KR20080065084A - 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치 - Google Patents

모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치 Download PDF

Info

Publication number
KR20080065084A
KR20080065084A KR1020070002036A KR20070002036A KR20080065084A KR 20080065084 A KR20080065084 A KR 20080065084A KR 1020070002036 A KR1020070002036 A KR 1020070002036A KR 20070002036 A KR20070002036 A KR 20070002036A KR 20080065084 A KR20080065084 A KR 20080065084A
Authority
KR
South Korea
Prior art keywords
attack
network
simulation
information
target server
Prior art date
Application number
KR1020070002036A
Other languages
English (en)
Inventor
백동현
최재철
Original Assignee
유디코스모 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유디코스모 주식회사 filed Critical 유디코스모 주식회사
Priority to KR1020070002036A priority Critical patent/KR20080065084A/ko
Publication of KR20080065084A publication Critical patent/KR20080065084A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3457Performance evaluation by simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 취약점 분석 방법 및 장치를 개시한다. 본 발명의 네트워크 취약점 분석 방법은 실제 네트워크 공격과 동일한 상황에서, 진단 대상의 네트워크 정보를 획득하고, 해당 네트워크 정보에 대응되는 취약점에 대한 모의 공격을 실행함으로써, 종래의 시그너쳐 방식에 따른 취약점 진단의 문제점을 해결하여 신뢰할 수 있는 네트워크 취약점 진단 및 분석 방법을 제공하는 효과가 있다. 또한, 본 발명은 종래의 네트워크 취약점 분석 방법과 달리, 취약점 분석에 그치는 것이 아니라, 모의 공격이 성공한 취약점을 원격으로 제거하는 효과가 있다.

Description

모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치{Method and apparatus for analyzing network vulnerability using the attack simulation}
도 1 은 종래 기술에 따른 네트워크 취약점 분석 방식을 개략적으로 도시한 블록도이다.
도 2 는 본 발명의 바람직한 실시예에 따른 모의 공격을 이용한 네트워크 취약점 분석 장치의 구성을 도시하는 블록도이다.
도 3 은 도 2 의 모의 공격 실행부의 세부 구성을 도시하는 상세 블록도이다.
도 4 는 모의 공격 정보 데이터 베이스에 저장되는 각 모의 공격 정보의 상세 구성의 일예를 도시하는 도면이다.
도 5 는 본 발명의 바람직한 실시예에 따른 모의 공격을 이용한 네트워크 취약점 분석 방법을 설명하는 흐름도이다.
도 6a 는 일반적인 스택 메모리 구조를 도시한 도면이고, 도 6b 는 메모리에 대한 모의 공격 코드 구조의 일 예를 도시한 도면이다.
본 발명은 네트워크 취약점 분석 방법 및 장치에 관한 것으로서, 구체적으로는 네트워크 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치에 관한 것이다.
네트워크에 연결된 시스템들의 서비스에는 흔히 의도하지 않은 실행 결과를 낳는 취약점이 존재한다. 이러한 보안 취약점들의 존재를 미리 확인하고 제거하고자 종래에 네트워크 취약점 진단 시스템이 개발되었다.
그 개략적인 구조는 도 1에 도시된 바와 같다. 먼저 취약점 진단 시스템은 각 취약점들의 정보를 담고 있는 취약점 DB를 구비한. 이 취약점 DB는 대개 취약점이 존재하는 OS, 취약 서비스의 네트워크 포트, 취약한 서비스의 버전 정보 등을 저장한다.
다수의 취약점을 빠른 시간 내에 진단하기 위하여 이 취약점 DB는 진단에 효과적으로 이용될 수 있는 가장 기본적인 정보만을 담고 있으며 실제 그 취약점을 이용할 수 있는 공격(해킹)에 대한 상세한 정보는 존재하지 않는다.
즉, 기존의 취약점 진단 시스템은 진단 대상 서버로부터 네트워크 정보를 획득하여 네트워크 취약점을 시그너쳐 방식으로 진단할 뿐이므로, 실제로 네트워크 공격이 가해졌을 경우에, 특히, 시그너쳐 방식에 의해서 등록된 공격이 다소 변경되어 공격이 가해진 경우에 해당 공격을 방어할 수 있다고 보증할 수 없을 뿐만 아니라, 복잡한 서비스로 구성되어 있는 시스템을 진단할 경우 존재하지 않는 취약점을 보고하는 오진이 발생할 수 있다. 그리고, 시스템 관리자가 관리적인 응용을 가해 일부 시스템 서비스의 설정을 변경한 경우 그 부분이 취약점으로 진단될 수 있다.
이와 같은 경우 실제 해킹이나 바이러스의 공격에는 이용되지 않는 세세한 설정 변경까지 취약점으로 진단되어 진단 보고서의 양을 증가시킨다.
종래의 취약점 진단 시스템은 이러한 한계를 가지고 있는 취약점 DB를 진단 대상 서버의 상태와 대조하는 방식으로 취약점을 진단한다. 이 시스템을 사용한 관리자는 그 보고서를 다시 분석해서 해당 사이트에서 의미 있는 진단 결과를 찾아내고 직접 취약점 제거 작업을 수행해야 하는 부담이 따른다.
본 발명이 이루고자 하는 기술적 과제는 종래의 시그너쳐 방식의 네트워크 취약점 진단 방식의 문제점을 해결하여 보다 실제 네트워크 공격 상황과 동일한 상황에서 네트워크 취약점을 진단할 수 있는 네트워크 취약점 진단 방법 및 장치를 제공하는 것이다.
상술한 기술적 과제를 이루기 위한 본 발명의 모의 공격을 이용한 네트워크 취약점 분석 장치는, 진단 대상 서버의 네트워크 정보를 조사하는 네트워크 서비스 진단부; 네트워크 정보에 포함되는 각 항목의 조합에 대응되는 모의 공격 정보를 저장하는 모의 공격 정보 데이터 베이스; 및 네트워크 서비스 진단부로부터 입력된 진단 대상 서버의 네트워크 정보를 이용하여 진단 대상 서버에 접속하고, 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 정보를 모의 공격 정보 데이터 베이스로부터 판독하여 모의 공격 패킷을 생성하며, 모의 공격 패킷을 진단 대상 서 버로 전송하여 모의 공격의 성공여부를 판단하여 기록하는 모의 공격 실행부를 포함한다.
또한, 상술한 네트워크 정보는 진단대상 서버의 OS 버전, 및 실행중인 네트워크 서비스의 프로토콜과 포트 정보를 포함할 수 있다.
또한, 상술한 모의 공격 실행부는 모의 공격이 성공한 경우에, 네트워크 취약점을 제거할 수 있는 시스템 명령을 진단 대상 서버로 전송하여 네트워크 취약점을 제거할 수 있다.
또한, 상술한 모의 공격 실행부는, 네트워크 서비스 진단부로부터 진단 대상 서버의 IP 주소를 입력받고, 모의 정보 공격 데이터 베이스로부터 진단 대상 서버의 프로토콜 및 서비스 포트 정보를 이용하여 진단 대상 서버에 접속하는 네트워크 접속부; 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 코드를 포함하는 모의 공격 패킷을 생성하여 진단 대상 서버로 전송하는 모의 공격 패킷 생성부; 및 모의 공격이 성공한 경우에, 모의 공격 정보 데이터 베이스로부터 판독된 취약점 제거 정보를 이용하여 생성된 시스템 명령을 진단 대상 서버로 전송하는 취약점 원격 제거부를 포함할 수 있다.
한편 상술한 기술적 과제를 이루기 위한 본 발명의 모의 공격을 이용한 네트워크 취약점 분석 방법은, (a) 진단 대상 서버의 네트워크 정보를 조사하는 단계; (b) 네트워크 정보에 대응되는 적어도 하나의 모의 공격 패킷을 생성하여 진단 대상 서버로 전송하는 단계; (c) 진단 대상 서버로부터 모의공격 패킷에 대응되는 소정의 응답 패킷의 수신 여부를 조사하여 모의공격 패킷에 의한 모의 공격의 성공여 부를 판단하는 단계; 및 (d) 모의 공격이 성공한 경우에, 모의공격 패킷에 대응되는 진단 대상 서버의 네트워크 취약점을 기록하는 단계를 포함한다.
또한, 상술한 모의 공격을 이용한 네트워크 취약점 분석 방법은, (e) 네트워크 취약점을 제거할 수 있는 시스템 명령을 진단 대상 서버로 전송하여 네트워크 취약점을 제거하는 단계를 더 포함할 수 있다.
또한, 상술한 네트워크 정보는, 진단대상 서버의 OS 버전, 및 실행중인 네트워크 서비스의 프로토콜과 포트 정보를 포함할 수 있다.
또한, 상술한 (a) 단계 이전에, 복수의 네트워크 정보를 저장하고, 복수의 네트워크 정보 각각에 대해서 발생 가능한 네트워크 취약점 정보 및 네트워크 취약점에 대한 모의 공격 코드를 저장한 데이터 베이스를 구비하는 단계를 더 포함하고, (b) 단계는, 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 코드를 데이터 베이스로부터 판독하여 모의 공격 패킷을 생성할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 설명한다.
도 2 는 본 발명의 바람직한 실시예에 따른 모의 공격을 이용한 네트워크 취약점 분석 장치(200)의 구성을 도시하는 블록도이다. 도 2 를 참조하면, 본 발명의 모의 공격을 이용한 네트워크 취약점 분석 장치(200)(이하, "취약점 분석 장치"로 약칭함)는 진단 대상 서버 리스트 저장부(210), 모의 공격 정보 데이터 베이스(230), 네트워크 서비스 진단부(220), 및 모의 공격 실행부(240)를 포함하여 구성되고, 유무선 통신망을 통해서 진단 대상 서버(100)에 접속한다. 또한, 취약점 분석 장치(200)는 진단 대상 서버(100)와 상호 통신을 수행하는 통신부(미도시 됨) 를 포함하지만, 일반적인 이는 네트워크 통신 분야에서 일반적인 구성이므로 이에 대한 구체적인 설명은 설명하고, 이하에서는 본 발명의 특징과 관련되는 부분만을 중점적으로 설명한다.
먼저, 진단 대상 서버 리스트 저장부(210)는 본 발명에 따라서 네트워크 취약점 진단이 수행될 진단 대상 서버(100)의 목록과 각 서버의 IP 주소를 저장하고, 해당 서버의 IP 주소를 네트워크 서비스 진단부(220)로 제공한다. 다만, 본 발명의 실시태양에 따라서는 진단 대상 서버(100)의 IP 주소를 관리자 단말(미도시 됨)로부터 입력받아 처리할 수 있고, 이 경우에는 진단 대상 서버 리스트 저장부(210)는 생략될 수도 있다.
네트워크 서비스 진단부(220)는 진단 대상 서버(100)의 IP 주소를 관리자 단말(미도시 됨)로부터 입력받거나 진단 대상 서버 리스트 저장부(210)로부터 판독하고 진단 대상 서버(100)로 소정의 탐지 패킷을 전송하여 진단 대상 서버(100)의 네트워크 정보(진단 대상 서버(100)에서 수행중인 OS 버전과 실행중인 네트워크 서비스의 프로토콜과 포트에 관한 정보를 포함 함)를 조사하여 모의 공격 실행부(240)로 출력한다.
네트워크 서비스 진단부(220)이 진단 대상 서버(100)의 네트워크 정보를 조사하는 방법을 보다 구체적으로 설명하면, 네트워크 서비스 진단부(220)는 진단 대상 서버(100)로 복수의 서비스에 대한 탐지 패킷을 보내보고 이에 대한 응답이 도착하는지 여부를 확인하여, 해당 탐지 패킷이 문의한 서비스가 해당 포트에서 제공되는지 확인한다. 각 프로토콜에 대해 이러한 방법으로 조사하면 실행중인 네트워 크 서비스의 프로토콜과 포트에 관한 정보를 얻을 수 있다.
또한, 네트워크 서비스 진단부(220)는 네트워크 프로토콜이 각 운영체제에서 구현된 방식에 있어서 차이점이 있음을 이용하여 OS 버전을 탐지할 수 있다. 예외적인 상태를 가지는 탐지 패킷을 보냈을 때 서버의 반응이 응답하거나, 응답하지 않거나, 연결을 강제 종료시키는 등 각기 다를 수 있는데, 복수의 서로 다른 탐지 패킷으로 반복해서 조사했을 때 세분화된 OS 종류 및 버전 정보를 얻을 수 있다. 이러한 탐지 패킷에 관한 정보는 다수가 알려져 있어 OS 탐지의 정확도를 높일 수 있다.
본 발명의 네트워크 서비스 진단부(220)는 포트 스캐너와 같은 프로그램을 이용하여 구현될 수 있다.
모의 공격 정보 데이터 베이스(DB)(230)는 복수의 모의 공격 정보를 저장한다. 도 4 는 모의 공격 정보 데이터 베이스(230)에 저장되는 각 모의 공격 정보의 상세 구성의 일예를 도시하는 도면이다. 도 4 를 참조하면, 모의 공격 정보 데이터 베이스(230)에 저장되는 모의 공격 정보는 취약점 이름, 취약점 제거 정보, OS 버전 정보, 프로토콜 정보, 포트 정보, 모의 공격 코드, BP(Base Pointer), IP(Instruction Pointer), 오버플로우 임계치 정보를 포함한다.
모의 공격은 특정 [OS 버전]에 존재하는 취약점에 대한 [모의공격코드]를 해당 [프로토콜]의 [포트]로 데이터 전송하여 실행되므로, 모의 공격 정보는 아래의 표 1 에 기재된 바와 같이 OS 버전 정보, 프로토콜 정보, 및 포트 정보에 따라서 분류되어 저장되는 것이 바람직하다.
모의공격 정보 취약점 이름 OS 버전 프로토콜 포트
1 Solaris LPD remote cmd exploit Solaris 7.0 TCP 515
2 Solaris LPD remote cmd exploit Solaris 8.0 TCP 515
3 Solaris dtspcd remote exploit Solaris 8.0 TCP 6112
4 BIND 8.2.2 remote exploit Linux 9.0 UDP 53
5 Microsoft RPC DCOM exploit Windows XP TCP 135
6 Microsoft Name Server overflow Windows XP UDP 53
7 IIS 5.0 webdav overflow Windows XP TCP 80
상술한 각각의 모의 공격 정보에 대해서 간략히 설명하면 다음과 같다.
① 취약점 이름: 취약점의 명칭이다. 취약점의 이름은 통상 [OS 종류][서비스 이름][취약점 성격] (예:Solaris LPD remote_cmd exploit, Microsoft Name_Server overflow, 등) 또는 [소프트웨어 이름] [ 버전 ] [취약점 성격](예:BIND 8.2.2 remote_exploit, IIS 5.0 webdav_overflow, 등)으로 구성된다. OS 종류와 서비스이름으로 시작하는 경우가 가장 많으나 널리 사용되는 네트워크 소프트웨어의 경우 그 이름과 버전으로 명명될 수도 있다. 예컨대, Microsoft Windows에서 사용되는 웹 서버 소프트웨어 IIS 취약점의 경우 'IIS 5.0 webdav_overflow' 라고 명명될 수 있다.
② 취약점 제거정보: 취약점을 제거하는 단계에서 필요한 정보이다. 취약한 서비스 프로그램의 경로, 설정파일 경로, 취약점을 제거할 수 있는 패치 정보 등이 포함된다.
③ OS 버전정보: OS(운영체제)의 종류와 상세한 버전에 관한 정보이다. 예를 들어Windows XP SP2, Solaris 10 sparc, RedHat Linux 9 등이다.
④ 프로토콜 정보: 취약한 서비스가 사용하는 네트워크 프로토콜이다. TCP, UDP 등 TCP/IP 프로토콜일 수 있다.
⑤ 포트 정보: 취약한 서비스가 사용하는 네트워크 포트이다.
⑥ 모의공격코드: 취약한 서비스를 네트워크를 통하여 공격하여 시스템 권한을 얻어내는 코드이다. 해킹이나 바이러스의 공격을 분석하여 추출할 수 있다. 그 코드는 각 OS 버전에서 실행할 수 있는 기계어 코드이거나 네트워크 서비스에 입력될 문자열일 수 있다.
⑦ BP: BP(Base Pointer)는 메모리에서 스택 프레임의 위치를 나타낸다. BP을 통해 모의공격과정에서 사용되는 스택 프레임을 지정할 수 있다. 모의공격코드는 BP를 참조할 수 있다.
⑧ IP: IP(Instruction Pointer)는 CPU가 실행할 다음 명령이 저장되어 있는 메모리 위치를 나타낸다. IP값을 통해 모의공격과정에서 실행될 임의의 명령을 지정할 수 있다. 모의공격코드는 IP를 참조할 수 있다.
⑨ 오버플로우 임계치: 메모리 관련 공격에서 우선적으로 특정 길이 이상의 데이터를 입력시켜야 할 필요가 있을 수 있다. 그 길이를 오버플로우 임계치라고 한다. 모의공격코드는 오버플로우 임계치를 참조할 수 있다. 이러한 모의 공격 정보의 일예를 아래에 기재하였다.
① 취약점 이름: Solaris LPD remote cmd exploit
② 취약점 제거정보: 프로그램 경로: /usr/sbin/in.lpd, 설정파일: 없음, 패치ID: Sun-102400
③ OS 버전: Solaris 8.0, 7.0, 2.6 … 2.2, 2.1, 2.0
④ 프로토콜: TCP
⑤ 포트: 515
⑥ 모의공격코드:
0x0040: 6963 6974 2c20 616e 6420 7265 6475 6e64 icit,.and.redund
0x0050: 616e 7420 0a0a 5638 0a0a 4f75 300a 4f67 ant...V8..Ou0.Og
0x0060: 300a 4f4c 300a 4f65 710a 4f51 2f74 6d70 0.OL0.Oeq.OQ/tmp
0x0070: 0a0a 4658 7c2f 6269 6e2f 7368 202f 7661 ..FX|/bin/sh./va
0x0080: 722f 7370 6f6f 6c2f 6c70 2f74 6d70 2f62 r/spool/lp/tmp/b
0x0090: 6169 6b64 752e 7564 636f 736d 6f2e 636f aikdu.udcosmo.co
0x00a0: 6d2f 7363 7269 7074 0a0a 5333 0a53 3009 m/script..S3.S0.
(일부분만 표시되었음)
⑦ BP: 0
⑧ IP: 0
⑨ 오버플로우 임계치: 0
BP, IP, 오버플로우 임계치는 메모리 관련 공격에서만 적용할 수 있는 공격 정보인데 상술한 예에서 Solaris LPD 공격은 메모리 관련 공격이 아니므로 BP, IP, 오버플로우 임계치는 설정되지 않았다.
BP, IP는 메모리 관련 취약점 공격에서 사용된다. 도 6a 에 도시된 스택 메모리 구조는 메모리에서 BP, IP의 위치를 도시하였다. 실행중인 프로그램은 임시 변수를 저장하기 위해서 스택이라는 메모리 구조를 사용할 수 있는데, BP(Base Pointer)는 특정 프로시저의 실행이 끝나고 복귀할 상위 프로시저의 스택 위치를 저장하고 있으며, IP(Instruction Pointer)는 특정 프로시저의 실행이 끝나고 복귀할 상위 프로시저의 실행코드, 즉 다음에 실행할 명령을 저장하고 있다.
BP와 IP는 통상 4바이트 길이의 값으로 스택 메모리에서 일반 변수(버퍼변수)보다 높은 메모리 번지에 위치한다. 어떤 서버의 네트워크 서비스 프로그램이 도 6a 에 도시된 스택 메모리 구조에서 보는 바와 같이 50바이트 길이의 [버퍼 변수]를 사용한다고 가정할 때, 진단 대상 서버(100)가 프로그램상의 오류점검을 수행하지 않는 경우에는, 이 변수에 입력될 수 있는 값의 길이에 제한이 없는 취약점이 존재할 수 있다.
만약 원래 한도인 50바이트를 넘어 도 6b 에 도시된 모의 공격 코드 구조에서 보는 바와 같이 108바이트 길이의 값이 입력되면 BP와 IP값이 입력된 값에 의해 덮어써지고 변경될 수 있다. 이 때 50바이트 길이가 오버플로우 임계치가 된다.
위와 같은 모의공격코드는 취약한 네트워크 서비스의 해당 포트로 입력될 수 있고, 위와 같은 메모리 취약점 공격에서는 IP를 변경시키는 방법이 많이 쓰인다. 이 때, 모의 공격 코드에는 해당 시스템에서 임의의 명령을 실행할 수 있는 기계어 코드가 포함되는데, IP를 그 코드의 시작 메모리 위치로 변경시키면 프로그램 실행을 임의로 변경하고 모의공격코드에 포함된 명령이 실행된다.
한편, 모의 공격 코드에서 BP를 변경하면 복귀하는 스택 프레임을 지정할 수 있고 도 6a 에 도시된 바와 같은 스택 프레임이 사용하는 IP값을 변경할 수 있어 결과적으로 프로그램의 실행을 변경할 수 있다.
또한, 모의 공격 코드는 모의 공격 정보에 정의된 BP 및 IP값을 자신의 코드에 추가할 수 있다. 실행 흐름을 바꾸어 공격이 성공할 수 있는 메모리 위치가 여러 개 존재할 수 있으므로, 그에 따라 BP 및 IP값이 여러 개 존재할 수 있다.
한편, 모의 공격 실행부(240) 네트워크 서비스 진단부(220)로부터 진단 대상 서버(100)의 네트워크 정보(예컨대, 진단 대상 서버(100)에서 수행중인 OS 버전과 실행중인 네트워크 서비스의 프로토콜과 포트에 관한 정보)를 입력받으면, 해당 네트워크 정보에 따라서 모의 공격 패킷을 생성하여 진단 대상 서버(100)로 전송하여 모의 공격을 수행하고, 모의 공격의 성공 여부 및 취약점에 관한 정보를 진단 대상 서버 리스트 저장부(210)에 기록하며, 모의 공격이 성공한 경우에는 해당 취약점을 제거하는 기능을 수행한다.
도 3 은 도 2 의 모의 공격 실행부(240)의 세부 구성을 도시하는 상세 블록도이다. 도 3 을 참조하면, 본 발명의 모의 공격 실행부(240)는 복수의 모의 공격 모듈(240-1~240-n)을 포함하여 구성되고, 각각의 모의 공격 모듈은 네트워크 접속부(310), 모의 공격 패킷 생성부(320), 및 취약점 원격 제거부(330)를 포함하여 구성된다.
먼저, 네트워크 접속부(310)는 네트워크 서비스 진단부(220)로부터 진단 대상 서버(100)의 IP 주소를 입력받고, 모의 공격 정보 데이터 베이스(230)로부터 진단 대상 서버(100)에서 수행되는 프로토콜과 서비스 포트 정보를 이용하여 진단 대상 서버(100)에 접속한다.
모의공격 패킷 생성부(320)는 모의 공격 정보 데이터 베이스(230)로부터 진단 대상 서버(100)의 네트워크 정보에 대응되는 모의 공격 코드를 판독하여 모의 공격 패킷을 생성하여 진단 대상 서버(100)로 전송한다. 진단 대상 서버(100)가 모의 공격 패킷을 수신하면, 모의 공격 코드는 진단대상 서버(100)에서 사전에 정의된 공격(해킹)을 실행한다. 공격이 성공할 경우 진단대상 서버(100)를 원격에서 통제할 수 있는 시스템 권한이 획득된다.
상술한 표 1의 예에서 진단 대상 서버(100)의 OS버전이 Solaris 8.0이고, 네트워크 서비스의 프로토콜 및 포트가 각각 TCP 515 및 TCP 6112라면, 모의 공격 실행부(240)는 모의 공격 정보 데이터 베이스(230)로부터 모의 공격 정보 2 및 모의 공격 정보 3 을 판독하여 모의 공격 패킷을 생성한다.
취약점 원격 제거부(330)는 모의 공격에 대응되는 소정의 응답 패킷이 진단 대상 서버(100)로부터 수신되었는지 여부를 조사하여 모의 공격의 성공 여부를 판단하고, 모의 공격의 성공 여부를 진단 대상 서버 리스트 저장부(210)에 기록한다. 또한, 취약점 원격 제거부(330)는 모의 공격이 성공하여 진단 대상 서버(100)의 시스템 권한이 획득되었을 때 모의 공격 정보에 포함된 취약점 제거정보를 참조하여 취약점 제거 과정에 필요한 시스템 명령을 전송하여 진단 대상 서버(100)의 네트워크 취약점을 제거한다.
지금까지 본 발명의 바람직한 실시예에 따른 모의 공격을 이용한 네트워크 취약점 분석 장치(200)를 설명하였다. 이하에서는 도 5 를 참조하여, 본 발명의 바람직한 실시예에 따른 모의 공격을 이용한 네트워크 취약점 분석 방법을 설명한다.
먼저, 네트워크 취약점 분석을 위해서, 네트워크 서비스 진단부(220)는 관리자 단말로부터 진단 대상 서버(100)의 IP 주소를 입력받거나 진단 대상 서버 리스트 저장부(210)로부터 진단 대상 서버(100)의 IP 주소를 판독하여(S500), 진단 대상 서버(100)의 네트워크 정보를 조사하고, 진단 대상 서버(100)의 네트워크 정보를 모의 공격 실행부(240)로 출력한다(S505).
모의 공격 실행부(240)는 모의 공격 정보 데이터 베이스(230)로부터 진단 대상 서버(100)의 네트워크 정보에 대응되는 모의 공격 정보, 즉, 진단 대상 서버(100)의 OS 버전, 프로토콜, 및 포트에 대등되는 모의 공격 정보들을 판독하여 각 모의 공격 모듈로 출력한다(S510).
각 모의 공격 모듈의 네트워크 접속부(310)는 네트워크 진단부(220)로부터 또는 진단 대상 서버 리스트 저장부(210)로터 진단 대상 서버(100)의 IP 주소를 입력받고, 모의 공격 DB 로부터 모의 공격 정보의 프로토콜 정보, 및 포트 정보를 입력받아서 진단 대상 서버(100)에 접속한다(S520).
그 후, 모의 공격 패킷 생성부(320)는 모의 공격 정보 DB(230)로부터 판독된 모의 공격 코드, BP, IP, 및 오버플로우 임계치 정보를 이용하여 모의 공격 패킷을 생성하고, 공격 패킷을 진단 대상 서버(100)로 전송한다(S530). 이 때 모의 공격 코드는 해당 모의 공격 정보가 가지고 있는 BP, IP, 오버플로우 임계치를 참조하여 변형될 수 있다. 변형된 모의공격코드는 새로운 공격 방법을 나타내며 이것을 적재한 새로운 모의 공격 모듈이 추가될 수 있다.
모의 공격이 성공한 경우에는 임의의 명령 실행 코드가 소정의 네트워크 포트(기본 원격 포트)를 개방하여 소정의 응답 패킷을 전송하게 된다.
한편, 취약점 원격 제거부(330)는 모의 공격 코드가 실행된 결과에 대응되는 응답 패킷이 진단 대상 서버(100)로부터 수신되는지 여부를 조사하여 모의 공격의 성공 여부를 조사하고(S540), 응답 패킷이 소정 시간내에 수신되지 않으면, 모의 공격이 실패한 것으로 판단하여 모의 공격 정보에 대응되는 네트워크 취약점이 존재하지 않음을 진단 대상 서버 리스트 저장부(210)에 기록한다(S545).
그러나, 소정의 응답 패킷이 소정 시간내에 수신되면, 즉, 모의 공격이 성공하였다고 판단되면, 취약점 원격 제거부(330)는 모의 공격 정보에 대응되는 네트워크 취약점이 존재함을 진단 대상 서버 리스트 저장부(210)에 기록한다(S560).
그 후, 취약점 원격 제거부(330)는 진단 대상 서버(100)에 원격으로 접근할 수 있는 시스템 권한을 획득하고, 모의 공격 모듈이 판독한 모의 공격 정보의 취약점 제거 정보를 이용하여 해당 취약점을 제거할 수 있는 시스템 명령을 전송하며, 취약점 제거 명령이 진단 대상 서버(100)에서 실행되어 진단 대상 서버(100)의 해당 취약점이 제거되고, 취약점 제거 사실이 진단 대상 서버 리스트 저장부(210)에 기록된다(S570).
그 후, 모의 공격 실행부(240)는 실행될 모의 공격 정보가 존재하는지 조사하여(S580), 존재하는 경우에는 상술한 제 S520 단계로 진행하여 모의 공격을 실행하고, 모의 공격이 완료된 경우에는, 모의 공격을 통해서 진단된 네트워크 취약점, 진단 대상 서버(100)에 존재하지 않는 취약점, 진단 대상 서버(100)에 존재하는 취약점, 및 취약점 제거 결과를 포함하는 모의 공격 실행 결과를 관리자에게 표시한다(S585).
그 후, 모의 공격 실행부(240)는 네트워크 취약점이 진단될 대상 서버(100)가 더 존재하는지 여부를 조사하고, 추가로 진단될 대상 서버(100)가 존재하는 경우에는 상술한 제 S500단계로 진행한다(S590).
이하에서는, 상술한 본 발명의 네트워크 취약점 분석 방법에 따라서 가상의 취약점 Solaris AAA service overflow 에 대한 모의 공격 및 네트워크 취약점 분석예를 설명한다.
네트워크 서비스 진단부(220)에서 진단 대상 서버(100)에서 제공되는 서비스를 진단한 결과, OS 버전: Solaris 9.0, 프로토콜: TCP, 포트: 100 과 같은 네트워크 정보 획득되었다면, 모의 공격 실행부(240)는 모의 공격 정보 DB(230) 로부터 다음의 모의 공격 정보 1 을 판독한다.
[모의 공격 정보 1]
취약점이름: Solaris AAA service overflow
취약점 제거정보: 프로그램 경로: /usr/sbin/in.AAAd, 설정파일: 없음, 패치ID: Sun-204800
OS 버전: Solaris 9.0
프로토콜: TCP
포트: 100
모의공격코드:
0x05,0x00,0x0B,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x7F,0x00,0x00,0x00,0xD0,0x16,0xD0,0x16,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x01,0x00,0x01,0x00,0xa0,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0xC0,0x00,0x00,0x00,0x00,0x00,0x00,0x46,0x5D,0x88,0x8A,0xEB,0x1C,0xC9,0x11,0x9F,0xE8,0x08,0x00,0x2B,0x10,0x48,0x60,0x02
BP: 0x12121212
IP: 0x12120000, 0x34343434
오버플로우 임계치: 50
판독된 모의 공격 정보 1의 각 항목들 중, 진단대상서버주소(10.1.1.1), TCP 프로토콜, 100번 포트 정보는 네트워크 접속부(310)로 출력되고, 네트워크 접속부(310)는 판독된 IP주소의 진단 대상 서버(100)에 TCP 100번 포트를 통해서 접속한다. 네트워크 접속은 모의 공격 장치가 동작하는 운영체제하의 네트워크 라이브러리 모듈을 호출하여 수행될 수 있다.
또한, 모의 공격 패킷 생성부(320)는 상술한 모의공격코드, BP(0x12121212), IP(0x12120000, 0x34343434), 오버플로우 임계치(50)를 포함하는 모의 공격 패킷을 생성하여 진단 대상 서버(100)로 전송한다.
만약, 모의 공격 코드의 길이가 오버플로우 임계치보다 작다면 AAAAA등 임의 문자를 추가해서 모의공격코드의 임계치 이상으로 증가시킨다. 모의공격코드의 임의 명령 실행 코드는 진단 대상 서버(100)의 특정 TCP 포트(예: TCP 7777번)에 시스템 커맨드쉘을 실행하여 그 포트로 접속한 후 해당 서버에 시스템 명령을 내릴 수 있게 한다.
상술한 예의 공격은, 도 6b에 도시된 바와 같이, 진단 대상 서버(100)가 입력값의 길이를 점검하지 않음으로 인해서 과도한 길이의 데이터가 시스템 메모리(BP, IP)를 변경할 수 있는 취약점에 대한 공격이다. 상술한 예의 공격이 성공한 경우, 임의 명령 실행 코드가 약속된 네트워크 포트(기본 원격 포트)를 개방한다.
한편, 상술한 공격 예에서, 취약점 원격 제거부(330)는 "기본 원격 포트(TCP 7777), 취약점 제거 시스템 명령( kill -9 [in.AAAd pid] ; tftp [중앙서버주소] get Sun-204800 ; cp /tmp/.Sun-204800 /usr/sbin/in.AAAd)"로 구성되는 취약점 제거 정보를 모의 공격 정보 DB(230)로부터 판독한다.
또한, 상술한 예의 공격이 성공한 경우에, 취약점 원격 제거부(330)는 진단 대상 서버(100)의 기본 원격 포트에 접속하여 진단 대상 서버(100)의 시스템 커맨드쉘에 연결하고, 진단대상 서버(100)의 OS에 따라 주어진 취약점 제거 정보를 이용하여 취약점을 제거할 수 있는 시스템 명령 내역을 생성한다. 상술한 예의 Solaris의 경우kill 명령으로 현재 취약한 네트워크 서비스를 중단하고 tftp 같은 파일 전송 명령으로 해당 패치 정보(패치ID Sun-204800)에 해당하는 파일을 중앙서버에서 전송받는다. 그리고, 전송받은 취약점이 제거된 새로운 프로그램 파일을 기존의 프로그램 경로에 복사하여 설치한다(cp 명령). 취약점 원격 제거부(330)가 이러한 시스템 명령들을 개방된 기본 원격 포트로 전송하면 명령이 실행되고 취약점이 제거된다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
상술한 바와 같이, 본 발명은 실제 네트워크 공격과 동일한 상황에서, 진단 대상의 네트워크 정보를 획득하고, 해당 네트워크 정보에 대응되는 취약점에 대한 모의 공격을 실행함으로써, 종래의 시그너쳐 방식에 따른 취약점 진단의 문제점을 해결하여 신뢰할 수 있는 네트워크 취약점 진단 및 분석 방법을 제공하는 효과가 있다.
또한, 본 발명은 종래의 네트워크 취약점 분석 방법과 달리, 취약점 분석에 그치는 것이 아니라, 모의 공격이 성공한 취약점을 원격으로 제거하는 효과가 있다.

Claims (9)

  1. (a) 진단 대상 서버의 네트워크 정보를 조사하는 단계;
    (b) 상기 네트워크 정보에 대응되는 적어도 하나의 모의 공격 패킷을 생성하여 상기 진단 대상 서버로 전송하는 단계;
    (c) 상기 진단 대상 서버로부터 상기 모의공격 패킷에 대응되는 소정의 응답 패킷의 수신 여부를 조사하여 상기 모의공격 패킷에 의한 모의 공격의 성공여부를 판단하는 단계; 및
    (d) 모의 공격이 성공한 경우에, 상기 모의공격 패킷에 대응되는 진단 대상 서버의 네트워크 취약점을 기록하는 단계를 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 방법.
  2. 제 1 항에 있어서,
    (e) 상기 네트워크 취약점을 제거할 수 있는 시스템 명령을 상기 진단 대상 서버로 전송하여 상기 네트워크 취약점을 제거하는 단계를 더 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 방법.
  3. 제 1 항에 있어서, 상기 네트워크 정보는
    상기 진단대상 서버의 OS 버전, 및 실행중인 네트워크 서비스의 프로토콜과 포트 정보를 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분 석 방법.
  4. 제 1 항에 있어서,
    상기 (a) 단계 이전에, 복수의 네트워크 정보를 저장하고, 상기 복수의 네트워크 정보 각각에 대해서 발생 가능한 네트워크 취약점 정보 및 상기 네트워크 취약점에 대한 모의 공격 코드를 저장한 데이터 베이스를 구비하는 단계를 더 포함하고,
    상기 (b) 단계는, 상기 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 코드를 상기 데이터 베이스로부터 판독하여 상기 모의 공격 패킷을 생성하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항의 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
  6. 진단 대상 서버의 네트워크 정보를 조사하는 네트워크 서비스 진단부;
    네트워크 정보에 포함되는 각 항목의 조합에 대응되는 모의 공격 정보를 저장하는 모의 공격 정보 데이터 베이스; 및
    상기 네트워크 서비스 진단부로부터 입력된 상기 진단 대상 서버의 네트워크 정보를 이용하여 상기 진단 대상 서버에 접속하고, 상기 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 정보를 상기 모의 공격 정보 데이터 베이스로부터 판독하여 모의 공격 패킷을 생성하며, 상기 모의 공격 패킷을 상기 진단 대상 서버로 전송하여 상기 모의 공격의 성공여부를 판단하여 기록하는 모의 공격 실행부를 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 장치.
  7. 제 6 항에 있어서, 상기 네트워크 정보는
    상기 진단대상 서버의 OS 버전, 및 실행중인 네트워크 서비스의 프로토콜과 포트 정보를 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 장치.
  8. 제 6 항에 있어서, 상기 모의 공격 실행부는
    상기 모의 공격이 성공한 경우에, 상기 네트워크 취약점을 제거할 수 있는 시스템 명령을 상기 진단 대상 서버로 전송하여 상기 네트워크 취약점을 제거하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 장치.
  9. 제 8 항에 있어서, 상기 모의 공격 실행부는
    상기 네트워크 서비스 진단부로부터 상기 진단 대상 서버의 IP 주소를 입력받고, 상기 모의 정보 공격 데이터 베이스로부터 상기 진단 대상 서버의 프로토콜 및 서비스 포트 정보를 이용하여 상기 진단 대상 서버에 접속하는 네트워크 접속부;
    상기 진단 대상 서버의 네트워크 정보에 대응되는 모의 공격 코드를 포함하 는 모의 공격 패킷을 생성하여 상기 진단 대상 서버로 전송하는 모의 공격 패킷 생성부; 및
    상기 모의 공격이 성공한 경우에, 상기 모의 공격 정보 데이터 베이스로부터 판독된 취약점 제거 정보를 이용하여 생성된 상기 시스템 명령을 상기 진단 대상 서버로 전송하는 취약점 원격 제거부를 포함하는 것을 특징으로 하는 모의 공격을 이용한 네트워크 취약점 분석 장치.
KR1020070002036A 2007-01-08 2007-01-08 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치 KR20080065084A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070002036A KR20080065084A (ko) 2007-01-08 2007-01-08 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070002036A KR20080065084A (ko) 2007-01-08 2007-01-08 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20080065084A true KR20080065084A (ko) 2008-07-11

Family

ID=39816074

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070002036A KR20080065084A (ko) 2007-01-08 2007-01-08 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20080065084A (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414176B1 (ko) * 2013-06-07 2014-07-02 한국전자통신연구원 지그비 네트워크 취약점 분석 장치 및 방법
KR20190043300A (ko) * 2017-10-18 2019-04-26 서울여자대학교 산학협력단 코드 재사용 취약점 스캐닝 진단장치 및 방법
CN109842632A (zh) * 2019-03-27 2019-06-04 深信服科技股份有限公司 一种网络系统的脆弱点确定方法、系统及相关组件
KR20190090436A (ko) * 2018-01-25 2019-08-02 주식회사 엑스게이트 취약점 점검 장치, 방법 및 시스템
KR20210117809A (ko) * 2020-03-20 2021-09-29 국방과학연구소 사이버전 모의 훈련 시스템의 공격 제어 방법
EP3783846A4 (en) * 2018-05-21 2022-01-12 Nippon Telegraph And Telephone Corporation DETERMINATION PROCESS, DETERMINATION DEVICE AND DETERMINATION PROGRAM
CN115277067A (zh) * 2022-06-15 2022-11-01 广州理工学院 一种基于人工鱼群算法的计算机网络信息漏洞检测方法
CN116431460A (zh) * 2023-06-14 2023-07-14 杭州美创科技股份有限公司 数据库能力验证评估方法、装置、计算机设备及存储介质
CN117240622A (zh) * 2023-11-13 2023-12-15 北京长亭科技有限公司 一种基于http协议批量采集攻击仿真样本的方法及装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414176B1 (ko) * 2013-06-07 2014-07-02 한국전자통신연구원 지그비 네트워크 취약점 분석 장치 및 방법
US9294496B2 (en) 2013-06-07 2016-03-22 Electronics And Telecommunications Research Institute Apparatus and method for analyzing vulnerability of zigbee network
KR20190043300A (ko) * 2017-10-18 2019-04-26 서울여자대학교 산학협력단 코드 재사용 취약점 스캐닝 진단장치 및 방법
KR20190090436A (ko) * 2018-01-25 2019-08-02 주식회사 엑스게이트 취약점 점검 장치, 방법 및 시스템
EP3783846A4 (en) * 2018-05-21 2022-01-12 Nippon Telegraph And Telephone Corporation DETERMINATION PROCESS, DETERMINATION DEVICE AND DETERMINATION PROGRAM
CN109842632A (zh) * 2019-03-27 2019-06-04 深信服科技股份有限公司 一种网络系统的脆弱点确定方法、系统及相关组件
KR20210117809A (ko) * 2020-03-20 2021-09-29 국방과학연구소 사이버전 모의 훈련 시스템의 공격 제어 방법
CN115277067A (zh) * 2022-06-15 2022-11-01 广州理工学院 一种基于人工鱼群算法的计算机网络信息漏洞检测方法
CN116431460A (zh) * 2023-06-14 2023-07-14 杭州美创科技股份有限公司 数据库能力验证评估方法、装置、计算机设备及存储介质
CN116431460B (zh) * 2023-06-14 2023-09-08 杭州美创科技股份有限公司 数据库能力验证评估方法、装置、计算机设备及存储介质
CN117240622A (zh) * 2023-11-13 2023-12-15 北京长亭科技有限公司 一种基于http协议批量采集攻击仿真样本的方法及装置
CN117240622B (zh) * 2023-11-13 2024-01-23 北京长亭科技有限公司 一种基于http协议批量采集攻击仿真样本的方法及装置

Similar Documents

Publication Publication Date Title
KR20080065084A (ko) 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치
US7574740B1 (en) Method and system for intrusion detection in a computer network
US10235524B2 (en) Methods and apparatus for identifying and removing malicious applications
US9871811B2 (en) Identifying security properties of systems from application crash traffic
CN105306445B (zh) 用于检测服务器的漏洞的系统和方法
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
CN108322446A (zh) 内网资产漏洞检测方法、装置、计算机设备和存储介质
US20090241190A1 (en) System and method for securing a network from zero-day vulnerability exploits
US20120005743A1 (en) Internal network management system, internal network management method, and program
JP2007334536A (ja) マルウェアの挙動解析システム
US20160234238A1 (en) System and method for web-based log analysis
US9507933B2 (en) Program execution apparatus and program analysis apparatus
CN110362994B (zh) 恶意文件的检测方法、设备和系统
CN110677381A (zh) 渗透测试的方法及装置、存储介质、电子装置
US20040030931A1 (en) System and method for providing enhanced network security
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
CN112818307A (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
CN110765333A (zh) 采集网站信息的方法及装置、存储介质、电子装置
CN108028843A (zh) 被动式web应用防火墙
JP5613000B2 (ja) アプリケーション特性解析装置およびプログラム
CN110768950A (zh) 渗透指令的发送方法及装置、存储介质、电子装置
CN114021123A (zh) 行为基线库的构造方法、安全检查方法、装置及介质
WO2020246227A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
RU2514137C1 (ru) Способ автоматической настройки средства безопасности

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20080828

Effective date: 20091125