KR102443714B1 - Internal Network External Access Security System - Google Patents

Internal Network External Access Security System Download PDF

Info

Publication number
KR102443714B1
KR102443714B1 KR1020210192798A KR20210192798A KR102443714B1 KR 102443714 B1 KR102443714 B1 KR 102443714B1 KR 1020210192798 A KR1020210192798 A KR 1020210192798A KR 20210192798 A KR20210192798 A KR 20210192798A KR 102443714 B1 KR102443714 B1 KR 102443714B1
Authority
KR
South Korea
Prior art keywords
access
user terminal
internal network
network
server
Prior art date
Application number
KR1020210192798A
Other languages
Korean (ko)
Inventor
임연택
Original Assignee
주식회사 제네럴테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제네럴테크놀로지 filed Critical 주식회사 제네럴테크놀로지
Priority to KR1020210192798A priority Critical patent/KR102443714B1/en
Application granted granted Critical
Publication of KR102443714B1 publication Critical patent/KR102443714B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a corporate network/external access security system which is implemented to approve only allowed network information to access a corporate network and prevent IP exposure of the corporate network so as to prevent unintentional access or attacks, thereby enabling secure external access. The corporate network/external access security system comprises: an agent which is installed in a user terminal trying to access a corporate network installed in a company from the outside; a security server which checks whether the user terminal is a legitimate user and approves or blocks its access to the corporate network according to whether or not the user terminal determined to be a legitimate user is approved for access to the corporate network; and a masquerade server which sets access approval for an IP of the agent installed in the user terminal requesting access when an access request is transmitted from the security server to the corporate network of the user terminal, sets a connection policy to a destination IP of the IP (Source IP) of the agent for which access to the corporate network is set, and notifies a result of setting the connection policy to the security server, and through which packets to be transmitted from the agent to the corporate network are relayed.

Description

사내 네트워크 외부 접속 보안 시스템{Internal Network External Access Security System}Internal Network External Access Security System

본 발명은 사내 네트워크 외부 접속 보안 시스템에 관한 것으로서, 보다 상세하게는 허용된 네트워크 정보만이 사내 네트워크로 접속하도록 승인하고 상기 사내 네트워크의 IP 노출을 방지하여 의도치 않은 접속 또는 공격을 방지함으로써 안전한 외부 접속이 가능하도록 구현한 사내 네트워크 외부 접속 보안 시스템에 관한 것이다.The present invention relates to a system for securing external access to an internal network, and more particularly, by allowing only permitted network information to access the internal network and preventing unintended access or attack by preventing IP exposure of the internal network It relates to a security system for external access to the internal network implemented to enable access.

최근 많은 기업들이 업무용 기기를 위한 유선 배선의 번거로움 및 업무용 기기의 이동성 향상을 위해, 유선망을 통한 사내망 접속 방식을 와이파이 등의 무선망을 통한 사내망 접속 방식으로 변경하였다. 또한, 많은 기업들이 보안을 위해 노트북 등의 업무용 기기마다 고정 IP 주소를 할당하고, 고정 IP 주소로 업무용 기기의 사내망 접속 이력 관리 및 접속 제한을 수행한다. 그리고 대부분의 기업들은 보안을 위해 사외에서 인터넷을 통한 사내망 접속을 차단한다. VPN(Virtual Private Network)을 통한 사내망 접속을 허용하고 있지만, VPN을 통한 사내망 접속은 다음과 같이 다양한 문제가 있다.Recently, many companies have changed the internal network access method through a wired network to the internal network access method through a wireless network such as Wi-Fi in order to improve the portability of work equipment and the hassle of wired wiring for work equipment. In addition, many companies allocate a fixed IP address to each business device such as a laptop for security, and manage the internal network access history of the business device and restrict access using the fixed IP address. And most companies block access to the internal network through the Internet from outside for security. Although access to the internal network through a VPN (Virtual Private Network) is allowed, access to the internal network through a VPN has various problems as follows.

첫 번째, 업무용 기기는 고정 IP 주소를 통해 사내망으로 접속하는데, 사외에서 인터넷을 통해 사내망에 접속하 려면 IP 설정을 변경해야 한다. 예를 들면, 노트북이 고정된 IP 주소를 통해 사내망에 접속하도록 설정되어 있는데, 사용자가 출장 등으로 인터넷에 노트북을 연결한다. 그러면, 노트북은 고정된 IP 주소 등의 IP 설정을 연결된 인터넷의 IP 설정으로 변경해야 한다.First, business devices connect to the internal network through a fixed IP address. To access the internal network through the Internet from outside, the IP settings must be changed. For example, the laptop is set to access the corporate network through a fixed IP address, but the user connects the laptop to the Internet on a business trip or the like. Then, the laptop has to change the IP settings such as a fixed IP address to the IP settings of the connected Internet.

두 번째, 인터넷에 연결된 업무용 기기가 VPN을 통해 사내망에 접속한 경우, 고정된 IP 주소 대신 연결된 인터넷에서 부여된 유동 IP 주소를 가진다. 따라서, 기업 관리 시스템은 임의의 유동 IP 주소로 접속한 업무용 기기의 접속 이력 관리 및 접속 제한을 수행하기 어려워, 일원화된 IP 기반 보안 관리를 할 수 없다.Second, when a business device connected to the Internet accesses the corporate network through VPN, it has a dynamic IP address assigned from the connected Internet instead of a fixed IP address. Therefore, it is difficult for the corporate management system to manage access history and restrict access of business devices accessed through arbitrary dynamic IP addresses, and thus cannot perform unified IP-based security management.

세 번째, 업무용 기기는 별도의 VPN 접속 소프트웨어를 설치해야 한다. 업무용 기기는 VPN 접속 소프트웨어를 실행하고, VPN 연결하기 기다려야 하므로, 초기 접속 시간이 사내망에서보다 훨씬 길다.Third, a separate VPN connection software must be installed for work devices. Business devices run VPN access software and have to wait for a VPN connection, so the initial access time is much longer than in the corporate network.

네 번째, 업무용 기기에 설치되어 있는 DRM, DLP 등 보안 프로그램의 정책 업데이트가 필요하다. 대다수의 보안 프로그램은 설치된 단말의 IP 정보를 기준으로 망 접속 제어를 한다. 따라서, 업무용 기기가 VPN으로 연결된 경우, 유동 IP 주소에 대한 보안 정책 업데이트가 필요하다. 이후, 업무용 기기가 고정 IP 주소로 사내망에 접속하면, 다시 고정 IP 주소에 대한 보안 정책 업데이트가 필요하다.Fourth, policy updates of security programs such as DRM and DLP installed on business devices are required. Most security programs control network access based on the IP information of the installed terminal. Therefore, when a work device is connected through a VPN, it is necessary to update the security policy for the dynamic IP address. After that, when the business device accesses the corporate network with a static IP address, it is necessary to update the security policy for the static IP address again.

한편, 전술한 배경 기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.On the other hand, the above-mentioned background art is technical information that the inventor possessed for the derivation of the present invention or acquired in the process of derivation of the present invention, and it cannot be said that it is necessarily a known technique disclosed to the general public before the filing of the present invention. .

한국등록실용신안 제20-0264584호Korea Registered Utility Model No. 20-0264584 한국등록특허 제10-1766444호Korean Patent Registration No. 10-1766444

본 발명의 일측면은 허용된 네트워크 정보만이 사내 네트워크로 접속하도록 승인하고 상기 사내 네트워크의 IP 노출을 방지하여 의도치 않은 접속 또는 공격을 방지함으로써 안전한 외부 접속이 가능하도록 구현한 사내 네트워크 외부 접속 보안 시스템을 제공한다.One aspect of the present invention is an internal network external access security implemented to allow safe external access by allowing only permitted network information to access the internal network and preventing unintended access or attacks by preventing IP exposure of the internal network provide the system.

본 발명의 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

본 발명의 일 실시예에 따른 외부로부터 회사 내에 설치되는 사내 네트워크로 접속하려는 사용자 단말기에 설치되는 에이전트; 상기 사용자 단말기의 정당 사용자 여부를 확인하며, 정당 사용자로 판단된 상기 사용자 단말기의 상기 사내 네트워크로의 접속 승인 여부에 따라 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 승인 또는 차단하는 보안 서버; 및 상기 보안 서버로부터 상기 사용자 단말기의 상기 사내 네트워크로 접속 요청이 전달되는 경우 접속을 요청하는 상기 사용자 단말기에 설치되는 상기 에이전트의 IP의 접속 승인을 설정하고, 상기 사내 네트워크로의 접속 승인이 설정된 상기 에이전트의 IP(Source IP)의 목적지 IP(Destination IP)로의 연결 정책을 설정한 뒤 설정된 연결 정책의 결과를 상기 보안 서버로 통지하며, 상기 에이전트로부터 상기 사내 네트워크로 전송되는 패킷(Packet)이 경유(Relay)되는 메스쿼레이드 서버;를 포함한다.an agent installed in a user terminal to access an internal network installed in the company from the outside according to an embodiment of the present invention; a security server that confirms whether the user terminal is a legitimate user, and approves or blocks access of the user terminal to the internal network according to whether the user terminal determined as a political party user approves access to the internal network; and when an access request is transmitted from the security server to the internal network of the user terminal, an access approval of the IP of the agent installed in the user terminal requesting access is set, and the access approval to the corporate network is set. After setting the connection policy from the agent's IP (Source IP) to the destination IP (Destination IP), the result of the set connection policy is notified to the security server, and the packet transmitted from the agent to the corporate network passes through ( It includes a Mesquared server that is relayed).

일 실시예에서, 상기 메스쿼레이드 서버는, 상기 사용자 단말기가 상기 사내 네트워크와의 접속이 종료된 경우 상기 사용자 단말기에게 설정되었던 연결 정책을 소멸시킬 수 있다.In an embodiment, the Mesquared server may destroy a connection policy set for the user terminal when the user terminal has terminated access to the internal network.

일 실시예에서, 상기 메스쿼레이드 서버는, 상기 사용자 단말기로부터 상기 사내 네트워크와 접속이 승인되었다 연결 정책이 소멸된 후 다시 접속 승인이 요청되는 경우 연결 정책을 새롭게 재설정할 수 있다.In an embodiment, the Mesquared server may re-establish a connection policy when a connection approval request is requested again after the connection policy expires after the user terminal has approved access to the corporate network.

일 실시예에서, 상기 메스쿼레이드 서버는, 상기 사용자 단말기로부터 접속 해제 요청이 전달되거나 상기 사용자 단말기와의 사이에 헬스 체크(Health Check)이 실패한 경우 상기 사용자 단말기와 상기 사내 네트워크 사이의 접속이 종료된 것으로 간주할 수 있다.In an embodiment, in the Mesquared server, when a connection release request is transmitted from the user terminal or a health check between the user terminal and the user terminal fails, the connection between the user terminal and the internal network is terminated. can be considered to have been

일 실시예에서, 상기 메스쿼레이드 서버는, 접속 승인이 설정된 상기 에이전트의 IP(Source IP)와 접속 승인이 설정된 상기 에이전트의 포트(Port)도 함께 목적지 IP(Destination IP)로의 연결 정책을 설정할 수 있다.In one embodiment, the Mesquared server may set the connection policy to the destination IP (Destination IP) together with the IP (Source IP) of the agent for which access approval is set and the port (Port) of the agent for which access approval is set. have.

일 실시예에서, 상기 메스쿼레이드 서버는, 상기 사용자 단말기의 사용자가 상기 보안 서버에 의해 정당 사용자로 판독되는 동시에 상기 사용자 단말기에서 사용하고자 하는 애플리케이션의 무결성이 보장되는 경우에 한하여 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 허용하는 맬웨어 방지부; 상기 사용자 단말기의 사용자가 상기 보안 서버에 의해 정당 사용자로 판독되는 동시에 상기 사용자 단말기에서 사용하고자 하는 애플리케이션이 사용이 허용된 경우에 한하여 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 허용하는 랜섬웨어 방지부; 및 상기 사내 네트워크에 접속하여 업무 중인 상기 사용자 단말기가 설정된 유출보안 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위를 제한하는 유출 방지부;를 포함할 수 있다.In an embodiment, the Mesquared server is configured to provide the user terminal of the user terminal only when the user of the user terminal is read as a legitimate user by the security server and the integrity of the application to be used in the user terminal is ensured. an anti-malware unit that allows access to the corporate network; A ransomware prevention unit that allows the user terminal to access the corporate network only when the user of the user terminal is read as a legitimate user by the security server and the application to be used in the user terminal is permitted ; and a leak prevention unit for limiting the scope of task performance so that the user terminal, which is working by accessing the internal network, can perform the task only within the range of the set leak security policy.

일 실시예에서, 상기 맬웨어 방지부는, 상기 사용자 단말기에서 사용하고자 하는 애플리케이션이 바이너리 변조 또는 DLL 인젝션 공격으로 인해 맬웨어에 감염되었다고 판단되는 경우 무결성이 위배된 것으로 판단할 수 있다.In an embodiment, the anti-malware unit may determine that integrity is violated when it is determined that the application intended to be used in the user terminal is infected with malware due to binary tampering or DLL injection attack.

일 실시예에서, 상기 맬웨어 방지부는, 상기 사용자 단말기에서 사용하고자 하는 애플리케이션의 무결성이 위배된 것으로 판단하여 상기 사내 네트워크로의 접속이 차단된 경우, 상기 사용자 단말기의 상기 사내 네트워크로의 접속 이외의 사용에는 제한을 두지 아니할 수 있다.In an embodiment, the anti-malware unit determines that the integrity of the application to be used in the user terminal is violated and the access to the corporate network is blocked, using other than the access to the corporate network of the user terminal may not be limited.

일 실시예에서, 상기 랜섬웨어 방지부는, 상기 사용자 단말기가 사용이 허용된 애플리케이션 이외에 사용이 허용되지 아니한 애플리케이션을 사용하고자 하는 경우 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 차단할 수 있다.In an embodiment, the ransomware prevention unit may block the access of the user terminal to the internal network when the user terminal intends to use an application that is not permitted to be used other than an application that is permitted to be used.

일 실시예에서, 상기 에이전트는, 상기 사용자 단말기의 커널 영역(Kernel Space)에 설치될 수 있다.In an embodiment, the agent may be installed in a kernel space of the user terminal.

일 실시예에서, 상기 유출 방지부는, 상기 사용자 단말기에서 사용 중인 애플리케이션이 시스템콜(System Call)을 이용하여 상기 에이전트를 경유하여 커널(Kernel)로 커널 함수 호출 시 기 설정된 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위에 제한을 설정할 수 있다.In one embodiment, the leak prevention unit, when the application being used in the user terminal calls a kernel function to the kernel via the agent using a system call (System Call) only within the scope of a preset policy Limits can be set on the scope of work performance so that it can be performed.

일 실시예에서, 상기 유출 방지부는, 커널로부터 상기 에이전트를 경유하여 상기 사용자 단말기에서 사용 중인 애플리케이션으로 전달되는 커널 함수의 반환 값을 필터링하여 유출을 차단할 수 있다.In an embodiment, the leak prevention unit may block the leak by filtering a return value of a kernel function transmitted from the kernel to the application being used in the user terminal via the agent.

본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 방법은, 사용자 단말기가 외부로부터 회사 내에 설치되는 사내 네트워크로의 접속 승인을 요청하는 승인 요청 단계; 접속 승인을 요청하는 상기 사용자 단말기의 정당 사용자 여부를 보안 서버에서 확인하는 사용자 확인 단계; 상기 사내 네트워크로의 접속을 요청하는 상기 사용자 단말기에 설치되는 에이전트의 IP의 접속 승인을 메스쿼레이드 서버에서 설정하고, 상기 사내 네트워크로의 접속 승인이 설정된 상기 에이전트의 IP(Source IP)의 목적지 IP(Destination IP)로의 연결 정책을 상기 메스쿼레이드 서버에서 설정하는 연결 정책 설정 단계; 상기 메스쿼레이드 서버에서 연결 정책이 설정된 상기 사용자 단말기의 사내 네트워크로의 접속을 상기 보안 서버에서 승인하는 접속 승인 단계; 및 상기 에이전트로부터 상기 사내 네트워크로 전송되는 패킷(Packet)이 상기 메스쿼레이드 서버를 경유(Relay)하면서 상기 에이전트가 상기 사내 네트워크에 접속하는 접속 단계;를 포함한다.A method for securing external access to an internal network according to an embodiment of the present invention includes: an approval request step in which a user terminal requests permission to access an internal network installed in the company from the outside; a user confirmation step of confirming in a security server whether the user terminal requesting access approval is a legitimate user; The destination IP of the IP (Source IP) of the agent to which the access approval of the IP of the agent installed in the user terminal requesting the access to the corporate network is set in the Mesquared server, and the access permission to the corporate network is set a connection policy setting step of setting a connection policy to (Destination IP) in the Mesquared server; an access approval step of approving, by the security server, access to the internal network of the user terminal for which the connection policy is set in the Mesquared server; and an access step in which the agent accesses the internal network while a packet transmitted from the agent to the internal network is relayed through the mesquared server.

그리고, 상술한 사내 네트워크 외부 접속 보안 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체를 제공한다.In addition, there is provided a computer-readable recording medium in which a computer program is recorded for performing the above-described method for securing external access to an in-house network.

상술한 본 발명의 일측면에 따르면, 서버에서 이미 설정된 허용된 IP에 대해서만 메스쿼레이드 서버를 통한 패킷 릴레이(Packet Relay)가 가능하고, 연결이 해제된 이후에는 해당 설정이 사라져 재 연결 요청 이전에는 연결할 수 없어 인가된 사용자에 대해서만 사내 네트워크의 설정된 IP에 접근이 가능하도록 할 수 있다.According to one aspect of the present invention described above, packet relay through the Mesquared server is possible only for the allowed IPs already set in the server, and after the connection is disconnected, the corresponding setting disappears and prior to the reconnection request. Because it cannot connect, only authorized users can access the set IP of the company network.

또한, 일방적인 보안 장비들과 달리 정책이 상시 설정되어 있지 않고 필요 시에만 설정 후 해제하기 때문에 사내 네트워크가 노출되어 있어도 의도하지 않은 장치의 사내 네트워크로의 접속이 불가능하도록 만들어 외부로부터의 의도치 않은 접속 또는 공격을 방지하는 효과를 제공할 수 있다.In addition, unlike unilateral security devices, the policy is not set all the time, and it is set and released only when necessary. It can provide the effect of preventing access or attacks.

본 발명의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 효과들이 포함될 수 있다.The effects of the present invention are not limited to the above-mentioned effects, and various effects may be included within the range apparent to those skilled in the art from the description below.

도 1은 본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 시스템의 개략적인 구성이 도시된 도면이다.
도 2는 본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 시스템의 접속 단계를 설명하는 도면이다.
도 3은 도 1의 메스쿼레이드 서버의 일 실시예를 보여주는 도면이다.
도 4는 본 발명에 따른 에이전트의 설치를 설명하는 도면이다.
도 5는 도 3의 맬웨어 방지부에 의한 맬웨어 방지를 설명하는 도면이다.
도 6은 도 3의 랜섬웨어 방지부에 의한 랜섬웨어 방지를 설명하는 도면이다.
도 7은 도 3의 유출 방지부에 의한 데이터 유출 방지를 설명하는 도면이다.
도 8은 본 발명의 일 실시예에 따른 개인별 사내 네트워크 외부 접속 보안 방법을 설명하는 순서도이다.1 is a diagram schematically showing the configuration of an internal network external access security system according to an embodiment of the present invention.
FIG. 2 is a view for explaining an access step of the internal network external access security system according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating an embodiment of the Mesquared server of FIG. 1 .
4 is a view for explaining the installation of the agent according to the present invention.
FIG. 5 is a view for explaining malware prevention by the malware prevention unit of FIG. 3 .
FIG. 6 is a view for explaining ransomware prevention by the ransomware prevention unit of FIG. 3 .
7 is a view for explaining data leakage prevention by the leakage prevention unit of FIG. 3 .
8 is a flowchart illustrating a method for securing external access to an internal internal network for each individual according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0012] DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0014] DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS [0016] Reference is made to the accompanying drawings, which show by way of illustration specific embodiments in which the present invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different but need not be mutually exclusive. For example, certain shapes, structures, and characteristics described herein with respect to one embodiment may be implemented in other embodiments without departing from the spirit and scope of the invention. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description set forth below is not intended to be taken in a limiting sense, and the scope of the present invention, if properly described, is limited only by the appended claims, along with all scope equivalents to those claimed. Like reference numerals in the drawings refer to the same or similar functions throughout the various aspects.

이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.

도 1은 본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 시스템의 개략적인 구성이 도시된 도면이다.1 is a diagram schematically showing the configuration of an internal network external access security system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 시스템(10)은, 허용된 네트워크 정보만이 사내 네트워크(500)로 접속하도록 승인하고 사내 네트워크(500)의 IP 노출을 방지하여 의도치 않은 접속 또는 공격을 방지함으로써 안전한 외부 접속이 가능하도록 구현한 것으로, 에이전트(100), 보안 서버(200) 및 메스쿼레이드 서버(300)를 포함한다.Referring to FIG. 1 , the internal network external access security system 10 according to an embodiment of the present invention authorizes only allowed network information to access the internal network 500 and exposes the IP of the internal network 500 . It is implemented to enable safe external access by preventing unintentional access or attacks by preventing it, and includes the agent 100 , the security server 200 , and the Mesquared server 300 .

에이전트(100)는, 외부로부터 적어도 하나 이상의 회사 내에 각각 설치되는 사내 네트워크(500-1 내지 500-N)로 접속하려는 적어도 하나 이상의 사용자 단말기(400-1 내지 400-N)에 각각 설치되며, 네트워크(N)를 통해 보안 서버(200)로 사내 네트워크(500)로의 접속의 승인을 요청한다(도 2의 (1)).The agent 100 is installed in at least one or more user terminals 400-1 to 400-N to be connected from the outside to the internal networks 500-1 to 500-N respectively installed in at least one company, respectively, and the network Through (N), the security server 200 requests approval of access to the internal network 500 ((1) of FIG. 2).

여기서, 사용자 단말기(400)는, 하나 이상으로 구성될 수 있으며, 데스크탑 컴퓨터(PC)는 물론, 노트북(Notebook), 스마트 폰(Smart Phone), 태블릿 컴퓨터(Tablet PC) 등과 같이 일반인들에게 널리 사용되는 이동 통신 단말기 등, 유무선 네트워크를 지원하는 다양한 종류의 정보 통신 기기 및 멀티미디어 기기를 의미하는 광의의 개념이다.Here, the user terminal 400 may be composed of one or more, and is widely used by the general public, such as a desktop computer (PC), as well as a notebook (Notebook), a smart phone (Smart Phone), a tablet computer (Tablet PC), etc. It is a broad concept meaning various types of information communication devices and multimedia devices supporting wired and wireless networks, such as mobile communication terminals.

그리고, 네트워크(N)는, 예컨대 무선 통신, 유선 통신, 광 초음파 또는 그 조합을 포함할 수 있다. BAN(Body Area Network), 위성 통신, 셀룰러 통신, 블루투스, NFC(Near Field Communication), IrDA(Infrared Data Association standard), WiFi(Wireless Fidelity), 및 WiMAX(Worldwide Interoperability for Microwave access)는 통신 경로에 포함될 수 있는 무선 통신의 예이며, 이더넷, DSL(Digital Subscriber Line), FTTH(Fiber to the Home), 및 POTS(Plain Old Telephone Service)는 통신망에 포함될 수 있는 유선 통신의 예이다. 또한, 통신망은 다수의 네트워크 토폴로지 및 거리를 횡단할 수 있다. 예컨대, 통신망은 직접 연결, PAN(Personal Area Network), LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network), 또는 그 임의의 조합을 포함할 수 있다. 또한, LoRaWAN, NB-Fi, RPMA을 포함하는 저전력광대역 네트워크(Low Power Wide Area Network)를 통해 이루어 질 수도 있다. 다만, 네트워크(N)는, 통신망에 관한 설명은 상기한 통신망으로 한정되는 것이 아니며, 임의의 최신 데이터 통신망이 적용될 수 있다.In addition, the network N may include, for example, wireless communication, wired communication, optical ultrasound, or a combination thereof. BAN (Body Area Network), satellite communication, cellular communication, Bluetooth, Near Field Communication (NFC), IrDA (Infrared Data Association standard), WiFi (Wireless Fidelity), and WiMAX (Worldwide Interoperability for Microwave access) are included in the communication path. Ethernet, Digital Subscriber Line (DSL), Fiber to the Home (FTTH), and Plain Old Telephone Service (POTS) are examples of wired communication that can be included in a communication network. Additionally, the communication network may traverse multiple network topologies and distances. For example, the communication network may include a direct connection, a personal area network (PAN), a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), or any combination thereof. In addition, it may be achieved through a low power wide area network including LoRaWAN, NB-Fi, and RPMA. However, as for the network N, the description of the communication network is not limited to the above-described communication network, and any latest data communication network may be applied.

보안 서버(200)는, 사용자 단말기(400)의 정당 사용자 여부를 확인하며, 사용자 단말기(400)가 정당 사용자라고 확인되 경우 메스쿼레이드 서버(300)로 연결 정책의 설정을 요청하며(도 2의 (2)), 정당 사용자로 판단된 사용자 단말기(400)의 메스쿼레이드 서버(300)에 의한 사내 네트워크(500)로의 접속 승인 여부에 따라 사용자 단말기(400)의 사내 네트워크(500)로의 접속을 승인 또는 차단한다(도 2의 (4)).The security server 200 checks whether the user terminal 400 is a political party user, and when it is confirmed that the user terminal 400 is a political party user, requests the setting of a connection policy to the Mesquared server 300 (FIG. 2). In (2)), the user terminal 400 accesses the corporate network 500 according to whether the user terminal 400 determined to be a political party user is approved for access to the corporate network 500 by the mesquared server 300 to approve or block ((4) of FIG. 2).

메스쿼레이드 서버(300)는, 보안 서버(200)로부터 사용자 단말기(400)의 사내 네트워크(500)로 접속 요청이 전달되는 경우 접속을 요청하는 사용자 단말기(400)에 설치되는 에이전트(100)의 IP의 접속 승인을 설정하고, 사내 네트워크(500)로의 접속 승인이 설정된 에이전트(100)의 IP(Source IP)의 목적지 IP(Destination IP)로의 연결 정책을 설정한 뒤 설정된 연결 정책의 결과를 보안 서버(200)로 통지하며(도 2의 (3)), 에이전트(100)로부터 사내 네트워크(500)로 전송(도 2의 (5), (6))되는 패킷(Packet)이 경유(Relay)된다.Mesquared server 300, when an access request is transmitted from the security server 200 to the internal network 500 of the user terminal 400, the agent 100 installed in the user terminal 400 requesting access. After setting the IP access approval, and setting the connection policy to the destination IP (Destination IP) of the IP (Source IP) of the agent 100 for which the access approval to the corporate network 500 is set, the result of the set connection policy is sent to the security server 200 ((3) in FIG. 2), and a packet transmitted from the agent 100 to the internal network 500 ((5), (6) in FIG. 2) is relayed. .

즉, 에이전트(100)로부터 사내 네트워크(500)로 전송되는 모든 패킷은 메스쿼레이드 서버(300)로 도착한 뒤(도 2의 (5)), 메스쿼레이드 서버(300)를 경유하여 사내 네트워크(500)로 전달되게 된다(도 2의 (6)).That is, all packets transmitted from the agent 100 to the corporate network 500 arrive at the mesquared server 300 ((5) in FIG. 500) ((6) of FIG. 2).

그리고, 도착한 패킷 중 사내 네트워크(500)에서 허용된 IP만 전달하는데, 이때 사내 네트워크(500)는 메스쿼레이드 서버(300)의 IP가 허용되어 있기 때문에 통신이 가능하다.In addition, only IPs allowed in the corporate network 500 are delivered among the packets that arrive, and in this case, the corporate network 500 is able to communicate because the IP of the Mesquared server 300 is allowed.

일 실시예에서, 메스쿼레이드 서버(300)는, 사용자 단말기(400)가 사내 네트워크(500)와의 접속이 종료된 경우 사용자 단말기(400)에게 설정되었던 연결 정책을 소멸시킬 수 있다.In an embodiment, the mesquared server 300 may destroy a connection policy set for the user terminal 400 when the user terminal 400 is disconnected from the corporate network 500 .

이때, 메스쿼레이드 서버(300)는, 사용자 단말기(400)로부터 접속 해제 요청이 전달되거나 사용자 단말기(400)와의 사이에 헬스 체크(Health Check)이 실패한 경우 사용자 단말기(400)와 사내 네트워크(500) 사이의 접속이 종료된 것으로 간주할 수 있다.At this time, the mesquared server 300, when a connection release request is transmitted from the user terminal 400 or a health check between the user terminal 400 and the user terminal 400 fails, the user terminal 400 and the internal network 500 ) can be considered to have been terminated.

일 실시예에서, 메스쿼레이드 서버(300)는, 사용자 단말기(400)로부터 사내 네트워크(500)와 접속이 승인되었다 연결 정책이 소멸된 후 다시 접속 승인이 요청되는 경우 연결 정책을 새롭게 재설정할 수 있다.In one embodiment, the Mesquared server 300 may re-establish the connection policy when the connection to the corporate network 500 is approved from the user terminal 400 and the connection approval is requested again after the connection policy expires. have.

일 실시예에서, 메스쿼레이드 서버(300)는, 접속 승인이 설정된 에이전트(100)의 IP(Source IP)와 접속 승인이 설정된 에이전트(100)의 포트(Port)도 함께 목적지 IP(Destination IP)로의 연결 정책을 설정할 수 있다.In one embodiment, the mesquared server 300 is a destination IP (Destination IP) together with the IP (Source IP) of the agent 100 for which the access approval is set and the port of the agent 100 for which the access approval is set. You can set the connection policy to

상술한 바와 같은 구성을 가지는 본 발명의 일 실시예에 따른 사내 네트워크 외부 접속 보안 시스템(10)은, 서버에서 이미 설정된 허용된 IP에 대해서만 메스쿼레이드 서버(300)를 통한 패킷 릴레이(Packet Relay)가 가능하고, 연결이 해제된 이후에는 해당 설정이 사라져 재 연결 요청 이전에는 연결할 수 없어 인가된 사용자에 대해서만 사내 네트워크의 설정된 IP에 접근이 가능하도록 할 수 있다.The internal network external access security system 10 according to an embodiment of the present invention having the configuration as described above is a packet relay through the mesquared server 300 only for the allowed IPs already set in the server. After the connection is disconnected, the setting disappears and connection cannot be made before the reconnection request, so only authorized users can access the set IP of the internal network.

또한, 일방적인 보안 장비들과 달리 정책이 상시 설정되어 있지 않고 필요 시에만 설정 후 해제하기 때문에 사내 네트워크가 노출되어 있어도 의도하지 않은 장치의 사내 네트워크로의 접속이 불가능하도록 만들어 외부로부터의 의도치 않은 접속 또는 공격을 방지할 수 있다.In addition, unlike unilateral security devices, the policy is not set all the time, and it is set and released only when necessary. Access or attack can be prevented.

도 3은 도 1의 메스쿼레이드 서버의 일 실시예를 보여주는 도면이다.FIG. 3 is a diagram illustrating an embodiment of the Mesquared server of FIG. 1 .

도 3을 참조하면, 일 실시예에 따른 메스쿼레이드 서버(300a)는, 맬웨어 방지부(310), 랜섬웨어 방지부(320) 및 유출 방지부(330)를 포함한다.Referring to FIG. 3 , the Mesquared server 300a according to an embodiment includes a malware prevention unit 310 , a ransomware prevention unit 320 , and a leak prevention unit 330 .

맬웨어 방지부(310)는, 사용자 단말기(400)의 사용자가 보안 서버(200)에 의해 정당 사용자로 판독되는 동시에 사용자 단말기(400)에서 사용하고자 하는 애플리케이션(AP)의 무결성이 보장되는 경우에 한하여 사용자 단말기(400)의 사내 네트워크(500)로의 접속을 허용한다.The anti-malware unit 310 is configured only when the user of the user terminal 400 is read as a legitimate user by the security server 200 and the integrity of the application (AP) to be used in the user terminal 400 is guaranteed. The user terminal 400 allows access to the corporate network 500 .

일 실시예에서, 맬웨어 방지부(310)는, 사용자 단말기(400)에서 사용하고자 하는 애플리케이션(AP)이 바이너리 변조 또는 DLL 인젝션 공격으로 인해 맬웨어(M)에 감염되었다고 판단되는 경우 무결성이 위배된 것으로 판단할 수 있다.In one embodiment, the anti-malware unit 310 determines that the integrity of the application (AP) to be used in the user terminal 400 is violated when it is determined that the application (AP) is infected with malware (M) due to binary tampering or DLL injection attack. can judge

일 실시예에서, 맬웨어 방지부(310)는, 사용자 단말기(400)에서 사용하고자 하는 애플리케이션(AP)의 무결성이 위배된 것으로 판단하여 사내 네트워크(500)로의 접속이 차단된 경우, 사용자 단말기(400)의 사내 네트워크(500)로의 접속 이외의 사용에는 제한을 두지 아니할 수 있다.In an embodiment, when the malware prevention unit 310 determines that the integrity of the application (AP) to be used in the user terminal 400 is violated and the access to the corporate network 500 is blocked, the user terminal 400 ) may not be restricted for use other than the connection to the internal network 500 .

기존 제품들의 맬웨어의 보안 방식은 내부망으로 들어오는 패킷의 패턴을 체크하여 알려진 맬웨어 패턴과 유사하면 필터링을 하는 구조이다.The malware security method of existing products is a structure that checks the pattern of packets coming into the internal network and filters them if they are similar to known malware patterns.

현 방식의 가장 큰 문제점은 알려지지 않은 맬웨어는 탐지가 불가능하여 위협에 바로 노출이 된다는 것이다.The biggest problem with the current method is that unknown malware cannot be detected, leaving you directly exposed to threats.

또한, 오탐이나 과탐이 많아 정상적인 업무 활동에 지장을 주는 경우도 많아 업무 효율성을 많이 떨어지고 신뢰성 역시 떨어진다.In addition, there are many false positives or over-detections, which often interfere with normal business activities, which greatly reduces work efficiency and lowers reliability.

본 발명에 따른 맬웨어 방지부(310)는, 최근 앤드포인트 보안(Endpoint Security)이라 불리는 기술을 활용하여 에이전트(100)를 이용하여 시작점에서 네트워크 패킷의 패킷 발생을 필터링하기때문에 원천적으로 침투가 불가능하다.Since the malware prevention unit 310 according to the present invention filters the packet generation of the network packet at the starting point using the agent 100 using a technology recently called Endpoint Security, it is fundamentally impossible to penetrate. .

랜섬웨어 방지부(320)는, 사용자 단말기(400)의 사용자가 보안 서버(200)에 의해 정당 사용자로 판독되는 동시에 사용자 단말기(400)에서 사용하고자 하는 애플리케이션(AP)이 사용이 허용된 경우에 한하여 사용자 단말기(400)의 사내 네트워크(500)로의 접속을 허용한다.When the user of the user terminal 400 is read as a legitimate user by the security server 200 and the application (AP) to be used in the user terminal 400 is allowed to be used, the ransomware prevention unit 320 is Only the user terminal 400 is allowed to access the internal network 500 .

일 실시예에서, 랜섬웨어 방지부(320)는, 사용자 단말기(400)가 사용이 허용된 애플리케이션(AP) 이외에 사용이 허용되지 아니한 애플리케이션(R)을 사용하고자 하는 경우 사용자 단말기(400)의 사내 네트워크(500)로의 접속을 차단할 수 있다.In one embodiment, the ransomware prevention unit 320, when the user terminal 400 intends to use an application (R) that is not allowed to be used other than the application (AP) that is allowed to be used, the user terminal 400 is Access to the network 500 may be blocked.

일반적으로 랜섬웨어는 별도의 프로세스를 가지고 실행되는데 이는 허용된 애플리케이션이 아닌 별도의 애플리케이션이기 때문에 사내 네트워크(500)로 접근이 불가능하다.In general, ransomware is executed with a separate process, which is not an allowed application but a separate application, so it is impossible to access the internal network 500 .

아직 발생 사례는 없지만 맬웨어의 방식으로 침투 시도하는 경우 역시 무결성에 위배되기때문에 랜섬웨어 방지부(320) 역시 맬웨어 방지 기술을 이용하여 침투 방어가 가능하다.Although there is no case of occurrence yet, since an attempt to penetrate in the manner of malware also violates integrity, the ransomware prevention unit 320 can also prevent penetration by using an anti-malware technology.

기존 제품들의 랜섬웨어 보안 방식은 여러가지가 있지만 주로 사용되는 랜섬웨어 보안을 위한 별도의 파일서버를 구축하거나 업무장비에 업무 파일을 수시로 찾아서 백업해주는 애플리케이션을 사용한다. 해당 방법들은 도입과 유지보수에 많은 비용을 필요로 하고 업무 장비의 자원을 매우 많이 사용하여 업무 효율성을 떨어트리고 완벽한 신뢰 역시 어렵다.Although there are various ransomware security methods of existing products, a separate file server is established for ransomware security, which is mainly used, or an application that frequently finds and backs up business files on business equipment is used. These methods require a lot of cost for introduction and maintenance, use a lot of resources of work equipment, reduce work efficiency, and complete trust is also difficult.

본 발명에 따른 랜섬웨어 방지부(320)는, 맬웨어와 마찬가지로 앤드포인트 보안기술을 활용하여 업무 서버에 원천적으로 침투가 불가능하다.The ransomware prevention unit 320 according to the present invention cannot fundamentally penetrate into a business server by using an endpoint security technology like malware.

또한, 에이전트(100)가 커널 영역에서 동작하기 때문에 업무 장비의 매우 적은 자원을 사용하며 빠른 동작이 가능하다.In addition, since the agent 100 operates in the kernel area, it uses very few resources of the work equipment and can operate quickly.

유출 방지부(330)는, 사내 네트워크(500)에 접속하여 업무 중인 사용자 단말기(400)가 설정된 유출보안 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위를 제한한다.The leak prevention unit 330 limits the scope of task performance so that the user terminal 400 accessing the internal network 500 can perform the task only within the scope of the set leak security policy.

일 실시예에서, 에이전트(100)는, 도 4에 도시된 바와 같이 사용자 단말기(400)의 커널 영역(Kernel Space)에 설치될 수 있다.In an embodiment, the agent 100 may be installed in a kernel space of the user terminal 400 as shown in FIG. 4 .

일 실시예에서, 에이전트(100)는, 도 4에 도시된 바와 같이 사용자 단말기(400)의 유저 영역(User Space)과 커널 영역(Kernel Space)에 동시에 설치될 수 있다.In an embodiment, the agent 100 may be installed simultaneously in a user space and a kernel space of the user terminal 400 as shown in FIG. 4 .

일 실시예에서, 유출 방지부(330)는, 사용자 단말기(400)에서 사용 중인 애플리케이션(AP)이 시스템콜(System Call)을 이용하여 에이전트(100)를 경유하여 커널(Kernel)로 커널 함수 호출 시 기 설정된 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위에 제한을 설정할 수 있다.In one embodiment, the leak prevention unit 330, the application (AP) being used in the user terminal 400 using a system call (System Call) to the kernel (Kernel) via the agent 100 calls a kernel function Restrictions can be set on the scope of work so that work can be performed only within the scope of the policy set at the time.

일 실시예에서, 유출 방지부(330)는, 도 7에 도시된 바와 같이 사용자 단말기(400)에서 사용 중인 애플리케이션(AP)이 시스템콜(System Call)을 이용하여 에이전트(100)를 경유하여 커널(Kernel)로 커널 함수 호출 시 기 설정된 정책(즉, 후술하는 "파일 저장", "프린트", 및 "화면 캡쳐" 중 적어도 하나 이상의 기능 )의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위에 제한을 설정할 수 있다.In one embodiment, the leak prevention unit 330, as shown in Fig. 7, the application (AP) being used in the user terminal 400 using a system call (System Call) via the agent 100 to the kernel When calling a kernel function with (Kernel), the scope of task execution so that tasks can be performed only within the scope of the preset policy (that is, at least one or more of "file storage", "print", and "screen capture" to be described later) limits can be set.

일 실시예에서, 유출 방지부(330)는, 커널로부터 에이전트(100)를 경유하여 사용자 단말기(400)에서 사용 중인 애플리케이션(AP)으로 전달되는 커널 함수의 반환 값을 필터링하여 유출을 차단할 수 있다.In an embodiment, the leak prevention unit 330 may block the leak by filtering the return value of the kernel function transmitted from the kernel to the application (AP) being used in the user terminal 400 via the agent 100 . .

일 실시예에서, 유출 방지부(330)는, "파일 저장", "프린트", 및 "화면 캡쳐" 중 적어도 하나 이상의 기능에 대하여 사용자 단말기(400)에서 사용 중인 애플리케이션(AP)의 업무 수행의 범위에 제한을 설정할 수 있다.In one embodiment, the leakage prevention unit 330, "file storage", "print", and "screen capture" for at least one or more functions of the application (AP) being used in the user terminal 400 for performing the task. You can set limits on the range.

기존에는 유출 방지를 위해 USB를 제한하는 등 별도의 애플리케이션들을 여러 개 사용하고 원천적인 유출 방지를 위해 망분리를 하는 등 매우 많고 거대한 시스템들이 도입되어 있다. In the past, many and huge systems have been introduced, such as using several separate applications such as restricting USB to prevent leakage, and separating networks to prevent leakage at the source.

본 발명에 따른 유출 방지부(330)는, 패러다임의 전환을 통하여 앤드포인트 보안, 네트워크 보안과 융합을 통해 정확한 대상을 파악하여 그 대상만 보안하기 때문에 간단하면서도 정확한 보안이 가능하고 업무 장비의 자원을 기존대비 매우 적게 사용하기 때문에 업무 효율성의 극대화가 가능하도록 할 수 있다.The leak prevention unit 330 according to the present invention, through a paradigm shift, identifies an exact target through endpoint security, network security and convergence and secures only the target, so that simple and accurate security is possible and the resources of business equipment are conserved. Since it uses very little compared to the existing one, it can be possible to maximize work efficiency.

상술한 바와 같은 구성을 가지는 사내 네트워크 외부 접속 보안 시스템은, 운영체제(Operation System; OS), 즉 시스템을 기반으로 다양한 소프트웨어를 실행하거나 제작할 수 있다. 상기 운영체제는 소프트웨어가 장치의 하드웨어를 사용할 수 있도록 하기 위한 시스템 프로그램으로서, 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터 운영체제 및 윈도우 계열, 리눅스 계열, 유닉스 계열, MAC, AIX, HP-UX 등 컴퓨터 운영체제를 모두 포함할 수 있다.The in-house network external access security system having the above-described configuration may execute or manufacture various software based on an operating system (OS), that is, the system. The operating system is a system program for software to use the hardware of the device, and is a mobile computer operating system such as Android OS, iOS, Windows Mobile OS, Bada OS, Symbian OS, Blackberry OS and Windows series, Linux series, Unix series, It can include all computer operating systems such as MAC, AIX, and HP-UX.

상술한 바와 같은 구성을 가지는 사내 네트워크 외부 접속 보안 시스템의 각 구성에 의한 사내 네트워크 외부 접속 보안 방법은 도 8 이하의 방법 설명에서 후술한다.A method for securing external access to the internal network by each configuration of the internal network external access security system having the above-described configuration will be described later in the method description below with reference to FIG. 8 .

도 8은 본 발명의 일 실시예에 따른 개인별 사내 네트워크 외부 접속 보안 방법을 설명하는 순서도이다.8 is a flowchart illustrating a method for securing external access to an internal internal network for each individual according to an embodiment of the present invention.

도 8을 참조하면, 본 발명의 일 실시예에 따른 개인별 사내 네트워크 외부 접속 보안 방법은 우선, 사용자 단말기(400)가 외부로부터 회사 내에 설치되는 사내 네트워크(500)로의 접속 승인을 요청한다(S110).Referring to FIG. 8 , in the method for securing external access to an individual internal network according to an embodiment of the present invention, first, the user terminal 400 requests access to the internal network 500 installed in the company from the outside (S110) .

접속 승인을 요청하는 사용자 단말기(400)의 정당 사용자 여부를 보안 서버(200)에서 확인한다(S120).The security server 200 checks whether the user terminal 400 requesting access approval is a legitimate user (S120).

사내 네트워크(500)로의 접속을 요청하는 사용자 단말기(400)에 설치되는 에이전트(100)의 IP의 접속 승인을 메스쿼레이드 서버(300)에서 설정하고, 사내 네트워크로(500)의 접속 승인이 설정된 에이전트(100)의 IP(Source IP)의 목적지 IP(Destination IP)로의 연결 정책을 메스쿼레이드 서버(300)에서 설정한다(S130).Access approval of the IP of the agent 100 installed in the user terminal 400 requesting access to the internal network 500 is set in the Mesquarade server 300, and the access approval to the internal network 500 is set A connection policy of the IP (Source IP) of the agent 100 to the Destination IP (Destination IP) is set in the Mesquared Server 300 (S130).

메스쿼레이드 서버(300)에서 연결 정책이 설정된 사용자 단말기(400)의 사내 네트워크(500)로의 접속을 보안 서버(200)에서 승인한다(S140).The security server 200 approves the access to the corporate network 500 of the user terminal 400 for which the connection policy is set in the mesquared server 300 (S140).

에이전트(100)로부터 사내 네트워크(500)로 전송되는 패킷(Packet)이 메스쿼레이드 서버(300)를 경유(Relay)하면서 에이전트(100)가 사내 네트워크(500)에 접속한다(S150).While a packet transmitted from the agent 100 to the company network 500 passes through the mesquared server 300 (Relay), the agent 100 accesses the company network 500 (S150).

이상의 실시예들에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field programmable gate array) 또는 ASIC 와 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램특허 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다.The term '~ unit' used in the above embodiments means software or hardware components such as field programmable gate array (FPGA) or ASIC, and '~ unit' performs certain roles. However, '-part' is not limited to software or hardware. '~unit' may be configured to reside on an addressable storage medium or may be configured to refresh one or more processors. Thus, as an example, '~' denotes components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, and procedures. , subroutines, segments of program patent code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables.

구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로부터 분리될 수 있다.Functions provided in components and '~ units' may be combined into a smaller number of components and '~ units' or separated from additional components and '~ units'.

뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU 들을 재생시키도록 구현될 수도 있다.In addition, components and '~ units' may be implemented to play one or more CPUs in a device or secure multimedia card.

본 발명에 따른 사내 네트워크 외부 접속 보안 방법은 컴퓨터에 의해 실행 가능한 명령어 및 데이터를 저장하는, 컴퓨터로 판독 가능한 매체의 형태로도 구현될 수 있다. 이때, 명령어 및 데이터는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 소정의 프로그램 모듈을 생성하여 소정의 동작을 수행할 수 있다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터 기록 매체일 수 있는데, 컴퓨터 기록 매체는 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함할 수 있다. 예를 들어, 컴퓨터 기록 매체는 HDD 및 SSD 등과 같은 마그네틱 저장 매체, CD, DVD 및 블루레이 디스크 등과 같은 광학적 기록 매체, 또는 네트워크를 통해 접근 가능한 서버에 포함되는 메모리일 수 있다. The internal network external access security method according to the present invention may also be implemented in the form of a computer-readable medium for storing instructions and data executable by a computer. In this case, the instructions and data may be stored in the form of program codes, and when executed by the processor, a predetermined program module may be generated to perform a predetermined operation. In addition, computer-readable media can be any available media that can be accessed by a computer, and includes both volatile and nonvolatile media, removable and non-removable media. In addition, the computer readable medium may be a computer recording medium, which is a volatile and non-volatile and non-volatile embodied in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. It may include both volatile, removable and non-removable media. For example, the computer recording medium may be a magnetic storage medium such as HDD and SSD, an optical recording medium such as CD, DVD, and Blu-ray disc, or a memory included in a server accessible through a network.

본 발명에 따른 사내 네트워크 외부 접속 보안 방법은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 컴퓨터 프로그램(또는 컴퓨터 프로그램 제품)으로 구현될 수도 있다. 컴퓨터 프로그램은 프로세서에 의해 처리되는 프로그래밍 가능한 기계 명령어를 포함하고, 고레벨 프로그래밍 언어(High-level Programming Language), 객체 지향 프로그래밍 언어(Object-oriented Programming Language), 어셈블리 언어 또는 기계 언어 등으로 구현될 수 있다. 또한 컴퓨터 프로그램은 유형의 컴퓨터 판독가능 기록매체(예를 들어, 메모리, 하드디스크, 자기/광학 매체 또는 SSD(Solid-State Drive) 등)에 기록될 수 있다. The internal network external access security method according to the present invention may be implemented as a computer program (or computer program product) including instructions executable by a computer. The computer program includes programmable machine instructions processed by a processor, and may be implemented in a high-level programming language, an object-oriented programming language, an assembly language, or a machine language. . In addition, the computer program may be recorded in a tangible computer-readable recording medium (eg, a memory, a hard disk, a magnetic/optical medium, or a solid-state drive (SSD), etc.).

본 발명에 따른 사내 네트워크 외부 접속 보안 방법은 상술한 바와 같은 컴퓨터 프로그램이 컴퓨팅 장치에 의해 실행됨으로써 구현될 수 있다. 컴퓨팅 장치는 프로세서와, 메모리와, 저장 장치와, 메모리 및 고속 확장포트에 접속하고 있는 고속 인터페이스와, 저속 버스와 저장 장치에 접속하고 있는 저속 인터페이스 중 적어도 일부를 포함할 수 있다. 이러한 성분들 각각은 다양한 버스를 이용하여 서로 접속되어 있으며, 공통 머더보드에 탑재되거나 다른 적절한 방식으로 장착될 수 있다.The internal network external access security method according to the present invention may be implemented by executing the computer program as described above by a computing device. The computing device may include at least a portion of a processor, a memory, a storage device, a high-speed interface connected to the memory and the high-speed expansion port, and a low-speed interface connected to the low-speed bus and the storage device. Each of these components is connected to each other using various buses, and may be mounted on a common motherboard or mounted in any other suitable manner.

여기서 프로세서는 컴퓨팅 장치 내에서 명령어를 처리할 수 있는데, 이런 명령어로는, 예컨대 고속 인터페이스에 접속된 디스플레이처럼 외부 입력, 출력 장치상에 GUI(Graphic User Interface)를 제공하기 위한 그래픽 정보를 표시하기 위해 메모리나 저장 장치에 저장된 명령어를 들 수 있다. 다른 실시예로서, 다수의 프로세서 및(또는) 다수의 버스가 적절히 다수의 메모리 및 메모리 형태와 함께 이용될 수 있다. 또한 프로세서는 독립적인 다수의 아날로그 및(또는) 디지털 프로세서를 포함하는 칩들이 이루는 칩셋으로 구현될 수 있다.Here, the processor may process commands within the computing device, such as for displaying graphic information for providing a Graphical User Interface (GUI) on an external input or output device, such as a display connected to a high-speed interface. Examples are instructions stored in memory or a storage device. In other embodiments, multiple processors and/or multiple buses may be used with multiple memories and types of memory as appropriate. In addition, the processor may be implemented as a chipset formed by chips including a plurality of independent analog and/or digital processors.

또한 메모리는 컴퓨팅 장치 내에서 정보를 저장한다. 일례로, 메모리는 휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 다른 예로, 메모리는 비휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 또한 메모리는 예컨대, 자기 혹은 광 디스크와 같이 다른 형태의 컴퓨터 판독 가능한 매체일 수도 있다.Memory also stores information within the computing device. As an example, the memory may be configured as a volatile memory unit or a set thereof. As another example, the memory may be configured as a non-volatile memory unit or a set thereof. The memory may also be another form of computer readable medium such as, for example, a magnetic or optical disk.

그리고 저장장치는 컴퓨팅 장치에게 대용량의 저장공간을 제공할 수 있다. 저장 장치는 컴퓨터 판독 가능한 매체이거나 이런 매체를 포함하는 구성일 수 있으며, 예를 들어 SAN(Storage Area Network) 내의 장치들이나 다른 구성도 포함할 수 있고, 플로피 디스크 장치, 하드 디스크 장치, 광 디스크 장치, 혹은 테이프 장치, 플래시 메모리, 그와 유사한 다른 반도체 메모리 장치 혹은 장치 어레이일 수 있다.In addition, the storage device may provide a large-capacity storage space to the computing device. The storage device may be a computer-readable medium or a component comprising such a medium, and may include, for example, devices or other components within a storage area network (SAN), a floppy disk device, a hard disk device, an optical disk device, Alternatively, it may be a tape device, a flash memory, or other semiconductor memory device or device array similar thereto.

상술된 실시예들은 예시를 위한 것이며, 상술된 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 상술된 실시예들이 갖는 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 상술된 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above-described embodiments are for illustration, and those of ordinary skill in the art to which the above-described embodiments belong can easily transform into other specific forms without changing the technical idea or essential features of the above-described embodiments. You will understand. Therefore, it should be understood that the above-described embodiments are illustrative in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and likewise components described as distributed may also be implemented in a combined form.

본 명세서를 통해 보호받고자 하는 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태를 포함하는 것으로 해석되어야 한다.The scope to be protected through this specification is indicated by the claims described below rather than the above detailed description, and should be construed to include all changes or modifications derived from the meaning and scope of the claims and their equivalents. .

10: 사내 네트워크 외부 접속 보안 시스템
100: 에이전트
200: 보안 서버
300, 300a: 메스쿼레이드 서버
310: 맬웨어 방지부
320: 랜섬웨어 방지부
330: 유출 방지부
400: 사용자 단말기
500: 사내 네트워크10: Internal network external access security system
100: agent
200: security server
300, 300a: Mesquared Server
310: anti-malware unit
320: ransomware prevention unit
330: leak prevention unit
400: user terminal
500: in-house network

Claims (10)

허용된 네트워크 정보만이 사내 네트워크로 접속하도록 승인하고 상기 사내 네트워크의 IP 노출을 방지하여 의도치 않은 접속 또는 공격을 방지함으로써 안전한 외부 접속이 가능하도록 구현한 사내 네트워크 외부 접속 보안 시스템에 관한 것으로,
외부로부터 회사 내에 설치되는 상기 사내 네트워크로 접속하려는 사용자 단말기에 설치되는 에이전트;
상기 사용자 단말기의 정당 사용자 여부를 확인하며, 정당 사용자로 판단된 상기 사용자 단말기의 상기 사내 네트워크로의 접속 승인 여부에 따라 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 승인 또는 차단하는 보안 서버; 및
상기 보안 서버로부터 상기 사용자 단말기의 상기 사내 네트워크로 접속 요청이 전달되는 경우 접속을 요청하는 상기 사용자 단말기에 설치되는 상기 에이전트의 IP의 접속 승인을 설정하고, 상기 사내 네트워크로의 접속 승인이 설정된 상기 에이전트의 IP(Source IP)의 목적지 IP(Destination IP)로의 연결 정책을 설정한 뒤 설정된 연결 정책의 결과를 상기 보안 서버로 통지하며, 상기 에이전트로부터 상기 사내 네트워크로 전송되는 패킷(Packet)이 경유(Relay)되는 메스쿼레이드 서버;를 포함하며,
상기 메스쿼레이드 서버는,
상기 사용자 단말기의 사용자가 상기 보안 서버에 의해 정당 사용자로 판독되는 동시에 상기 사용자 단말기에서 사용하고자 하는 애플리케이션의 무결성이 보장되는 경우에 한하여 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 허용하는 맬웨어 방지부;
상기 사용자 단말기의 사용자가 상기 보안 서버에 의해 정당 사용자로 판독되는 동시에 상기 사용자 단말기에서 사용하고자 하는 애플리케이션이 사용이 허용된 경우에 한하여 상기 사용자 단말기의 상기 사내 네트워크로의 접속을 허용하는 랜섬웨어 방지부; 및
상기 사내 네트워크에 접속하여 업무 중인 상기 사용자 단말기가 설정된 유출보안 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위를 제한하는 유출 방지부;를 포함하며,
상기 에이전트는,
상기 사용자 단말기의 커널 영역(Kernel Space)에 설치되며,
상기 유출 방지부는,
상기 사용자 단말기에서 사용 중인 애플리케이션이 시스템콜(System Call)을 이용하여 상기 에이전트를 경유하여 커널(Kernel)로 커널 함수 호출 시 기 설정된 정책의 범위 내에서만 업무를 수행할 수 있도록 업무 수행의 범위에 제한을 설정하며,
상기 맬웨어 방지부는,
상기 사용자 단말기에서 사용하고자 하는 애플리케이션(AP)이 바이너리 변조 또는 DLL 인젝션 공격으로 인해 맬웨어(M)에 감염되었다고 판단되는 경우 무결성이 위배된 것으로 판단하며,
상기 맬웨어 방지부는,
상기 사용자 단말기에서 사용하고자 하는 애플리케이션(AP)의 무결성이 위배된 것으로 판단하여 상기 사내 네트워크로의 접속이 차단된 경우, 상기 사용자 단말기의 상기 사내 네트워크로의 접속 이외의 사용에는 제한을 두지 아니하며,
상기 유출 방지부는,
"파일 저장", "프린트", 및 "화면 캡쳐" 중 적어도 하나 이상의 기능에 대하여 상기 사용자 단말기에서 사용 중인 애플리케이션(AP)의 업무 수행의 범위에 제한을 설정하는, 사내 네트워크 외부 접속 보안 시스템.
It relates to a security system for external access to the internal network implemented to allow safe external access by allowing only permitted network information to access the internal network and preventing unintended access or attacks by preventing IP exposure of the internal network,
an agent installed in a user terminal to access the internal network installed in the company from the outside;
a security server that confirms whether the user terminal is a legitimate user, and approves or blocks access of the user terminal to the internal network according to whether the user terminal determined as a political party user approves access to the internal network; and
When an access request is transmitted from the security server to the internal network of the user terminal, the agent sets access approval for the IP of the agent installed in the user terminal requesting access, and the agent for which access approval to the corporate network is set After setting the connection policy from the IP (Source IP) to the destination IP (Destination IP) of ) to the Mesquared server; including,
The Mesquared server,
a malware prevention unit allowing the user terminal to access the corporate network only when the user of the user terminal is read as a legitimate user by the security server and the integrity of the application to be used in the user terminal is guaranteed;
A ransomware prevention unit that allows the user terminal to access the corporate network only when the user of the user terminal is read as a legitimate user by the security server and the application to be used in the user terminal is permitted ; and
and a leak prevention unit that limits the scope of business performance so that the user terminal, which is working by accessing the internal network, can perform the business only within the scope of the set leakage security policy; and
The agent is
It is installed in the kernel space of the user terminal,
The leak prevention unit,
When the application being used in the user terminal uses a system call to call a kernel function to the kernel via the agent using a system call, the scope of task execution is limited so that the task can be performed only within the scope of a preset policy. to set,
The anti-malware unit,
If it is determined that the application (AP) to be used in the user terminal is infected with malware (M) due to binary tampering or DLL injection attack, it is determined that integrity is violated,
The anti-malware unit,
When the access to the internal network is blocked because it is determined that the integrity of the application (AP) to be used in the user terminal is violated, there is no restriction on the use of the user terminal other than the access to the internal network,
The leak prevention unit,
An internal network external access security system for setting a limit on the scope of work performance of an application (AP) being used in the user terminal with respect to at least one or more functions of "save file", "print", and "screen capture".
 제1항에 있어서, 상기 메스쿼레이드 서버는,
상기 사용자 단말기가 상기 사내 네트워크와의 접속이 종료된 경우 상기 사용자 단말기에게 설정되었던 연결 정책을 소멸시키는, 사내 네트워크 외부 접속 보안 시스템.
The method of claim 1, wherein the Mesquared server,
When the user terminal terminates the connection to the in-house network, the connection policy set for the user terminal is destroyed, the internal network external access security system.
 제2항에 있어서, 상기 메스쿼레이드 서버는,
상기 사용자 단말기로부터 상기 사내 네트워크와 접속이 승인되었다 연결 정책이 소멸된 후 다시 접속 승인이 요청되는 경우 연결 정책을 새롭게 재설정하는, 사내 네트워크 외부 접속 보안 시스템.
The method of claim 2, wherein the Mesquared server,
When access to the internal network is approved from the user terminal and access approval is requested again after the connection policy expires, the internal network external access security system for re-establishing a connection policy.
 제2항에 있어서, 상기 메스쿼레이드 서버는,
상기 사용자 단말기로부터 접속 해제 요청이 전달되거나 상기 사용자 단말기와의 사이에 헬스 체크(Health Check)이 실패한 경우 상기 사용자 단말기와 상기 사내 네트워크 사이의 접속이 종료된 것으로 간주하는, 사내 네트워크 외부 접속 보안 시스템.
The method of claim 2, wherein the Mesquared server,
When a connection release request is transmitted from the user terminal or a health check fails between the user terminal and the user terminal, it is considered that the connection between the user terminal and the in-house network is terminated.
 제1항에 있어서, 상기 메스쿼레이드 서버는,
접속 승인이 설정된 상기 에이전트의 IP(Source IP)와 접속 승인이 설정된 상기 에이전트의 포트(Port)도 함께 목적지 IP(Destination IP)로의 연결 정책을 설정하는, 사내 네트워크 외부 접속 보안 시스템.
The method of claim 1, wherein the Mesquared server,
A system for setting a connection policy to a destination IP (Destination IP) together with the IP (Source IP) of the agent for which access approval is set and the port (Port) of the agent for which access approval is set.
 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020210192798A 2021-12-30 2021-12-30 Internal Network External Access Security System KR102443714B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210192798A KR102443714B1 (en) 2021-12-30 2021-12-30 Internal Network External Access Security System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210192798A KR102443714B1 (en) 2021-12-30 2021-12-30 Internal Network External Access Security System

Publications (1)

Publication Number Publication Date
KR102443714B1 true KR102443714B1 (en) 2022-09-16

Family

ID=83445165

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210192798A KR102443714B1 (en) 2021-12-30 2021-12-30 Internal Network External Access Security System

Country Status (1)

Country Link
KR (1) KR102443714B1 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200264584Y1 (en) 2001-11-16 2002-02-19 (주)리눅스 베이 The gateway server for internet connection of mobile computer as transient passenger attached to wired LAN
KR20060123644A (en) * 2004-02-20 2006-12-01 노키아 코포레이션 System, method and computer program product for accessing at least one virtual private network
KR20070039597A (en) * 2004-07-23 2007-04-12 사이트릭스 시스템스, 인크. A method and system for securing remote access to private networks
KR20130106611A (en) * 2012-03-20 2013-09-30 우상원 Control method of connecting to mobile-network for smart phone, the system and the computer readable medium able running the program thereof
KR101766444B1 (en) 2010-01-28 2017-08-08 엘타 시스템즈 리미티드 Cellular communication system with moving base stations and methods and apparatus useful in conjunction therewith
KR101910605B1 (en) * 2017-06-19 2018-10-23 주식회사 케이티 System and method for controlling network access of wireless terminal
KR102309116B1 (en) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 System and method for controlling network access of data flow based application

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200264584Y1 (en) 2001-11-16 2002-02-19 (주)리눅스 베이 The gateway server for internet connection of mobile computer as transient passenger attached to wired LAN
KR20060123644A (en) * 2004-02-20 2006-12-01 노키아 코포레이션 System, method and computer program product for accessing at least one virtual private network
KR20070039597A (en) * 2004-07-23 2007-04-12 사이트릭스 시스템스, 인크. A method and system for securing remote access to private networks
KR101766444B1 (en) 2010-01-28 2017-08-08 엘타 시스템즈 리미티드 Cellular communication system with moving base stations and methods and apparatus useful in conjunction therewith
KR20130106611A (en) * 2012-03-20 2013-09-30 우상원 Control method of connecting to mobile-network for smart phone, the system and the computer readable medium able running the program thereof
KR101910605B1 (en) * 2017-06-19 2018-10-23 주식회사 케이티 System and method for controlling network access of wireless terminal
KR102309116B1 (en) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 System and method for controlling network access of data flow based application

Similar Documents

Publication Publication Date Title
US10375111B2 (en) Anonymous containers
CN114697129B (en) System and method for enforcing dynamic network security policies
US8959657B2 (en) Secure data management
US9355261B2 (en) Secure data management
US9100440B1 (en) Systems and methods for applying data loss prevention policies to closed-storage portable devices
JP2021128785A (en) Process control software security architecture based on least privileges, and computer device
RU2559728C2 (en) System and method of encoding files from encrypted drive
US10768941B2 (en) Operating system management
US10528723B2 (en) Systems and methods for generating policies for an application using a virtualized environment
CN109379347B (en) Safety protection method and equipment
JP2016514319A (en) Context-based switching to a secure operating system environment
JP6243479B2 (en) Inoculators and antibodies for computer security
US11048809B1 (en) Systems and methods for detecting misuse of online service access tokens
US11012452B1 (en) Systems and methods for establishing restricted interfaces for database applications
US10607002B2 (en) Isolating an application running inside a native container application
KR102443714B1 (en) Internal Network External Access Security System
US20230177148A1 (en) Liveness guarantees in secure enclaves using health tickets
US10698752B2 (en) Preventing unauthorized access to secure enterprise information systems using a multi-intercept system
CN108241801B (en) Method and device for processing system call
KR20220151126A (en) Reducing latency of hardware trusted execution environments
US11671422B1 (en) Systems and methods for securing authentication procedures
US11606689B1 (en) Systems and methods for authenticating application points of entry to prevent unauthorized use of locked mobile applications
KR102090151B1 (en) Data protection system and method thereof
KR102443713B1 (en) Next-Generation Convergence Security System
US10567387B1 (en) Systems and methods for managing computing device access to local area computer networks

Legal Events

Date Code Title Description
GRNT Written decision to grant