KR102636138B1 - 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 - Google Patents
네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 Download PDFInfo
- Publication number
- KR102636138B1 KR102636138B1 KR1020220025796A KR20220025796A KR102636138B1 KR 102636138 B1 KR102636138 B1 KR 102636138B1 KR 1020220025796 A KR1020220025796 A KR 1020220025796A KR 20220025796 A KR20220025796 A KR 20220025796A KR 102636138 B1 KR102636138 B1 KR 102636138B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- server
- security control
- target
- security
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004590 computer program Methods 0.000 title claims abstract description 4
- 238000012544 monitoring process Methods 0.000 claims description 41
- 230000004044 response Effects 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 24
- 238000010801 machine learning Methods 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 18
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 15
- 238000001514 detection method Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- LLEMOWNGBBNAJR-UHFFFAOYSA-N biphenyl-2-ol Chemical compound OC1=CC=CC=C1C1=CC=CC=C1 LLEMOWNGBBNAJR-UHFFFAOYSA-N 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램이 제공된다. 상기 보안 관제 서버에 의해 수행되는 네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 방법은, 보안 관제 대상의 IP 주소인 대상 IP를 선정하는 단계; 상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하는 단계; 상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단하는 단계; 상기 제1 판단 결과 선정된 IP가 DB 서버인지 식별 불가능하면, 추가 포트 정보를 추출하는 단계; 상기 추출된 추가 포트 정보에 기초하여 선정된 IP가 DB 서버인지 제2 판단하는 단계; 및 상기 제2 판단 결과에 따라 보안 관제를 수행하는 단계를 포함하되, 상기 추가 포트 정보는 포트 넘버 정보가 아닌 것을 특징으로 한다.
서울특별시 서울산업진흥원 2020년 포스트코로나 특화 인공지능 기술사업화 지원사업(CY201017) '악성/민감 데이터와 저작권 위반 사이트를 탐지하는AI 기반의 보안 검색엔진과 API 시스템'을 통해 개발된 기술이다.
서울특별시 서울산업진흥원 2020년 포스트코로나 특화 인공지능 기술사업화 지원사업(CY201017) '악성/민감 데이터와 저작권 위반 사이트를 탐지하는AI 기반의 보안 검색엔진과 API 시스템'을 통해 개발된 기술이다.
Description
본 개시는 보안 관제에 관한 것으로, 보다 구체적으로 네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 장치 및 제어 방법에 관한 것이다.
최근 인터넷 서비스의 증가와 함께 사이버 보안 위협이 증가하고 있어 이에 대응하는 보안 관제 필요성 증대되고 있고, 특히 인터넷 서비스 기업에게는 보안 관제가 필수적으로 요구되고 있다.
다만 지속적인 보안 위협과 지능화 추세에 따라, 사이버 보안 위협에 대한 대응시간이 늘어나면서 기존 인력으로 처리하기에는 역부족이며, 비효율적인 상황이 발생하고 있다. 국내외 사이버 보안 시장 모두 보안 관제의 필요성은 커지고 있으나, 경비 부담 때문에 쉽게 진행하지 못한 상황이다.
또한 기업의 인터넷 서비스 도메인과 유사한 도메인을 생성하여 피싱 사이트를 사용한 사례가 빈번히 발생하고, 기업의 인터넷 서비스 IP 주소를 악성 코드 유포지로 활용하는 사례 증가 추세이다. 이에 따라 기업의 IP 주소에서 악성 코드/피싱 등에 악용되었는지 관리가 필요하게 된다
특히 최근의 사이버 공격은 이용자 접속이 많은 웹사이트를 통한 악성코드 유포를 주된 유포 경로로써 이용하고 있다. 해커가 이용자 접속이 많은 웹사이트를 해킹한 후, 취약점에 따른 공격 코드가 있는 악성 스크립트를 은닉시키고, 변조된 웹사이트에 취약점이 있는 개인용 컴퓨터 환경의 이용자가 접속할 경우, 이용자가 인지하지 못한 채 개인용 컴퓨터에 악성 코드가 다운로드 및 설치되어 악성 코드에 감염되게 된다.
금전적 이득을 목적으로 해커들이 만들어내는 신종 악성 코드의 숫자가 매년 기하급수적으로 증가함에 따라, 이미 알려진 악성 코드에 대해서만 방어하는 기존의 엔드포인트(endpoint) 보안 기술인 안티바이러스(antivirus) 방식만으로는, 변조된 웹사이트를 통한 신종 및 변종 악성 코드에 감염될 위험으로부터 기업이나 기관을 보호하는데 한계가 존재한다.
또한 네트워크로 유입되는 패킷을 분석하여 악성 코드를 여부를 식별하는 네트워크 보안 방식은, 수많은 정상 파일 패킷으로 인한 오인 탐지율이 매우 높아서, 보안 시스템 운영자들에게 막중한 업무 부담을 가중시키기 때문에, 웹사이트를 통한 지능형 지속 위협의 대응 기술로 사용하기에 실효성이 매우 떨어진다
이로 인해 취약점 스캐너라는 솔루션을 이용한다 하더라도, 이는 다수의 취약점을 찾아 관리자에게 단순히 알려주는 것에 불과하므로, 관리자는 어떠한 취약점을 먼저 해결해야 하는지에 대한 정보를 전혀 얻을 수 없으며, 그러한 정보를 얻기 위하여 수주일에서 수개월에 이르는 수작업에 의한 분석을 수행해야 한다
하지만, 많은 시간과 비용을 소비하여 분석을 수행하였다 하더라도, 발견된 보안 취약점 전체를 해결하는 것은 실질적으로 불가능하다고 볼 수 있으므로, 취약점을 관리함에도 불구하고 보안 수준은 점차 저하되고 있는 실정이다
따라서, 기업 IT 자산이 가진 취약점으로 인한 보안 피해를 줄일 수 있는 구체적이고 명확한 분석 리포트와 솔루션이 요구되고 있는 상황이다.
이 배경기술 부분에 기재된 사항은 개시의 배경에 대한 이해를 증진하기 위하여 작성된 것으로써, 이 기술이 속하는 분야에서 통상의 지식을 가진 자에게 이미 알려진 종래기술이 아닌 사항을 포함할 수 있다.
서울특별시 서울산업진흥원 2020년 포스트코로나 특화 인공지능 기술사업화 지원사업(CY201017) '악성/민감 데이터와 저작권 위반 사이트를 탐지하는AI 기반의 보안 검색엔진과 API 시스템'을 통해 개발된 기술이다.
서울특별시 서울산업진흥원 2020년 포스트코로나 특화 인공지능 기술사업화 지원사업(CY201017) '악성/민감 데이터와 저작권 위반 사이트를 탐지하는AI 기반의 보안 검색엔진과 API 시스템'을 통해 개발된 기술이다.
본 개시가 해결하고자 하는 과제는, 네트워크 트래픽 기반 DB 서버 식별에 기반한 보안 관제 솔루션을 제공하는 것이다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 개시의 일 면에 따른 보안 관제 서버에 의해 수행되는 네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 방법은, 보안 관제 대상의 IP 주소인 대상 IP를 선정하는 단계; 상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하는 단계; 상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단하는 단계; 상기 제1 판단 결과 선정된 IP가 DB 서버인지 식별 불가능하면, 추가 포트 정보를 추출하는 단계; 상기 추출된 추가 포트 정보에 기초하여 선정된 IP가 DB 서버인지 제2 판단하는 단계; 및 상기 제2 판단 결과에 따라 보안 관제를 수행하는 단계를 포함하되, 상기 추가 포트 정보는 포트 넘버 정보가 아닌 것을 특징으로 한다.
본 개시의 일 면에 따른 보안 관제 서버는, 외부 서버와 데이터 통신을 수행하는 통신부; 데이터를 저장하는 데이터베이스부; 및 보안 관제 대상의 IP 주소인 대상 IP를 선정하여, 상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하고, 상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단하여, 상기 제1 판단 결과 선정된 IP가 DB 서버인지 식별 불가능하면, 추가 포트 정보를 추출하여, 상기 추출된 추가 포트 정보에 기초하여 선정된 IP가 DB 서버인지 제2 판단하고, 상기 제2 판단 결과에 따라 보안 관제를 수행하는 제어부를 포함하되, 상기 추가 포트 정보는 포트 넘버 정보가 아닌 것을 특징으로 한다.
이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
본 개시의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 개시에 따르면, 다음과 같은 효과들을 가질 수 있다.
본 개시에 따르면, 네트워크 트래픽 기반 DB 서버를 빠르고 쉽게 식별하여, 효율적인 보안 관제를 위한 솔루션을 제공할 수 있다.
본 개시에 따르면, 포트 스캐닝을 통해 수집된 오픈 포트 정보가 잘 알려진 포트 넘버 즉, DB 서버에 대한 포트 넘버가 아닌 경우에도 빠르고 정확하게 판별하여 판별 결과에 따른 보안 관제를 할 수 있다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시의 일실시예에 따른 IP 기반 보안 관제 시스템을 도시한 도면이다.
도 2는 본 개시의 일실시예에 따른 보안 관제 서버의 구성을 도시한 도면이다.
도 3은 본 개시의 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 4는 본 개시의 다른 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 5는 본 개시의 일실시예에 따른 IP 모니터링 정보를 설명하기 위해 도시한 도면이다.
도 6은 본 개시의 일실시예에 따른 네트워크 트래픽 기반 DB 서버 여부 식별을 통한 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 7은 잘 알려진 포트 넘버와 맵핑된 DB 서버를 도시한 도면이다.
도 8과 9는 본 개시의 일실시예에 따른 대상 IP의 리턴 응답값의 예시를 도시한 도면이다.
도 10은 본 개시의 일실시예에 따른 IP 보안 리포트를 설명하기 위해 도시한 도면이다.
도 11은 본 개시의 일 실시예에 따른 관리자 단말의 구성을 도시한 도면이다.
도 2는 본 개시의 일실시예에 따른 보안 관제 서버의 구성을 도시한 도면이다.
도 3은 본 개시의 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 4는 본 개시의 다른 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 5는 본 개시의 일실시예에 따른 IP 모니터링 정보를 설명하기 위해 도시한 도면이다.
도 6은 본 개시의 일실시예에 따른 네트워크 트래픽 기반 DB 서버 여부 식별을 통한 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 7은 잘 알려진 포트 넘버와 맵핑된 DB 서버를 도시한 도면이다.
도 8과 9는 본 개시의 일실시예에 따른 대상 IP의 리턴 응답값의 예시를 도시한 도면이다.
도 10은 본 개시의 일실시예에 따른 IP 보안 리포트를 설명하기 위해 도시한 도면이다.
도 11은 본 개시의 일 실시예에 따른 관리자 단말의 구성을 도시한 도면이다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 개시는 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시의 개시가 완전하도록 하고, 본 개시가 속하는 기술 분야의 통상의 기술자에게 본 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 개시를 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 개시의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 개시가 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참조하여 실시예를 상세하게 설명한다.
본 개시는 네트워크 트래픽 기반 DB 서버 식별에 기반한 보안 관제 솔루션을 제공하는 것이다. 이러한 본 개시에 따르면, 네트워크 트래픽 기반 DB 서버를 빠르고 쉽게 식별하여, 효율적인 보안 관제를 수행할 수 있다. 특히, 본 개시에 따르면, 포트 스캐닝(port scanning)을 통해 수집된 오픈 포트(open port) 정보가 잘 알려진 포트 넘버(port number) 즉, DB 서버에 대한 포트 넘버가 아닌 경우에도 빠르고 정확하게 판별하여 판별 결과에 따른 보안 관제를 할 수 있다.
도 1은 본 개시의 일 실시예에 따른 IP 기반 보안 관제 시스템(10)을 도시한 도면이다.
도 1을 참조하면, 본 개시의 일실시예에 따른 IP 기반 보안 관제 시스템(10)은 보안 관제 서버(100), 관리자 단말(200), 웹사이트 서버(300), 보안 취약 정보 공유 서버(310), 악성 코드 정보 공유 서버(320) 및 도메인 관리 서버(330)를 포함할 수 있다. 다만, 본 개시는 이에 한정되는 것은 아니며, 실시예에 따라 하나 또는 그 이상의 구성요소들이 더 포함되어 상기 IP 기반 보안 관제 시스템(10)이 구현되거나 그 반대일 수도 있다.
상기 웹사이트 서버(300)는 웹사이트를 제공하는 외부 서버로, 이러한 웹사이트 서버(300)의 IP가 본 개시에 따른 보안 관제의 대상 즉, 대상 IP로 선정될 수 있다. 이 때, 상기 대상 IP는 인바운드(Inbound)와 아웃바운드(Outbound)의 경우 중 적어도 하나에 대해 선정될 수 있다. 예를 들어, 최초 보안 관제의 대상인 대상 IP가 인바운드의 경우를 가정하여 수행된다고 하더라도, 요청이 없더라도 해당 IP에 대한 아웃바운드의 경우에 대해서도 보안 관제를 수행하는 것이 바람직하다. 이러한 보안 관제의 결과의 하나로 생성되어 제공되는 보안 리포트는 예를 들어, 도 6과 같이 제공될 수 있다.
상기 보안 취약 정보 공유 서버(310)는 알려진 또는 새롭게 업데이트되는 보안 취약점 데이터를 공유하는 외부 서버로 예를 들어, NVD(National Vulnerability Database) 제공 서버가 이에 해당될 수 있다. 다만, 본 개시는 이에 한정되지 않으며, 실시 예에 따라 상기 보안 취약 정보 공유 서버(310)는 내부 서버로 구현될 수도 있다. 이 때, 상기 내부 서버로 구현된 보안 취약 정보 공유 서버(310)는 외부의 보안 취약 정보 공유 서버로부터 보안 취약점 데이터를 실시간으로 수집 또는 수신하여 업데이트된 보안 취약점 데이터를 항상 보유하는 것이 바람직하다.
상기 악성 코드 정보 공유 서버(320)는 알려진 또는 새롭게 업데이트되는 악성 코드 데이터를 공유하는 외부 서버로 예를 들어, API(Application Program Interface)를 제공하여, 입력된 웹사이트가 악성 코드 은닉 웹사이트인지 여부를 판단할 수 있다. 다만, 본 개시는 이에 한정되지 않으며, 실시 예에 따라 상기 악성 코드 정보 공유 서버(320)는 내부 서버로 구현될 수도 있다. 이 때, 상기 내부 서버로 구현된 악성 코드 정보 공유 서버(320)는 외부의 악성 코드 정보 공유 서버로부터 악성 코드 데이터를 실시간으로 수집 또는 수신하여 업데이트된 보안 취약점 데이터를 항상 보유하는 것이 바람직하다.
상기 도메인 관리 서버(330)는 도메인(domain)의 자원과 정보를 관리하는 외부 서버로 예를 들어, nslookup, whois 등의 정보를 저장하는 서버가 이에 해당될 수 있다.
IP 기반 보안 관제 시스템(10) 내에 포함된 다양한 개체들(entities) 간의 통신은 유/무선 네트워크를 통해 수행될 수 있다. 상기 유/무선 네트워크에는 표준 통신 기술 및/또는 프로토콜들이 사용될 수 있다.
IP 기반 보안 관제 시스템(10) 내 보안 관제 서버(100) 및 관리자 단말(200)는 예를 들어, 컴퓨터, UMPC(Ultra Mobile PC), 워크스테이션, 넷북(net-book), PDA(Personal Digital Assistants), 포터블(portable) 컴퓨터, 웹 타블렛(web tablet), 무선 전화기(wireless phone), 모바일 폰(mobile phone), 스마트폰(smart phone), PMP(portable multimedia player)와 같은 전자 장치 중 하나로서, 본 개시와 관련된 어플리케이션의 설치 및 실행이 가능한 모든 전자 장치를 포함할 수 있다. 상기 전자 장치는 어플리케이션의 제어를 받아 예를 들어, 서비스 화면의 구성, 데이터 입력, 데이터 송/수신, 데이터 저장 등과 같은 서비스 전반의 동작을 수행하거나 제어할 수 있다.
보안 관제 서버(100)는 보안 관제의 대상이 되는 IP 주소인 대상 IP를 선정할 수 있다. 이 때, 전술한 바와 같이, 상기 대상 IP는 인바운드 또는 아웃바운드 경우에 대해 선정된 것일 수 있다.
보안 관제 서버(100)는 관리자 또는 사용자에 의해 입력되거나 요청에 의해 탐지된 IP 주소, 유사 도메인의 IP 주소 등을 대상 IP로 선정할 수 있다. 또한, 상기 관리자나 사용자의 요청이 없더라도, 보안 관제 서버(100)는 상기 보안 취약 정보 공유 서버(310) 또는/및 악성 코드 정보 공유 서버(320)에서 제공하는 위험 IP의 IP 주소, 미리 설정된 특정 지역에 위치한 서버의 IP 주소, 미리 설정된 특정 서비스 분야의 웹사이트를 운영하는 서버의 IP 주소 등도 대상 IP로 선정할 수 있다. 그 밖에, 보안 관제 서버(100)는 관리자 등의 선택 또는 시간, 날짜, 지역 등과 같은 미리 설정된 조건에 따라 대상 IP를 다양하게 선정할 수도 있다.
보안 관제 서버(100)는 대상 IP가 선정되면, 선정된 대상 IP를 스캔(scan)할 수 있다.
보안 관제 서버(100)는 대상 IP의 모든 포트들(Ports)을 스캔하여, 모든 포트들의 배너 정보를 수집하고, 대상 IP의 보안 취약 정보 및 악성 코드를 포함하여 다양한 IP 주소 정보를 수집할 수 있다. 이 때, 상기 보안 관제 서버(100)는 수집된 배너 정보에서 어플리케이션 정보를 추출할 수 있다.
보안 관제 서버(100)는 상기 선정된 대상 IP를 스캔하여 추출하거나 수집한 정보에 기초하여 IP 모니터링 정보(IP monitoring information)를 생성할 수 있다.
이 때, 상기 IP 모니터링 정보는 대상 IP를 스캔하여 얻을 수 있는 보안 관련 정보를 포함할 수 있다.
본 개시의 일실시예에 따른 IP 모니터링 정보는 예를 들어, IP 주소에 대한 정보를 포함할 수 있다. 여기서, IP 주소에 대한 정보는 예를 들어, 도 5에 도시된 적어도 하나 이상의 파라미터가 포함된 적어도 하나 이상의 그룹 정보를 포함할 수 있다. 이에 대한 상세 설명은 해당 부분에서 후술한다.
본 개시의 다른 일실시예에 따르면, 상기 IP 모니터링 정보는 상기 IP 주소에 대한 정보 외에 포트의 배너 정보(포트 정보 포함), 어플리케이션 정보, 보안 취약 정보, 악성 코드, 유사 도메인 등 중 적어도 하나 이상을 더 포함할 수 있다.
보안 관제 서버(100)는 상기 생성한 IP 모니터링 정보에 기초하여, IP 위험도를 판단한다.
이 때, 상기 IP 위험도는 해당 IP가 사이버 위협에 취약한 정도를 나타내는 정보로 예를 들어, 상기 IP 위험도는 'Safe' 단계, 'Low' 단계, 'Moderate' 단계, 'Dangerous' 단계, 'Critical' 단계 등으로 구성될 수 있다. 다만, 본 개시는 이러한 구성에 한정되지 않고, 위험도에 대한 구성은 공지 기술을 포함하여 다양한 방식으로 이루어질 수 있다.
상기 보안 관제 서버(100)는 상기 IP 위험도를 판단하기 위해 다양한 알고리즘을 이용할 수 있다.
상기 IP 위험도 판단에 이용되는 다양한 알고리즘 중 본 개시의 일실시예에서는 스코어링(Scoring) 알고리즘을 이용할 수 있다. 즉, 보안 관제 서버(100)는 상기 생성된 IP 모니터링 정보들의 각 그룹 정보에 점수를 부여하고, 부여된 점수를 합산하여 IP 위험도를 판단할 수 있다. 이 때, 보안 관제 서버(100)는 상기 IP의 위험도 판단을 위하여 미리 설정된 임계치와 상기 합산된 점수를 비교할 수 있다. 한편, 상기 각 그룹 정보(또는 해당 그룹 내 개별 파라미터)에 대해 부여된 점수는 고정된 것은 아니고, 필요에 따라 변경될 수 있다. 예컨대, 특정 요일, 시간대 등의 경우에 그룹 정보나 파라미터 정보 중 일부에 대하여 부여된 점수가 변경될 수 있다. 다른 실시 예에 따르면, 상기 그룹 정보 또는 개별 파라미터에 대해 부여된 점수는 기본적으로 고정된 값을 이용하되, 상기와 같은 상황에 따라 그룹 정보나 파라미터에 대한 가중치를 설정하거나 기설정된 가중치를 변경하여 상황에 맞게 대상 IP에 대한 위험도를 판단하여 대응할 수 있다. 또 다른 실시 예에 따르면, 보안 관제 동작의 수행의 빈도에 따라 상기와 같은 점수나 가중치의 부여 내지 변경이 결정될 수도 있다. 예를 들어, 보안 관제 수행 빈도가 낮은 경우에는 IP 위험도 판단과 관련하여 그동안 업데이트된 내용이 많을 수 있으므로, 이 경우에는 일반적인 경우에 비하여 상대적으로 기부여된 점수나 가중치에 대한 재설정이 요구될 수도 있다.
다른 실시예에 따르면, 보안 관제 서버(100)는 머신 러닝(Machine Learning)을 통해, IP 위험도를 판단할 수 있다. 즉, 보안 관제 서버(100)는 기 학습된 머신 러닝 모델에 IP 모니터링 정보를 입력하여, 그 결과로 도출된 IP 위험도를 해당 IP의 IP 위험도로 판단할 수 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 기본적으로 스코어링 알고리즘에 기초하여 IP 위험도를 판단하되, 개별 그룹 정보 내지 개별 파라미터에는 머신 러닝 기법이 이용될 수 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 머신 러닝 기법을 이용하여 IP 위험도를 판단하되, 상기 판단 결과 IP 위험도가 미리 설정된 임계치보다 높은 경우에만, 해당 IP에 대하여 스코어링 알고리즘으로 재판단할 수 있다. 이 때, 비록 머신 러닝 기법에 따른 IP 위험도 판단 결과와 상기 스코어링 알고리즘으로 판단한 위험도 결과가 다른 경우에는, 상기 스코어링 알고리즘으로 판단한 결과를 해당 IP의 위험도로 최종 결정할 수 있다. 이 경우, 상기 스코어링 알고리즘을 통해 판단한 결과가 최종 결정되면, 관련 내용을 상기 머신 러닝 기법에서 학습하도록 할 수 있다.
상기에서, 머신 러닝 기법과 스코어링 알고리즘을 이용한 IP 위험도 판단 순서나 결정 방식은 전술한 바와 반대이거나 다르게 설정될 수도 있다.
보안 관제 서버(100)는 해당 IP에 대하여 판단된 IP 위험도에 따라, 도 6에 도시된 바와 같은 보안 리포트를 생성하여 제공할 수 있다. 즉, 생성된 보안 리포트는 디스플레이 장치를 통해 출력되거나 관리자 단말(200)로 전송되어 관리자(또는 사용자)에게 제공될 수 있다.
실시 예에 따라, 보안 관제 서버(100)는 매번 IP 위험도가 판단될 때마다, 보안 리포트를 생성할 수 있다.
다른 실시 예에 따르면, 보안 관제 서버(100)는 IP 위험도 판단 결과 IP 위험도가 'Dangerous' 및 'Critical' 단계인 해당 IP에 대해서만 보안 리포트를 생성할 수 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 IP 위험도 판단 결과, IP 위험도가 'Dangerous' 또는 'Critical' 단계가 아닌 IP에 대해서는 보안 리포트 생성을 대기(또는 보류)하고, 'Dangerous' 또는 'Critical' 단계의 IP가 입력되거나 탐지된 경우에, 2개의 보안 리포트를 개별적으로 생성하여 제공하거나 후자의 경우에 대해 생성된 보안 리포트만 제공할 수 있다. 상기에서, 2개의 보안 리포트가 개별 생성되어 제공되는 경우에도, 동시에 제공될 수도 있으나, 실시 예에 따라 먼저 'Dangerous' 또는/및 'Critical' 단계의 IP에 대한 보안 리포트가 선 제공되고 그에 대한 보안 관제가 완료되면 이후에 나머지 보안 리포트가 제공될 수 있다.
보안 리포트에는 위험 IP로 판단된 IP들의 리스트, 해당 리스트에 포함된 IP의 IP 모니터링 정보 등 중 적어도 하나가 포함될 수 있다.
보안 관제 서버(100)는 대상 IP를 선정하되, 선정된 대상 IP에 대해 이미 IP 위험도 판단 결과 또는 생성된 보안 리포트가 존재하는 경우에는, 미리 설정된 기간 이내에 판단되거나 생성된 결과는 해당 결과를 그대로 이용할 수 있다.
다른 실시 예에 따르면, 대상 IP에 대해 이전에 위험도 판단 결과 또는 생성된 보안 리포트가 존재하더라도, 보안 관제 서버(100)는 해당 결과를 참고만 할 뿐, 새롭게 IP 모니터링 정보를 생성할 수 있다. 이 때, 상기 IP 모니터링 정보의 점수나 가중치의 일부 또는 전부는 이전과 다르게 설정될 수 있으며, 그 결과 IP 위험도 판단 결과가 다른 경우에는, 전술한 바와 같이 머신 러닝 기법 또는 스코어링 알고리즘을 통하여 재판단할 수 있다. 왜냐하면, 대상 IP로 2회 이상 선정되었다면, 그만큼 해당 IP에 대한 액세스가 잦은 것으로 가정하여, 주의깊게 살펴볼 필요가 있기 때문이다.
관리자 단말(200)은 관리자로부터 대상 IP(또는 대상 키워드, 대상 도메인 등)을 입력받아, 입력된 대상 IP를 보안 관제 서버(100)에 전송한다. 이 때, 상기 대상 IP의 입력은 그 자체로 해당 IP에 대한 보안 관제 요청 즉, IP 모니터링 정보 생성, IP 위험도 판단 및 보안 리포트 생성 중 적어도 하나에 대한 요청이 포함될 수 있다.
관리자 단말(200)는 보안 관제 서버(100)로부터 보안 리포트를 수신하여, 수신된 보안 리포트를 관리자에게 출력한다.
한편, 보안 관제 서버(100)는 대상 IP에 대한 포트 스캐닝을 수행하고, 오픈된 포트 정보를 수집하여 DB 서버 여부를 판단할 수 있다. 이 때, 보안 관제 서버(100)는 상기 수집된 오픈 포트 정보를 IP 모니터링 정보에 포함할 수 있다.
한편, 보안 관제 서버(100)는 상기 포트 스캐닝 결과 수집된 포트 정보에 기반하여 DB 서버 여부 식별이 불가능한 경우에는 추가 정보를 수집하여 제공할 수 있다. 이 때, 상기 추가 정보는 포트 넘버에 대한 정보가 아닌 상기 포트 스캐닝을 위해 전송된 특정 패킷의 서버의 응답값일 수 있다. 상기 응답값은 배너 정보 형식일 수 있다.
따라서, 보안 관제 서버(100)는 상기 응답값의 분석을 수행하기 위하여, 내부 또는 외부 데이터베이스에 상기 분석을 위한 다양한 응답값과 그에 맵핑된 서버 정보를 미리 저장할 수 있다. 예를 들어, 보안 관제 서버(100)는 관리자에 의해 설정되거나 중요한 DB 서버에 대한 정보와 상기 DB 서버에 대응하는 응답값을 각각 저장할 수 있으며, 상기 중요 DB 서버 정보와 응답값의 맵핑 정보를 룩업 테이블 등 다양한 형태로 저장할 수 있다. 상기 맵핑, 룩업 테이블 생성 및 업데이트와 관련하여, 머신 러닝 기법이 이용될 수 있다.
도 2는 일 실시예에 따른 보안 관제 서버(100)의 구성을 도시한 도면이다.
도 2를 참조하면, 본 개시의 일실시예에 보안 관제 서버(100)는 제어부(110), IP 스캔부(120), 도메인 스캔부(130), IP 위험도 판단부(140), 보안 리포트 생성부(150), 디스플레이부(160), 인터페이스부(170), 데이터베이스부(180) 및 통신부(190)를 포함할 수 있다. 본 개시는 이에 한정되지 않으며, 하나 또는 그 이상의 구성요소가 더 포함되어 보안 관제 서버(100)가 구현되거나 그 반대일 수도 있다.
보안 관제 서버(100)의 하드웨어 구성은 다양하게 구현될 수 있다. 예를 들어, 제어부(110)와 IP 스캔부(120)가 통합되거나 제어부(110)와 IP 위험도 판단부(140)가 통합되어 하드웨어가 구성될 수 있다. 이와 같이, 보안 관제 서버(100)의 하드웨어 구성은 본 명세서의 기재에 한정되지 아니하며, 다양한 방법과 조합으로 구현될 수 있다.
제어부(110)는 보안 관제 서버(100)의 다양한 기능을 수행하도록 IP 스캔부(120), 도메인 스캔부(130), IP 위험도 판단부(140), 보안 리포트 생성부(150), 디스플레이부(160), 인터페이스부(170), 데이터베이스부(180) 및 통신부(190)를 제어한다.
제어부(110)는 프로세서(Processor), 컨트롤러(controller), 마이크로 컨트롤러(micro-controller), 마이크로 프로세서(micro-processor), 마이크로 컴퓨터(micro-computer) 등으로도 호칭될 수 있으며, 하드웨어(hardware), 펌웨어(firmware) 또는 소프트웨어에 의해 구현되거나 그들의 결합에 의해 구현될 수도 있다.
이하 기능들은 해당 구성들이 제어부(110)의 제어에 따라 구현되거나 제어부(110)에서 직접 구현될 수도 있다.
IP 스캔부(120)는 대상 IP의 포트들을 스캔하여, IP 모니터링 정보를 생성할 수 있다.
IP 스캔부(120)는 보안 관제의 대상이 되는 IP 주소인 대상 IP를 선정할 수 있다. 예를 들어, IP 스캔부(120)는 관리자가 입력한 IP 주소, 유사 도메인의 IP 주소, 보안 취약 정보 공유 서버(310) 또는/및 악성 코드 정보 공유 서버(320)에서 제공하는 위험 IP의 IP 주소, 특정 지역에 위치한 서버의 IP 주소, 특정 서비스 분야의 웹사이트를 운영하는 서버의 IP 주소 등을 대상 IP로 선정할 수 있으며, 관리자의 선택 또는 일정한 조건(시간, 날짜 등)에 따라, 대상 IP를 다양하게 선정할 수 있다.
IP 스캔부(120)는 선정된 대상 IP를 스캔할 수 있다.
IP 스캔부(120)는 예를 들어, 대상 IP의 1.0.0.0/8 대역부터 255.0.0.0/8 대역까지 스캔하여, 오픈된 포트에 대한 포트 정보를 수집한다.
IP 스캔부(120)는 수집된 포트 정보에서 어플리케이션 정보를 추출할 수 있다. 일 실시예의 어플리케이션 정보는 어플리케이션 이름, 어플리케이션 버전, 프로토콜 정보, 스캔된 시간을 포함할 수 있다.
IP 스캔부(120)는 대상 IP의 보안 취약 정보를 수집할 수 있다.
IP 스캔부(120)는 보안 취약 정보 공유 서버(310)에서 수신된 보안 취약점 데이터를 이용하거나 상기 보안 취약 정보 공유 서버(310)가 제공하는 API를 이용하여, 대상 IP에 보안 취약점이 존재하는지 확인할 수 있다. IP 스캔부(120)는 CVE(Common Vulnerability and Exposures), CWE(Common Weakness Enumeration), OWASP(The Open Web Application Security Project)와 같은 보안 취약점 탐지 방법을 이용하여, 대상 IP의 소프트웨어, 어플리케이션 등에서 발생할 수 있는 취약점이 존재하는지 확인할 수 있다. IP 스캔부(120)는 확인된 보안 취약 정보를 수집할 수 있다.
IP 스캔부(120)는 대상 IP의 악성 코드 정보를 수집할 수 있다.
IP 스캔부(120)는 악성 코드 정보 공유 서버(320)에서 수신된 악성 코드 데이터를 이용하거나, 악성 코드 정보 공유 서버(320)가 제공하는 API를 이용하여, 대상 IP의 웹 코드에 악성 코드가 존재하는지 확인하고, 확인된 악성 코드의 정보를 수집한다. 일 실시예의 악성 코드 정보는 MD5 해쉬값, 악성 코드 제공 사이트 URL, 악성 도메인, 수집된 시간을 포함할 수 있다.
IP 스캔부(120)는 대상 IP에 대하여 국가, 위치, 소유자, 연결된 도메인, VPN, Proxy, Tor, 호스팅 정보, 악성 기록, 취약점, 정책위반, 원격제어 유무, 관리자페이지 등에 대한 정보를 추출할 수 있다. 이에 대한 상세 설명은 도 5에 대한 설명에서 후술한다.
IP 스캔부(120)는 IP 모니터링 정보를 생성할 수 있다. 이 때, 상기 IP 모니터링 정보에는 오픈된 포트 넘버 정보와 후술하는 추가 포트 정보가 포함될 수 있다.
IP 스캔부(120)는 확인 가능한 IP를 스캔하여, 해당 IP의 IP 모니터링 정보를 저장한다.
도메인 스캔부(130)는 대상 IP에 대한 대표 도메인(representative domain)을 스캔할 수 있다. 이 때, 도메인 스캔부(130)는 예를 들어, html을 머신 러닝으로 찾아낼 수 있다.
IP 위험도 판단부(140)는 IP 모니터링 정보를 이용하여, IP 위험도를 판단할 수 있다. 상기 IP 위험도 판단은 예를 들어, 식별된 포트에 기반하여 해당 IP가 DB 서버인지 식별 여부에 기초하여 이루어질 수 있다.
보안 리포트 생성부(150)는 IP 위험도에 따라, 보안 리포트를 생성할 수 있다. 이 때, 상기 생성되는 보안 리포트는 해당 IP의 DB 서버 여부에 대한 정보와 그에 따른 추천 보안 관제 내용이 포함될 수 있다.
보안 리포트 생성부(150)는 보안 리포트를 기 설정된 단위 시간 별로 생성할 수 있다.
디스플레이부(160)는 생성된 보안 리포트를 출력할 수 있다.
인터페이스부(170)는 다양한 사용자 입력을 수신하여 제어부(110)로 전달할 수 있다. 특히, 인터페이스부(170)는 터치 센서, (디지털) 펜 센서, 압력 센서, 키, 또는 마이크를 포함할 수 있다. 터치 센서는, 예를 들면, 정전식, 감압식, 적외선 방식, 또는 초음파 방식 중 적어도 하나의 방식을 사용할 수 있다. (디지털) 펜 센서는, 예를 들면, 터치 패널의 일부이거나, 별도의 인식용 쉬트를 포함할 수 있다. 키는, 예를 들면, 물리적인 버튼, 광학식 키, 또는 키패드를 포함할 수 있다. 마이크는 사용자 음성을 수신하기 위한 구성으로, 보안 관제 서버(100) 내부에 구비될 수 있으나, 이는 일 실시예에 불과할 뿐, 보안 관제 서버(100)의 외부에 구비되어 보안 관제 서버(100)와 전기적으로 연결될 수 있다.
데이터베이스부(180)는 보안 관제 서버(100)의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 저장할 수 있다. 특히, 데이터베이스부(180)는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD) 등으로 구현될 수 있다. 데이터베이스부(180)는 제어부(110)에 의해 액세스되며, 제어부(110)에 의한 데이터의 독취/기록/수정/삭제/갱신 등이 수행될 수 있다. 본 개시에서 메모리라는 용어는 데이터베이스부(180), 제어부(180) 내 롬(미도시), 램(미도시) 또는 보안 관제 서버(100)에 장착되는 메모리 카드(미도시)(예를 들어, micro SD 카드, 메모리 스틱)를 포함할 수 있다. 또한, 데이터베이스부(180)에는 디스플레이부(160)의 디스플레이 영역에 표시될 각종 화면을 구성하기 위한 프로그램 및 데이터 등이 저장될 수 있다.
데이터베이스부(180)는 IP 모니터링 정보를 저장할 수 있다. 데이터베이스(180)는 IP 모니터링 정보를 예를 들어, IP 주소 단위, 그룹 정보 단위 등으로 분류하여 저장할 수 있다.
통신부(190)는 다양한 통신 방식을 통해 외부의 장치와 통신을 수행할 수 있다. 특히, 통신부(190)는 관리자 단말(200)과 통신을 수행하여 대상 IP, 대상 키워드, 대상 도메인을 수신하고, 보안 리포트를 송신할 수 있다.
도 3은 본 개시의 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 4는 본 개시의 다른 일실시예에 따른 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 5는 본 개시의 일실시예에 따른 IP 모니터링 정보를 설명하기 위해 도시한 도면이다.
도 3을 참조하면, 일 실시예에 따른 보안 관제 방법은 대상 IP 선정 단계(S100), 대상 IP 스캔 단계(S110), IP 모니터링 정보 생성 단계(S120), IP 위험도 판단 단계(S130) 및 보안 리포트 생성 단계(S140)를 포함할 수 있다.
대상 IP 선정 단계(S100)에서, 보안 관제 서버(100)는 보안 관제의 대상이 되는 IP 주소인 대상 IP를 선정한다.
대상 IP 스캔 단계(S110)에서, 보안 관제 서버(100)는 선정된 대상 IP를 스캔한다.
IP 모니터링 정보 생성 단계(S120)에서, 보안 관제 서버(100)는 IP 모니터링 정보를 생성한다.
IP 위험도 판단 단계(S130)에서, 보안 관제 서버(100)는 IP 모니터링 정보를 이용하여, IP 위험도를 판단한다.
보안 리포트 생성 단계(S140)에서, 보안 관제 서버(100)는 판단된 IP 위험도에 따라, 보안 리포트를 생성하여, 생성된 보안 리포트를 제공할 수 있다.
도 4를 참조하면, S210 단계에서, 보안 관제 서버(100)는 대상 IP 주소 정보를 획득한다.
S220 단계에서, 보안 관제 서버(100)는 대상 IP 주소에 대한 IP 모니터링 정보 즉, 제1 그룹 내지 제3 그룹 정보를 추출하여 획득한다.
S230 단계에서, 보안 관제 서버(100)는 각 그룹의 파라미터 점수를 부여 및 합산한다. 이 때, 실시 예에 따라 상기 부여는 미리 이루어질 수도 있다.
S240 단계에서, 보안 관제 서버(100)는 점수 합산 결과에 기초하여 대상 IP 주소에 대한 위협 인텔리전스를 분류 및 저장한다.
도 5에서는 본 개시의 일실시예에 따른 구체적인 IP 모니터링 정보가 도시되었다.
도 5의 (a)는 연결 정보에 관한 파라미터가 포함된 제1 그룹 정보(Connection), 도 5의 (b)는 검출 정보에 관한 파라미터가 포함된 제2 그룹 정보(Detection), 그리고 도 5의 (c)는 보안 정보에 관한 파라미터가 포함된 제3 그룹 정보가 도시되었다.
먼저, 도 5의 (a)를 참조하여 제1 그룹 정보(Connection)에 대해 설명한다.
제1 그룹 정보(Connection)의 파라미터에는 예를 들어, 대표 도메인 파라미터(Represetative Domain), SSL 인증서 파라미터(SSL Certificate), IP 주소 소유자 파라미터(IP Address Owner), 호스트 이름 파라미터(Hostname), 연결된 도메인 파라미터(Connected Domains), 및 국가 파라미터(Country)가 포함될 수 있다. 다만, 이에 한정되지 않으며, 연결 정보에 관한 하나 또는 그 이상의 파라미터가 더 포함될 수 있다.
여기서, 대표적으로 대표 도메인에 관한 파라미터(Representative Domain)에 관하여, 보안 관제 서버(100)는 예를 들어, html을 머신 러닝으로 찾을 수 있어, IP만을 보고 도메인을 찾아낼 수 있다. 또한, 국가 파라미터(Country) 도 5의 (a)와 같이, IP 주소가 위치한 국가에 대한 정보를 제공할 수 있다.
상기 제1 그룹 정보 내 각 파라미터는 고유의 점수가 부여될 수 있으며, 추후 합산될 수 있다. 또한, 상기 제1 그룹 정보 내 각 파라미터에 대해 가중치가 개별 설정될 수 있다. 즉, 모든 파라미터에 가중치가 설정되거나 일부 파라미터에만 가중치가 설정될 수 있다. 예를 들어, 상기 국가 파라미터와 관련하여, 도 5의 (a)와 같이 독일이 아니라, 중국, 홍콩, 베트남 등인 경우에는 점수가 상기 독일과는 다르게 부여되거나 가중치가 개별 설정되어, 추후 합산에 반영될 수 있다.
다음으로, 도 5의 (b)를 참조하여 제2 그룹 정보(Detection)에 대해 설명한다.
제2 그룹 정보(Detection)의 파라미터에는 예를 들어, 프록시 IP 파라미터(Proxy IP), VPN IP 파라미터(VPN IP), Tor IP 파라미터(Tor IP), 호스팅 IP 파라미터(Hosting IP), 모바일 IP 파라미터(Mobile IP), CDN IP 파라미터(CDN IP), 스캐너 IP 파라미터(Scanner IP) 및 스페셜 이슈 파라미터(Special Issue)가 포함될 수 있다. 다만, 이에 한정되지 않으며, 검출 정보에 관한 하나 또는 그 이상의 파라미터가 더 포함될 수 있다.
프록시 IP 파라미터(Proxy IP)에 관하여, 보안 관제 서버(100)는 예를 들어, WebProxy 등의 서비스 포트가 가동되어 있는 경우 프록시 IP 정보를 획득(또는 추출)할 수 있다.
VPN IP 파라미터(VPN IP)에 관하여, 보안 관제 서버(100)는 예를 들어, pptp, l2tp, openvpn, sslvpn 등의 서비스 포트가 가동되어 있거나 html 을 머신러닝하여 VPN으로 사용되는 IP 인지 여부를 탐지할 수 있으며, 탐지된 경우 VPN IP 정보를 획득할 수 있다.
Tor IP 파라미터(Tor IP)에 관하여, 보안 관제 서버(100)는 예를 들어, Tor 사이트에서 제공하는 Tor IP 데이터베이스를 호출하여 그 대역과 일치하는 IP가 존재하는지 여부를 판단하고, 판단 결과 Tor IP 정보를 획득할 수 있다.
호스팅 IP 파라미터(Hosting IP)에 관하여, 보안 관제 서버(100)는 예를 들어, 머신러닝으로 분석하여 대상 IP가 서버나 호스팅에서 쓰이는 IP 인지 여부를 확인할 수 있으며, 확인 결과 호스팅 IP 정보를 획득할 수 있다.
모바일 IP 파라미터(Mobile IP)에 관하여, 보안 관제 서버(100)는 예를 들어, 모바일 통신사에서 제공하는 대역과 일치하는지 여부를 확인할 수 있으며, 확인 결과 모바일 IP 정보를 획득할 수 있다.
CDN IP 파라미터(CDN IP)에 관하여, 보안 관제 서버(100)는 예를 들어, CloudFlare, Akamai 등 CDN에서 제공하는 IP인지 여부를 확인할 수 있으며, 확인 결과 CDN IP 정보를 획득할 수 있다.
스캐너 IP 파라미터(Scanner IP)에 관하여, 보안 관제 서버(100)는 예를 들어, 포트스캐닝을 계속 수행 중인 IP 인지 여부를 예를 들어, 도 1의 악성 코드 정보 공유 서버(320)의 데이터베이스를 통해서 확인할 수 있으며, 확인 결과 스캐너 IP 정보를 획득할 수 있다.
다음으로, 도 5의 (c)를 참조하여 제3 그룹 정보(Security)에 대해 설명한다.
제3 그룹 정보(Security)의 파라미터에는 예를 들어, 어뷰즈 레코드(Abuse Record), 오픈 포트 파라미터(Open Ports), 보안 취약점 파라미터(Vulnerabilities), 익스플로잇 데이터베이스 파라미터(Exploit DB), 정책 위반 파라미터(Policy Violation), 원격 주소 파라미터(Remote Address), 네트워크 디바이스 파라미터(Network Device), 어드민 페이지 파라미터(Admin Page) 및 페이크 SSL 파라미터(Fake SSL)가 포함될 수 있다. 다만, 이에 한정되지 않으며, 검출 정보에 관한 하나 또는 그 이상의 파라미터가 더 포함될 수 있다.
어뷰즈 레코드(Abuse Record)에 관하여, 보안 관제 서버(100)는 예를 들어, 내부 또는/및 외부의 블랙리스트 데이터베이스(BlackList DB)를 활용하여 대상 IP 주소의 블랙리스트 등록 여부 및/또는 블랙리스트에 등록 횟수 등에 대한 정보를 획득할 수 있다.
오픈 포트 파라미터(Open Ports)에 관하여, 보안 관제 서버(100)는 예를 들어, 대상 IP에 오픈(개방)되어 있는 포트의 존재 여부 및/또는 오픈 포트의 개수에 대한 정보를 획득할 수 있다.
보안 취약점 파라미터(Vulnerabilities)에 관하여, 보안 관제 서버(100)는 예를 들어, 대상 IP에서 가동되고 있는 어플리케이션이 있는지 여부 및/또는 해당 어플리케이션에 보안 취약점이 있는지 여부 및/또는 해당 어플리케이션이 보안 취약점이 있다면 개수 정보를 획득할 수 있다.
익스플로잇 데이터베이스 파라미터(Exploit DB)에 관하여, 보안 관제 서버(100)는 예를 들어, 보안 취약점이 있는 경우, 실제 공격 코드가 익스플로잇 데이터베이스(Exploit DB) 사이트에서 제공되고 있는 지 여부에 대한 정보를 획득할 수 있다.
정책 위반 파라미터(Policy Violation)에 관하여, 보안 관제 서버(100)는 예를 들어, 오픈되어 있는 포트가 존재하는 경우에, 오픈되어 있는 포트 중 열려도 괜찮은 포트(예를 들어, 포트넘버 80/443 - http/https)인지 아닌지 여부 정보를 획득할 수 있다. 예를 들어, 보안 관제 서버(100)는 오픈되어 있는 포트 모두에 대한 정보를 획득하여, 그 중 외부에 열리면 안되거나 위험한 포트(예를 들어, DB, SMB, SSH, RDP 등)가 존재하는지 여부 및/또는 존재한다면 몇 개의 그러한 포트가 오픈되어 있는지 여부에 대한 정보를 획득할 수 있다.
원격 주소 파라미터(Remote Address)에 관하여, 보안 관제 서버(100)는 예를 들어, html을 머신러닝으로 분석하여 원격 제어에 쓰이는 IP인지 여부를 확인하고, 확인 결과 원격 주소 정보를 획득할 수 있다.
네트워크 디바이스 파라미터(Network Device)에 관하여, 보안 관제 서버(100)는 예를 들어, html을 머신러닝으로 분석하여 네트워크 장비인지 여부를 확인할 수 있고, 확인 결과 네트워크 장비에 대한 정보를 획득할 수 있다.
어드민 페이지 파라미터(Admin Page)에 관하여, 보안 관제 서버(100)는 예를 들어, html을 머신러닝으로 분석하여 관리자 페이지로 쓰이는 IP 인지 여부를 확인할 수 있으며, 확인 결과 어드민 페이지 정보를 획득할 수 있다.
페이크 SSL 파라미터(Fake SSL)에 관하여, 보안 관제 서버(100)는 예를 들어, SSL 인증서가 존재하는지 여부 및/또는 존재하는 SSL 인증서가 페이크인지 여부를 확인할 수 있으며, 확인 결과 페이크 SSL 정보를 획득할 수 있다.
상술한 도 5의 (a) 내지 (c)에 도시된 각 파라미터에는 고유의 점수가 부여될 수 있으며, IP 위험도 판단시 합산될 수 있다. 이 때, 합산은 그룹 정보 단위로 수행될 수 있다. 또한, 상기 각 파라미터에는 상기 부여된 점수와 무관하게, 개별적으로 가중치가 부여되어, 상기 점수 산출에 반영될 수 있다.
보안 관제 서버(100)는 IP 모니터링 정보로 제1 그룹 정보 내지 제3 그룹 정보를 모두 포함시킬 수 있다. 다른 실시 예에 따르면, 보안 관제 서버(100)는 IP 모니터링 정보로 제1 그룹 정보 내지 제3 그룹 정보 중 두 개의 그룹 정보들만 채택하여 포함시킬 수 있다. 또 다른 실시 예에 따르면, 보안 관제 서버(100)는 IP 모니터링 정보로 제1 그룹 정보 내지 제3 그룹 정보 중 어느 하나의 그룹 정보만 채택하여 포함시킬 수 있다.
보안 관제 서버(100)는 개별 그룹에 포함된 모든 파라미터를 포함시켜 점수 산출에 이용할 수 있다.
다른 실시 예에 따르면, 보안 관제 서버(100)는 개별 그룹에서 대표 파라미터만 포함시켜 점수 산출에 이용할 수 있다. 이 때, 대표 파라미터는 하나 이상일 수도 있다.
한편, 보안 관제 서버(100)는 모든 그룹이 채택된 경우가 아닌 경우 즉, 하나 또는 두 개의 그룹 정보만이 포함된 경우에는, 각 그룹의 모든 파라미터를 점수 산출에 반영할 수 있다.
다른 실시 예에 따르면, 보안 관제 서버(100)는 각 그룹의 대표 파라미터만 IP 모니터링 정보에 포함하여 IP 위험도를 판단하고(1차 IP 위험도), 판단 결과 IP 위험도가 'Dangerous' 또는 'Critical' 단계인 경우에는, 각 그룹에 다른 파라미터까지 IP 모니터링 정보에 포함시켜 IP 위험도를 재판단할 수 있다(2차 IP 위험도). 이 때, 보안 관제 서버(100)는 상기 1차 위험도 판단 결과와 2차 IP 위험도 판단 결과가 상이한 경우에는, 상기 2차 IP 위험도 판단 결과에 기초하여 대상 IP의 위험도를 결정할 수 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 하나 또는 두 개의 그룹의 대표 파라미터만 IP 모니터링 정보에 포함하여 IP 위험도를 판단하고(1차 IP 위험도), 판단 결과 IP 위험도가 'Dangerous' 또는 'Critical' 단계인 경우에는, 상기 각 그룹에 다른 파라미터까지 IP 모니터링 정보에 포함시켜 IP 위험도를 재판단할 수 있다(2차 IP 위험도). 이 때, 보안 관제 서버(100)는 상기 1차 위험도 판단 결과와 2차 IP 위험도 판단 결과가 상이한 경우에는, 하나 또는 두 개의 그룹을 IP 모니터링 정보에 더 포함하여 IP 위험도를 재재판단할 수 있다(3차 IP 위험도). 그리고 차수가 올라갈수록 신뢰도 즉, 보안 관제 서버(100)에 의해 선택될 가능성은 높다. 즉, 2차 IP 위험도 판단 결과와 3차 IP 위험도 판단 결과가 상이한 경우에는 상기 3차 IP 위험도 판단 결과에 기초하여 대상 IP의 위험도를 결정할 수 있다. 한편, 상기에서, 3차 IP 위험도와 2차 위험도 판단 과정은 서로 순서가 변경될 수 있다.
IP 위험도가 판단되어 보안 리포트가 생성되면, 보안 관제 서버(100)는 도 6과 같이 생성된 보안 리포트를 제공할 수 있다.
도 6은 본 개시의 일실시예에 따른 네트워크 트래픽 기반 DB 서버 여부 식별을 통한 보안 관제 방법을 설명하기 위해 도시한 흐름도이다.
도 7은 잘 알려진 포트 넘버와 맵핑된 DB 서버를 도시한 도면이다.
도 8과 9는 본 개시의 일실시예에 따른 대상 IP의 리턴 응답값의 예시를 도시한 도면이다.
도 6을 참조하면, S310 단계에서, 보안 관제 서버(100)는 대상 IP 주소에 대한 포트 스캐닝을 수행한다.
S320 단계에서, 보안 관제 서버(100)는 오픈된 포트 정보를 수집한다.
S330 단계에서, 보안 관제 서버(100)는 수집된 오픈 포트 정보에 기초하여 대상 IP가 DB 서버인지 제1 판단을 수행한다.
S340 단계에서, 보안 관제 서버(100)는 상기 제1 판단 결과 해당 IP가 DB 서버인지 식별이 불가능하면, 추가 포트 정보를 추출한다.
S350 단계에서, 보안 관제 서버(100)는 상기 추출된 추가 포트 정보에 기초하여 해당 IP가 DB 서버인지 여부를 재판단(제2 판단)한다.
S360 단계에서, 보안 관제 서버(100)는 상기 제2 판단 결과에 따라 보안 관제를 수행한다.
이 때, 상기 S360 단계에서, 보안 관제 서버(100)는 상기 S330 단계 즉, 상기 제1 판단 결과 만약 해당 IP가 DB 서버로 식별되거나 상기 S350 단계에서 재판단 결과, 해당 IP가 DB 서버로 식별되면, 그에 따라 미리 설정된 보안 관제를 수행할 수 있다.
상기 미리 설정된 보안 관제라 함은, DB 서버로 식별된 경우와 그렇지 않은 경우에 상이하게 설정될 수 있다. 예를 들어, 해당 IP가 DB 서버(미리 중요한 DB 서버로 등록 또는 설정된)로 식별되면, 현재의 보안 관제 레벨을 조정 즉, 높이거나 관리자 단말(200)에 알람(또는 알림 메시지)를 제공하여 추가 동작 즉, 보안 관제 수행 여부 및 관리에 대한 요청을 받아 대응 처리를 하거나 자동으로 선대응하고 후보고할 수도 있다.
예를 들어, 도 6에 따른 DB 식별 결과는, 도 3 내지 5에서 전술한 IP 모니터링 정보에 포트 관련 파라미터로 다루어질 수도 있고 개별적으로 다루어질 수도 있다. 즉, 도 6의 실시 예는 도 3 내지 5와 연동되거나 독립적으로 판단 및 그에 따른 보안 관제 동작이 보안 관제 서버(100)에서 이루어질 수 있다.
상기 제1 판단과 관련하여, 도 7에서는 잘 알려진 포트 넘버와 해당 포트 넘버와 미리 맵핑된 DB 서버명에 대한 정보가 도시되었다. 따라서, 상기 제1 판단은, 보안 관제 서버(100)에서 상기 포트 스캐닝을 통해 수집된 오픈 포트 넘버가 도 7의 포트 넘버 중 하나에 해당하면, 바로 해당 오픈 포트와 맵핑된 DB 서버명을 알 수 있어, 식별된 DB 서버명에 따라 미리 부여된 보안 관제 레벨 내지 수준에 따른 대응 동작을 수행할 수 있다.
그러나 만약 상기 제1 판단에 이용된 수집된 오픈 포트 넘버가 예를 들어, 도 7에 도시된 잘 알려진 포트 넘버가 아닌 경우에도, 보안 관제 서버(100)는 대상 IP가 중요한 보안 관제의 대상일 수 있는바, 이에 대한 식별이 필요하다.
따라서, 본 개시의 일실시예에 따르면, 보안 관제 서버(100)는 추가 포트 정보 - 포트 넘버가 아닌 - 를 추출할 수 있다.
이 때, 상기 추가 포트 정보는 예를 들어, 상기 포트 스캐닝을 위하여 대상 IP로 전송한 특정 패킷(또는 별도로 정의되고 전송된 패킷)에 대한 응답값일 수 있다. 이러한 응답값은 예를 들어, 도 8 내지 9에 도시된 바와 같은 배너 정보일 수 있다.
포트 넘버와 관계없이, DB 서버는 고유의 응답값 형식을 가질 수 있다. 따라서, 보안 관제 서버(100)는 이러한 특성에 기인하여 각 DB 서버(중요하게 설정 내지 등록된)에 대한 고유의 응답값과 그에 대응되는 DB 서버명을 각각 저장하고, 그들의 맵핑 테이블(또는 룩업 테이블)을 함께 저장할 수 있다.
예를 들어, 도 8의 (a)는 mysqul DB 서버의 고유 응답값을 도시한 것이고, 도 8의 (b)는 PostgreSQL DB 서버의 고유 응답값을 도시한 것이고, 도 9의 (a)는 Redis DB 서버의 고유 응답값을 도시한 것이고, 도 9의 (b)는 Riak DB 서버의 고유의 응답값을 도시한 것이다. 특히, mysql DB 서버는 응답값으로 상기 도 8의 (a)에 도시된 1번 또는 2번 응답을 리턴할 수 있다.
비록 도 8과 9에서는 각각 mysql과 Riak DB 서버에 대해 예시하였으나, 본 개시는 이에 한정되는 것은 아니고, 보안 관제 서버(100)의 내부 또는 외부 데이터베이스에 DB 서버의 고유의 응답값과 맵핑되는 DB 서버명에 대한 정보를 저장하여 대상 IP의 DB 서버 여부 식별에 이용할 수 있다.
보안 관제 서버(100)는 상기 추가 포트 정보가 추출되면, 상기 내부 또는 외부 데이터베이스로부터 관련 정보를 추출하고, 상기 추출된 추가 포트 정보와 대비할 수 있다.
보안 관제 서버(100)는 상기 대비 결과 추출된 추가 포트 정보에 상기 데이터베이스로부터 추출된 맵핑 테이블에 일치하는 데이터가 있으면, 해당 맵핑 테이블에 기재된 DB 서버임을 식별할 수 있다.
보안 관제 서버(100)는 도 3 내지 4의 실시 예와 동시에 도 6의 실시 예를 수행할 수 있다.
다른 실시 예에 따르면, 보안 관제 서버(100)는 도 3 내지 4의 실시 예를 수행 후에, 대상 IP가 위험도가 높은 IP 주소로 판단된 경우에는 보안 관제 레벨이 조정되는바, 이 경우에 추가로 도 6의 실시 예를 수행할 수도 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 도 6의 실시 예를 수행 후에, 해당 IP가 DB 서버로 식별된 경우에는 보안 관제 레벨 조정 필요가 있는바, 이 경우 부가적으로 도 3 내지 4의 실시 예를 수행할 수도 있다.
또 다른 실시 예에 따르면, 보안 관제 서버(100)는 도 3 내지 4 또는 도 6의 실시 예를 개별적으로 수행하되, 둘 중 어느 하나의 실시 예에서 대상 IP의 위험도가 낮거나 해당 IP가 DB 서버가 아닌 경우에는 다른 실시 예의 동작이 최소화(예를 들어, 도 3 내지 4의 실시 예에서 모든 그룹이 이용하지 않도록 하거나 해당 그룹 내 대표 파라미터만 이용하는 경우와 같이)되거나 중지되도록 인터럽트(interrupt)를 발생시킬 수도 있다. 이를 통해 보안 관제 시스템(10)의 시스템 자원을 효율적으로 이용할 수도 있다.
그 밖에, 도 3 내지 4와 도 6의 실시 예의 다양한 조합이 가능할 수 있다. 예를 들어, 도 3 내지 4의 1회 판단 이후에 위험도가 임계치에 근접한 경우 도 6의 실시 예를 수행하여 DB 서버 여부를 식별 후 상기 도 3 내지 4의 추가 판단 여부를 결정할 수도 있다.
보안 관제 서버(100)는 도 7 내지 9에 도시된 DB 서버 외에 개별적으로 관리자에 의해 설정되거나 등록된 DB 서버를 도 7과 같은 형태의 맵핑 테이블 형태로 분류하여 저장하고 DB 식별 여부 판단에 이용할 수 있다.
도 10은 본 개시의 일실시예에 따른 보안 리포트를 설명하기 위해 도시한 도면이다.
도 10을 참조하면, 제1 영역(1010)에는 대상 IP 주소 정보가 제공되고, 제2 영역(1020)에는 IP 위험도 판단 결과가 제공되고, 제3 영역(1030)에는 상기 IP 위험도 판단 결과에 반영된 IP 모니터링 정보가 제공될 수 있다.
상기 제2 영역(1020)에는 인바운드의 경우와 아웃바운드의 경우에 대상 IP에 대한 위험도 판단 결과가 개별로 제공(예를 들어, 그래프 형태로)될 수 있다.
상기 제2 영역(1020)에는 제1 영역(1010)에 표시된 대상 IP 주소는 DB 서버인지 여부에 대한 정보와 그에 따른 보안 관제 레벨 내지 등급 정보가 제공될 수 있다.
그 밖에, 상기 제2 영역(1020)에는 별도의 IP 위험도 판단 결과 및 관련 보안 내용이 텍스트, 이미지 등의 형태로 제공될 수 있다.
그 밖에, 보안 관제 서버(100)은 상기 제1 영역 내지 제3 영역 중 일부 영역만 포함된 보안 리포트를 생성 및 제공할 수도 있다.
보안 관제 서버(100)는 위험도 판단 결과에 따라 생성되는 보안 리포트를 상이하게 생성할 수 있다. 예를 들어, 대상 IP에 대하여 판단된 IP 위험도가 'Dangerous' 또는 'Critical' 단계인 경우와 그렇지 않은 경우에 상이한 보안 리포트를 제공할 수 있다.
보안 관제 서버(100)는 대상 IP에 대하여 판단된 IP 위험도가 'Dangerous' 또는 'Critical' 단계인 경우에는, 도 10과 같이 모든 영역이 포함된 보안 리포트를 생성 및 제공할 수 있다. 이 때, 제3 영역(1030)에 문제가 된 그룹 정보 또는 파라미터는 다른 그룹 내지 파라미터와 차별화되게 제공될 수 있다. 또한, 상기 제3 영역(1030)에는 오픈된 포트 넘버에 대한 정보, 포트 스캐닝을 위한 특정 패킷에 대응된 서버의 응답값과, 상기 응답값과 맵핑된 서버의 정보(예를 들어, 특정 DB 서버명 등) 등이 제공될 수 있다.
반면, 보안 관제 서버(100)는 대상 IP에 대하여 판단된 IP 위험도가 'Dangerous' 또는 'Critical' 단계가 아닌 경우에는, 도 10과 달리 제1 내지 제3 영역 중 일부 영역만이 포함된 보안 리포트를 생성 및 제공할 수 있다. 예를 들어, 이 경우에는 대상 IP는 위험도가 낮으므로, 제3 영역(1030)이 제공되지 않거나 상기 제3 영역(1030) 정보가 도 10과 달리 설정된 대표 파라미터 정보만 포함될 수도 있다.
도 11은 본 개시의 일실시예에 따른 관리자 단말(200)의 구성을 도시한 도면이다.
도 11은 일 실시예에 따른 관리자 단말의 구성(200)을 도시한 도면이다. 이하, 도 11에 도시된 관리자 단말(200)를 구성하는 구성요소들에 대해 차례로 살펴본다.
무선 통신부(210)는 관리자 단말(200)와 무선 통신 시스템 사이의 무선 통신 또는 관리자 단말(200)와 관리자 단말(200)가 위치한 네트워크 사이의 무선 통신을 수행하는 하나 이상의 구성요소를 포함할 수 있다. 예를 들어, 무선 통신부(210)는 방송 수신 모듈(211), 이동통신 모듈(212), 무선 인터넷 모듈(213), 근거리 통신 모듈(214) 및 위치정보 모듈(215) 등을 포함할 수 있다.
방송 수신 모듈(211)은 방송 채널을 통하여 외부의 방송 관리 서버로부터 방송 신호 및/또는 방송 관련된 정보를 수신한다. 여기에서, 방송 채널은 위성 채널, 지상파 채널을 포함할 수 있다. 한편, 방송 관련 정보는 이동통신망을 통하여도 제공될 수 있으며, 이러한 경우에는 이동통신 모듈(212)에 의해 수신될 수 있다.
또한, 이동통신 모듈(212)은 이동 통신망 상에서 기지국, 외부의 단말, 서버 중 적어도 하나와 무선 신호를 송수신한다. 여기에서, 무선 신호는 음성 호 신호, 화상 통화 호 신호 또는 문자/멀티미디어 메시지 송수신에 따른 다양한 형태의 데이터를 포함할 수 있다.
무선 인터넷 모듈(213)은 무선 인터넷 접속을 위한 모듈을 말하는 것으로, 관리자 단말(200)에 내장되거나 외장 될 수 있다.
근거리 통신 모듈(214)은 근거리 통신을 위한 모듈을 말한다. 근거리 통신 기술로, 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(IrDA, infrared Data Association), UWB(Ultra Wideband), ZigBee 등이 이용될 수 있다.
또한, 위치정보 모듈(215)은 관리자 단말(200)의 위치를 확인하거나 얻기 위한 모듈이다. 일례로 GPS(Global Position System) 모듈을 들 수 있다. GPS 모듈은 복수 개의 인공위성으로부터 위치 정보를 수신한다. 여기에서, 위치 정보는 위도 및 경도로 표시되는 좌표 정보를 포함할 수 있다.
한편, A/V(Audio/Video) 입력부(220)는 오디오 신호 또는 비디오 신호 입력을 위한 것으로, 이에는 카메라(221)와 마이크(222) 등이 포함될 수 있다. 카메라(221)는 화상 통화 모드 또는 촬영 모드에서 이미지 센서에 의해 얻어지는 정지영상 또는 동영상 등의 화상 프레임을 처리한다. 그리고, 처리된 화상 프레임은 디스플레이부(251)에 표시될 수 있다.
카메라(221)에서 처리된 화상 프레임은 메모리(260)에 저장되거나 무선 통신부(210)를 통하여 외부로 전송될 수 있다. 카메라(221)는 관리자 단말(200)의 구성 태양에 따라 2개 이상이 구비될 수도 있다.
마이크(222)는 통화모드 또는 녹음모드, 음성인식모드 등에서 마이크로폰(Microphone)에 의해 외부의 음향 신호를 입력받아 전기적인 음성 데이터로 처리한다. 그리고, 처리된 음성 데이터는 통화 모드인 경우 이동통신 모듈(212)을 통하여 이동통신 기지국으로 송신 가능한 형태로 변환되어 출력될 수 있다. 마이크(222)는 외부의 음향 신호를 입력받는 과정에서 발생하는 노이즈를 제거하기 위한 다양한 노이즈 제거 알고리즘을 구현할 수 있다.
사용자 입력부(230)는 사용자로부터 입력 동작을 받아들여, 관리자 단말(200)의 동작 제어를 위한 입력 데이터를 발생시킨다.
센싱부(240)는 관리자 단말(200)의 위치, 사용자 접촉 유무, 관리자 단말(200)의 방위, 관리자 단말(200)의 가속/감속 등과 같이, 관리자 단말(200)의 현 상태를 감지하여 관리자 단말(200)의 동작을 제어하기 위한 센싱 신호를 발생시킨다.
인터페이스부(270)는 관리자 단말(200)에 연결되는 모든 외부기기와의 인터페이스 역할을 한다. 예를 들어, 유/무선 헤드셋 포트, 외부 충전기 포트, 유/무선 데이터 포트, 메모리 카드(memory card) 포트, 식별 모듈이 구비된 장치를 연결하는 포트, 오디오 I/O(Input/Output) 포트, 비디오 I/O(Input/Output) 포트, 이어폰 포트 등이 포함될 수 있다.
출력부(250)는 오디오 신호 또는 비디오 신호 또는 알람(alarm) 신호의 출력을 위한 것으로, 이에는 디스플레이부(251)와 음향 출력 모듈(252), 알람부(253) 등이 포함될 수 있다.
디스플레이부(251)는 관리자 단말(200)에서 처리되는 정보를 표시 출력한다. 예를 들어, 단말기가 통화 모드인 경우, 통화와 관련된 UI(User Interface) 또는 GUI(Graphic User Interface)를 표시한다. 그리고, 관리자 단말(200)가 화상 통화 모드 또는 촬영 모드인 경우, 촬영 또는/및 수신된 영상 또는 UI, GUI를 표시한다.
한편, 전술한 바와 같이, 디스플레이부(251)와 터치 패드가 상호 레이어 구조를 이루어 터치 스크린으로 구성되는 경우, 디스플레이부(251)는 출력 장치 이외에 입력 장치로도 사용될 수 있다. 디스플레이부(251)는 음극선관(Cathode Ray Tube: CRT), 디지털 광원 처리(Digital Light Processing: DLP) 패널, 플라즈마 디스플레이 패널(Plasma Display Penal), 액정 디스플레이(Liquid Crystal Display: LCD) 패널, 전기 발광(Electro Luminescence: EL) 패널, 전기영동 디스플레이(Electrophoretic Display: EPD) 패널, 전기변색 디스플레이(Electrochromic Display: ECD) 패널, 발광 다이오드(Light Emitting Diode: LED) 패널 또는 유기 발광 다이오드(Organic Light Emitting Diode: OLED) 패널 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display) 등으로 마련될 수 있으나, 이에 한정되지는 않는다. 그리고, 관리자 단말(200)의 구현 형태에 따라, 디스플레이부(251)는 2개 이상 존재할 수도 있다. 예를 들어, 관리자 단말(200)에 외부 디스플레이부(미도시)와 내부 디스플레이부(미도시)가 동시에 구비될 수 있다.
음향 출력 모듈(252)은 호 신호 수신, 통화모드 또는 녹음 모드, 음성인식 모드, 방송수신 모드 등에서, 무선 통신부(210)로부터 수신되거나 메모리(260)에 저장된 오디오 데이터를 출력한다. 또한, 음향 출력 모듈(252)은 관리자 단말(200)에서 수행되는 기능(예를 들어, 호신호 수신음, 메시지 수신음 등)과 관련된 음향 신호를 출력한다. 이러한 음향 출력 모듈(252)에는 스피커(speaker), 버저(buzzer) 등이 포함될 수 있다.
알람부(253)는 관리자 단말(200)의 이벤트 발생을 알리기 위한 신호를 출력한다. 단말기에서 발생되는 이벤트의 예로는 호 신호 수신, 메시지 수신, 키 신호 입력 등이 있다.
메모리(260)는 제어부(280)의 처리 및 제어를 위한 프로그램이 저장될 수도 있고, 입/출력되는 데이터들(예를 들어, 폰북, 메시지, 정지영상, 동영상 등)의 임시 저장을 위한 기능을 수행할 수도 있다.
메모리(260)는 캐쉬, ROM(Read Only Memory), PROM(Programmable ROM), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 및 플래쉬 메모리(Flash memory)와 같은 비휘발성 메모리 소자 또는 RAM(Random Access Memory)과 같은 휘발성 메모리 소자 또는 하드디스크 드라이브(HDD, Hard Disk Drive), CD-ROM과 같은 저장 매체 중 적어도 하나로 구현될 수 있으나 이에 한정되지는 않는다. 메모리(260)는 제어부(280)와 관련하여 전술한 프로세서와 별개의 칩으로 구현된 메모리일 수 있고, 프로세서와 단일 칩으로 구현될 수도 있다.
제어부(280)는 통상적으로 단말기의 전반적인 동작을 제어한다. 예를 들어, 음성 통화, 데이터 통신, 화상 통화 등을 위한 관련된 제어 및 처리를 수행한다. 또한, 제어부(280)는 멀티 미디어 재생을 위한 멀티미디어 모듈(281)을 구비할 수도 있다. 멀티미디어 모듈(281)은 제어부(280) 내에 구현될 수도 있고, 제어부(280)와 별도로 구현될 수도 있다.
제어부(280)는 관리자로부터 대상 IP, 대상 키워드, 대상 도메인을 입력받아, 입력된 대상 IP를 보안 관제 서버(100)에 전송하고, 보안 관제 서버(100)로부터 보안 리포트를 수신하여, 수신된 보안 리포트를 관리자에게 출력한다.
제어부(280)는 관리자로부터 대상 IP를 입력받아, 입력된 대상 IP의 네트워크 트래픽에 기반하여 DB 서버 여부를 식별하고 보안 관제가 보안 관제 서버(100)에 수행하도록 제어하, 보안 관제 서버(100)로부터 보안 관제 레벨을 조정하거나 알림을 전송하거나 보안 리포트를 관리자에게 출력한다.
전원 공급부(290)는 제어부(280)의 제어에 의해 외부의 전원, 내부의 전원을 인가받아 각 구성요소들의 동작에 필요한 전원을 공급한다.
상술한 도 3 내지 도 4및 도 6에 도시된 동작 순서는 해당 도면에서 도시된 순서와 다르게 처리될 수도 있다. 예를 들어, 일부 동작들은 동시에 수행될 수도 있다.
이상 상술한 본 개시의 다양한 실시예들에 따르면, 네트워크 트래픽에 기초하여 중요한 보안 관제의 대상인 DB 서버 여부를 쉽고 빠르게 식별할 수 있어, 효율적인 보안 관제를 수행할 수 있을 뿐만 아니라 포트 스캐닝 결과 수집된 오픈된 포트가 잘 알려진 포트가 아닌 경우에도 해당 IP에 대응되는 서버가 DB 서버 여부를 정확하게 식별할 수 있어, 보안 관제의 효율을 높일 수 있으며, 다양한 보안 위협에 안정적으로 대응할 수 있다.
본 개시의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 개시가 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 개시의 실시예를 설명하였지만, 본 개시가 속하는 기술분야의 통상의 기술자는 본 개시가 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
10 : 보안 관제 시스템 100 : 보안 관제 서버
110 : 제어부 120 : IP 스캔부
130 : 도메인 스캔부 140 : IP 위험도 판단부
150 : 보안 리포트 생성부 160 : 디스플레이부
170 : 인터페이스부 180 데이터베이스부
190 : 통신부 200 : 관리자 단말
300 : 웹서버 310 : 보안 취약 정보 공유 서버
320 : 악성 코드 정보 공유 서버 330 : 도메인 관리 서버
110 : 제어부 120 : IP 스캔부
130 : 도메인 스캔부 140 : IP 위험도 판단부
150 : 보안 리포트 생성부 160 : 디스플레이부
170 : 인터페이스부 180 데이터베이스부
190 : 통신부 200 : 관리자 단말
300 : 웹서버 310 : 보안 취약 정보 공유 서버
320 : 악성 코드 정보 공유 서버 330 : 도메인 관리 서버
Claims (10)
- 보안 관제 서버에 의해 수행되는 네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 방법에 있어서,
보안 관제 대상의 IP 주소인 대상 IP를 선정하는 단계;
상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하는 단계;
상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단할 때, 오픈된 포트 정보에 잘 알려진 포트 넘버가 포함되었는지 판단하는 단계;
상기 제1 판단 결과 선정된 IP가 DB 서버인지 식별 불가능하면, 추가 포트 정보를 추출하는 단계;
상기 선정된 IP가 DB 서버인지 제2 판단할 때, 데이터베이스에 미리 저장된 배너 정보 데이터를 추출하고, 상기 추가 포트 정보에 포함된 배너 정보가 상기 추출된 데이터베이스의 미리 저장된 배너 정보 데이터와 일치하는 배너 정보가 있는지 판단하는 단계;
상기 제2 판단 결과에 따라 보안 관제를 수행할 때, 상기 추가 포트 정보에 포함된 배너 정보가 상기 추출된 데이터베이스의 미리 저장된 배너 정보 데이터와 일치하는 배너 정보가 있으면, 해당 배너 정보에 맵핑된 서버가 DB 서버인지 판단하는 단계; 및
상기 판단 결과, 상기 해당 배너 정보에 맵핑된 서버가 DB 서버이면, 보안 관제 레벨을 높이거나 보안 관제 알림을 전송하는 단계; 를 포함하되,
상기 선정된 대상 IP에 기초하여 IP 주소에 대한 정보, 포트의 배너 정보, 어플리케이션 정보, 보안 취약 정보, 악성 코드, 유사 도메인을 포함하는 IP 모니터링 정보(IP monitoring information)를 생성하고,
상기 IP 모니터링 정보에 기초하여, IP 위험도를 판단할 때, 머신 러닝 기법을 이용하여 IP 위험도를 판단하고, 상기 IP 위험도가 미리 설정된 임계치보다 높은 경우 해당 IP에 대하여 스코어링 알고리즘으로 재판단하고,
상기 머신 러닝 기법에 따른 IP 위험도의 판단 결과와 상기 스코어링 알고리즘으로 판단한 IP 위험도의 판단 결과가 다른 경우, 상기 스코어링 알고리즘으로 판단한 IP 위험도의 판단 결과를 해당 IP의 위험도로 최종 결정하고,
상기 추가 포트 정보는, 포트 넘버 정보가 아니고, 상기 대상 IP의 포트 스캐닝을 위한 패킷의 배너 정보를 포함하는 응답값인 것을 특징으로 하는, 보안 관제 방법. - 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 외부 서버와 데이터 통신을 수행하는 통신부;
데이터를 저장하는 데이터베이스부; 및
보안 관제 대상의 IP 주소인 대상 IP를 선정하여, 상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하고, 상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단
보안 관제 서버에 의해 수행되는 네트워크 트래픽 기반 DB 서버 식별을 통한 보안 관제 방법에 있어서,
보안 관제 대상의 IP 주소인 대상 IP를 선정하는 단계;
상기 대상 IP의 포트를 스캔하여, 오픈된 포트 정보 수집하는 단계;
상기 수집된 오픈 포트 정보에 기초하여 상기 선정된 IP가 DB 서버인지 제1 판단할 때, 오픈된 포트 정보에 잘 알려진 포트 넘버가 포함되었는지 판단하고,
상기 제1 판단 결과 선정된 IP가 DB 서버인지 식별 불가능하면, 추가 포트 정보를 추출하고, 상기 선정된 IP가 DB 서버인지 제2 판단할 때, 데이터베이스에 미리 저장된 배너 정보 데이터를 추출하고, 상기 추가 포트 정보에 포함된 배너 정보가 상기 추출된 데이터베이스의 미리 저장된 배너 정보 데이터와 일치하는 배너 정보가 있는지 판단하고,
상기 제2 판단 결과에 따라 보안 관제를 수행할 때, 상기 추가 포트 정보에 포함된 배너 정보가 상기 추출된 데이터베이스의 미리 저장된 배너 정보 데이터와 일치하는 배너 정보가 있으면, 해당 배너 정보에 맵핑된 서버가 DB 서버인지 판단하고,
상기 판단 결과, 상기 해당 배너 정보에 맵핑된 서버가 DB 서버이면, 보안 관제 레벨을 높이거나 보안 관제 알림을 전송하고
상기 선정된 대상 IP에 기초하여 IP 주소에 대한 정보, 포트의 배너 정보, 어플리케이션 정보, 보안 취약 정보, 악성 코드, 유사 도메인을 포함하는 IP 모니터링 정보(IP monitoring information)를 생성하고,
상기 IP 모니터링 정보에 기초하여, IP 위험도를 판단할 때, 머신 러닝 기법을 이용하여 IP 위험도를 판단하고, 상기 IP 위험도가 미리 설정된 임계치보다 높은 경우 해당 IP에 대하여 스코어링 알고리즘으로 재판단하고,
상기 머신 러닝 기법에 따른 IP 위험도의 판단 결과와 상기 스코어링 알고리즘으로 판단한 IP 위험도의 판단 결과가 다른 경우, 상기 스코어링 알고리즘으로 판단한 IP 위험도의 판단 결과를 해당 IP의 위험도로 최종 결정하는 제어부를 포함하되,
상기 추가 포트 정보는, 포트 넘버 정보가 아니고, 상기 대상 IP의 포트 스캐닝을 위한 패킷의 배너 정보를 포함하는 응답값인 것을 특징으로 하는, 보안 관제 서버. - 하드웨어와 결합되어 제1항의 방법을 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220025796A KR102636138B1 (ko) | 2022-02-28 | 2022-02-28 | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220025796A KR102636138B1 (ko) | 2022-02-28 | 2022-02-28 | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230128665A KR20230128665A (ko) | 2023-09-05 |
| KR102636138B1 true KR102636138B1 (ko) | 2024-03-12 |
Family
ID=87973476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220025796A KR102636138B1 (ko) | 2022-02-28 | 2022-02-28 | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102636138B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140280907A1 (en) * | 2013-03-15 | 2014-09-18 | Extrahop Networks, Inc. | Automated passive discovery of applications |
| KR102309557B1 (ko) * | 2020-01-15 | 2021-10-06 | 망고클라우드 주식회사 | 사스 기반 사물인터넷 단말기 취약점 점검 시스템 및 방법 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101419435B1 (ko) | 2012-12-04 | 2014-07-14 | 희성금속 주식회사 | 전기접점소재 신뢰성 평가 장치 |
| WO2018213778A1 (en) * | 2017-05-18 | 2018-11-22 | Qadium, Inc. | Correlation-driven threat assessment and remediation |
-
2022
- 2022-02-28 KR KR1020220025796A patent/KR102636138B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140280907A1 (en) * | 2013-03-15 | 2014-09-18 | Extrahop Networks, Inc. | Automated passive discovery of applications |
| KR102309557B1 (ko) * | 2020-01-15 | 2021-10-06 | 망고클라우드 주식회사 | 사스 기반 사물인터넷 단말기 취약점 점검 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230128665A (ko) | 2023-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11621975B2 (en) | Prioritizing vulnerability scan results | |
| US11968225B2 (en) | Attack path and graph creation based on user and system profiling | |
| US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
| US10547642B2 (en) | Security via adaptive threat modeling | |
| US9185127B2 (en) | Network protection service | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US9055090B2 (en) | Network based device security and controls | |
| US10432658B2 (en) | Systems and methods for identifying and performing an action in response to identified malicious network traffic | |
| US20140380478A1 (en) | User centric fraud detection | |
| US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
| US10129276B1 (en) | Methods and apparatus for identifying suspicious domains using common user clustering | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| Karim et al. | Mobile botnet attacks: a thematic taxonomy | |
| CN113408948A (zh) | 一种网络资产管理方法、装置、设备和介质 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| Pell et al. | Towards dynamic threat modelling in 5G core networks based on MITRE ATT&CK | |
| Chanti et al. | A literature review on classification of phishing attacks | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| US11811815B2 (en) | IP-based security control method and system thereof | |
| EP4178159A1 (en) | Privacy preserving malicious network activity detection and mitigation | |
| US10949821B1 (en) | Forensic assisting and tracing for automated teller machines | |
| KR102636138B1 (ko) | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 | |
| US20230188564A1 (en) | Detecting and Protecting Against Employee Targeted Phishing Attacks | |
| US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
| CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |