KR20140028615A - 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법 - Google Patents

원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법 Download PDF

Info

Publication number
KR20140028615A
KR20140028615A KR1020120095218A KR20120095218A KR20140028615A KR 20140028615 A KR20140028615 A KR 20140028615A KR 1020120095218 A KR1020120095218 A KR 1020120095218A KR 20120095218 A KR20120095218 A KR 20120095218A KR 20140028615 A KR20140028615 A KR 20140028615A
Authority
KR
South Korea
Prior art keywords
address
user terminal
guest
information
terminal
Prior art date
Application number
KR1020120095218A
Other languages
English (en)
Other versions
KR101404161B1 (ko
Inventor
김장언
하옥상
박영식
조준건
Original Assignee
주식회사 신한은행
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 신한은행 filed Critical 주식회사 신한은행
Priority to KR1020120095218A priority Critical patent/KR101404161B1/ko
Publication of KR20140028615A publication Critical patent/KR20140028615A/ko
Application granted granted Critical
Publication of KR101404161B1 publication Critical patent/KR101404161B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

망분리 시스템은 내부망 접속을 위해 부여된 호스트 IP(internet protocol) 주소를 이용하여 내부망에 접속하는 호스트 OS(operation system) 및 상기 호스트 OS와 소프트웨어 자원과 파일 시스템이 분리되어 있는 게스트 OS를 포함하는 사용자 단말, 상기 사용자 단말이 상기 게스트 OS로 운영될 때, 상기 사용자 단말로부터 수신된 데이터 패킷에 대응하는 패킷 정보를 생성하는 VPN(virtual private network) 서버, 및 상기 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하고, 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하여 상기 사용자 단말을 인증하고, 인증된 사용자 단말을 위해 원타임 패스워드를 생성하는 인증 서버를 포함한다.

Description

원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법{NETWORK SEPARATION DEVICE USING ONE TIME PASSWORD, NETWORK SEPARATION SYSTEM AND METHOD THEREOF}
본 발명은 망분리 장치, 망분리 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 원타임 패스워드를 이용하는 논리적 망분리 장치, 망분리 시스템 및 그 방법에 관한 것이다.
네트워크 기술의 발달과 더불어 금융기관이나 공공기관 등에서는 이메일, 파일전송, 전자결제, 메신저 등을 업무에 활용하기 위하여 인터라넷(intranet)과 같은 내부망 뿐만 아니라 인터넷(internet)과 같은 외부망을 활발히 이용하고 있다.
내부망에 연결되어 있는 사용자 단말이나 서버에는 금융기관이나 공공기관의 중요 정보가 저장되고, 내부망의 중요 정보는 외부로 유출되지 않아야 한다. 그러나 금융기관이나 공공기관 등에서 사용되고 있는 사용자 단말이나 서버는 업무 편의를 위해 내부망뿐만 아니라 외부망에도 접속되어 있다. 사용자 단말이나 서버에 방화벽이 설치되어 운용되고 있으나, 외부망을 통한 방화벽을 회피한 접속으로 내부망에 접근하는 의도적인 공격을 완전히 차단시킬 수는 없다.
따라서, 최근에는 내부망과 외부망을 분리하여 내부망의 중요 정보가 외부망을 통하여 공격받는 것을 방지하고자 하는 망분리 기술이 도입되고 있다. 내부망용 장비와 외부망용 장비를 별도로 마련하여 내부망과 외부망을 물리적으로 완전히 분리하는 물리적 망분리 방법이 있다. 물리적 망분리 방법은 장비의 구입비용이나 설치비용 등이 상당하게 들어갈 뿐만 아니라, 사용자는 내부망용 단말 및 외부망용 단말을 별도로 사용하여야 하는 등의 불편한 점이 있다.
본 발명이 해결하고자 하는 기술적 과제는 외부망과 내부망을 물리적으로 분리시키지 않고도 외부망과 내부망을 분리할 수 있는 논리적 망분리 장치, 망분리 시스템 및 그 방법을 제공함에 있다.
본 발명의 일 실시예에 따른 망분리 시스템은 내부망 접속을 위해 부여된 호스트 IP(internet protocol) 주소를 이용하여 내부망에 접속하는 호스트 OS(operation system) 및 상기 호스트 OS와 소프트웨어 자원과 파일 시스템이 분리되어 있는 게스트 OS를 포함하는 사용자 단말, 상기 사용자 단말이 상기 게스트 OS로 운영될 때, 상기 사용자 단말로부터 수신된 데이터 패킷에 대응하는 패킷 정보를 생성하는 VPN(virtual private network) 서버, 및 상기 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하고, 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하여 상기 사용자 단말을 인증하고, 인증된 사용자 단말을 위해 원타임 패스워드를 생성하는 인증 서버를 포함한다.
상기 IP 리스트는 상기 내부망에 접속 가능한 복수의 사용자 단말 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함할 수 있다.
상기 복수의 사용자 단말들 각각에게 고정적으로 호스트 IP 주소가 부여되고, 상기 복수의 사용자 단말들 각각의 게스트 IP 주소는 상기 복수의 사용자 단말 각각에게 부여된 호스트 IP 주소에 연계되어 정해질 수 있다.
상기 VPN 서버는 상기 인증 서버로부터 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정과 상기 원타임 패스워드를 전달받으면, 상기 게스트 IP 주소를 소스 주소로써 상기 데이터 패킷에 추가하여 변환하고, 변환된 데이터 패킷을 외부망으로 전송할 수 있다.
상기 인증 서버는 상기 단말 정보, 게스트 IP 주소 및 계정 중 적어도 어느 하나와 상기 사용자 단말을 인증한 인증 시간을 포함하는 로그 정보를 저장할 수 있다.
본 발명의 다른 실시예에 따른 망분리 장치는 사용자 단말이 전송한 데이터 패킷의 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하는 단말 정보 추출부, 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하고, 상기 단말 정보가 상기 IP 리스트에서 검색되면 상기 사용자 단말이 외부망으로의 데이터 패킷 전송 권한을 가진 것으로 인증하는 IP 리스트 검색부, 및 상기 단말 정보가 상기 IP 리스트에서 검색되면 미리 정해진 시간마다 값이 변경되는 원타임 패스워드를 생성하는 OTP(one-time password) 생성부를 포함한다.
상기 IP 리스트는 내부망에 접속 가능한 복수의 사용자 단말 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함할 수 있다.
상기 복수의 사용자 단말들 각각에게 고정적으로 호스트 IP 주소가 부여되고, 상기 복수의 사용자 단말들 각각의 게스트 IP 주소는 상기 복수의 사용자 단말 각각에게 부여된 호스트 IP 주소에 연계되어 정해질 수 있다.
상기 사용자 단말은 내부망 접속을 위해 부여된 호스트 IP 주소를 이용하여 내부망에 접속하는 호스트 OS 및 상기 호스트 OS와 소프트웨어 자원과 파일 시스템이 분리되어 있는 게스트 OS를 포함하고, 상기 데이터 패킷은 상기 게스트 OS로 운영되는 사용자 단말로부터 전송될 수 있다.
상기 단말 정보, 게스트 IP 주소 및 계정 중 적어도 어느 하나와 상기 사용자 단말을 인증한 인증 시간을 포함하는 로그 정보를 저장하는 로그 정보 저장부를 더 포함할 수 있다.
본 발명의 또 다른 실시예에 따른 사용자 단말로부터 데이터 패킷을 수신하는 VPN 서버 및 상기 사용자 단말을 인증하는 인증 서버를 포함하는 망분리 시스템에서의 망분리 방법은 상기 사용자 단말로부터 수신된 데이터 패킷의 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하는 단계, 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하는 단계, 상기 단말 정보가 상기 IP 리스트에서 검색되면 미리 정해진 시간마다 값이 변경되는 원타임 패스워드를 생성하는 단계, 및 상기 게스트 IP 주소, 계정 및 원타임 패스워드에 따라 상기 사용자 단말의 상기 VPN 서버에의 접속을 인증하고, 상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송하는 단계를 포함하고, 상기 IP 리스트는 내부망에 접속 가능한 복수의 사용자 단말들 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함한다.
상기 단말 정보가 상기 IP 리스트에서 검색되지 않으면 상기 사용자 단말의 상기 VPN 서버에의 접속을 차단하는 단계를 더 포함할 수 있다.
상기 사용자 단말의 단말 정보를 추출하는 단계는, 상기 사용자 단말로부터 고유 식별번호 및 외부 사이트의 IP 주소가 포함된 데이터 패킷이 상기 VPN 서버에 전송되는 단계, 상기 VPN 서버가 상기 고유 식별번호 및 외부 사이트의 IP 주소를 포함하는 패킷 정보를 상기 인증 서버에 전송하는 단계, 및 상기 인증 서버가 상기 단말 정보로써 상기 고유 식별번호를 추출하는 단계를 포함할 수 있다.
상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송하는 단계는, 상기 데이터 패킷의 소스 주소로써 상기 단말 정보에 대응하는 게스트 IP 주소를 추가하여 상기 데이터 패킷을 변환하는 단계를 포함할 수 있다.
상기 원타임 패스워드가 생성되면 상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송한 기록을 포함하는 로그 정보를 저장하는 단계를 더 포함할 수 있다.
VPN 서버에 접속하기 위해 필요한 IP 주소 및 계정을 사용자 단말에 따라 고정적으로 할당함으로써 관리자가 망분리 시스템을 효율적으로 관리할 수 있으며, 패스워드로 OTP(one-time password)를 사용함으로써 악의적 사용자가 VPN 서버에 침투하는 것을 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 망분리 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 인증 서버를 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 망분리 방법을 나타내는 흐름도이다.
이하, 첨부한 도면을 참고로 하여 본 발명의 실시예들에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예들에 한정되지 않는다.
또한, 여러 실시예들에 있어서, 동일한 구성을 가지는 구성요소에 대해서는 동일한 부호를 사용하여 대표적으로 제1 실시예에서 설명하고, 그 외의 실시예에서는 제1 실시예와 다른 구성에 대해서만 설명하기로 한다.
본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조 부호를 붙이도록 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 망분리 시스템을 나타내는 블록도이다.
도 1을 참조하면, 망분리 시스템(100)은 사용자 단말(10), VPN(Virtual Private Network) 서버(20) 및 인증 서버(30)를 포함한다.
사용자 단말(10)은 호스트 OS(host operation system)(11) 및 게스트 OS(12)를 포함한다. 호스트 OS(11)는 인터라넷(intranet)과 같은 내부망(40)에 접속이 필요한 제1 프로세스(process)를 실행하기 위한 운영 시스템이다. 게스트 OS(12)는 인터넷(internet)과 같은 외부망(50)에 접속이 필요한 제2 프로세스(process)를 실행하기 위한 운영 시스템이다. 호스트 OS(11)와 게스트 OS(12)는 사용자 단말(10)의 하드웨어 자원을 서로 공유하지만, 소프트웨어 자원 및 파일 시스템은 분리되어 공유되지 않는다.
여기서는 하나의 사용자 단말(10)을 나타내었으나, 망분리 시스템(100)은 내부망(40) 및 외부망(50)에 접속 가능한 복수의 사용자 단말을 포함할 수 있고, 도시한 사용자 단말(10)은 망분리 시스템(100)에 포함된 복수의 사용자 단말 중 어느 하나를 나타낸다.
호스트 OS(11) 및 게스트 OS(12)를 포함하는 사용자 단말(10)의 운영에 있어서, 호스트 OS(11)가 부팅될 때 게스트 OS(12)는 자동으로 부팅될 수 있고, 호스트 OS(11)가 종료될 때 게스트 OS(12)는 자동으로 종료될 수 있다. 사용자 단말(10)이 부팅되면, 기본적으로 호스트 OS(11)에 의한 제1 화면이 표시될 수 있다. 제1 화면에서 사용자가 외부망(50)에 연결되어 있는 외부 사이트의 URL(Uniform Resource Locator) 주소를 입력하거나 외부망(50)에 접속이 필요한 제2 프로세스를 실행시킴에 따라 사용자 단말(10)에는 게스트 OS(12)에 의한 제2 화면이 표시될 수 있다.
이하, 설명의 편의를 위해, 호스트 OS(11)에 의해 운영되는 사용자 단말(10)을 제1 사용자 단말이라 하고, 게스트 OS(12)에 의해 운영되는 사용자 단말(10)을 제2 사용자 단말이라 한다.
제1 사용자 단말에게는 내부망(40) 접속을 위한 호스트 IP 주소가 부여되고, 제1 사용자 단말은 자신에게 부여된 호스트 IP 주소를 이용하여 내부망(40)에 접속한다. 호스트 IP 주소는 내부망(40)에 접속 가능한 다수의 사용자 단말들 각각에게 고정적으로 부여되는 고정 IP 주소일 수 있다. 즉, 호스트 OS(11)는 자신에게 고정적으로 부여되어 있는 호스트 IP 주소를 이용하여 내부망(40)에 접속할 수 있다.
제2 사용자 단말은 제2 화면에서 외부망(50)에 접속이 필요한 제2 프로세스가 실행됨에 따라 데이터 패킷을 생성하여 터널링(tunneling)으로 VPN 서버(20)에 전송한다. 제2 사용자 단말과 VPN 서버(20) 간의 터널링에 의한 연결성은 L2TP(Layer 2 Tunneling Protocol), PPTP(Point-to-Point Tunneling Protocol), MPLS L2VPN(Multi-Protocol Label Switching Layer 2 Virtual Private Network), L3VPN(Layer 3 Virtual Private Network) 등의 특정 프로토콜을 사용하여 제공될 수 있다. 그리고 제2 사용자 단말과 VPN 서버(20) 간의 터널링에는 IPsec(Internet Protocol Security protocol) 및 SSL(Secure Sockets Layer)와 같은 보안 기능이 추가될 수도 있다.
여기서는 제2 사용자 단말과 VPN 서버(20) 간에는 L2TP 터널링이 사용되는 것으로 가정한다. L2TP 터널링에서 VPN 서버(20)에 접속하고자 하는 제2 사용자 단말의 계정 및 패스워드가 요구된다.
VPN 서버(20)는 제2 사용자 단말로부터 데이터 패킷이 수신되면 데이터 패킷에 대응하는 패킷 정보를 생성하여 인증 서버(30)에 전달한다. 패킷 정보는 제2 사용자 단말로터 수신된 데이터 패킷 자체이거나 또는 데이터 패킷에 포함되어 있는 터널링 헤더(tunneling header) 정보일 수 있다. 터널링 헤더 정보는 제2 사용자 단말의 고유 식별번호 및 외부 사이트의 IP 주소를 포함할 수 있다. 제2 사용자 단말의 고유 식별번호는 사용자 단말(10)의 하드웨어 자원에 부여된 고유 식별번호일 수 있다. 외부 사이트의 IP 주소는 데이터 패킷의 목적지 주소를 의미한다.
인증 서버(30)는 VPN 서버(20)로부터 패킷 정보를 전달받고, 패킷 정보로부터 제2 사용자 단말의 단말 정보를 추출한다. 단말 정보는 제2 사용자 단말의 고유 식별번호일 수 있다. 호스트 OS(11)와 게스트 OS(12)는 하드웨어 자원을 공유하므로, 제2 사용자 단말의 고유 식별번호는 사용자 단말(10)의 고유 식별번호일 수 있다.
인증 서버(30)는 내부망(40)에 접속 가능한 복수의 사용자 단말들 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함하는 IP 리스트를 가지고 있으며, 제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색한다. 게스트 IP 주소는 제2 사용자 단말에게 부여되는 미리 정해져 있는 고정 IP 주소일 수 있다. 그리고 AD(Active directory) 정책에 따라 게스트 IP 주소에 대응하여 제2 사용자 단말의 계정은 미리 정해질 수 있다. 즉, IP 리스트에는 제2 사용자 단말에게 부여된 미리 정해져 있는 게스트 IP 주소 및 계정이 포함된다.
한편, 게스트 IP 주소는 호스트 IP 주소에 연계되어 정해질 수 있다. 호스트 IP 주소가 (a.b.c.d)라고 할 때, 게스트 IP 주소는 (a+1,b,c,d)와 같이 호스트 IP 주소로부터 산술적으로 정해질 수 있다. 예를 들어, 사용자 단말(10)에게 부여되는 호스트 IP 주소가 10.25.52.111일 때 게스트 IP 주소는 11.25.52.111로 부여될 수 있다. 호스트 IP 주소에 따라 게스트 IP 주소를 산술적으로 정하는 방식은 망분리 시스템(100)의 환경에 따라 다양한 법칙으로 정해질 수 있을 것이다.
제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되면, 인증 서버(30)는 제2 사용자 단말이 VPN 서버(20)에 접속할 권한이 있는 것으로 인증하고, 인증된 제2 사용자 단말을 위해 미리 정해진 시간마다 값이 변경되는 원타임 패스워드(one-time password, 이하 OTP라 함)를 생성한다.
제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되지 않으며, 인증 서버(30)는 제2 사용자 단말이 VPN 서버(20)에 접속할 권한이 없는 것으로 간주하여 OTP를 생성하지 않고 제2 사용자 단말이 VPN 서버(20)에 접속하는 것을 차단한다.
인증 서버(30)는 제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정과 OTP를 VPN 서버(20)에 전달한다. VPN 서버(20)는 인증 서버(30)로부터 게스트 IP 주소, 계정 및 OTP를 전달받으면, 제2 사용자 단말의 접속을 허용하여 제2 사용자 단말에게 게스트 IP 주소를 할당한다. 그리고 VPN 서버(20)는 제2 사용자 단말의 데이터 패킷의 터널링 헤더에 소스 주소(source address)로써 게스트 IP 주소를 추가하여 데이터 패킷을 변환한다. VPN 서버(20)는 변환된 데이터 패킷을 외부망(50)을 통해 외부 사이트에 전송한다.
만일, 악의적 사용자가 제2 사용자 단말의 게스트 IP 주소와 계정을 알아내더라도 OTP인 패스워드를 알아낼 수 없으므로 VPN 서버(20)에 접속할 수 없다. 즉, VPN 서버(20)의 접속을 위한 게스트 IP 주소 및 계정이 외부망(50)을 통해 노출되더라도 패스워드로 OTP를 사용함으로써 악의적 사용자의 VPN 서버(20) 접속을 차단할 수 있다.
인증 서버(30)는 제2 사용자 단말이 데이터 패킷을 외부 사이트에 전송한 기록을 포함하는 로그 정보를 저장할 수 있다. 로그 정보는 IP 리스트에 포함된 정보 중 적어도 어느 하나와 제2 사용자 단말을 인증한 인증 시간 및 데이터 패킷의 목적지 주소가 추가되어 구성될 수 있다. 즉, 로그 정보에는 단말 정보, 게스트 IP 주소 및 계정 중에서 적어도 어느 하나와 인증 시간 및 목적지 주소가 포함될 수 있다.
망분리 시스템(100)의 관리자는 인증 서버(30)에 저장되어 있는 로그 정보를 이용하여 다수의 사용자 단말들 중에서 어떤 사용자 단말이 언제 어디로 데이터 패킷을 전송하였는지 검출할 수 있다. 호스트 OS(11)로 운영되는 제1 사용자 단말에게 부여되는 호스트 IP 주소는 제1 사용자 단말이 내부망(40)에 접속할 수 있도록 제1 사용자 단말에게 고정적으로 부여되는 고정 IP 주소이다. 제2 사용자 단말에게 부여되는 게스트 IP 주소도 단말 정보에 대응하여 미리 정해져 있는 고정 IP 주소이므로, 관리자는 로그 정보에 포함되어 있는 게스트 IP 주소에 대응하는 호스트 IP 주소를 알 수 있으며, 호스트 IP 주소를 사용하는 사용자 단말이 언제 어디로 데이터 패킷을 전송하였는지 검출할 수 있다.
이상에서, VPN 서버(20)와 인증 서버(30)가 별도로 구성되는 것으로 설명하였으나, VPN 서버(20)와 인증 서버(30)는 하나의 망분리 장치(110)로 통합되어 구성될 수도 있다.
도 2는 본 발명의 일 실시예에 따른 인증 서버를 나타내는 블록도이다.
도 2를 참조하면, 인증 서버(30)는 단말 정보 추출부(31), IP 리스트 검색부(32), OTP 생성부(33) 및 로그 정보 저장부(34)를 포함한다.
단말 정보 추출부(31)는 VPN 서버(20)로부터 수신한 패킷 정보로부터 제2 사용자 단말의 단말 정보를 추출한다. 단말 정보는 사용자 단말(10)의 고유 식별번호일 수 있다.
IP 리스트 검색부(32)는 내부망(40)에 접속 가능한 복수의 사용자 단말들 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함하는 IP 리스트를 보유하고 있으며, 제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색한다. AD 정책에 따라 복수의 사용자 단말들에게 부여된 계정에 대응하여 게스트 IP 주소는 미리 정해져 있을 수 있다. IP 리스트 검색부(32)는 제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되면 제2 사용자 단말이 VPN 서버(20)에 접속하여 데이터 패킷을 외부망(50)으로 전송할 권한을 가진 것으로 인증하고, 인증 정보를 OTP 생성부(33)에 전달한다.
OTP 생성부(33)는 IP 리스트 검색부(32)로부터 인증 정보를 전달받으면 미리 정해진 시간마다 값이 변경되는 OTP를 생성한다. 생성된 OTP는 게스트 IP 주소 및 계정과 함께 VPN 서버(20)로 전송된다.
만일, 제2 사용자 단말의 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되지 않으며, IP 리스트 검색부(32)는 제2 사용자 단말이 VPN 서버(20)에 접속할 권한을 갖지 않은 것으로 간주하고 인증 정보를 생성하지 않는다. 이에 따라, OTP 생성부(33)는 OTP를 생성하지 않게 된다.
로그 정보 저장부(34)는 OTP가 생성된 후 로그 정보를 생성하여 저장한다. 로그 정보는 제2 사용자 단말이 데이터 패킷을 외부 사이트에 전송한 기록을 포함한다. 로그 정보는 제2 사용자 단말의 단말 정보, 게스트 IP 주소 및 계정 중 적어도 어느 하나와 OTP가 생성된 인증 시간 및 데이터 패킷의 목적지 주소가 포함될 수 있다.
도 3은 본 발명의 일 실시예에 따른 망분리 방법을 나타내는 흐름도이다.
도 3을 참조하면, 게스트 OS(12)로 운영되는 사용자 단말(10)이 단말의 고유 식별번호 및 접속하고자 하는 외부 사이트의 IP 주소를 포함하는 데이터 패킷을 VPN 서버(20)로 전송하면, VPN 서버(20)는 데이터 패킷의 패킷 정보를 인증 서버(30)에 전송한다. 인증 서버(30)는 패킷 정보를 수신한다(S110). 패킷 정보는 사용자 단말의 고유 식별번호 및 외부 사이트의 IP 주소를 포함할 수 있다.
인증 서버(30)는 패킷 정보로부터 사용자 단말(10)의 단말 정보를 추출한다(S120). 단말 정보는 사용자 단말(10)의 고유 식별번호일 수 있다.
인증 서버(30)는 단말 정보를 기반으로 IP 리스트를 검색한다(S130). IP 리스트는 내부망(40)에 접속 가능한 복수의 사용자 단말들 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함한다. 인증 서버(30)는 IP 리스트에서 단말 정보에 대응하는 게스트 IP 주소 및 계정이 검색되면 사용자 단말(10)이 VPN 서버(20)에 접속할 권한이 있는 것으로 인증한다. 만일, 사용자 단말(10)의 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되지 않으면, 인증 서버(30)는 사용자 단말(10)이 VPN 서버(20)에 접속할 권한이 없는 것으로 간주하여 사용자 단말(10)의 VPN 서버(20) 접속을 차단한다.
인증 서버(30)는 단말 정보에 대응하는 게스트 IP 주소 및 계정이 IP 리스트에서 검색되면, 미리 정해진 시간마다 값이 변경되는 OTP를 생성한다(S140). 인증 서버(30)는 게스트 IP 주소, 계정 및 OTP에 따라 사용자 단말(10)의 VPN 서버(20)에의 접속을 인증한다. 인증 서버(30)는 단말 정보에 대응하는 게스트 IP 주소 및 계정과 생성된 OTP를 VPN 서버(20)에 전송한다. VPN 서버(20)는 게스트 IP 주소, 계정 및 OTP를 기반으로 사용자 단말(10)에게 게스트 IP 주소를 할당하고, 소스 주소로써 게스트 IP 주소를 추가하여 데이터 패킷을 변환한다. VPN 서버(20)는 변환된 데이터 패킷을 외부망(50)을 통해 외부 사이트에 전송한다.
인증 서버(30)는 OTP 생성 후 사용자 단말(10)이 데이터 패킷을 외부 사이트에 전송한 기록을 포함하는 로그 정보를 저장한다(S150). 로그 정보는 단말 정보, 게스트 IP 주소 및 계정 중에서 적어도 어느 하나와 인증 시간 및 목적지 주소(외부 사이트 IP 주소)를 포함한다. 망분리 시스템(100)의 관리자는 인증 서버(30)에 저장되어 있는 로그 정보를 이용하여 다수의 사용자 단말들 중에서 어떤 사용자 단말이 언제 어디로 데이터 패킷을 전송하였는지 검출할 수 있다.
상술한 바와 같이, VPN 서버(20)에 접속하기 위해 필요한 IP 주소, 계정 및 패스워드 중에서 IP 주소 및 계정을 사용자 단말(10)에 따라 고정적으로 할당함으로써 관리자가 망분리 시스템(100)을 효율적으로 관리할 수 있도록 함과 아울러, 패스워드로 OTP를 사용함으로써 악의적 사용자가 VPN 서버(20)에 침투하는 것을 방지할 수 있다.
지금까지 참조한 도면과 기재된 발명의 상세한 설명은 단지 본 발명의 예시적인 것으로서, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 사용자 단말
20 : VPN 서버
30 : 인증 서버
40 : 내부망
50 : 외부망
100 : 망분리 시스템
110 : 망분리 장치

Claims (15)

  1. 내부망 접속을 위해 부여된 호스트 IP(internet protocol) 주소를 이용하여 내부망에 접속하는 호스트 OS(operation system) 및 상기 호스트 OS와 소프트웨어 자원과 파일 시스템이 분리되어 있는 게스트 OS를 포함하는 사용자 단말;
    상기 사용자 단말이 상기 게스트 OS로 운영될 때, 상기 사용자 단말로부터 수신된 데이터 패킷에 대응하는 패킷 정보를 생성하는 VPN(virtual private network) 서버; 및
    상기 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하고, 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하여 상기 사용자 단말을 인증하고, 인증된 사용자 단말을 위해 원타임 패스워드를 생성하는 인증 서버를 포함하는 망분리 시스템.
  2. 제1 항에 있어서,
    상기 IP 리스트는 상기 내부망에 접속 가능한 복수의 사용자 단말 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함하는 망분리 시스템.
  3. 제2 항에 있어서,
    상기 복수의 사용자 단말 각각에게 고정적으로 호스트 IP 주소가 부여되고, 상기 복수의 사용자 단말들 각각의 게스트 IP 주소는 상기 복수의 사용자 단말들 각각에게 부여된 호스트 IP 주소에 연계되어 정해지는 망분리 시스템.
  4. 제1 항에 있어서,
    상기 VPN 서버는 상기 인증 서버로부터 상기 단말 정보에 대응하는 게스트 IP 주소 및 계정과 상기 원타임 패스워드를 전달받으면, 상기 게스트 IP 주소를 소스 주소로써 상기 데이터 패킷에 추가하여 변환하고, 변환된 데이터 패킷을 외부망으로 전송하는 망분리 시스템.
  5. 제4 항에 있어서,
    상기 인증 서버는 상기 단말 정보, 게스트 IP 주소 및 계정 중 적어도 어느 하나와 상기 사용자 단말을 인증한 인증 시간을 포함하는 로그 정보를 저장하는 망분리 시스템.
  6. 사용자 단말이 전송한 데이터 패킷의 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하는 단말 정보 추출부;
    상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하고, 상기 단말 정보가 상기 IP 리스트에서 검색되면 상기 사용자 단말이 외부망으로의 데이터 패킷 전송 권한을 가진 것으로 인증하는 IP 리스트 검색부; 및
    상기 단말 정보가 상기 IP 리스트에서 검색되면 미리 정해진 시간마다 값이 변경되는 원타임 패스워드를 생성하는 OTP(one-time password) 생성부를 포함하는 망분리 장치.
  7. 제6 항에 있어서,
    상기 IP 리스트는 내부망에 접속 가능한 복수의 사용자 단말 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함하는 망분리 장치.
  8. 제7 항에 있어서,
    상기 복수의 사용자 단말들 각각에게 고정적으로 호스트 IP 주소가 부여되고, 상기 복수의 사용자 단말들 각각의 게스트 IP 주소는 상기 복수의 사용자 단말 각각에게 부여된 호스트 IP 주소에 연계되어 정해지는 망분리 장치.
  9. 제6 항에 있어서,
    상기 사용자 단말은 내부망 접속을 위해 부여된 호스트 IP 주소를 이용하여 내부망에 접속하는 호스트 OS 및 상기 호스트 OS와 소프트웨어 자원과 파일 시스템이 분리되어 있는 게스트 OS를 포함하고,
    상기 데이터 패킷은 상기 게스트 OS로 운영되는 사용자 단말로부터 전송되는 망분리 장치.
  10. 제6 항에 있어서,
    상기 단말 정보, 게스트 IP 주소 및 계정 중 적어도 어느 하나와 상기 사용자 단말을 인증한 인증 시간을 포함하는 로그 정보를 저장하는 로그 정보 저장부를 더 포함하는 망분리 장치.
  11. 사용자 단말로부터 데이터 패킷을 수신하는 VPN 서버 및 상기 사용자 단말을 인증하는 인증 서버를 포함하는 망분리 시스템에서의 망분리 방법에 있어서,
    상기 사용자 단말로부터 수신된 데이터 패킷의 패킷 정보로부터 상기 사용자 단말의 단말 정보를 추출하는 단계;
    상기 단말 정보에 대응하는 게스트 IP 주소 및 계정을 IP 리스트에서 검색하는 단계;
    상기 단말 정보가 상기 IP 리스트에서 검색되면 미리 정해진 시간마다 값이 변경되는 원타임 패스워드를 생성하는 단계; 및
    상기 게스트 IP 주소, 계정 및 원타임 패스워드에 따라 상기 사용자 단말의 상기 VPN 서버에의 접속을 인증하고, 상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송하는 단계를 포함하고,
    상기 IP 리스트는 내부망에 접속 가능한 복수의 사용자 단말들 각각의 단말 정보에 대응하는 게스트 IP 주소 및 계정을 포함하는 망분리 시스템에서의 망분리 방법.
  12. 제11 항에 있어서,
    상기 단말 정보가 상기 IP 리스트에서 검색되지 않으면 상기 사용자 단말의 상기 VPN 서버에의 접속을 차단하는 단계를 더 포함하는 망분리 시스템에서의 망분리 방법.
  13. 제11 항에 있어서,
    상기 사용자 단말의 단말 정보를 추출하는 단계는,
    상기 사용자 단말로부터 고유 식별번호 및 외부 사이트의 IP 주소가 포함된 데이터 패킷이 상기 VPN 서버에 전송되는 단계;
    상기 VPN 서버가 상기 고유 식별번호 및 외부 사이트의 IP 주소를 포함하는 패킷 정보를 상기 인증 서버에 전송하는 단계; 및
    상기 인증 서버가 상기 단말 정보로써 상기 고유 식별번호를 추출하는 단계를 포함하는 망분리 시스템에서의 망분리 방법.
  14. 제11 항에 있어서,
    상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송하는 단계는,
    상기 데이터 패킷의 소스 주소로써 상기 단말 정보에 대응하는 게스트 IP 주소를 추가하여 상기 데이터 패킷을 변환하는 단계를 포함하는 망분리 시스템에서의 망분리 방법.
  15. 제11 항에 있어서,
    상기 원타임 패스워드가 생성되면 상기 데이터 패킷을 외부망을 통해 외부 사이트에 전송한 기록을 포함하는 로그 정보를 저장하는 단계를 더 포함하는 망분리 시스템에서의 망분리 방법.
KR1020120095218A 2012-08-29 2012-08-29 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법 KR101404161B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120095218A KR101404161B1 (ko) 2012-08-29 2012-08-29 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120095218A KR101404161B1 (ko) 2012-08-29 2012-08-29 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20140028615A true KR20140028615A (ko) 2014-03-10
KR101404161B1 KR101404161B1 (ko) 2014-06-05

Family

ID=50641984

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120095218A KR101404161B1 (ko) 2012-08-29 2012-08-29 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101404161B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102053836B1 (ko) * 2018-05-31 2019-12-09 (주)피디씨 폐쇄 내부망과 개방 내부망 간의 데이터 공유 방법 및 데이터 공유 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102419104B1 (ko) 2015-05-08 2022-07-11 대우조선해양 주식회사 망 분리 환경에서 메일 서비스 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100136572A (ko) * 2009-06-19 2010-12-29 김세용 클라이언트 어드레스 인증방식에 의한 일회용 비밀번호 생성 방법 및 장치
KR101089154B1 (ko) * 2010-03-05 2011-12-02 주식회사 안철수연구소 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102053836B1 (ko) * 2018-05-31 2019-12-09 (주)피디씨 폐쇄 내부망과 개방 내부망 간의 데이터 공유 방법 및 데이터 공유 시스템

Also Published As

Publication number Publication date
KR101404161B1 (ko) 2014-06-05

Similar Documents

Publication Publication Date Title
US10776489B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
US8214899B2 (en) Identifying unauthorized access to a network resource
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
CN105430011B (zh) 一种检测分布式拒绝服务攻击的方法和装置
US20150207812A1 (en) Systems and methods for identifying and performing an action in response to identified malicious network traffic
WO2011089788A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US11438306B2 (en) System and method of connecting a DNS secure resolution protocol
CN110401641B (zh) 用户认证方法、装置、电子设备
US10333977B1 (en) Deceiving an attacker who is harvesting credentials
EP3306900A1 (en) Dns routing for improved network security
CN113347072B (zh) Vpn资源访问方法、装置、电子设备和介质
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
US20060294595A1 (en) Component selector
US11956263B1 (en) Detecting security risks on a network
KR101772681B1 (ko) 방화벽 장치 및 그의 구동방법
US9678772B2 (en) System, method, and computer-readable medium
KR101404161B1 (ko) 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법
US10567518B2 (en) Automatic discovery and onboarding of electronic devices
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
JP5622088B2 (ja) 認証システム、認証方法
KR101772683B1 (ko) 방화벽 장치 및 그의 구동방법
O'Leary et al. Attacking the Windows Domain
JP2018067327A (ja) プライベートデータを保護するセキュアプロキシ
EP3675450B1 (en) System and method of connecting a dns secure resolution protocol

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170329

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190403

Year of fee payment: 6