에 관한 기술을 제시하는 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
일 실시예에 따른 네트워크 관리 장치는 디바이스와 통신을 수행하는 통신부와, 상기 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 능동적(active) 정보 획득부와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는 디바이스 정보 획득부와, 상기 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하는 망 관리부를 포함한다.
또한, 상기 능동적 정보 획득부는 상기 디바이스에 할당된 제1 정보로서 상기 디바이스에 할당된 호스트명(hostname) 및 상기 디바이스에 대한 서비스 시그니처(signature) 중 적어도 하나를 요청할 수 있다.
또한, 상기 망 관리부는 상기 디바이스 정보 획득부에 의해 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 디바이스를 상기 기본 망에 할당하고, 상기 네트워크 관리 장치는 상기 모니터링 디바이스에 의해 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스에 할당된 제2 정보를 획득하는 수동적(passive) 정보 획득부를 더 포함하며, 상기 디바이스 정보 획득부는 상기 제1 정보 및 상기 제2 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 재결정하고, 상기 망 관리부는 상기 재결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 상기 디바이스를 상기 사물 인터넷 디바이스용 망에 재할당할 수 있다.
또한, 상기 디바이스 정보 획득부는 상기 제1 정보 및 상기 제2 정보를 기초로 상기 디바이스의 종류(type)에 대한 정보, 상기 디바이스에 설치된 운영체제의 종류에 대한 정보 및 상기 운영체제의 버전에 대한 정보 중 적어도 하나를 획득하고, 상기 획득된 적어도 하나의 정보를 기초로 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정할 수 있다.
또한, 상기 제2 정보는 상기 디바이스에 할당된 MAC 주소(media access control address), 상기 디바이스에 대한 TCP 시그니처 및 상기 디바이스에 대한 DHCP 시그니처 중 적어도 하나를 포함할 수 있다.
또한, 상기 제2 정보는 상기 디바이스에 할당된 MAC 주소를 포함하고, 상기 네트워크 관리 장치는 MAC 주소의 값을 복수 개의 구간 중 어느 하나의 구간으로 분류하는 분류 기준을 미리 정의하고 있으며, 상기 복수 개의 구간 각각에 대해 상기 디바이스가 사물 인터넷 디바이스인지 여부에 대한 결과 정보를 할당하고 있는 MAC 주소 데이터베이스를 더 포함하고, 상기 디바이스 정보 획득부는 상기 분류 기준을 기초로 상기 제2 정보에 포함된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간에 속하는 것으로 분류하고, 상기 분류된 어느 하나의 구간에 할당된 결과 정보를 획득할 수 있다.
또한, 상기 디바이스 정보 획득부는 MAC 주소의 값을 구성하는 16진수의 6자리 숫자 중 뒤의 3자리 숫자를 기준으로, 상기 디바이스에 할당된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간으로 분류할 수 있다.
또한, 상기 MAC 주소 데이터베이스는 상기 디바이스에 할당된 호스트명, 상기 디바이스에 대한 서비스 시그니처, 상기 디바이스에 대한 TCP 시그니처 및 상기 디바이스에 대한 DHCP 시그니처 중 적어도 하나를 이용하여서 상기 디바이스에 대한 결과 정보가 획득되면, 상기 디바이스에 할당된 MAC 주소를 상기 분류 기준에 부가함으로써 상기 분류 기준을 갱신할 수 있다.
또한, 상기 기본 망과 상기 사물 인터넷 디바이스용 망은 서로 망분리되어 있는 서브넷(subnet) 또는 VLAN 중 어느 하나일 수 있다.
또한, 상기 망 관리부는 상기 사물 인터넷 디바이스용 망에 할당된 디바이스의 IP에 상기 기본 망에서 접근 가능한 가상 IP를 맵핑시키고, 상기 기본 망에 할당된 디바이스로부터 상기 사물 인터넷 디바이스용 망에 할당된 디바이스로의 단방향 통신을 상기 가상 IP에 따른 맵핑 관계를 통해 허용할 수 있다.
네트워크 관리 방법은 네트워크 관리 장치에 의해 수행되며, 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는 단계와, 상기 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하는 단계를 포함한다.
일 실시예에 따른 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램은 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는 단계와, 상기 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하는 단계를 수행하도록 프로그램된다.
일 실시예에 따른 컴퓨터 판독가능한 기록매체는 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는 단계와, 상기 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하는 단계를 수행하도록 프로그램된 컴퓨터 프로그램을 저장한다.
일 실시예에 따르면 네트워크에 새로이 연결된 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 능동적으로 획득 가능한 제1 정보, 또는 이러한 제1 정보와 수동적으로 획득 가능한 제2 정보의 조합에 의해 정확하면서도 신속하게 파악될 수 있다.
아울러, 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 결정되기 전에도 해당 디바이스는 기본 망에 할당되어서 동작할 수 있으며, 이 후 사물 인터넷 디바이스인 것으로 결정되면 기본 망과는 논리적으로 분리된 사물 인터넷 디바이스용 망에 할당되어서 동작할 수 있다. 따라서, 해당 미지의 디바이스가 보안상 취약점에 대한 관리가 제대로 되고 있지 않은 사물 인터넷 디바이스라고 하더라도, 이러한 미지의 디바이스로 인해 기본 망에 연결된 기본 디바이스들의 보안까지 위협받을 상황이 발생하지 않게 된다.
또한, 망분리가 수행된다고 하더라도 필요에 따라서 망연계가 가능하다. 아울러, 망연계가 되는 상황에서도 기본 망에서 사물 인터넷 디바이스용 망으로 향하는 단방향 접속이 허용되므로, 사물 인터넷 디바이스가 기본 망에 연결된 기본 디바이스들에게 악의적으로 공격하는 것이 방지될 수 있다.
도 1은 일 실시예에 따른 네트워크 관리 장치가 적용된 네트워크 시스템을 개념적으로 도시한 도면이다.
도 2는 도 1에 도시된 네트워크 관리 장치가 디바이스에 대한 정보를 획득하기 위해 이용하는 데이터의 종류 및 그 특성을 개념적으로 도시한 도면이다.
도 3은 도 1에 도시된 네트워크 관리 장치의 구성을 개념적으로 도시한 도면이다.
도 4는 도 3에 도시된 데이터베이스의 구성을 개념적으로 도시한 도면이다.
도 5는 도 1에 도시된 네트워크 관리 장치가 디바이스가 사물 인터넷 디바이스인지를 결정하는 절차를 예시적으로 도시한 도면이다.
도 6은 도 1에 도시된 네트워크 관리 장치가 망분리된 망들 간의 망연계를 수행하는 절차를 예시적으로 도시한 도면이다.
도 7은 일 실시예에 따른 네트워크 관리 방법이 수행되는 절차를 예시적으로 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 일 실시예에 따른 네트워크 관리 장치(100)가 적용된 네트워크 시스템(10)을 개념적으로 도시한 도면이다. 다만, 도 1은 예시적인 것에 불과하므로, 네트워크 관리 장치(100)가 도 1에 도시된 네트워크 시스템(10)에만 적용되는 것으로 한정해석되는 것은 아니다.
도 1을 참조하면, 네트워크 시스템(10)은 네트워크 관리 장치(100), 사물 인터넷(Internet of Things) 디바이스(IoT #1, IoT#2,...)(200) 및 PC나 스마트폰 또는 프린터와 같은 일반적인 디바이스(이하, 기본 디바이스라고 지칭)(300)를 포함한다. 네트워크 관리 장치(100)는 네트워크(500)를 통해 외부의 통신 환경과 연결된다. 이러한 네트워크(500)는 유선망 또는 무선망과 같은 일반적인 공용 인터넷 망일 수 있다.
네트워크 시스템(10)에는 미지(未知, unknown)의 디바이스(250)가 연결될 수 있다. 여기서 '미지(未知)'란 해당 디바이스(250)의 종류가 결정 내지 분석되지 않은 것을 의미하며, 예컨대 해당 디바이스(250)가 사물 인터넷 디바이스(200)인지 아니면 기본 디바이스(300)인지 여부가 결정 내지 분석되지 않은 것을 의미한다. 일 실시예에서, 이러한 미지의 디바이스(250)는 네트워크 관리 장치(100)에 의해 사물 인터넷 디바이스(200)와 기본 디바이스(300) 중 어느 하나로 분류 내지 결정될 수 있다.
사물 인터넷 디바이스(200)는 사물 인터넷 기술이 적용된 디바이스를 의미하며, 사물 인터넷 디바이스(200) 자체에 대한 구체적인 정의 내지 종류는 이미 공지되었으므로 설명은 생략하기로 한다.
기본 디바이스(300)는 PC, 스마트폰이나 스마트패드와 같은 스마트기기 또는 그 이외의 다양한 디바이스(예컨대 프린터 등)를 포함할 수 있다.
사물 인터넷 디바이스(200)와 기본 디바이스(300) 및 미지의 디바이스(250) 각각에는 호스트명(hostname)과 MAC 주소(media access control address 또는 매체 액세스 제어 주소라고 지칭될 수도 있음) 중 적어도 하나가 할당될 수 있다.
네트워크 관리 장치(100)는 미지의 디바이스(250)로부터 패킷을 수신한 뒤, 해당 패킷에 포함된 다양한 데이터를 이용하여서 미지의 디바이스(250)를 사물 인터넷 디바이스(200)와 기본 디바이스(300) 중 어느 하나로 분류 내지 결정한다. 아울러, 네트워크 관리 장치(100)는 이와 같이 결정된 사항을 기초로 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210)과 기본 망(310) 중 어느 하나에 할당한다. 여기서 '할당'이란 의미는 해당 디바이스가 해당 망 내 속하도록 '연결시킨다'는 의미이다.
사물 인터넷 디바이스용 망(210)과 기본 망(310)은 도 1에서 각각 점선으로 표시되어 있다. 이들 망들(210,310)은 서로 간에 논리적으로 망분리되어 있다. 따라서, 후술하겠지만 네트워크 관리 장치(100)에 의한 별도의 조치가 없는 한 사물 인터넷 디바이스용 망(210)에 할당된 디바이스와 기본 망(310)에 연결된 디바이스 간의 통신은 불가능하다.
사물 인터넷 디바이스용 망(210)에는 사물 인터넷 디바이스(200)만이 할당된다. 아울러, 기본 망(310)에는 사물 인터넷 디바이스(200) 이외의 기본 디바이스(300)들이 할당된다.
이러한 사물 인터넷 디바이스용 망(210)의 경우 도 1에는 네트워크 시스템(10)에 1개만이 포함되도록 도시되어 있지만 이는 예시적인 것에 불과하며, 실시예에 따라서 복수 개의 사물 인터넷 디바이스용 망(210)이 네트워크 시스템(10)에 포함될 수 있다. 만약 복수 개의 사물 인터넷 디바이스용 망(210)이 네트워크 시스템(10)에 포함될 경우, 동일한 사물 인터넷 디바이스용 망에 연결된 사물 인터넷 디바이스들은 서로 제조사나 제품군이 동일하거나 유사할 수 있다. 즉, 제조사나 제품군이 동일 내지 유사한 사물 인터넷 디바이스들은 동일한 사물 인터넷 디바이스용 망에 연결되고, 제조사나 제품군이 서로 상이한 사물 인터넷 디바이스들은 서로 상이한 사물 인터넷 디바이스용 망에 연결될 수 있다.
한편, 미지의 디바이스(250)는 우선적으로는 네트워크 관리 장치(100)에 의해 기본 망(310)에 할당될 수 있는데, 이에 대해서는 후술하기로 한다.
한편, 일 실시예에 따른 망분리 기술은 서브넷(subnet) 기술 또는 가상랜(VLAN) 기술에 의해 구현 가능하다. 이 중 서브넷 기술에 대해 살펴보면, 일반적으로 가정에서 사용하는 C-Class IP 대역(192.168.X.X)이 다수의 대역으로 분할되고, 이 중 일부는 기본 망(310)으로 할당되고 나머지 중 일부 또는 전부는 사물 인터넷 디바이스용 망(210)으로 할당될 수 있다. 이 경우, 전술한 C-Class IP의 다수의 대역 간의 직접적인 통신은 불가능하다. 예컨대 192.168.1.0/24의 서브넷과 192.168.2.0/24의 서브넷 간의 직접적인 통신은 불가능하다. 또한, C-Class IP 대역 대신 A-Class IP 대역(10.0.0.0/8)이 다수의 대역으로 분할됨으로써 망분리가 구현될 수도 있다. 여기서, 서브넷이나 VLAN에 의해 망분리가 구현되는 기술 그 자체는 이미 공지되었으므로 이에 대한 자세한 설명은 생략하기로 한다.
이하에서는 미지의 디바이스(250)를 사물 인터넷 디바이스(200) 또는 기본 디바이스(300) 중 어느 하나로 분류 내지 결정하기 위해, 네트워크 관리 장치(100)가 이용하는 다양한 데이터의 종류 및 그 특성에 대해 도 2를 참조하여 살펴보기로 한다.
도 2는 도 1에 도시된 네트워크 관리 장치(100)가 미지의 디바이스(250)에 대한 정보를 획득하기 위해 이용하는 데이터의 종류 및 그 특성을 개념적으로 도시한 도면이다.
도 2를 참조하면, 미지의 디바이스(250)에 대한 정보를 획득하기 위해, 네트워크 관리 장치(100)는 정적(static) 데이터와 동적(dynamic) 데이터를 조합하여서 이용할 수 있다. 정적 데이터는 미지의 디바이스(250) 자체에 할당되어 있는 값인 반면, 동적 데이터는 미지의 디바이스(250)가 통신을 할 때 패킷에 반영되는 값이다. 이러한 정적 데이터는 미지의 디바이스(250) 자체에 할당된 값을 그대로 가져오는 것이기 때문에 데이터의 획득 내지 분석에 상대적으로 시간이 오래 소요되지 않으며, 데이터의 신뢰성 또한 상대적으로 높은 편이다. 반면, 동적 데이터는 미지의 디바이스(250)가 송수신하는 패킷에 반영되어 있는 값이므로 패킷에 대한 지속적인 모니터링이 선결되어야만 획득 가능하며, 따라서 데이터의 획득 내지 분석에 상대적으로 시간이 오래 소요되며, 데이터의 신뢰성 또한 상대적으로 낮은 편이다.
이러한 정적 데이터는 호스트명과 MAC 주소를 포함할 수 있고, 동적 데이터는 TCP 시그니처(signature), 서비스 시그니처 및 DHCP 시그니처를 포함할 수 있으며, 다만 정적 데이터와 동적 데이터가 예시된 것들만을 포함하는 것으로 한정 해석되는 것은 아니다.
이 중 TCP 시그니처는 미지의 디바이스(250)가 TCP/IP 통신할 때 주고받는 패킷의 페이로드(payload)를 분석함으로써 획득 가능한 데이터를 의미한다. 예컨대, TCP 시그니처에 따르면 최초 세션 생성 시의 SYN 패킷의 윈도우 사이즈, 최대 세그먼트 사이즈(maximum segment size, MSS)나 그 이후 패킷의 fragmentation bit, TTL 값 또는 TCP 옵션값 등이 여기에 포함될 수 있으나 이에 한정되지 않으며, 이러한 TCP 시그니처는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
서비스 시그니처는 서비스 프로토콜을 이용하여 획득 가능한 데이터를 의미한다. 서비스 시그니처는 각각의 미지의 디바이스(250)의 특색에 맞는 열림 포트 탐지에 용이하다. 이러한 서비스 시그니처 자체는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
DHCP 시그니처는 미지의 디바이스(250)가 IP를 최초 할당받거나 또는 그 이후 IP 주소가 만료되어 갱신되는 시점에 확인 가능한 데이터를 의미한다. 이러한 DHCP 시그니처 자체는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
한편, 전술한 호스트명과 서비스 시그니처는 네트워크 관리 장치(100)가 스캔을 요청하여서 획득 가능한 데이터라는 점에서, 능동적(active)으로 획득 가능한 데이터로서 분류될 수 있다. 예컨대, 네트워크 관리 장치(100)는 호스트명을 획득하기 위해 arp (address resolution protocol) 또는 dns (domain name system)를 미지의 디바이스(250)에 요청(active한 액션)할 수 있다. 아울러, 네트워크 관리 장치(100)는 서비스 시그니처를 획득하기 위해 미지의 디바이스(250)에 포트 스캔 방식(active한 액션)을 적용할 수 있다.
이와 달리, TCP 시그니처 및 DHCP 시그니처는 해당 디바이스가 통신을 하는 과정에서 주고받는 패킷을 분석해서 획득 가능한 데이터라는 점에서, 수동적(passive)으로 획득 가능한 데이터로 분류될 수 있다.
아울러, MAC 주소는 필요한 때에 언제든지 획득 가능한 데이터라는 점에서 능동적으로 획득 가능한 데이터로 분류될 수 있지만, 네트워크 관리 장치(100)가 호스트명을 획득하는 과정에서 자동으로 획득 가능하고 또한 전술한 TCP 시그니처나 DHCP 시그니처를 획득하는 과정에서도 자동으로 획득 가능하다는 점에서 수동적으로 획득 가능한 데이터로 분류될 수도 있다. 이하에서 MAC 주소는 수동적으로 획득 가능한 데이터로 분류하는 것을 전제로 하되, 실시예에 따라서 MAC 주소가 능동적으로 획득 가능한 데이터로 분류되는 것이 배제되는 것은 아니다.
일 실시예에 따른 네트워크 관리 장치(100)는 전술한 능동적으로 획득 가능한 데이터 또는 수동적으로 획득 가능한 데이터를 이용하여서 미지의 디바이스(250)가 사물 인터넷 디바이스인지 여부를 보다 정확하면서도 신속하게 파악한다. 아울러, 네트워크 관리 장치(100)는 이와 같이 파악된 정보를 기초로 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210)과 기본 망(310) 중 어느 하나에 할당한다. 이러한 네트워크 관리 장치(100)는 서버와 같은 컴퓨터 등에서 구현 가능하며, 이하에서는 이러한 네트워크 관리 장치(100)에 대해 보다 자세하게 살펴보기로 한다.
도 3은 도 1에 도시된 네트워크 관리 장치(100)의 구성을 개념적으로 도시한 도면이고, 도 4는 도 3에 도시된 데이터베이스(150)의 구성을 개념적으로 도시한 도면이다. 도 3과 4는 예시적인 도면에 불과하므로, 네트워크 관리 장치(100) 및 그에 속하는 데이터베이스(150)의 구성이 도 3과 도 4에 도시된 것으로 한정해석되는 것은 아니다.
먼저, 도 3을 참조하면 네트워크 관리 장치(100)는 통신부(110), 능동적 정보 획득부(120), 디바이스 정보 획득부(140) 및 망 관리부(160)를 포함하며, 실시예에 따라서 수동적 정보 획득부(130), 데이터베이스(150) 및 알림부(170)를 더 포함할 수 있다. 아울러, 도 4를 참조하면 데이터베이스(150)는 복수 개의 세부 데이터베이스들(151 내지 156)을 포함할 수 있는데, 이들 복수 개의 세부 데이터베이스들(151 내지 156)은 두 개의 카테고리중 어느 하나로 분류 가능하다. 하나의 카테고리는 미지의 디바이스(250)에 대한 정보(예컨대 미지의 디바이스(250)의 종류, 디바이스(250)에 설치된 운영체제의 종류 및 운영체제의 버전)를 파악하는데 사용되는 데이터베이스들일 수 있는데, 예컨대 호스트명 데이터베이스(151), MAC 주소 데이터베이스(152), TCP 핑거프린트 데이터베이스(153), 오픈 포트 프로토콜 데이터베이스(154) 및 DHCP 핑거프린트 데이터베이스(155)일 수 있다. 다른 하나의 카테고리는 앞서 설명한 데이터베이스들(151 내지 155)의 정보를 이용하여서 미지의 디바이스(250)에 대해 파악된 전술한 정보(예컨대 디바이스(250)의 종류, 디바이스(250)에 설치된 운영체제의 종류 및 운영체제의 버전)를 토대로, 해당 미지의 디바이스(250)가 사물 인터넷 디바이스인지 여부를 결정하는 데이터베이스(156)를 포함할 수 있다. 도 4에 도시된 각각의 데이터베이스들(151 내지 156)에 대해서는 후술하기로 한다.
통신부(110)는 네트워크(500)를 통해 통신을 수행하는 유선 내지 무선 통신 모듈을 포함한다. 통신부(110)는 사물 인터넷 디바이스(200), 기본 디바이스(300) 및 미지의 디바이스(250) 각각과 연결될 수 있다.
다음으로, 능동적 정보 획득부(120), 수동적 정보 획득부(130), 디바이스 정보 획득부(140), 망 관리부(160)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 실행하는 마이크로프로세서에 의해 구현 가능하다.
이 중, 능동적 정보 획득부(120)는 미지의 디바이스(250)에 할당된 제1 정보를, 해당하는 미지의 디바이스(250)에게 요청한다. 이하에서 제1 정보는 전술한 능동적으로 획득 가능한 정보를 나타내는 것으로 한다.
수동적 정보 획득부(130)는 미지의 디바이스(250)가 통신을 하는 과정에서 주고받는 패킷을 수집 및 모니터링하며, 이와 같이 모니터링된 패킷을 분석해서 제2 정보를 획득한다. 이하에서 제2 정보는 전술한 수동적으로 획득 가능한 정보를 나타내는 것으로 한다.
실시예에 따라 능동적 정보 획득부(120)는 제1 정보로서 호스트명만을 요청할 수 있고, 이와 달리 제1 정보로서 호스트명과 서비스 시그니처를 순차적으로 또는 동시에 요청할 수도 있다. 또한, 실시예에 따라 수동적 정보 획득부(130)는 제2 정보로서 MAC 주소만을 획득할 수 있고, 이와 달리 TCP 시그니처나 DHCP 시그니처를 소정의 순서에 따라 요청할 수도 있다. 예컨대, 제1 예로서 호스트명과 서비스 시그니처가 제1 정보로서 요청된 후, MAC 주소, TCP 시그니처 및 DHCP 시그니처가 제2 정보로서 순차적으로 획득될 수 있으며, 이와 달리 제2 예로서 DHCP 시그니처가 제2 정보로서 먼저 획득된 뒤 호스트명과 서비스 시그니처가 제1 정보로서 요청된 후, MAC 주소와 TCP 시그니처가 제2 정보로서 다시 순차적으로 획득될 수 있다. 이러한 제1 예와 제2 예 각각에서, 어떠한 정보를 통해서라도 미지의 디바이스(250)에 대한 정보가 획득되면 그 다음 순번의 정보가 획득되는 과정은 생략될 수 있다.
디바이스 정보 획득부(140)는 미지의 디바이스(250)에 대한 정보를 획득한다. 미지의 디바이스(250)에 대한 정보는 전술한 바와 같이 예컨대 미지의 디바이스의 종류(type)에 대한 정보, 미지의 디바이스(250)에 설치된 운영체제의 종류에 대한 정보 및 운영체제의 버전에 대한 정보 중 적어도 하나를 포함할 수 있으나 이에 한정되는 것은 아니다.
이 중에서, 디바이스의 종류에 대한 정보로는 해당 디바이스가 사물 인터넷 디바인스(200)인지 아니면 기본 디바이스(300)인지를 포함할 수 있다. 아울러, 운영체제의 종류는 예컨대 안드로이드, IOS, 윈도우즈, 리눅스 등을 포함할 수 있다. 또한, 운영체제의 버전은 예컨대 각각의 운영체제마다의 버전, 예컨대 안드로이드 4.1 안드로이드 5.0, IOS 8 이나 9 등과 같은 것일 수 있다. 여기서, 디바이스의 종류나 운영체제의 종류 및 운영체제의 버전은 예시적인 것에 불과하다.
디바이스 정보 획득부(140)는 미지의 디바이스(250)에 대한 정보를 획득하기 위해, 전술한 제1 정보와 제2 정보를 조합하거나 이 중 어느 하나만을 이용할 수 있다. 여기서, 정보를 조합하는 이유는, 제1 정보와 제2 정보를 조합함으로써 미지의 디바이스(250)에 대한 전술한 정보(미지의 디바이스(250)의 종류(type)에 대한 정보, 미지의 디바이스(250)에 설치된 운영체제의 종류에 대한 정보 및 운영체제의 버전에 대한 정보)를 정확하게 얻을 수 있으며, 이를 통해 미지의 디바이스(250)가 사물 인터넷 단말인지 여부를 보다 정확하게 결정할 수 있기 때문이다.
디바이스 정보 획득부(140)는 미지의 디바이스(250)에 대한 정보를 기초로 이러한 미지의 디바이스(250)가 사물 인터넷 디바이스인지 아닌지를 결정한다. 이러한 데이터베이스(150)는 데이터를 저장하는 메모리에 의해 구현 가능한데, 데이터베이스(150)에 대한 상세한 구성은 도 4에 도시되어 있다.
호스트명 데이터베이스(151)는 능동적 정보 획득부(120)가 획득한 호스트명을 복수 개의 카테고리 중 어느 하나의 카테고리에 속하는 것으로 분류하는 분류 기준을 미리 정의하여서 저장하고 있다. 아울러, 이러한 복수 개의 카테고리 각각에는 해당 카테고리에 속하는 호스트명을 디바이스가 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중 적어도 하나가 미리 정의 내지 저장되어 있다. 만약 능동적 정보 획득부(120)가 제1 정보로서 호스트명을 획득하였고 이러한 호스트명과 동일한 호스트명이 호스트명 데이터베이스(151)에 저장되어 있다면, 디바이스 정보 획득부(140)는 해당 호스트명이 속하는 카테고리를 통해 해당 미지의 디바이스(250)에 대한 정보를 획득할 수 있다.
이는, TCP 핑거프린트 데이터베이스(153), 오픈 포트 프로토콜 데이터베이스(154) 및 DHCP 핑거프린트 데이터베이스(155)에 대해서도 모두 마찬가지인바, 이에 대한 설명은 중복되므로 생략하기로 하고, MAC 주소 데이터베이스(152) 및 결정 데이터베이스(156)에 대해서는 별도로 이하에서 살펴보기로 한다.
제2 정보가 MAC 주소인 경우, 디바이스 정보 획득부(140)는 도 4에 도시된 MAC 주소 데이터베이스(152)를 이용하여서 미지의 디바이스(250)에 대한 정보를 획득한다.
도 4에 도시된 MAC 주소 데이터베이스(152)는 MAC 주소의 값을 복수 개의 구간 중 어느 하나의 구간에 속하는 것으로 분류하는 분류 기준을 미리 정의하여서 저장하고 있다. 아울러, 이러한 복수 개의 구간 각각에는 해당 구간 내의 MAC 주소를 갖는 디바이스가 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중 적어도 하나가 미리 정의 내지 저장되어 있다. 예컨대, 제1 디바이스의 MAC 주소가 특정 범위 사이에서의 값을 갖는 경우, 이러한 MAC 주소의 값을 갖는 디바이스는 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중에서 적어도 하나가 이러한 MAC 주소 데이터베이스(152)에 미리 정의 내지 저장되어 있을 수 있다. 여기서, MAC 주소는 16진수의 6자리 숫자(앞의 3자리는 OUI, 뒤의 3자리는 UID라고 지칭)로 구성된다. 이 때, 분류 기준에 따르면 OUI와 UID를 모두 이용하여서 MAC 주소를 분류하는 제1 예가 있거나, UID만을 이용하여서 MAC 주소를 분류하는 제2 예가 있을 수 있다. OUI를 통해서는 미지의 디바이스(250) 또는 미지의 디바이스(250)에 포함된 통신 모듈의 벤더에 대한 정보가 확보될 수 있고, UID를 통해서는 전술한 미지의 디바이스(250)에 대한 정보들, 예컨대 디바이스의 종류, 디바이스에 설치된 OS의 종류나 OS의 버전 등에 대한 정보가 확보될 수 있다.
제2 정보로서 MAC 주소가 수동적 정보 획득부(130)에 의해 획득되면, 디바이스 정보 획득부(140)는 MAC 주소 데이터베이스(152)에 저장된 전술한 분류 기준에 맞춰서 MAC 주소를 어느 하나의 구간으로 분류하고, 해당 분류된 구간에 할당된 디바이스의 정보를 획득할 수 있다.
한편, MAC 주소 데이터베이스(152)의 분류 기준은 갱신 가능하다. 예컨대, 제1 정보로서 호스트명 및 서비스 시그니처 중 적어도 하나가 채용되고 제2 정보로서 TCP 시그니처 및 DHCP 시그니처 중 적어도 하나가 채용된 경우이면서 이러한 제1 정보와 제2 정보를 조합하여서 미지의 디바이스(250)에 대한 정보가 획득되면, MAC 주소 데이터베이스(152)는 해당 미지의 디바이스(250)에 할당된 MAC 주소 및 해당 미지의 디바이스(250)에 대한 정보를 MAC 주소 데이터베이스(152)에 업데이트시키고, 이로써 분류 기준은 갱신될 수 있다. 이와 같이 분류 기준이 갱신될 경우, MAC 주소를 분류하는 분류 기준이 세분화 내지 정교화될 수 있다. 따라서, 보다 적은 양의 정보만으로도, 예컨대 MAC 주소만이 획득된 상황에서도 미지의 디바이스(250)에 대한 정보가 신속 및 정확하게 획득될 수 있다.
다음으로, 결정 데이터베이스(156)는 미지의 디바이스(250)가 어떤 종류이면서 해당 특정 디바이스(200)에 어떠한 종류의 운영체제가 어떤 버전으로 설치되어있는지에 따라, 각각의 경우에 대해 해당 미지의 디바이스(250)가 사물 인터넷 디바이스인지 아닌지 여부에 대한 정보를 저장한다. 예컨대, 미지의 디바이스(250)의 OS가 리눅스이면서 그 버전이 3.0인 경우, 해당 미지의 디바이스(250)가 사물 인터넷 디바이스인지 아닌지에 대한 정보가 결정 데이터베이스(156)에 저장되어 있을 수 있다.
다시 도 3을 참조하면, 망 관리부(160)는 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210)과 기본 망(310) 중 어느 하나에 할당한다. 어느 하나의 망에 할당된 미지의 디바이스(250)는 다른 망과는 분리된다. 즉, 망 관리부(160)는 망 분리 기능을 수행할 수 있다.
보다 구체적으로 살펴보면, 망 관리부(160)는 디바이스 정보 획득부(140)가 획득한, 미지의 디바이스(250)가 사물 인터넷 디바이스(200)인지 아니면 기본 디바이스(300)인지에 대한 정보를 기초로, 해당 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210) 및 기본 망(310) 중 어느 하나에 할당한다. 예컨대, 미지의 디바이스(250)가 기본 디바이스(300)라면 망 관리부(160)는 기본 망(310)에 미지의 디바이스(250)를 할당하며, 미지의 디바이스(250)가 사물 인터넷 디바이스(200)라면 망 관리부(160)는 사물 인터넷 디바이스용 망(210)에 미지의 디바이스(250)를 할당한다.
다만, 디바이스 정보 획득부(140)가 획득한 정보에 의해서도 미지의 디바이스(250)가 사물 인터넷 디바이스(200)인지 기본 디바이스(300)인지가 결정되지 않을 수 있다. 이러한 경우의 처리 방안에 대해서는 도 5를 참조하여서 보다 자세하게 살펴보기로 한다.
도 5의 단계 S10은 미지의 디바이스(250)가 네트워크 시스템(10)에 연결되어서 네트워크 관리 장치(100)에 의해 인식된 인식된 상황을 제시하고 있다.
이 경우, 실시예에 따라서, 디바이스 정보 획득부(140)는 능동적 정보 획득부(120)에 의해 획득된 제1 정보만을 기초로 미지의 디바이스(250)가 사물 인터넷 디바이스(200)인지 여부에 대해 분석 내지 파악할 수 있다(S11).
만약 미지의 디바이스(250)가 사물 인터넷 디바이스(200)로 결정되거나 기본 디바이스(300)로 결정되면(S12), 망 관리부(160)는 전술한 바와 같이 그에 따라 해당 미지의 디바이스(250)를 기본 망(310) 및 사물 인터넷 디바이스(210) 중 어느 하나에 할당한다.(S30,S31,S23)
그러나, 미지의 디바이스(250)가 사물 인터넷 디바이스(200)인지 기본 디바이스(300)인지가 결정되지 않으면(S12), 망 관리부(160)는 우선적으로 미지의 디바이스(250)를 기본 망(310)에 할당(S20)하여서 해당 미지의 디바이스(250)가 동작하도록 한다.
이 후, 디바이스 정보 획득부(140)는 수동적 정보 획득부(130)에 의해 획득되는 제2 정보를 추가적으로 고려하여서 해당 미지의 디바이스(250)가 사물 인터넷 디바이스(200)인지 기본 디바이스(300)인지를 분석한다(S21).
단계 S21의 분석 결과, 미지의 디바이스(250)가 기본 디바이스(300)로 결정된다면, 해당 미지의 디바이스(250)는 이 후 추가적인 변동 사항이 없는 이상 기본 망(310)에서 동작한다.
그러나, 단계 S21의 분석 결과 미지의 디바이스(250)가 사물 인터넷 디바이스(200)로 결정된다면, 망 관리부(160)는 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210)에 재할당한다(S23).
이 때, 단계 S23에서 재할당하는 단계에 대해 살펴보면, 미지의 디바이스(250)는 단계 S20에 의해 기본 망(310)에서 동작하고 있는 상태이다. 따라서, 망 관리부(160)가 강제로 미지의 디바이스(250)를 사물 인터넷 디바이스용 망(210)에 재할당할 수는 없으므로, 실시예에 따라 망 관리부(160)는 DHCP가 만료되는 시점을 기다린 이후에 새로이 IP 주소가 부여되는 시점에서 미지의 디바이스(250)를 기본 망(310)에서 사물 인터넷 디바이스용 망(210)으로 재할당할 수 있다.
즉, 일 실시예에 따르면 네트워크에 새로이 연결된 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 능동적으로 획득 가능한 제1 정보, 또는 이러한 제1 정보와 수동적으로 획득 가능한 제2 정보의 조합에 의해 정확하면서도 신속하게 파악될 수 있다.
아울러, 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 결정되기 전에도 해당 디바이스는 기본 망에 할당되어서 동작할 수 있으며, 이 후 사물 인터넷 디바이스인 것으로 결정되면 기본 망과는 논리적으로 분리된 사물 인터넷 디바이스용 망에 할당되어서 동작할 수 있다. 따라서, 해당 미지의 디바이스가 보안상 취약점에 대한 관리가 제대로 되고 있지 않은 사물 인터넷 디바이스라고 하더라도, 이러한 미지의 디바이스로 인해 기본 망에 연결된 기본 디바이스들의 보안까지 위협받을 상황이 발생하지 않게 된다.
한편, 전술한 바와 같이 사물 인터넷 디바이스용 망(210)과 기본 망(310)은 논리적으로 분리되어 있다. 따라서, 원칙적으로 사물 인터넷 디바이스용 망(210)에 할당된 디바이스와 기본 망(310)에 연결된 디바이스 간의 통신은 불가능하다. 여기서, 망 관리부(160)는 전술한 망 분리 기능 뿐만 아니라 망 연계 기능까지도 지원한다. 보다 구체적으로 살펴보면, 망 관리부(160)는 도 6에 도시된 절차에 따라 사물 인터넷 디바이스용 망(210)에 할당된 디바이스와 기본 망(310)에 연결된 디바이스 간의 통신이 부분적으로 허용되도록 할 수 있는 바, 이는 도 6을 참조하여서 보다 자세하게 살펴보기로 한다.
도 6은 도 3에 도시된 망 관리부(160)에 의해서 사물 인터넷 디바이스용 망(210)에 할당된 디바이스와 기본 망(310)에 연결된 디바이스 간의 통신이 부분적으로 허용되는 과정을 예시적으로 도시하고 있다. 먼저, 망 관리부(160)는 NAT(network address translation)과 방화벽(firewall, FW)을 포함할 수 있는데, 이러한 NAT와 방화벽 자체는 이미 공지된 기술로 구현된 구성이므로 이들에 대한 설명은 생략하기로 한다.
도 6을 참조하면, 망 관리부(160)는 이러한 NAT와 FW를 이용하여서 기본 망(310)과 사물 인터넷 디바이스용 망(210) 간을 망분리시키거나 이들 망들을 서로 연계시킬 수 있다(S100).
만약, 망연계가 필요한 상황이라면, 망 관리부(160)는 사물 인터넷 디바이스용 망(210)에 연결된 사물 인터넷 디바이스(200) 중 통신이 요구되는 디바이스에게 가상 IP를 할당한다(S110). 이러한 가상 IP는 기본 망(310)에 연결된(할당된) 기본 디바이스(300)들이 접근할 수 있는 IP이다.
다음으로, 망 관리부(160)는 기본 망(310)과 사물 인터넷 디바이스용 망(210) 간에 NAT와 라우팅을 이용한 패킷 통신을 허용하고(S120), 방화벽 정책을 이용한 stateful 통신을 감시하며(S130), 마지막으로 기본 망(310)에 연결된 기본 디바이스(300)에서 사물 인터넷 디바이스용 망(210)에 연결된 사물 인터넷 디바이스(200)로 향하는 단방향 통신이 수행될 수 있도록 제어한다(S140). 단계 S140에서 단방향 (기본 디바이스에서 사물 인터넷 디바이스로 향하는 방향) 통신만을 허용함으로써, 사물 인터넷 디바이스(200)가 악의적인 공격을 기본 망(310)에 연결된 기본 디바이스(300)들에게 하는 것이 방지될 수 있다.
즉, 일 실시예에 따르면 망분리가 수행된다고 하더라도 필요에 따라서 망연계가 가능하다. 아울러, 망연계가 되는 상황에서도 기본 망에서 사물 인터넷 디바이스용 망으로 향하는 단방향 접속이 허용되므로, 사물 인터넷 디바이스가 악의적인 공격을 기본 망에 연결된 기본 디바이스들에게 하는 것이 방지될 수 있다. 이 때, 전술한 단방향 접속이 허용된 이후에는 세션(session)을 통한 양방향 통신(예컨대, 단방향 접근 이후의 5-tuple 정보에 의한 세션)이 가능하다.
도 7은 일 실시예에 따른 네트워크 관리 방법의 절차를 도시한 도면이다. 도 7에 도시된 방법은 도 3에 도시된 네트워크 관리 장치(100)에 의해 수행될 수 있으며, 예시적인 것에 불과하므로 도 7에 도시된 것으로 한정해석되지 않는다.
도 7을 참조하면, 미지의 디바이스(250)에 할당된 제1 정보를 해당 디바이스(250)에게 요청하는 단계(S1000)와, 상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스(250)가 사물 인터넷 디바이스인지 아닌지를 결정하는 단계(S110)와, 상기 결정을 토대로 상기 디바이스(250)가 사물 인터넷 디바이스이면 서로 망분리된 기본 망(310)과 사물 인터넷 디바이스용 망(210) 중 상기 사물 인터넷 디바이스용 망(210)에 할당하고, 상기 디바이스(250)가 사물 인터넷 디바이스가 아니면 상기 기본 망(310)에 할당하는 단계(S1200)가 수행된다.
한편 이러한 네트워크 관리 방법에 대한 내용은 네트워크 관리 장치(100)에 대한 것에 대한 설명과 기술적으로 일치하므로, 중복되는 설명은 생략하기로 한다.
이상에서 살펴본 바와 같이, 일 실시예에 따르면 네트워크에 새로이 연결된 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 능동적으로 획득 가능한 제1 정보, 또는 이러한 제1 정보와 수동적으로 획득 가능한 제2 정보의 조합에 의해 정확하면서도 신속하게 파악될 수 있다.
아울러, 미지의 디바이스가 사물 인터넷 디바이스인지 아닌지 여부가 결정되기 전에도 해당 디바이스는 기본 망에 할당되어서 동작할 수 있으며, 이 후 사물 인터넷 디바이스인 것으로 결정되면 기본 망과는 논리적으로 분리된 사물 인터넷 디바이스용 망에 할당되어서 동작할 수 있다. 따라서, 해당 미지의 디바이스가 보안상 취약점에 대한 관리가 제대로 되고 있지 않은 사물 인터넷 디바이스라고 하더라도, 이러한 미지의 디바이스로 인해 기본 망에 연결된 기본 디바이스들의 보안까지 위협받을 상황이 발생하지 않게 된다.
또한, 망분리가 수행된다고 하더라도 필요에 따라서 망연계가 가능하다. 아울러, 망연계가 되는 상황에서도 기본 망에서 사물 인터넷 디바이스용 망으로 향하는 단방향 접속이 허용되므로, 사물 인터넷 디바이스가 악의적인 공격을 기본 망에 연결된 기본 디바이스들에게 하는 것이 방지될 수 있다.
한편, 전술한 발명의 사상의 경우, 이러한 실시예의 내용을 수행하도록 프로그램된 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램 또는 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체의 형태로 구현 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 네트워크 관리 장치
200: 사물 인터넷 디바이스
300: 기본 디바이스

Claims (13)

  1. 디바이스와 통신을 수행하는 통신부와,
    상기 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 능동적 정보 획득부와,
    상기 디바이스가 상기 요청과 무관한 통신을 하는 과정에서 주고받는 패킷을 상기 통신부를 통해 모니터링하고, 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스가 상기 요청과 무관한 통신을 할 때 패킷에 반영되는 동적 데이터를 제2 정보로서 획득하는 수동적 정보 획득부와,
    상기 요청에 따라 상기 통신부를 통해 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 1차 결정하되, 상기 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 제1 정보 및 상기 제2 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 재결정하는 디바이스 정보 획득부와,
    상기 1차 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하되, 상기 1차 결정에 의해 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 디바이스를 상기 기본 망에 할당한 후 상기 재결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 상기 디바이스를 상기 사물 인터넷 디바이스용 망에 재할당하는 망 관리부를 포함하는
    네트워크 관리 장치.
  2. 제 1 항에 있어서,
    상기 능동적 정보 획득부는,
    상기 디바이스에 할당된 제1 정보로서 상기 디바이스에 할당된 호스트명 및 상기 디바이스에 대한 서비스 시그니처 중 적어도 하나를 요청하는
    네트워크 관리 장치.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 디바이스 정보 획득부는,
    상기 제1 정보 및 상기 제2 정보를 기초로 상기 디바이스의 종류에 대한 정보, 상기 디바이스에 설치된 운영체제의 종류에 대한 정보 및 상기 운영체제의 버전에 대한 정보 중 적어도 하나를 획득하고, 상기 획득된 적어도 하나의 정보를 기초로 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 결정하는
    네트워크 관리 장치.
  5. 제 1 항에 있어서,
    상기 제2 정보는
    상기 디바이스에 할당된 MAC 주소, 상기 디바이스에 대한 TCP 시그니처 및 상기 디바이스에 대한 DHCP 시그니처 중 적어도 하나를 포함하는
    네트워크 관리 장치.
  6. 제 1 항에 있어서,
    상기 제2 정보는 상기 디바이스에 할당된 MAC 주소를 포함하고,
    상기 네트워크 관리 장치는,
    MAC 주소의 값을 복수 개의 구간 중 어느 하나의 구간으로 분류하는 분류 기준을 미리 정의하고 있으며, 상기 복수 개의 구간 각각에 대해 상기 디바이스가 사물 인터넷 디바이스인지 여부에 대한 결과 정보를 할당하고 있는 MAC 주소 데이터베이스를 더 포함하고,
    상기 디바이스 정보 획득부는,
    상기 분류 기준을 기초로 상기 제2 정보에 포함된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간에 속하는 것으로 분류하고, 상기 분류된 어느 하나의 구간에 할당된 결과 정보를 획득하는
    네트워크 관리 장치.
  7. 제 6 항에 있어서,
    상기 디바이스 정보 획득부는,
    MAC 주소의 값을 구성하는 16진수의 6자리 숫자 중 뒤의 3자리 숫자를 기준으로, 상기 디바이스에 할당된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간으로 분류하는
    네트워크 관리 장치.
  8. 제 6 항에 있어서,
    상기 MAC 주소 데이터베이스는,
    상기 디바이스에 할당된 호스트명, 상기 디바이스에 대한 서비스 시그니처, 상기 디바이스에 대한 TCP 시그니처 및 상기 디바이스에 대한 DHCP 시그니처 중 적어도 하나를 이용하여서 상기 디바이스에 대한 결과 정보가 획득되면, 상기 디바이스에 할당된 MAC 주소를 상기 분류 기준에 부가함으로써 상기 분류 기준을 갱신하는
    네트워크 관리 장치.
  9. 제 1 항에 있어서,
    상기 기본 망과 상기 사물 인터넷 디바이스용 망은,
    서로 망분리되어 있는 서브넷 또는 VLAN 중 어느 하나인
    네트워크 관리 장치.
  10. 제 1 항에 있어서,
    상기 망 관리부는,
    상기 사물 인터넷 디바이스용 망에 할당된 디바이스의 IP에 상기 기본 망에서 접근 가능한 가상 IP를 맵핑시키고, 상기 기본 망에 할당된 디바이스로부터 상기 사물 인터넷 디바이스용 망에 할당된 디바이스로의 단방향 통신을 상기 가상 IP에 따른 맵핑 관계를 통해 허용하는
    네트워크 관리 장치.
  11. 네트워크 관리 장치에 의해 수행되는 네트워크 관리 방법에 있어서,
    디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와,
    상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 1차 결정하는 단계와,
    상기 1차 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하되, 상기 1차 결정에 의해 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 디바이스를 상기 기본 망에 할당하는 단계와,
    상기 디바이스가 상기 요청과 무관한 통신을 하는 과정에서 주고받는 패킷을 통신부를 통해 모니터링하고, 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스가 상기 요청과 무관한 통신을 할 때 패킷에 반영되는 동적 데이터를 제2 정보로서 획득하는 단계와,
    상기 제1 정보 및 상기 제2 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 재결정하는 단계와,
    상기 재결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 상기 디바이스를 상기 사물 인터넷 디바이스용 망에 재할당하는 단계를 포함하는
    네트워크 관리 방법.
  12. 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와,
    상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 1차 결정하는 단계와,
    상기 1차 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하되, 상기 1차 결정에 의해 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 디바이스를 상기 기본 망에 할당 단계와,
    상기 디바이스가 상기 요청과 무관한 통신을 하는 과정에서 주고받는 패킷을 통신부를 통해 모니터링하고, 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스가 상기 요청과 무관한 통신을 할 때 패킷에 반영되는 동적 데이터를 제2 정보로서 획득하는 단계와,
    상기 제1 정보 및 상기 제2 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 재결정하는 단계와,
    상기 재결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 상기 디바이스를 상기 사물 인터넷 디바이스용 망에 재할당하는 단계를 수행하도록 프로그램된
    컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램.
  13. 디바이스에 할당된 제1 정보를 상기 디바이스에게 요청하는 단계와,
    상기 요청에 따라 수신된 제1 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 1차 결정하는 단계와,
    상기 1차 결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 서로 망분리된 기본 망과 사물 인터넷 디바이스용 망 중 상기 사물 인터넷 디바이스용 망에 할당하고, 상기 디바이스가 사물 인터넷 디바이스가 아니면 상기 기본 망에 할당하되, 상기 1차 결정에 의해 상기 디바이스가 사물 인터넷 디바이스인지 여부가 결정되지 않으면 상기 디바이스를 상기 기본 망에 할당 단계와,
    상기 디바이스가 상기 요청과 무관한 통신을 하는 과정에서 주고받는 패킷을 통신부를 통해 모니터링하고, 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스가 상기 요청과 무관한 통신을 할 때 패킷에 반영되는 동적 데이터를 제2 정보로서 획득하는 단계와,
    상기 제1 정보 및 상기 제2 정보를 이용하여서 상기 디바이스가 사물 인터넷 디바이스인지 아닌지를 재결정하는 단계와,
    상기 재결정을 토대로, 상기 디바이스가 사물 인터넷 디바이스이면 상기 디바이스를 상기 사물 인터넷 디바이스용 망에 재할당하는 단계를 수행하도록 프로그램된
    컴퓨터 프로그램이 저장된 컴퓨터 판독가능한 기록매체.
KR1020180029394A 2018-03-13 2018-03-13 네트워크 관리 장치 및 방법 KR101982164B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180029394A KR101982164B1 (ko) 2018-03-13 2018-03-13 네트워크 관리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180029394A KR101982164B1 (ko) 2018-03-13 2018-03-13 네트워크 관리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101982164B1 true KR101982164B1 (ko) 2019-08-28

Family

ID=67775507

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180029394A KR101982164B1 (ko) 2018-03-13 2018-03-13 네트워크 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101982164B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022163983A1 (ko) * 2021-02-01 2022-08-04 주식회사 드림에이스 차량 가상화 구조 기반의 디바이스 제어 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050003598A (ko) * 2003-06-27 2005-01-12 주식회사 케이티 이중화된 도메인 네임 서버를 이용한 도메인 네임 서비스제공 시스템 및 제공 방법
KR101498965B1 (ko) * 2014-06-27 2015-03-04 김영자 가상화 기술을 이용한 내외부망 격리 시스템 및 방법
KR20160077369A (ko) * 2014-12-22 2016-07-04 이강영 Ict 정보 유통 시스템
KR20170048748A (ko) 2015-10-27 2017-05-10 에스케이플래닛 주식회사 미들웨어 환경 기반의 서버 관리 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050003598A (ko) * 2003-06-27 2005-01-12 주식회사 케이티 이중화된 도메인 네임 서버를 이용한 도메인 네임 서비스제공 시스템 및 제공 방법
KR101498965B1 (ko) * 2014-06-27 2015-03-04 김영자 가상화 기술을 이용한 내외부망 격리 시스템 및 방법
KR20160077369A (ko) * 2014-12-22 2016-07-04 이강영 Ict 정보 유통 시스템
KR20170048748A (ko) 2015-10-27 2017-05-10 에스케이플래닛 주식회사 미들웨어 환경 기반의 서버 관리 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022163983A1 (ko) * 2021-02-01 2022-08-04 주식회사 드림에이스 차량 가상화 구조 기반의 디바이스 제어 방법 및 장치
US11977619B2 (en) 2021-02-01 2024-05-07 Drimaes, Inc. Method and device for controlling device based on vehicle virtual structure

Similar Documents

Publication Publication Date Title
US11477085B2 (en) System, apparatus and method for dynamically updating the configuration of a network device
US11050713B2 (en) Firewall configured with dynamic membership sets representing machine attributes
US10652202B2 (en) Network address translating router for mobile networking
KR102052035B1 (ko) 디바이스의 정보 획득 장치 및 방법
US7590733B2 (en) Dynamic address assignment for access control on DHCP networks
EP2499787B1 (en) Smart client routing
EP1894352B1 (en) Device and method for managing two types of devices
US9401889B2 (en) Port-based dynamic network parameter assignment
WO2016202059A1 (zh) 一种访问IPv6网络的方法及网关
KR101982164B1 (ko) 네트워크 관리 장치 및 방법
KR20160058300A (ko) 단말 정보 식별 장치 및 방법
CN106878485B (zh) 一种报文处理方法及装置
KR20150116092A (ko) 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치
US11736444B2 (en) Cloud-based private area network
US10270653B2 (en) Network security device, network management method, and non-transitory computer-readable medium
CN109120738B (zh) Dhcp服务器及其进行网络内部设备管理的方法
KR101683013B1 (ko) Dhcp 옵션 60, 61 및 82를 이용한 ip 주소 할당 방법 및 이를 위한 시스템
JP6600606B2 (ja) サーバ装置およびネットワークシステム
JP2014230157A (ja) 管理装置、管理システム、管理方法及び管理プログラム
WO2022049768A1 (ja) パケット通信装置、パケット処理ルール設定方法、及びプログラム
JP4408831B2 (ja) ネットワークシステムおよびその通信制御方法
KR20210065513A (ko) 화상 형성 장치의 네트워크 보안 설정