KR102047342B1 - 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법 - Google Patents

클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법 Download PDF

Info

Publication number
KR102047342B1
KR102047342B1 KR1020180143112A KR20180143112A KR102047342B1 KR 102047342 B1 KR102047342 B1 KR 102047342B1 KR 1020180143112 A KR1020180143112 A KR 1020180143112A KR 20180143112 A KR20180143112 A KR 20180143112A KR 102047342 B1 KR102047342 B1 KR 102047342B1
Authority
KR
South Korea
Prior art keywords
traffic
address
information
received
module
Prior art date
Application number
KR1020180143112A
Other languages
English (en)
Inventor
임환철
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020180143112A priority Critical patent/KR102047342B1/ko
Priority to US16/202,624 priority patent/US10693836B2/en
Application granted granted Critical
Publication of KR102047342B1 publication Critical patent/KR102047342B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • H04L61/305
    • H04L61/6059
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/35Types of network names containing special prefixes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 정보 유출 방지 시스템은, 수신되는 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 주소 변환 모듈; 상기 수신되는 트래픽이 암호화되어 있으면 이를 복호화하여 정보유출 분석 모듈로 전달하고 상기 수신되는 트래픽이 암호화되어 있지 않으면 그대로 정보유출 분석 모듈로 전달하되, 상기 변환된 유일성을 가지는 IPv6주소에 암호화 여부를 나타내는 정보를 포함시켜 전달하는 제1 통신모듈; 상기 제1 통신모듈로부터 전달되는 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 정보유출 분석 모듈; 및 상기 정보유출 분석 모듈로부터 전달되는 트래픽을 해당 IPv6 주소에 포함된 상기 암호화 여부를 나타내는 정보에 따라 암호화하거나 암호화하지 않고 상기 주소 변환 모듈로 전달하는 제2 통신모듈을 포함하고, 상기 주소변환부는 상기 제2 통신모듈로부터 전달되는 트래픽의 IPv6 주소를 상기 사설 IP 주소로 원복한다.

Description

클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법{Data loss prevention system implemented on cloud and operating method thereof}
본 발명은 개인정보 또는 기밀정보의 유출을 방지하기 위한 정보 유출 방지 시스템에 및 그 동작 방법에 관한 것으로, 보다 상세하게는 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법에 관한 것이다.
정보 유출 방지 시스템은 기업이나 기관 등의 내부에서 외부로 전송되는 이메일, 메신저, SNS 등의 트래픽을 분석하여 개인정보, 기밀정보 등 중요 정보가 포함되어 있을 경우 전송을 차단하여 외부로의 유출을 방지한다.
통상적으로 정보 유출 방지 시스템은 사용자(예를 들면, 기업이나 기관)가 하드웨어 형태로 구현된 제품을 구매하여 자신의 네트워크에 설치하는 형태로 제공된다. 이러한 방식은 비용이 많이 들어서, 최근 들어 증가된 필요성에도 불구하고 그 비용을 감당할 수 있는 대규모의 사용자가 아니면 개인 정보 유출 방지 시스템을 도입하기 어려운 문제가 있었다.
따라서 적은 비용으로 정보 유출 방지 시스템을 제공하기 위하여, 클라우드 환경을 이용한 SECaaS(Security As A Service) 형태의 정보 유출 방지 서비스가 등장하고 있다. 이러한 클라우드 기반의 정보 유출 방지 서비스는 비용적인 측면과 관리 및 배포가 용이한 점에서 장점을 가지고 있다.
그런데 대부분의 기업이나 기관은 사설 네트워크를 사용하므로 각 사용자의 사설 네트워크가 가지는 사설 주소 대역이 겹칠 경우 서비스 제공자 측에서는 해당 트래픽을 전송하는 단말이 어느 사용자에 속한 것인지 구분하기가 어렵다. 따라서 클라우드 기반의 정보 유출 방지 서비스를 제공하기 위해서 서비스 제공자는 클라우드 상에 각 사용자 별로 정보 유출 방지 시스템을 별도로 구축하여야 한다. 이로 인하여 클라우드 기반의 정보 유출 방지 서비스 역시 비용적인 측면에서 한계가 존재하여 아직까지 활성화되지 못하고 있다.
출원인은 위와 같은 문제점을 해결하고자, 대한민국 등록특허 제10-1855632호(2018.04.30.)에서, 각 사용자의 사설 네트워크가 가지는 사설 주소 대역이 겹침에도 불구하고 여러 사용자의 사설 네트워크로부터 전송되는 트래픽을 사용자 별로 구별할 수 있도록 함으로써 단일한 시스템으로 여러 사용자에게 정보 유출 방지 서비스를 제공할 수 있는 정보 유출 방지 시스템 및 방법을 제안한 바 있다.
상기 대한민국 등록특허 제10-1855632호 개시된 정보 유출 방지 시스템은, 사설 네트워크로부터 터널링을 이용하여 트래픽을 수신하고, 상기 수신된 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 주소 변환부 및 상기 IPv6 주소로 변환된 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 정보 유출 방지부를 포함한다.
상기 정보 유출 방지부는 단일 모듈로서, 트래픽이 암호화되어 있다면 이를 복호화한 다음 분석 및 분석 결과에 따른 처리(전송 차단, 알림 등)를 수행하고, 분석이 완료되면 복호화된 트래픽을 다시 암호화하는 작업을 수행해야 한다. 이처럼 단일 모듈에서 암복호화, 분석 등의 작업을 모두 수행하는 경우 작업마다 자원 할당을 효율적으로 수행하기 어렵다. 특히, 트래픽의 특성에 따라 작업 별로 요구되는 자원의 양이 유동적으로 변할 수 있는데, 이를테면, 암복호화에 많은 자원이 요구되지만 분석 작업은 적은 자원으로도 가능한 트래픽이 있는가 하면, 암복호화는 필요 없거나 적은 자원으로 가능하지만 분석 작업에 많은 자원이 투입되어야 하는 트래픽이 있을 수 있다. 그러나 단일 모듈로 구성된 정보 유출 방지부로는 트래픽의 특성에 따라 작업 별로 요구되는 자원의 양의 변화에 효과적으로 대처할 수 없다.
이에 본 발명이 이루고자 하는 기술적 과제는, 암복호화, 트래픽 분석 등 작업 별로 요구되는 자원의 양의 변화에 효과적으로 대처할 수 있는 정보 유출 방지 시스템 및 그 동작 방법을 제공하는 데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 정보 유출 방지 시스템은, 수신되는 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 주소 변환 모듈; 상기 수신되는 트래픽이 암호화되어 있으면 이를 복호화하여 정보유출 분석 모듈로 전달하고 상기 수신되는 트래픽이 암호화되어 있지 않으면 그대로 정보유출 분석 모듈로 전달하되, 상기 변환된 유일성을 가지는 IPv6주소에 암호화 여부를 나타내는 정보를 포함시켜 전달하는 제1 통신모듈; 상기 제1 통신모듈로부터 전달되는 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 정보유출 분석 모듈; 및 상기 정보유출 분석 모듈로부터 전달되는 트래픽을 해당 IPv6 주소에 포함된 상기 암호화 여부를 나타내는 정보에 따라 암호화하거나 암호화하지 않고 상기 주소 변환 모듈로 전달하는 제2 통신모듈을 포함하고, 상기 주소변환부는 상기 제2 통신모듈로부터 전달되는 트래픽의 IPv6 주소를 상기 사설 IP 주소로 원복한다.
상기 암호화 여부를 나타내는 정보는 IPv6 주소 공간의 프리픽스 내에 포함될 수 있다.
상기 프리픽스는 상기 IPv6 주소 공간의 상위 48비트에 해당할 수 있다.
상기 유일성을 가지는 IPv6 주소는 상기 사설 IP 주소가 속한 사설 네트워크의 고유 식별자를 포함하고, 상기 고유 식별자 및 상기 암호화 여부를 나타내는 정보는 IPv6 주소 공간의 프리픽스 내에 포함될 수 있다.
상기 고유 식별자는 상기 프리픽스에서 상위 소정 비트를 제외한 나머지 비트 중 일부에 포함되고, 상기 암호화 여부를 나타내는 정보는 상기 나머지 비트 중 다른 일부에 포함될 수 있다.
상기 수신되는 트래픽은 사설 네트워크로부터 수신되는 트래픽이고, 상기 주소 변환 모듈은 원복된 상기 사설 IP 주소를 공인 IP 주소로 변환하여 해당 트래픽을 인터넷으로 전송할 수 있다.
상기 수신되는 트래픽은 인터넷으로부터 수신되는 트래픽이고, 상기 주소 변환 모듈은 원복된 상기 사설 IP 주소의 트래픽을 사설 네트워크로 전송할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 정보 유출 방지 시스템의 동작 방법에 있어서, 상기 정보 유출 방지 시스템은 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 정보유출 분석 모듈을 포함하고, 상기 동작 방법은, 수신되는 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 단계; 상기 수신되는 트래픽이 암호화되어 있으면 이를 복호화하여 상기 정보유출 분석 모듈로 전달하고 상기 수신되는 트래픽이 암호화되어 있지 않으면 그대로 상기 정보유출 분석 모듈로 전달하되, 상기 변환된 유일성을 가지는 IPv6주소에 암호화 여부를 나타내는 정보를 포함시켜 전달하는 단계; 상기 정보유출 분석 모듈이 상기 전달되는 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 단계; 및 상기 정보유출 분석 모듈로부터 전달되는 트래픽을 해당 IPv6 주소에 포함된 상기 암호화 여부를 나타내는 정보에 따라 암호화하거나 암호화하지 않는 단계; 상기 암호화되거나 암호화되지 않은 트래픽의 IPv6 주소를 상기 사설 IP 주소로 원복하는 단계를 포함한다.
상기 수신되는 트래픽은 사설 네트워크로부터 수신되는 트래픽이고, 상기 동작 방법은 원복된 상기 사설 IP 주소를 공인 IP 주소로 변환하여 해당 트래픽을 인터넷으로 전송하는 단계를 더 포함할 수 있다.
상기 수신되는 트래픽은 인터넷으로부터 수신되는 트래픽이고, 상기 동작 방법은 원복된 상기 사설 IP 주소의 트래픽을 사설 네트워크로 전송하는 단계를 더 포함할 수 있다.
상기된 본 발명에 의하면, 정보 유출 방지 시스템에 내에서 암복호화, 트래픽 분석 등 작업 별로 자원을 할당할 수 있어 효율성이 개선되며, 정보 유출 방지 시스템에 내에서 유일성을 가지는 IPv6 주소에 암호화 여부에 대한 정보를 포함시킴으로써 별도의 정보 공유 수단 없이 모듈 간에 해당 정보를 간단하고 효과적으로 공유할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 정보 유출 방지 시스템의 구성을 나타낸다.
도 2는 본 발명의 일 실시예에 따른 정보 유출 방지 시스템의 동작 방법에서 사설 네트워크로부터 트래픽이 수신되어 인터넷으로 전송되는 과정을 나타낸다.
도 3은 본 발명의 일 실시예에 따른 정보 유출 방지 시스템의 동작 방법에서 인터넷으로부터 트래픽이 수신되어 사설 네트워크로 전송되는 과정을 나타낸다.
도 4a는 사설 네트워크의 IPv4 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 일 예를 보여준다.
도 4b는 사설 네트워크의 IPv4 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 다른 예를 보여준다.
도 4c는 사설 네트워크의 IPv6 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 또 다른 예를 보여준다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 정보 유출 방지 시스템의 구성을 나타낸다.
정보 유출 방지 시스템(140)은 클라우드 상에 구현되며, 복수의 사용자들 각각의 사설 네트워크와 IP 터널(예를 들면, GRE, IPsec 등)을 통해 연결된다. 예컨대 도시된 바와 같이 정보 유출 방지 시스템(140)은 제1 사용자의 제1 사설 네트워크(110_1)에 설치된 제1 방화벽(120_1)과 제1 IP 터널(130_1)을 통해 연결되고, 제2 사용자의 제2 사설 네트워크(110_2)에 설치된 제2 방화벽(120_2)과 제2 IP 터널(130_1)을 통해 연결된다. 또한 정보 유출 방지 시스템(140)은 인터넷 망과 연결된다.
정보 유출 방지 시스템(140)은, 제1 사설 네트워크(110_1) 내의 제1 단말(111_1)로부터 제1 IP 터널(130_1)을 통해 트래픽이 수신되면, 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고, 소스 사설 IP 주소를 공인 IP 주소로 변환하여 인터넷을 통해 목적지로 전송한다. 또한 정보 유출 방지 시스템(140)은, 인터넷을 통해 트래픽이 수신되면, 트래픽의 목적지 공인 IP 주소를 사설 IP 주소로 변환하고, 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고 제1 IP 터널(130_1)을 통해 제1 사설 네트워크(110_1)로 전송한다.
마찬가지로, 정보 유출 방지 시스템(140)은, 제2 사설 네트워크(110_2) 내의 제2 단말(111_2)로부터 제2 IP 터널(130_2)을 통해 트래픽이 수신되면, 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고, 소스 사설 IP 주소를 공인 IP 주소로 변환하여 인터넷을 통해 목적지로 전송한다. 또한 정보 유출 방지 시스템(140)은, 인터넷을 통해 트래픽이 수신되면, 트래픽의 목적지 공인 IP 주소를 사설 IP 주소로 변환하고, 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고 제2 IP 터널(130_2)을 통해 제2 사설 네트워크(110_2)로 전송한다.
이하 설명에서, 사설 네트워크(110)는 제1 사설 네트워크(110_1), 제2 사설 네트워크(110_2), 또는 도시되지 않은 다른 사설 네트워크를, 단말(111)은 제1 단말(111_1), 제2 단말(111_2) 또는 도시되지 않은 다른 사설 네트워크 내의 단말을 지칭한다.
본 발명의 실시예에 따른 정보 유출 방지 시스템(140)은 주소 변환 모듈(141), 정보유출 분석 모듈(142), 내부통신모듈(143), 외부통신모듈(144)을 포함한다.
주소 변환 모듈(141)은 수신되는 트래픽을 집선(aggregate)하고, 정보유출 분석 모듈(142)이 여러 사용자의 사설 네트워크로부터 전송되는 트래픽을 사용자 별로 구별할 수 있도록 하기 위해 트래픽의 사설 IP 주소를 정보 유출 방지 시스템(140) 내에서 유일성을 가지는 IPv6 주소로 변환하고, 해당 트래픽을 내부통신모듈(143)(사설 네트워크로부터 수신된 트래픽의 경우) 또는 외부통신모듈(144)(인터넷으로부터 수신된 트래픽의 경우)로 전달한다.
주소 변환 모듈(141)은 트래픽의 사설 IP 주소를 상기 유일성을 가지는 IPv6 주소로 변환하기 위하여, 트래픽의 사설 IP 주소를 해당 트래픽을 전송한(또는 해당 트래픽의 목적지인) 사설 네트워크에 할당된 고유 식별자가 포함된 IPv6 주소로 변환할 수 있다. 예를 들어, 제1 사설 네트워크(110_1)와 제2 사설 네트워크(110_2)에는 각각 고유 식별자가 할당되어, 주소 변환 모듈(141)은 제1 사설 네트워크(110_1)의 트래픽의 사설 IP 주소를 제1 사설 네트워크(110_1)의 고유 식별자가 포함된 IPv6 주소로 변환하고, 제2 사설 네트워크(110_2)의 트래픽의 사설 IP 주소를 제2 사설 네트워크(110_2)의 고유 식별자가 포함된 IPv6 주소로 변환할 수 있다.
내부통신모듈(143)은 사용자 측, 즉 사설 네트워크(110)와의 통신 및 이를 위한 암복호화를 담당한다. 즉, 내부통신모듈(143)은 사설 네트워크(110)로부터 수신된 트래픽이 암호화되어 있는 경우 이를 복호화하여 정보유출 분석 모듈(142)로 전달하고, 사설 네트워크(110)로 전송할 암호화할 필요가 있는 트래픽을 암호화하여 주소 변환 모듈(141)로 전달한다.
외부통신모듈(144)은 인터넷 측과의 통신 및 이를 위한 암복호화를 담당한다. 즉, 외부통신모듈(144)은 인터넷으로부터 수신된 트래픽이 암호화되어 있는 경우 이를 복호화하여 정보유출 분석 모듈(142)로 전달하고, 인터넷으로 전송할 암호화할 필요가 있는 트래픽을 암호화하여 주소 변환 모듈(141)로 전달한다.
정보유출 분석 모듈(142)은 내부통신모듈(143) 또는 외부통신모듈(144)로부터 전달되는 복호화된(혹은 원래부터 암호화되어 있지 않은) 트래픽을 미리 설정된 정책(혹은 사용자 별로 미리 설정된 정책)에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사한다. 그리고 정보유출 분석 모듈(142)은 트래픽 분석 결과 개인정보 또는 기밀정보가 포함되어 있다면 해당 트래픽이 전송되는 것을 차단하고, 필요한 경우 해당 단말(111) 또는 사용자의 네트워크 관리자에게 정보 유출 우려로 인해 트래픽이 차단되었음을 알리는 차단 메시지를 전송한다.
정보유출 분석 모듈(142)은 사설 네트워크에 할당된 고유 식별자가 포함된 IPv6 주소를 가지는 트래픽을 전달받으므로, 각 사용자의 사설 네트워크가 가지는 사설 주소 대역이 겹치더라도 해당 트래픽을 발생한 단말(111)이 어느 사용자, 즉 어느 사설 네트워크에 속한 것인지 구분할 수 있게 된다. 따라서 정보유출 분석 모듈(142)은 트래픽을 사용자 별로 설정된 정책에 따라 분석할 수 있고, 사용자 별로 트래픽을 제어할 수가 있다.
본 발명의 실시예에 의하면, 정보 유출 방지 시스템(140)을 위와 같이 주소 변환 모듈(141), 정보유출 분석 모듈(142), 내부통신모듈(143), 외부통신모듈(144)의 네 모듈로 나누어 구성한다. 이들 각각의 모듈은 독립된 시스템으로 동작할 수 있는데, 여기서 독립된 시스템이란 클라우드에서 단일 시스템 혹은 단일 인스턴스로 구현될 수 있는 시스템을 의미하며, 각 시스템 별로 독립적인 운영 및 유지보수를 위한 도구들을 모두 포함하는 개념일 수 있다.
본 발명의 실시예에 의하면 정보 유출 방지 시스템(140)을 4개의 모듈로 나누어 구성함으로써, 각 모듈마다 별도로 자원을 할당할 수 있다. 가령, 트래픽의 특성이나 상황에 따라 암복호화에 많은 자원이 요구되는 경우 내부통신모듈(143)과 외부통신모듈(144)에 보다 많은 자원을 할당할 수 있고, 분석 작업에 많은 자원이 투입되어야 하는 경우 정보유출 분석 모듈(142)에 보다 많은 자원을 할당할 수 있다.
이렇게 정보 유출 방지 시스템(140)을 모듈 별로 분리하여 운영하면 자원을 효율적으로 사용할 수 있지만, 트래픽의 특성을 모듈들이 공유해야 할 필요성이 발생한다. 이를테면, 외부통신모듈(144)은 내부통신모듈(143)과 정보유출 분석 모듈(142)을 거쳐 넘어온 데이터를 이용해 인터넷 상에 존재하는 외부 서버와 통신해야 하는데, 이 과정에서 암호화 기법을 적용해야 하는지 여부를 독립적으로 판단할 수 없다. 따라서, 외부통신모듈(144)은 내부통신모듈(143)과 암호화 여부 등 해당 트래픽의 특성에 대한 정보를 공유해야 한다. 그런데 이러한 정보 공유를 위한 별도의 시스템을 도입할 경우 비용과 전체 시스템의 복잡성이 크게 증가하고 그로 인한 부하의 증가가 모듈 별 분리에 의해 개선되는 효율성보다 커질 수 있다.
본 발명의 실시예에서는 출원인의 대한민국 등록특허 제10-1855632호와 유사하게 주소 변환 모듈(141)이 트래픽의 사설 IP 주소를 해당 사설 네트워크의 고유 식별자가 포함된 IPv6 주소로 변환한다. 나아가 본 발명의 실시예에서는 이렇게 변환된 IPv6 주소에 암호화 여부 등 해당 트래픽의 특성에 대한 정보를 포함시킴으로써 별도의 정보 공유 수단 없이 정보 유출 방지 시스템(140)의 각 모듈이 해당 트래픽의 특성에 대한 정보를 매우 간단하고 효과적으로 공유할 수 있도록 한다. 이하에서 이러한 주소 변환 과정을 보다 상세히 설명한다.
IPv6 주소 체계는 128비트의 주소 공간 중 상위 48비트 이상을 프리픽스로 사용하도록 되어 있다. 따라서 내부 주소로 사용할 수 있는 범위는 최대 80비트로, 현재 대부분의 사용자가 IPv4 주소 체계를 사용하는 점을 감안하면 매우 충분한 범위라 할 수 있다.
그리고 RFC 4193 표준에서는 fc00::/7 대역, 즉 상위 7비트가 "1111110"의 값을 가지는 주소 대역을 고유 로컬(unique local) 주소로 정하여 사설 IP 대역으로 활용할 수 있도록 하고 있다. 또한 RFC 3879 표준에서 더 이상 사용하지 않기로 된 fec0::/10 대역도 사설 IP 대역으로 활용할 수 있는 가능성을 가지고 있다.
따라서 출원인의 대한민국 등록특허 제10-1855632에 의하면 정보 유출 방지 시스템 내에서 유일성을 가지는 주소를 생성하기 위하여 상위 48비트의 프리픽스에 사용자, 즉 사설 네트워크에 대응하는 고유 식별자를 포함시킴으로써 사설 네트워크를 구분하고, 주소 대역으로 fc00::/7 대역 또는 fec0::/10 대역을 사용한다. fc00::/7 대역을 사용할 경우 48비트에서 상위 7비트를 제외한 41비트를 사설 네트워크의 고유 식별자를 위한 영역으로 활용할 수 있다. 만일 fec0::/10 대역을 사용한다면, 48비트에서 상위 10비트를 제외한 38비트를 고유 식별자를 위한 영역으로 활용할 수 있다. 이처럼 41비트 또는 38비트를 고유 식별자를 위한 영역으로 활용할 경우, 할당할 수 있는 고유 식별자의 수는 241 또는 238로서 이는 현실적으로 수용할 수 있는 사용자의 수를 훨씬 상회하는 숫자이다.
다만 본 발명의 실시예에서는 IPv6 주소의 상위 48비트에서 상위 7비트를 제외한 41비트 또는 상위 10비트를 제외한 38비트 모두를 고유 식별자를 위한 영역으로 활용하지 않고, 41비트 또는 38비트의 일부는 고유 식별자를 위한 영역으로 활용하고 나머지 일부는 암호화 여부 등 해당 트래픽의 특성을 나타내는 정보를 표현하기 위한 영역으로 활용한다. 예컨대 41비트의 상위 33비트를 고유 식별자를 위한 영역으로 활용하고 41비트의 하위 8비트를 암호화 여부 등 해당 트래픽의 특성을 나타내는 정보를 위한 영역으로 활용할 수 있다. 단순히 암호화 여부만을 표시한다면 1비트만으로 충분하지만, 모듈 간에 공유할 필요가 있는 다른 정보도 추가적으로 포함시킬 수 있도록 8비트로 정의할 수 있다. 이 경우 사용자(사설 네트워크)의 구별을 위한 고유 식별자의 개수는 241에서 233으로 줄어들지만, 33비트로 표현할 수 있는 수는 233=8,589,934,592개로서 약 8억 5천만개의 사설 네트워크를 구분할 수 있으므로 이 역시 현실적으로 수용할 수 있는 사용자의 수를 훨씬 상회하는 숫자이다.
도 2는 본 발명의 일 실시예에 따른 정보 유출 방지 시스템(140)의 동작 방법에서 사설 네트워크로부터 트래픽이 수신되어 인터넷으로 전송되는 과정을 나타낸다.
210단계에서, 주소 변환 모듈(141)은 사설 네트워크(110)로부터 단말(111)이 발생한 트래픽을 수신한다.
다음의 215단계 내지 225단계가 트래픽의 소스 사설 IP 주소를 정보 유출 방지 시스템(140) 내에서 유일성을 가지는 IPv6 주소로 변환하는 과정에 해당한다.
215단계에서, 주소 변환 모듈(141)은 수신되는 트래픽의 사설 IP 주소가 IPv4 주소인지 IPv6 주소인지 확인한다.
IPv4 주소인 경우, 220단계에서 주소 변환 모듈(141)은 해당 트래픽의 IPv4 주소를 IPv6 주소로 변환한다. 여기서 IPv4 주소에서 IPv6 주소로의 변환은, 미리 정의된 주소 변환 사상에 의하여 이루어질 수 있다. 예컨대 전형적인 주소 변환 사상은, IPv6 주소의 처음 80비트를 0으로 설정하고 다음 16비트를 1로 설정한 후, 나머지 32비트에 IPv4 주소를 기록하는 것이다.
다음으로 225단계에서, 주소 변환 모듈(141)은 변환된 IPv6 주소에 해당 트래픽을 전송한 사설 네트워크에 대응하는 고유 식별자를 포함시킨다. 앞서 설명한 바와 같이, 고유 식별자는 IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 상위 33비트에 포함될 수 있다.
가령 제1 사설 네트워크(110_1)의 고유 식별자가 '1'이고 사설 주소 대역이 192.168.0.0/24(즉, 192.168.0.0~192.168.0.255)라 하면, 220단계를 통해 192.168.0.0/24 대역은 ::ffff:C0A8:0000/120 대역(즉, ::ffff:C0A8:0000 ~ ::ffff:C0A8:00ff)으로 변환된다. 그리고 225단계를 통해 제1 사설 네트워크(110_1)의 고유 식별자 1을 상위 48비트에서 상위 7비트를 제외한 41비트 중 상위 33비트에 포함시키면, ::ffff:C0A8:0000/120 대역은 fc00:0000:0100::/120 대역으로 변환된다. 여기서 IPv4 IPv6 변환에 의해 나타난 "ffff" 부분과 192.168.0.0/24 대역의 상위 24비트인 "192.168.0"에 해당하는 "C0A8:00" 부분은 모두 0으로 치환되었는데, 이 부분은 주소를 구별하는데 무의미하므로 모두 0으로 치환한 것이다. 다만 이 부분은 임의의 값으로 치환하거나 그대로 놔두어도 무방하다.
가령 제2 사설 네트워크(110_2)의 고유 식별자가 '2'이고 사설 주소 대역이 제1 사설 네트워크(110_1)와 동일하게 192.168.0.0/24라 하면, 220단계를 통해 제1 사설 네트워크(110_1)의 경우와 마찬가지로 192.168.0.0/24 대역은 ::ffff:C0A8:0000/120 대역으로 변환된다. 그리고 225단계를 통해 제2 사설 네트워크(110_2)의 고유 식별자 2를 상위 48비트에서 상위 7비트를 제외한 41비트 중 상위 33비트에 포함시키면, ::ffff:C0A8:0000/120 대역은 fc00:0000:0200::/120 대역으로 변환된다.
이처럼 제1 사설 네트워크(110_1)와 제2 사설 네트워크(110_2)의 사설 주소 대역이 192.168.0.0/24로 동일하지만, 변환된 IPv6 주소에 각 사설 네트워크의 고유 식별자를 포함시킴으로써, 정보 유출 방지 시스템(140) 내에서 제1 사설 네트워크(110_1)와 제2 사설 네트워크(110_2)의 주소 대역은 각각 fc00:0000:0100::/120과 fc00:0000:0200::/120으로 상이하게 되어 충돌이 발생하지 않게 된다.
만일 215단계에서 트래픽의 사설 IP 주소가 IPv6 주소로 확인되면, 바로 225단계로 진행하여 주소 변환 모듈(141)은 해당 트래픽의 IPv6 주소에 해당 트래픽을 전송한 사설 네트워크에 대응하는 고유 식별자를 포함시킨다. 이 경우 역시 고유 식별자는 예컨대 IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 상위 33비트에 포함될 수 있다.
228단계에서, 주소 변환 모듈(141)은 IPv6 주소에 고유 식별자가 포함된 트래픽을 내부통신모듈(143)로 전달한다.
230단계에서, 내부통신모듈(143)은 트래픽이 암호화되어 있는지 확인하고, 암호화되어 있으면 235단계로 진행하여 해당 트래픽을 복호화하여 평문 데이터를 획득한다. 그리고 240단계에서 내부통신모듈(143)은 IPv6 주소에 암호화 여부를 나타내는 정보로서 암호화 트래픽임을(즉, 암호화된 트래픽이므로 복호화하였음을) 나타내는 정보를 추가한다. 전술한 바와 같이 암호화 여부를 나타내는 정보를 IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 하위 8비트를 이용하여 표현할 경우, 암호화된 트래픽임을 '1'로 나타내고 암호화되지 않은 트래픽임을 '0'으로 나타내어(물론 그 반대도 가능), 상기 8비트에 '1' 또는 '0'을 포함시킬 수 있다.
225단계를 통해 고유 식별자가 '1'이 포함되어 fc00:0000:0100::/120 대역의 IPv6 주소가 생성된 경우, IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 하위 8비트에 '1'이 포함되면, fc00:0000:0100::/120 대역은 fc00:0000:0101::/120 대역으로 변환된다.
그리고 245단계에서, 내부통신모듈(143)은 IPv6 주소에 암호화 트래픽임을 나타내는 정보가 추가된 트래픽을 정보유출 분석 모듈(142)로 전달한다.
만일 230단계에서 트래픽이 암호화되어 있지 않은 것으로 확인되면, 내부통신모듈(143)은 복호화 작업 없이 245단계로 진행하여 트래픽을 그대로 즉, 평문 상태로 정보유출 분석 모듈(142)로 전달한다. 이때 역시 암호화 여부를 나타내는 정보로서 암호화되지 않은 트래픽임을 나타내는 정보를 '추가'할 수도 있으나, 암호화되지 않은 경우를 '0'으로 나타낼 경우 225단계를 통해 변환된 IPv6 주소를 유지함으로써 해당 비트를 통해 암호화되지 않은 트래픽임을 표현할 수 있다. 예컨대 225단계를 통해 고유 식별자가 '1'이 포함되어 fc00:0000:0100::/120 대역의 IPv6 주소가 생성된 경우, IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 하위 8비트는 모두 '0'이므로 상기 8비트는 암호화되지 않은 트래픽임을 표현한다.
250단계에서 정보유출 분석 모듈(142)은 내부통신모듈(143)로부터 전달되는 트래픽, 즉 암호화된 상태로 수신되었다면 내부통신모듈(143)에 의해 복호화된 트래픽 혹은 원래부터 평문 상태의 트래픽을 미리 설정된 정책에 따라 분석한다.
정보유출 분석 모듈(142)은 분석 결과 255단계에서 트래픽 내에 개인정보 또는 기밀정보가 포함되어 있는 것으로 판단되면, 260단계로 진행하여 해당 트래픽이 외부로 전송되는 것을 차단하고, 265단계에서 트래픽을 발생한 단말(111) 또는 필요한 경우 사용자의 네트워크 관리자에게 정보 유출 우려로 인해 트래픽이 차단되었음을 알리는 차단 메시지를 전송한다.
분석 결과 255단계에서 트래픽 내에 개인정보 또는 기밀정보가 포함되지 않은 것으로 판단되면, 268단계로 진행하여 정보유출 분석 모듈(142)은 트래픽을 외부통신모듈(144)로 전달한다.
270단계에서 외부통신모듈(144)은 정보유출 분석 모듈(142)로부터 전달되는 평문 상태의 트래픽의 IPv6 주소에서 암호화 여부를 나타내는 정보를 확인한다. 예컨대 외부통신모듈(144)은 IPv6 주소 공간의 상위 48비트에서 상위 7비트를 제외한 41비트 중 하위 8비트를 통해 암호화 여부를 나타내는 정보를 확인할 수 있다. 가령, 외부통신모듈(144)은 상기 8비트의 마지막 비트의 값이 '1'이면 암호화 트래픽(즉, 암호화해야 할 트래픽)으로 판단하고, 상기 8비트의 마지막 비트의 값이 '0'이면 그렇지 않은 트래픽으로 판단할 수 있다.
275단계에서 암호화 트래픽으로 확인되면, 280단계에서 외부통신모듈(144)은 정보유출 분석 모듈(142)로부터 전달되는 트래픽을 암호화하여 목적지로 전송하기 위한 처리를 한다.
275단계에서 암호화 트래픽이 아닌 것으로 확인되면, 외부통신모듈(144)은 정보유출 분석 모듈(142)로부터 전달되는 트래픽을 암호화하지 않고 평문 상태로 목적지로 전송하기 위한 처리를 한다.
285단계에서, 외부통신모듈(144)은 암호화된 트래픽 또는 평문 상태의 트래픽을 주소 변환 모듈(141)로 전달한다. 이때 외부통신모듈(144)은 IPv6 주소에 암호화 여부 등 해당 트래픽의 특성에 대한 정보가 추가되어 있으면 이를 제거하고 트래픽을 주소 변환 모듈(141)로 전달할 수 있다.
287단계에서, 주소 변환 모듈(141)은 외부통신모듈(144)로부터 전달되는 트래픽의 IPv6 주소를 원래의 사설 IP 주소로 원복한다. 이 과정은 전술한 220단계와 225단계(사설 IPv6 주소의 경우 225단계)에 의한 변환의 역변환을 통해 수행될 수 있다.
290단계에서 주소 변환 모듈(141)은 트래픽의 사설 IP 주소를 공인 IP 주소로 변환하고, 295단계에서, 공인 IP 주소로 변환된 트래픽을 인터넷을 통해 목적지로 전송한다.
도 3은 본 발명의 일 실시예에 따른 정보 유출 방지 시스템(140)의 동작 방법에서 인터넷으로부터 트래픽이 수신되어 사설 네트워크로 전송되는 과정을 나타낸다. 도 3의 과정 중 도 2의 과정과 중복되는 구체적인 설명은 생략하기로 한다.
310단계에서, 주소 변환 모듈(141)은 인터넷으로부터 트래픽을 수신한다.
313단계에서, 주소 변환 모듈(141)은 트래픽의 목적지 공인 IP 주소를 사설 IP 주소로 변환한다.
다음의 315단계 내지 325단계가 트래픽의 목적지 사설 IP 주소를 정보 유출 방지 시스템(140) 내에서 유일성을 가지는 IPv6 주소로 변환하는 과정에 해당한다.
315단계에서, 주소 변환 모듈(141)은 수신되는 트래픽의 사설 IP 주소가 IPv4 주소인지 IPv6 주소인지 확인한다.
IPv4 주소인 경우, 320단계에서 주소 변환 모듈(141)은 해당 트래픽의 IPv4 주소를 IPv6 주소로 변환한다.
다음으로 325단계에서, 주소 변환 모듈(141)은 변환된 IPv6 주소에 해당 트래픽을 전송한 사설 네트워크에 대응하는 고유 식별자를 포함시킨다.
만일 315단계에서 트래픽의 사설 IP 주소가 IPv6 주소로 확인되면, 바로 325단계로 진행하여 주소 변환 모듈(141)은 해당 트래픽의 IPv6 주소에 해당 트래픽이 전송될 사설 네트워크에 대응하는 고유 식별자를 포함시킨다.
328단계에서, 주소 변환 모듈(141)은 IPv6 주소에 고유 식별자가 포함된 트래픽을 외부통신모듈(144)로 전달한다.
330단계에서, 외부통신모듈(144)은 트래픽이 암호화되어 있는지 확인하고, 암호화되어 있으면 335단계로 진행하여 해당 트래픽을 복호화하여 평문 데이터를 획득한다. 그리고 340단계에서 외부통신모듈(144)은 IPv6 주소에 암호화 여부를 나타내는 정보로서 암호화 트래픽임을(즉, 암호화된 트래픽이므로 복호화하였음을) 나타내는 정보를 추가한다.
그리고 345단계에서, 외부통신모듈(144)은 IPv6 주소에 암호화 트래픽임을 나타내는 정보가 추가된 트래픽을 정보유출 분석 모듈(142)로 전달한다.
만일 330단계에서 트래픽이 암호화되어 있지 않은 것으로 확인되면, 외부통신모듈(144)은 복호화 작업 없이 345단계로 진행하여 트래픽을 그대로 즉, 평문 상태로 정보유출 분석 모듈(142)로 전달한다.
350단계에서 정보유출 분석 모듈(142)은 외부통신모듈(144)로부터 전달되는 트래픽, 즉 암호화된 상태로 수신되었다면 외부통신모듈(144)에 의해 복호화된 트래픽 혹은 원래부터 평문 상태의 트래픽을 미리 설정된 정책에 따라 분석한다.
정보유출 분석 모듈(142)은 분석 결과 355단계에서 트래픽 내에 개인정보 또는 기밀정보가 포함되어 있는 것으로 판단되면, 360단계로 진행하여 해당 트래픽이 사설 네트워크로 전송되는 것을 차단하고, 365단계에서 트래픽이 전송될 단말(111) 또는 필요한 경우 사용자의 네트워크 관리자에게 정보 유출 우려로 인해 트래픽이 차단되었음을 알리는 차단 메시지를 전송한다.
분석 결과 355단계에서 트래픽 내에 개인정보 또는 기밀정보가 포함되지 않은 것으로 판단되면, 368단계로 진행하여 정보유출 분석 모듈(142)은 트래픽을 내부통신모듈(143)로 전달한다.
370단계에서 내부통신모듈(143)은 정보유출 분석 모듈(142)로부터 전달되는 트래픽의 IPv6 주소에서 암호화 여부를 나타내는 정보를 확인한다.
375단계에서 암호화 트래픽으로 확인되면, 380단계에서 내부통신모듈(143)은 정보유출 분석 모듈(142)로부터 전달되는 트래픽을 암호화하여 목적지로 전송하기 위한 처리를 한다.
375단계에서 암호화 트래픽이 아닌 것으로 확인되면, 내부통신모듈(143)은 정보유출 분석 모듈(142)로부터 전달되는 트래픽을 암호화하지 않고 평문 상태로 목적지로 전송하기 위한 처리를 한다.
385단계에서, 내부통신모듈(143)은 암호화된 트래픽 또는 평문 상태의 트래픽을 주소 변환 모듈(141)로 전달한다. 이때 내부통신모듈(143)은 IPv6 주소에 암호화 여부 등 해당 트래픽의 특성에 대한 정보가 추가되어 있으면 이를 제거하고 트래픽을 주소 변환 모듈(141)로 전달할 수 있다.
387단계에서, 주소 변환 모듈(141)은 내부통신모듈(143)로부터 전달되는 트래픽의 IPv6 주소를 원래의 사설 IP 주소로 원복한다.
395단계에서, 주소 변환 모듈(141)은 트래픽을 해당 사설 IP 주소가 속한 사설 네트워크로 전송한다.
도 4a는 사설 네트워크의 IPv4 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 일 예를 보여준다.
도 4a를 참조하면, IPv4 IPv6 변환을 통해 IPv4 주소 '192.168.0.64'가 IPv6 주소인 '::ffff:C0A8:0040'로 변환된다. 그 다음 '::ffff:C0A8:0040'에서 'ffff:C0A8:00' 부분이 모두 0으로 치환되고 여기에 제1 사설 네트워크(110_1)의 고유 식별자 '1'을 포함하는 프리픽스 'fc00:0000:0100'이 결합되어 'fc00:0000:0100::0040'으로 변환된다. 그 다음, 프리픽스 'fc00:0000:0100'에 암호화 트래픽임을 나타내는 정보 '1'이 추가되어, IPv6 주소 'fc00:0000:0101::0040'으로 제1 사설 네트워크(110_1)의 트래픽임과 함께 암호화 트래픽임을 표현하게 된다.
도 4b는 사설 네트워크의 IPv4 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 다른 예를 보여준다.
도 4b를 참조하면, IPv4 IPv6 변환을 통해 IPv4 주소 '192.168.0.64'가 IPv6 주소인 '::ffff:C0A8:0040'로 변환된다. 그 다음 '::ffff:C0A8:0040'에서 "ffff:C0A8:00" 부분이 모두 0으로 치환되고 여기에 제2 사설 네트워크(110_2)의 고유 식별자 '2'를 포함하는 프리픽스 'fc00:0000:0200'이 결합되어 'fc00:0000:0200::0040'으로 변환된다. 그 다음, 프리픽스 'fc00:0000:0200'에서 암호화 트래픽임을 나타내는 정보 '0'이 그대로 유지되어, IPv6 주소 'fc00:0000:0200::0040'으로 제2 사설 네트워크(110_2)의 트래픽임과 함께 암호화되지 않은 트래픽임을 표현하게 된다.
도 4c는 사설 네트워크의 IPv6 주소가 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환된 다음 암호화 여부를 나타내는 정보가 포함되는 과정의 또 다른 예를 보여준다.
도 4c를 참조하면, 사설 IPv6 주소 'fc00:0000:0002::0040'은, 제3 사설 네트워크에서의 프리픽스 'fc00:0000:0002' 대신에 제3 사설 네트워크의 고유 식별자 '3'을 포함하는 프리픽스 'fc00:0000:0300'이 내부 주소 '::0040'에 결합되어 'fc00:0000:0300::0040'으로 변환된다. 그 다음, 프리픽스 'fc00:0000:0300'에 암호화 트래픽임을 나타내는 정보 '1'이 추가되어, IPv6 주소 'fc00:0000:0301::0040'으로 제3 사설 네트워크의 트래픽임과 함께 암호화 트래픽임을 표현하게 된다.
본 발명의 실시예들에 따른 장치는 프로세서, 프로그램 데이터를 저장하고 실행하는 메모리, 디스크 드라이브와 같은 영구 저장부(permanent storage), 외부 장치와 통신하는 통신 포트, 터치 패널, 키(key), 버튼 등과 같은 사용자 인터페이스 장치 등을 포함할 수 있다. 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 상기 프로세서상에서 실행 가능한 컴퓨터가 읽을 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체 상에 저장될 수 있다. 여기서 컴퓨터가 읽을 수 있는 기록 매체로 마그네틱 저장 매체(예컨대, ROM(read-only memory), RAM(random-access memory), 플로피 디스크, 하드 디스크 등) 및 광학적 판독 매체(예컨대, 시디롬(CD-ROM), 디브이디(DVD: Digital Versatile Disc)) 등이 있다. 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템들에 분산되어, 분산 방식으로 컴퓨터가 판독 가능한 코드가 저장되고 실행될 수 있다. 매체는 컴퓨터에 의해 판독가능하며, 메모리에 저장되고, 프로세서에서 실행될 수 있다.
본 발명의 실시예들은 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들은 특정 기능들을 실행하는 다양한 개수의 하드웨어 또는/및 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 실시예는 하나 이상의 마이크로프로세서들의 제어 또는 다른 제어 장치들에 의해서 다양한 기능들을 실행할 수 있는, 메모리, 프로세싱, 로직(logic), 룩 업 테이블(look-up table) 등과 같은 집적 회로 구성들을 채용할 수 있다. 본 발명에의 구성 요소들이 소프트웨어 프로그래밍 또는 소프트웨어 요소들로 실행될 수 있는 것과 유사하게, 실시예는 데이터 구조, 프로세스들, 루틴들 또는 다른 프로그래밍 구성들의 조합으로 구현되는 다양한 알고리즘을 포함하여, C, C++, 자바(Java), 어셈블러(assembler) 등과 같은 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능적인 측면들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 실시예는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다. "매커니즘", "요소", "수단", "구성"과 같은 용어는 넓게 사용될 수 있으며, 기계적이고 물리적인 구성들로서 한정되는 것은 아니다. 상기 용어는 프로세서 등과 연계하여 소프트웨어의 일련의 처리들(routines)의 의미를 포함할 수 있다.
실시예에서 설명하는 특정 실행들은 일 실시예들로서, 어떠한 방법으로도 실시 예의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어 시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, "필수적인", "중요하게" 등과 같이 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (14)

  1. 클라우드 상에 구현되는 정보 유출 방지 시스템으로서,
    수신되는 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 주소 변환 모듈;
    상기 수신되는 트래픽이 암호화되어 있으면 이를 복호화하여 정보유출 분석 모듈로 전달하고 상기 수신되는 트래픽이 암호화되어 있지 않으면 그대로 정보유출 분석 모듈로 전달하되, 상기 정보유출 분석 모듈로 전달할 트래픽의 상기 변환된 유일성을 가지는 IPv6주소에, 상기 전달할 트래픽이 상기 수신된 암호화된 트래픽을 복호화한 트래픽인지 아니면 상기 수신된 트래픽 그대로인지를 나타내는 암호화 여부 정보를 포함시켜 전달하는 제1 통신모듈;
    상기 제1 통신모듈로부터 전달되는 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고 제2 통신모듈로 전달하는 정보유출 분석 모듈; 및
    상기 정보유출 분석 모듈로부터 전달되는 트래픽을 상기 주소 변환 모듈로 전달하되, 해당 IPv6 주소에 포함된 상기 암호화 여부 정보를 확인하여, 상기 암호화 여부 정보가 상기 수신된 암호화된 트래픽을 복호화한 트래픽임을 나타내면 상기 전달되는 트래픽을 암호화하여 상기 주소 변환 모듈로 전달하고, 상기 암호화 여부 정보가 상기 수신된 트래픽 그대로임을 나타내면 상기 전달되는 트래픽을 그대로 상기 주소 변환 모듈로 전달하는 제2 통신모듈을 포함하고,
    상기 주소 변환 모듈은 상기 제2 통신모듈로부터 전달되는 트래픽의 IPv6 주소를 상기 사설 IP 주소로 원복하고,
    상기 유일성을 가지는 IPv6 주소는 상기 사설 IP 주소가 속한 사설 네트워크의 고유 식별자를 포함하고, 상기 고유 식별자 및 상기 암호화 여부 정보는 IPv6 주소 공간의 프리픽스 내에 포함되는, 정보 유출 방지 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 프리픽스는 상기 IPv6 주소 공간의 상위 48비트에 해당하는, 정보 유출 방지 시스템.
  4. 삭제
  5. 제1항에 있어서,
    상기 고유 식별자는 상기 프리픽스에서 상위 소정 비트를 제외한 나머지 비트 중 일부에 포함되고, 상기 암호화 여부 정보는 상기 나머지 비트 중 다른 일부에 포함되는, 정보 유출 방지 시스템.
  6. 제1항에 있어서,
    상기 수신되는 트래픽은 사설 네트워크로부터 수신되는 트래픽이고,
    상기 주소 변환 모듈은 원복된 상기 사설 IP 주소를 공인 IP 주소로 변환하여 해당 트래픽을 인터넷으로 전송하는, 정보 유출 방지 시스템.
  7. 제1항에 있어서,
    상기 수신되는 트래픽은 인터넷으로부터 수신되는 트래픽이고,
    상기 주소 변환 모듈은 원복된 상기 사설 IP 주소의 트래픽을 사설 네트워크로 전송하는, 정보 유출 방지 시스템.
  8. 클라우드 상에 구현되는 정보 유출 방지 시스템의 동작 방법으로서,
    상기 정보 유출 방지 시스템은 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하는 정보유출 분석 모듈을 포함하고,
    주소 변환 모듈이, 수신되는 트래픽의 사설 IP 주소를 상기 정보 유출 방지 시스템 내에서 유일성을 가지는 IPv6 주소로 변환하는 단계;
    제1 통신모듈이, 상기 수신되는 트래픽이 암호화되어 있으면 이를 복호화하여 상기 정보유출 분석 모듈로 전달하고 상기 수신되는 트래픽이 암호화되어 있지 않으면 그대로 상기 정보유출 분석 모듈로 전달하되, 상기 정보유출 분석 모듈로 전달할 트래픽의 상기 변환된 유일성을 가지는 IPv6주소에, 상기 전달할 트래픽이 상기 수신된 암호화된 트래픽을 복호화한 트래픽인지 아니면 상기 수신된 트래픽 그대로인지를 나타내는 암호화 여부 정보를 포함시켜 전달하는 단계;
    상기 정보유출 분석 모듈이, 상기 제1 통신모듈로부터 전달되는 트래픽을 미리 설정된 정책에 따라 분석하여 개인정보 또는 기밀정보가 포함되어 있는지 검사하고 제2 통신모듈로 전달하는 단계; 및
    제2 통신모듈이, 상기 정보유출 분석 모듈로부터 전달되는 트래픽을 상기 주소 변환 모듈로 전달하되, 해당 IPv6 주소에 포함된 상기 암호화 여부 정보를 확인하여, 상기 암호화 여부 정보가 상기 수신된 암호화된 트래픽을 복호화한 트래픽임을 나타내면 상기 전달되는 트래픽을 암호화하여 상기 주소 변환 모듈로 전달하고, 상기 암호화 여부 정보가 상기 수신된 트래픽 그대로임을 나타내면 상기 전달되는 트래픽을 그대로 상기 주소 변환 모듈로 전달하는 단계; 및
    상기 주소 변환 모듈이, 상기 제2 통신모듈로부터 전달되는 트래픽의 IPv6 주소를 상기 사설 IP 주소로 원복하는 단계를 포함하고,
    상기 유일성을 가지는 IPv6 주소는 상기 사설 IP 주소가 속한 사설 네트워크의 고유 식별자를 포함하고, 상기 고유 식별자 및 상기 암호화 여부 정보는 IPv6 주소 공간의 프리픽스 내에 포함되는, 동작 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 프리픽스는 상기 IPv6 주소 공간의 상위 48비트에 해당하는, 동작 방법.
  11. 삭제
  12. 제8항에 있어서,
    상기 고유 식별자는 상기 프리픽스에서 상위 소정 비트를 제외한 나머지 비트 중 일부에 포함되고, 상기 암호화 여부 정보는 상기 나머지 비트 중 다른 일부에 포함되는, 동작 방법.
  13. 제8항에 있어서,
    상기 수신되는 트래픽은 사설 네트워크로부터 수신되는 트래픽이고,
    상기 주소 변환 모듈이, 원복된 상기 사설 IP 주소를 공인 IP 주소로 변환하여 해당 트래픽을 인터넷으로 전송하는 단계를 더 포함하는, 동작 방법.
  14. 제8항에 있어서,
    상기 수신되는 트래픽은 인터넷으로부터 수신되는 트래픽이고,
    상기 주소 변환 모듈이, 원복된 상기 사설 IP 주소의 트래픽을 사설 네트워크로 전송하는 단계를 더 포함하는, 동작 방법.
KR1020180143112A 2018-11-20 2018-11-20 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법 KR102047342B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180143112A KR102047342B1 (ko) 2018-11-20 2018-11-20 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법
US16/202,624 US10693836B2 (en) 2018-11-20 2018-11-28 Data loss prevention system implemented on cloud and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180143112A KR102047342B1 (ko) 2018-11-20 2018-11-20 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법

Publications (1)

Publication Number Publication Date
KR102047342B1 true KR102047342B1 (ko) 2019-11-26

Family

ID=68731402

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180143112A KR102047342B1 (ko) 2018-11-20 2018-11-20 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법

Country Status (2)

Country Link
US (1) US10693836B2 (ko)
KR (1) KR102047342B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040943A (zh) * 2023-10-10 2023-11-10 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11962563B2 (en) * 2021-04-22 2024-04-16 Arris Enterprises Llc Enabling low latency traffic handling within IPv6 MAP-T environment using NAT
CN115514579B (zh) * 2022-11-09 2023-03-03 北京连星科技有限公司 基于IPv6地址映射流标签实现业务标识的方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140135079A (ko) * 2013-05-15 2014-11-25 (주)엔텔스 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법
KR101855632B1 (ko) * 2017-11-23 2018-05-04 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100451552B1 (ko) * 2002-01-08 2004-10-08 삼성전자주식회사 인터넷 프로토콜 주소 변환장치 및 이를 이용한 통신 방법
US8909812B2 (en) * 2009-06-03 2014-12-09 China Mobile Group Beijing Co., Ltd. Method and device for communication for host device with IPv4 application
CN102347993B (zh) * 2010-07-28 2014-03-26 中国移动通信集团公司 一种网络通信的方法和设备
US9460405B2 (en) * 2013-10-03 2016-10-04 Paypal, Inc. Systems and methods for cloud data loss prevention integration
US9225734B1 (en) * 2014-09-10 2015-12-29 Fortinet, Inc. Data leak protection in upper layer protocols

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140135079A (ko) * 2013-05-15 2014-11-25 (주)엔텔스 LTE 네트워크와 WLAN 사이에 단말의 IPSec 이동성을 제공하는 네트워크 시스템 및 단말의 IPSec 이동성을 제공하는 패킷전송방법
KR101855632B1 (ko) * 2017-11-23 2018-05-04 (주)소만사 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040943A (zh) * 2023-10-10 2023-11-10 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN117040943B (zh) * 2023-10-10 2023-12-26 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Also Published As

Publication number Publication date
US20200162420A1 (en) 2020-05-21
US10693836B2 (en) 2020-06-23

Similar Documents

Publication Publication Date Title
JP7182340B2 (ja) パブリック・ホスト・プラットフォームのためのデータ・サニタイズをするシステム、方法及びコンピュータ・プログラム
US10992654B2 (en) Secure WAN path selection at campus fabric edge
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
KR102047342B1 (ko) 클라우드 상에 구현되는 정보 유출 방지 시스템 및 그 동작 방법
US11582211B1 (en) Transmitting content to promote privacy
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
JP7194732B2 (ja) データ送信のための装置及び方法
US10841840B2 (en) Processing packets in a computer system
CN111787025A (zh) 加解密处理方法、装置、系统以及数据保护网关
Sodagudi et al. An approach to identify data leakage in secure communication
JP4933286B2 (ja) 暗号化パケット通信システム
US20190014089A1 (en) Data Security Protection Method and Apparatus
US20090228700A1 (en) Internet Gatekeeper Protocol
KR101855632B1 (ko) 클라우드 상에 구현되는 정보 유출 방지 시스템 및 방법
CN116501694A (zh) 数据存储方法、数据读取方法、电子设备和程序产品
US10686592B1 (en) System and method to provide a secure communication of information
CN116888924A (zh) 使用计数器模式加密和密钥的加密通信
KR20170060596A (ko) 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법
CN108809888B (zh) 一种基于安全模块的安全网络构建方法和系统
JP7321414B2 (ja) 送信制御方法、およびプログラム
JP3962050B2 (ja) パケット暗号化方法及びパケット復号化方法
KR20040046260A (ko) NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법
CN116980151A (zh) 用于地址加密的方法、电子设备和计算机程序产品
JP2007295273A (ja) メールサーバ装置

Legal Events

Date Code Title Description
GRNT Written decision to grant