KR102006149B1 - 망분리 환경에서의 중계망 관제장치 및 관제방법 - Google Patents

망분리 환경에서의 중계망 관제장치 및 관제방법 Download PDF

Info

Publication number
KR102006149B1
KR102006149B1 KR1020180107487A KR20180107487A KR102006149B1 KR 102006149 B1 KR102006149 B1 KR 102006149B1 KR 1020180107487 A KR1020180107487 A KR 1020180107487A KR 20180107487 A KR20180107487 A KR 20180107487A KR 102006149 B1 KR102006149 B1 KR 102006149B1
Authority
KR
South Korea
Prior art keywords
network
relay
control server
packet
internal
Prior art date
Application number
KR1020180107487A
Other languages
English (en)
Inventor
이준엽
Original Assignee
이준엽
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이준엽 filed Critical 이준엽
Priority to KR1020180107487A priority Critical patent/KR102006149B1/ko
Application granted granted Critical
Publication of KR102006149B1 publication Critical patent/KR102006149B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/24Testing correct operation
    • H04L1/242Testing correct operation by comparing a transmitted test signal with a locally generated replica
    • H04L1/243Testing correct operation by comparing a transmitted test signal with a locally generated replica at the transmitter, using a loop-back
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

중계망 관제장치는, 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하되, 상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 내부망 수집센서 및 외부망 수집센서; 상기 내부망 수집센서 및 상기 외부망 수집센서에서 각각 수집된 데이터 패킷을 적어도 일시적으로 저장하고, 저장된 데이터 패킷을 분석하여 상기 중계망의 취약점을 파악하는 내부망관제서버 및 외부망관제서버; 그리고 상기 내부망관제서버 및 상기 외부망관제서버가 서로 통신할 수 있도록 상기 내부망관제서버 및 상기 외부망관제서버 사이에서 데이터를 교환하는 관제중계시스템을 포함한다.

Description

망분리 환경에서의 중계망 관제장치 및 관제방법{APPARATUS AND METHOD FOR MONITORING AND CONTROLLING RELAY NETWORK IN SEPARATED NETWORK ENVIRONMENT}
본 명세서에서 개시되는 실시예들은 망분리 환경에서 분리된 망을 선택적으로 연계해주는 중계망의 관제장치 및 관제방법에 관한 것으로, 보다 구체적으로는 분리된 망에서 수집된 데이터를 비교하여 중계망의 취약점을 분석하고, 분석 결과에 따라 중계망의 동작을 제어할 수 있는 중계망 관제장치 및 관제방법에 대한 것이다.
공공기관이나 금융회사, 기술유출이 우려되는 연구기관이나 기업 등 외부 침입에 의해, 또는 내부 인력의 부주의 등에 의해 중요 기밀자료가 유출될 위험이 있는 기관들에서는 최근 망분리를 실행하고 있다. 망분리는 기관 내부에서 사용하는 네트워크와 외부와 통신하는 네트워크를 완전히 분리함으로써, 하나의 컴퓨터에서 업무를 수행할 때에는 내부망을, 그 외 인터넷에 접속하는 경우에는 외부망을 이용하도록 하는 것이다.
그러나 망을 분리하면 기관 안팎을 드나드는 정보를 철저히 관리할 수 있고 정보 유출의 위험성이 크게 떨어진다는 장점이 있는 반면, 업무와 관련하여 외부 네트워크와 수월하게 통신할 수 없어 업무 효율과 속도를 떨어뜨리기도 한다.
그에 따라 최근에는 망분리 기술을 이용하면서도 동시에 선택적으로 내부망과 외부망을 연계하여 이용할 수 있도록 중계망을 함께 사용하는 망연계 기술이 함께 도입되었다. 중계망은 스트림 연계방식으로 파일을 주고받거나, 공유 스토리지를 통해 서로 다른 망사이에서 파일을 주고받을 수 있도록 구성된다.
이러한 망연계 기술은 이제 망분리를 실행하는 대부분의 기관에서 망분리 기술과 함께 채용되고 있다.
그러나 중계망을 구비하는 망분리 환경은, 망연계가 이루어지지 않은 망분리 환경보다 보안에 취약하다는 문제가 있다. 즉 편의성을 위해 보안성을 일부 포기할 수밖에 없었다.
그러므로 이러한 단점을 보완하기 위해 중계망을 사용할 때에는 중계망이 서로 다른 망들 사이에서 통신을 중계하기 위한 구체적인 중계 정책을 명확히 수립하고 중계 정책에 따라 실제 데이터를 선택적으로 전송 또는 차단하는지를 지속적으로 감시하고 제어할 필요성이 있었다.
그에 따라 종래에는 중계망을 통해 전달되는 데이터들을 모니터링하여 중계망의 동작을 감시하고 제어하는 기술이 이용되었다.
한국 등록특허 제10-1489759호는 ‘스토리지 장치를 이용한 파일전송 프로토콜 제어 방법’에 대한 것으로서, 중계망을 이루는 파일전송 중계장치가 반출대기 파일을 저장하면 반출파일 검사부가 해당 파일을 검사하는 방식으로 중계망을 통과하는 파일을 직접 검사하는 방식에 대해 개시하고 있다.
그러나 이와 같이 중계망 내에서 반입 또는 반출 파일을 각각 검사하는 방식의 경우 파일 반입 및 반출 시 과도한 시간이 소요되어 망연계의 실익을 얻기 어렵다는 문제점이 있다.
그리고 망분리 환경에서는 개별망의 정보가 다른 망으로 전달되지 않는 속성이 있기 때문에 데이터의 유기적 분석 및 탐지, 차단이 불가능하다는 문제가 있다.
또한 중계망 내에서 데이터를 검사하는 방식은, 중계망 외의 다른 우회 경로에 의한 정책 위반을 탐지할 수 없다는 문제점이 있다.
나아가 위 선행문헌에 기재된 기술만으로는 중계망 자체의 장애를 감지하거나 중계 정책의 오류, 중계망의 일방향성 위반 등을 찾아내기 어렵다는 문제점이 있다.
그에 따라 상술한 바와 같은 문제점을 해결하기 위한 수단이 요구된다.
한편, 전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
본 명세서에서 개시되는 실시예들은, 망분리 환경에서 각각의 개별망과 중계망 에서 발견되는 데이터들을 개별적으로 수집 후 비교함으로써 중계망의 동작 또는 중계 정책의 오류나 오용을 탐지할 수 있는 중계망 관제장치 및 중계망 관제방법을 제공하고자 한다.
본 명세서에서 개시되는 실시예들은, 중계망의 취약점을 탐지하여 보고함으로써 중계망의 정책을 보완할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공하고자 한다.
나아가 본 명세서에 개시되는 실시예들은, 중계망 외의 우회경로를 탐지함으로써 완벽한 망분리 환경을 유지할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공하고자 한다.
또한 본 명세서에 개시되는 실시예들은, 중계망 자체의 장애나 중계 정책의 오류, 일방향성 위반 여부 등을 탐지할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공하고자 한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 일 실시예에 따르면, 중계망 관제장치는, 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하되, 상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 내부망 수집센서 및 외부망 수집센서; 상기 내부망 수집센서 및 상기 외부망 수집센서에서 각각 수집된 데이터 패킷을 적어도 일시적으로 저장하고, 저장된 데이터 패킷을 분석하여 상기 중계망의 취약점을 파악하는 내부망관제서버 및 외부망관제서버; 그리고 상기 내부망관제서버 및 상기 외부망관제서버가 서로 통신할 수 있도록 상기 내부망관제서버 및 상기 외부망관제서버 사이에서 데이터를 교환하는 관제중계시스템을 포함한다.
다른 실시예에 따르면, 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하는 중계망 관제장치에 의해 수행되는 중계망 관제방법은, 사용자단말 및 다른 서비스제공장치와 각각 통신 가능한 서비스제공장치에 의하여 수행되고, 상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 단계; 상기 중계망을 통과한 중계망 경유 패킷을 수집하는 단계; 그리고 상기 내부망과 상기 외부망 각각에서 수집된 데이터 패킷과 상기 중계망 경유 패킷을 적어도 일시적으로 저장하고, 서로 다른 망에서 수집된 데이터 패킷을 비교하여 상기 중계망의 취약점을 파악하는 단계를 포함할 수 있다.
또 다른 실시예에 따르면 중계망 관제방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체에서, 중계망 관제방법은 상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 단계; 상기 중계망을 통과한 중계망 경유 패킷을 수집하는 단계; 그리고 상기 내부망과 상기 외부망 각각에서 수집된 데이터 패킷과 상기 중계망 경유 패킷을 적어도 일시적으로 저장하고, 서로 다른 망에서 수집된 데이터 패킷을 비교하여 상기 중계망의 취약점을 파악하는 단계를 포함할 수 있다.
나아가 또 다른 실시예에 따르면 중계망 관제방법을 수행하는 컴퓨터 프로그램에서 중계망 관제방법은, 부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하는 중계망 관제장치에 의해 수행되며, 상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 단계; 상기 중계망을 통과한 중계망 경유 패킷을 수집하는 단계; 그리고 상기 내부망과 상기 외부망 각각에서 수집된 데이터 패킷과 상기 중계망 경유 패킷을 적어도 일시적으로 저장하고, 서로 다른 망에서 수집된 데이터 패킷을 비교하여 상기 중계망의 취약점을 파악하는 단계를 포함할 수 있다.
전술한 과제 해결 수단 중 어느 하나에 의하면, 본 명세서에서 개시되는 실시예들은, 망분리 환경에서 각각의 개별망과 중계망에서 발견되는 데이터들을 개별적으로 수집 후 비교함으로써 중계망의 동작 또는 중계 정책의 오류나 오용을 탐지할 수 있는 중계망 관제장치 및 중계망 관제방법을 제공할 수 있다.
그리고 전술한 과제 해결 수단 중 어느 하나에 의하면, 본 명세서에서 개시되는 실시예들은, 중계망의 취약점을 탐지하여 보고함으로써 중계망의 정책을 보완할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공할 수 있다.
나아가 전술한 과제 해결 수단 중 어느 하나에 의하면, 본 명세서에 개시되는 실시예들은, 중계망 외의 우회경로를 탐지함으로써 완벽한 망분리 환경을 유지할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공할 수 있다.
또한 전술한 과제 해결 수단 중 어느 하나에 의하면, 본 명세서에 개시되는 실시예들은, 중계망 자체의 장애나 중계 정책의 오류, 일방향성 위반 여부 등을 탐지할 수 있도록 하는 중계망 관제장치 및 중계망 관제방법을 제공할 수 있다.
개시되는 실시예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 개시되는 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 일 실시예에 따른 중계망 관제장치를 포함하는 망분리 환경의 네트워크 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 중계망 관제장치의 구성을 도시한 도면이다.
도 3 내지 도 11은 일 실시예에 따른 중계망 관제방법을 단계적으로 도시한 흐름도이다.
아래에서는 첨부한 도면을 참조하여 다양한 실시예들을 상세히 설명한다. 아래에서 설명되는 실시예들은 여러 가지 상이한 형태로 변형되어 실시될 수도 있다. 실시예들의 특징을 보다 명확히 설명하기 위하여, 이하의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 널리 알려져 있는 사항들에 관해서 자세한 설명은 생략하였다. 그리고, 도면에서 실시예들의 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 구성이 다른 구성과 "연결"되어 있다고 할 때, 이는 ‘직접적으로 연결’되어 있는 경우뿐 아니라, ‘그 중간에 다른 구성을 사이에 두고 연결’되어 있는 경우도 포함한다. 또한, 어떤 구성이 어떤 구성을 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한, 그 외 다른 구성을 제외하는 것이 아니라 다른 구성들을 더 포함할 수도 있음을 의미한다.
이하 첨부된 도면을 참고하여 실시예들을 상세히 설명하기로 한다.
도 1은 일 실시예에 따른 중계망 관제장치를 포함하는 망분리 환경의 네트워크 구성을 도시한 도면이고, 도 2는 일 실시예에 따른 중계망 관제장치의 구성을 도시한 도면이다.
도 1을 참조하면, 망분리 환경에서는 내부망(100)과 외부망(200)이 분리되어 구성될 수 있다. 이때 내부망(100)은 특정 기관이나 조직의 내부에서만 사용되는 통신망으로서 하나 이상의 물리적인 네트워크 장비를 포함하여 구성될 수 있다. 내부망(100)에는 서버(110) 또는 스토리지(120)가 하나 이상 구비될 수 있으며, 하나 이상의 사용자단말(130)이 내부망(100)과 통신할 수 있다.
한편 외부망(200)은 특정 기관이나 조직의 내부 구성원뿐 아니라 다른 사용자들에 의해서도 접속 가능한 통신망으로서 예를 들어 인터넷이 될 수 있다. 외부망(200)도 각종 네트워크 장비들과 통신 수단을 포함하여 구성될 수 있다.
이때 특정 기관이나 조직의 내부에는 외부망(200)과의 접속을 위해, 외부망(200)을 이루는 하나 이상의 네트워크 장비가 구성될 수 있으며, 실질적으로는 이와 같이 해당 기관이나 조직 내에 구성되는 네트워크 장비를 통해 내부 구성원들이 외부망(200)에 접근하게 된다.
외부망(200)에도 서버(210)나 스토리지(220)가 다수 구비될 수 있으며, 사용자단말(230)이 외부망(200)에 접속할 수 있다.
이때 사용자단말(130, 230)은 동일한 단말일 수 있다. 예를 들어, 하나의 사용자단말이 내부망(100)과 외부망(200)에 각각 접속할 수 있다.
여기서 사용자단말(130, 230)은 내부망(100) 또는 외부망(200)에 접근하여 다른 사용자단말(130, 230)과 통신하거나 또는 서버(110, 120)가 제공하는 서비스를 제공받거나 스토리지(120, 220)에 데이터를 기입하거나 독출하는 통상의 정보처리장치일 수 있다.
구체적으로 사용자단말은 전자단말기로서, 전자단말기는 네트워크(N)를 통해 원격지의 서버에 접속하거나, 타 단말 및 서버와 연결 가능한 컴퓨터나 휴대용 단말기, 웨어러블 디바이스(Wearable Device) 등으로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop)등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), GSM(Global System for Mobile communications), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet), 스마트폰(Smart Phone), 모바일 WiMAX(Mobile Worldwide Interoperability for Microwave Access) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
또한 내부망(100)과 외부망(200) 사이에는 내부망(100)과 외부망(200) 사이의 데이터교환을 선택적으로 중계하는 중계망(300)이 구성될 수 있다.
중계망(300)은 내부망중계시스템(310)과 외부망중계시스템(320)을 포함하여 구성될 수 있고, 내부망중계시스템(310)은 내부망(100)과, 외부망중계시스템(320)은 외부망(200)과만 통신할 수 있다. 그리고 내부망중계시스템(310)과 외부망중계시스템(320)은 예를 들어, 이더넷 통신으로 메모리 데이터를 교환하거나, 케이블을 이용하여 시리얼 통신으로 데이터를 교환하거나, 또는 공유 스토리지를 이용하여 전송할 파일을 교환하는 방식으로 연계될 수 있다.
이때 내부망중계시스템(310)과 외부망중계시스템(320)에는 각각 중계정책이 수립되며, 그에 따라 내부망중계시스템(310)과 외부망중계시스템(320)은 서로에게 데이터를 전달할 때 중계정책에서 허용하는 범위의 데이터만을 선택적으로 전달할 수 있다.
한편 실시예에서는 중계망 관제장치(400)가 구성된다. 중계망 관제장치(400)는 도 1과 도 2에 도시된 바와 같이 내부망(100)과 외부망(200)에서 각각 수집된 데이터를 저장하고 저장된 데이터를 분석하여 관제를 수행하는 내부망관제서버(410)와 외부망관제서버(420)를 포함한다. 즉 중계망 관제장치(400)는 중계망(300)을 관제하기 위해, 중계망(300)을 실제 통과하는 데이터만을 모니터링하는 것이 아니라 내부망(100)과 외부망(200)에서 발생하는 데이터를 각각 모니터링한다.
그리고 중계망 관제장치(400)는 내부망(100)과 외부망(200)으로부터 데이터를 수집하기 위해 각각 내부망(100)과 외부망(200)에 설치되는 내부망수집센서(450)와 외부망수집센서(460)를 포함한다.
이때 내부망수집센서(450)는 내부망(100)의 통신장비를 통해 송수신되는 데이터를 수집하고 외부망수집센서(460)는 외부망(200)의 통신장비를 통해 송수신되는 데이터를 수집할 수 있다.
이때 외부망수집센서(460)의 경우 외부망(200) 전체의 송수신 데이터를 수집하는 것이 물리적으로 불가능하므로, 특정 기관이나 조직에서 외부망(200), 즉 인터넷에 접근하기 위해 해당 기관이나 조직에 설치되는 네트워크 장비를 통해 송수신되는 데이터를 수집하도록 구성될 수 있다.
물론 이때 내부망수집센서(450)와 외부망수집센서(460)는 특정 기관이나 조직에서 송수신하는 모든 데이터를 수집할 수도 있으나, 실시예에 따라 미리 정해진 특정 규칙을 만족하는 데이터만을 선택적으로 수집할 수도 있다. 예를 들어, 내부망수집센서(450)와 외부망수집센서(460)는 각종 네트워크 프로토콜을 따르는 패킷, 예를 들어, IP, TCP, UDP, ICMP, ARP 등 각종 네트워크 프로토콜 패킷들을 모두 수집할 수 있다. 또한 내부망수집센서(450)와 외부망수집센서(460)는 패킷의 전체 데이터, 즉 헤더(HEADER) 데이터와 바디(BODY) 데이터를 모두 수집할 수도 있고 헤더 데이터만을 수집할 수도 있으며, 헤더 데이터와 바디 데이터의 일부를 수집할 수도 있다. 나아가 헤더 데이터와 바디 데이터의 축약 데이터를 수집할 수도 있다.
한편 이와 같이 내부망수집센서(450)와 외부망수집센서(460)가 각각 내부망(100)과 외부망(200)에서 데이터를 수집하면, 상술한 내부망관제서버(410)와 외부망관제서버(420)는 각각 수집된 데이터를 적어도 일시적으로 저장하고 분석할 수 있다. 이때 내부망관제서버(410)와 외부망관제서버(420)는 협력하여 중계망(300)이나 망분리 환경의 취약점을 분석하는데, 이를 위해 내부망관제서버(410)와 외부망관제서버(420)는 각각 수집된 데이터를 비교하는 방식을 이용할 수 있다. 이를 위해 내부망관제서버(410)와 외부망관제서버(420)는 서로 통신을 수행한다.
따라서 중계망 관제장치(400)는 내부망관제서버(410)와 외부망관제서버(420)가 서로 통신을 수행할 수 있도록 관제중계시스템(430)을 구비할 수 있다. 이때 관제중계시스템(430)은 내부망관제서버(410) 측에 구비되는 내부망관제중계시스템(431)과 외부망관제서버(420) 측에 구비되는 외부망관제중계시스템(432)을 포함하여 구성될 수 있다.
그리고 이러한 관제중계시스템(430)은 내부망관제서버(410)와 외부망관제서버(420)가 중계망(300)이나 망분리 환경의 취약점을 분석하는데 요구되는 제한적인 정보만을 중계함으로써 전체적인 망분리 환경을 유지하도록 구성될 수 있다.
실시예에 따르면, 내부망관제서버(410)와 외부망관제서버(420)는 각각의 개별망(100, 200)에서 수집된 데이터들 사이의 상관 관계를 확인하기 위해, 내부망(100)이나 외부망(200)에서 수집된 데이터 패킷이 중계망(300)을 통과한 패킷으로 추정되는지 여부를 확인할 수 있다. 내부망관제서버(410)와 외부망관제서버(420)는 각각 내부망(100)과 외부망(200)에서 수집된 데이터에 기초하여 비교데이터를 추출할 수 있다. 이때 비교데이터는 내부망(100)에서 수집된 데이터와 외부망(200)에서 수집된 데이터 간의 상관관계를 파악하는데 이용되는 정보를 포함하는 데이터로서, 예를 들어, 내부망(100)에서 수집된 데이터 패킷과 외부망(200)에서 수집된 데이터 패킷 각각의 출발지 주소, 목적지 주소, 맥 어드레스(MAC ADDRESS) 등이 될 수 있다.
그리고 내부망관제서버(410)와 외부망관제서버(420)는 각각 수집된 데이터 패킷에서 추출된 비교데이터를 비교하여 내부망(100)에서 수집된 데이터 패킷과 외부망(200)에서 수집된 데이터 패킷의 상관관계를 확인할 수 있다.
그에 따라 내부망관제서버(410)와 외부망관제서버(420)는 내부망(100)에서 수집된 데이터 패킷 중에서 중계망(300)을 통해 외부망(200)에서 내부망(100)으로 전달된 패킷과, 외부망(200)에서 수집된 데이터 패킷 중에서 중계망(300)을 통해 내부망(100)에서 외부망(200)으로 전달된 패킷을 분류할 수 있다. 즉 내부망관제서버(410)와 외부망관제서버(420)는 협력하여 중계망(300)을 통과한 패킷, 이하에서 ‘중계망 통과 패킷’으로 칭하는 패킷들을 분류할 수 있다.
내부망(100)과 외부망(200)에서 수집된 데이터 패킷들은 중계망(300)을 통과하지 않고 내부망(100) 내에서 발생하여 내부망(100) 내의 다른 목적지로 도달하기 위한 패킷이나 또는 외부망(200)에서 발생하여 외부망(200)의 다른 목적지로 도달하기 위한 패킷도 존재하는데, 내부망관제서버(410)와 외부망관제서버(420)는 이들과 달리 중계망(300)을 통과한 중계망 통과 패킷을 분류해 냄으로써 데이터 패킷의 유기적 분석을 수행할 수 있다.
보다 구체적으로 설명하면 내부망관제서버(410)와 외부망관제서버(420)는 내부망(100)과 외부망(200) 중 하나의 개별망에서 발생한 데이터 패킷이 설정 시간 내에 다른 개별망에서 발생하면, 다른 개별망에서 발생한 데이터 패킷을 중계망 통과 패킷으로 분류할 수 있다. 이때 데이터 패킷의 동일성은 출발지와 목적지의 IP 주소 및 포트(Port)의 비교, 또는 출발지와 목적지의 맥 어드레스 등 추출된 비교데이터의 비교를 통해 판단할 수 있다.
예를 들어, 내부망(100)에서 수집된 패킷의 출발지와 목적지의 맥 어드레스와 반대의 출발지와 목적지 맥 어드레스를 갖는 패킷이 설정 시간 내에 외부망(200)에서 수집된 경우 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 해당 패킷을 중계망 통과 패킷으로 판단할 수 있다.
나아가 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 IP주소나 포트, 맥 어드레스 비교 외에도 다른 방식으로 데이터 패킷 사이의 상관 관계를 확인할 수 있다.
예를 들어, 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 각각 내부망(100)과 외부망(200)에서 수집된 TCP 또는 UDP 데이터 패킷의 체크섬(CHECKSUM)을 연산하여 동일한 체크섬을 갖는 데이터 패킷이 각 개별망에서 설정시간 내에 발생한 것으로 확인되는 경우, 두 데이터 패킷이 서로 상관 관계를 갖는 것으로 확인할 수 있다. 즉 해당 데이터 패킷을 중계망 통과 패킷으로 분류할 수 있다. 이때 상술한 비교데이터는 각 TCP 또는 UDP 패킷의 체크섬이 될 수 있다.
나아가 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 각각 내부망(100)과 외부망(200)에서 수집된 TCP 데이터 패킷의 시퀀스 번호를 확인하여 각 개별망에서 동일한 시퀀스 번호를 갖거나 동일한 시퀀스 번호의 변화를 갖는 데이터 패킷이 설정시간 내에 발생한 것으로 확인되는 경우, 두 데이터 패킷이 서로 상관 관계를 갖는 것으로 확인하고, 해당 데이터 패킷을 중계망 통과 패킷으로 분류할 수 있다. 이러한 실시예에서 비교데이터는 TCP 패킷의 시퀀스 번호가 될 수 있다.
그리고 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 내부망(100)과 외부망(200)에서 수집된 각각의 데이터 패킷의 실제 콘텐트, 즉 헤더가 아닌 바디 부분의 데이터 중 적어도 일부를 서로 비교하여 각각의 개별망에서 수집된 데이터 패킷이 동일한 콘텐트를 가진다고 판단되면 두 데이터 패킷이 서로 상관 관계를 갖는 것으로 확인하고, 해당 데이터 패킷을 중계망 통과 패킷으로 분류할 수 있다. 이때 비교데이터는 데이터 패킷에 포함된 콘텐트가 될 수 있다.
또한 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 내부망(100)과 외부망(200)에서 수집된 각각의 데이터 패킷의 응용 계층 프로토콜의 헤더 등에 포함된 데이터를 비교데이터로서 추출하여 비교함으로써 내부망(100)에서 수집된 데이터 패킷과 외부망(200)에서 수집된 데이터 패킷 사이의 상관 관계를 파악하고, 각각의 개별망에서 수집된 패킷 사이에 상관 관계가 있는 것으로 판단되는 경우 해당 패킷을 중계망 통과 패킷으로 분류할 수 있다.
상술한 바와 같이 여러가지 중계망 통과 패킷을 분류하는 실시예는 택일적으로 사용되거나 또는 적어도 둘 이상의 실시예가 혼합하여 사용될 수 있다.
한편 이하에서 ‘상관 관계’가 있다는 표현은, 실질적으로 둘 이상의 패킷이 서로 연관된 패킷, 즉 동일한 패킷으로서 서로 다른 망에서 수집된 것임을 의미하는 용어로 표현하며, ‘동일’하다는 표현으로 기재될 수도 있다.
이때 내부망관제서버(410)와 외부망관제서버(420)는 각각, 또는 서로 협력하여 중계망 통과 패킷을 분류하고 이에 기초하여 중계망의 취약점을 분석할 수 있다. 이를 위해 관제서버(410, 420) 중 적어도 하나는 다른 하나로 수집센서(450, 460)에서 수집된 패킷 또는 수집된 패킷에서 추출된 정보를 전송하고, 이를 수신한 다른 하나는 수집센서(450, 460)에서 수집된 패킷과 하나의 관제서버(410, 420)에서 수신한 패킷의 비교데이터를 비교하여 상관 관계를 분석할 수 있다.
예를 들어, 내부망관제서버(410)가 내부망(100)에서 내부망수집센서(450)가 수집한 데이터 패킷 또는 해당 데이터 패킷에서 추출한 정보(적어도 비교데이터를 포함함)를 관제중계시스템(430)을 통해 외부망관제서버(420)로 전송하면, 외부망관제서버(420)는 수신된 데이터 패킷의 비교데이터를 외부망(200)에서 외부망수집센서(460)가 수집한 데이터 패킷에서 추출한 비교데이터와 서로 비교하여 데이터 패킷 사이의 상관 관계를 분석한다. 이때 외부망수집센서(460)가 수집한 데이터 패킷이 내부망(100)에서 수집된 데이터 패킷과 상관 관계가 있다고 판단되면 해당 데이터 패킷은 중계망 통과 패킷으로 구분될 수 있다.
물론 역으로 외부망관제서버(420)가 외부망(200)에서 외부망수집센서(460)가 수집한 데이터 패킷 또는 해당 데이터 패킷에서 추출한 정보(적어도 비교데이터를 포함함)를 관제중계시스템(430)을 통해 내부망관제서버(410)로 전송하면, 내부망관제서버(410)는 수신된 데이터 패킷의 비교데이터를 내부망(100)에서 내부망수집센서(450)가 수집한 데이터 패킷에서 추출한 비교데이터와 서로 비교하여 데이터 패킷 사이의 상관 관계를 분석할 수도 있음은 물론이다.
나아가 각각의 관제서버(410, 420)가 서로에게 각각 수집한 데이터 패킷 또는 이들에서 추출된 정보를 전송하고, 각각의 관제서버(410, 420)가 각각의 개별망에서 수집된 데이터 패킷의 비교데이터의 추출 및 비교를 수행하여 상관 관계를 분석하며, 이를 통해 각각의 관제서버(410, 420)가 중계망(300)의 취약점을 분석할 수 있음은 물론이다.
나아가 중계망 관제장치(400)의 관제서버(410, 420)는 각각 중계망(300)을 경유한 통신 패킷(이하 ‘중계망 경유 패킷’이라 함)을 수집할 수도 있다. 상술한 중계망 통과 패킷은 각각의 개별망에서 발생된 패킷을 비교하여 중계망(300)을 통과한 것으로 추정한 패킷인 반면, 중계망 경유 패킷은 실제로 중계망(300)을 통과한 패킷으로서 중계망 관제장치(400)가 중계망(300)과 개별망(100, 200) 사이의 통신 패킷을 미러링하여 수집하거나 중계망(300)의 각 중계시스템(310, 320)으로부터 수신할 수 있다.
그에 따라 중계망 관제장치(400)는 각각의 개별망(100, 200), 즉 내부망(100)과 외부망(200), 그리고 중계망(300) 중 적어도 하나에서 수집되거나 전송된 패킷을 다른 하나에서 수집된 패킷과 비교함으로써, 중계망(300)이나 망분리 환경 자체의 취약점을 분석할 수 있다. 중계망 관제장치(400)가 수행하는 중계망(300)이나 망분리 환경의 취약점을 분석하는 구체적인 실시예들은 다음과 같다.
하나의 실시예로서, 중계망 관제장치(400)는 하나의 개별망에서 다른 개별망으로 전송된 것으로 판단된 동일한 중계망 통과 패킷이 2회 발생하는 한편, 동일한 중계망 경유 패킷은 1회 발생한 것으로 확인되는 경우, 이러한 중계망 통과 패킷은 우회 경로에 의한 루프백(LOOP BACK)에 의해 발생한 것으로 추정할 수 있다. 이를 위해 중계망 관제장치(400)는 내부망(100), 외부망(200), 그리고 중계망(300) 각각에서 수집된 데이터 패킷을 유기적으로 비교하여야 한다. 즉, 각 개별망(100, 200)에서 수집된 데이터 패킷을 비교하여 중계망 통과 패킷을 분류해 내고, 중계망(300)에서 수집된 중계망 경유 패킷을 중계망 통과 패킷과 비교하여 양자 사이의 상관 관계를 확인함으로써, 중계망 경유 패킷과 상관된, 즉 실질적으로 동일한 중계망 통과 패킷이 2회 발생하였는지를 판단함으로써 우회 경로에 의한 루프백 여부를 확인할 수 있다.
또한 다른 실시예로서 중계망 관제장치(400)는, 중계망 경유 패킷이 아니면서 중계망 통과 패킷으로 분류된 패킷이 발생하는 경우 관제장치(400)의 관제서버(410, 420)는 중계망(300)이 아닌 다른 우회 경로가 존재함을 확인할 수 있다. 이러한 실시예에서 중계망 관제장치(400)는 내부망(100)과 외부망(200) 각각에서 수집된 데이터 패킷을 비교하여 중계망 통과 패킷을 분류한 후, 각 중계망 통과 패킷을 중계망(300)에서 수집된 중계망 경유 패킷과 비교함으로써, 중계망 통과 패킷이 실제로 중계망(300)을 경유하여 서로 다른 망으로 전달된 것인지 확인하고 그렇지 않다면, 중계망(300) 외의 우회 경로가 존재하는 것으로 추정할 수 있다.
나아가 다른 실시예로서, 중계망 관제장치(400)는 스캐닝 패킷을 전송하여 중계망(300)의 중계 정책을 점검하고 중계 정책의 오류나 중계 정책에 위반된 데이터 중계가 발생하는지 여부를 확인할 수 있다. 구체적으로는 중계망 관제장치(400)가 중계망(300)을 통해 하나의 개별망(100, 200)에서 다른 하나의 개별망(100, 200)으로 중계가 허용되는 IP주소를 갖되, 서로 다른 포트값을 갖는 복수의 스캐닝 패킷을 전송한 후, 관제서버(410, 420)가 다른 하나의 개별망(100, 200)에서 수집한 데이터 패킷들 중 스캐닝 패킷을 탐색하여 어떤 포트값을 갖는 스캐닝 패킷들이 실제 중계망(300)을 통과하여 다른 하나의 개별망(100, 200)에서 발견되었는지를 확인할 수 있다.
이를 통해 중계망 관제장치(400)는 중계 IP 주소별로 중계가 허용되는 포트값들에 대한 정보를 수집할 수 있으므로, 중계망(300)의 포트 정책을 확인할 수 있다.
또한 중계망 관제장치(400)는 중계망(300)을 통해 하나의 개별망(100, 200)에서 다른 하나의 개별망(100, 200)으로, 서로 다른 대역의 IP주소를 갖는 복수의 스캐닝 패킷을 전송한 후, 다른 하나의 개별망(100, 200)에서 수집한 데이터 패킷들 중 스캐닝 패킷을 탐색하여 어떤 대역값의 IP주소를 갖는 스캐닝 패킷만 중계망(300)을 통과했는지 확인할 수 있다.
이에 따라 중계망 관제장치(400)는 중계가 허용되는 IP 주소의 대역에 대한 정책을 확인할 수 있다.
나아가 중계망 관제장치(400)는 하나의 개별망(100, 200)으로부터 중계망(300)을 경유하여 다른 하나의 개별망(100, 200)으로 전송된 중계망 경유 패킷을, 원래의 응용 계층 프로토콜과는 다른 응용 계층 프로토콜을 갖는 패킷으로 변경하여 다시 전송한 후, 다른 하나의 개별망(100, 200)에서 해당 패킷이 수집되는지 모니터링함으로써, 중계 정책이 응용 계층까지 보안 차단을 수행하는지 여부를 확인할 수 있다.
또한 중계망 관제장치(400)는 간이 전자우편 전송 프로토콜(SIMPLE MAIL TRANSFER PROTOCOL ; SMTP) 또는 포스트 오피스 프로토콜(POST OFFICE PROTOCOL ; POP) 등과 같이 보안에 취약한 프로토콜의 포트값을 갖는 스캐닝 패킷을 전송하고 목적지에 해당하는 개별망(100, 200)에서 해당 스캐닝 패킷이 수집되는지 여부를 탐지함으로써 중계 정책을 확인할 수 있다.
그리고 중계망 관제장치(400)는 이처럼 확인된 중계 정책에 대해 운영자에게 보고함으로써, 중계 정책의 오류나 적정성 등에 대해 운영자가 인지하도록 할 수 있다.
나아가 중계망 관제장치(400)는 중계 구간 통과 이전과 통과 이후의 트래픽을 수집하여 분석함으로써 중계망(300) 자체의 장애 또는 중계 정책에 따른 적절한 데이터 중계 및 차단이 이루어지는지 관제할 수 있다. 구체적으로 내부망관제서버(410)는 중계망(300)으로부터 내부망(100)으로 전달되는 데이터 트래픽과 내부망(100)으로부터 중계망(300)으로 전달되는 데이터 트래픽을 감지하고, 외부망관제서버(420)는, 중계망(300)으로부터 외부망(200)으로 전달되는 데이터 트래픽과 외부망(200)으로부터 중계망(300)으로 전달되는 데이터 트래픽을 감지할 수 있다. 그리고 관제서버(410, 420)는 내부망(100)으로부터 중계망(300)으로 전달되는 데이터 트래픽과 중계망(300)으로부터 외부망(200)으로 전달되는 데이터 트래픽을 비교하거나, 외부망(200)으로부터 중계망(300)으로 전달되는 데이터 트래픽과 중계망(300)으로부터 내부망(100)으로 전달되는 데이터 트래픽을 비교할 수 있다.
그에 따라 중계망 관제장치(400)는 내부망(100)에서 외부망(200)을 향하는 방향과 역방향 각각에 대해서, 중계망(300)의 통과 전과 후의 트래픽을 비교할 수 있고, 현재 중계망(300)에 적용된 중계 정책에 따를 때 트래픽의 비교 결과가 적정한지 확인함으로써 중계망(300)의 장애 여부를 탐지할 수 있다.
이를 위해 중계망 관제장치(400)에는 중계 정책에 따른 적정한 중계망(300) 통과 전후의 트래픽 비율의 범위가 미리 설정될 수 있으며, 내부망관제서버(410)나 외부망관제서버(420)는 실제 감지된 중계망(300) 통과 전후의 트래픽 비율이 기설정된 범위를 벗어나는 경우 중계망(300)에 장애가 있는 것으로 판정할 수 있다.
나아가 내부망관제서버(410)나 외부망관제서버(420)는 중계 정책 상 중계망(300)을 통과할 수 있도록 설정된 데이터 패킷을 하나의 망으로부터 중계망(300)을 통해 다른 하나의 망으로 전송하여, 다른 하나의 망에서 해당 데이터 패킷과 상관 관계가 있는 패킷이 수집되는지 여부를 감지함으로써 중계망(300)의 장애를 탐지할 수도 있다.
한편 실시예에 따라 중계망 관제장치(400)는 중계망(300)의 일방향성 취약점을 탐지할 수 있다.
일 실시예로서, 중계망 관제장치(400)는 중계망(300)을 통해 내부망(100) 또는 외부망(200) 중 하나의 망으로 전달된 중계망 경유 패킷의 출발지 및 목적지 IP주소를 서로 변경하여 연결 패킷을 생성하고, 생성된 연결 패킷을 다시 중계망(300)을 통해 역방향으로 전송할 수 있다. 그 후 중계망 관제장치(400)는 연결 패킷과 상관 관계가 있는 데이터 패킷이 다른 하나의 망에서 수집되면, 해당 중계망 경유 패킷을 일방향성 위반 패킷으로 탐지할 수 있다. 즉 중계망 관제장치(400)는 특정 데이터에 대해 중계 정책에 일방향 전송만이 허용된 경우, 해당 유형의 데이터 패킷의 연결 패킷을 생성하여 역방향으로 전송한 후 전송이 이루어지는지 여부를 탐지함으로써 일방향성 취약점을 탐지할 수 있다.
한편 다른 실시예로서 중계망 관제장치(400)는 중계망(300)을 통해 내부망(100) 또는 외부망(200) 중 하나의 망으로 전달된 중계망 경유 패킷을 미리 설정된 시간 경과 후에 다시 다른 하나의 망에서 중계망(300)을 통해 전송한 후, 하나의 망에서 중계망 경유 패킷과 상관 관계가 있는 데이터 패킷이 수집되는지 감시할 수 있다. 그리고 하나의 망에서 중계망 경유 패킷과 상관 관계가 있는 데이터 패킷이 수집되면, 해당 중계망 경유 패킷을 일방향성 위반 패킷으로 탐지할 수도 있다. 일방향성 패킷은 통상 보안 세션이 적용되며, 연결 종료된 데이터 패킷이 다시 중계망(300)을 경유하는 것은 일방향성 보안에 위반되기 때문이다.
또 다른 실시예로서 중계망 관제장치(400)는 중계망 경유 패킷이 TCP패킷인 경우, 해당 중계망 경유 패킷을 연결 과정 없이 각각의 망에서 다시 생성하여 다른 망으로 전송한 후 다른 망에서 수집된 데이터 패킷 중 해당 중계망 경유 패킷과 상관 관계가 있는 데이터 패킷을 탐색할 수 있다. 그에 따라 다른 망에서 상관 관계가 있는 데이터 패킷이 수집된 것으로 확인되면, 중계망 관제장치(400)는 해당 패킷을 일방향성 위반 패킷으로 탐지할 수 있다. 일방향성 패킷에 대해서는 통상 보안 세션이 적용되기 때문에 인가된 세션이 아닌 패킷이 중계망(300)을 경유하는 경우 일방향성 위반으로 판단할 수 있기 때문이다.
나아가 다른 실시예에서 중계망 관제장치(400)는 중계망(300)의 네트워크 자원들에 대한 사용여부를 확인할 수 있다. 구체적으로 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는, 중계망(300)의 중계시스템(310, 320)에 대한 사용자 접속 및 사용로그를 수집하고, 수집된 사용자 접속 및 사용로그와 중계망 경유 패킷들을 비교 분석하여 중계망(300)에 대한 실제 사용 여부를 판단할 수 있다. 예를 들어, 특정 IP주소의 사용자단말에서 중계시스템에 접속 및 사용한 기록이 있으나 관련하여, 해당 IP주소의 데이터 패킷이 중계망 통과 패킷으로서 수집되지 않은 경우, 해당 사용자단말은 실제 중계망(300)을 사용하지 않은 것으로 확인할 수 있다.
또한 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 중계망(300)의 중계시스템(310, 320)에 사용자의 데이터 중계 요청이 발생하면, 해당 시점부터 중계망(300)의 중계시스템(310, 320)에서 측정되는 부하를 기록하여 부하의 변화를 분석할 수 있다. 중계망(300)의 중계시스템의 구성들, 예를 들어 CPU, MEM, Disk, CPS, TPS 등의 부하량과 트래픽 등을 분석함으로써 특정 중계 요청에 대한 중계망(300)의 부하 변화를 탐지할 수 있다.
그리고 또한 중계망 관제장치(400)는 중계망(300)의 터널링을 감지할 수 있다. 구체적으로 내부망관제서버(410)와 외부망관제서버(420) 중 적어도 하나는 중계망(300)을 이루는 내부망중계시스템(310)과 외부망중계시스템(320) 각각에 유입되거나 각각으로부터 유출되는 데이터 패킷을 수집하고, 유출되는 데이터 패킷의 분석결과 유입되는 데이터 패킷의 목적지 IP주소가 지속적으로 변경되어 유출된 것으로 확인되는 경우, 중계망(300)이 터널 통신을 수행하는 것으로 감지함으로써 취약점을 탐지할 수 있다.
또한 중계망 관제장치(400)는 내부망중계시스템(310)과 외부망중계시스템(320)에서 유입 또는 유출되는 데이터 패킷의 목적지가 VPN, 또는 프록시 서버로 확인되는 경우 중계망(300)을 경유하는 터널링으로 판단하여, 중계망(300)의 취약점을 탐지할 수 있다.
나아가 다른 실시예로서 중계망 관제장치(400)는 중계망 경유 패킷, 또는 중계망 통과 패킷으로 분류된 데이터 패킷들의 응용 계층 프로토콜 정보를 추출하여 확인함으로써, 차단 대상 응용 계층 프로토콜을 갖는 데이터 패킷이 중계망(300)을 통과하는지 여부를 탐지하고, 중계망(300)의 중계 정책이 해당 응용 계층 프로토콜의 데이터 패킷을 차단하도록 제어할 수 있다.
또 다른 실시예로서 중계망 관제장치(400)는 내부망(100)에서 수집된 데이터 패킷과 외부망(200)에서 수집된 데이터 패킷을 비교하여 중계망 통과 패킷으로 분류되고, 해당 중계망 통과 패킷이 중계망 경유 패킷과 상관 관계가 있다고 판단되는 경우, 각각 상관 관계에 있는 내부망(100), 외부망(200) 및 중계망(300)에서 수집된 패킷들을 분석하여 망간 중계 경로를 추적할 수 있다. 즉 중계망 관제장치(400)는 내부망(100)과 외부망(200), 그리고 중계망(300)에서 각각 데이터 패킷을 수집하고, 이들 사이의 상관성을 유기적으로 분석하므로, 서로 상관 관계에 있는 데이터 패킷들이 발생된 시간과 해당 데이터 패킷들의 헤더 정보 등을 참조하여 실제 데이터의 이동 경로를 추적할 수 있다. 이와 같은 경로 추적을 통해 특정 공격이 탐지되었을 때, 공격 루트를 확인하여 차단할 수 있다.
나아가 중계망 관제장치(400)는 상술한 바와 같이 중계망(300)의 트래픽이나 실제 중계시스템(310, 320)의 부하를 측정할 수 있고, 내부망(100)과 외부망(200), 그리고 중계망(300) 각각에서 수집되는 데이터 패킷들을 분석하고 비교함으로써, 중계망(300)의 각종 취약점을 분석할 수 있으며, 데이터 패킷의 중계 경로를 파악하거나 우회 경로의 존부를 판단할 수 있으므로, 중계망(300)의 트래픽이나 부하량, 분석되는 취약점 패턴 등에 대한 데이터를 지속적으로 수집하고, 이에 기초한 학습을 통해 중계망 관제장치(400) 스스로 공격 위험을 탐지할 수 있다.
이하에서는 도 3 내지 도 11을 참조하여 상술한 바와 같은 중계망 관제장치(400)를 이용한 중계망 관제방법의 실시예들을 설명한다. 다만 이하에서 설명되지 않는 내용이라도 위에서 설명한 중계망 관제장치(400)가 수행하는 일련의 단계는 실시예에 의한 중계망 관제방법에 포함될 수 있다.
도 3내지 도 11은 실시예에 따른 중계망 관제방법을 단계적으로 도시한 흐름도이다.
도 3에 도시된 바와 같이 중계망 관제장치(400)는 서로 다른 개별망(100, 200) 각각에서 발생한 데이터 패킷들을 수집한다(S310).
그리고 수집된 데이터 패킷들에서 비교데이터를 추출할 수 있다(S320). 이때 비교데이터는 데이터 패킷들 사이의 상관 관계를 확인하기 위해 필요한 정보로서, 데이터 패킷의 동일성을 식별할 수 있는 식별정보들을 포함하여 구성될 수 있다. 구체적인 비교데이터의 실시예는 이미 상술한 바와 같다.
그리고 중계망 관제장치(400)는 추출된 비교데이터를 서로 비교하여 서로 다른 개별망(100, 200)에서 수집된 데이터 패킷들 사이의 상관 관계를 확인할 수 있다(S330). 이어서 중계망 관제장치(400)는 서로 상관 관계를 갖는 서로 다른 망에서 수집된 데이터 패킷들을 중계망 통과 패킷으로 분류할 수 있다(S340).
그에 따라 중계망 관제장치(400)는 중계망 통과 패킷으로 분류된 데이터 패킷들을 이용하여 패킷의 이상 여부를 모니터링하고 중계망(300)의 취약점을 탐지하여(S350), 운영자 등에게 이상 여부를 보고할 수 있다(S360). 이때 이상 여부의 보고는 중계망 관제장치(400)와 통신하는 운영자 단말(미도시) 등을 통해 이루어질 수 있음은 자명하다.
한편 상술한 중계망 경유 패킷과 개별망(100, 200)에서 수집된 패킷들 사이의 상관 관계도, 마찬가지로 각 패킷에서 비교데이터를 추출한 후, 추출된 비교데이터들을 비교함으로써 분석될 수 있다.
한편 도 3의 S350단계의 여러 실시예를 도 4 및 도 5를 참조하여 설명한다.
중계망 관제장치(400)는 중계망(300)으로부터 중계망 경유 패킷을 수집하거나 수신하여(S351), 이를 S340단계에서 중계망 통과 패킷으로 분류된 데이터 패킷과 비교할 수 있다. 이때에도 중계망 관제장치(400)는 중계망 통과 패킷과 중계망 경유 패킷 각각의 비교데이터를 추출하여 비교할 수 있다. 그에 따라 중계망 경유 패킷이 중계망 통과 패킷으로 분류된 데이터 패킷과 상관 관계가 있는 것으로 확인되고, 해당 중계망 통과 패킷이 2회에 걸쳐 수집되면(S352), 중계망 관제장치(400)는 우회 경로에 의한 루프백이 발생한 것으로 판단할 수 있다. 그에 따라 중계망 관제장치(400)는 우회 경로의 존재를 운영자에게 보고할 수 있다.
또한 도 5에 도시된 바와 같이 중계망 관제장치(400)는 중계망 경유 패킷들을 수집한 후(S353), 중계망 통과 패킷으로 분류된 데이터 패킷과 상관 관계가 있는 것으로 판단되는 중계망 경유 패킷이 검색되지 않으면(S354), 해당 중계망 통과 패킷을 우회 경로에 의한 우회 패킷으로 판단할 수 있다(S355). 이때에도 중계망 관제장치(400)는 우회 경로의 존재를 운영자에게 보고할 수 있다.
한편 도 6에 도시된 바와 같이 중계망 관제장치(400)는 하나의 개별망(100, 200)에서 다른 하나의 개별망(100, 200)으로 스캐닝 패킷을 전송할 수 있다(S610). 그리고 중계망 관제장치(400)는 다른 하나의 개별망(100, 200)에서 수집된 데이터 패킷 중 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 존재하는지 확인할 수 있다(S620). 이어서 중계망 관제장치(400)는 중계망(300)을 통과한 것으로 확인되는 스캐닝 패킷, 즉 다른 하나의 개별망(100, 200)에서 수집된 데이터 패킷 중 스캐닝 패킷과 상관 관계가 확인되는 데이터 패킷들을 분석하여 중계망의 중계 정책을 확인할 수 있다(S630). 그리고 중계망 관제장치(400)는 확인된 중계 정책을 운영자에게 보고함으로써 중계 정책에 오류나 적정성에 대해 운영자가 판단할 수 있도록 돕는다.
이때 상술한 중계 정책은 각각 내부망(100)에서 외부망(200) 방향으로의 중계 정책과 외부망(200)에서 내부망(100) 방향으로의 중계 정책이 따로 수립되므로, 중계망 관제장치(400)는 각각의 방향에 대해 별개로 상술한 단계를 수행하여 각 방향의 중계 정책을 확인할 수 있다.
한편 상술한 실시예에서 스캐닝 패킷은 하나 이상의 데이터 패킷으로 구성될 수 있으며, 이미 설명한 바와 같이 중계 정책에 의해 중계가 허용된 각 IP주소에 대해 서로 다른 포트번호를 갖는 복수의 스캐닝 패킷, 또는 서로 다른 대역의 IP주소를 갖는 복수의 스캐닝 패킷, 또는 특정 응용 계층 프로토콜의 데이터 패킷, 취약 포트의 포트번호를 갖는 데이터 패킷 등 목적에 따라 달리 생성될 수 있으며, 이를 통해 중계망 관제장치(400)는 중계 정책이 허용하는 포트번호의 범위, 중계 정책이 허용하는 IP주소의 대역을 확인하거나, 중계 정책이 응용 계층의 프로토콜에 대해서까지 보안 차단을 수행하는지 여부나 취약 포트에 대한 보안 차단을 수행하는지 여부 등을 탐지할 수 있다.
한편 도 7에 도시된 바와 같이 중계망 관제장치(400) 서로 다른 개별망(100, 200)과 중계망(300) 사이의 통신 트래픽을 각각 확인하고(S710), 그에 따라 확인된 각각의 트래픽 사이의 비율을 현재 채용된 중계 정책에 대응하는 적정 트래픽 비율의 범위와 비교하여(S720), 중계망(300)의 통신 장애를 탐지하거나 또는 중계망(300)의 차단 능력 등을 검증할 수 있다.
나아가 중계망 관제장치(400)는 하나의 개별망(100, 200)에서 중계 정책에 따를 때 중계망(300)을 경유 가능하게 설정된 데이터 패킷을 생성하여 다른 개별망(100, 200)으로 전송한 후(S810), 다른 개별망(100, 200)에서 해당 패킷과 상관 관계가 있는 패킷이 수집되는지 여부를 확인하여(S820), 중계망(300)의 통신 장애 여부를 판별할 수 있다(S830).
그리고 중계망 관제장치(400)는 실시예에 따라, 하나의 개별망(100, 200)에서, 중계망(300)을 경유한 중계망 경유 패킷을 수집하고(S910), 수집된 중계망 경유 패킷의 출발지 및 목적지 IP 주소를 서로 변경하여 연결 패킷을 생성할 수 있다(S920). 그리고 중계망 관제장치(400)은 생성된 연결 패킷을 역방향으로 다른 개별망(100, 200)으로 전송하며(S930), 전송된 연결 패킷과 상관 관계가 있는 데이터 패킷이 다른 개별망(100, 200)에서 수집되는지 여부를 확인할 수 있다(S930).
그에 따라 중계망 관제장치(400)는 전송 방향성을 확인하여(S950), 중계 정책에 규정된 방향성과 일치하는지 여부를 판단할 수 있다(S950). 즉 S930단계에서 다른 개별망(100, 200)에서 연결 패킷과 상관 관계가 있는 데이터 패킷이 수집되었다고 가정할 때, 해당 연결 패킷 생성의 기초가 된 중계망 경유 패킷이 중계 정책상 일방향성 패킷이면 중계망 관제장치(400)는 일방향성 정책 위반으로 판단할 수 있다.
그에 따라 중계망 관제장치(400)는 S950단계의 판단 결과 중계 정책에 규정된 일방향성 위반으로 판단되는 경우, 운영자에게 일방향성 취약점을 보고할 수 있다(S970).
한편 중계망 관제장치(400)는 도 10에 도시된 바와 같이, 하나의 개별망(100, 200)에서 중계망 경유 패킷을 수집한 후(S1010), 수집된 패킷의 출발지 및 목적지를 서로 변경하여 연결 패킷을 생성하고(S1020), 생성된 연결 패킷을 미리 설정된 시간 경과 후 역방향으로 다른 개별망(100, 200)으로 전송할 수 있다(S1030).
S1030단계 이후에 중계망 관제장치(400)는 다른 개별망(100, 200)에서 연결 패킷과 상관 관계가 있는 데이터 패킷이 수집되면(S1040), 운영자에게 일방향성 취약점으로 보고할 수 있다(S1050).
나아가 다른 실시예로서 중계망 관제장치(400)는 도 11에 도시된 바와 같이 하나의 개별망(100, 200)에서 다른 개별망(100, 200)으로 전달된 중계망 경유 패킷을 수집한 후(S1110), 수집된 중계망 경유 패킷과 동일한 데이터 패킷을 생성하여(S1120), 생성된 데이터 패킷을 다시 하나의 개별망(100, 200)에서 다른 개별망(100, 200)으로 전송할 수 있다(S1130). 이어서 중계망 관제장치(400)는 S1130단계 이후에 다른 개별망(100, 200)에서 생성된 패킷과 상관 관계가 있는 데이터 패킷이 발견되는 경우(S1140), 운영자에게 일방향성 위반을 보고할 수 있다(S1150).
이와 같이 본 명세서에 기재된 실시예에서 중계망 관제장치(400)는 각각의 서로 다른 망(100, 200, 300)에서 수집된 데이터 패킷 또는 중계망 관제장치(400)가 생성하거나 전송한 데이터 패킷들의 비교데이터를 추출하여 서로 비교함으로써, 데이터 패킷 간의 상관 관계를 파악할 수 있고, 이를 통해 중계망(300)의 취약점이나 우회 경로의 존부 등을 확인할 수 있다.
그에 따라 망분리 환경 전체의 문제점이나 성능을 전체적으로 관제할 수 있다는 이점이 있다.
도 3 내지 도 11을 통해 설명된 실시예들에 따른 중계망 관제방법은 컴퓨터에 의해 실행 가능한 명령어 및 데이터를 저장하는, 컴퓨터로 판독 가능한 매체의 형태로도 구현될 수 있다. 이때, 명령어 및 데이터는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 소정의 프로그램 모듈을 생성하여 소정의 동작을 수행할 수 있다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터 기록 매체일 수 있는데, 컴퓨터 기록 매체는 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함할 수 있다. 예를 들어, 컴퓨터 기록 매체는 HDD 및 SSD 등과 같은 마그네틱 저장 매체, CD, DVD 및 블루레이 디스크 등과 같은 광학적 기록 매체, 또는 네트워크를 통해 접근 가능한 서버에 포함되는 메모리일 수 있다.
또한 도 3 내지 도 11을 통해 설명된 실시예들에 따른 중계망 관제방법은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 컴퓨터 프로그램(또는 컴퓨터 프로그램 제품)으로 구현될 수도 있다. 컴퓨터 프로그램은 프로세서에 의해 처리되는 프로그래밍 가능한 기계 명령어를 포함하고, 고레벨 프로그래밍 언어(High-level Programming Language), 객체 지향 프로그래밍 언어(Object-oriented Programming Language), 어셈블리 언어 또는 기계 언어 등으로 구현될 수 있다. 또한 컴퓨터 프로그램은 유형의 컴퓨터 판독가능 기록매체(예를 들어, 메모리, 하드디스크, 자기/광학 매체 또는 SSD(Solid-State Drive) 등)에 기록될 수 있다.
따라서 도 3 내지 도 11을 통해 설명된 실시예들에 따른 중계망 관제방법은 상술한 바와 같은 컴퓨터 프로그램이 컴퓨팅 장치에 의해 실행됨으로써 구현될 수 있다. 컴퓨팅 장치는 프로세서와, 메모리와, 저장 장치와, 메모리 및 고속 확장포트에 접속하고 있는 고속 인터페이스와, 저속 버스와 저장 장치에 접속하고 있는 저속 인터페이스 중 적어도 일부를 포함할 수 있다. 이러한 성분들 각각은 다양한 버스를 이용하여 서로 접속되어 있으며, 공통 머더보드에 탑재되거나 다른 적절한 방식으로 장착될 수 있다.
여기서 프로세서는 컴퓨팅 장치 내에서 명령어를 처리할 수 있는데, 이런 명령어로는, 예컨대 고속 인터페이스에 접속된 디스플레이처럼 외부 입력, 출력 장치상에 GUI(Graphic User Interface)를 제공하기 위한 그래픽 정보를 표시하기 위해 메모리나 저장 장치에 저장된 명령어를 들 수 있다. 다른 실시예로서, 다수의 프로세서 및(또는) 다수의 버스가 적절히 다수의 메모리 및 메모리 형태와 함께 이용될 수 있다. 또한 프로세서는 독립적인 다수의 아날로그 및(또는) 디지털 프로세서를 포함하는 칩들이 이루는 칩셋으로 구현될 수 있다.
또한 메모리는 컴퓨팅 장치 내에서 정보를 저장한다. 일례로, 메모리는 휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 다른 예로, 메모리는 비휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 또한 메모리는 예컨대, 자기 혹은 광 디스크와 같이 다른 형태의 컴퓨터 판독 가능한 매체일 수도 있다.
그리고 저장장치는 컴퓨팅 장치에게 대용량의 저장공간을 제공할 수 있다. 저장 장치는 컴퓨터 판독 가능한 매체이거나 이런 매체를 포함하는 구성일 수 있으며, 예를 들어 SAN(Storage Area Network) 내의 장치들이나 다른 구성도 포함할 수 있고, 플로피 디스크 장치, 하드 디스크 장치, 광 디스크 장치, 혹은 테이프 장치, 플래시 메모리, 그와 유사한 다른 반도체 메모리 장치 혹은 장치 어레이일 수 있다.
상술된 실시예들은 예시를 위한 것이며, 상술된 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 상술된 실시예들이 갖는 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 상술된 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 명세서를 통해 보호 받고자 하는 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태를 포함하는 것으로 해석되어야 한다.
100: 내부망 110: 서버
120: 스토리지 130: 사용자단말
200: 외부망 210: 서버
220: 스토리지 230: 사용자단말
300: 중계시스템 310: 내부망중계서버
320: 외부망중계서버 400: 중계망 관제장치
410: 내부망관제서버 420: 외부망관제서버
430: 관제중계시스템 431: 내부망관제중계시스템
432: 외부망관제중계시스템 450: 내부망수집센서
460: 외부망수집센서

Claims (24)

  1. 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하는 중계망 관제장치에 있어서,
    상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 내부망 수집센서 및 외부망 수집센서;
    상기 내부망 수집센서 및 상기 외부망 수집센서에서 각각 수집된 데이터 패킷을 적어도 일시적으로 저장하고, 저장된 데이터 패킷을 분석하여 상기 중계망의 취약점을 파악하는 내부망관제서버 및 외부망관제서버; 그리고
    상기 내부망관제서버 및 상기 외부망관제서버가 서로 통신할 수 있도록 상기 내부망관제서버 및 상기 외부망관제서버 사이에서 데이터를 교환하는 관제중계시스템을 포함하고,
    상기 내부망관제서버 및 상기 외부망관제서버는,
    각각 상기 중계망을 통해 상기 내부망으로 전송된 중계망 경유 패킷과 상기 중계망을 통해 상기 외부망으로 전송된 중계망 경유 패킷을 수집하며,
    상기 내부망관제서버 및 상기 외부망관제서버 중 적어도 하나는,
    상기 내부망에서 수집된 데이터 패킷과 상기 외부망에서 수집된 데이터 패킷을 비교하여, 서로 상관 관계가 있는 것으로 확인되는 데이터 패킷을 중계망 통과 패킷으로 분류하는, 중계망 관제장치.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 내부망관제서버 및 상기 외부망관제서버 중 적어도 하나는,
    상기 내부망에서 수집된 데이터 패킷에서 추출된 비교데이터와 상기 외부망에서 수집된 데이터 패킷에서 추출된 비교데이터를 서로 비교하여 데이터 패킷 사이의 상관 관계를 확인하되, 상기 비교데이터는 출발지와 목적지 IP 주소, 포트번호, 맥 어드레스, 체크섬, 시퀀스 번호, 패킷 데이터, 응용 계층 프로토콜 헤더 데이터 중 적어도 하나인, 중계망 관제장치.
  5. 제1항에 있어서,
    상기 내부망관제서버 및 상기 외부망관제서버 중 적어도 하나는,
    중계망 경유 패킷과 상관 관계가 있는 중계망 통과 패킷이 2회 발생하는 경우 우회 경로에 의한 루프백으로 판정하는, 중계망 관제장치.
  6. 제1항에 있어서,
    상기 내부망관제서버 및 상기 외부망관제서버 중 적어도 하나는,
    중계망 경유 패킷과 상관 관계가 확인되지 않는 중계망 통과 패킷이 발생한 경우 우회 경로가 존재하는 것으로 판정하는, 중계망 관제장치.
  7. 제1항에 있어서,
    상기 내부망관제서버 및 상기 외부망관제서버 중 하나의 관제서버는,
    상기 내부망과 상기 외부망 중, 상기 하나의 관제서버가 데이터 패킷을 수집하는 하나의 망이 아닌 다른 하나의 망으로 상기 중계망을 통해 하나 이상의 스캐닝 패킷을 전송하고,
    상기 내부망관제서버 및 상기 외부망관제서버 중 다른 하나의 관제서버는,
    상기 다른 하나의 망에서 수집된 데이터 패킷에서 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷을 검색하여, 상기 중계망의 중계 정책을 확인하는, 중계망 관제장치.
  8. 제7항에 있어서,
    상기 하나 이상의 스캐닝 패킷은,
    상기 중계망의 중계 정책에 의하여 상기 중계망을 경유할 수 있도록 설정된 IP주소를 갖되 포트정보만 서로 다르게 설정된 복수의 데이터 패킷이고,
    상기 다른 하나의 관제서버는,
    상기 다른 하나의 망에서 수집된 데이터 패킷 중에서 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 갖는 포트정보를 추출하여, 상기 중계망이 허용하는 IP별 포트번호의 범위를 확인하는, 중계망 관제장치.
  9. 제7항에 있어서,
    상기 하나 이상의 스캐닝 패킷은,
    서로 다른 대역의 IP 주소를 갖되 나머지 정보는 동일하게 설정된 복수의 데이터 패킷이고,
    상기 다른 하나의 관제서버는,
    상기 다른 하나의 망에서 수집된 데이터 패킷 중에서 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 갖는 IP주소 정보를 추출하여, 상기 중계망이 허용하는 IP주소 대역의 범위를 확인하는, 중계망 관제장치.
  10. 제7항에 있어서,
    상기 하나 이상의 스캐닝 패킷은,
    상기 중계망을 경유한 중계망 경유 패킷 중 임의의 하나에 대하여, 응용 계층 프로토콜 정보만을 변경한 데이터 패킷이고,
    상기 다른 하나의 관제서버는,
    상기 다른 하나의 망에서 수집된 데이터 패킷 중 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 검색되면, 상기 중계망의 중계 정책의 응용 계층 보안이 취약한 것으로 판단하는, 중계망 관제장치.
  11. 제7항에 있어서,
    상기 하나 이상의 스캐닝 패킷은,
    상기 중계망의 중계 정책에 의하여 상기 중계망을 경유할 수 있도록 설정된 IP주소를 갖되, 미리 설정된 취약 포트정보를 포함하는 데이터 패킷이고,
    상기 다른 하나의 관제서버는,
    상기 다른 하나의 망에서 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 검색되면, 상기 중계망의 중계 정책의 포트정보 보안이 취약한 것으로 판단하는, 중계망 관제장치.
  12. 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하는 중계망 관제장치에 있어서,
    상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 내부망 수집센서 및 외부망 수집센서;
    상기 내부망 수집센서 및 상기 외부망 수집센서에서 각각 수집된 데이터 패킷을 적어도 일시적으로 저장하고, 저장된 데이터 패킷을 분석하여 상기 중계망의 취약점을 파악하는 내부망관제서버 및 외부망관제서버; 그리고
    상기 내부망관제서버 및 상기 외부망관제서버가 서로 통신할 수 있도록 상기 내부망관제서버 및 상기 외부망관제서버 사이에서 데이터를 교환하는 관제중계시스템을 포함하고,
    상기 내부망관제서버 및 상기 외부망관제서버는,
    각각 상기 중계망을 통해 상기 내부망으로 전송된 중계망 경유 패킷과 상기 중계망을 통해 상기 외부망으로 전송된 중계망 경유 패킷을 수집하며,
    상기 내부망관제서버는,
    상기 중계망으로부터 상기 내부망으로 전달되는 데이터 트래픽과 상기 내부망으로부터 상기 중계망으로 전달되는 데이터 트래픽을 감지하고,
    상기 외부망관제서버는,
    상기 중계망으로부터 상기 외부망으로 전달되는 데이터 트래픽과 상기 외부망으로부터 상기 중계망으로 전달되는 데이터 트래픽을 감지하며,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 내부망으로부터 상기 중계망으로 전달되는 데이터 트래픽과 상기 중계망으로부터 상기 외부망으로 전달되는 데이터 트래픽을 비교하거나, 상기 외부망으로부터 상기 중계망으로 전달되는 데이터 트래픽과 상기 중계망으로부터 상기 내부망으로 전달되는 데이터 트래픽을 비교함으로써, 상기 중계망의 장애 여부를 탐지하는, 중계망 관제장치.
  13. 제12항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 내부망으로부터 상기 중계망으로 전달되는 데이터 트래픽과 상기 중계망으로부터 상기 외부망으로 전달되는 데이터 트래픽의 비율, 또는 상기 외부망으로부터 상기 중계망으로 전달되는 데이터 트래픽과 상기 중계망으로부터 상기 내부망으로 전달되는 데이터 트래픽의 비율이 상기 중계망에 현재 적용된 중계 정책에 따른 적정 비율의 범위를 벗어나는 경우, 상기 중계망에 장애가 발생한 것으로 판단하는, 중계망 관제장치.
  14. 제1항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 중계망을 통해 상기 내부망 또는 상기 외부망 중 하나의 망으로 전달된 중계망 경유 패킷의 출발지 및 목적지 IP주소를 서로 변경하여 연결 패킷을 생성하고, 생성된 연결 패킷을 다시 상기 중계망을 통해 역방향으로 전송한 후, 상기 연결 패킷과 상관 관계가 있는 데이터 패킷이 상기 내부망 또는 상기 외부망 중 다른 하나의 망에서 발생하면, 상기 중계망 경유 패킷을 일방향성 위반 패킷으로 탐지하는, 중계망 관제장치.
  15. 제1항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 중계망을 통해 상기 내부망 또는 상기 외부망 중 하나의 망으로 전달된 중계망 경유 패킷을 미리 설정된 시간 경과 후에 다시 상기 내부망 또는 상기 외부망 중 다른 하나의 망에서 상기 중계망을 통해 전송한 후, 상기 하나의 망에서 상기 중계망 경유 패킷과 상관 관계가 있는 데이터 패킷이 발생하면, 상기 중계망 경유 패킷을 일방향성 위반 패킷으로 탐지하는, 중계망 관제장치.
  16. 제1항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 중계망의 중계시스템에 대한 사용자 접속 및 사용로그를 수집하고, 수집된 사용자 접속 및 사용로그와 중계망 경유 패킷들을 비교 분석하여 상기 중계망에 대한 실제 사용 여부를 판단하는, 중계망 관제장치.
  17. 제1항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 중계망의 중계시스템으로 사용자의 중계 요청이 발생하면, 상기 중계 요청 발생 시점부터 상기 중계시스템의 부하 변화를 측정하는, 중계망 관제장치.
  18. 제1항에 있어서,
    상기 내부망관제서버와 상기 외부망관제서버 중 적어도 하나는,
    상기 내부망에서 수집된 데이터 패킷과 상기 외부망에서 수집된 데이터 패킷을 비교하여 중계망 통과 패킷으로 분류되고, 해당 중계망 통과 패킷이 상기 중계망 경유 패킷과 상관 관계가 있다고 판단되는 경우, 각각 상관 관계에 있는 상기 내부망, 상기 외부망 및 상기 중계망에서 수집된 패킷들을 분석하여 망간 중계 경로를 추적하는, 중계망 관제장치.
  19. 내부망과 외부망이 분리 운영되되, 상기 내부망과 상기 외부망을 중계 정책에 따라 선택적으로 연계하는 중계망을 포함하는 망분리 환경에서 상기 중계망의 취약점을 탐지하는 중계망 관제장치에 의해 수행되고,
    상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 단계;
    상기 중계망을 통과한 중계망 경유 패킷을 수집하는 단계; 그리고
    상기 내부망과 상기 외부망 각각에서 수집된 데이터 패킷과 상기 중계망 경유 패킷을 적어도 일시적으로 저장하고, 서로 다른 망에서 수집된 데이터 패킷을 비교하여 상기 중계망의 취약점을 파악하는 단계를 포함하고,
    상기 취약점을 파악하는 단계는,
    상기 내부망에서 수집된 데이터 패킷과 상기 외부망에서 수집된 데이터 패킷을 비교하여, 서로 상관 관계가 있는 것으로 확인되는 데이터 패킷을 중계망 통과 패킷으로 분류하는 단계를 포함하는, 중계망 관제방법.
  20. 삭제
  21. 제19항에 있어서,
    상기 취약점을 파악하는 단계는,
    상기 중계망 통과 패킷과 상기 중계망 경유 패킷을 서로 비교하여 상기 중계망 외의 우회 경로 존부를 판단하는 단계를 포함하는, 중계망 관제방법.
  22. 제19항에 있어서,
    상기 중계망 관제방법은,
    상기 중계망을 통해 하나 이상의 스캐닝 패킷을 전송하는 단계를 더 포함하고,
    상기 취약점을 파악하는 단계는,
    상기 내부망과 상기 외부망 각각에서 발생하는 데이터 패킷을 수집하는 단계에서, 상기 하나 이상의 스캐닝 패킷과 상관 관계가 있는 데이터 패킷이 수집되면 수집된 데이터 패킷의 특징에 기초하여 상기 중계망의 중계 정책을 파악하는 단계를 포함하는, 중계망 관제방법.
  23. 제19항에 기재된 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.
  24. 중계망 관제장치에 의해 수행되며, 제19항에 기재된 방법을 수행하기 위해 매체에 저장된 컴퓨터 프로그램.
KR1020180107487A 2018-09-10 2018-09-10 망분리 환경에서의 중계망 관제장치 및 관제방법 KR102006149B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180107487A KR102006149B1 (ko) 2018-09-10 2018-09-10 망분리 환경에서의 중계망 관제장치 및 관제방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180107487A KR102006149B1 (ko) 2018-09-10 2018-09-10 망분리 환경에서의 중계망 관제장치 및 관제방법

Publications (1)

Publication Number Publication Date
KR102006149B1 true KR102006149B1 (ko) 2019-08-01

Family

ID=67615603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180107487A KR102006149B1 (ko) 2018-09-10 2018-09-10 망분리 환경에서의 중계망 관제장치 및 관제방법

Country Status (1)

Country Link
KR (1) KR102006149B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102173661B1 (ko) 2019-07-19 2020-11-03 지엘디앤아이에프 주식회사 영상 관제시스템
KR102328631B1 (ko) * 2020-09-28 2021-11-18 한국항공우주연구원 다중 데이터 전송 방법 및 다중 데이터 전송 시스템
KR102408433B1 (ko) * 2021-07-27 2022-06-10 한국항공우주연구원 다중 데이터 전송 방법 및 시스템
KR102563605B1 (ko) * 2022-10-24 2023-08-04 주식회사 이엘 내외부망 연계를 이용한 관리시설 상태 점검시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010220048A (ja) * 2009-03-18 2010-09-30 Nippon Telegr & Teleph Corp <Ntt> 不具合箇所検出方法、不具合箇所検出装置、不具合箇所検出プログラム及び不具合箇所検出プログラム用記録媒体
KR20150043843A (ko) * 2013-10-15 2015-04-23 에스2정보 주식회사 정보유출방지장치
KR20180091215A (ko) * 2017-02-06 2018-08-16 주식회사 시큐아이 네트워크 보안 방법 및 그 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010220048A (ja) * 2009-03-18 2010-09-30 Nippon Telegr & Teleph Corp <Ntt> 不具合箇所検出方法、不具合箇所検出装置、不具合箇所検出プログラム及び不具合箇所検出プログラム用記録媒体
KR20150043843A (ko) * 2013-10-15 2015-04-23 에스2정보 주식회사 정보유출방지장치
KR20180091215A (ko) * 2017-02-06 2018-08-16 주식회사 시큐아이 네트워크 보안 방법 및 그 장치

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102173661B1 (ko) 2019-07-19 2020-11-03 지엘디앤아이에프 주식회사 영상 관제시스템
KR102328631B1 (ko) * 2020-09-28 2021-11-18 한국항공우주연구원 다중 데이터 전송 방법 및 다중 데이터 전송 시스템
WO2022065605A1 (ko) * 2020-09-28 2022-03-31 한국항공우주연구원 다중 데이터 전송 방법 및 다중 데이터 전송 시스템
KR102408433B1 (ko) * 2021-07-27 2022-06-10 한국항공우주연구원 다중 데이터 전송 방법 및 시스템
US11811795B2 (en) 2021-07-27 2023-11-07 Korea Aerospace Research Institute Method and system for transmitting multiple data
KR102563605B1 (ko) * 2022-10-24 2023-08-04 주식회사 이엘 내외부망 연계를 이용한 관리시설 상태 점검시스템

Similar Documents

Publication Publication Date Title
KR102006149B1 (ko) 망분리 환경에서의 중계망 관제장치 및 관제방법
US10440049B2 (en) Network traffic analysis for malware detection and performance reporting
US9860154B2 (en) Streaming method and system for processing network metadata
US10666494B2 (en) System and method for network incident remediation recommendations
US8782787B2 (en) Distributed packet flow inspection and processing
AU2022204039A1 (en) A system and method for network incident identification, congestion detection, analysis, and management
US12088607B2 (en) Endpoint-assisted inspection of encrypted network traffic
Su et al. Detecting p2p botnet in software defined networks
Muthamil Sudar et al. A two level security mechanism to detect a DDoS flooding attack in software-defined networks using entropy-based and C4. 5 technique
US11228929B2 (en) Selective user plane monitoring multiple monitoring probes when a serving gateway has multiple IP addresses
KR20150105436A (ko) 향상된 스트리밍 방법과 네트워크 메타데이터를 처리하기 위한 시스템
EP3462676B1 (en) Selective user plane monitoring using a single network monitoring probe
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
EP2321934B1 (en) System and device for distributed packet flow inspection and processing
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
Demırcı et al. Virtual security functions and their placement in software defined networks: A survey
Goud et al. Security challenges and related solutions in software defined networks: a survey
Cheng et al. Development of deep packet inspection system for network traffic analysis and intrusion detection
Jaafar et al. Identification of compromised IoT devices: Combined approach based on energy consumption and network traffic analysis
Mugitama et al. An evidence-based technical process for openflow-based SDN forensics
Gawande DDoS detection and mitigation using machine learning
Alani et al. Survey of optimizing dynamic virtual local area network algorithm for software-defined wide area network
Gilbert et al. An approach towards anomaly based detection and profiling covert TCP/IP channels
Takiddin Firewalling in SDN: Proposal, Analysis, Implementation and Experiment
Campanile Investigating black holes in segment routing networks: identification and detection

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant