KR102576357B1 - 제로 트러스트 보안인증 시스템 - Google Patents
제로 트러스트 보안인증 시스템 Download PDFInfo
- Publication number
- KR102576357B1 KR102576357B1 KR1020220182073A KR20220182073A KR102576357B1 KR 102576357 B1 KR102576357 B1 KR 102576357B1 KR 1020220182073 A KR1020220182073 A KR 1020220182073A KR 20220182073 A KR20220182073 A KR 20220182073A KR 102576357 B1 KR102576357 B1 KR 102576357B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- access
- policy
- trust
- information
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
본 발명은 NIST 800-207의 기본원리를 반영하여 보안 인증을 수행하되, 원격(외부) 접속하는 디지털 디바이스의 보안성을 체계적으로 검증 및 평가하여 Trust Zone에 접속을 허용할 수 있는 제로 트러스트 보안인증 시스템에 관한 것이다.
이 발명을 지원한 사업의 세부사항은 다음과 같음.
[과제번호] 202202240001
[지원기관] ㈜트러스트에스
[연구사업명] 산업체공동 연구과제 지원사업
[연구과제명] 제로트러스트 기반 개인정보보호 기술 연구
[기여율] 1/1
[주관기관] 건양대학교산학협력단
[연구기간] 2021년 8월 10일 ~ 2021년 9월 8일
이 발명을 지원한 사업의 세부사항은 다음과 같음.
[과제번호] 202202240001
[지원기관] ㈜트러스트에스
[연구사업명] 산업체공동 연구과제 지원사업
[연구과제명] 제로트러스트 기반 개인정보보호 기술 연구
[기여율] 1/1
[주관기관] 건양대학교산학협력단
[연구기간] 2021년 8월 10일 ~ 2021년 9월 8일
Description
본 발명은 보안인증 시스템에 관한 것으로, 자세하게는 NIST 800-207의 기본원리를 반영하여 보안 인증을 수행하되, 원격(외부) 접속하는 디지털 디바이스의 보안성을 체계적으로 검증 및 평가하여 Trust Zone에 접속을 허용할 수 있는 제로 트러스트 보안인증 시스템에 관한 것이다.
제로 트러스트(Zero Trust)는 사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념으로, '신뢰가 곧 보안 취약점'이라는 원칙을 내세워 '아무것도 신뢰하지 않는다.'라는 것을 전제로 한 사이버 보안 모델이며, 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 그 검증이 이뤄진다 해도 최소한의 신뢰만 부여해 접근을 허용하는 식으로, 내부에 접속한 사용자에 대해서도 무조건 신뢰하지 않고 검증하는 것을 기본 개념으로 한다.
이러한 제로 트러스트는 최근 다양한 환경 및 기기에서 조직 네트워크로의 접근이 이뤄지면서, 기존 보안체계가 한계에 부딪힘에 따라 주목을 받고 있으며 전체 시스템에서 안전한 영역이나 사용자는 없다는 것을 기본 전제로 한 뒤, 내부자 여부와 상관없이 인증절차와 신원확인 등을 철저하게 검증하고 접속 권한 부여 뒤에도 그 접근 범위를 최소화한다.
이에 따라 제로 트러스트 기본 모형은 시스템 전체를 한꺼번에 지켜야 할 하나의 큰 덩어리로 보지 않고 모든 부분들을 ‘미세 분할(micro segmentation)’ 요소로 나누고, 각 요소에 대하여 '과립형 경계 시행(granular perimeter enforcement)' 방식으로 보안을 적용한다.
NIST는 제로 트러스트에 대한 개념을 실체화하기 위하여, 제로 트러스트 모델 적용을 위한 구축 전략과 운영 조건, Framework 수준의 구조를 각각 정책 엔진, 정책 관리자, 정책 시행시점으로 분류하여 제안하였다.
정책 엔진(Policy Engine)은 엔터프라이즈 정책, 외부소스의 입력 및 신뢰할 수 있는 알고리즘을 기반으로 사용자, 디지털기기 또한 애플리케이션 사용자에게 액세스 권한을 부여하는 궁극적인 정책을 결정하며, 정책 관리자(Policy Administrator)는 사용자와 대상 리소스 간의 통신 경로를 설정하거나 종료할 책임을 가지며, 액세스 권한 부여에 대한 정책 엔진의 최종승인을 받으면 정책 시행 지점이 사용자 엔터프라이즈 리소스에 액세스하는데 사용되는 인증정보, 키 또는 토큰을 통해 세션 시작을 명령한다.
또한, 정책 시행시점(Policy Enforcement Point)은 전체 통신 경로의 게이트웨이 역할을 수행하며, 사람, 시스템, 애플리케이션과 대상 엔터프라이즈 리소스 간에 세션 활성화, 모니터링 시작 및 종료하는 역할을 담당한다.
이러한 제로 트러스트를 반영한 실제 모델로 구글은 비욘드코프(Beyond Corp)를 통하여 구현 가능성을 보여주었다. 비욘드코프는 구글의 네트워크 구축 경험을 바탕으로 전통적인 VPN을 사용하지 않고 접근제어 기능을 네트워크 기반이 아닌 사용자 개인 기기 기반으로 수행할 수 있는 제로 트러스트 환경을 가리킨다. 또한, 사용자의 네트워크 위치와 상관없이 기기 인증, 사용자 인증, 접근 제어 총 3단계를 거치며, 보안 정책(Security Policy)만으로도 네트워크 제어가 가능하게 되는 구조로 이루어져 있다. 즉 구글의 비욘드코프(Beyond Corp) 모델은 방화벽이나 VPN과 같은 전형적인 보안 장비 없이 기기, 사용자 인증을 비롯한 다양한 요소를 분석한 결과만으로 접근 제어를 수행한다.
그러나 구글의 비욘드코프는 웹브라우저 중심의 종속적인 보안 기준 판단으로 국한되어 있어 기관의 다양한 전산환경(OS, 디지털디바이스기기, 네트워크 구성 요소 등)을 고려하여 활용하기에 제한적이다. 이에 Trust Zone에 접속하기 위해 내부망에서 보안기준을 판단할 수 있는 요소 및 외부에서 Trust Zone에 접속하기 위해 일반적으로 이용하는 VPN(Virtual Private Network)과의 연계성이 필요하다.
본 발명은 상기와 같은 문제를 해결하기 위하여 창출된 것으로, 본 발명의 목적은 디지털디바이스 기기가 Trust Zone에 접속하기 위한 다단계의 보안인증 정책을 다양한 기관환경에 맞춰 적용할 수 있는 제로 트러스트 보안인증 시스템을 제공하는 것이다.
상기와 같은 목적을 위해 본 발명은 디바이스의 트러스트존 접속을 위한 보안인증을 수행하는 제로 트러스트 보안인증 시스템에 있어서, 보안인증 게이트웨이를 통해 접속하는 디바이스의 접속 IP 주소와 MAC Address와 로그인 계정을 포함하는 접속정보와, 상기 디바이스의 보안설정에 관련된 보안정보를 수집 및 저장하는 정보수집부; 상기 접속정보 및 보안정보의 분석과 판단을 위한 보안정책 및 상기 보안정책의 적용기간을 설정하는 정책설정부; 설정된 보안정책에 따라 접속된 디바이스의 접속정보 및 보안정보를 분석하고 보안점수를 산출하여 설정된 점수 이상인 디바이스의 트러스트존 접속을 허용하는 접속승인부; 로 이루어지는 것을 특징으로 한다.
이때 상기 정책설정부는, 보안정책별 중요도 순위설정과 가중치를 설정할 수 있도록 구성될 수 있다.
또한, 상기 보안정책은, 접속 IP 및 등록된 MAC Address와 로그인 계정 동일 여부와, 백신 및 운영체계를 포함하는 업무 프로그램 보안패치 최신화 적용 여부와, 설정기간 로그인 실패 횟수와, 운영체제 로그인 패스워드 사용 및 보안성과, 화면보호기 설정과, 사용자 공유폴더 설정을 포함할 수 있다.
또한, 상기 디바이스에 상기 보안정책에 대응하는 보안설정을 수집할 수 있는 소프트웨어의 설치를 지원하는 지원부를 더 포함할 수 있다.
갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나 19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등 전산환경의 다양한 변화로 인하여 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델의 경계를 의미하는 Trust Zone이 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에서, 본 발명은 제로 트러스트 보안 인증을 통해 디지털 디바이스의 보안성을 지속적으로 판단하고 측정하여 안전성이 확보되어 신뢰성이 높은 기기만이 Trust Zone에 접속하도록 하여 기관(기업)의 보안성 강화에 도움을 줄 수 있다.
도 1은 본 발명의 개념도,
도 2는 본 발명의 실시예에 따른 구성 및 연결관계를 나타낸 블록도,
도 3은 본 발명의 실시예에 따른 보안정책을 나타낸 예시도,
도 4는 본 발명의 실시예에 따른 보안인증 과정을 나타낸 순서도이다.
도 2는 본 발명의 실시예에 따른 구성 및 연결관계를 나타낸 블록도,
도 3은 본 발명의 실시예에 따른 보안정책을 나타낸 예시도,
도 4는 본 발명의 실시예에 따른 보안인증 과정을 나타낸 순서도이다.
이하 첨부된 도면을 참조하여 본 발명 제로 트러스트 보안인증 시스템의 구성을 구체적으로 설명한다.
이상의 본 발명의 목적, 특징 및 효과들은 첨부된 도면과 관련된 이하의 바람직한 실시예를 통해서 쉽게 이해될 것이다. 또한, 소개되는 실시예는 개시된 내용이 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것으로 본 발명은 설명되는 실시예에 한정되지 않고 다른 형태로 구체화될 수도 있다.
본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제3의 구성요소가 개재될 수도 있다는 것을 의미한다. 또한, 첨부된 도면에 있어서, 구성요소들의 예시는 기술적 내용의 효과적인 설명을 위해 과장된 것이다.
어떤 엘리먼트, 구성요소, 장치, 또는 시스템이 프로그램 또는 소프트웨어로 이루어진 구성요소를 포함한다고 언급되는 경우, 명시적인 언급이 없더라도, 그 엘리먼트, 구성요소, 장치, 또는 시스템은 그 프로그램 또는 소프트웨어가 실행 또는 동작하는데 필요한 하드웨어(예를 들면, 메모리, CPU 등)나 다른 프로그램 또는 소프트웨어(예를 들면 운영체제나 하드웨어를 구동하는데 필요한 드라이버 등)를 포함하는 것으로 이해되어야 할 것이다.
또한, 어떤 엘리먼트(또는 구성요소)가 구현됨에 있어서 특별한 언급이 없다면, 그 엘리먼트(또는 구성요소)는 소프트웨어, 하드웨어, 또는 소프트웨어 및 하드웨어 어떤 형태로도 구현될 수 있는 것으로 이해되어야 할 것이다.
또한, 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises).' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
도 1은 본 발명의 개념도로서, 제로 트러스트를 기반을 두어 트러스트존 접속하는 전체적인 구성을 나타내고 있으며, 안전하지 않은 장치와 알려지지 않은 장치가 점점 더 많이 네트워크에 연결되고 탈취된 인증 혹은 증명으로 인한 보안침해가 증가함에 따라 더는 아무것도 신뢰할 수 없는 상황에서 보안인증 G/W를 통해서 정책적인 판단 여부를 특정기간 내에 후술되는 보안정책 내용으로 각 기관의 전산환경에 특화된 보안중요도를 기반으로 한 점수를 표현해서 보안관리자가 설정한 점수 이상이 충족된(보안성이 확보된) 디지털 디바이스만 트러스트존 접속하도록 정책 결정을 수행한다.
이러한 본 발명은 제로 트러스트의 기본 원리가 다단계인증을 통한 디지털 디바이스의 트러스트존에 대한 액세스 제어가 이루어질 수 있도록 하며 종속적인 보안인증 채널의 최소화하여 모니터링하고 인증 및 관리할 수 있도록 구성하여 사용자 및 보안관리자의 편의를 증가시켰다.
도 2는 본 발명의 실시예에 따른 구성 및 연결관계를 나타낸 블록도로서, 본 발명은 주요 구성으로 정보수집부(110)와, 정책설정부(120)와, 접속승인부(130) 및 지원부(140)를 구비한다.
상기 정보수집부(110)는 보안인증 게이트웨이를 통해 접속하는 디바이스의 접속 IP 주소와 MAC Address와 로그인 계정을 포함하는 접속정보와, 상기 디바이스의 보안설정에 관련된 보안정보를 수집 및 저장하는 구성이다.
상기 디바이스는 기본적으로 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 이때 컴퓨터는 예를 들어 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있으며, 원격지의 서버나 다른 단말기에 접속할 수 있는 단말로 스마트폰(smartphone), 스마트 패드(smartpad), 태블릿 PC(Table PC) 등과 같은 모든 종류의 휴대용 개인 단말 장치를 포함할 수 있다.
본 발명에서 이러한 디바이스는 보안인증 게이트웨이를 통해 트러스트존으로 액세스가 이루어지며 접속과정에서 접속정보와 보안정보를 다단계로 인증이 진행된다.
이때 보안인증 게이트웨이에서 상기 디바이스의 접속정보를 비롯하여 보안정보를 수집하기 위해 후술되는 보안정책에 대응하는 보안설정을 수집할 수 있는 소프트웨어의 설치가 선행될 수 있다. 즉 디바이스의 보안성을 수집할 수 있는 Agent 소프트웨어로서, 보안인증 게이트웨이 접속전 다양한 방식으로 미리 소프트웨어의 설치가 이루어질 수 있도록 할 수 있다.
이를 위해 소프트웨어의 설치를 위한 별도의 저장매체를 배포하거나 온라인 상으로 소프트웨어의 설치가 이루어질 수 있도록 상기 지원부(140)는 상기 디바이스에 상기 보안정책에 대응하는 보안설정을 수집할 수 있는 Agent 소프트웨어의 설치를 지원하게 된다.
상기 정책설정부(120)는 상기 접속정보 및 보안정보의 분석과 판단을 위한 보안정책 및 상기 보안정책의 적용기간을 설정하는 구성이다.
이때 상기 보안정책 및 적용기간은, 본 발명이 적용되는 기관 및 네트워크 사용 프로그램 특성에 따라 달라질 수 있으며 접속 IP 및 등록된 MAC Address와 로그인 계정 동일 여부와, 백신 및 운영체계를 포함하는 업무 프로그램 보안패치 최신화 적용 여부와, 설정기간 로그인 실패 횟수와, 운영체제 로그인 패스워드 사용 및 보안성과, 화면보호기 설정과, 사용자 공유폴더 설정을 포함할 수 있다.
도 3은 본 발명의 실시예에 따른 보안정책을 나타낸 예시도로서, 보안인증 게이트웨이를 통해서 정책적인 판단 여부를 특정기간 내에 도 3에 예시된 내용으로 각 기관의 전산환경에 특화된 보안중요도를 기반으로 한 점수를 표현해서 보안관리자가 설정한 점수 이상이 충족된(보안성이 확보된) 디지털 디바이스만 트러스트존 접속하도록 정책 결정을 수행할 수 있다.
본 발명의 실시예에 따른 주요 보안정책은 다음과 같다. ① 접속 IP + 기존 MAC Address 동일 여부, ② 접속 IP + 기존 로그인 계정 동일 여부, ③ 백신 최신 시그니처 업데이트 여부, ④ 운영체제 최신 보안패치 적용 여부, ⑤ 최근 1주일간 로그인 실패 여부(횟수), ⑥ 아래한글프로그램 등 기관 주요 업무 프로그램 최신 패치 적용 여부, ⑦ 운영체제 로그인 패스워드 사용 및 길이 여부 (보안성), ⑧ 화면보호기 설정 여부, ⑨ 사용자 공유폴더 설정 여부, ⑩ 무선랜카드 사용 유무(접속 IP에 따라 판단 기준 다름), ⑪ 근무지 외(해외포함) 출장 여부, ⑫ 기타 보안 판단 요소.
즉 기본적으로 접속 IP를 비롯하여 기존 MAC Address 동일 여부 및 기존 로그인 계정 동일 여부를 확인하여 로그인 계정에 대한 등록된 디바이스의 IP, MAC Address 외의 접속을 차단한다. 이를 위해 최초 접속시 사전 관리자를 통한 접속 IP, MAC Address의 검증이 이뤄질 수 있으며 피치 못할 사정으로 접속 IP, MAC Address의 변경 인지시 별도의 본인확인 인증절차를 통해 접속 IP, MAC Address의 등록이 이루어질 수 있다.
다음으로, 디바이스의 보안정보를 확인하여 보안취약점이 없는 디바이스의 접속을 허용하기 위해 백신 최신 시그니처 업데이트 여부, 운영체제 최신 보안패치 적용 여부, 아래한글프로그램 등 기관 주요 업무 프로그램 최신 패치 적용 여부, 운영체제 로그인 패스워드 사용 및 길이 여부 (보안성), 화면보호기 설정 여부, 사용자 공유폴더 설정 여부의 확인이 이루어지도록 한다. 이는 앞서 언급한 디바이스에 설치되어 보안설정을 수집할 수 있는 Agent 소프트웨어를 통해 확인할 수 있으며 이러한 모든 내용확인을 통해 보안성이 확보된 디바이스만 트러스트존으로 접속할 수 있도록 할 수 있다.
이외 무선랜카드 사용 유무(접속 IP에 따라 판단 기준 다름), 근무지 외(해외포함) 출장 여부로 인한 해외 IP 접속, 최근 1주일간 로그인 실패 여부(횟수), 기타 보안 판단 요소를 보안정책으로 적용할 수 있다.
이때 상기 정책설정부(120)는, 보안정책별 중요도 순위설정과 가중치를 설정할 수 있도록 구성될 수 있다.
즉 여러 보안 요소들을 결합함에 있어 이러한 요소들이 조건과 가중치 등을 [수학식 1]과 같이 산정하여 점수를 표현할 수 있으며, 바람직하게는 앞서 언급한 12가지의 보안정책을 순서대로 적용하되 기관의 성격에 맞게 일부 요소에 가중치를 적용하는 방식으로 이뤄질 수 있다.
[수학식 1]
이때 기본적으로 보안인증 게이트웨이에서 설정한 일정 수준 이상의 점수가 획득한 디바이스만이 Trust Zone의 서버에 접속이 가능하나, 내부/외부 혹은 본사/지사간의 전산이나 정보화 환경 등을 고려하여 점수 비중을 차등을 두어 운영할 수도 있다.
상기 접속승인부(130)는 상기 정책설정부(120)에서 설정된 보안정책에 따라 접속된 디바이스의 접속정보 및 보안정보를 분석하고 보안점수를 산출하여 설정된 점수 이상인 디바이스의 트러스트존 접속을 허용하는 구성이다.
이러한 정책설정부(120) 및 접속승인부(130)는 상기 디바이스에 설치되어 보안설정을 수집할 수 있는 Agent 소프트웨어에 대응하여 보안인증 게이트웨이에 설치되어 디바이스 정보를 수집하고 판단하는 Secure Authentication G/W Manager S/W를 통해 구현될 수 있다.
도 4는 본 발명의 실시예에 따른 보안인증 과정을 나타낸 순서도이다.
먼저, 상기 정책설정부(120)를 통해 접속정보 및 보안정보의 분석과 판단을 위한 보안정책 및 상기 보안정책의 적용기간을 설정하는 단계(S 110)가 진행되며, 다음으로, 보안인증 게이트웨이에서 상기 디바이스의 접속정보를 비롯하여 보안정보를 수집하기 위해 후술되는 보안정책에 대응하는 보안설정을 수집할 수 있는 소프트웨어를 설치하는 단계(S 120)가 진행된다.
이는 디바이스의 보안성을 수집할 수 있는 Agent 소프트웨어로서, 보안인증 게이트웨이 접속전 다양한 방식으로 미리 소프트웨어의 설치가 이루어질 수 있도록 할 수 있다. 이를 위해 소프트웨어의 설치를 위한 별도의 저장매체를 배포하거나 온라인 상으로 소프트웨어의 설치가 이루어질 수 있도록 상기 지원부(140)를 통해 디바이스에 상기 보안정책에 대응하는 보안설정을 수집할 수 있는 Agent 소프트웨어의 설치를 지원할 수 있다.
다음으로, 상기 정보수집부(110)를 통해 보안인증 게이트웨이를 통해 접속하는 디바이스의 접속 IP 주소와 MAC Address와 로그인 계정을 포함하는 접속정보와, 상기 디바이스의 보안설정에 관련된 보안정보를 수집 및 저장하는 단계(S 130)가 진행되며, 앞서 언급한 소프트웨어를 통해 디바이스의 보안설정에 관련된 보안정보를 수집이 이루어진다.
다음으로, 상기 접속승인부(130)를 통해 설정된 보안정책에 따라 접속된 디바이스의 접속정보 및 보안정보를 분석하고 보안점수를 산출하여 설정된 점수 이상인 디바이스의 트러스트존 접속을 허용하는 단계(S 140)가 진행된다.
앞서 언급한 12가지의 보안정책을 순서대로 적용하되 기관의 성격에 맞게 일부 요소에 가중치를 적용하는 방식으로 이뤄질 수 있으나, 내부/외부 혹은 본사/지사 간의 전산이나 정보화 환경 등을 고려하여 점수 비중을 차등을 두어 운영할 수도 있다.
본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110: 정보수집부 120: 정책설정부
130: 접속승인부 140: 지원부
130: 접속승인부 140: 지원부
Claims (4)
- 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 스마트폰(smartphone), 스마트 패드(smartpad), 태블릿 PC(Table PC)를 포함하는 디바이스의 트러스트존 접속을 위한 보안인증을 수행하는 제로 트러스트 보안인증 시스템에 있어서,
보안인증 게이트웨이를 통해 접속하는 디바이스의 접속 IP 주소와 MAC Address와 로그인 계정을 포함하는 접속정보와, 상기 디바이스의 보안설정에 관련된 보안정보를 수집 및 저장하는 정보수집부(110);
상기 접속정보 및 보안정보의 분석과 판단을 위한 보안정책 및 상기 보안정책의 적용기간을 설정하는 정책설정부(120);
설정된 보안정책에 따라 접속된 디바이스의 접속정보 및 보안정보를 분석하고 보안점수를 산출하여 설정된 점수 이상인 디바이스의 트러스트존 접속을 허용하는 접속승인부(130); 로 이루어지는 것을 특징으로 하되,
상기 정책설정부(120)는, 보안정책별 중요도 순위설정과 가중치를 설정하되, 내부/외부 혹은 본사/지사간의 전산이나 정보화 환경을 고려하여 점수 비중을 차등을 둘 수 있도록 구성되고,
상기 보안정책은, 접속 IP 및 등록된 MAC Address와 로그인 계정 동일 여부와, 백신 및 운영체계를 포함하는 업무 프로그램 보안패치 최신화 적용 여부와, 설정기간 로그인 실패 횟수와, 운영체제 로그인 패스워드 사용 및 길이 여부와, 화면보호기 설정과, 사용자 공유폴더 설정과, 무선랜카드 사용 유무와, 근무지 외 출장으로 인한 해외 IP 접속 여부를 포함하며,
상기 접속승인부(130)는, 최초 접속시 로그인 디바이스의 IP 및 MAC Address의 검증이 이루어지며, 차회 접속시부터 디바이스의 접속 IP를 비롯하여 기존 로그인 MAC Address 동일 여부 및 기존 로그인 계정 동일 여부를 확인하여 로그인 계정에 대한 등록된 디바이스의 IP 및 MAC Address 외의 접속을 차단하되, 디바이스의 접속 IP 및 MAC Address의 변경 인지시 본인확인 인증절차를 통해 접속 IP 및 MAC Address의 등록이 이루어지고, 디바이스의 백신 최신 시그니처 업데이트 여부, 운영체제 최신 보안패치 적용 여부, 기관의 업무 프로그램 최신 패치 적용 여부, 운영체제 로그인 패스워드 사용 및 길이 여부, 화면보호기 설정 여부, 사용자 공유폴더 설정 여부, 무선랜카드 사용 유무, 근무지 외 출장 여부로 인한 해외 IP 접속 여부, 설정기간 로그인 실패 횟수를 상기 보안정책에 의해 설정된 점수 비중에 따라
의 식에 의해 계산된 총합 점수가 설정 점수 이상인 디바이스만 트러스트존으로 접속시키며,
상기 디바이스에 상기 보안정책에 대응하는 보안설정을 수집할 수 있는 소프트웨어의 설치를 지원하는 지원부(140)를 더 포함하는 것을 특징으로 하는 제로 트러스트 보안인증 시스템.
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220182073A KR102576357B1 (ko) | 2022-12-22 | 2022-12-22 | 제로 트러스트 보안인증 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220182073A KR102576357B1 (ko) | 2022-12-22 | 2022-12-22 | 제로 트러스트 보안인증 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102576357B1 true KR102576357B1 (ko) | 2023-09-11 |
Family
ID=88020259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220182073A KR102576357B1 (ko) | 2022-12-22 | 2022-12-22 | 제로 트러스트 보안인증 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102576357B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN112231692A (zh) * | 2020-10-13 | 2021-01-15 | 中移(杭州)信息技术有限公司 | 安全认证方法、装置、设备及存储介质 |
| KR102402705B1 (ko) | 2021-09-24 | 2022-05-30 | (주)시큐레이어 | 망분리 환경에서의 모바일 원격 관제를 위한, 제로 트러스트 모델 기반 멀티팩터 보안인증 방법 및 서버 |
-
2022
- 2022-12-22 KR KR1020220182073A patent/KR102576357B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、系统、介质和电子设备 |
| CN112231692A (zh) * | 2020-10-13 | 2021-01-15 | 中移(杭州)信息技术有限公司 | 安全认证方法、装置、设备及存储介质 |
| KR102402705B1 (ko) | 2021-09-24 | 2022-05-30 | (주)시큐레이어 | 망분리 환경에서의 모바일 원격 관제를 위한, 제로 트러스트 모델 기반 멀티팩터 보안인증 방법 및 서버 |
Non-Patent Citations (2)
| Title |
|---|
| 고민혁 외, "제로 트러스트 기반 보안체계 구축 프로세스", 한국정보통신학회논문지 (2021.12.)* * |
| 이현진 외, "제로 트러스트(Zero-Trust) 기반의 스마트시티 공급망 보안모델 연구", JKIISC (2022.02.)* * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Indu et al. | Identity and access management in cloud environment: Mechanisms and challenges | |
| US9240977B2 (en) | Techniques for protecting mobile applications | |
| EP2894814B1 (en) | Monitoring sessions with a session-specific transient agent | |
| US8365266B2 (en) | Trusted local single sign-on | |
| EP1780643A1 (en) | Quarantine system | |
| US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
| US20150271162A1 (en) | Systems and methods for controlling sensitive applications | |
| EP3876499B1 (en) | Native remote access to target resources using secretless connections | |
| US11240242B1 (en) | System and method for providing a zero trust network | |
| US20200412710A1 (en) | Single sign-on from desktop to network | |
| US9021253B2 (en) | Quarantine method and system | |
| US20200145434A1 (en) | Processing System for Providing Console Access to a Cyber Range Virtual Environment | |
| Chuan et al. | An implementation method of zero-trust architecture | |
| US10924481B2 (en) | Processing system for providing console access to a cyber range virtual environment | |
| US11757859B2 (en) | Run-time attestation of a user workspace | |
| US8910250B2 (en) | User notifications during computing network access | |
| KR102602607B1 (ko) | 샌드박스 및 sdp에 기반한 가상 망 분리 방법 및 시스템 | |
| KR102576357B1 (ko) | 제로 트러스트 보안인증 시스템 | |
| Bicakci et al. | Towards zero trust: the design and implementation of a secure end-point device for remote working | |
| US10412097B1 (en) | Method and system for providing distributed authentication | |
| Pero et al. | Implementing a Zero Trust Environmentfor an Existing On-premises Cloud Solution | |
| Tupakula et al. | Trust enhanced security for tenant transactions in the cloud environment | |
| US20200244646A1 (en) | Remote access computer security | |
| Goyal et al. | Cloud Computing and Security | |
| KR102444356B1 (ko) | 보안 강화 인트라넷 접속 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |