KR102052035B1 - 디바이스의 정보 획득 장치 및 방법 - Google Patents

디바이스의 정보 획득 장치 및 방법 Download PDF

Info

Publication number
KR102052035B1
KR102052035B1 KR1020180010436A KR20180010436A KR102052035B1 KR 102052035 B1 KR102052035 B1 KR 102052035B1 KR 1020180010436 A KR1020180010436 A KR 1020180010436A KR 20180010436 A KR20180010436 A KR 20180010436A KR 102052035 B1 KR102052035 B1 KR 102052035B1
Authority
KR
South Korea
Prior art keywords
information
information acquisition
unit
obtaining
acquisition unit
Prior art date
Application number
KR1020180010436A
Other languages
English (en)
Other versions
KR20190091636A (ko
Inventor
박수현
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020180010436A priority Critical patent/KR102052035B1/ko
Priority to PCT/KR2019/000680 priority patent/WO2019146956A1/ko
Publication of KR20190091636A publication Critical patent/KR20190091636A/ko
Application granted granted Critical
Publication of KR102052035B1 publication Critical patent/KR102052035B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

일 실시예에 따른 정보 획득 장치는 디바이스를 모니터링하는 모니터링 디바이스와 통신을 수행하는 통신부와, 상기 디바이스에 할당된 제1 정보를 상기 모니터링 디바이스에게 요청하는 능동적(active) 정보 획득부와, 상기 모니터링 디바이스에 의해 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스에 할당된 제2 정보를 획득하는 수동적(passive) 정보 획득부와, 상기 요청에 따라 수신된 제1 정보 및 상기 획득된 제2 정보를 이용하여서 상기 디바이스에 대한 정보를 획득하는 디바이스 정보 획득부를 포함한다

Description

디바이스의 정보 획득 장치 및 방법{APPARATUS AND METHOD FOR OBTAINING INFORMATION OF DEVICE}
본 발명은 디바이스의 정보를 획득하는 장치 및 방법에 관한 것이다.
최근 사물 인터넷(IoT) 관련한 관심이 많아지면서 IoT 단말을 이용한 상용 서비스들이 제공되고 있다. 특히, 가정이나 기업과 같은 하나의 서브넷에 복수 개의 IoT 단말이 설치 및 이용되는 사례가 늘고 있다. 아울러, 이들 서브넷에는 PC 또는 스마트폰이나 스마트패드와 같은 스마트기기 등도 같이 연결되는 사례도 늘고 있다.
이에 따라 하나의 서브넷에 연결되어 있는 이러한 다양한 디바이스를 효율적으로 관리할 필요성이 대두되고 있는 실정이다. 이를 위해서는 디바이스에 대한 정보, 예컨대 디바이스의 종류(type), 디바이스에 설치된 운영체제의 종류 및 운영체제의 버전 등에 대한 정보가 효율적이면서도 정확하게 획득될 수 있어야 한다. 아울러, 이러한 디바이스의 정보를 기초로 각 디바이스에 대한 보안상 취약점이 파악되고, 보안상 취약점이 보완될 수 있어야 한다.
한국특허공개공보, 제 10-2017-0048748호 (2017.05.10. 공개)
이에, 본 발명의 해결하고자 하는 과제는 디바이스에 대한 정보, 예컨대 디바이스의 종류(type), 디바이스에 설치된 운영체제의 종류 및 운영체제의 버전 등에 대한 정보를 효율적이면서도 정확하게 획득하는 것에 있다.
또한, 이렇게 획득한 디바이스의 정보를 기초로 각 디바이스에 대한 보안상 취약점을 파악하고, 보안상 취약점에 대한 적절한 조치가 수행되도록 제안하는 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
일 실시예에 따른 정보 획득 장치는 디바이스를 모니터링하는 모니터링 디바이스와 통신을 수행하는 통신부와, 상기 디바이스에 할당된 제1 정보를 상기 모니터링 디바이스에게 요청하는 능동적(active) 정보 획득부와, 상기 모니터링 디바이스에 의해 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스에 할당된 제2 정보를 획득하는 수동적(passive) 정보 획득부와, 상기 요청에 따라 수신된 제1 정보 및 상기 획득된 제2 정보를 이용하여서 상기 디바이스에 대한 정보를 획득하는 디바이스 정보 획득부를 포함한다.
일 실시예에 따르면 다양한 종류의 디바이스에 대한 정보를 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합해서 파악할 수 있다. 아울러, 능동적으로 획득 가능한 정보가 사용자에 의해 변경이 된 경우에도 이의 변경을 탐지할 수 있으며 더 나아가서는 이를 수정할 수도 있다.
또한, 디바이스에 대해 파악한 이러한 정보들을 기초로 해당 디바이스에 대한 보안상 취약점이 파악될 수 있으며, 보안상 취약점에 대한 조치가 수행되도록 할 수 있다.
아울러, 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합하는 방식에 따라서 종래보다 신속하면서도 정확하게 정보를 획득하는 것이 가능하다.
도 1은 일 실시예에 따른 정보 획득 장치가 적용된 네트워크 시스템을 개념적으로 도시한 도면이다.
도 2는 도 1에 도시된 정보 획득 장치가 디바이스에 대한 정보를 획득하기 위해 이용하는 데이터의 종류 및 그 특성을 개념적으로 도시한 도면이다.
도 3은 도 1에 도시된 정보 획득 장치의 구성을 개념적으로 도시한 도면이다.
도 4는 도 3에 도시된 데이터베이스의 구성을 개념적으로 도시한 도면이다.
도 5는 도 1에 도시된 정보 획득 장치가 디바이스에 대한 정보를 획득하는 절차의 제1 예시를 도시한 도면이다.
도 6은 도 1에 도시된 정보 획득 장치가 디바이스에 대한 정보를 획득하는 절차의 제2 예시를 도시한 도면이다.
도 7은 도 1에 도시된 정보 획득 장치가 디바이스에 대한 정보를 획득하는 절차의 제3 예시를 도시한 도면이다.
도 8은 도 1에 도시된 정보 획득 장치가 디바이스에 대한 정보를 획득한 뒤 이를 기초로 해당 디바이스에 대한 보안상 취약점을 파악하는 절차를 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 일 실시예에 따른 정보 획득 장치(100)가 적용된 네트워크 시스템(10)의 구성을 개념적으로 도시한 도면이다. 다만, 도 1은 예시적인 것에 불과하므로, 정보 획득 장치(100)가 도 1에 도시된 네트워크 시스템(10)에만 적용되는 것으로 한정해석되는 것은 아니다.
도 1을 참조하면, 네트워크 시스템(10)은 정보 획득 장치(100), 적어도 하나의 디바이스(200), 게이트웨이(300) 및 모니터링 디바이스(400)를 포함한다. 아울러, 정보 획득 장치(100)는 게이트웨이(300)와 네트워크(500)를 통해 연결된다.
디바이스(200)는 사물 인터넷(Internet Of Things, IoT) 단말, PC, 스마트폰이나 스마트패드와 같은 스마트기기 또는 그 이외의 다양한 단말 장치(예컨대 종류가 파악되지 않은 미지의 디바이스 등)를 포함할 수 있다. 이러한 디바이스(200)는 적어도 한 개가 마련될 수 있다.
각각의 디바이스(200)에는 호스트명(hostname)과 매체 액세스 제어 주소(media access control address, 이하 MAC 주소라고 지칭)가 할당될 수 있으나, 경우에 따라 호스트명과 MAC 주소 중 적어도 하나가 할당되어 있지 않을 수도 있다.
게이트웨이(300)는 디바이스(200) 각각을 네트워크(500)에 연결시키는 장치를 지칭하며, 예컨대 인터넷 공유기일 수 있다. 어느 하나의 게이트웨이(300)에 연결된 디바이스(200)는 해당 게이트웨이(300)로 이루어지는 서브넷에 포함될 수 있다.
모니터링 디바이스(400)는 디바이스(200)와 게이트웨이(300) 사이에 설치되어서, 디바이스(200)와 관련된 패킷을 모니터링한다. 이러한 모니터링 디바이스(400)는 디바이스와 관련된 패킷을 모니터링하기 위한 패킷 스니핑(sniffing) 모듈을 포함할 수 있다.
모니터링 디바이스(400)는 모니터링된 패킷을 정보 획득 장치(100)에게 송신한다. 이 때, 모니터링 디바이스(400)는 정보 획득 장치(100)로부터 요청을 받으면 해당 패킷을 송신할 수 있고, 이와 달리 별도의 요청이 없더라도 모니터링 디바이스(400) 스스로가 주기적으로 또는 소정의 조건의 충족 시에 해당 패킷을 정보 획득 장치(100)에게 송신할 수도 있다.
모니터링 디바이스(400)는 소정의 패킷을 디바이스(200) 또는 게이트웨이(300)에게 송신한다. 이 때 송신되는 패킷은 디바이스(200)나 게이트웨이(300)가 보안상 취약점을 갖고 있는지를 테스트하기 위한, 공격 목적의 패킷일 수 있으며, 이러한 패킷은 정보 획득 장치(100)의 제어에 따라 생성된 것일 수 있다. 또한, 모니터링 디바이스(400)는 정보 획득 장치(100)에게 네트워크를 통해 게이트웨이(300)에게 소정의 패킷을 송신하도록 요청할 수도 있다. 이 때 정보 획득 장치(100)로부터 게이트웨이(300)로 송신되는 패킷 또한 게이트웨이(300)가 보안상 취약점을 갖고 있는지를 테스트하기 위한, 공격 목적의 패킷일 수 있다. 이에 대해서는 도 8에서 보다 자세하게 살펴보기로 한다.
네트워크(500)는 유선망 또는 무선망과 같은 일반적인 공용 인터넷 망일 수 있다.
정보 획득 장치(100)는 모니터링 디바이스(400)로부터 디바이스(200)에 대한 패킷을 수신한 뒤, 해당 패킷에 포함된 다양한 데이터를 이용하여서 디바이스(200)에 대한 정보를 획득한다. 이러한 정보 획득 장치(100)는 서버와 같은 컴퓨터 등에서 구현 가능하다. 이하에서는 정보 획득 장치(100)가 디바이스(200)에 대한 정보를 획득하기 위해 이용하는 이러한 다양한 데이터의 종류 및 그 특성에 대해 도 2를 참조하여 살펴보기로 한다.
도 2는 도 1에 도시된 정보 획득 장치(100)가 디바이스(200)에 대한 정보를 획득하기 위해 이용하는 데이터의 종류 및 그 특성을 개념적으로 도시한 도면이다.
도 2를 참조하면, 디바이스(200)에 대한 정보 획득을 위해, 정보 획득 장치(100)는 정적(static) 데이터와 동적(dynamic) 데이터를 조합하여 이용할 수 있다. 정적 데이터는 디바이스(200) 자체에 할당되어 있는 값인 반면, 동적 데이터는 디바이스(200)가 통신을 할 때 패킷에 반영되는 값이다. 이러한 정적 데이터는 디바이스(200) 자체에 할당된 값을 그대로 가져오는 것이기 때문에 데이터의 획득 내지 분석에 상대적으로 시간이 오래 소요되지 않으며, 데이터의 신뢰성 또한 상대적으로 높은 편이다. 반면, 동적 데이터는 디바이스(200)가 송수신하는 패킷에 반영되는 값이므로 패킷에 대한 지속적인 모니터링이 선결되어야만 획득 가능하며, 따라서 데이터의 획득 내지 분석에 상대적으로 시간이 오래 소요되며, 데이터의 신뢰성 또한 상대적으로 낮은 편이다.
이러한 정적 데이터는 호스트명(hostname)와 MAC 주소를 포함할 수 있고, 동적 데이터는 TCP 시그니처(signature), 서비스 시그니처 및 DHCP 시그니처를 포함할 수 있으며, 다만 정적 데이터와 동적 데이터가 예시한 것들만을 포함하는 것으로 한정 해석되는 것은 아니다.
이 중 TCP 시그니처는 디바이스(200)가 TCP/IP 통신할 때 주고받는 패킷의 페이로드(payload)를 분석함으로써 획득 가능한 데이터를 의미한다. 예컨대, TCP 시그니처에 따르면 최초 세션 생성 시의 SYN 패킷의 윈도우 사이즈, 최대 세그먼트 사이즈(maximum segment size, MSS)나 그 이후 패킷의 fragmentation bit, TTL 값 또는 TCP 옵션값 등이 여기에 포함될 수 있으나 이에 한정되지 않으며, 이러한 TCP 시그니처는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
서비스 시그니처는 서비스 프로토콜을 이용하여 획득 가능한 데이터를 의미한다. 서비스 시그니처는 각각의 디바이스(200)의 특색에 맞는 열림 포트 탐지에 용이하다. 이러한 서비스 시그니처 자체는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
DHCP 시그니처는 디바이스(200)가 IP를 최초 할당받거나 또는 그 이후 IP 주소가 만료되어 갱신되는 시점에 확인 가능한 데이터를 의미한다. 이러한 DHCP 시그니처 자체는 이미 공지된 기술이므로 이에 대한 추가적인 설명은 생략하기로 한다.
한편, 전술한 호스트명과 서비스 시그니처는 정보 획득 장치(100)의 요청에 따라 모니터링 디바이스(400)가 디바이스(200)를 스캔을 하여 획득 가능한 데이터라는 점에서, 능동적(active)으로 획득 가능한 데이터로 분류될 수 있다. 예컨대, 모니터링 디바이스(400)는 호스트명을 획득하기 위해 arp (address resolution protocol) 또는 dns (domain name system)를 디바이스(200)에 요청(active한 액션)할 수 있다. 아울러, 모니터링 디바이스(400)는 서비스 시그니처를 획득하기 위해 디바이스(200)에 포트 스캔 방식(active한 액션)을 적용할 수 있다.
이와 달리, TCP 시그니처 및 DHCP 시그니처는 해당 디바이스가 통신을 하는 과정에서 주고받는 패킷을 분석해서 획득 가능한 데이터라는 점에서, 수동적(passive)으로 획득 가능한 데이터로 분류될 수 있다.
아울러, MAC 주소는 필요한 때에 언제든지 획득 가능한 데이터라는 점에서 능동적으로 획득 가능한 데이터로 분류될 수 있지만, 모니터링 디바이스(400)가 호스트명을 획득하는 과정에서 자동으로 획득 가능하고 또한 전술한 TCP 시그니처나 DHCP 시그니처를 획득하는 과정에서도 자동으로 획득 가능하다는 점에서 수동적으로 획득 가능한 데이터로 분류될 수도 있다. 이하에서 MAC 주소는 수동적으로 획득 가능한 데이터로 분류하는 것을 전제로 하되, 실시예에 따라서 MAC 주소가 능동적으로 획득 가능한 데이터로 분류되는 것이 배제되는 것은 아니다.
일 실시예에 따른 정보 획득 장치(100)는 전술한 능동적으로 획득 가능한 데이터와 수동적으로 획득 가능한 데이터를 다양한 방식으로 '조합'하여서 디바이스(200)에 대한 정보를 보다 정확하면서도 신속하게 획득한다. 아울러, 정보 획득 장치(100)는 이와 같이 획득된 정보를 기초로 디바이스(200)에 대한 보안상 취약점을 파악하고, 그에 따른 조치가 취해지도록 제어할 수 있다. 이하에서는 이러한 정보 획득 장치(100)에 대해 보다 자세하게 살펴보기로 한다.
도 3은 도 1에 도시된 정보 획득 장치(100)의 구성을 개념적으로 도시한 도면이고, 도 4는 도 3에 도시된 데이터베이스(150)의 구성을 개념적으로 도시한 도면이다. 도 3과 4는 예시적인 도면에 불과하므로, 정보 획득 장치(100) 및 그에 속하는 데이터베이스(150)의 구성이 도 3과 도 4에 도시된 것으로 한정해석되는 것은 아니다.
먼저, 도 3을 참조하면 정보 획득 장치(100)는 통신부(110), 능동적 정보 획득부(120), 수동적 정보 획득부(130) 및 디바이스 정보 획득부(140)를 포함하며, 실시예에 따라서 데이터베이스(150), 변경 탐지부(160), 피드백부(170), 보안 테스트부(180) 및 알림부(190)를 더 포함할 수 있다. 아울러, 도 4를 참조하면 데이터베이스(150)는 복수 개의 세부 데이터베이스들(151 내지 156)을 포함할 수 있는데, 이들 복수 개의 세부 데이터베이스들(151 내지 156)은 두 개의 카테고리중 어느 하나로 분류 가능하다. 하나의 카테고리는 디바이스(200)에 대한 정보를 파악하는데 사용되는 데이터베이스들을 포함할 수 있으며, 예컨대 호스트명 데이터베이스(151), MAC 주소 데이터베이스(152), TCP 핑거프린트 데이터베이스(153), 오픈 포트 프로토콜 데이터베이스(154) 및 DHCP 핑거프린트 데이터베이스(155) 를 포함할 수 있다. 다른 하나의 카테고리는 앞서 설명한 데이터베이스들(151 내지 155)의 정보를 이용하여서 디바이스(200)에 대해 파악된 전술한 정보(예컨대 디바이스의 종류, 디바이스에 설치된 운영체제의 종류 및 운영체제의 버전)를 토대로, 해당 디바이스(200)나 디바이스의 운영체제에에 존재하는 보안상 취약점을 갖는 취약점 데이터베이스(156)를 포함할 수 있다. 도 4에 도시된 각각의 데이터베이스들(151 내지 156)에 대해서는 후술하기로 한다.
통신부(110)는 네트워크(500)를 통해 통신을 수행하는 유선 내지 무선 통신 모듈을 포함한다. 통신부(110)는 모니터링 디바이스(400) 또는 각각의 디바이스(200)과 게이트웨이(300)를 통해 연결될 수 있다.
다음으로, 능동적 정보 획득부(120), 수동적 정보 획득부(130), 디바이스 정보 획득부(140), 변경 탐지부(160) 및 보안 테스트부(180)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 실행하는 마이크로프로세서에 의해 구현 가능하다.
이 중, 능동적 정보 획득부(120)는 디바이스(200)에 할당된 제1 정보를 모니터링 디바이스(400)에게 요청한다. 이하에서 제1 정보는 전술한 능동적으로 획득 가능한 정보를 나타낸다.
수동적 정보 획득부(130)는 디바이스(200)가 통신을 하는 과정에서 주고받는 패킷을 분석해서 제2 정보를 획득한다. 수동적 정보 획득부(130)에 의해 분석의 대상이 되는 패킷은 모니터링 디바이스(400)에 의해 모니터링된 것일 수 있다. 아울러, 이하에서 제2 정보는 전술한 수동적으로 획득 가능한 정보를 나타낸다.
여기서, 실시예에 따라 능동적 정보 획득부(120)는 제1 정보로서 호스트명만을 요청할 수 있고, 이와 달리 제1 정보로서 호스트명과 서비스 시그니처를 순차적으로 또는 동시에 요청할 수도 있다. 아울러, 실시예에 따라 수동적 정보 획득부(130)는 제2 정보로서 MAC 주소만을 획득할 수 있고, 이와 달리 TCP 시그니처나 DHCP 시그니처를 소정의 순서에 따라 요청할 수도 있다. 능동적 정보 획득부(120)와 수동적 정보 획득부(130)가 각각 제1 정보와 제2 정보로서 어떠한 것을 어떠한 순서로 요청하는지에 대해서는 도 5 내지 7에서 보다 자세하게 살펴보기로 한다.
디바이스 정보 획득부(140)는 디바이스(200)에 대한 정보를 획득한다. 디바이스(200)에 대한 정보는 예컨대 디바이스(200)의 종류(type)에 대한 정보, 디바이스(200)에 설치된 운영체제의 종류에 대한 정보 및 운영체제의 버전에 대한 정보 중 적어도 하나를 포함할 수 있으나 이에 한정되는 것은 아니다. 이 중에서, 디바이스의 종류는 예컨대 PC, 스마트 디바이스, 사물 인터넷 단말 또는 기타(식별이 불가능한 디바이스 등)를 포함할 수 있다. 아울러, 운영체제의 종류는 예컨대 안드로이드, IOS, 윈도우즈, 리눅스 등을 포함할 수 있다. 또한, 운영체제의 버전은 예컨대 각각의 운영체제마다의 버전, 예컨대 안드로이드 4.1 안드로이드 5.0, IOS 8 이나 9 등과 같은 것일 수 있다. 여기서, 디바이스의 종류나 운영체제의 종류 및 운영체제의 버전은 예시적인 것에 불과하다.
디바이스 정보 획득부(140)는 디바이스(200)에 대한 정보를 획득하기 위해, 전술한 제1 정보와 제2 정보를 조합한다. 조합하는 이유는, 제1 정보와 제2 정보 중 어느 하나만으로는 디바이스(200)에 대한 전술한 정보(디바이스(200)의 종류(type)에 대한 정보, 디바이스(200)에 설치된 운영체제의 종류에 대한 정보 및 운영체제의 버전에 대한 정보)를 모두 얻을 수 없는 경우가 있을 수 있기 때문이다. 즉, 디바이스 정보 획득부(140)는 디바이스(200)에 대한 정보 중 일부를 제1 정보로부터 획득하고 나머지는 제2 정보로부터 획득할 수 있다.
여기서, 제2 정보가 MAC 주소인 경우, 디바이스 정보 획득부(140)가 도 4에 도시된 MAC 주소 데이터베이스(152)를 이용하여서 MAC 주소로부터 디바이스(200)에 대한 정보를 획득하는 방법에 대해 살펴보기로 한다.
도 4에 도시된 MAC 주소 데이터베이스(152)는 MAC 주소의 값을 복수 개의 구간 중 어느 하나의 구간에 속하는 것으로 분류하는 분류 기준을 미리 정의하여서 저장하고 있다. 아울러, 이러한 복수 개의 구간 각각에는 해당 구간 내의 MAC 주소를 갖는 디바이스가 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중 적어도 하나가 미리 정의 내지 저장되어 있다. 예컨대, 제1 디바이스의 MAC 주소가 특정 범위 사이에서의 값을 갖는 경우, 이러한 MAC 주소의 값을 갖는 디바이스는 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중에서 적어도 하나가 이러한 MAC 주소 데이터베이스(152)에 미리 정의 내지 저장되어 있을 수 있다. 여기서, MAC 주소는 16진수의 6자리 숫자(앞의 3자리는 OUI, 뒤의 3자리는 UID라고 지칭)로 구성된다. 이 때, 분류 기준에 따르면 OUI와 UID를 모두 이용하여서 MAC 주소를 분류하는 제1 예가 있거나, UID만을 이용하여서 MAC 주소를 분류하는 제2 예가 있을 수 있다. OUI를 통해서는 디바이스(200) 또는 디바이스(200)에 포함된 통신 모듈의 벤더에 대한 정보가 확보될 수 있고, UID를 통해서는 전술한 디바이스(200)에 대한 정보들, 예컨대 디바이스의 종류, 디바이스에 설치된 OS의 종류나 OS의 버전 등에 대한 정보가 확보될 수 있다.
제2 정보로서 MAC 주소가 수동적 정보 획득부(130)에 의해 획득되면, 디바이스 정보 획득부(140)는 MAC 주소 데이터베이스(152)에 저장된 전술한 분류 기준에 맞춰서 MAC 주소를 어느 하나의 구간으로 분류하고, 해당 분류된 구간에 할당된 디바이스의 정보를 획득할 수 있다.
한편, MAC 주소 데이터베이스(152)의 분류 기준은 갱신 가능하다. 예컨대, 제1 정보로서 호스트명 및 서비스 시그니처 중 적어도 하나가 채용되고 제2 정보로서 TCP 시그니처 및 DHCP 시그니처 중 적어도 하나가 채용된 경우이면서 이러한 제1 정보와 제2 정보를 조합하여서 디바이스(200)에 대한 정보가 획득되면, MAC 주소 데이터베이스(152)는 해당 디바이스(200)에 할당된 MAC 주소 및 해당 디바이스(200)에 대한 정보를 MAC 주소 데이터베이스(152)에 업데이트시키고, 이로써 분류 기준은 갱신될 수 있다. 이와 같이 분류 기준이 갱신될 경우, MAC 주소를 분류하는 분류 기준이 세분화 내지 정교화될 수 있다. 따라서, 보다 적은 양의 정보만으로도, 예컨대 MAC 주소만이 획득된 상황에서도 디바이스(200)에 대한 정보가 신속 및 정확하게 획득될 수 있다.
다시 도 3을 참조하면, 데이터베이스(150)는 데이터를 저장하는 메모리에 의해 구현 가능하다. 이러한 데이터베이스(150)에 대한 상세한 구성은 도 4에 도시되어 있다..이 중 취약점 데이터베이스(156)는 도 3에 도시된 보안 테스트부(180)를 설명하면서 같이 설명하기로 한다.
호스트명 데이터베이스(151)는 능동적 정보 획득부(120)가 획득한 호스트명을 복수 개의 카테고리 중 어느 하나의 카테고리에 속하는 것으로 분류하는 분류 기준을 미리 정의하여서 저장하고 있다. 아울러, 이러한 복수 개의 카테고리 각각에는 해당 카테고리에 속하는 호스트명을 디바이스가 어떠한 종류의 디바이스인지, 어떠한 종류의 운영체제가 설치되어 있는지 및 해당 운영체제의 버전이 무엇인지 중 적어도 하나가 미리 정의 내지 저장되어 있다. 이는, TCP 핑거프린트 데이터베이스(153), 오픈 포트 프로토콜 데이터베이스(154) 및 DHCP 핑거프린트 데이터베이스(155)에 대해서도 모두 마찬가지인바, 이에 대한 설명은 중복되므로 생략하기로 한다.
다시 도 3을 참조하면, 변경 탐지부(160)는 제2 정보를 기준으로 제1 정보가 변경되었는지 여부를 판단한다. 이 때의 제1 정보는 예컨대 호스트명일 수 있다. 보다 구체적으로 살펴보면, 호스트명은 디바이스(200)의 소유자 내지 사용자에 의해 임의로 변경 가능하다. 예컨대 아이폰의 사용자는 자신의 아이폰의 호스트명을 갤럭시S8로 변경할 수 있으며, PC의 사용자는 자신의 PC의 호스트명을 아이폰X로 변경할 수 있다. 이 경우, 디바이스 정보 획득부(140)가 제1 정보인 호스트명으로부터 획득한 디바이스에 대한 정보는 제2 정보로부터 획득한 디바이스에 대한 정보와 상이할 수 있다.
변경 탐지부(160)는 이러한 변경을 탐지하기 위해, 제1 정보로부터 획득된 디바이스에 대한 정보와 제2 정보로부터 획득된 디바이스에 대한 정보를 서로 비교한다. 만약 동일한 종류의 디바이스에 대한 정보에 대해 제1 정보가 가리키는 정보와 제2 정보가 가리키는 정보가 서로 상이한 경우, 변경 탐지부(160)는 제1 정보가 변경되었다고 판단할 수 있다. 이 경우 디바이스 정보 획득부(140)는 제1 정보는 배제한 채 제2 정보만을 이용하여서 디바이스(200)에 대한 정보를 획득할 수 있다.
디바이스 정보 획득부(140)에 의해서는 디바이스(200)에 대한 정보가 획득되지 못한 경우, 피드백부(170)는 정보 획득 장치(100)를 사용하는 복수의 사용자들로부터 해당 디바이스(200)에 대한 피드백을 입력받은 뒤, 이러한 피드백을 기초로 해당 디바이스(200)에 대한 정보를 획득하는 구성이다. 피드백은 해당 디바이스(200)에 대해서, 전술한 사용자로부터 획득된, 디바이스(200)에 대한 정보이다.
보다 자세하게 살펴보면, 피드백부(170)는 도면에는 도시되지 않았지만 정보 저장부와 판단부를 포함할 수 있으며, 또한 복수의 사용자들로부터 피드백을 입력받는 입력 포트를 포함할 수 있다. 정보 저장부는 정보가 획득되지 않은 디바이스(200)에 대한 제1 정보와 제2 정보, 그리고 복수의 사용자들로부터 입력받은 피드백을 저장한다. 판단부는 복수의 사용자들로부터 해당 디바이스(200)에 대해 입력받은 피드백의 개수를 카운팅하여서, 이러한 개수가 소정의 기준을 초과하는지를 판단한다. 만약 입력받은 피드백의 개수가 소정의 기준을 초과할 경우, 디바이스 정보 획득부(140)는 해당 디바이스(200)에 대한 정보를 이러한 피드백을 이용하여서 획득하며, 전술한 제1 정보와 제2 정보 및 피드백은 데이터베이스(150)에 포함된 복수 개의 세부 데이터베이스들(151 내지 155) 중 어느 하나에 부가될 수 있다. 즉, 사용자로부터의 피드백에 의해 데이터베이스(150)의 갱신 내지 학습 과정이 수행될 수 있으며, 이를 통해 보다 정교하면서도 신속한 정보 획득이 가능하게 된다. 그러나, 소정의 시간이 경과될 때까지 피드백의 개수가 소정의 기준을 초과하지 못할 경우, 디바이스 정보 획득부(140)는 해당 디바이스(200)에 대한 정보는 공란으로 남겨둘 수 있다.
즉, 일 실시예에 따르면, 디바이스(200)에 대한 정보가 데이터베이스(150)에 저장된 정보만으로 획득되지 않는다고 하여도 사용자로부터의 피드백이 신뢰할 수 있을 수준까지 쌓이게 되면 이러한 피드백을 통해 디바이스(200)에 대한 정보 획득이 가능하게 된다. 뿐만 아니라, 이와 같은 피드백이 데이터베이스(150)에 추가 내지 부가될 경우, 향후 그에 상응하는 디바이스(200)에 대한 정보 요청이 있으면 기존보다 보다 신속하면서도 정교하고 정확한 정보 제공이 가능해질 수 있다.
보안 테스트부(180)는 디바이스(200)에 대한 보안상 취약점을 기초로, 해당 해당 디바이스(200)에게 보안 공격을 시도하도록 제어할 수 있다. 이 때 제어의 대상은 모니터링 디바이스(400)일 수 있다. 이를 위해, 보안 테스트부(180)는 디바이스(200)에 대한 보안상 취약점을 취약점 데이터베이스(156)를 이용하여 파악할 수 있다. 보다 자세하게 살펴보면, 취약점 데이터베이스(156)는 특정 디바이스(200)가 어떤 종류이면서 해당 특정 디바이스(200)에 어떠한 종류의 운영체제가 어떤 버전으로 설치되어있는지에 따라, 각각의 경우에 대한 보안상 취약점의 목록을 저장한다. 예컨대, 디바이스가 아이폰이면서 OS가 iOS5인 경우, 디바이스가 IoT이면서 OS가 WinCE인 경우와 같이 디바이스의 정보가 주어지면, 각각의 정보에 따라 해당 디바이스에 대한 취약점 목록이 취약점 데이터베이스(156)를 통해 파악될 수 있다. 디바이스 정보 획득부(140)가 디바이스(200)에 대한 정보를 획득하면, 보안 테스트부(180)는 이러한 취약점 데이터베이스(156)를 이용하여서, 해당 디바이스(200)에 대한 보안상 취약점을 획득한다. 이 후, 보안 테스트부(180)는 이러한 보안상 취약점을 기초로 모니터링 디바이스(400)가 해당 디바이스(200)에게 보안 공격을 시도하도록 명령할 수 있다(내부 스캔).
여기서, 취약점 데이터베이스(156)는 게이트웨이(300)에 대한 보안상 취약점을 추가적으로 저장할 수 있고, 이에 따라 보안 테스트부(180)는 디바이스(200) 뿐 아니라 게이트웨이(300)에 대해서도 보안 공격이 시도되도록 모니터링 디바이스(400)를 제어할 수 있다(내부 스캔). 예컨대, 취약점 데이터베이스(156)를 통해 게이트웨이(300)에 대한 보안 암호화의 등급이나 게이트웨이(300)에 접속 가능한 ID/PW의 보안 정도 등이 파악되면, 이를 기초로 보안 테스트부(180)는 모니터링 디바이스(400)가 게이트웨이(300)에 대해 보안 공격을 시도하도록 명령할 수 있다.
이와 달리, 보안 테스트부(180)는 네트워크(500)를 통해 게이트웨이(300)에 대한 보안 공격을 직접 시도할 수도 있다(외부 스캔).
알림부(190)는 보안 테스트부(180)에 의해 보안 공격이 시도된 결과, 보안성에 문제가 있다고 판단된 경우 그에 따른 조치가 취해지도록 한다. 예컨대, 알림부(190)는 해당 디바이스(200)의 사용자에게 보안성에 문제가 있다고 알리거나 펌웨어를 업데이트하도록 알릴 수 있다. 또는 알림부(190)는 해당 디바이스(200)에게 가상 패치가 제공되도록 하거나, 해당 보안 공격이 방화벽 탐지 패턴으로 등록되도록 할 수도 있다.
이상에서 살펴본 바와 같이, 일 실시예에 따르면 다양한 종류의 디바이스에 대한 정보를 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합해서 파악할 수 있다. 아울러, 능동적으로 획득 가능한 정보가 사용자에 의해 변경이 된 경우에도 이의 변경을 탐지할 수 있으며 더 나아가서는 이를 수정할 수도 있다.
또한, 디바이스에 대해 파악한 이러한 정보들을 기초로 해당 디바이스에 대한 보안상 취약점이 파악될 수 있으며, 보안상 취약점에 대한 조치 또한 일 실시예에 따라 수행되도록 할 수 있다.
아울러, 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합하는 방식에 따라서 종래보다 신속하면서도 정확하게 정보를 획득하는 것이 가능한데, 이에 대해서는 도 5 내지 7을 참조로 보다 자세하게 살펴보기로 한다.
도 5는 도 1에 도시된 정보 획득 장치(100)가 능동적으로 획득 가능한 제1 정보와 수동적으로 획득 가능한 제2 정보를 조합하여서 디바이스(200)에 대한 정보를 획득하는 절차에 대한 제1 예시를 도시하고 있다. 다만, 도 5는 예시적인 것에 불과하므로, 본 발명의 사상이 도 5에 도시된 것으로 한정 해석되는 것은 아니다.
도 5를 참조하면, 능동적 정보 획득부(120)는 제1 정보로서 호스트명을 획득하고(S100), 수동적 정보 획득부(130)는 제2 정보로서 MAC 주소를 획득한다(S101). 여기서, 호스트명과 MAC 주소는 동시에 또는 순차적으로 획득 가능하다. 예컨대 능동적 정보 획득부(120)가 모니터링 디바이스(400)에게 arp 패킷을 요청하였고 그에 따라 패킷이 수신된 경우, 능동적 정보 획득부(120)는 이에 따라 수신된 패킷으로부터 호스트명을 획득할 수 있고, 수동적 정보 획득부(130)는 전술한 수신된 패킷 또는 별도의 과정으로부터 수신된 패킷으로부터 MAC 주소를 획득할 수 있다.
다음으로, 디바이스 정보 획득부(140)는 호스트명과 MAC 주소를 조합하여서 디바이스(200)에 대한 정보가 모두 획득되었는지를 판단한다(S110). 만약 디바이스(200)에 대한 정보가 모두 획득되면, 예컨대 디바이스의 종류에 대한 정보, 디바이스에 설치된 운영체제에 대한 정보 및 운영체제의 버전에 대한 정보가 모두 획득되면, 해당 디바이스(200)의 호스트명 및 해당 디바이스(200)의 MAC 주소는 MAC 주소 데이터베이스(152)에 업데이트될 수 있고(S111), 그 후 디바이스(200)에 대한 정보 획득 절차는 종료될 수 있다.
그러나, 호스트명과 MAC 주소로부터는 디바이스(200)에 대한 정보가 획득되지 않을 수도 있다. 이 경우 수동적 정보 획득부(130)가 TCP 시그니처를 획득하는 과정(S120), 능동적 정보 획득부(120)가 서비스 시그니처를 획득하는 과정(S140) 및 수동적 정보 획득부(130)가 DHCP 시그니처를 획득하는 과정(S160)이 디바이스에(200)에 대한 모든 정보가 획득될 때까지 수행될 수 있으며, 모든 정보가 획득되면 MAC 주소 데이터베이스(152)가 갱신될 수 있다(S111). 그러나, 전술한 과정 S120, S140 및 S160이 수행되었음에도 불구하고 디바이스(200)에 대한 정보가 획득되지 않았으면(S170)
피드백부(170)는 전술한 정보들, 즉 호스트명, MAC 주소, TCP 시그니처, 서비스 시그니처 및 DHCP 시그니처를 저장한 뒤 정보 획득 장치(100)의 복수의 사용자들로부터 피드백을 입력받는다(S180). 만약 입력받은 피드백의 개수가 소정의 기준을 초과하였다면(S190), 디바이스 정보 획득부(140)는 이러한 피드백을 기초로 해당 디바이스(200)에 대한 정보를 획득한다(S200). 그러나, 입력받은 피드백의 개수가 소정의 기준을 초과하지 않았다면((S190), 추가적으로 피드백이 더 입력될 때까지 대기할 수 있으며, 만약 소정의 기간 동안 추가적으로 피드백이 입력되지 않으면 디바이스 정보 획득부(140)는 해당 디바이스(200)에 대한 정보를 공란으로 남겨둘 수도 있다.
도 6은 도 1에 도시된 정보 획득 장치(100)가 능동적으로 획득 가능한 제1 정보와 수동적으로 획득 가능한 제2 정보를 조합하여서 디바이스(200)에 대한 정보를 획득하는 절차에 대한 제2 예시를 도시하고 있다. 다만, 도 6은 예시적인 것에 불과하므로, 본 발명의 사상이 도 6에 도시된 것으로 한정 해석되는 것은 아니다. 아울러, 도 6에 도시된 절차는 도 5에 도시된 절차 중 제1 정보와 제2 정보로서 어떠한 것들을 채용하는지만 상이하며 나머지는 동일하므로, 도 6에서는 제1 정보와 제2 정보로서 어떠한 것들이 채용하는지만 도시하고 있으며, 이에 따라 도 6에서는 도 5에 설명된 것들을 원용하고 자세한 설명은 생략하기로 한다. 아울러, 이는 도 7에서도 마찬가지이다.
도 6을 참조하면, 호스트명을 획득하는 과정(S210), 서비스 시그니처를 획득하는 과정(S211), MAC 주소를 획득하는 과정(S213), TCP 시그니처를 획득하는 과정(S213) 및 DHCP 시그니처를 획득하는 과정(S214)이 디바이스(200)에 대한 정보가 획득될 때까지 순차적으로 수행될 수 있다. 전술한 단계 S210 내지 S214의 수행 중 디바이스(200)에 대한 정보가 특정 단계에서 획득되면 이후의 절차는 수행되지 않으면서 종료될 수 있지만, 디바이스(200)에 대한 정보가 획득되지 않으면 도 5에 도시된 절차 S170 내지 S200이 수행될 수 있다.
도 7은 도 1에 도시된 정보 획득 장치(100)가 능동적으로 획득 가능한 제1 정보와 수동적으로 획득 가능한 제2 정보를 조합하여서 디바이스(200)에 대한 정보를 획득하는 절차에 대한 제3 예시를 도시하고 있다. 다만, 도 7은 예시적인 것에 불과하므로, 본 발명의 사상이 도 7에 도시된 것으로 한정 해석되는 것은 아니다.
도 7을 참조하면, DHCP 시그니처를 획득하는 과정(S300), 호스트명을 획득하는 과정(S301), 서비스 시그니처를 획득하는 과정(S302), MAC 주소를 획득하는 과정(S303) 및 TCP 시그니처를 획득하는 과정(S304)를 획득하는 과정이 디바이스(200)에 대한 정보가 획득될 때까지 순차적으로 수행될 수 있다. 전술한 단계 S300 내지 S304의 수행 중 디바이스(200)에 대한 정보가 특정 단계에서 획득되면 이후의 절차는 수행되지 않으면서 종료될 수 있지만, 디바이스(200)에 대한 정보가 획득되지 않으면 도 5에 도시된 절차 S170 내지 S200이 수행될 수 있다.
도 8은 일 실시예에 따른 정보 획득 장치(100)가 디바이스(200)에 대한 보안성을 테스트하는 과정을 도시하고 있다. 다만 도 8은 예시적인 것에 불과하므로, 본 발명의 사상이 도 8에 도시된 것으로 한정해석되지는 않는다.
도 8을 참조하면, 정보 획득 장치(100)는 디바이스(200) 에 대한 정보를 획득한다(S400).
보안 테스트부(180)는 이러한 디바이스(200)에 대한 정보를 기초로 해당 디바이스(200)에게 보안 공격이 시도되도록 제어할 수 있다(S410). 이 때 제어의 대상은 모니터링 디바이스(400)일 수 있다. 이를 위해, 보안 테스트부(180)는 디바이스(200)에 대한 보안상 취약점을 취약점 데이터베이스(156)를 이용하여 파악할 수 있다. 보다 자세하게 살펴보면, 취약점 데이터베이스(156)는 디바이스의 종류에 따른 보안상 취약점, 디바이스에 설치된 운영체제별 보안상 취약점 및 운영체제의 버전별 보안상 취약점 중 적어도 하나를 저장한다. 디바이스 정보 획득부(140)가 디바이스(200)에 대한 정보를 획득하면, 보안 테스트부(180)는 취약점 데이터베이스(156)를 이용하여서, 해당 디바이스(200)에 대한 보안상 취약점을 획득한다. 이 후, 보안 테스트부(180)는 이러한 보안상 취약점을 기초로 모니터링 디바이스(400)가 해당 디바이스(200)에게 보안 공격을 시도하도록 명령할 수 있다(S411).
여기서, 취약점 데이터베이스(156)는 게이트웨이(300)에 대한 보안상 취약점을 추가적으로 저장할 수 있고, 이에 따라 보안 테스트부(180)는 게이트웨이(300)에 대해서도 보안 공격이 시도되도록 모니터링 디바이스(400)를 제어할 수 있다(S420). 예컨대, 취약점 데이터베이스(156)를 통해 게이트웨이(300)에 대한 보안 암호화의 등급이나 게이트웨이(300)에 접속 가능한 ID/PW의 보안 정도 등이 파악되면, 이를 기초로 보안 테스트부(180)는 모니터링 디바이스(400)가 게이트웨이(300)가 보안 공격을 시도하도록 명령할 수 있다(S421). 또한, 보안 테스트부(180)는 네트워크(500)를 통해 게이트웨이(300)에 대한 보안 공격을 직접 시도할 수도 있다(S422).
한편, 단계 S411, S421 또는 S422에 의해 보안 공격이 시도된 결과, 보안성에 문제가 있다고 판단된 경우, 도면에는 도시되지 않았지만 알림부(190)는 그에 따른 조치가 취해지도록 한다. 예컨대, 알림부(190)는 해당 디바이스(200)의 사용자에게 보안성이 문제가 있다고 알리거나 펌웨어를 업데이트하도록 알릴 수 있다. 또는 알림부(190)는 해당 디바이스(200)에게 가상 패치가 제공되도록 하거나, 해당 보안 공격이 방화벽 탐지 패턴으로 등록되도록 할 수도 있다.
이상에서 살펴본 바와 같이, 일 실시예에 따르면 다양한 종류의 디바이스에 대한 정보를 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합해서 파악할 수 있다. 아울러, 능동적으로 획득 가능한 정보가 사용자에 의해 변경이 된 경우에도 이의 변경을 탐지할 수 있으며 더 나아가서는 이를 수정할 수도 있다.
또한, 디바이스에 대해 파악한 이러한 정보들을 기초로 해당 디바이스에 대한 보안상 취약점이 파악될 수 있으며, 보안상 취약점에 대한 조치 또한 일 실시예에 따라 수행되도록 할 수 있다.
아울러, 능동적으로 획득 가능한 정보와 수동적으로 획득 가능한 정보를 조합하는 방식에 따라서 종래보다 신속하면서도 정확하게 정보를 획득하는 것이 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 정보 획득 장치
200: 디바이스
300: 게이트웨이
400: 모니터링 장치

Claims (21)

  1. 디바이스를 모니터링하는 모니터링 디바이스와 통신을 수행하는 통신부와,
    상기 디바이스에 할당된 제1 정보를 상기 모니터링 디바이스에게 요청하는 능동적(active) 정보 획득부와,
    상기 모니터링 디바이스에 의해 모니터링된 패킷이 상기 통신부를 통해 수신되면, 상기 수신된 패킷으로부터 상기 디바이스에 할당된 제2 정보 ― 상기 제2 정보는 상기 디바이스에 할당된 MAC(media access control address) 주소를 포함함; ― 를 획득하는 수동적(passive) 정보 획득부와,
    상기 제2 정보를 기준으로 상기 제1 정보가 변경되었는지의 여부를 판단하는 변경 탐지부와,
    상기 제1 정보가 변경되지 않았으면 상기 제1 정보와 상기 제2 정보를 이용하여 상기 디바이스에 대한 정보를 획득하고, 상기 제1 정보가 변경되었으면 상기 제2 정보만을 이용하여 상기 디바이스에 대한 정보를 획득하는 디바이스 정보 획득부와,
    MAC(media access control address) 주소의 값을 복수 개의 구간 중 어느 하나의 구간으로 분류하는 분류 기준을 미리 정의하고 있으며, 상기 복수 개의 구간 각각에 대해 상기 디바이스에 대한 정보를 할당하고 있으며, 상기 디바이스 정보 획득부에 의해 상기 디바이스에 대한 정보가 획득되면, 상기 디바이스 정보 획득부에 의해 획득된 상기 디바이스에 대한 정보 및 상기 디바이스에 할당된 MAC 주소를 상기 분류 기준에 부가함으로써 상기 분류 기준을 갱신하는 MAC 주소 데이터베이스를 포함하고,
    상기 디바이스 정보 획득부는,
    소정의 디바이스에 대한 정보가 상기 디바이스 정보 획득부에 의해 획득되지 않으면, 상기 갱신된 분류 기준 및 상기 소정의 디바이스에 할당된 MAC 주소에 기초해서 상기 소정의 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  2. 제 1 항에 있어서,
    상기 디바이스에 대한 정보는,
    상기 디바이스의 종류(type)에 대한 정보, 상기 디바이스에 설치된 운영체제의 종류에 대한 정보 및 상기 운영체제의 버전에 대한 정보 중 적어도 하나를 포함하는
    정보 획득 장치.
  3. 제 1 항에 있어서,
    상기 제1 정보는 상기 디바이스에 할당된 호스트명(hostname)인
    정보 획득 장치.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 능동적 정보 획득부는,
    상기 디바이스에 할당된 제1 정보로서 상기 디바이스에 할당된 호스트명 및 상기 디바이스에 대한 서비스 시그니처(service signature)를 요청하는
    정보 획득 장치.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 디바이스 정보 획득부는,
    상기 분류 기준을 기초로 상기 제2 정보에 포함된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간에 속하는 것으로 분류하고, 상기 분류된 어느 하나의 구간에 할당된 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  8. 제 7 항에 있어서,
    상기 디바이스 정보 획득부는,
    MAC 주소의 값을 구성하는 16진수의 6자리 숫자 중 뒤의 3자리 숫자를 기준으로, 상기 디바이스에 할당된 MAC 주소를 상기 복수 개의 구간 중 어느 하나의 구간으로 분류하는
    정보 획득 장치.
  9. 제 7 항에 있어서,
    상기 제1 정보는 상기 디바이스에 할당된 호스트명 및 상기 디바이스에 대한 서비스 시그니처 중 적어도 하나를 포함하고,
    상기 제2 정보는 상기 디바이스에 대한 TCP 시그니처 및 상기 디바이스에 대한 DHCP 시그니처 중 적어도 하나를 더 포함하는
    정보 획득 장치.
  10. 제 3 항에 있어서,
    상기 수동적 정보 획득부는,
    상기 호스트명과 상기 MAC 주소를 이용하여서는 상기 디바이스 정보 획득부에 의해 상기 디바이스에 대한 정보가 획득되지 않으면, 상기 디바이스에 대한 TCP 시그니처를 상기 제2 정보로서 추가적으로 획득하고,
    상기 디바이스 정보 획득부는,
    상기 호스트명, 상기 MAC 주소 및 상기 TCP 시그니처를 이용하여서 상기 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  11. 제 10 항에 있어서,
    상기 능동적 정보 획득부는,
    상기 호스트명, 상기 MAC 주소 및 상기 TCP 시그니처를 이용하여서는 상기 디바이스 정보 획득부에 의해 상기 디바이스에 대한 정보가 획득되지 않으면, 상기 디바이스에 대한 서비스 시그니처를 상기 제1 정보로서 추가적으로 획득하고,
    상기 디바이스 정보 획득부는,
    상기 호스트명, 상기 MAC 주소, 상기 TCP 시그니처 및 상기 서비스 시그니처를 이용하여서 상기 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  12. 제 11 항에 있어서,
    상기 수동적 정보 획득부는,
    상기 호스트명, 상기 MAC 주소, 상기 TCP 시그니처 및 상기 서비스 시그니처를 이용하여서는 상기 디바이스 정보 획득부에 의해 상기 디바이스에 대한 정보가 획득되지 않으면, 상기 디바이스에 대한 DHCP 시그니처를 상기 제2 정보로서 추가적으로 획득하고,
    상기 디바이스 정보 획득부는,
    상기 호스트명, 상기 MAC 주소, 상기 TCP 시그니처, 상기 서비스 시그니처 및 상기 DHCP 시그니처를 이용하여서 상기 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  13. 제 1 항에 있어서,
    상기 제2 정보는,
    상기 디바이스에 대한 DHCP 시그니처를 포함하는
    정보 획득 장치.
  14. 제 1 항에 있어서,
    상기 디바이스 정보 획득부에 의해 상기 디바이스에 대한 정보가 획득되지 않으면 상기 정보 획득 장치에 대한 복수의 사용자들로부터 상기 디바이스에 대한 피드백을 입력받은 뒤, 상기 피드백을 기초로 상기 정보가 획득되지 않은 디바이스에 대한 정보를 획득하는 피드백부를 더 포함하는
    정보 획득 장치.
  15. 제 14 항에 있어서,
    상기 피드백부는,
    상기 제1 정보, 상기 제2 정보 및 상기 복수의 사용자들로부터 입력받은 피드백을 저장하는 정보 저장부와,
    상기 제1 정보 및 상기 제2 정보를 갖는 디바이스에 대해 저장된 피드백의 개수가 소정의 기준을 초과하는지를 판단하는 판단부를 포함하고,
    상기 디바이스 정보 획득부는,
    상기 제1 정보 및 상기 제2 정보를 갖는 디바이스에 대해 저장된 피드백의 개수가 소정의 기준을 초과하면 상기 피드백을 이용하여서 상기 제1 정보 및 상기 제2 정보를 갖는 디바이스에 대한 정보를 획득하는
    정보 획득 장치.
  16. 제 15 항에 있어서,
    상기 정보 획득 장치는,
    복수 개의 제1 정보 및 복수 개의 제2 정보를 저장하면서 상기 복수 개의 제1 정보와 상기 복수 개의 제2 정보 각각에 대응하는 디바이스에 대한 정보를 저장하는 데이터베이스를 더 포함하고,
    상기 데이터베이스는,
    상기 제1 정보 및 상기 제2 정보를 갖는 디바이스에 대해 상기 저장된 피드백의 개수가 소정의 기준을 초과하면, 상기 제1 정보, 상기 제2 정보 및 상기 피드백을 상기 저장된 디바이스에 대한 정보에 추가하는
    정보 획득 장치.
  17. 제 1 항에 있어서,
    상기 정보 획득 장치는,
    복수 개의 디바이스 각각에 대한 보안상 취약점을 해당 디바이스의 정보별로 저장하는 취약점 데이터베이스를 더 포함하고,
    상기 디바이스 정보 획득부는,
    상기 획득된 디바이스에 대한 정보를 기초로, 상기 디바이스에 대한 보안상 취약점을 상기 취약점 데이터베이스를 이용하여서 파악하는
    정보 획득 장치.
  18. 제 17 항에 있어서,
    상기 취약점 데이터베이스는,
    상기 디바이스를 네트워크에 연결시키는 게이트웨이에 대한 보안상 취약점을 추가로 저장하고,
    상기 디바이스 정보 획득부는,
    상기 게이트웨이에 대한 보안상 취약점을 상기 취약점 데이터베이스를 이용하여서 파악하는
    정보 획득 장치.
  19. 제 18 항에 있어서,
    상기 게이트웨이에 대한 보안상 취약점을 기초로, 상기 게이트웨이에 대한 보안 공격을 시도하는 보안 테스트부를 더 포함하는
    정보 획득 장치.
  20. 제 17 항에 있어서,
    상기 모니터링 디바이스로 하여금 상기 보안상 취약점을 기초로 상기 디바이스에 대한 보안 공격을 시도하도록 명령하는 보안 테스트부를 더 포함하는
    정보 획득 장치.
  21. 정보 획득 장치에 의해 수행되는 정보 획득 방법으로서,
    디바이스를 모니터링하는 모니터링 디바이스에게, 상기 디바이스에 할당된 제1 정보를 요청하는 단계와,
    상기 제1 정보를 포함하는 패킷을 수신하는 단계와,
    상기 모니터링 디바이스에 의해 모니터링된, 상기 디바이스에 대한 제2 정보 ― 상기 제2 정보는 상기 디바이스에 할당된 MAC(media access control address) 주소를 포함함; ― 를 포함하는 패킷을 수신하는 단계와,
    상기 제2 정보를 기준으로 상기 제1 정보가 변경되었는지의 여부를 판단하는 단계와,
    판단 결과, 상기 제1 정보가 변경되지 않았으면 상기 제1 정보와 상기 제2 정보를 이용하여 상기 디바이스에 대한 정보를 획득하고, 상기 제1 정보가 변경되었으면 상기 제2 정보만을 이용하여 상기 디바이스에 대한 정보를 획득하는 단계와,
    MAC 주소의 값을 복수 개의 구간 중 어느 하나의 구간으로 분류하면서 상기 복수 개의 구간 각각에 대해 상기 디바이스에 대한 정보를 할당하고 있는 분류 기준에 대해, 상기 디바이스에 대한 정보를 획득하는 단계에 의해 상기 디바이스에 대한 정보가 획득되면 상기 획득된 상기 디바이스에 대한 정보 및 상기 디바이스에 할당된 MAC 주소를 상기 분류 기준에 부가함으로써 상기 분류 기준을 갱신하는 단계와,
    소정의 디바이스에 대한 정보가 상기 디바이스에 대한 정보를 획득하는 단계에 의해 획득되지 않으면, 상기 갱신된 분류 기준 및 상기 소정의 디바이스에 할당된 MAC 주소에 기초해서 상기 소정의 디바이스에 대한 정보를 획득하는 단계를 포함하는
    정보 획득 방법.
KR1020180010436A 2018-01-29 2018-01-29 디바이스의 정보 획득 장치 및 방법 KR102052035B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180010436A KR102052035B1 (ko) 2018-01-29 2018-01-29 디바이스의 정보 획득 장치 및 방법
PCT/KR2019/000680 WO2019146956A1 (ko) 2018-01-29 2019-01-17 디바이스의 정보 획득 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180010436A KR102052035B1 (ko) 2018-01-29 2018-01-29 디바이스의 정보 획득 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190091636A KR20190091636A (ko) 2019-08-07
KR102052035B1 true KR102052035B1 (ko) 2020-01-08

Family

ID=67394609

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180010436A KR102052035B1 (ko) 2018-01-29 2018-01-29 디바이스의 정보 획득 장치 및 방법

Country Status (2)

Country Link
KR (1) KR102052035B1 (ko)
WO (1) WO2019146956A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230077073A (ko) 2021-11-25 2023-06-01 (주) 앤앤에스피 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102366304B1 (ko) * 2020-05-11 2022-02-23 (주)노르마 페이크 디바이스 탐지 방법 및 무선 디바이스 케어 장치
KR102389938B1 (ko) * 2020-06-23 2022-04-25 (주)노르마 IoT 타입 분석 및 이를 이용한 불법 IoT 디바이스 탐지 시스템
KR102389936B1 (ko) * 2020-06-23 2022-04-25 (주)노르마 취약점 분석 및 이와 연계된 IoT 케어 시스템
KR102439984B1 (ko) * 2020-07-20 2022-09-02 김동진 웹 사이트 정보제공시스템
KR102414848B1 (ko) * 2020-07-20 2022-06-29 김동진 상품 정보제공시스템
KR102488604B1 (ko) * 2020-08-10 2023-01-16 김성겸 Fkm, ffkm, hnbr, csm, 또는 에피클로로히드린과 같은 특수 고무들의 제조 장치 및 발주 시스템
KR102386232B1 (ko) * 2020-10-23 2022-04-13 한국과학기술원 Sdn 웹 인터페이스에 대한 csrf 취약점을 탐지하는 방법 및 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160315909A1 (en) * 2015-04-21 2016-10-27 Cujo LLC Network security analysis for smart appliances
KR101697250B1 (ko) * 2016-03-08 2017-01-17 (주)엔텔스 이동통신네트워크에 접속한 단말의 모델 정보를 수집하는 방법 및 단말의 모델 정보 수집 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9647779B2 (en) * 2013-04-22 2017-05-09 The Nielsen Company (Us), Llc Systems, methods, and apparatus to identify media devices
KR20160058300A (ko) * 2014-11-14 2016-05-25 삼성에스디에스 주식회사 단말 정보 식별 장치 및 방법
KR102457261B1 (ko) 2015-10-27 2022-10-19 에스케이플래닛 주식회사 미들웨어 환경 기반의 서버 관리 시스템
KR20170080958A (ko) * 2015-12-31 2017-07-11 (주)노르마 사물 인터넷(IoT)네트워크의 보안을 유지 및 강화하기 위한 시스템
KR101792235B1 (ko) * 2016-02-15 2017-11-01 충남대학교산학협력단 네트워크 프린터의 취약점 점검 방법 및 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160315909A1 (en) * 2015-04-21 2016-10-27 Cujo LLC Network security analysis for smart appliances
KR101697250B1 (ko) * 2016-03-08 2017-01-17 (주)엔텔스 이동통신네트워크에 접속한 단말의 모델 정보를 수집하는 방법 및 단말의 모델 정보 수집 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230077073A (ko) 2021-11-25 2023-06-01 (주) 앤앤에스피 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템

Also Published As

Publication number Publication date
WO2019146956A1 (ko) 2019-08-01
KR20190091636A (ko) 2019-08-07

Similar Documents

Publication Publication Date Title
KR102052035B1 (ko) 디바이스의 정보 획득 장치 및 방법
US11652793B2 (en) Dynamic firewall configuration
KR102145935B1 (ko) 네트워크 종점들을 보호하기 위한 시스템들 및 방법들
US8972571B2 (en) System and method for correlating network identities and addresses
US8898785B2 (en) System and method for monitoring network traffic
CN108566656B (zh) 一种用于检测无线网络安全的方法与设备
US7467405B2 (en) Method and apparatus for detecting an unauthorized client in a network of computer systems
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US20120131197A1 (en) Method and apparatus for automatically resolving conflicting devices on a network
US11616793B2 (en) System and method for device context and device security
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
CN111683162B (zh) 一种基于流量识别的ip地址管理方法
CN111431912B (zh) 用于检测dhcp劫持的方法和设备
KR102310027B1 (ko) 결정 방법 및 대응하는 단말기, 컴퓨터 프로그램 제품 및 저장 매체
KR20160058300A (ko) 단말 정보 식별 장치 및 방법
CN108076500B (zh) 局域网管理的方法、装置及计算机可读存储介质
US8724506B2 (en) Detecting double attachment between a wired network and at least one wireless network
KR101982164B1 (ko) 네트워크 관리 장치 및 방법
KR101891705B1 (ko) 사설 네트워크 파악 방법 및 그 장치
CN105959251B (zh) 一种防止nat穿越认证的方法及装置
CN114710302A (zh) 互联网访问的控制方法及其控制装置
CN113094719B (zh) 访问控制方法、装置、设备
EP3910978B1 (en) Method for detecting fake device and wireless device care apparatus
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
US20160308893A1 (en) Interrogating malware

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)