KR20140059403A - 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 - Google Patents

네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR20140059403A
KR20140059403A KR1020120125826A KR20120125826A KR20140059403A KR 20140059403 A KR20140059403 A KR 20140059403A KR 1020120125826 A KR1020120125826 A KR 1020120125826A KR 20120125826 A KR20120125826 A KR 20120125826A KR 20140059403 A KR20140059403 A KR 20140059403A
Authority
KR
South Korea
Prior art keywords
network
data
interworking
sender
information
Prior art date
Application number
KR1020120125826A
Other languages
English (en)
Other versions
KR101425726B1 (ko
Inventor
최경호
이동휘
김귀남
Original Assignee
경기대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경기대학교 산학협력단 filed Critical 경기대학교 산학협력단
Priority to KR1020120125826A priority Critical patent/KR101425726B1/ko
Publication of KR20140059403A publication Critical patent/KR20140059403A/ko
Application granted granted Critical
Publication of KR101425726B1 publication Critical patent/KR101425726B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 LNSV은 제1 네트워크 연동 시스템, 연동 제어 시스템, 제2 네트워크 연동 시스템, 연동 모니터링 시스템을 포함하고, 상기 각 시스템들은 하이퍼바이저(Hypervisor)를 통해 논리적으로 분리 구성되어, 분리된 제1 및 제2 네트워크 사이에 구현된다. 따라서 분리된 네트워크들 각각에 포함된 사용자들과 개별 통신이 가능하지만, 분리된 네트워크에 속한 사용자들 간에 직접 통신 세션이 생성되지는 않는다. 따라서 분리된 네트워크들 간에 이동식 저장매체 없이도 데이터 송수신이 가능하며, 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용함과 동시에 네트워크 연결 정보에 의한 사용자 유효성 검증 과정을 거침으로써 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다.

Description

네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법{LINKED NETWORK SECURITY SYSTEM AND METHOD BASED ON VIRTUALIZATION IN THE SEPARATE NETWORK ENVIRONMENT}
본 발명은 네트워크 연계 보안 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 분리된 네트워크 간에 안전한 데이터 전송을 보장할 수 있는 네트워크 연계 보안 시스템 및 그 방법에 관한 것이다.
오늘날은 컴퓨터와 네트워크의 사용을 통해 업무를 추진하고 고부가가치를 창출하는 시대이다. 이미 정부, 기업 및 개인들은 컴퓨터와 네트워크로 구성된 사이버 공간을 업무와 생활을 영위하기 위한 필수 불가결한 요소로 받아들이고 있다. 따라서 이들은 사이버 공간의 안전을 위한 다양한 공격을 방어하는 일에 높은 관심을 가지고 있다. 그러나 이러한 관심에도 불구하고 사이버 위협은 심각한 피해를 유발하며 지속적으로 발생하고 있기 때문에, 지능화된 피싱, 스턱스넷(Stuxnet)을 이용한 중요 기반시설 공격 및 내부정보 유출과 같은 분야의 문제점과 대응책 관련 연구가 활발히 진행되고 있다.
이러한 문제를 해결하기 위한 한 가지 방법으로 종래에는 인트라넷과 인터넷을 분리 운영하였다. 도 1은 이러한 네트워크 분리 구성의 예를 도시한 도면으로서, 특히 물리적 및 논리적으로 네트워크를 분리하여 구현한 예를 도시한 도면이다. 도 1의 예에서 네트워크(Internet)(10)와 네트워크(Disconnected Network)(20)은 물리적 네트워크 분리의 예를 나타내고, 네트워크(Internet)(30)은 논리적 네트워크 분리의 예를 나타낸다. 물리적 네트워크 분리는 모든 시스템 및 네트워크를 하드웨어적으로 분리하는 것이며, 논리적 네트워크 분리는 소프트웨어적 기술을 이용하는 것이다.
이와 같이 네트워크가 물리적 또는 논리적으로 분리된 경우 그 네트워크들은 서로 통신을 할 수 없기 때문에, 별도의 데이터 전송 아키텍쳐를 필요로 한다. 예를 들어, 이동식 저장매체(예컨대, CD, USB 등)를 이용하여 네트워크 간에 데이터 전송을 수행하였다. 이 방법은 이동식 저장매체의 분실로 인한 데이터 유출의 위험, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성코드 전파의 위험 등을 감수해야 한다. 또한 USB의 인증 및 암호화 관련 시스템을 추가해야 하는 단점이 있다.
한편 분리된 네트워크 간 데이터 전송을 위해 도 2에 예시된 바와 같은 저장장치 기반 연계 서버(connected server based on storage)를 활용할 수도 있다. 즉 서로 분리된 네트워크들(예컨대, 인터넷과 인트라넷) 사이에 저장장치(60)를 설치하고 각각의 네트워크를 상기 저장장치(60)에 접속시키기 위한 별도의 서버들(40, 50, 70, 80)을 구축한 후, 각 네트워크에 속한 사용자들이 상기 저장장치(60)에 데이터를 저장함으로써 다른 네트워크에 속한 사용자가 그 저장장치(60)로부터 데이터를 읽어가도록 할 수도 있다. 하지만 이러한 방법은 별도로 다수의 서버와 저장장치를 구축 및 운영해야 하므로 접근통제 시스템 및 암/복호화 기능 등과 같은 다양한 요구사항들을 충족해야 한다. 따라서 IT 자산에 대한 투자 비용을 증대시키고, 시스템 및 네트워크 관리자와 사용자의 업무 효율을 저하시키는 단점이 있다.
따라서 본 연구에서는 네트워크 분리 환경에서 편리하고 안전하게 데이터를 전송할 수 있도록 하는 가상화 기반 네트워크 연계 보안 시스템 및 그 방법을 제공하고자 한다.
일 양태에 있어서, 가상화 기반 네트워크 연계 보안 시스템이 제공된다. 상기 가상화 기반 네트워크 연계 보안 시스템은 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서, 상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 장치들; 상기 네트워크 연동장치들 사이에서 암호화된 데이터를 송수신하는 연동 제어 장치; 상기 2 이상의 네트워크 연동장치들과 상기 연동 제어 장치의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 장치를 포함하되; 상기 2 이상의 네트워크 연동장치들, 상기 연동 제어 장치 및 상기 연동 모니터링 장치는 하나의 서버에서 논리적으로 분리된 장치들임을 특징으로 한다. 상기 2 이상의 네트워크 연동 장치들은 각각 상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스; 해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부; 분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부; 해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함한다. 한편 상기 연동 제어 장치는 상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동장치에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부; 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부; 상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동장치에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하고, 상기 연동 모니터링 장치는 상기 네트워크 연동장치들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 한다.
다른 양태에 있어서, 상기 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법이 제공된다. 상기 방법은 상기 제1 네트워크 연동 장치가 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계; 상기 송신자가 유효한 경우 상기 제1 네트워크 연동 장치가 송신 데이터를 암호화하여 저장하는 단계; 상기 제1 네트워크 연동 장치가 데이터 저장 알림 신호를 발생시키는 단계; 상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 장치가 상기 제1 네트워크 연동장치에 접속 후 송신 데이터를 읽어오는 단계; 상기 연동 제어 장치가 상기 제2 네트워크 연동 장치에 접속하여 상기 송신 데이터를 전송하는 단계; 상기 제2 네트워크 연동 장치가 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및 상기 송신자가 유효한 경우 상기 제2 네트워크 연동장치가 송신 데이터를 복호화하여 저장하는 단계를 포함한다. 상기 제1 및 제2 네트워크 연동 장치의 송신자 유효성 확인 단계는 상기 제1 및 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 한다. 상기 제1 네트워크 연동 장치의 송신 데이터 저장 단계는 상기 암호화된 송신 데이터를 송신자 식별정보 및 네트워크 연결정보, 수신자 식별정보 및 네트워크 연결정보와 함께 저장하고, 상기 송신 데이터 전송 단계는 상기 연동 제어 장치가 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계; 상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및 상기 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함할 수 있다.
본 발명은 분리된 네트워크 내에 각각 개별 저장장치를 설치하고, 논리적으로 분리된 연동 제어 장치를 이용하여 상기 개별 저장장치에 접속하여 데이터를 송수신하도록 함으로써 이동식 저장매체(예컨대, CD 또는 USB 등)의 사용 없이 분리된 네트워크 사이에 데이터 전송이 가능하다. 따라서, 이동식 저장매체의 분실로 인한 데이터 유출, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성 코드 전파의 위험으로부터 자유로울 수 있다.
또한 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용하고 네트워크 연결 정보에 의한 사용자 유효성을 검증함으로써, 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다. 따라서 시스템 및 네트워크 관리자, 그리고 사용자들이 단일 시스템의 관리 및 운영에만 전념할 수 있어서 효과적으로 업무를 추진할 수 있고, 네트워크 분리 환경에서 보안성 확보를 위한 초기 투자 비용이 적다는 장점이 있다.
또한 본 발명의 가상화 기반 네트워크 연계 보안 시스템은 개별 네트워크의 모든 사용자들이 네트워크 연결부(Network Connector)를 이용하여 접속할 수 있는 개방성을 지니고, 전송을 필요로 하는 모든 데이터들을 저장할 수 있는 범용성을 갖추고 있다.
도 1은 일반적인 네트워크 분리 구성의 예를 도시한 도면이다.
도 2는 종래의 실시 예에 따라 저장장치 기반 연계 서버를 이용한 시스템 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다.
도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다.
도 6은 본 발명의 일 실시 예에 따른 사용자 데이터베이스의 데이터 필드 구조를 예시한 도면이다.
도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다.
도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다.
도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다. 도 3을 참조하면, 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV: Linked Network Security system based on Virtualization)(100)은 인터넷(Internet)과 인트라넷(Intranet)으로 분리된 네트워크(즉, 물리적 또는 논리적으로 분리된 네트워크(Physically or Logically separate network)) 사이에 구현되며, 인터넷 서버(Internet Server)(40)와 인트라넷(분리된) 서버(Intranet(Disconnected) Server)(80)와 서로 데이터 통신을 수행한다. 따라서 본 발명의 LNSV(100)는 데이터를 송수신하는 사용자들(이 때, 각 사용자들은 분리된 네트워크에 연결됨)과 개별 통신이 가능하고, 각 사용자들 간에는 통신을 위한 세션이 생성되지 않는다. 즉, 사용자들 끼리 직접 통신이 이루어지지는 않는다.
도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다. 도 4를 참조하면 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV)(100)은 제1 네트워크 연동 시스템(120), 연동 제어 시스템(130), 제2 네트워크 연동 시스템(140), 연동 모니터링 시스템(150)을 포함하고, 상기 각 시스템들은 CPU((171), 메모리(Memory)(172), NIC(Network Information Center)(173), 디스크(Disk)(174) 등을 포함하는 하나의 하드웨어(Hardware)(170)위에 구현된 장치들로서, 하이퍼바이저(Hypervisor)(160)를 통해 논리적으로 분리된 가상의 시스템들이다. 이 때, ‘하이퍼바이저(160)’는 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체계(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어를 말한다. 즉, ‘하이퍼바이저(160)’는 다수의 OS를 하나의 컴퓨터 시스템에서 가동할 수 있게 하는 소프트웨어로 중앙 처리 장치(CPU)와 OS 사이에 일종의 중간웨어로 사용되며, 하나의 컴퓨터에서 서로 다른 OS를 사용하는 가상 컴퓨터를 만들 수 있는 효과적인 가상화 엔진을 말한다.
이와 같이 하이퍼바이저(160) 위에 구현된 본 발명의 시스템들을 각각 살펴보면 다음과 같다.
먼저, 제1 및 제2 네트워크 연동 시스템(120, 140)은 서로 분리된 제1 네트워크 및 제2 네트워크 각각과 연동한다. 도 3을 함께 참조하면 제1 및 제2 네트워크 연동 시스템(120, 140)은 각각 네트워크와의 연결을 제어하는 네트워크 접속자(Network Connector)(121, 141) 및 데이터 저장소(Storage)(122, 142)를 포함하며, 제1 네트워크 연동 시스템(120)은 도 3의 인터넷(Internet)과 연동하고, 제2 네트워크 연동 시스템(140)은 도 3의 인트라넷(Intranet)과 연동한다. 따라서 제1 네트워크 연동 시스템(120)의 네트워크 접속부(121)는 인터넷 서버(Internet Server) (40)와 연결되어 인터넷 서버(Internet Server)(40)와 데이터를 송수신하고, 제2 네트워크 연동 시스템(140)의 네트워크 접속부(141)는 인트라넷 서버(Intranet Server)(80)와 연결되어 인트라넷 서버(Intranet Server)(80)와 데이터를 송수신한다. 데이터 저장소(Storage)들(122, 142)은 다른 네트워크로 송신되어질 데이터를 암호화(Crytography)하여 저장하고, 다른 네트워크로부터 수신된 데이터는 복호화(Decryptography)하여 저장한다.
연동 제어 시스템(130)은 제1 및 제2 네트워크 연동 시스템(120, 140) 사이에서 암호화된 데이터를 송수신한다. 이를 위해 연동 제어 시스템(130)은 제1 네트워크 연동 시스템(120)과 접속하기 위한 제1 접속 제어부(Access Control)(131), 제2 네트워크 연동 시스템(140)과 접속하기 위한 제2 접속 제어부(Access Control)(132)를 포함하며, 제1 및 제2 접속 제어부(131, 132)들 간에는 암호화된 데이터를 전송하는 보안 통신(Security Communication)이 이루어진다.
연동 모니터링 시스템(150)은 제1 및 제2 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)의 동작 상태를 모니터링하고 데이터 전송 결과를 관리한다. 이를 위해 상기 모니터링 동작을 수행하는 가상화 기반 네트워크 연계 보안 시스템 모니터(LNSV Monitor)(151)와, 일자별/사용자별 데이터 저장 통계, 데이터 크기별/종류별 통계 등 사용 현황을 분석하여 보안 정책을 설정하는 보안정책부(Security Policy)(152)를 포함한다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다. 도 5에는 도 4의 제1 네트워크 연동 시스템(120)을 예로 들어 설명하고 있다. 도 5를 참조하면, 제1 네트워크 연동 시스템(120)은 네트워크 연결부(121), 데이터 저장부(122), 제어부(123), 사용자 DB(124)를 포함한다.
네트워크 연결부(121)는 제1 네트워크(예컨대, 인터넷) 사용자와 연결을 제어한다. 이 때, 사용자와 네트워크 연결부(121)는 웹기반 또는 에이전트 방식으로 연결할 수 있다. 웹기반 방식은 사용자가 PC에서 인터넷 접속 프로그램(예컨대, 인터넷 익스플로러 등) 상에 네트워크 연결부 주소(예컨대, URL 또는 IP 주소)를 입력하여 접속하는 방식이고, 에이전트 방식은 사용자가 PC에 설치된 전용 프로그램을 실행하여 접속하는 방식이다. 상기 방식들은 사용자가 GUI(Graphic User Interface)를 이용하기 때문에 직관적으로 파일의 선택 및 이동 명령을 손쉽게 할 수 있다.
한편, 네트워크 연결부(121)는 자료 전송 후 그 전송 자료를 사용자 PC에서 일정 기간 경과 후에 자동 삭제할 수 있다. 이는 전송했던 PC 또는 네트워크에 침해사고가 발생하더라도 분리된 네트워크로 이동된 파일의 내용을 알 수 없게 함으로써 전송 파일에 대한 보안을 강화하기 위함이다. 이를 위해 네트워크 연결부(121)는 사용자에게 지난 전송 목록 점검 결과를 알려주어 삭제가 필요한 파일의 유/무를 고지하고 사용자가 삭제 여부를 최종 결정하도록 하는 것이 바람직하다.
또한 네트워크 연결부(121)는 전송 가능한 파일의 유형을 미리 제한하고 그 제한된 유형의 파일만을 전송하도록 하고, 파일 전송에 대한 승인 및 결재자는 다수로 지정할 수 있다. 이 때 승인/결재의 형태는 사전승인, 사후승인, 반려, 승인 기능 미사용 등으로 설정할 수 있으며, 승인권자는 송신을 신청한 데이터와 승인 형태를 확인한 후 승인하고, 승인 알람을 발생시킬 수 있다.
데이터 저장부(122)는 분리된 다른 네트워크(예컨대, 인트라넷)로 송신하기 위한 데이터 또는 상기 다른 네트워크(예컨대, 인트라넷)로부터 수신되어진 데이터를 저장한다.
제어부(123)는 미리 설정된 제어 프로그램에 의거하여 제1 네트워크 연동 시스템(120)의 동작을 제어한다. 특히, 해당 네트워크(예컨대, 인터넷)로부터 데이터가 수신되면 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정한다. 그리고 상기 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 데이터 저장부(122)에 저장하되, 암호화하여 저장하고 ‘데이터 저장알림신호’를 발생시킨다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 사용자의 접속을 차단한다. 상기 ‘데이터 저장알림신호’는 연동 제어 시스템에게 다른 네트워크로 전송할 새로운 데이터가 생성되었음을 알리기 위한 것이다.
한편, 다른 네트워크(예컨대, 인트라넷)로부터 데이터가 수신된 경우 제어부(123)는 상기 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정하고 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 복호화하여 저장한다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 데이터를 무시한다.
사용자 DB(124)는 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장한다. 도 6은 이러한 사용자 DB(124)의 필드 구조를 예시한 도면으로서, 도 6을 참조하면 사용자 DB(200)는 사용자 식별정보를 저장하는 ID(201) 필드, 해당 사용자가 접속하는 IP 주소를 저장하는 IP 주소(203)필드 및 해당 사용자가 접속하는 포드 정보를 저장하는 포트 정보(205) 필드를 포함한다.
도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다. 도 5 및 도 7을 참조하면 연동 제어 시스템(130)은 제1 접속 제어부(131), 데이터 분석부(133) 및 제2 접속 제어부(132)를 포함한다.
제1 접속 제어부(131)는 특정 네트워크 연동 시스템에서 발생된‘데이터 저장 알림신호’에 응답하여 해당 네트워크 연동 시스템에 접속하여 새로이 저장된 데이터를 독출한다. 만약 도 5의 제1 네트워크 연동 시스템(120)에서 발생된 ‘데이터 저장 알림신호’를 수신한 경우 제1 접속 제어부(131)는 그에 응답하여 데이터를 송신하고자 하는 송신측 네트워크(예컨대, 인터넷)의 네트워크 연동 시스템, 즉, 제1 네트워크 연동 시스템(120)에 접속하여 제1 네트워크 연동 시스템(120) 내의 데이터 저장부(122)에 새로 저장된 데이터를 독출한다.
데이터 분석부(133)는 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출한다.
제2 접속 제어부(132)는 데이터 분석부(133)에서 검출한 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크(예컨대, 인트라넷)를 확인하고 수신측 네트워크 연동장치에 접속하여 데이터를 저장한다.
이 때, 연동 제어 시스템(130)은 송신측 네트워크 연동장치 상의 잔존 데이터를 삭제하는 것이 바람직하다. 즉, 제2 접속 제어부(133)가 수신측 네트워크 연동장치에 데이터 저장을 완료한 후, 제1 접속 제어부(131)는 송신측 네트워크 연동 장치에서 송신 완료된 데이터를 삭제하는 것이 바람직하다. 이는 관리자 등이 연동 제어 시스템(130) 내에서 사후에 해당 파일을 열람하는 일을 미연에 방지하고, 연동 제어 시스템(130)에 침해사고가 발생하더라도 이동된 파일의 내용을 알 수 없게 하도록 하기 위함이다. 이를 위해 연동 제어 시스템(130)은 전송 완료된 데이터를 자동 삭제하는 것이 바람직하다. 이는 사용자 또는 관리자가 해당 파일에 대한 추가적 작업을 하는 것이 불필요하기 때문이다.
도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다. 연동 모니터링 시스템은 본 발명의 가상화 기반 연계 보안 시스템의 각 구성 요소들의 동작을 모니터링하고 그 결과 도 8에 예시된 바와 같은 목록을 도출한다. 그리고 그 결과에 의거하여 보안 정책을 설정한다. 예를 들어, 특정 ID의 사용자가 유효하지 않은 경로로 접속을 시도한 횟수가 미리 설정된 임계치를 초과하는 경우 그 ID를 자동 삭제하는 등의 보안 정책을 설정할 수 있을 것이다.
도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다. 도 9는 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템(120, 140), 상기 제1 및 제2 연동 네트워크 시스템(120, 140) 사이에서 데이터를 송수신하는 연동 제어 시스템(130) 및 제1 및 제2 연동 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)을 모니터링하는 연동 모니터링 시스템(150)이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법에 대한 처리 절차가 예시되어 있다.
도 9를 참조하면 제1 네트워크 연동 시스템(120)에 사용자의 접속 시도가 감지될 경우(S101), 즉 제1 네트워크에 연결된 특정 사용자가 자신의 ID와 패스워드를 입력하여 제1 네트워크 시스템에 접속하고자 하는 경우, 제1 네트워크 연동 시스템(120)은 상기 사용자가 입력한 정보 및 그 네트워크 연결 정보(예컨대, IP 주소 및 포트 정보 등)를 이용하여 사용자의 유효성을 확인한다(S103). 상기 유효성 확인은 제1 네트워크 연동 시스템(120)에 미리 저장된 사용자 정보에 의거하여 상기 사용자(즉, 데이터 송신자)의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인한다. 상기 확인 결과 송신자가 정당한 사용자라고 판단되면(S105) 제1 네트워크 연동 시스템(120)은 상기 사용자(즉, 데이터 송신자)가 입력한 입력 데이터를 저장한다(S109). 이 때, 제1 네트워크 연동 시스템(120)은 상기 입력 데이터를 암호화하여 저장하되, 송신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)와 수신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)를 함께 저장한다. 또한 암호화 및 복호화를 위해 해시값(Hash value)를 함께 저장할 수 있다.
상기 판단(S105) 결과 송신자가 정당하지 않다고 판단되면 제1 네트워크 연동 시스템(120)은 해당 사용자(즉, 데이터 송신자)의 접속을 차단한다(S107).
한편 상기 과정(S109)에서 입력 데이터를 저장한 제1 네트워크 연동 시스템(120)은 데이터 저장 알림 신호를 출력한다(S111).
그러면 상기 데이터 저장 알림 신호를 확인한 연동 제어 시스템(130)은 그 데이터 저장 알림 신호에 응답하여 제1 네트워크 연동 시스템(120)에 접속 후(S113) 송신 데이터를 읽어온다(S115).
상기 제1 네트워크 연동 시스템(120)으로부터 송신 데이터를 읽어온 연동 제어 시스템(130)은 상기 송신 데이터를 분석하여 수신자 및 수신자의 네트워크 연결정보를 확인하고, 대응된 네트워크의 네트워크 연동 시스템에 접속한다. 도 9의 예에서 수신자의 네트워크에 대응된 네트워크 연동 시스템은 제2 네트워크 연동 시스템(140)이다. 따라서 연동 제어 시스템(130)은 제2 네트워크 연동 시스템(140)에 접속한 후(S117) 송신 데이터를 전송한다.
이 때 연동 제어 시스템(130)은 상기 데이터 분석 결과 중 하나인 송신자 정보, 즉, 송신자의 식별정보 및 네트워크 연결정보를 제2 네트워크 연동 시스템(140)으로 전송하고(S119), 그 송신자 정보에 의거하여 송신자 유효성을 확인한 제2 네트워크 연동 시스템(140)으로부터 전달된 수신 허용 알림 신호에 응답하여 송신 데이터를 제2 네트워크 연동 시스템(140)으로 전송하는 것이 바람직하다(S125, S127).
한편 제2 네트워크 연동 시스템(140)은 연동 제어 시스템(130)으로부터 전달된 송신자 정보에 의거하여 송신자 유효성을 확인하여(S121)하고, 그 결과 상기 송신자가 정당 사용자라고 판단되면(S123) 수신 허용 알림 신호를 연동 제어 시스템(130)으로 전송하고, 연동 제어 시스템(130)으로부터 데이터를 전달받아 그 데이터를 저장한다(S129). 이 때, 제2 네트워크 연동 시스템(140)은 상기 과정(S121)에서, 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다. 또한 과정(S129)에서는 수신된 데이터를 복호화한 후 저장한다.
상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다.
또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.

Claims (10)

  1. 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서,
    상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 장치들;
    상기 네트워크 연동장치들 사이에서 암호화된 데이터를 송수신하는 연동 제어 장치;
    상기 2 이상의 네트워크 연동장치들과 상기 연동 제어 장치의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 장치를 포함하되;
    상기 2 이상의 네트워크 연동장치들, 상기 연동 제어 장치 및 상기 연동 모니터링 장치는 하나의 서버에서 논리적으로 분리된 장치들임을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.
  2. 제1항에 있어서, 상기 2 이상의 네트워크 연동 장치들은 각각
    상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스;
    해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부;
    분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부;
    해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함하는 것을 특징으로 하는 네트워크 연계 보안 시스템.
  3. 제2항에 있어서, 상기 제어부는
    다른 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 복호화하여 저장하는 것을 특징으로 하는 네트워크 연계 보안 시스템.
  4. 제2항에 있어서, 상기 연동 제어 장치는
    상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동장치에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부;
    상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부;
    상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동장치에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하는 것을 특징으로 하는 네트워크 연계 보안 시스템.
  5. 제1항에 있어서, 상기 연동 모니터링 장치는
    상기 네트워크 연동장치들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 하는 네트워크 연계 보안 시스템.
  6. 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 장치, 상기 제1 및 제2 연동 네트워크 장치 사이에서 데이터를 송수신하는 연동 제어 장치가 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법에 있어서,
    상기 제1 네트워크 연동 장치가 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계;
    상기 송신자가 유효한 경우 상기 제1 네트워크 연동 장치가 송신 데이터를 암호화하여 저장하는 단계;
    상기 제1 네트워크 연동 장치가 데이터 저장 알림 신호를 발생시키는 단계;
    상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 장치가 상기 제1 네트워크 연동장치에 접속 후 송신 데이터를 읽어오는 단계;
    상기 연동 제어 장치가 상기 제2 네트워크 연동 장치에 접속하여 상기 송신 데이터를 전송하는 단계;
    상기 제2 네트워크 연동 장치가 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및
    상기 송신자가 유효한 경우 상기 제2 네트워크 연동장치가 송신 데이터를 복호화하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.
  7. 제6항에 있어서, 상기 제1 네트워크 연동 장치의 송신자 유효성 확인 단계는
    상기 제1 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.
  8. 제6항에 있어서, 상기 제1 네트워크 연동 장치의 송신 데이터 저장 단계는
    상기 암호화된 송신 데이터를 송신자 식별정보 및 네트워크 연결정보, 수신자 식별정보 및 네트워크 연결정보와 함께 저장하는 것을 특징으로 하는 네트워크 연계 보안 방법.
  9. 제6항에 있어서, 상기 송신 데이터 전송 단계는
    상기 연동 제어 장치가 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계;
    상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및
    상기 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.
  10. 제6항에 있어서, 상기 제2 네트워크 연동장치의 송신자 유효성 확인 단계는
    상기 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.
KR1020120125826A 2012-11-08 2012-11-08 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 KR101425726B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120125826A KR101425726B1 (ko) 2012-11-08 2012-11-08 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120125826A KR101425726B1 (ko) 2012-11-08 2012-11-08 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20140059403A true KR20140059403A (ko) 2014-05-16
KR101425726B1 KR101425726B1 (ko) 2014-08-01

Family

ID=50889220

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120125826A KR101425726B1 (ko) 2012-11-08 2012-11-08 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101425726B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180051719A (ko) * 2016-11-08 2018-05-17 (주) 퓨전데이타 Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법
KR101962408B1 (ko) * 2017-11-29 2019-03-26 한전케이디엔주식회사 망 혼용 단말 자동 탐지 시스템 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102510300B1 (ko) 2022-12-06 2023-03-15 (주)씨크랩 망분리 환경에서의 간접연동 시스템 및 이를 이용한 간접연동 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3566198B2 (ja) * 2000-09-13 2004-09-15 日本電信電話株式会社 仮想プライベートネットワーク間通信における接続管理方法及びその装置
GB2419702A (en) * 2004-10-29 2006-05-03 Hewlett Packard Development Co Virtual overlay infrastructures which can be suspended and later reactivated
KR100834270B1 (ko) * 2005-10-06 2008-05-30 주식회사 케이티프리텔 이동통신 기반의 가상사설망 서비스 제공 방법 및 시스템과이를 위한 이동단말기

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180051719A (ko) * 2016-11-08 2018-05-17 (주) 퓨전데이타 Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법
KR101962408B1 (ko) * 2017-11-29 2019-03-26 한전케이디엔주식회사 망 혼용 단말 자동 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR101425726B1 (ko) 2014-08-01

Similar Documents

Publication Publication Date Title
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US20220166794A1 (en) Application firewall
US10762209B2 (en) Boot security
Kesh et al. A framework for analyzing e‐commerce security
US7752320B2 (en) Method and apparatus for content based authentication for network access
Sangster et al. Network endpoint assessment (NEA): Overview and requirements
AU2006239379A1 (en) Method, system, and program product for connecting a client to a network
KR101425726B1 (ko) 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법
Arki et al. A multi-agent security framework for cloud data storage
Darwish et al. Privacy and security of cloud computing: a comprehensive review of techniques and challenges
Raja et al. Threat Modeling and IoT Attack Surfaces
Dhondge Lifecycle IoT Security for Engineers
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
US20230308433A1 (en) Early termination of secure handshakes
US20240146536A1 (en) Network access using hardware-based security
GANGWAR ACQUISITION AND ANALYSIS OF CRYPTOGRAPHIC KEYS IN IOT DEVICES
Mani et al. Network Working Group P. Sangster Request for Comments: 5209 Symantec Category: Informational H. Khosravi Intel

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170622

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180705

Year of fee payment: 5