KR102658384B1 - 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치 - Google Patents

사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치 Download PDF

Info

Publication number
KR102658384B1
KR102658384B1 KR1020210134956A KR20210134956A KR102658384B1 KR 102658384 B1 KR102658384 B1 KR 102658384B1 KR 1020210134956 A KR1020210134956 A KR 1020210134956A KR 20210134956 A KR20210134956 A KR 20210134956A KR 102658384 B1 KR102658384 B1 KR 102658384B1
Authority
KR
South Korea
Prior art keywords
user terminal
log
server
cyber attack
security
Prior art date
Application number
KR1020210134956A
Other languages
English (en)
Other versions
KR20230051951A (ko
Inventor
이선우
이주형
장인석
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020210134956A priority Critical patent/KR102658384B1/ko
Publication of KR20230051951A publication Critical patent/KR20230051951A/ko
Application granted granted Critical
Publication of KR102658384B1 publication Critical patent/KR102658384B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치에 관한 것이다. 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 방법은, (a) 보안 서버로부터 수신된 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷에 따라 상기 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버를 통해 상기 사용자 단말에게 로그 전송 요청을 송신하는 단계; (b) 상기 로그 전송 요청의 송신에 응답하여, 상기 모바일 서버를 통해 상기 사용자 단말로부터 상기 사용자 단말에 대한 사용자 단말 로그를 수신하는 단계; 및 (c) 상기 사용자 단말 로그를 이용하여 상기 사이버 공격이 발생하였는지 여부를 재판단하는 단계;를 포함할 수 있다.

Description

사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치{A method and apparatus for In-house mobile security agent cyber attack response}
본 발명은 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치에 관한 것으로, 더욱 상세하게는 사내업무에 사용되는 사용자 단말이 사이버 공격을 받았을 때 대응하는 방법으로 모바일 해킹 피해 상황 탐지 방법과 대응 방법 및 장치에 관한 것이다.
사내용 모바일 에이전트는 에이전트 VPN 기능, 인증기능, 삭제방지 처리, H/W 및 S/W 공장초기화 방지, 보안카메라 기능의 보안이 적용되어있으나 개발 당시 예상하지 못한 취약점이 발생할 수 있다. 또한, 모바일 에이전트가 아닌 모바일 자체가 사이버공격에 해킹당했을 시 공격 탐지 방법이 미비하다는 문제점이 있다.
또한, 종래의 경우, 사이버공격 발생 시 대응 체계가 미비하며, 사이버 공격 발생 시 공격이 어떤 경로로 들어왔는지, 어떤 자산이 피해를 입었는지, 어떤 데이터가 유출되었는지 확인하는 작업이 중요하나 모바일 환경에선 이를 판단하기 어렵다는 문제점이 발생한다.
[특허문헌 1] 한국등록특허 제10-1388090호
본 발명은 전술한 문제점을 해결하기 위하여 창출된 것으로, 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치를 제공하는 것을 그 목적으로 한다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.
상기한 목적들을 달성하기 위하여, 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 방법은, (a) 보안 서버로부터 수신된 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷에 따라 상기 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버를 통해 상기 사용자 단말에게 로그 전송 요청을 송신하는 단계; (b) 상기 로그 전송 요청의 송신에 응답하여, 상기 모바일 서버를 통해 상기 사용자 단말로부터 상기 사용자 단말에 대한 사용자 단말 로그를 수신하는 단계; 및 (c) 상기 사용자 단말 로그를 이용하여 상기 사이버 공격이 발생하였는지 여부를 재판단하는 단계;를 포함할 수 있다.
실시예에서, 상기 사내용 모바일 보안 에이전트 사이버공격 대응 방법은, 상기 (a) 단계 이전에, 상기 보안 서버로부터 상기 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 수신하는 단계;를 더 포함할 수 있다.
실시예에서, 상기 사내용 모바일 보안 에이전트 사이버공격 대응 방법은, 상기 (c) 단계 이후에, 상기 사이버 공격이 발생한 것으로 재판단하는 경우, 상기 모바일 서버를 통해 상기 사용자 단말에게 보안 조치 요청을 송신하는 단계; 및 상기 보안 조치 요청에 따라 상기 사용자 단말에 의해 보안 조치가 수행되는 경우, 상기 모바일 서버를 통해 상시 사용자 단말로부터 보안 조치 완료 응답을 수신하는 단계;를 더 포함할 수 있다.
실시예에서, 상기 (a) 단계는, 상기 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드 중 적어도 하나를 이용하여 상기 사이버 공격이 발생한 것으로 판단하는 단계;를 포함할 수 있다.
실시예에서, 상기 사용자 단말 로그는, 상기 사용자 단말에 대한 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그 중 적어도 하나를 포함할 수 있다.
실시예에서, 사내용 모바일 보안 에이전트 사이버공격 대응 장치는, 보안 서버로부터 수신된 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷에 따라 상기 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버를 통해 상기 사용자 단말에게 로그 전송 요청을 송신하고, 상기 로그 전송 요청의 송신에 응답하여, 상기 모바일 서버를 통해 상기 사용자 단말로부터 상기 사용자 단말에 대한 사용자 단말 로그를 수신하는 통신부; 및 상기 사용자 단말 로그를 이용하여 상기 사이버 공격이 발생하였는지 여부를 재판단하는 제어부;를 포함할 수 있다.
실시예에서, 상기 통신부는, 상기 보안 서버로부터 상기 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 수신할 수 있다.
실시예에서, 상기 통신부는, 상기 사이버 공격이 발생한 것으로 재판단하는 경우, 상기 모바일 서버를 통해 상기 사용자 단말에게 보안 조치 요청을 송신하고, 상기 보안 조치 요청에 따라 상기 사용자 단말에 의해 보안 조치가 수행되는 경우, 상기 모바일 서버를 통해 상시 사용자 단말로부터 보안 조치 완료 응답을 수신할 수 있다.
실시예에서, 상기 제어부는, 상기 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드 중 적어도 하나를 이용하여 상기 사이버 공격이 발생한 것으로 판단할 수 있다.
실시예에서, 상기 사용자 단말 로그는, 상기 사용자 단말에 대한 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그 중 적어도 하나를 포함할 수 있다.
상기한 목적들을 달성하기 위한 구체적인 사항들은 첨부된 도면과 함께 상세하게 후술될 실시예들을 참조하면 명확해질 것이다.
그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라, 서로 다른 다양한 형태로 구성될 수 있으며, 본 발명의 개시가 완전하도록 하고 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자(이하, "통상의 기술자")에게 발명의 범주를 완전하게 알려주기 위해서 제공되는 것이다.
본 발명의 일 실시예에 의하면, 사내용 모바일 환경 보안 강화를 통해 사내용 모바일 해킹 시도가 발생했을 때 탐지가 가능하며, 사이버 공격 발생 및 피해 정도를 확인하여 기업 정보 보안 강화를 달성할 수 있다.
또한, 본 발명의 일 실시예에 의하면, 사이버공격 발생 시 대응 체계를 확보하여 사이버공격 발생 시 유출된 데이터와 공격자 특정이 가능하며, 유출 데이터 확인으로 피해 최소화할 수 있다.
본 발명의 효과들은 상술된 효과들로 제한되지 않으며, 본 발명의 기술적 특징들에 의하여 기대되는 잠정적인 효과들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 신호 흐름을 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 방법을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 장치의 기능적 구성을 도시한 도면이다.
본 발명은 다양한 변경을 가할 수 있고, 여러 가지 실시예들을 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세히 설명하고자 한다.
청구범위에 개시된 발명의 다양한 특징들은 도면 및 상세한 설명을 고려하여 더 잘 이해될 수 있을 것이다. 명세서에 개시된 장치, 방법, 제법 및 다양한 실시예들은 예시를 위해서 제공되는 것이다. 개시된 구조 및 기능상의 특징들은 통상의 기술자로 하여금 다양한 실시예들을 구체적으로 실시할 수 있도록 하기 위한 것이고, 발명의 범위를 제한하기 위한 것이 아니다. 개시된 용어 및 문장들은 개시된 발명의 다양한 특징들을 이해하기 쉽게 설명하기 위한 것이고, 발명의 범위를 제한하기 위한 것이 아니다.
본 발명을 설명함에 있어서, 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명을 생략한다.
이하, 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치를 설명한다.
도 1은 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 시스템을 도시한 도면이다.
도 1을 참고하면, 사이버 대응 시스템(100)은 사용자 단말(110), 모바일 서버(120), 보안 서버(130), 내부 업무 서버(140) 및 관제 서버(150)를 포함할 수 있다.
사용자 단말(110)은 회사 사내업무에 사용될 모바일 단말을 포함할 수 있다. 일 실시예에서, 사용자 단말(110)은 모바일 보안 에이전트 프로그램을 통해 회사 사내 업무 네트워크에 접속할 수 있다.
예를 들어, 사용자 단말(110)은 개인용 사용자 단말과 현장 업무용 사용자 단말 중 하나로 구분될 수 있다.
모바일 서버(120)는 사내 모바일 접속 서버를 포함할 수 있다.
보안 서버(130)는 사용자 단말(110)과 내부 업무 서버(140) 간 내부 통신에 대한 사이버 공격이 발생하였는지 여부를 판단할 수 있다.
예를 들어, 보안 서버(130)는 DDoS 대응솔루션 서버 및 IPS 서버 중 적어도 하나를 포함할 수 있다. 이 경우, DDos 대응솔루션 서버는 사이버공격의 한 종류인 서비스 거부 공격(DDoS)를 탐지 및 대응을 수행할 수 있다. 또한, IPS 서버는 사이버공격들을 탐지하고 대응할 수 있다.
내부 업무 서버(140)는 전자결재, 회계, 메일 시스템 등 사내 업무를 처리하기 위한 서버를 포함할 수 있다. 일 실시예에서, 내부 업무 서버(140)는 사내 기밀 정보를 포함할 수 있다.
관제 서버(150)는 보안 서버(130)를 통해 을 사용해 사이버공격을 모니터링 하는 사이버 안전 관리를 수행할 수 있다.
일 실시예에서, 사용자 단말(110)은 앱 스토어를 이용하여 모바일 보안 에이전트(Agent)를 설치할 수 있다.
사용자 단말(110)은 모바일 보안 에이전트 접속 시, 모바일 서버(120)와 통신을 수행할 수 있다.
보안 서버(130)를 통해 사이버 공격 이벤트가 탐지되었을 시 보안 서버(130)는 관제 서버(150)에 사이버 공격 이벤트를 전송할 수 있다. 관제 서버(150)는 사이버 공격 이벤트가 공격인지 아닌지 여부를 판단할 수 있다.
일 실시예에서, 사이버 공격 이벤트는 사용자 단말(110)과 내부 업무 서버(140)의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 포함할 수 있다.
관제 서버(150)가 공격이라고 판단했을 경우 공격 확인 및 보안 조치를 위한 로그 전송 요청을 모바일 서버(120)를 통해 사용자 단말(110)에게 송신할 수 있다.
사용자 단말(110)은 모바일 서버(120)에게 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그를 송신할 수 있다.
모바일 서버(120)는 전달 받은 로그를 관제 서버(150)에 송신할 수 있다.
관제 서버(150)는 전달 받은 로그를 기준으로 공격 및 피해 발생 정도를 판단할 수 있다.
관제 서버(150)는 모바일 서버(120)를 통해 사용자 단말(110)에게 보안 조치 요청을 송신할 수 있다.
또한, 보안 조치 요청에 따라 사용자 단말(110)에 의해 보안 조치가 수행되는 경우, 관제 서버(150)는 모바일 서버(120)를 통해 사용자 단말(110)로부터 보안 조치 완료 응답을 수신할 수 있다.
도 2는 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 신호 흐름을 도시한 도면이다.
S201 단계에서, 사용자 단말(110)은 모바일 서버(120)에게 사용자 단말(110)의 내부 업무 서버(140)에 대한 접속 요청을 송신할 수 있다.
S202 단계에서, 모바일 서버(120)는 접속 요청에 응답하여, 사용자 단말(110)에게 내부 업무 서버(140)에 대한 접속 승인을 송신할 수 있다.
S203 단계에서, 사용자 단말(110)과 모바일 서버(120)는 접속 승인에 따라 내부 통신을 수행할 수 있다.
S204 단계에서, 보안 서버(130)는 사용자 단말(110)과 모바일 서버(120)의 내부 통신에 대한 사이버 공격이 발생하였는지 여부를 1차적으로 판단할 수 있다.
일 실시예에서, 보안 서버(130)는 사용자 단말(110)과 내부 업무 서버(140) 간 내부 통신의 단위시간당 허용 트래픽을 넘어설 때 사이버 공격 이벤트가 발생한 것으로 판단할 수 있다.
일 실시예에서, 보안 서버(130)는 시그니처 탐지 기반 네트워크 공격 트래픽 탐지 솔루션을 사용하여, 사용자 단말(110)과 모바일 서버(120)의 내부 통신에 대한 다수의 패킷 중 특정 시그니처(예: 패킷의 특정 데이터 패턴)와 일치하는 즉, 공격 이벤트 패킷이 수집되는 경우 사이버 공격 이벤트가 발생한 것으로 판단할 수 있다.
일 실시예에서, 공격 이벤트 패킷은 “공격 의심 트래픽” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
S205 단계에서, 보안 서버(130)는 내부 통신에 대한 사이버 공격이 발생하였다고 판단함에 따라, 관제 서버(150)에게 사용자 단말(110)과 내부 업무 서버(140)의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 송신할 수 있다.
S206 단계에서, 관제 서버(150)는 공격 이벤트 패킷을 이용하여 사용자 단말(110)과 모바일 서버(120)의 내부 통신에 대한 사이버 공격이 발생하였는지 여부를 2차적으로 판단할 수 있다.
관제 서버(150)는 공격 이벤트 패킷에 대한 오탐(false positive)이 아닌 정탐(True Positive)을 분류할 수 있다.
예를 들어, 관제 서버(150)는 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드 중 적어도 하나를 확인하여 공격 정탐 유무를 판단할 수 있다.
이 때, IP 정보는 블랙리스트(Blacklist) IP에 해당되는지 비교하기 위해 사용될 수 있다. 만약, 블랙리스트 IP로 판별되었을 시, 공격 의심 강도가 증가될 수 있다.
또한, 포트 정보는 기관 방화벽 보안정책의 해당 포트를 허용 여부에 따라 공격이 시도되었다고 추정하기 위해 이용될 수 있다.
또한, 페이로드는 공격 형태 및 공격 종류를 판단하기 위해 사용될 수 있다.
S207 단계에서, 관제 서버(150)는 내부 통신에 대한 사이버 공격이 발생하였다고 판단함에 따라, 모바일 서버(120)에게 사용자 단말(110)에 대한 로그 전송 요청을 송신할 수 있다. 예를 들어, 관제 서버(150)가 모바일 서버(120)에게 송신하는 로그 전송 요청은 “CMD-01” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
S208 단계에서, 모바일 서버(120)는 사용자 단말(110)에게 사용자 단말(110)에 대한 로그 전송 요청을 송신할 수 있다. 예를 들어, 모바일 서버(120)가 사용자 단말(110)에게 송신하는 로그 전송 요청은 “CMD-02” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
즉, 관제 서버(150)는 모바일 서버(120)를 통해 사용자 단말(110)에게 사용자 단말(110)에 대한 로그 전송 요청을 송신할 수 있다.
일 실시예에서, 사용자 단말(110)은 로그 전송 요청의 수신에 응답하여, 사용자 단말 로그를 수집할 수 있다.
일 실시예에서, 사용자 단말(110)은 커널 버퍼로부터 로그 메시지를 읽어오는 프로그램을 사용하여 사용자 단말 로그를 수집할 수 있다.
예를 들어, 사용자 단말 로그는 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그 중 적어도 하나를 포함할 수 있다.
예를 들어, 수집된 사용자 단말 로그의 파일은 txt 형식으로 구성될 수 있다.
S209 단계에서, 사용자 단말(110)은 로그 전송 요청의 수신에 응답하여, 모바일 서버(120)에게 사용자 단말(110)에 대한 사용자 단말 로그를 송신할 수 있다. 예를 들어, 사용자 단말(110)이 모바일 서버(120)에게 송신하는 사용자 단말 로그는 “CMD-03” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
S210 단계에서, 모바일 서버(120)는 사용자 단말 로그의 수신에 응답하여, 관제 서버(150)에게 사용자 단말(110)에 대한 사용자 단말 로그를 송신할 수 있다. 예를 들어, 모바일 서버(120)가 관제 서버(150)에게 송신하는 사용자 단말 로그는 “CMD-04” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
즉, 사용자 단말(110)은 모바일 서버(120)를 통해 관제 서버(150)에게 사용자 단말(110)에 대한 사용자 단말 로그를 송신할 수 있다.
S211 단계에서, 관제 서버(150)는 사용자 단말(110)에 대한 사용자 단말 로그를 이용하여 내부 통신에 대한 사이버 공격이 발생하였는지 여부를 3차적으로 판단할 수 있다. 즉, 관제 서버(150)는 사용자 단말(110)에 대한 사용자 단말 로그를 이용하여 내부 통신에 대한 사이버 공격이 발생하였는지 여부를 재판단할 수 있다.
본 발명에 따르면, 모바일 사이버 공격 관제와 공격 발생 시, 로그 수집 요청과 응답을 전산 상으로 처리할 수 있다.
관제 서버(150)는 사용자 단말(110)에 대한 사용자 단말 로그를 이용하여 공격 정탐 또는 오탐 여부를 판단할 수 있다.
S212 단계에서, 관제 서버(150)는 내부 통신에 대한 사이버 공격이 발생하였다고 재판단함에 따라, 모바일 서버(120)에게 사용자 단말(110)의 보안 조치 요청을 송신할 수 있다. 예를 들어, 관제 서버(150)가 모바일 서버(120)에게 송신하는 보안 조치 요청은 “CMD-05” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
S213 단계에서, 모바일 서버(120)는 보안 조치 요청의 수신에 응답하여, 사용자 단말(110)에게 사용자 단말(110)의 보안 조치 요청을 송신할 수 있다. 예를 들어, 모바일 서버(120)가 사용자 단말(110)에게 송신하는 보안 조치 요청은 “CMD-06” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
즉, 관제 서버(150)는 모바일 서버(120)를 통해 사용자 단말(110)에게 사용자 단말(110)의 보안 조치 요청을 송신할 수 있다.
S214 단계에서, 사용자 단말(110)은 보안 조치 요청에 따라 보안 조치를 수행할 수 있다.
일 실시예에서, 사용자 단말(110)은 내부 통신을 위한 사용자 패스워드 변경을 수행할 수 있다. 일 실시예에서, 사용자 단말(110)은 사용자 단말(110)의 시스템 포맷을 수행할 수 있다.
S215 단계에서, 사용자 단말(110)은 모바일 서버(120)에게 사용자 단말(110)의 보안 조치 응답을 송신할 수 있다. 예를 들어, 사용자 단말(110)이 모바일 서버(120)에게 송신하는 보안 조치 응답은 “CMD-07” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
S216 단계에서, 모바일 서버(120)는 관제 서버(150)에게 사용자 단말(110)의 보안 조치 완료 응답을 송신할 수 있다. 예를 들어, 모바일 서버(120)가 관제 서버(150)에게 송신하는 보안 조치 응답은 “CMD-08” 또는 이와 동등한 기술적 의미를 갖는 용어로 지칭될 수 있다.
일 실시예에서, CMD-01 내지 CMD-08은 16 진수의 데이터 형식으로 구성될 수 있다.
즉, 사용자 단말(110)은 모바일 서버(120)를 통해 관제 서버(150)에게 보안 조치 완료 응답을 송신할 수 있다.
도 3은 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 방법을 도시한 도면이다.
도 3을 참고하면, S301 단계는, 보안 서버(130)로부터 수신된 사용자 단말(110)과 내부 업무 서버(140)의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷에 따라 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버(120)를 통해 사용자 단말(110)에게 로그 전송 요청을 송신하는 단계이다.
예를 들어, 사용자 단말(110)은 개인용 사용자 단말과 현장 업무용 사용자 단말 중 하나로 구분될 수 있다. 일 실시예에서, 개인용 사용자 단말과 현장 업무용 사용자 단말은 내부 업무 서버(140)가 해당 단말과 통신 시 각 단말의 식별자를 통해 구분될 수 있다.
일 실시예에서, S301 단계 이전에, 보안 서버(130)로부터 사용자 단말(110)과 내부 업무 서버(140)의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 수신할 수 있다.
일 실시예에서, 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드 중 적어도 하나를 이용하여 사이버 공격이 발생한 것으로 판단할 수 있다.
S303 단계는, 로그 전송 요청의 송신에 응답하여, 모바일 서버(120)를 통해 사용자 단말(110)로부터 사용자 단말(110)에 대한 사용자 단말 로그를 수신하는 단계이다.
일 실시예에서, 사용자 단말 로그는, 사용자 단말(110)에 대한 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그 중 적어도 하나를 포함할 수 있다.
또한, 사용자 단말 로그는, 사용자 단말(110)에 대한 웹로그, 네트워크 방화벽 로그 및 PC 로그 중 적어도 하나를 포함할 수 있다.
S305 단계는, 사용자 단말 로그를 이용하여 사이버 공격이 발생하였는지 여부를 재판단하는 단계이다.
일 실시예에서, S305 단계 이후에, 사이버 공격이 발생한 것으로 재판단하는 경우, 모바일 서버(120)를 통해 사용자 단말(110)에게 보안 조치 요청을 송신하고, 보안 조치 요청에 따라 사용자 단말(110)에 의해 보안 조치가 수행되는 경우, 모바일 서버(120)를 통해 사용자 단말(110)로부터 보안 조치 완료 응답을 수신할 수 있다.
일 실시예에서, 사용자의 사용자 단말(110)이 개인용 사용자 단말인 경우, 사용자 단말(110)을 통해 접속된, 즉, 로그인된 사용자 계정 정보에 포함된 사용자의 직책과 동일한 직책을 갖는 다수의 다른 사용자의 사용자 계정 정보를 결정할 수 있다.
사용자 단말(110)의 업무망 페이지 접속 로그와 업무망 데이터 다운로드 로그와 상기 결정된 사용자 계정 정보에 기반하여 다수의 다른 사용자 각각의 다른 사용자 단말들에 의한 내부 업무 서버(140)와 통신 시의 업무망 페이지 접속 로그와 업무망 다운로드 로그와 비교하여 유사도 점수를 산출할 수 있다.
즉, 사용자 단말(110)이 다른 사용자 단말과 접속한 업무망 페이지와 다운로드 받은 파일이 얼마나 유사한지를 판단할 수 있다.
상기 유사도 점수가 임계값 이하인 경우, 사이버 공격이 발생한 것으로 재판단하며, 사용자 단말(110)을 통해 접속된 사용자 계정은 개인용 사용자 단말을 통해 내부 업무 서버(140)에 접속할 수 없고 현장 업무용 사용자 단말을 통해서만 내부 업무 서버(140)에 접속할 수 있다는 명령을 사용자 단말(110) 및 내부 업무 서버(140)에 송신할 수 있다.
즉, 내부 업무 서버(140)에 접속하여 업무망 페이지를 접속하여 데이터를 다운로드하는 것을 개인용 사용자 단말을 통해 수행할 수 없고 현장 업무용 사용자 단말을 통해서만 사용할 수 있도록 하여 보안 강화를 달성할 수 있다.
일 실시예에서, 상기 유사도 점수가 임계값 이하인 경우, 업무망 다운로드 로그에 대응하는 데이터 패킷을 보안 서버(130)에 송신하여, 보안 서버(130)가 사이버 공격이 발생하였는지 여부를 1차적으로 판단함에 있어 상기 데이터 패킷을 특정 시그니처에 추가하도록 할 수 있다.
도 4는 본 발명의 일 실시예에 따른 사내용 모바일 보안 에이전트 사이버공격 대응 장치(400)의 기능적 구성을 도시한 도면이다. 일 실시예에서, 사이버공격 대응 장치(400)는 도 1의 관제 서버(150)를 포함할 수 있다.
도 4를 참고하면, 사이버공격 대응 장치(400)는 통신부(410), 제어부(420) 및 저장부(430)를 포함할 수 있다.
통신부(410)는 보안 서버(130)로부터 수신된 사용자 단말(110)과 내부 업무 서버(140)의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷에 따라 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버(120)를 통해 사용자 단말(110)에게 로드 전송 요청을 송신할 수 있다.
일 실시예에서, 통신부(410)는 로그 전송 요청의 송신에 응답하여, 모바일 서버(120)를 통해 사용자 단말(110)로부터 사용자 단말(110)에 대한 사용자 단말 로그를 수신할 수 있다.
일 실시예에서, 통신부(410)는 유선 통신 모듈 및 무선 통신 모듈 중 적어도 하나를 포함할 수 있다. 통신부(410)의 전부 또는 일부는 '송신부', '수신부' 또는 '송수신부(transceiver)'로 지칭될 수 있다.
제어부(420)는 사용자 단말 로그를 이용하여 사이버 공격이 발생하였는지 여부를 재판단할 수 있다.
일 실시예에서, 제어부(420)는 적어도 하나의 프로세서 또는 마이크로(micro) 프로세서를 포함하거나, 또는, 프로세서의 일부일 수 있다. 또한, 제어부(420)는 CP(communication processor)라 지칭될 수 있다. 제어부(420)는 본 발명의 다양한 실시예에 따른 사이버공격 대응 장치(400)의 동작을 제어할 수 있다.
저장부(430)는 사용자 단말(110)에 대한 사용자 단말 로그를 저장할 수 있다.
일 실시예에서, 저장부(430)는 휘발성 메모리, 비휘발성 메모리 또는 휘발성 메모리와 비휘발성 메모리의 조합으로 구성될 수 있다. 그리고, 저장부(430)는 제어부(420)의 요청에 따라 저장된 데이터를 제공할 수 있다.
도 4를 참고하면, 사이버공격 대응 장치(400)는 통신부(410), 제어부(420) 및 저장부(430)를 포함할 수 있다. 본 발명의 다양한 실시 예들에서 사이버공격 대응 장치(400)는 도 4에 설명된 구성들이 필수적인 것은 아니어서, 도 4에 설명된 구성들보다 많은 구성들을 가지거나, 또는 그보다 적은 구성들을 가지는 것으로 구현될 수 있다.
이상의 설명은 본 발명의 기술적 사상을 예시적으로 설명한 것에 불과한 것으로, 통상의 기술자라면 본 발명의 본질적인 특성이 벗어나지 않는 범위에서 다양한 변경 및 수정이 가능할 것이다.
본 명세서에 개시된 다양한 실시예들은 순서에 관계없이 수행될 수 있으며, 동시에 또는 별도로 수행될 수 있다.
일 실시예에서, 본 명세서에서 설명되는 각 도면에서 적어도 하나의 단계가 생략되거나 추가될 수 있고, 역순으로 수행될 수도 있으며, 동시에 수행될 수도 있다.
본 명세서에 개시된 실시예들은 본 발명의 기술적 사상을 한정하기 위한 것이 아니라, 설명하기 위한 것이고, 이러한 실시예들에 의하여 본 발명의 범위가 한정되는 것은 아니다.
본 발명의 보호범위는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 이해되어야 한다.
100: 사이버 대응 시스템
110: 사용자 단말
120: 모바일 서버
130: 보안 서버
140: 내부 업무 서버
150: 관제 서버
400: 사이버공격 대응 장치
410: 통신부
420: 제어부
430: 저장부

Claims (10)

  1. 보안 서버로부터 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 수신하는 단계;
    상기 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드에 따라 상기 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버를 통해 상기 사용자 단말에게 로그 전송 요청을 송신하는 단계;
    상기 로그 전송 요청의 송신에 응답하여, 상기 모바일 서버를 통해 상기 사용자 단말로부터 상기 사용자 단말에 대한 사용자 단말 로그를 수신하는 단계; 및
    상기 사용자 단말 로그에 포함된 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그를 이용하여 상기 사이버 공격이 발생하였는지 여부를 재판단하는 단계;를 포함하되,
    상기 재판단하는 단계는, 상기 사용자 단말이 개인용 사용자 단말인 경우 상기 개인용 사용자 단말을 통해 접속된 제1 사용자 계정 정보에 포함된 사용자의 직책과 동일한 직책을 갖는 다른 사용자 단말에 대응하는 제2 사용자 계정 정보를 결정하고, 상기 제1 및 제2 사용자 계정 정보의 상기 업무망 페이지 접속 로그, 상기 업무망 데이터 다운로드 로그를 비교하여 상기 개인용 사용자 단말이 다운로드 받은 파일과 상기 다른 사용자 단말이 다운로드 받은 파일 간의 유사도 점수를 산출하고, 상기 유사도 점수가 임계값 이하이면 상기 사이버 공격이 발생한 것으로 재판단하여 상기 개인용 사용자 단말을 통한 접속을 차단하는 보안 조치 요청을 상기 개인용 사용자 단말에 송신하는 단계를 포함하는
    사내용 모바일 보안 에이전트 사이버공격 대응 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안 조치 요청에 따라 상기 사용자 단말에 의해 보안 조치가 수행되는 경우, 상기 모바일 서버를 통해 상기 사용자 단말로부터 보안 조치 완료 응답을 수신하는 단계;
    를 더 포함하는,
    사내용 모바일 보안 에이전트 사이버공격 대응 방법.
  4. 삭제
  5. 삭제
  6. 보안 서버로부터 사용자 단말과 내부 업무 서버의 통신에 대한 사이버 공격에 해당하는 공격 이벤트 패킷을 수신하고,
    상기 공격 이벤트 패킷의 IP(Internet Protocol) 정보, 포트(port) 정보 및 페이로드에 따라 상기 사이버 공격이 발생된 것으로 판단하는 경우, 모바일 서버를 통해 상기 사용자 단말에게 로그 전송 요청을 송신하고,
    상기 로그 전송 요청의 송신에 응답하여, 상기 모바일 서버를 통해 상기 사용자 단말로부터 상기 사용자 단말에 대한 사용자 단말 로그를 수신하는 통신부; 및
    상기 사용자 단말 로그에 포함된 원격 접속 로그, 업무망 페이지 접속 로그, 업무망 데이터 다운로드 로그를 이용하여 상기 사이버 공격이 발생하였는지 여부를 재판단하는 제어부;를 포함하되,
    상기 제어부는 상기 사용자 단말이 개인용 사용자 단말인 경우 상기 개인용 사용자 단말을 통해 접속된 제1 사용자 계정 정보에 포함된 사용자의 직책과 동일한 직책을 갖는 다른 사용자 단말에 대응하는 제2 사용자 계정 정보를 결정하고, 상기 제1 및 제2 사용자 계정 정보의 상기 업무망 페이지 접속 로그, 상기 업무망 데이터 다운로드 로그를 비교하여 상기 개인용 사용자 단말이 다운로드 받은 파일과 상기 다른 사용자 단말이 다운로드 받은 파일 간의 유사도 점수를 산출하고, 상기 유사도 점수가 임계값 이하이면 상기 사이버 공격이 발생한 것으로 재판단하고,
    상기 통신부는 상기 사이버 공격이 발생한 것으로 재판단된 경우 상기 개인용 사용자 단말을 통한 접속을 차단하는 보안 조치 요청을 상기 개인용 사용자 단말에 송신하는,
    사내용 모바일 보안 에이전트 사이버공격 대응 장치.
  7. 삭제
  8. 제6항에 있어서,
    상기 통신부는,
    상기 보안 조치 요청에 따라 상기 사용자 단말에 의해 보안 조치가 수행되는 경우, 상기 모바일 서버를 통해 상기 사용자 단말로부터 보안 조치 완료 응답을 수신하는,
    사내용 모바일 보안 에이전트 사이버공격 대응 장치.
  9. 삭제
  10. 삭제
KR1020210134956A 2021-10-12 2021-10-12 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치 KR102658384B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210134956A KR102658384B1 (ko) 2021-10-12 2021-10-12 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210134956A KR102658384B1 (ko) 2021-10-12 2021-10-12 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20230051951A KR20230051951A (ko) 2023-04-19
KR102658384B1 true KR102658384B1 (ko) 2024-04-18

Family

ID=86142346

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210134956A KR102658384B1 (ko) 2021-10-12 2021-10-12 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102658384B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102098064B1 (ko) * 2015-11-16 2020-04-07 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050095147A (ko) * 2004-03-25 2005-09-29 주식회사 케이티 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
KR101388090B1 (ko) 2013-10-15 2014-04-22 펜타시큐리티시스템 주식회사 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102098064B1 (ko) * 2015-11-16 2020-04-07 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템

Also Published As

Publication number Publication date
KR20230051951A (ko) 2023-04-19

Similar Documents

Publication Publication Date Title
US9497163B2 (en) Identifying malicious devices within a computer network
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US20050188215A1 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
CN103248472A (zh) 一种处理操作请求的方法、系统以及攻击识别装置
EP1911246A2 (en) Dns based enforcement for confinement and detection of network malicious activities
CN101496025A (zh) 用于向移动设备提供网络安全的系统和方法
WO2008001972A1 (en) Method for proactively preventing wireless attacks and apparatus thereof
JP4581104B2 (ja) ネットワークセキュリティシステム
KR101702102B1 (ko) 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
US7565690B2 (en) Intrusion detection
KR102658384B1 (ko) 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
CN115883170A (zh) 网络流量数据监测分析方法、装置及电子设备及存储介质
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
KR101747144B1 (ko) 비인가 ap 차단 방법 및 시스템
KR102366574B1 (ko) 무선 침입 방지 방법
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
KR100728446B1 (ko) 하드웨어 기반의 침입방지장치, 시스템 및 방법
US20230141028A1 (en) Traffic control server and method
CN114465746B (zh) 一种网络攻击控制方法及系统
KR101639428B1 (ko) 보드기반 단방향 통신제어 시스템
KR100447896B1 (ko) 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)