KR102508418B1 - 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 - Google Patents
사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 Download PDFInfo
- Publication number
- KR102508418B1 KR102508418B1 KR1020220118541A KR20220118541A KR102508418B1 KR 102508418 B1 KR102508418 B1 KR 102508418B1 KR 1020220118541 A KR1020220118541 A KR 1020220118541A KR 20220118541 A KR20220118541 A KR 20220118541A KR 102508418 B1 KR102508418 B1 KR 102508418B1
- Authority
- KR
- South Korea
- Prior art keywords
- access
- user
- connection
- server
- deviation
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 30
- 230000002159 abnormal effect Effects 0.000 claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000001514 detection method Methods 0.000 claims abstract description 7
- 238000012423 maintenance Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 17
- 238000007726 management method Methods 0.000 description 89
- 238000004891 communication Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012550 audit Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
다양한 실시 예에 따르면, 사용자의 외부 서버 접속에 관한 보안 관리 솔루션을 제공하는 서버는, 상기 사용자의 상기 외부 서버로의 접속 이벤트가 발생하는 경우, 상기 로그인 접속의 사용자 계정에 대하여 인증을 수행하는 사용자 인증부; 상기 사용자의 접속 패턴에 기반하여 상기 사용자에 의한 접속 이벤트가 유효한 것인지 분석하는 접속 패턴 분석부; 상기 외부 서버로의 접속 이벤트가 발생하는 경우, 수집된 로그인 연결 정보를 이용하여 상기 외부 서버로의 접속이 우회 접속인지 여부를 감지하는 우회 접속 감지부; 및 상기 사용자 인증부에 의하여 상기 외부 서버 접근에 대한 인증이 완료되고 정상 사용자로 결정되면, 상기 사용자의 사용자 단말과 상기 서버 사이의 세션을 중계하는 접속 중계부를 포함할 수 있다.
Description
본 발명은 사내 보안관리 솔루션을 제공하는 방법 및 그 시스템하는 방법 및 장치에 관한 것으로, 더욱 상세하게는 계정 보안, 접근 통제, 인증 관리와 관련된 사내 보안관리 솔루션을 제공하는 방법 및 그 시스템에 관한 것이다.
종래 기술에 따른 서버 접근통제 시스템은 먼저 접근하는 사용자에 대하여 사용자 인증을 수행하고, 사용자 인증을 거친 후 부여된 권한 내의 장비에 접근 및 작업을 수행할 수 있도록 하는 보안 기능을 제공한다. 또는, 서버 접근의 보안을 위하여, 서버에 접근이 필요한 사용자에게 계정 정보(ID/Password)를 할당하여 알려주고, 작업을 마친 후 접근 종료 시 할당했던 서버의 계정 패스워드를 변경하거나, 해당 계정 자체를 삭제하는 방법이 제시되어왔다.
그러나 해커 또는 악의적인 사용자가 관리자 계정 정보를 탈취한 후, 해당 계정 정보로 사용자 인증을 수행하면 정상적인 인증을 거칠 수 있다. 이 경우, 악의적 사용자는 관리자의 권한 하에서 서버에 접근할 수 있고, 부여된 권한 내에서 악의적인 행위(정보유출, 파괴행위 등)를 수행할 수 있다. 즉, 관리자 계정 정보의 누출로 인하여, 통제할 수 없는 보안 문제가 발생할 수 있다.
실제 국내에서 발생한 개인정보유출 보안사고 사례를 보면, 해커가 기관의 내부 관리자의 계정 인증 정보(ID/Password)를 이메일(E-Mail)의 악성코드를 첨부하는 방식으로 탈취하여 침입하는 사례가 많다. 이 경우, 침입자는 접근통제 시스템의 정상 인증을 거친 후 기관의 주요 서버에 접근하여 개인정보를 유출한다. 사고 후 분석 결과를 보면, 해커 등 침입자는 주로 관리자가 평소 사용하지 않은 시간대에 접근하여 침해 행위를 수행한 것으로 밝혀지고 있다. 예를 들어, 침입자는 관리자가 한번도 접근하지 않았던 주말 새벽 시간대에, 권한이 존재하는 대부분의 서버에 집중적으로 접근하여 침해 행위를 수행하였음이 밝혀지고 있다. 따라서, 사용자의 접근 패턴을 분석하여 이상 접근인지 감지하는 방법이 고안될 필요가 있다.
본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 사용자의 서버 접근 패턴에 기반하여 정상 접근인지 비정상 접근인지 여부를 제공하는데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 계정 보안, 접근 통제, 인증 관리를 통해 사내 보안관리 솔루션을 제공하는데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 본 문서를 통해 직접적 또는 간접적으로 파악되는 목적들을 추가로 제공할 수 있다.
다양한 실시 예에 따르면, 사용자의 외부 서버 접속에 관한 보안 관리 솔루션을 제공하는 서버는, 상기 사용자의 상기 외부 서버로의 접속 이벤트가 발생하는 경우, 상기 로그인 접속의 사용자 계정에 대하여 인증을 수행하는 사용자 인증부; 상기 사용자의 접속 패턴에 기반하여 상기 사용자에 의한 접속 이벤트가 유효한 것인지 분석하는 접속 패턴 분석부; 상기 외부 서버로의 접속 이벤트가 발생하는 경우, 수집된 로그인 연결 정보를 이용하여 상기 외부 서버로의 접속이 우회 접속인지 여부를 감지하는 우회 접속 감지부; 및 상기 사용자 인증부에 의하여 상기 외부 서버 접근에 대한 인증이 완료되고 정상 사용자로 결정되면, 상기 사용자의 사용자 단말과 상기 서버 사이의 세션을 중계하는 접속 중계부를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 우회 접속 감지부는, 상기 접속 이벤트가 발생하는 경우, 수집된 로그인 연결 정보와 중계 이력 연결 정보 중 일치하는 정보가 있는지 판단하고, 일치하는 정보가 있을 경우 직접 접속으로 판단하고, 일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속하고, 소스 서버에서 소스 포트로 연결하는 프로세스의 최상위 프로세스를 검색하고, 최상위 프로세스의 연결 정보 및 프로세스 아이디(PID)를 획득하여, 상기 최상위 프로세스의 연결 정보와 중계 이력의 연결 정보 중 일치하는 정보가 있을 경우, 우회 접속으로 판단할 수 있다.
다양한 실시 예에 따르면, 상기 접속 패턴 분석부는, 상기 사용자의 접속 시간, 접속 유지 시간, 접속 종료 시간에 기반하여, 상기 사용자의 접속 패턴 데이터를 생성하고, 생성된 접속 패턴 데이터에 기반하여 상기 접속 이벤트가 유효한 것인지 결정할 수 있다.
다양한 실시 예에 따르면, 상기 접속 패턴 분석부는, 미리 설정된 기간 동안 상기 사용자의 상기 접속 시간의 편차, 상기 접속 유지 시간의 편차, 상기 접속 종료 시간의 편차에 기반하여 상기 사용자의 접속 패턴 범위값을 산출하고, 산출된 상기 접속 패턴 범위값에 기반하여 상기 접속 이벤트가 유효한 것인지 결정할 수 있다.
다양한 실시 예에 따르면, 상기 접속 중계부는, 상기 사용자 단말로부터 수신한 패킷을 분석하여, 명령 메시지를 추출하거나 사용자의 세션 정보를 추출하고, 상기 사용자 단말은 텔넷(TELNET), 시큐어쉘(SSH) 프로토콜에 의해 상기 외부 서버에 원격 접근을 수행하고, 하나의 세션 동안에 상기 사용자는 다수의 명령들을 입력하여 작업을 수행할 수 있다.
본 문서에 개시되는 다양한 실시 예들에 따르면, 사용자의 서버 접근 패턴에 기반하여 이상 사용자를 감지하고, 접근을 차단함으로써, 해커 또는 악의적 사용자가 계정을 탈취하여 접근하는 것을 차단할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 일 실시 예에 따른 보안 관리 솔루션 제공 시스템을 도시한 도면이다.
도 2는 보안 관리 솔루션 제공 서버의 주요 구성 요소를 나타낸 도면이다.
도 3은 사용자의 패턴 분석에 기반하여 사용자의 접속에 대한 이상 신호를 감지하는 것에 관한 도면이다.
도 4는 도 1에 따른 보안 관리 솔루션 제공 서버의 하드웨어 구성을 나타낸 도면이다.
도 2는 보안 관리 솔루션 제공 서버의 주요 구성 요소를 나타낸 도면이다.
도 3은 사용자의 패턴 분석에 기반하여 사용자의 접속에 대한 이상 신호를 감지하는 것에 관한 도면이다.
도 4는 도 1에 따른 보안 관리 솔루션 제공 서버의 하드웨어 구성을 나타낸 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 일 실시 예에 보안 관리 솔루션 제공 시스템(10)을 도시한 도면이다. 도 1을 참조하면, 시스템(10)은 보안 관리 솔루션 제공 서버(100), 사용자 단말(200), 외부 서버(300) 등을 포함할 수 있다. 이하 설명되는 동작들은 서버(100)에 의하여 제어되는 플랫폼(예: 웹 페이지 및/또는 어플리케이션)을 통해 수행 내지 구현될 수 있다. 다시 말해서, 서버(100)는, 사용자가 사용자 단말(200)을 이용하여 네트워크를 통해 보안 관리 솔루션 제공 서버(100)에 접속하여 다양한 정보를 입력하고, 등록하고, 출력할 수 있는 웹 사이트를 제공할 수 있으며, 사용자 단말(200)에 설치되고 실행됨으로써 다양한 정보를 입력하고, 등록하고, 출력할 수 있는 어플리케이션을 제공할 수 있다.
사용자 단말(200)은 통신 가능한 데스크탑 컴퓨터(desktop computer), 랩탑 컴퓨터(laptop computer), 노트북(notebook), 스마트폰(smart phone), 태블릿 PC(tablet PC), 모바일폰(mobile phone), 스마트 워치(smart watch), 스마트 글래스(smart glass), e-book 리더기, PMP(portable multimedia player), 휴대용 게임기, 네비게이션(navigation) 장치, 디지털 카메라(digital camera), DMB(digital multimedia broadcasting) 재생기, 디지털 음성 녹음기(digital audio recorder), 디지털 음성 재생기(digital audio player), 디지털 동영상 녹화기(digital video recorder), 디지털 동영상 재생기(digital video player), 및 PDA(Personal Digital Assistant) 등 일 수 있다.
보안 관리 솔루션 제공 서버(100), 사용자 단말(200)은 각각 통신 네트워크에 연결되어, 통신 네트워크를 통해 서로간 데이터를 송수신할 수 있다. 예를 들어, 통신 네트워크는 LAN(Local Area Network), MAN(Metropolitan Area Network), GSM(Global System for Mobile Network), EDGE(Enhanced Data GSM Environment), HSDPA(High Speed Downlink Packet Access), W-CDMA(Wideband Code Division Multiple Access), CDMA(Code Division Multiple Access), TDMA(Time Division Multiple Access), 블루투스(Bluetooth), 지그비(Zigbee), 와이-파이(Wi-Fi), VoIP(Voice over Internet Protocol), LTE Advanced, IEEE802.16m, WirelessMAN-Advanced, HSPA+, 3GPP Long Term Evolution (LTE), Mobile WiMAX(IEEE 802.16e), UMB(formerly EV-DO Rev. C), Flash-OFDM, iBurst and MBWA (IEEE 802.20) systems, HIPERMAN, Beam-Division Multiple Access (BDMA), Wi-MAX(World Interoperability for Microwave Access), 5G 등 다양한 종류의 유선 또는 무선 네트워크가 사용될 수 있다.
보안 관리 솔루션 제공 서버(100)는 네트워크와 서버 등 인프라 운영 시스템 사용자의 접근 통제와 계정 관리를 제공하는 통합 접근 및 계정 권한 관리 솔루션을 제공할 수 있다. 다시 말해서, 보안 관리 솔루션 제공 서버(100)는 접근 통제의 다양하고 강력한 사용자 통제 및 감사 기능으로 시스템 보안을 한층 강화할 수 있다. 또한, 보안 관리 솔루션 제공 서버(100)는 일원화 및 자동화 계정 관리 기능을 통해 불필요한 시간적, 비용적 소모를 줄이고 보다 효율적인 업무 환경을 제공할 수 있다.
보안 관리 솔루션 제공 서버(100)는 인증 관리, 접근 통제, 계정 관리 중 적어도 하나 이상을 수행할 수 있다. 보안 관리 솔루션 제공 서버(100)는 적어도 기본 인증, 이중 인증, 외부 인증 중 적어도 하나 이상을 수행할 수 있으며, 예를 들어, 서버(100)는 ID/PW, IP/MAC, 모바일 OTP 등을 포함하는 기본 인증, SMS, OTP, 스마트 카드, RADIUS 등을 포함하는 이중 인증, LDAP 등을 포함하는 외부 인증을 수행할 수 있다. 보안 관리 솔루션 제공 서버(100)는 외부 계정의 접근 통제를 수행할 수 있으며, 예를 들어, 보안 관리 솔루션 제공 서버(100)는 외부로부터의 접근 통제, 세션 통제, 명령어 통제, 로그 감사 등을 수행할 수 있다. 보안 관리 솔루션 제공 서버(100)는 계정 관리를 수행할 수 있으며, 예를 들어, 보안 관리 솔루션 제공 서버(100)는 Life-cycle 관리, 패스워드 관리, 계정 정책 관리, 불법 계정 관리 등을 수행할 수 있다.
보안 관리 솔루션 제공 서버(100)는 관리자, 내부 개발자, 외주 인력 등에 대한 서버 접근 경로를 일원화하여, 체계적인 접근 통제를 수행할 수 있다. 예를 들어, 보안 관리 솔루션 제공 서버(100)는 접근하는 접근 계정을 식별할 수 있다.
보안 관리 솔루션 제공 서버(100)는 업무 운영 방식에 따라 다양한 적용 기술(예: plug-in, API, Hybird 및 Token)로 개인 정보 암호화에 대한 서비스를 제공할 수 있다. 보안 관리 솔루션 제공 서버(100)는 여러 방식의 암호화 알고리즘(예: SEED, ARIA, TDES, AES 및 SHA)을 제공할 수 있다. 또한, 보안 관리 솔루션 제공 서버(100)는 감사 로그에 대한 주기적인 자동 백업을 수행하며, 감사 로그에 대한 통계를 산출할 수 있다.
보안 관리 솔루션 제공 서버(100)는 필드 암호화를 수행할 수 있다. 다시 말해서, 보안 관리 솔루션 제공 서버(100)는 선택된 특정 필드에 대한 암호화를 수행할 수 있다. 보안 관리 솔루션 제공 서버(100)는 운영 체제(OS) 및 Application, DBMS(database management system; 데이터베이스 관리 시스템) 등 모든 운영 환경에 독립적인 보안 기능을 수행할 수 있다. 다시 말해서, 보안 관리 솔루션 제공 서버(100)는 DBMS를 사용하는 기존 Legacy 시스템의 변경 작업 없이 단순 설정만으로 DBMS 접근 통제 및 암호화, 복호화 기능을 수행할 수 있다.
보안 관리 솔루션 제공 서버(100)는 적어도 하나 이상의 방식으로 데이터 암호화를 수행할 수 있다. 예를 들어, 서버(100)는 API 방식, Plug-in 방식, Kernel 방식, SAP 방식 중 적어도 하나 또는 둘 이상의 조합으로 데이터 암호화 및/또는 데이터 복호화를 수행할 수 있다.
사용자 단말(200)은 상기 네트워크를 통해 외부 서버(300) 또는 보안 관리 솔루션 제공 서버(100)에 연결할 수 있는 네트워크 기능을 보유할 수 있다. 또한, 사용자 단말(200)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다. 또한, 사용자 단말(200)은 외부 서버(300)에 대한 접근을 위한 사용자 인증을 요청하고, 보안 관리 솔루션 제공 서버(100)의 중계에 따라 외부 서버(300)로부터 접근 권한을 획득할 수 있다. 즉, 사용자 단말(200)은 보안 관리 솔루션 제공 서버(100)에 대한 접근을 위해 사용자 인증(또는 게이트웨이 접근 인증)을 수행하고, 사용자가 접근할 수 있는 외부 서버(300)에 대한 정보를 수신한다. 구체적으로, 사용자는 보안 관리 솔루션 제공 서버(100)로부터 사용자 인증을 받은 후, 접근 가능한 서버 정보(이하 서버주소 리스트)를 보안 관리 솔루션 제공 서버(100)로부터 전달받을 수 있다.
사용자 단말(200)은 서버주소 리스트 중 원하는 외부 서버(300)를 선택하여 외부 서버(300)에 접근할 수 있다. 이때, 사용자 단말(200)은 외부 서버(300)에 서버 접근을 요청하고, 외부 서버(300)에 의해 서버 접근을 위한 사용자 인증(또는 서버 접근 인증)이 수행될 수 있다. 보안 관리 솔루션 제공 서버(100)는 외부 서버(300)에 대한 접근 인증을 수행할 수 있다. 특히, 사용자 단말(200)은 사용자 단말(200)에 설치되는 통신 어플리케이션 등을 통해 외부 서버(300)에 접근하여 작업을 수행할 수 있다.
사용자 단말(200)은 실제로 보안 관리 솔루션 제공 서버(100)를 통해 외부 서버(300)에 접근할 수 있다. 즉, 보안 관리 솔루션 제공 서버(100)가 사용자 단말(200)과 외부 서버(300) 사이를 중계할 수 있다. 예를 들어, 사용자 단말(200)은 통신 어플리케이션 등을 통해, 원격접속 프로토콜인 텔넷(TELNET)을 이용하거나, 파일 전송을 위한 FTP(File Transfer Protocol)의 프로토콜에 의한 쉘(Shell)을 통해 작업을 수행할 수 있다. 구체적으로, 사용자 단말(200)은 외부 서버(300)에 자신이 원하는 명령을 전송하고, 그에 대한 결과로서 외부 서버(300)로부터 메시지를 수신할 수 있다. 이때, 보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)과 외부 서버(300) 사이에서, 명령 또는 메시지를 중계할 수 있다. 사용자는 사용자 단말(200)을 통해 서버 접근과 관련된 작업을 수행할 수 있다.
따라서, 이하에서 사용자가 어떤 작업을 수행하는 설명은 사용자 단말(200)을 통해 수행하는 작업임을 의미할 수 있다. 다음으로, 외부 서버(300) 및/또는 보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)로부터 네트워크를 통해 접근 요청을 받고, 요청에 따라 접근을 허용하여 통신을 수행할 수 있다. 이때, 외부 서버(300) 및/또는 보안 관리 솔루션 제공 서버(100)는 사용자의 서버 접속 요청에 대하여 사용자 인증(서버 접근 인증)을 수행할 수 있다. 외부 서버(300) 및/또는 보안 관리 솔루션 제공 서버(100)는 사용자의 아이디와 패스워드에 의해 서버 접근 인증을 수행할 수 있다. 서버 접근 인증을 통과한 경우(성공한 경우), 접근을 허용할 수 있다.
외부 서버(300) 및/또는 보안 관리 솔루션 제공 서버(100)는 통신 프로토콜을 통해 사용자 단말(200)과 통신을 수행할 수 있다. 다시 말해서, 보안 관리 솔루션 제공 서버(100) 및/또는 외부 서버(300)는 통신 프로토콜을 이용하여, 사용자 단말(200)로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 사용자 단말(200)에 전송할 수 있다. 이때, 사용자 단말(200)과, 보안 관리 솔루션 제공 서버(100) 및/또는 외부 서버(300) 사이에는 세션이 형성되고, 세션 내에서 접근 요청 또는 메시지, 결과 내용 등이 통신 프로토콜을 통해 데이터 패킷으로 송수신 될 수 있다.
위에서 설명된 외부 서버(300)와 사용자 단말(200)과의 통신은 직접 연결되어 처리되지 않고, 보안 관리 솔루션 제공 서버(100)를 통해 연결된다. 즉, 사용자 단말(200)의 요청 메시지는 보안 관리 솔루션 제공 서버(100)를 통해 외부 서버(300)로 전달되고, 외부 서버(300)의 응답 메시지도 보안 관리 솔루션 제공 서버(100)를 통해 사용자 단말(200)에 전달될 수 있다.
외부 서버(300)는 방화벽(firewall)이 설치되고, 보안 관리 솔루션 제공 서버(100)로부터 수신되는 데이터(또는, 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(200)이 외부 서버(300)에 직접 접근할 수 없고 반드시 보안 관리 솔루션 제공 서버(100)를 통해서만 외부 서버(300)에 접근할 수 있다. 만약 보안 관리 솔루션 제공 서버(100)로 패킷 경로를 변경하지 않고 패킷 그대로 외부 서버(300)로 전송되면, 접근통제 구축 조건인 보안 관리 솔루션 제공 서버(100) 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.
보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)과 외부 서버(300) 사이의 네트워크 상에 설치되는 일종의 게이트웨이 역할도 수행할 수 있으며 사용자 단말(200)과 외부 서버(300) 사이를 모니터링하여 중계하거나 차단할 수 있다. 특히, 보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)로부터 서버 접근 요청(또는 서버 접근 메시지)을 수신하면, 메시지 중계를 보류하고 서버 접근 요청에 대하여 패턴 인증을 수행할 수 있으며, 패턴 인증이 성공한 경우에만 상기 서버 접근 요청을 외부 서버(300)에 중계할 수 있다.
보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)의 서버 접근 요청을 수신하면, 서버 접근 요청에 대한 패턴 인증을 수행할 수 있다. 만약, 패턴 인증에 실패하면 관리자에 알람으로 경고하거나, 해당 서버 접근 요청을 차단할 수 있다. 서버 접근에 대한 인증이 성공하면, 보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)과 외부 서버(300) 간의 정보 송수신을 중계할 수 있다. 이 경우, 사용자 단말(200)은 외부 서버(300)와 통신하여 원하는 작업을 수행할 수 있다.
보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)로부터 외부 서버(300)로 전송되는 메시지(또는 명령, 명령 메시지 등)를 모니터링하여 분석하고 차단하거나 중계할 수 있다. 즉, 보안 관리 솔루션 제공 서버(100)는 수신되는 메시지를 분석하고, 해당 메시지에 내포하는 명령 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 특히, 사전에 정해진 보안 정책에 따라, 해당 메시지를 외부 서버(300)에 전송하거나 차단하는 등 모니터링하고, 통신 내용을 로그에 기록하고 저장한다.
보안 관리 솔루션 제공 서버(100)는 메시지를 기반으로 사용자 권한별 보안 정책에 따라 인가 여부를 결정하고, 인가된 사용 요청일 경우 실제 서버에 신규로 통신(또는 세션)을 연결하고, 사용자 단말과의 통신을 중계할 수 있다. 따라서 보안 관리 솔루션 제공 서버(100)는 실제 외부 서버(300)에 접근하여 통신을 중계한다.
또한, 보안 관리 솔루션 제공 서버(100)는 사용자 단말(200)로부터 외부 서버(300) 접근을 위해 사용자 인증(또는 게이트웨이 접근 인증)을 수행할 수 있다. 즉, 보안 관리 솔루션 제공 서버(100)는 사용자 인증 및/또는 접근 인증을 수행하고, 해당 접근 인증이 성공하면 접근 가능한 서버 정보(또는 서버주소 리스트)를 사용자 단말(200)로 전송한다. 사용자 단말(200)은 서버주소 리스트 중 원하는 외부 서버(300)를 선택하여 서버에 대한 접근 요청(또는 서버접근 요청)을 할 수 있다. 사용자 인증 및/또는 접근 인증이 성공하여 유효한 상태에서는, 서버 접근 요청을 적어도 하나 이상의 서버에 대하여 적어도 한 번 이상 계속할 수 있다.
본 발명의 일실시예에 따른 보안 관리 솔루션 제공 서버(100)와 외부 서버(300)에 의해 수행되는 인증에 대하여 설명할 수 있다. 사용자에 대한 인증은 서버(100) 접근 인증과 외부 서버(300) 접근 인증으로 구분될 수 있다. 보안 관리 솔루션 제공 서버(100)는 보안 관리 솔루션 제공 서버(100) 접근 인증을 직접 수행하고, 외부 서버(300)는 서버 접근 인증을 직접 수행한다. 보안 관리 솔루션 제공 서버(100) 접근 인증이나 외부 서버(300) 접근 인증은 아이디/패스워드, 인증서 등에 의한 사용자 인증일 수 있다. 이에 반해, 서버 접근에 대한 패턴 인증(또는 서버접근 패턴 인증)은 서버 접근에 대하여 학습을 통한 패턴 인증이며, 보안 관리 솔루션 제공 서버(100)에 의해 수행될 수 있다. 즉, 사용자가 외부 서버(300)에 접근하기 위해서, 보안 관리 솔루션 제공 서버(100)에서 사용자 인증을 수행하고, 권한이 인가된 서버에 접근을 시도할 때 해당 정보에 대한 학습을 수행할 수 있다. 서버(100)는 사용자가 접근하는 패턴을 학습하고, 학습된 패턴과 비교하여 현재 서버 접근이 정당한 사용자 또는 이상 사용자의 접근인지 여부를 결정할 수 있다.
상기 도 1에서 설명된 보안 관리 솔루션 제공 서버(100)의 상기 동작들 중 적어도 일부는 빅데이터에 기반하여 수행될 수 있다. 즉, 서버(100)는 인증 관리, 접근 통제, 계정 관리에 관한 동작들 각각을 빅데이터를 활용하여 수행할 수 있다. 예를 들어, 서버(100)는 감사 로그에 대한 통계를 산출함에 있어서 빅데이터를 활용할 수 있으며, 패턴 인증을 수행함에 있어서 빅데이터를 활용할 수 있다. 서버(100)는 빅데이터 외에 인공지능에 기반하여 상기 동작들을 수행할 수 있으며, 상기 예시는 하나의 예시일뿐, 빅데이터가 활용될 수 있는 분석 동작에는 모두 빅데이터 내지 인공지능이 활용될 수 있음은 통상의 기술자 수준에서 자명하다고 할 것이다. 또한, 외부 서버(300)는 단순히 하나의 서버 시스템을 의미하는 것이 아니라, 클라우드 기반의 서버를 의미할 수 있다.
도 2는 보안 관리 솔루션 제공 서버(100)의 주요 구성 요소를 나타낸 도면이다. 도 3은 사용자의 패턴 분석에 기반하여 사용자의 접속에 대한 이상 신호를 감지하는 것에 관한 도면이다. 보안 관리 솔루션 제공 서버(100)는 사용자 인증부(101), 접속 패턴 분석부(102), 우회 접속 감지부(103), 접속 중계부(104) 등을 포함할 수 있다.
사용자 인증부(101)는 사용자의 특정 서버(예: 외부 서버(300))로의 접속 이벤트가 발생한 경우, 사용자 인증을 수행할 수 있다. 사용자가 특정 서버(예: 외부 서버(300))에 접근을 위해, 보안 관리 솔루션 제공 서버(100)에 권한 인가를 획득할 경우, 서버(100)를 경유하여 특정 서버(예: 외부 서버(300))에 접근이 가능하다. 사용자 인증부(101)는 사용자 단말(200)로부터 아이디(ID) 및 패스워드(PWD)를 입력 받고, 상기 아이디에 대응되는 상기 패스워드가 일치하는 경우, 상기 특정 서버(예: 외부 서버(300))에 대한 1차 인가를 허여할 수 있다.
접속 패턴 분석부(102)는 상기 1차 인가 후에 사용자의 접속 패턴을 분석하여 상기 사용자의 접속 이벤트가 정상 범위에 속하는지 비정상 범위에 속하는지 결정할 수 있다. 다시 말해서, 접속 패턴 분석부(102)는 사용자의 접속 패턴을 분석하여 상기 사용자의 접속 요청이 비정상 요청인지 정상 요청인지 결정할 수 있다. 접속 패턴 분석부(102)는 상기 사용자의 개별 접속 패턴만을 보고 상기 사용자의 접속 패턴을 분석하는 것이 아니라, 다수의 사용자들의 접속 패턴과 연관시켜 상기 사용자의 접속 패턴이 정상인지 비정상인지 결정할 수 있다.
접속 패턴 분석부(102)는 상기 사용자 외의 다수의 사용자들의 외부 서버(300)에 대한 접속 패턴을 분석하여, 다수의 사용자들에 대한 접속 패턴 오차 범위값을 결정할 수 있다. 예를 들어, 접속 패턴 분석부(102)는 제1 사용자의 미리 설정된 기간동안의 접속 정보에 기반하여 제1 사용자의 접속 패턴을 분석할 수 있다. 접속 패턴 분석부(102)는 제2 사용자의 미리 설정된 기간동안의 접속 정보에 기반하여 제2 사용자의 접속 패턴을 분석할 수 있다. 접속 패턴 분석부(102)는 제3 사용자의 미리 설정된 기간동안의 접속 정보에 기반하여 제3 사용자의 접속 패턴을 분석할 수 있다. 접속 패턴 분석부(102)는 다수의 사용자들(예: 상기 제1 사용자 내지 상기 제3 사용자)의 접속 패턴에 기반하여 접속 패턴 오차 범위값을 결정할 수 있다.
접속 패턴 분석부(102)는 제1 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고, 제2 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고, 제3 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출할 수 있다. 접속 패턴 분석부(102)는 다수의 사용자들의 접속 시간의 편차의 평균인 제1 평균 편차를 산출하고, 접속 유지 시간의 편차의 평균인 제2 평균 편차, 접속 종료 시간의 편차의 평균인 제3 평균 편차를 산출할 수 있다. 접속 패턴 분석부(102)는 상기 제1 평균 편차, 상기 제2 평균 편차, 상기 제3 평균 편차에 기반하여 상기 접속 패턴 오차 범위값을 산출할 수 있다.
접속 패턴 분석부(102)는 이하 수학식 1을 통해서 접속 패턴 오차 범위값을 산출할 수 있다.
상기 수학식 1에서, E은 접속 패턴 오차 범위값, R은 i번 사용자의 접속 시간의 편차, M은 i번 사용자의 접속 유지 시간의 편차, T는 i번 사용자의 접속 종료 시간의 편차를 의미할 수 있다. 상기 w1은 접속 시간에 관한 가중치, 상기 w2는 접속 유지 시간에 관한 가중치, 상기 w3는 접속 종료 시간에 관한 가중치일 수 있다.
접속 패턴 분석부(102)는 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출할 수 있다. 사용자의 접속 패턴 범위값을 산출할 수 있다. 접속 패턴 분석부(102)는 이하 수학식 2를 통해 상기 사용자의 접속 패턴 범위값을 산출할 수 있다.
상기 수학식 2에서, 상기 P는 접속 패턴 범위값, r은 사용자의 접속 시간의 편차, m은 사용자의 접속 유지 시간의 편차, t는 사용자의 접속 종료 시간의 편차를 의미할 수 있다. 상기 w1은 접속 시간에 관한 가중치, 상기 w2는 접속 유지 시간에 관한 가중치, 상기 w3는 접속 종료 시간에 관한 가중치일 수 있다.
접속 패턴 분석부(102)는 상기 사용자의 접속 패턴 범위값이 상기 접속 패턴 오차 범위값을 초과하는 경우, 상기 사용자의 접속 요청을 비정상 요청인 것으로 결정할 수 있으며, 상기 사용자의 접속 패턴 범위값이 상기 접속 패턴 오차 범위값 내인 경우, 상기 사용자의 접속 요청을 정상 요청인 것으로 결정할 수 있다.
우회 접속 감지부(103)는 사용자의 로그인에 대하여 정상 접속인지 우회 접속인지 여부를 결정할 수 있다. 우회 접속 감지부(103)는 로그인 연결 정보 및 그 최상위 PID(또는, 로그인 연결 정보 등)를 중계 이력의 연결 정보와 비교하거나 로그인 연결 정보의 소스 서버를 역추적하여 획득된 연결 정보 및 그 최상위 PID를 중계 이력의 연결 정보와 비교할수 있다. 우회 접속 감지부(103)는 상기 비교를 통해 외부 서버(300)로의 정상 접속 내지 우회 접속 여부를 결정할 수 있다.
우회 접속 감지부(103)는 서버 로그인 이벤트가 발생하면, 이벤트 수집부(33)에서 수집된 로그인 연결 정보 등과 중계 이력의 연결정보와 일치하는 정보가 있는지 결정할 수 있다.
우회 접속 감지부(103)는 일치하는 정보가 있을 경우 정상 접속(또는, 직접 접속)으로 결정할 수 있다. 또한, 우회 접속 감지부(103)는 일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP 주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속할 수 있다. 우회 접속 감지부(103)는 소스 IP 주소의 서버에 접근하기 위한 계정 정보(서버 접속 계정/패스워드)를 접근 통제 시스템으로부터 전달받아 소스 IP주소의 서버(또는 소스 서버)에 접속할 수 있다.
우회 접속 감지부(103)는 소스 서버에 접속한 후, 로그인 연결 정보의 소스 포트(Source Port)를 사용하고 있는 프로세스 아이디(PID)를 검색할 수 있다. 또한, 우회 접속 감지부(103)는 상기 프로세스 아이디 검색을 통해 최상위 PID를 서칭할 수 있다. 우회 접속 감지부(103)는 최상위 프로세스 아이디(최상위 PID)의 연결 정보를 수집할 수 있다. 이때, 연결 정보는 소스 IP주소, 소스 포트, 목적 IP주소, 목적 포트로 구성될 수 있다.
우회 접속 감지부(103)는 수집된 연결 정보(또는 최상위 프로세스의 연결정보) 및 그 최상위 PID(또는 연결 정보 등)와 중계 이력의 연결정보와 일치하는 정보가 있는지 결정할 수 있다. 우회 접속 감지부(103)는 일치하는 정보가 있을 경우 우회 접 속으로 판단한다. 특히, 해당 연결정보 등은 중계 이력의 사용자(또는 계정, 사용자의 서비스 계정)에 의해 사용되는 것으로 판단한다. 만약 일치하는 정보가 없을 경우, 해당 연결 정보의 소스 IP주소를 이용하여, 소스 서버에 접속한 후, 로그인 연결 정보의 소스 포트(Source Port)를 사용하고 있는 프로세스 아이디(PID)를 검색하는 단계부터의 과정을 반복할 수 있다.
우회 접속 감지부(103)는 사용자의 접속이 우회 접속으로 결정되는 경우, 서비스 계정의 접속보안 정책을 참조하여, 해당 우회 접속의 허용 여부를 결정할 수 있다. 우회 접속 감지부(103)는 해당 우회 접속의 허용 여부에 따라 접속 중계부(104)를 통해 해당 중계를 차단하거나 허용하도록 한다.
접속 중계부(104)는 사용자 단말(200)과 외부 서버(300) 간에 메시지(또는 데이터 패킷)를 중계하거나 차단할 수 있다. 접속 중계부(104)는 중계할 때마다 외부 서버(300)의 서비스 프로세스의 아이디(PID)를 수집할 수 있다. 즉, 접속 중계부(104)는 사용자 단말(200)로부터 외부 서버(300)로의 접근 메시지를 수신하는 경우, 접근통제 정책에 따라 서버 접근의 차단 내지 허용 여부를 결정할 수 있다. 접속 중계부(104)는 외부 서버(300)에 접속하여, 외부 서버(300)와의 사이에서 세션(이하 서버용 세션)을 형성할 수 있다. 접속 중계부(104)는 사용자 단말(200)과의 서버(100) 사이에서 세션(이하 클라이언트용 세션)을 형성할 수 있다. 접속 중계부(104)는 클라이언트용 세션과 서버용 세션 사이를 중계할 수 있다.
접속 중계부(104)는 사용자 단말(200)과 외부 서버(300) 간의 중계 이력을 저장할 수 있다. 중계 이력은 각 사용자의 서비스 계정을 기준으로 접속된 정보를 저장할 수 있다. 중계 이력은 사용자 단말(200)이 접근한 IP주소 및 포트번호 등의 접속 정보, 중계를 위해 외부 서버(300)에 접근하는 서버(100)의 접속 정보(IP주소 및 포트번호), 외부 서버(300)가 제공한 서비스의 프로세스 아이디(PID) 등으로 구성될 수 있다.
접속 중계부(104)는 사용자 단말(200)로부터 수신한 패킷을 분석하여, 명령 메시지를 추출하거나, 사용자의 세션 정보를 추출할 수 있다. 세션(session)은 사용자 단말(200)이 원격으로 외부 서버(300)에 접근하기 위해 형성한 TCP/IP 프로토콜의 세션을 의미할 수 있다. 사용자는 텔넷(TELNET), 시큐어쉘(SSH) 프로토콜 등에 의해 외부 서버(300)에 원격 접근을 수행할 수 있다. 하나의 세션 동안에 사용자는 다수의 명령(또는 명령 메시지)들을 입력하여 자신이 원하는 작업을 수행할 수 있다. 세션 정보는 사용자의 장비 접근 세션정보를 포함한다. 즉, 세션 정보는 사용자 식별정보(예: 사용자 ID), 접근 장비 식별번호(예: 접근 장비 ID), 접근 프로토콜, 접근 계정, 접근 시작 시간, 접근 종료 시간 등에 관한 정보를 포함할 수 있다.
도 4는 도 1에 따른 보안 관리 솔루션 제공 서버(100)의 하드웨어 구성을 나타낸 도면이다.
도 4를 참조하면, 서버(100)는 적어도 하나의 프로세서(110) 및 상기 적어도 하나의 프로세서(110)가 적어도 하나의 동작(operation)을 수행하도록 지시하는 명령어들(instructions)을 저장하는 메모리(memory)를 포함할 수 있다.
상기 적어도 하나의 동작은, 전술한 서버(100)의 동작이나 기능 중 적어도 일부를 포함하고 명령어들 형태로 구현되어 프로세서(110)에 의하여 수행될 수 있다.
여기서 적어도 하나의 프로세서(110)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시예들에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(120) 및 저장 장치(160) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(120)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중 하나일 수 있고, 저장 장치(160)는, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD), 솔리드 스테이트 드라이브(SSD), 또는 각종 메모리 카드(예를 들어, micro SD 카드) 등일 수 있다.
또한, 서버(100)는 무선 네트워크를 통해 통신을 수행하는 송수신 장치(transceiver)(130)를 포함할 수 있다. 또한, 서버(100)는 입력 인터페이스 장치(140), 출력 인터페이스 장치(150), 저장 장치(160) 등을 더 포함할 수 있다. 서버(100)에 포함된 각각의 구성 요소들은 버스(bus)(170)에 의해 연결되어 서로 통신을 수행할 수 있다. 도 4에서는 서버(100)를 예로 들어 설명하였으나, 이에 한정되는 것은 아니다. 예를 들어, 복수 개의 사용자 단말들은 도 4에 따른 구성요소를 포함할 수 있다.
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능 매체의 예에는 롬(ROM), 램(RAM), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
또한, 상술한 방법 또는 장치는 그 구성이나 기능의 전부 또는 일부가 결합되어 구현되거나, 분리되어 구현될 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 보안 관리 솔루션 제공 서버 200: 사용자 단말
300: 외부 서버
300: 외부 서버
Claims (5)
- 사용자의 외부 서버 접속에 관한 보안 관리 솔루션을 제공하는 서버에 있어서,
상기 사용자의 상기 외부 서버로의 접속 이벤트가 발생하는 경우, 상기 로그인 접속의 사용자 계정에 대하여 인증을 수행하는 사용자 인증부;
상기 사용자의 접속 패턴에 기반하여 상기 사용자에 의한 접속 이벤트가 유효한 것인지 분석하는 접속 패턴 분석부;
상기 외부 서버로의 접속 이벤트가 발생하는 경우, 수집된 로그인 연결 정보를 이용하여 상기 외부 서버로의 접속이 우회 접속인지 여부를 감지하는 우회 접속 감지부; 및
상기 사용자 인증부에 의하여 상기 외부 서버 접근에 대한 인증이 완료되고 정상 사용자로 결정되면, 상기 사용자의 사용자 단말과 상기 서버 사이의 세션을 중계하는 접속 중계부를 포함하고,
상기 접속 패턴 분석부는,
제1 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고, 제2 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고, 제3 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고,
상기 제1 사용자 내지 상기 제3 사용자를 포함하는 다수의 사용자들의 접속 시간의 편차의 평균인 제1 평균 편차를 산출하고, 접속 유지 시간의 편차의 평균인 제2 평균 편차, 접속 종료 시간의 편차의 평균인 제3 평균 편차를 산출하고,
상기 제1 평균 편차, 상기 제2 평균 편차, 상기 제3 평균 편차에 기반하여 접속 패턴 오차 범위값을 산출하되, 이하 수학식을 통해서 상기 접속 패턴 오차 범위값을 산출하고,
상기 수학식에서, E은 상기 접속 패턴 오차 범위값, R은 i번 사용자의 접속 시간의 편차, M은 i번 사용자의 접속 유지 시간의 편차, T는 i번 사용자의 접속 종료 시간의 편차를 의미하고, w1은 접속 시간에 관한 가중치, w2는 접속 유지 시간에 관한 가중치, w3는 접속 종료 시간에 관한 가중치이며,
상기 사용자의 미리 설정된 기간동안 접속 시간의 편차, 접속 유지 시간의 편차, 접속 종료 시간의 편차를 산출하고, 상기 사용자의 접속 패턴 범위값을 산출하되, 이하 수학식을 통해 상기 사용자의 접속 패턴 범위값을 산출하고,
상기 수학식에서, P는 접속 패턴 범위값, r은 사용자의 접속 시간의 편차, m은 사용자의 접속 유지 시간의 편차, t는 사용자의 접속 종료 시간의 편차를 의미하고, 상기 w1은 접속 시간에 관한 가중치, 상기 w2는 접속 유지 시간에 관한 가중치, 상기 w3는 접속 종료 시간에 관한 가중치이며,
상기 사용자의 접속 패턴 범위값이 상기 접속 패턴 오차 범위값을 초과하는 경우, 상기 사용자의 접속 요청을 비정상 요청인 것으로 결정하고,
상기 사용자의 접속 패턴 범위값이 상기 접속 패턴 오차 범위값 내인 경우, 상기 사용자의 접속 요청을 정상 요청인 것으로 결정하는, 서버. - 청구항 1에서,
상기 우회 접속 감지부는,
상기 접속 이벤트가 발생하는 경우, 수집된 로그인 연결 정보와 중계 이력 연결 정보 중 일치하는 정보가 있는지 판단하고, 일치하는 정보가 있을 경우 직접 접속으로 판단하고,
일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속하고, 소스 서버에서 소스 포트로 연결하는 프로세스의 최상위 프로세스를 검색하고, 최상위 프로세스의 연결 정보 및 프로세스 아이디(PID)를 획득하여, 상기 최상위 프로세스의 연결 정보와 중계 이력의 연결 정보 중 일치하는 정보가 있을 경우, 우회 접속으로 판단하는, 서버. - 삭제
- 삭제
- 청구항 1에서,
상기 접속 중계부는,
상기 사용자 단말로부터 수신한 패킷을 분석하여, 명령 메시지를 추출하거나 사용자의 세션 정보를 추출하고,
상기 사용자 단말은 텔넷(TELNET), 시큐어쉘(SSH) 프로토콜에 의해 상기 외부 서버에 원격 접근을 수행하고, 하나의 세션 동안에 상기 사용자는 다수의 명령들을 입력하여 작업을 수행하는, 서버.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220118541A KR102508418B1 (ko) | 2022-09-20 | 2022-09-20 | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220118541A KR102508418B1 (ko) | 2022-09-20 | 2022-09-20 | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102508418B1 true KR102508418B1 (ko) | 2023-03-14 |
Family
ID=85502896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220118541A KR102508418B1 (ko) | 2022-09-20 | 2022-09-20 | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102508418B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170082936A (ko) * | 2016-01-07 | 2017-07-17 | 한국인터넷진흥원 | 개인화된 접속주기 전체 이용행위 패턴 오차율 편차를 고려한 비정상 행위 탐지시스템 |
| KR102014807B1 (ko) * | 2019-02-25 | 2019-08-27 | 주식회사 넷앤드 | 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 |
| KR102018348B1 (ko) * | 2019-03-06 | 2019-09-05 | 엘에스웨어(주) | 사용자 행동 분석 기반의 목표계정 탈취 감지 장치 |
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
-
2022
- 2022-09-20 KR KR1020220118541A patent/KR102508418B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170082936A (ko) * | 2016-01-07 | 2017-07-17 | 한국인터넷진흥원 | 개인화된 접속주기 전체 이용행위 패턴 오차율 편차를 고려한 비정상 행위 탐지시스템 |
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
| KR102014807B1 (ko) * | 2019-02-25 | 2019-08-27 | 주식회사 넷앤드 | 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 |
| KR102018348B1 (ko) * | 2019-03-06 | 2019-09-05 | 엘에스웨어(주) | 사용자 행동 분석 기반의 목표계정 탈취 감지 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200396218A1 (en) | Contextual and risk-based multi-factor authentication | |
| US10904254B2 (en) | Transaction security systems and methods | |
| JP6396623B2 (ja) | クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法 | |
| US20180225461A1 (en) | System and method for creating and executing breach scenarios utilizing virtualized elements | |
| US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
| US20100107240A1 (en) | Network location determination for direct access networks | |
| US20210226928A1 (en) | Risk analysis using port scanning for multi-factor authentication | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| US9300674B2 (en) | System and methods for authorizing operations on a service using trusted devices | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| US9338137B1 (en) | System and methods for protecting confidential data in wireless networks | |
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| JP2010263310A (ja) | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム | |
| US20230239293A1 (en) | Probe-based risk analysis for multi-factor authentication | |
| US20200267146A1 (en) | Network analytics for network security enforcement | |
| KR102508418B1 (ko) | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 | |
| US10819816B1 (en) | Investigating and securing communications with applications having unknown attributes | |
| RU2602956C2 (ru) | Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях | |
| Raja et al. | Threat Modeling and IoT Attack Surfaces | |
| Horalek et al. | Cybersecurity analysis of IoT networks | |
| Chang et al. | Information security modeling for the operation of a novel highly trusted network in a virtualization environment | |
| Joshi et al. | A Comprehensive Study of Vulnerability Assessment Techniques of Existing Banking Apps | |
| KR102202109B1 (ko) | 다중 인증을 통한 설문지 보안 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant |