KR102559568B1 - 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법 - Google Patents

사물인터넷 인프라 환경에서의 보안통제 장치 및 방법 Download PDF

Info

Publication number
KR102559568B1
KR102559568B1 KR1020190027801A KR20190027801A KR102559568B1 KR 102559568 B1 KR102559568 B1 KR 102559568B1 KR 1020190027801 A KR1020190027801 A KR 1020190027801A KR 20190027801 A KR20190027801 A KR 20190027801A KR 102559568 B1 KR102559568 B1 KR 102559568B1
Authority
KR
South Korea
Prior art keywords
security
end device
devices
end devices
blocking
Prior art date
Application number
KR1020190027801A
Other languages
English (en)
Other versions
KR20200108742A (ko
Inventor
임재덕
김경태
김정녀
손선경
이윤경
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190027801A priority Critical patent/KR102559568B1/ko
Priority to US16/813,986 priority patent/US20200296119A1/en
Publication of KR20200108742A publication Critical patent/KR20200108742A/ko
Application granted granted Critical
Publication of KR102559568B1 publication Critical patent/KR102559568B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

사물인터넷(IoT) 인프라 환경에서 기기에서 발생된 보안위협이 사물인터넷 인프라로 확산되는 것을 방지하는 네트워크 접속 차단 기능 및 네트워크 접속 차단에 의한 서비스 지연을 최소화하는 네트워크 접속차단 해제 기능이 포함된 보안통제 기술을 제안한다. 본 발명은 서비스 서버, 사물인터넷 게이트웨이, 사물인터넷 엔드기기('기기'와 혼용함)들로 구성된 사물인터넷 인프라에서, DDoS 공격 및 악성코드 전파 등의 보안위협이 탐지되었을 때 보안위협 확산을 방지하고 보안위협의 조기 차단을 위해, 보안위협이 발생한 엔드기기 및/또는 이와 동일 혹은 유사한 속성을 가진 엔드기기 그룹에 대해 네트워크 접속을 일괄 차단하되, 차단된 기기들로 인한 서비스 지연을 최소화하기 위해 접속 차단된 그룹에 속한 기기들의 보안상태를 일정한 순서로 점검하여 네트워크 접속 차단을 해제하는 장치 및 방법을 제공한다.

Description

사물인터넷 인프라 환경에서의 보안통제 장치 및 방법 {Apparatus and method for security control in IoT infrastructure environment}
본 발명은 사물인터넷 인프라에서 DDoS 공격 및 악성코드 전파 등의 보안위협 확산을 방지하고 보안위협의 조기 차단을 위한 보안통제에 관한 것으로, 보다 구체적으로는, 사물인터넷 인프라 환경에서의 보안위협 확산 방지를 위한 네트워크 접속 차단 기능 및 이로 인한 서비스 지연을 최소화하기 위한 네트워크 접속차단 해제 기능이 포함된 보안통제 장치 및 방법에 관한 것이다.
네트워크 침해 확산 방지를 위한 기존 기술로 네트워크 세그먼테이션 기술이 있다. 이 기술의 기본 개념은 관리할 영역을 네트워크 플로우 단위(예: 서비스 등)로 나누어 분리된 네트워크 플로우 영역 간의 접근 제어 정책을 통해 네트워크 플로우 간 불법적 접근을 통제하는 기술이다.
그러나 이 기술은 사전에 분리된 영역의 네트워크 플로우 사이로의 접근 정책을 위반한 불법 접근에 대한 차단은 가능하지만 워크플로우 영역 내에 연결되어 있는 다수의 클라이언트와 서비스 서버 사이의 연결에서 이루어지는 확산은 막지 못한다. 즉 네트워크 플로우 영역 내에 보안위협이 발생할 경우 네트워크 플로우 영역 내에서의 보안위협 확산은 차단할 수 없으며, 접근제어 정책에 의해 접근이 가능하도록 설정된 네트워크 플로우 영역으로의 보안위협 확산도 방지할 수 없다.
더구나 네트워크 세그먼테이션은 기본적으로 데이터 센터, 즉 서버군들이 운영되는 클라우드 내에서 클라이언트와 서버 간 연결 환경의 노스-사우스 트래픽을 대상으로 하기보다는, 서버 간 연결 환경의 이스트-웨스트 트래픽을 대상으로 적용되고 있어, 본 발명의 대상 분야인 기기-게이트웨이-서버 구조의 사물인터넷 인프라에서의 보안위협 확산 방지에는 한계가 있다.
또한 사물인터넷의 경우 서비스가 지속적으로 제공되어야 하므로 보안위협 처리를 위해 네트워크 접속 차단이 수행되었더라도 신속한 서비스 재개를 통해 서비스 지연을 최소화하는 한도에서의 네트워크 접속차단 해제 기능도 함께 제공되어야 한다.
본 발명은 기기-게이트웨이-서버 구조의 사물인터넷 인프라 환경에서 기기에서 발생된 보안위협이 사물인터넷 인프라로 확산되는 것을 방지하는 네트워크 접속 차단 기능 및 네트워크 접속 차단에 의한 서비스 지연을 최소화하는 네트워크 접속차단 해제 기능이 포함된 보안통제 기술을 제안한다.
본 발명은 서비스 서버, 사물인터넷 게이트웨이, 사물인터넷 엔드기기('기기'와 혼용함)들로 구성된 사물인터넷 인프라에서, DDoS 공격 및 악성코드 전파 등의 보안위협이 탐지되었을 때 보안위협 확산을 방지하고 보안위협의 조기 차단을 위해, 보안위협이 발생한 엔드기기 및/또는 이와 동일 혹은 유사한 속성을 가진 엔드기기 그룹에 대해 네트워크 접속을 일괄 차단하되, 차단된 기기들로 인한 서비스 지연을 최소화하기 위해 접속 차단된 그룹에 속한 기기들의 보안상태를 일정한 순서로 점검하여 네트워크 접속 차단을 해제하는 장치 및 방법을 제공한다.
본 발명은 다양한 통신 수단을 이용하여 연결된 사물인터넷의 초연결 특성으로 인해 DDoS 혹은 악성코드 등의 공격이 빠르게 확산되어 사물인터넷 서비스 전체로 피해가 확대되는 상황을 방지함과 동시에 이에 따른 서비스 지연을 최소화하기 위한 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법을 제공한다.
보안위협이 발생한 기기 및/또는 동일성있는 기기 그룹에 대해 일괄적으로 네트워크 접속 차단을 수행함으로써 보안 분석이 진행되지 않았거나 보안위협 탐지가 되지 않은 기기에 대해서도 탐지된 보안위협을 사전 차단하여 사물인터넷 인프라 전체로 해당 보안위협이 전파되어 피해가 확산되는 것을 방지한다. 그룹 단위로 기기의 네트워크 접속을 차단하기 위해서, 사물인터넷 서비스를 제공하는 기기들에 대해 물리적으로 동일성있는 제품(예: CCTV, 검침기, 도어락 등), 동일성있는 서비스 제공, 동일성있는 운영환경(예: OS 및 버전 등) 등으로 사전에 동일 혹은 유사 속성에 따라 그룹으로 설정해 놓는다.
또한 네트워크 접속 차단 과정에서 보안위협이 발생하지 않은 기기에 대한 네트워크 접속 차단으로 인해 발생할 수 있는 서비스 지연을 최소화하기 위해 기기 그룹 단위로 적용되는 네트워크 접속 차단 과정과 별도로 기기 단위의 네트워크 접속차단 해제 기능도 포함된다. 네트워크 접속차단 해제의 대상 기기를 결정하는 방식으로는 1) 서비스 제공이 우선인 경우와 2) 보안위협 관리가 우선인 경우가 제공되며, 이들 방식은 사물인터넷 서비스 운영 사이트에서 서비스 특성에 맞게 선택 적용할 수 있다.
본 발명은 발견된 보안위협의 확산을 방지하기 위하여 보안위협이 발생된 기기를 포함하는 기기그룹 단위로 네트워크 접속을 차단함과 함께, 차단된 그룹에 속하는 기기들의 보안상태 점검을 통하여 기기 단위로 접속 차단을 해제하여 서비스 지연을 최소화한다. 이로써 사용자 개입이 최소화되는 자율적인 사물인터넷 인프라 환경에서의 보안 통제가 가능해진다.
이상에서 소개한 본 발명의 구성 및 작용은 이후에 도면과 함께 설명하는 구체적인 실시예를 통하여 더욱 명확해질 것이다.
본 발명의 보안통제 장치 및 방법의 네트워크 접속 차단 기능은 보안위협이 발생한 기기에 대한 네트워크 접속 차단 뿐만 아니라 동일 보안위협이 발생할 가능성이 높은 기기들에 대해서까지 사전에 일괄 차단함으로써 보안위협을 발견하지 못한 기기로부터의 보안위협 확산을 조기에 차단할 수 있어, DDoS 공격 및 전파력이 강한 악성코드 감염 등으로부터 야기될 수 있는 사물인터넷 인프라 및 서비스의 피해 확산을 사전에 방지할 수 있다. 동시에, 본 발명의 보안통제 장치 및 방법의 네트워크 접속차단 해제 기능은 기기에 대한 네트워크 접속 차단으로 인해 발생하는 서비스 지연을 최소화할 수 있다. 유사 속성을 가지는 기기 그룹 단위로 네트워크 접속 차단이 적용됨으로써 보안위협이 없는 정상 기기까지 네트워크 접속이 차단될 수 있으므로, 네트워크 접속 차단된 기기에 대한 지속적 보안상태 점검을 통한 네트워크 접속차단 해제 기능을 수행한다.
이와 같이 관리자의 개입없이 사물인터넷 인프라에 대한 보안위협 확산을 조기에 차단하면서도 서비스 지연을 최소화할 수 있다.
IT 시장조사업체 가트너는 사물인터넷 관련 연결 기기의 수를 2015년 50억 개에서 2020년까지 250억 개에 이를 것으로 예측하였으며, 사물인터넷의 영향을 받는 각종 전자기기 및 사물들의 개수도 증가해 2014년 100억 개의 사물에서 2020년까지 300억 개의 사물들이 인터넷과 연결돼 사용될 것으로 전망하였다. 영국의 마키나 리서치는 세계 사물인터넷 시장이 2022년까지 연평균 218% 성장률을 보이며 1조 2000억 달러 규모까지 성장할 것이라고 전망하고 있다. 사물인터넷 규모가 커짐에 따라 이에 따른 보안 사고에 의한 피해도 증가할 것으로 전망되는데, 해킹 등에 의한 사물인터넷 보안 피해규모는 2015년 134조에서 2030년에는 267조 원까지 증가할 것으로 전망되고 있어(KIET, 2014), 보안 기술의 요구가 증가하여 관련 시장은 확대될 것으로 전망된다.
사물인터넷 기반 대규모 서비스는 전력/가스/수도 등의 스마트 원격검침서비스, 스마트헬스 케어 서비스 등 구체적인 특정 서비스로 확산 추세이며, 해당 서비스는 특히 공공성이 크고, 개인 신상에 대한 민감성 때문에 보안위협에 의한 피해는 경제적으로나 사회적으로 파장이 클 것으로 전망됨에 따라 이를 해결할 보안 기술의 요구가 증가하여 관련 시장이 빠르게 확대될 것이다.
도 1 사물인터넷 인프라 접속 차단 및 차단해제 방법을 위한 구성도
도 2 사물인터넷 인프라에서의 네트워크 접속 차단 절차 순서도
도 3 네트워크 접속차단 해제 정책에 따른 해제 기기 결정 우선순위 설명도
도4 사물인터넷 인프라에서의 네트워크 접속차단 해제 절차 순서도
본 발명의 이점 및 특징, 그리고 이들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 기술되어 있는 실시예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예는 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 기재에 의해 정의된다.
한편, 본 명세서에서 사용된 용어는 실시예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자 이외의 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가급적 동일한 부호를 부여하고 또한 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있는 경우에는 그 상세한 설명을 생략한다.
도 1은 본 발명의 보안통제 장치의 한 실시형태의 구성도이다.
도 1을 참조하면, 본 발명은, 네트워크 접속 차단 및 차단해제의 대상인 엔드기기(30)의 네트워크 접속 차단 및 차단해제 명령을 생성하는 보안통제서버(10)와, 보안통제서버(10)로부터 상기 네트워크 접속 차단 및 차단해제 명령을 받아 통제 대상 엔드기기(들)(30)의 네트워크 접속 차단 및 차단해제를 집행하는 게이트웨이(20)를 포함한다.
보안통제서버(10)는 사물인터넷 서비스에 대한 다양한 정책 등을 관리하는 관리서버에 위치할 수 있다. 게이트웨이(20)는 사물인터넷 서비스를 위해 실제 필드에 설치 및 운영되는 엔드기기(30)에 대한 네트워크 접속을 관리하는 장치로 사물인터넷 서비스에 따라 다양한 규모로 구성된다. 엔드기기(30)는 사물인터넷 서비스를 위해 주로 정보 수집, 서비스 제어 등을 수행하는 센서 및 액츄에이터 등으로 이루어진다.
본 발명에 따른 보안통제서버(10), 게이트웨이(20), 엔드기기(30)의 주요 기능 모듈에 대해서 설명하면 다음과 같다.
도 1에서와 같이 보안통제서버(10)는 접속차단모듈(11)과 접속차단해제모듈(12)로 구성된다. 접속차단모듈(11)은 사물인터넷 인프라 내에서 보안위협이 탐지되었을 경우 탐지된 보안위협 수준에 따라 보안위협이 발생한 기기만 차단할지, 보안위협이 발생한 기기를 포함한 동일 혹은 유사 군의(동일성있는) 기기 그룹을 일괄로 차단할지 결정하고, 결정된 기기 혹은 기기 그룹에 대한 네트워크 접속 차단 명령을 기기(30)가 연결된 게이트웨이(20)에 요청한다. 여기서 차단 대상 기기의 그룹핑은 물리적으로 동일성있는 기기들(예: CCTV, 검침기, 도어락 등), 동일성있는 서비스 제공 기기들, 및/또는 동일성있는 운영환경(예: OS 및 버전 등)을 갖는 기기들 등으로 범주화될 수 있는데, 본 발명에서는 그 방법에 제한을 두지 않는다. 또한, 탐지된 보안위협이 전파력이 높은 DDoS(서비스 거부 공격)나 확산이 빠른 악성 코드로 판별될 경우에는 이러한 확산 혹은 전파 방법에 따라 네트워크 접속 차단을 수행할 그룹을 결정한다. 예를 들어, CCTV에 주로 전파되는 악성 코드가 탐지된 경우, 보안위협이 발생된 CCTV 제품 혹은 CCTV 제품 그룹을 네트워크 접속 차단할 기기 그룹으로 결정한다. 이렇게 함으로써 보안위협 탐지가 되지 않았더라도 탐지된 보안위협이 해당 제품에 확산되었을 가능성이 높으므로 사전 차단이 가능하다.
보안통제서버(10)의 접속차단해제모듈(12)은, 그룹 단위로 기기의 네트워크 접속을 차단하게 되면 이에 따라 정상적인 기기에 대해서도 접속이 차단될 수 있으므로, 서비스 지연을 최소화하기 위하여 정상 기기에 대해서는 신속히 접속차단을 해제하기 위한 것이다. 이 때에는, 앞서서 보안위협이 탐지되지 않았지만 기기점검 과정에서 보안위협을 탐지할 수도 있으므로, 이 때 보안위협 탐지가 된 기기에 대해서는 복구를 통해 보안위협을 제거하는 기능이 제공될 수 있다. 더불어, 보안위협이 탐지된 기기에서의 보안위협 발생 이력(횟수 등)을 관리하여 네트워크 접속차단 해제 과정에서 보안상태 점검이 수행될 때 차단해제할 기기의 결정에 참고가 될 수 있도록 한다(차후의 엔드기기(30)에 대한 설명 참조)
게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)로부터 전달받은 네트워크 접속 차단 또는 차단해제 명령에 따라 기기의 네트워크 접속을 차단하거나 차단해제하는 기능을 한다. 기기의 네트워크 접속 차단 및 차단해제에 대한 구체적 방법에 대해서는 별도의 설명이 필요하지 않을 것이다(예를 들어, 리눅스의 경우에는 Iptables 방화벽 기능을 이용하여 수행할 수 있을 것이다).
엔드기기(30)는 보안상태 점검 및 복구 모듈(31)을 통해 기기 보안상태 점검 기능을 수행한다. 기기 보안상태 점검은 기기내 부팅 이미지, 실행 오브젝트, 및 설정 파일에 대한 무결성 값의 측정 등으로 이루어질 수 있다. 무결성 값 측정의 경우 최초로 설치 및 운영되는 환경에서 비정상적인 바이너리(악성코드 등) 설치 및 설정 변경 등의 비정상적 행위를 확인할 수 있다. 무결성 측정 과정에서 기기에 이상이 있다고 판단될 경우, 즉, 최초로 설치 및 운영된 환경에 대한 무결성 값과 점검시 측정한 무결성 값이 다를 경우 이상이 있다고 판단하고 해당 기기에 대한 SW 이미지 업데이트 등의 방법을 통해 기기를 정상 상태로 복구한다.
도 2는 도 1의 장치가 엔드기기의 네트워크 접속 차단을 수행하는 동작 절차를 나타낸 흐름도이다.
101: 보안통제서버(10)는 보안위협을 탐지한다. 보안위협 탐지는 다양한 보안위협 탐지 방법을 이용하여 탐지하며 본 발명에서는 탐지 방법에 제한을 두지 않는다.
103: 보안위협이 탐지된 기기에 대해 보안위협이 발생하였다는 이력을 추가한다. 예를 들어 보안위협 발생 횟수 등을 누적한다. 보안위협 발생 이력 정보는 기기에 대한 네트워크 접속차단 해제시 해제 기기 결정 순서에 사용된다.
105: 탐지된 보안위협이 관리자에 의해 설정된 기준 횟수를 초과하여 중복 발생하였는지 확인한다. 여기서 기준 횟수는 엔드기기를 그룹 단위로 차단할 기준치를 의미한다. 이 중복 발생 횟수는 관리하는 서비스 영역 내에서 다수의 기기를 대상으로 한다. 기준 횟수를 초과하여 발생하였다는 것은 보안위협이 다수의 기기로 전파되었다는 것을 의미하며, 발생된 기기뿐만 아니라 전파된 기기와 동일한 혹은 유사한 기기에 대해 사전 차단이 필요함을 의미한다. 기기그룹을 정의하는 방법은 동일한 모델, 동일한 운영체제 및 버전 사용, 동일한 서비스 제공 등 여러 방식으로 정의할 수 있으며 그 방식에 제한을 두지 않는다.
107: 그룹으로 차단할 기준치를 초과하지 않았을 경우, 해당 기기(보안위협이 발생된 기기)를 차단하는 정책을 해당 기기가 연결된 게이트웨이(20)의 보안통제 집행모듈(21)에 분배한다.
201: 게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)의 접속차단모듈(11)로부터 분배받은 차단 정책을 적용하여 해당 기기의 네트워크 접속을 차단한다.
109: 단계 105에서의 확인 결과, 그룹으로 차단할 기준치를 초과하였을 경우, 보안위협이 발생된 기기와 동일한 속성을 가지는 기기그룹을 결정한다.
111: 또한 탐지된 보안위협에 따라 관리자에 의해 별도로 정의된 차단 정책에 해당하는 기기그룹를 확인한다.
113: 결정된 그룹에 따라 그룹에 속한 기기가 연결된 게이트웨이(20)의 보안통제 집행모듈(21)로 해당 기기의 네트워크 접속 차단 정책을 분배한다.
203: 게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)의 접속차단모듈(11)로부터 분배받은 차단 정책을 적용하여 해당 기기에 대해 네트워크 접속을 일괄 차단한다.
도 3a, b는 사물인터넷 인프라에 대해 네트워크 접속 차단이 적용된 이후 신속한 서비스 재개를 위해 네트워크 접속 차단을 해제할 기기를 결정하는 순서를 나타낸다.
네트워크 접속차단 해제를 수행할 기기를 결정하는 순서는 서비스 제공을 우선으로 할지, 보안위협 관리를 우선으로 할지에 따라 달라질 수 있으며, 이는 사물인터넷 서비스를 제공하는 사이트의 정책에 따른다.
도 3a는 서비스 제공 우선 정책을 적용하여 네트워크 접속차단 해제 대상 기기를 결정하는 경우를 나타낸다. 보안위협이 없는 정상 기기의 경우 보안위협 확산을 방지하기 위해 보안위협이 발생한 기기와 동일 속성을 가졌기에 보안위협이 잠재되어 있을 가능성이 있기 때문에 차단되었지만 실제로는 보안위협이 없을 수도 있으므로 우선적으로 보안상태를 점검하여 네트워크 접속 차단을 해제하고 서비스를 신속히 재개해 주어야 한다. 그리고 보안위협이 없는 정상적인 기기는 보안위협이 발생하지 않은 기기일 가능성이 높고, 보안위협이 발생하지 않은 기기 중에서도 보안위협 발생 이력이 적은 기기일수록 정상기기일 가능성이 더욱 더 높다.
따라서 도 3a에서와 같이 우선적으로 (1) 보안위협이 발생하지 않은 기기 중 보안위협 발생 이력이 없는 기기부터 보안상태 점검을 통해 네트워크 접속 차단을 해제한다. 그 이후에, 보안위협이 발생하지 않은 기기 중 (2) 보안위협 발생 이력이 적은 기기부터 (3) 보안위협 발생 이력이 많은 기기 순으로 보안상태를 점검하여 네트워크 접속 차단을 해제한다. (4) 보안위협이 발생한 기기의 경우에는 항상 기기 보안상태 복구가 필요하므로 순서에 상관없이 네트워크 접속차단 해제 절차를 수행한다.
다음, 도 3b는 보안위협 관리 우선 정책을 적용하여 네트워크 접속차단 해제 대상 기기를 결정하는 경우를 나타낸다. 즉, 서비스 제공보다 보안위협 처리를 우선하는 경우로, 사물인터넷 서비스를 운영하는 사이트에서 높은 수준의 보안 정책을 채택하는 곳에 적용될 수 있다. 이 경우에는 (1) 보안위협이 발생한 기기 내의 보안위협 처리가 가장 시급하므로 해당 기기에 대한 복구 및 해제 절차를 먼저 수행한다. 보안위협이 발생한 기기에 대한 처리 이후 보안 위협이 발생하지 않은 기기에 대한 처리가 진행되는데, 이 경우 (2) 보안위협 발생 이력이 많은 기기가 보안위협을 내포할 가능성이 높기 때문에 보안위협 발생 이력이 많은 기기부터 (3) 이력이 적은 기기, 그리고 (4) 보안위협이 발생하지 않은 기기 순으로 보안상태 점검 후 네트워크 접속차단을 해제한다.
도 4는 사물인터넷 인프라에서 네트워크 접속 차단이 적용된 이후 신속한 서비스 재개를 위해 네트워크 접속 차단을 해제하기 위한 각 구성요소별 세분화된 동작 절차 흐름도이다.
151: 보안통제서버(10)의 접속차단 해제모듈(12)은 서비스에서 채택한 네트워크 접속이 차단된 기기 해제 정책(도 3 참조)에 따라 보안상태 점검을 수행할 기기(30)를 결정한다.
153: 결정된 기기에 해당 기기에 대한 보안상태 점검을 요청한다.
351: 보안상태 점검 요청을 받은 기기는 무결성 측정 등의 방법을 통해 자신의 보안상태 점검 결과값을 생성한다.
353: 해당 기기는 기기 보안상태 점검 결과값을 접속차단해제모듈(12)에 전달한다.
155: 접속차단해제모듈(12)은 기기(30)가 전달한 보안상태 점검 결과값을 확인하여 정상인지 이상이 있는지 판단한다.
157: 정상일 경우 해당 기기에 대한 네트워크 접속 차단을 해제하는 정책을 해당 기기에 연결된 게이트웨이(20)에 전달한다.
251: 게이트웨이(20)의 보안통제 집행모듈(21)은 전달받은 정책을 적용하여 해당 기기에 대한 네트워크 접속 차단을 해제하고 서비스가 재개되도록 한다.
159: 단계 155에서 기기 보안상태 점검 후 이상이 있다고 판단될 경우에는 해당 기기에 대한 복구 진행을 요청한다.
353: 해당 기기는 복구 진행 요청에 따라 정상 상태로의 복구를 진행한다. 복구 과정은 SW 업데이트 등의 방법을 통해 진행될 수 있다.
355: 기기는 복구 결과를 보안통제 서버(10)의 접속차단 해제모듈(12)에 전달한다.
161: 접속차단 해제모듈(12)은 복구된 기기에 대해 서비스 재개를 위하여 네트워크 차단해제 정책을 해당 기기가 연결된 게이트웨이(20)에 전달한다.
253: 게이트웨이(20)의 보안통제 집행모듈(21)은 전달받은 정책을 적용하여 해당 기기에 대한 네트워크 접속 차단을 해제하고 서비스가 재개되도록 한다.
163: 보안통제 서버(10)의 접속차단 해제모듈(12)은 도 3에 설명된 정책에 따라 다음 해제할 기기에 대해 이상의 절차를 반복 수행한다.
구현예에 따라, 네트워크 접속 차단을 해제할 기기를 결정하는 과정과 결정된 기기에 대한 해제 절차는 순차적으로 진행될 수도 있으며, 성능을 높이기 위해 각 과정이 병렬로 진행되도록 할 수도 있다.
본 발명에서의 보안위협 탐지, 보안상태 점검, 및 기기복구 과정은 기존의 다양한 보안위협 탐지 방법, 기기 무결성 원격 검증 방법, SW 펌웨어 업데이트 방법 등을 활용하여 수행될 수 있으며, 이들 각 방법 자체는 본 발명의 범위에서 제외한다.
본 발명은 장치 측면 또는 방법적 측면으로 실시가능한데, 특히 본 발명의 각 구성요소의 기능(function) 또는 과정(process)은 DSP(digital signal processor), 프로세서, 컨트롤러, ASIC(application-specific IC), 프로그래머블 로직소자(FPGA 등), 기타 전자소자 중의 적어도 하나 그리고 이들의 조합이 포함되는 하드웨어 요소로써 구현 가능하다. 또한 하드웨어 요소와 결합되어 또는 독립적으로 소프트웨어로써도 구현 가능한데, 이 소프트웨어는 기록매체에 저장 가능하다.
이상, 본 발명의 바람직한 실시예를 통하여 본 발명의 구성을 상세히 설명하였으나, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 명세서에 개시된 내용과는 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호범위는 상기 상세한 설명보다는 후술한 특허청구범위에 의하여 정해지며, 특허청구의 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태는 본 발명의 기술적 범위에 포함되는 것으로 해석되어야 한다.

Claims (16)

  1. 사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서,
    사물인터넷 인프라 내에서 어느 엔드기기에 대한 보안위협이 발생한 것이 탐지될 경우, 이 엔드기기의 사물인터넷 네트워크에 대한 접속 차단 및 접속차단 해제 명령을 생성하는 보안통제서버를 포함하되, 이 보안통제서버는
    탐지된 보안위협 수준에 따라 보안위협이 발생한 엔드기기만 차단할지 보안위협이 발생한 엔드기기가 포함된 엔드기기 그룹을 일괄로 차단할지를 결정하고, 결정된 접속차단 대상 엔드기기 또는 엔드기기 그룹에 대한 네트워크 접속차단 명령을 생성하도록 구성되는 접속차단모듈과
    상기 접속차단 대상으로서 엔드기기 그룹이 결정된 경우에 이 엔드기기 그룹 중에서 접속차단 해제 대상 엔드기기를 결정하고 이 접속차단 해제 대상 엔드기기에 대한 네트워크 접속차단 해제 명령을 생성하도록 구성되는 접속차단해제모듈을 포함하되,
    상기 접속차단해제모듈이 상기 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, 및 (4) 보안위협이 발생한 엔드기기를 상기 접속차단 해제 대상 엔드기기로 결정하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  2. 제1항에서, 상기 접속차단모듈이 결정하는 접속차단 대상 엔드기기 그룹은
    보안위협이 발생한 엔드기기와 물리적으로 동일성있는 엔드기기들, 동일성있는 서비스를 제공하는 엔드기기들, 및 동일성있는 운영환경을 갖는 엔드기기들 중 적어도 하나를 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  3. 제1항에서, 상기 접속차단모듈이 접속차단 대상 엔드기기 또는 엔드기기 그룹을 결정할 때에, 보안위협이 탐지된 엔드기기에서의 보안위협 발생 이력을 참조하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  4. 제1항에서, 상기 접속차단해제모듈이 접속차단 해제 대상 엔드기기를 결정할 때에,
    (1) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (4) 상기 보안위협이 발생한 엔드기기
    의 순서로 상기 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  5. 제1항에서, 상기 접속차단해제모듈이 접속차단 해제 대상 엔드기기를 결정할 때에,
    (4) 상기 보안위협이 발생한 엔드기기, (3) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (2) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (1) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기
    의 순서로 상기 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  6. 제1항에서, 상기 엔드기기는
    엔드기기의 보안상태 점검을 수행하고, 보안상태에 이상이 있다고 판단하면 엔드기기를 정상 상태로 복구하도록 구성되는 보안상태 점검 및 복구 모듈을 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  7. 제4항에서, 상기 엔드기기의 보안상태 점검 및 복구 모듈은
    엔드기기 내 부팅 이미지, 실행 오브젝트, 및 설정 파일에 대한 무결성 값의 측정을 통해 보안상태를 점검하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  8. 제1항에서, 상기 보안통제서버로부터 상기 네트워크 접속 차단 및 차단해제 명령을 받아 엔드기기의 네트워크 접속 차단 및 차단해제를 집행하는 게이트웨이를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.
  9. 사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서,
    어느 엔드기기에 대한 보안위협이 발생한 것이 탐지될 경우, 탐지된 보안위협 수준에 따라 보안위협이 발생한 엔드기기만 차단할지 보안위협이 발생한 엔드기기가 포함된 엔드기기 그룹을 일괄로 차단할지를 결정하여 결정된 접속차단 대상 엔드기기 또는 엔드기기 그룹에 대하여 네트워크 접속차단을 수행하는 단계,
    상기 접속차단 대상으로서 엔드기기 그룹이 결정된 경우에 이 엔드기기 그룹 중에서 접속차단 해제 대상 엔드기기를 결정하고 이 접속차단 해제 대상 엔드기기에 대한 네트워크 접속차단 해제를 수행하는 단계를 포함하되,
    상기 접속차단해제 수행 단계에서 상기 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, 및 (4) 보안위협이 발생한 엔드기기를 상기 접속차단 해제 대상 엔드기기로 결정하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  10. 제9항에서, 상기 접속차단 대상 엔드기기 그룹은
    보안위협이 발생한 엔드기기와 물리적으로 동일성있는 엔드기기들, 동일성있는 서비스를 제공하는 엔드기기들, 및 동일성있는 운영환경을 갖는 엔드기기들 중 적어도 하나를 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  11. 제9항에서, 상기 접속차단 대상 엔드기기 또는 엔드기기 그룹을 결정할 때에 보안위협이 탐지된 엔드기기에서의 보안위협 발생 이력을 참조하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  12. 제9항에서, 상기 접속차단 해제 대상 엔드기기를 결정할 때에,
    (1) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (4) 상기 보안위협이 발생한 엔드기기
    의 순서로 상기 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  13. 제9항에서, 상기 접속차단 해제 대상 엔드기기를 결정할 때에,
    (4) 상기 보안위협이 발생한 엔드기기, (3) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (2) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (1) 상기 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기
    의 순서로 상기 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  14. 제9항에서, 상기 엔드기기의 보안상태 점검을 수행하고, 보안상태에 이상이 있다고 판단하면 엔드기기를 정상 상태로 복구하도록 구성되는 보안상태 점검 및 복구 단계를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  15. 사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서 엔드기기의 보안을 통제하는 방법으로서,
    1) 엔드기기에 대해 보안위협을 탐지하는 단계;
    2) 보안위협이 탐지된 엔드기기에 대해 보안위협이 발생하였던 횟수를 누적하는 단계;
    3) 탐지된 보안위협이 설정된 기준 횟수를 초과하여 발생하였는지 확인하는 단계;
    4) 상기 기준 횟수를 초과하지 않았을 경우, 보안위협이 발생된 엔드기기의 네트워크 접속을 차단하는 단계;
    5) 단계 3)에서 기준 횟수를 초과하였을 경우, 보안위협이 발생된 엔드기기와 동일성있는 엔드기기 그룹을 결정하고, 결정된 엔드기기 그룹의 네트워크 접속을 차단하는 단계를 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.
  16. 제15항에서, 상기 단계 5) 이후에
    6) 상기 엔드기기 그룹에 포함되는 엔드기기에 대해 보안상태 점검을 수행하여, 해당 엔드기기가 정상인지 이상이 있는지 판단하는 단계;
    7) 해당 엔드기기가 정상이라고 판단될 경우 해당 기기에 대한 네트워크 접속 차단을 해제하는 단계;
    8) 해당 엔드기기에 이상이 있다고 판단될 경우 해당 엔드기기를 정상적인 상태로 복구하고, 해당 기기에 대한 네트워크 접속 차단을 해제하는 단계를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.
KR1020190027801A 2019-03-11 2019-03-11 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법 KR102559568B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190027801A KR102559568B1 (ko) 2019-03-11 2019-03-11 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법
US16/813,986 US20200296119A1 (en) 2019-03-11 2020-03-10 Apparatus and method for security control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190027801A KR102559568B1 (ko) 2019-03-11 2019-03-11 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200108742A KR20200108742A (ko) 2020-09-21
KR102559568B1 true KR102559568B1 (ko) 2023-07-26

Family

ID=72708131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190027801A KR102559568B1 (ko) 2019-03-11 2019-03-11 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102559568B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102280845B1 (ko) 2020-11-24 2021-07-22 한국인터넷진흥원 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
CN112767056B (zh) * 2021-02-04 2023-07-25 腾讯科技(深圳)有限公司 业务数据预测方法、装置、计算机设备和存储介质
KR20230094607A (ko) 2021-12-21 2023-06-28 한국전자통신연구원 디바이스 보호 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101744631B1 (ko) * 2015-08-25 2017-06-20 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050036528A (ko) * 2003-10-16 2005-04-20 (주)한인터네트웍스 통합기능을 갖는 차단 및 중계장치 및 이를 이용한보안정책 설정방법
KR20180116878A (ko) * 2017-04-18 2018-10-26 주식회사 포스링크 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101744631B1 (ko) * 2015-08-25 2017-06-20 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법

Also Published As

Publication number Publication date
KR20200108742A (ko) 2020-09-21

Similar Documents

Publication Publication Date Title
CN108701188B (zh) 响应于检测潜在勒索软件以用于修改文件备份的系统和方法
RU2714607C2 (ru) Двукратная самодиагностика памяти для защиты множества сетевых конечных точек
EP2774039B1 (en) Systems and methods for virtualized malware detection
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US9418222B1 (en) Techniques for detecting advanced security threats
EP3014447B1 (en) Techniques for detecting a security vulnerability
US9792430B2 (en) Systems and methods for virtualized malware detection
US7409719B2 (en) Computer security management, such as in a virtual machine or hardened operating system
CN111181926B (zh) 一种基于拟态防御思想的安全设备及其运行方法
EP3479280A1 (en) Ransomware protection for cloud file storage
KR102559568B1 (ko) 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US20220237285A1 (en) Cyber immunity system as a biological self-recognition model on operating systems
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
US20190109824A1 (en) Rule enforcement in a network
CN112583845A (zh) 一种访问检测方法、装置、电子设备和计算机存储介质
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
WO2021194370A1 (ru) Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент
KR20110131627A (ko) 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치
US20140245454A1 (en) Method and apparatus for protecting flight data
US11706252B1 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
US20200296119A1 (en) Apparatus and method for security control
Li et al. Research on attack mechanism of network intrusion in industrial control system
KR20190051194A (ko) 태스크 리스트 기반 자가 방어 안전 시스템, 이의 방법, 그리고 이 방법을 저장한 컴퓨터 판독 가능한 저장 매체
US11451584B2 (en) Detecting a remote exploitation attack

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right