KR102548703B1 - 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체 - Google Patents

홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체 Download PDF

Info

Publication number
KR102548703B1
KR102548703B1 KR1020220157105A KR20220157105A KR102548703B1 KR 102548703 B1 KR102548703 B1 KR 102548703B1 KR 1020220157105 A KR1020220157105 A KR 1020220157105A KR 20220157105 A KR20220157105 A KR 20220157105A KR 102548703 B1 KR102548703 B1 KR 102548703B1
Authority
KR
South Korea
Prior art keywords
terminal
security
access
environment
packet
Prior art date
Application number
KR1020220157105A
Other languages
English (en)
Inventor
이기욱
김세윤
박재혁
Original Assignee
에스지에이솔루션즈 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스지에이솔루션즈 주식회사 filed Critical 에스지에이솔루션즈 주식회사
Priority to KR1020220157105A priority Critical patent/KR102548703B1/ko
Priority to US18/337,179 priority patent/US20240171577A1/en
Application granted granted Critical
Publication of KR102548703B1 publication Critical patent/KR102548703B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

재택 근무 환경에 있어서 홈 네트워크 단말의 업무 서버에 대한 접속을 효과적으로 관리하여, 단말 자체의 보안성이 유지되도록 함으로써, 모든 기업의 업무 서버에 대한 위협을 다양한 단말 환경에서 대비할 수 있고, 특히 단말 자체에 대한 보안 위협에 대응 및 대비할 수 있도록 한다. 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법은, 홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신 단계; 접근 요청 수신 단계를 통해 요청 신호를 수신한 프로토콜별 호스트 센서를 통해, 단말의 보안 환경을 체크하는 보안 환경 검사 단계; 및 보안 환경 검사 단계의 수행 결과에 따라서 체크된 보안 환경에 따라 원격의 서버에 대한 접근을 관리하는 접근 허용 단계;를 포함하는 것을 특징으로 한다.

Description

홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체{PROVIDING METHOD, APPARATUS AND COMPUTER-READABLE MEDIUM OF CONTROLLING ACCESS TO A REMOTE SYSTEM IN A HOME NETWORK ENVIRONMENT}
본 발명은, 재택근무 등 원격의 서버에 홈 네트워크 환경을 통해 단말이 접속하는 환경에 있어서, 기업 내 업무 시스템에 홈 네트워크 상의 단말에 대한 안전 접근을 제어하는 기술에 관한 것으로, 구체적으로는 단말의 보안 환경에 대한 점검 및 이를 통한 보안 환경 개선을 유도함으로써, 기업 내부의 업무 시스템의 보안을 유지하면서 원격 접속이 원활하게 될 수 있도록 하는 기술에 관한 것이다.
최근 재택 근무는, 업무의 유연성 및 효율성이 입증되고 있고, 비대면 회의 플랫폼, 전자 결제 시스템 등이 발달하고 있는 동시에 전염병 등의 확산에 힘입어 다수의 기업에서 적용하고 있는 업무 형태이다. 재택 근무는 업무자가 댁내 또는 기타 네트워크 환경에서 업무를 수행하고 업무 수행 결과 또는 업무 수행 자체를 기업의 서버에 업로드하거나 수행을 하도록 하는 형태이다.
이러한 형태에서는 사내에서 보안성이 보장된 단말 및 내부 네트워크망을 이용하는 것이 아니라, 원격의 홈 네트워크 단말이 보안성이 보장되지 않은 네트워크를 통해서 보안성이 보장되어야 하는 기업의 사내 업무 서버에 접속할 수 밖에 없는 특징을 포함하고 있어, 이에 대한 보안성이 크게 위협된다.
기존에는 이러한 원격 홈 네트워크를 통한 기업의 업무 서버로의 접속을 단순 아이디 및 비밀번호 등으로만 관리해 왔기 때문에 기본적인 보안 에이전트가 설치되어 있을 뿐, 원격의 단말에 기업 자체의 보안 네트워크 환경이 보장되지 않은 상태로 접속이 수행되는 것이 일반적이어서, 해킹 등의 위협에 그대로 노출될 수밖에 없고 이에 따라서 기업의 기밀 유출 등의 위험성이 항상 지적되어 왔으며, 실제 기술 유출 등의 피해가 발생되어 왔다.
이에 따라서, 예를 들어 한국등록특허 제10-1460106호 등에서는, 기업 서비스 서버에 접속할 때 사용하는 접속 정책 정보에 따라서, 이에 따른 게이트웨이(BOYD 게이트웨이)에 이르는 네트워크 상의 경로에 IPSec 보안 터널링을 형성하여 이를 통해서 단말이 접속하도록 하는 기술을 게시하고 있다.
그러나 해당 기술들은, 네트워크 적으로 보안성을 향상시키는 것일뿐, 결국 원격의 단말 그 자체에 대한 해킹의 위험성은 여전히 노출되어 있어, 원격의 단말 자체에 멀웨어 등의 악성 프로그램이나 해당 단말이 해킹이 된 상태인 경우, 보안 네트워크를 통해 기업 서버에 접속하여 해킹이 가능하다는 점에서 이에 대한 대비가 필요하다.
이에 본 발명은, 재택 근무 환경에 있어서 홈 네트워크 단말의 업무 서버에 대한 접속을 효과적으로 관리하여, 단말 자체의 보안성이 유지되도록 함으로써, 모든 기업의 업무 서버에 대한 위협을 대비할 수 있고, 특히 단말 자체에 대한 보안 위협에 대응 및 대비할 수 있도록 하는 기술을 제공하는 데 그 목적이 있다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법은, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법으로서, 홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신 단계; 상기 접근 요청 수신 단계를 통해 요청 신호를 수신한 프로토콜별 호스트 센서를 통해, 상기 단말의 보안 환경을 체크하는 보안 환경 검사 단계; 및 상기 보안 환경 검사 단계의 수행 결과에 따라서 체크된 보안 환경에 따라 원격의 서버에 대한 접근을 관리하는 접근 허용 단계;를 포함하는 것을 특징으로 한다.
상기 보안 환경 검사 단계는, 상기 단말의 요청 신호에 포함된 패킷을 상기 호스트 센서에 전송하는 패킷 전송 단계; 상기 호스트 센서가 상기 패킷을 분석하여 도출된 결과로서, 상기 단말이 관리 상태인 제1 단말인지 미관리 상태인 제2 단말인지 여부에 대한 정보인 검사 정보를 상기 호스트 센서로부터 수신하는 검사 단계; 및 상기 검사 단계의 판단 결과 상기 단말이 제2 단말인 경우, 상기 단말을 관리 제1 단말로 전환하기 위한 처리를 수행하는 단말 처리 단계;를 포함하는 것이 가능하다.
상기 검사 정보는. 상기 호스트 센서가 상기 패킷을 디코딩하여 패킷 정보를 정리하고, 상기 정리된 패킷 정보로부터, 상기 원격의 서버에 설정된 보안 정책에 따라서 상기 단말에 설치되어야 하는 보안 에이전트에 대한 설치 여부를 판단하고, 상기 보안 에이전트가 모두 설치된 단말을 제1 단말로, 보안 에이전트가 미설치된 단말을 제2 단말로 결정한 결과인 것이 가능하다.
상기 단말 처리 단계는. 상기 제2 단말의 패킷을 원격의 서버와 별도로 마련된 서버로서, 원격의 서버에 설정된 보안 정책에 따른 보안 에이전트의 설치 프로세스를 수행하는 보안 서버로 리디렉션(Rederection)하여, 단말이 상기 보안 에이전트의 설치 페이지로 접근하도록 제어하는 것이 가능하다.
상기 단말 처리 단계는, 상기 제2 단말이 상기 보안 서버에 접속하여 상기 보안 에이전트를 모두 설치한 것으로 판단되는 경우 상기 제2 단말을 상기 제1 단말로 전환하는 것이 가능하다.
상기 접근 허용 단계는, 상기 단말이 상기 제1 단말인 경우에만 상기 원격의 서버에 대한 접근을 허용하는 것이 가능하다.
한편 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치는, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치로서, 홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신부; 상기 접근 요청 수신부에 의하여 수신된 요청 신호를 프로토콜별 호스트 센서를 통해 검증하여 상기 단말의 보안 환경을 체크하는 보안 환경 검사부; 및 상기 보안 환경 검사부의 보안 환경 체크 결과에 따라서 원격의 서버에 대한 접근을 관리하는 접근 허용부;를 포함하는 것을 특징으로 한다.
본 발명에 의하면, 기업의 내부 업무 서버에 접속하고자 접속 요청을 수행하는 단말에 있어서 호스트 센서가 접속 요청에 대응하는 신호의 패킷을 분석하여, 패킷의 정보에 따라서 기업 내부 보안 정책에 따라서 설치되어야 하는 보안 에이전트의 설치 여부에 따라서 업무 서버에 대한 접근 제어를 수행하게 된다.
특히, 보안 정책에 따라서 설치되어야 하는 보안 에이전트가 설치되지 않은 단말을 미관리 상태로 설정하고, 접근을 리디렉션하여 기업 내부의 보안 에이전트 설치를 위한 보안 서버로 접속하게 하여 보안 에이전트를 설치하게 하고, 설치 시 원격의 업무 서버에 대한 접근을 허가함으로써, 단말 자체의 보안성이 유지되도록 함으로써, 모든 기업의 업무 서버에 대한 위협을 대비할 수 있고, 특히 단말 자체에 대한 보안 위협에 대응 및 대비할 수 있는 효과가 있다.
도 1 및 2는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법의 플로우차트.
도 3은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치의 구성 블록도.
도 4는 본 발명의 일 실시예의 구현에 따른 호스트 센서의 기능을 설명하기 위한 도면.
도 5는 본 발명의 일 실시예의 구현에 따라 제2 단말에 출력되는 보안 서버 접속 화면의 예.
도 6은 본 발명의 일 실시예의 구현에 따른 네트워크 환경의 모식도.
도 7은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예.
이하에서는, 다양한 실시 예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
본 명세서에서 사용되는 "실시 예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제 1, 제 2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시 예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시 예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1 및 2는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법의 플로우차트, 도 3은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치의 구성 블록도, 도 4는 본 발명의 일 실시예의 구현에 따른 호스트 센서의 기능을 설명하기 위한 도면, 도 5는 본 발명의 일 실시예의 구현에 따라 제2 단말에 출력되는 보안 서버 접속 화면의 예, 도 6은 본 발명의 일 실시예의 구현에 따른 네트워크 환경의 모식도이다. 이하의 설명에 있어서 본 발명의 다양한 실시예 및 세부 구성들에 대한 설명을 위하여, 다수의 도면이 함께 참조되어 설명될 것이다.
상술한 바와 같이 본 발명의 도면들을 함께 참조하면, 본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법은, 도 3에서 설명될 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치(10, 이하 '본 발명의 장치'라 함)의 세부 구성들 또는 도 7의 컴퓨팅 장치에 의하여 수행되는 것으로 이해될 것이다. 즉, 본 발명의 장치(10)는 도 7의 컴퓨팅 장치 그 자체, 컴퓨팅 장치의 일부 또는 다수의 컴퓨팅 장치의 그룹웨어로 구현될 수 있으며, 본 발명의 장치(10)의 세부 구성들은 프로세서 또는 메모리 등에서 후술될 각 구성요소들의 기능에 따라서 구분되는 것으로 이해될 것이다.
본 발명의 일 실시예에 따른 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법에 있어서 컴퓨팅 장치는 먼저, 홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신 단계(S10)를 수행한다.
본 발명에서 홈 네트워크 상의 단말이라 함은, 홈 네트워크 환경에 설치되어 기업 내부 네트워크 환경의 업무 관련 서버인 업무 서버에 접근을 시도하는 모든 단말을 포함한다. 예를 들어 개인 PC, 스마트폰, 스마트패드 및 기타 모든 네트워크 접속이 가능한 단말을 포함한다. 기본적으로 단말은 홈 네트워크의 게이트웨이를 통해 통신망에 접속하여 원격의 업무 서버에 접근하게 되며, 업무 서버는 기업 내부 네트워크 환경에서 물리적 또는 소프트웨어적인 방화벽 구조 내부에 존재한다.
홈 네트워크 환경이란, 가정 내 다양한 정보기기들 상호 간에 네트워크를 구축하는 것이다. 좀 더 구체적으로 말하면 가정 내부에서는 정보 가전 기기들이 유무선 네트워크를 통해 상호 커뮤니케이션하고 외부에서는 인터넷을 통해 상호 접속이 가능한 환경을 구축하는 것을 의미한다.
기본적으로 인터넷 가전, 디지털 브이알씨, 디브이디 플레이어, 보안장비 등 네트워크로 연결된 모든 디지털 전자제품을 원력으로 제어 통합하는 기술을 말한다. 지난 1980년대 홈 오토메이션에서 시작된 이 시스템은 통신, 영상, 방범, 방재, 원격제어 기능을 기본으로 홈 오토메이션 시장을 형성했으나 사용하기가 어렵고 고가인 관계로 널리 보급되지 못했다. 현재는 인터넷 환경과 컴퓨터 기술의 발달로 인해 가정의 모든 전자기기를 제어함으로써 편리함과 효율성을 극대화시킬 수 있는 단계에 이르고 있다. 가전기기의 고장이나 오류 등은 자동으로 서버를 통해 A/S를 신청하고, 냉장고에 음식이 없으면 스스로 인터넷을 통해 주문하는 등 IT주택으로서의 주거환경에 변화를 가져오고 있다.
이러한 홈 네트워크 환경을 구성하는 기술은 다양한 응용기술들이 있으며 새로운 선로의 포설이 필요 없이 여러 신호들을 전송할 수 있는 무선 기술이 핵심으로 응용되고 있다. 현재 홈네트워크를 구성하는 무선 기술로는 무선랜 기술, 무선팬 기술, 초광대역(UWB) 기술, 무선 1394 기술, 직비 기술, 홈알에프 기술 등이 있다.
네트워킹 기술은 크게 유선과 무선으로 나눌 수 있으며, 유선으로는 전화선, 전력선, 이더넷, IEEE 1394, USB 기술이 있고, 무선으로는 IEEE 802.11x 계열의 무선랜, 홈알에프, 블루투스, 초광대역, 직비, 하이퍼 랜 기술이 부각되어 발전하고 있다.
본 발명에서 홈 네트워크 환경이란, 상기의 홈 네트워크에 대한 개념에 있어서의 네트워크 환경을 포함하여, 방화벽 등에 의하여 보안망이 형성된 기업 내부의 네트워크 환경 이외의 모든 환경, 즉 외부에서 단말이 접속 가능한 네트워크 환경을 통칭하는 것으로 이해될 것이다.
단말로부터 접속 대상이 되는 원격의 서버는, 기본적으로 재택 근무 환경에 있어서 단말이 업무를 수행하기 위함이나, 업무의 단말에서의 수행 결과를 기업 내부에 전송하기 위하여 접속해야 하는 기업 내부 네트워크 환경 상의 서버 단말을 의미한다. 원격의 서버에서는 기업 내부의 보안 대상이 되는 모든 데이터가 관리되며, 기본적으로 보안 에이전트 및 기타 하드웨어 등의 보안망을 통해서 보호된다.
기업 네트워크 보안은 기업 내부 서버에 대한 허가되지 않은 액세스와 피해로부터 회사의 네트워크를 보호하기 위해 설계된 일련의 전략, 프로세스, 기술이다. 네트워크 데이터와 인프라에 대한 일반적인 위협으로는 해커, 맬웨어, 바이러스 등이 있으며 이러한 것들은 모두 네트워크에 액세스하고 침투하여 네트워크를 수정하려고 시도한다. 네트워크 보안의 최우선 과제는 액세스를 제어함으로써 이러한 위협이 네트워크에 침입하여 전파되는 것을 방지하는 것이다.
다중 방어선은 경계 및 경계 내부에서 네트워크를 보호한다. 보안은 액세스 제어에서 시작된다. 정책과 제어를 통해 허가되지 않은 사용자, 기기, 데이터가 네트워크에 액세스하는 것을 관리한다. 방화벽(하드웨어 또는 소프트웨어)은 또 다른 1차 방어선으로, 네트워크에서 송수신되는 트래픽을 모니터링하고 제어하여 네트워크를 신뢰할 수 없는 다른 네트워크(예: 인터넷)와 분리한다. 또한 네트워크 보안은 네트워크 트래픽을 분석하는 침입 탐지 및 침입 방지 시스템을 사용하여 네트워크 위협을 파악하고 이에 대응한다. 네트워크 보안의 중요한 하위 요소 중 하나는 애플리케이션 보안이다. 기업에서 사용하는 웹 애플리케이션과 소프트웨어에는 보통 취약점이 있기 때문에 애플리케이션 보안은 이러한 애플리케이션을 보호한다. 이 밖의 다양한 전략과 기술이 데이터 센터, 퍼블릭 클라우드 등에서 보안을 유지하는 데 사용된다.
원격의 서버에 대한 접근 요청이 단말로부터 수행되는 경우, 본 발명의 장치는 홈 네트워크 환경에 따라서 단말이 이용하는 네트워크 프로토콜에 따라서 요청 신호를 단말로부터 수신하게 된다.
S10 단계가 수행되면, 본 발명의 장치는 접근 요청에 대한 요청 신호를 수신한 프로토콜별 호스트 센서를 통해, 상기 단말의 보안 환경을 체크하는 보안 환경 검사 단계(S20)를 수행한다.
본 발명에서 프로토콜별 호스트 센서는 홈 네트워크 환경의 게이트웨이에 연결된 하드웨어 또는 소프트웨어 적 센서로서, 접근 요청에 해당하는 요청 신호를 캐칭하여 이를 분석함으로써 단말의 보안 환경을 체크하는 기능을 수행한다.
구체적으로 도 2에 도시된 바와 같은 실시예를 통해 호스트 센서는 단말의 보안 환경을 체크하게 되고, 체크된 보안 환경에 따라서 단말에 대한 처리를 수행한다.
보안 환경의 체크에 따라서 단말은 관리 상태와 미관리 상태로 구분되는데, 관리 상태는 보안 환경이 적합한 단말의 상태, 미관리 상태를 보안 환경이 적합하지 않은 단말의 상태를 지칭한다. S20 단계의 수행 결과 단말이 관리 상태인 것으로 판단되는 경우, 본 발명의 장치는 체크된 보안 환경에 따라 원격의 서버에 대한 접근을 관리하는 접근 허용 단계(S30)를 수행하여, 원격의 서버에 대한 접근을 정상적으로 허가하게 된다. 그러나 미관리 상태인 경우 후술하는 바와 같이 S20 단계에 있어서 단말의 상태를 관리 상태로 전환하기 위한 처리를 수행한다.
상기 과정을 구체적으로 설명하면 다음과 같다. 먼저 컴퓨팅 장치, 즉 본 발명의 장치는, 단말의 요청 신호에 포함된 패킷을 상기 호스트 센서에 전송하는 패킷 전송 단계(S21)를 수행한다.
호스트 센서는 패킷을 분석함으로써, 단말이 상술한 관리 상태인지 또는 미관리 상태인지 여부를 판단하게 된다. 예를 들어 도 4에 도시된 바와 같이, 단말로부터 전송되는 요청 신호에 포함된 패킷(100)을 분석한다. 즉 S21 단계의 수행 후, 본 발명의 장치는 호스트 센서가 패킷을 분석하여 도출된 결과로서, 단말이 관리 상태인 제1 단말인지 미관리 상태인 제2 단말인지 여부에 대한 정보인 검사 정보를 호스트 센서로부터 수신하는 검사 단계(S22)를 수행한다.
이후, S22 단계의 판단 결과, 단말이 제2 단말인 경우, 단말을 관리 제1 단말로 전환하기 위한 처리를 수행하는 단말 처리 단계(S23)를 수행한다.
검사 정보는 즉 요청 신호에 포함된 패킷을 호스트 센서가 분석한 결과를 포함하는데, 구체적으로 검사 정보는 도 4에 도시된 바와 같이 호스트 센서가 패킷에 대한 프로토콜별 디코딩을 수행하여 패킷에 대한 세부 정보(101)를 정리한 결과로서, 해당 패킷의 정보로부터 도출될 수 있는 보안 환경에 대한 정보를 지칭한다.
이때 보한 환경에 대한 정보는 요청 신호에 포함된 패킷의 디코딩 결과, 패킷에 보안 에이전트의 기능에 의한 패킷의 세부 컬럼 및 형식에 있어서의 값이 설정되었는지 여부에 대한 판단 정보를 의미한다. 또한, 패킷의 시종에 결합된 태그를 확인하여 통신 규약을 확인하는 등의 방식을 통해서, 해당 단말에 보안 에이전트가 설치되었는지 여부에 대해서 판단하게 된다.
구체적인 예로서, 보안 에이전트가 설치된 단말에서의 요청 신호에 있어서ㅗ Http 헤더는 요청 헤더의 끝에 SgaTrustStatus : SgaAgent=True 과 같은 필드가 추가가 되며 해당 필드는 서버내 설치된 Host의 방화벽에서 기능을 추가 하여 헤더에 추가가 가능하다. 이에 따라서 해당 필드가 있으면 Agent가 설치된 것으로 판단할 수 있으며, 없는 경우 요구되는 보안 에이전트가 설치되지 않은 것으로 판단하게 되는 것이다.
즉 기업 내부 네트워크 환경에 접속하기 위하여 기업 내부의 방화망에 연관된 보안 정책(110)에 따라서 설치 대상이 되는 보안 에이전트에 대한 모든 설치가 된 단말을 제1 단말(D1)로, 그렇지 않은 단말을 제2 단말(D2)로 결정한 결과가 검사 정보이며, 즉 검사 정보는 접근을 요청한 단말의 상태를 나타내는 정보인 것이다.
S23 단계의 수행에 있어서, 본 발명의 장치는, 기업 내부 네트워크 환경에 있어서 예외적으로 제2 단말이 접근 가능한 네트워크 존(Zone)을 일명 DMZ 존으로 형성하고, 웹 환경을 통해서 단말이 해당 존에 접속하도록 유도한다. 이러한 존을 원격의 서버와 구별되도록 기업 내부 네트워크 환경 내의 보안 서버로 지칭한다.
S23 단계에 있어서 본 발명의 장치는, 제2 단말의 패킷을 원격의 서버로 전송하거나 서버로 전송하여 단말이 원격의 서버에 접근하는 행위을 차단하는 것에 그치지 않고, 이를 원격의 서버와 별도로 마련된 서버로서, 원격의 서버에 설정된 보안 정책에 따른 보안 에이전트의 설치 프로세스를 수행하는 보안 서버로 리디렉션(Rederection)하여, 단말이 보안 에이전트의 설치 페이지로 접근하도록 제어한다.
예를 들어 제2 단말이 원격의 서버에 대한 접근을 시도하게 되면, 상기 기능의 수행 결과 도 5에 도시된 바와 같은 웹 화면(200)이 출력되는데, 해당 웹 화면(200)은 보안 서버에 접속한 결과로서, 각 보안 에이전트(Agent 1 내지 3)에 대한 설치(202) 또는 미설치(201)에 관련된 정보와 함께, 각 보안 에이전트를 설치할 수 있는 메뉴(203)를 포함하여, 보안 에이전트에 대한 설치를 유도하게 된다.
이후, 웹 환경에서 단말이 보안 에이전트에 대한 모든 설치가 완료되는 경우, 다시 S30 단계를 수행하여, 단말이 원격의 서버에 접속하여 재택 근무가 가능한 상태로 전환되도록 한다.
즉, 본 발명의 장치는 S23 단계의 수행에 있어서 보안 서버로 리디렉션되어 보안 서버에 접속한 결과 보안 에이전트를 모두 설치한 것인지 여부를, 보안 서버에 대한 접속 종료 후 S10 및 S20 단계의 재 수행을 통해서 판단하고, 보안 에이전트가 모두 설치된 것으로 호스트 센서에 의하여 판단되거나, 보안 에이전트의 설치에 대한 로그 정보가 파악되는 경우, 단말의 상태를 제2 단말에서 제1 단말로 전환한다. 즉 S30 단계는 단말이 제1 단말인 경우에만 원격의 서버에 대한 접근을 허용하는 것이다.
상기의 기능 수행에 의하면, 단순한 보안 에이전트에 대한 설치를 유도하는 것이 아니라, 기업의 보안 정책에 따라서 기업 내부 네트워크 환경에 있어서의 설치 대상이 되는 보안 에이전트가, 재택 근무 환경에서 기업의 업무에 관련된 원격의 서버에 대한 접속을 위하여 단말에 설치되도록 유도하고, 특히 호스트 센서를 통해서 이에 대한 패킷 분석을 통해서 모든 단말에 의하여 관리 상태인지 여부를 파악하기 때문에 기존의 기술들과 같이 클라이언트 리스트를 두고, 리스트에 포함된 클라이언트에 대한 접속만을 허가하는 등의 기술에 비하여 업무자가 재택 근무 환경을 구축함에 있어서의 이용 가능한 단말의 제한이 크게 사라지고, 이용 가능한 단말의 범위가 매우 넓어짐에도 불구하고 보안성을 강하게 유지할 수 있는 효과가 있다.
도 3에는 상술한 본 발명의 장치(10)에 대한 구성도가 도시되어 있다. 본 발명의 장치(10)에 대한 설명에 있어서 상술한 모든 설명들과 중복되는 불필요한 내용에 대한 설명은 이를 생략하기로 한다.
도 3을 참조하면, 본 발명의 장치(10)는 접근 요청 수신부(11), 보안 환경 검사부(12) 및 접근 허용부(13)를 포함하는 것을 특징으로 한다. 접근 요청 수신부(11)는 홈 네트워크(A) 상의 단말(20)로부터 접속 대상이 되는 기업 내부네트워크(B) 상의 원격의 서버(40)에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 기능을 수행한다. 즉 상술한 S10 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로 이해될 것이다.
보안 환경 검사부(12)는 접근 요청 수신부(11)에 의하여 수신된 요청 신호를 프로토콜별 호스트 센서(30)를 통해 검증하여 상기 단말(20)의 보안 환경을 체크하는 기능을 수행한다. 또한 상술한 바와 같이 단말(20)이 제2 단말인 것으로 판단되면, 단말(20)의 패킷을 보안 서버(50)로 리디렉션하여 보안 서버(50)에 단말(20)이 접속하도록 하여, 기업 보안 정책에 따른 보안 에이전트를 설치하도록 하고, 그 결과에 따라서 단말(20)의 상태를 제1 단말로 전환하는 기능을 함께 수행한다. 즉, 상술한 S20, S21, S22, S23 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로 이해될 것이다.
접근 허용부(13)는 보안 환경 검사부(12)의 보안 환경 체크 결과에 따라서 단말(20)의 원격의 서버(40)에 대한 접근을 관리하는 기능을 수행한다. 즉 상술한 S30 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로 이해될 것이다.
이러한 네트워크 환경은 도 3에도 도시되어 있으나, 보다 실 구현적으로 모식화된 결과를 도 6에서 확인할 수 있다. 도 6을 참조하면, 재택 근무 환경에서의 홈 네트워크 환경(A)에서는, 원격 PC, 즉 단말(20)이 원격 접속을 통해 본 발명의 장치(10), 예를 들어 본 발명의 장치가 설치된 게이트웨이를 통해서 원격의 서버(40)에 대한 접근을 시도하게 된다. 해당 접근의 시도는 상술한 요청 신호의 전송으로 시작된다. 이때 호스트 센서(30)는 상술한 기능 수행에 따라서 요청 신호의 패킷을 디코딩 및 분석하여 단말(20)의 보안 환경에 대한 체크를 수행하게 되며, 보안 환경이 적합한 경우 기업 내부 네트워크 환경(B)에서의 서버(40)에 대한 접근을 허용하고, 그렇지 않은 경우, 웹(51)을 통해서 기업 업무용 DMZ 존에 해당하는 보안 서버(50)에 접속하도록 하여 보안 에이전트를 설치할 수 있도록 한다.
도 7은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예를 도시하였으며, 이하의 설명에 있어서, 상술한 도 1 내지 6에 대한 설명과 중복되는 불필요한 실시 예에 대한 설명은 생략하기로 한다.
도 7에 도시한 바와 같이, 컴퓨팅 장치(10000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅 장치(10000)은 촉각 인터페이스 장치에 연결된 유저 단말이기(A) 혹은 전술한 컴퓨팅 장치(B)에 해당될 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(10000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(10000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(10000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 7의 실시 예는, 컴퓨팅 장치(10000)의 일례일 뿐이고, 컴퓨팅 장치(11000)은 도 7에 도시된 일부 컴포넌트가 생략되거나, 도 7에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 7에도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(1160)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(10000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시 예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술 분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (8)

  1. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법으로서,
    홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신 단계;
    상기 접근 요청 수신 단계를 통해 요청 신호를 수신한 프로토콜별 센서로서, 홈 네트워크 환경의 게이트웨이에 연결된 센서로서, 요청 신호를 캐칭하여 분석함으로써 단말의 보안 환경을 체크하는 호스트 센서를 통해, 상기 단말의 보안 환경을 체크하는 보안 환경 검사 단계; 및
    상기 보안 환경 검사 단계의 수행 결과에 따라서 체크된 보안 환경에 따라 원격의 서버에 대한 접근을 관리하는 접근 허용 단계;를 포함하고,
    상기 보안 환경 검사 단계는,
    상기 단말의 요청 신호에 포함된 패킷을 상기 호스트 센서에 전송하는 패킷 전송 단계;
    상기 호스트 센서가 상기 패킷을 분석하여 도출된 결과로서, 상기 단말이 관리 상태인 제1 단말인지 미관리 상태인 제2 단말인지 여부에 대한 정보인 검사 정보를 상기 호스트 센서로부터 수신하는 검사 단계; 및
    상기 검사 단계의 판단 결과 상기 단말이 제2 단말인 경우, 상기 단말을 관리 제1 단말로 전환하기 위한 처리를 수행하는 단말 처리 단계;를 포함하고,
    상기 검사 정보는.
    상기 호스트 센서가 상기 패킷을 프로토콜별로 디코딩하여 패킷에 대한 세부 정보를 정리한 결과로서, 패킷의 정보로부터 도출될 수 있는 보안 환경에 대한 정보를 지칭하며 보안 환경에 대한 정보는 요청 신호에 포함된 패킷의 디코딩 결과, 패킷에 보안 에이전트의 기능에 의한 패킷의 세부 컬럼 및 형식에 있어서의 값이 설정되었는지 여부에 대한 판단 정보로서, 상기 원격의 서버에 설정된 보안 정책에 따라서 상기 단말에 설치되어야 하는 보안 에이전트에 대한 설치 여부를 판단하고, 상기 보안 에이전트가 모두 설치된 단말을 제1 단말로, 보안 에이전트가 미설치된 단말을 제2 단말로 결정한 결과이고,
    상기 단말 처리 단계는.
    상기 제2 단말의 패킷을 원격의 서버와 별도로 마련된 서버로서, 기업 내부 네트워크 환경의 내부 서버와 별도로 마련된 기업 내부 네트워크 환경 내의 보안 서버로서, 원격의 서버에 설정된 보안 정책에 따른 보안 에이전트의 설치 프로세스를 수행하는 보안 서버로 리디렉션(Rederection)하여, 단말이 상기 보안 에이전트의 설치 페이지로 접근하도록 제어하는 것을 특징으로 하는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 단말 처리 단계는,
    상기 제2 단말이 상기 보안 서버에 접속하여 상기 보안 에이전트를 모두 설치한 것으로 판단되는 경우 상기 제2 단말을 상기 제1 단말로 전환하는 것을 특징으로 하는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법.
  6. 제1항에 있어서,
    상기 접근 허용 단계는,
    상기 단말이 상기 제1 단말인 경우에만 상기 원격의 서버에 대한 접근을 허용하는 것을 특징으로 하는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법.
  7. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치로서,
    홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신부;
    상기 접근 요청 수신부에 의하여 수신된 요청 신호를 프로토콜별 호스트 센서를 통해 검증하여 상기 단말의 보안 환경을 체크하는 보안 환경 검사부; 및
    상기 보안 환경 검사부의 보안 환경 체크 결과에 따라서 원격의 서버에 대한 접근을 관리하는 접근 허용부;를 포함하고,
    상기 보안 환경 검사부는,
    상기 단말의 요청 신호에 포함된 패킷을 상기 호스트 센서에 전송하고, 상기 호스트 센서가 상기 패킷을 분석하여 도출된 결과로서, 상기 단말이 관리 상태인 제1 단말인지 미관리 상태인 제2 단말인지 여부에 대한 정보인 검사 정보를 상기 호스트 센서로부터 수신하고, 상기 단말이 제2 단말인 경우, 상기 단말을 관리 제1 단말로 전환하기 위한 처리를 수행하고,
    상기 검사 정보는.
    상기 호스트 센서가 상기 패킷을 프로토콜별로 디코딩하여 패킷에 대한 세부 정보를 정리한 결과로서, 패킷의 정보로부터 도출될 수 있는 보안 환경에 대한 정보를 지칭하며 보안 환경에 대한 정보는 요청 신호에 포함된 패킷의 디코딩 결과, 패킷에 보안 에이전트의 기능에 의한 패킷의 세부 컬럼 및 형식에 있어서의 값이 설정되었는지 여부에 대한 판단 정보로서, 상기 원격의 서버에 설정된 보안 정책에 따라서 상기 단말에 설치되어야 하는 보안 에이전트에 대한 설치 여부를 판단하고, 상기 보안 에이전트가 모두 설치된 단말을 제1 단말로, 보안 에이전트가 미설치된 단말을 제2 단말로 결정한 결과이고,
    상기 보안 환경 검사부는,
    상기 단말이 제2 단말인 경우, 상기 단말을 관리 제1 단말로 전환하기 위한 처리를 수행 시, 상기 제2 단말의 패킷을 원격의 서버와 별도로 마련된 서버로서, 기업 내부 네트워크 환경의 내부 서버와 별도로 마련된 기업 내부 네트워크 환경 내의 보안 서버로서, 원격의 서버에 설정된 보안 정책에 따른 보안 에이전트의 설치 프로세스를 수행하는 보안 서버로 리디렉션(Rederection)하여, 단말이 상기 보안 에이전트의 설치 페이지로 접근하도록 제어하는 것을 특징으로 하는 것을 특징으로 하는 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 장치.
  8. 컴퓨터-판독가능 기록매체로서,
    상기 컴퓨터-판독가능 기록매체는, 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은:
    홈 네트워크 상의 단말로부터 접속 대상이 되는 원격의 서버에 대한 접근 요청이 수행될 시, 네트워크 프로토콜에 따른 요청 신호를 수신하는 접근 요청 수신 단계;
    상기 접근 요청 수신 단계를 수신한 프로토콜별 호스트 센서를 통해, 상기 단말의 보안 환경을 체크하는 보안 환경 검사 단계;
    상기 보안 환경 검사 단계의 수행 결과에 따라서 원격의 서버에 대한 접근을 관리하는 접근 허용 단계;를 포함하고,
    상기 보안 환경 검사 단계는,
    상기 단말의 요청 신호에 포함된 패킷을 상기 호스트 센서에 전송하는 패킷 전송 단계;
    상기 호스트 센서가 상기 패킷을 분석하여 도출된 결과로서, 상기 단말이 관리 상태인 제1 단말인지 미관리 상태인 제2 단말인지 여부에 대한 정보인 검사 정보를 상기 호스트 센서로부터 수신하는 검사 단계; 및
    상기 검사 단계의 판단 결과 상기 단말이 제2 단말인 경우, 상기 단말을 관리 제1 단말로 전환하기 위한 처리를 수행하는 단말 처리 단계;를 포함하고,
    상기 검사 정보는.
    상기 호스트 센서가 상기 패킷을 프로토콜별로 디코딩하여 패킷에 대한 세부 정보를 정리한 결과로서, 패킷의 정보로부터 도출될 수 있는 보안 환경에 대한 정보를 지칭하며 보안 환경에 대한 정보는 요청 신호에 포함된 패킷의 디코딩 결과, 패킷에 보안 에이전트의 기능에 의한 패킷의 세부 컬럼 및 형식에 있어서의 값이 설정되었는지 여부에 대한 판단 정보로서, 상기 원격의 서버에 설정된 보안 정책에 따라서 상기 단말에 설치되어야 하는 보안 에이전트에 대한 설치 여부를 판단하고, 상기 보안 에이전트가 모두 설치된 단말을 제1 단말로, 보안 에이전트가 미설치된 단말을 제2 단말로 결정한 결과이고,
    상기 단말 처리 단계는.
    상기 제2 단말의 패킷을 원격의 서버와 별도로 마련된 서버로서, 기업 내부 네트워크 환경의 내부 서버와 별도로 마련된 기업 내부 네트워크 환경 내의 보안 서버로서, 원격의 서버에 설정된 보안 정책에 따른 보안 에이전트의 설치 프로세스를 수행하는 보안 서버로 리디렉션(Rederection)하여, 단말이 상기 보안 에이전트의 설치 페이지로 접근하도록 제어하는 것을 특징으로 하는 컴퓨터-판독가능 기록매체.
KR1020220157105A 2022-11-22 2022-11-22 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체 KR102548703B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220157105A KR102548703B1 (ko) 2022-11-22 2022-11-22 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체
US18/337,179 US20240171577A1 (en) 2022-11-22 2023-06-19 Method, apparatus, and computer-readable recording medium for controlling access to remote system in home network environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220157105A KR102548703B1 (ko) 2022-11-22 2022-11-22 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체

Publications (1)

Publication Number Publication Date
KR102548703B1 true KR102548703B1 (ko) 2023-06-28

Family

ID=86994065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220157105A KR102548703B1 (ko) 2022-11-22 2022-11-22 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체

Country Status (2)

Country Link
US (1) US20240171577A1 (ko)
KR (1) KR102548703B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040004944A (ko) * 2002-07-06 2004-01-16 주식회사 잉카인터넷 게이트웨이에서의 네트워크 접속 제어 방법
KR20180003132A (ko) * 2016-06-30 2018-01-09 주식회사 수산아이앤티 Dhcp 환경에서 승인된 클라이언트를 구분하는 방법
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040004944A (ko) * 2002-07-06 2004-01-16 주식회사 잉카인터넷 게이트웨이에서의 네트워크 접속 제어 방법
KR20180003132A (ko) * 2016-06-30 2018-01-09 주식회사 수산아이앤티 Dhcp 환경에서 승인된 클라이언트를 구분하는 방법
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법

Also Published As

Publication number Publication date
US20240171577A1 (en) 2024-05-23

Similar Documents

Publication Publication Date Title
Miloslavskaya et al. Internet of Things: information security challenges and solutions
US11936619B2 (en) Combined security and QOS coordination among devices
US9882912B2 (en) System and method for providing authentication service for internet of things security
Nazir et al. Survey on wireless network security
CN103023867B (zh) 用于动态配置网络安全设置的便携式安全设备和方法
Samaila et al. Security challenges of the Internet of Things
US11336635B2 (en) Systems and methods for authenticating device through IoT cloud using hardware security module
US11283810B2 (en) Communication control method and communication control device for substituting security function of communication device
Rahouti et al. Secure software-defined networking communication systems for smart cities: current status, challenges, and trends
US9633199B2 (en) Using a declaration of security requirements to determine whether to permit application operations
Jia et al. Who's in control? On security risks of disjointed IoT device management channels
Chhetri et al. Identifying vulnerabilities in security and privacy of smart home devices
Yassein et al. Evaluation of security regarding Z-Wave wireless protocol
Rathinavel et al. Security concerns and countermeasures in IoT-integrated smart buildings
KR102548703B1 (ko) 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체
KR102345265B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
Varadharajan et al. Techniques for Enhancing Security in Industrial Control Systems
US11019085B1 (en) Systems and methods for identifying potentially risky traffic destined for network-connected devices
Al Ladan A review and a classifications of mobile cloud computing security issues
Chang et al. Information security modeling for the operation of a novel highly trusted network in a virtualization environment
Li et al. Employing edge computing to enhance self-defense capabilities of IoT devices
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
KR102540094B1 (ko) 웹 어플리케이션 프록시를 이용한 사용자 접근 제어와 접근 차단 장치
de Moura et al. Technologies for industrial internet of things (IIoT): Guidelines for edge computing adoption in the industry

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant