KR20170024428A - Network security system and a method thereof - Google Patents

Network security system and a method thereof Download PDF

Info

Publication number
KR20170024428A
KR20170024428A KR1020150119696A KR20150119696A KR20170024428A KR 20170024428 A KR20170024428 A KR 20170024428A KR 1020150119696 A KR1020150119696 A KR 1020150119696A KR 20150119696 A KR20150119696 A KR 20150119696A KR 20170024428 A KR20170024428 A KR 20170024428A
Authority
KR
South Korea
Prior art keywords
user terminal
server
security
information
terminal
Prior art date
Application number
KR1020150119696A
Other languages
Korean (ko)
Other versions
KR101744631B1 (en
Inventor
전석기
소준영
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020150119696A priority Critical patent/KR101744631B1/en
Priority to PCT/KR2015/011066 priority patent/WO2017034072A1/en
Publication of KR20170024428A publication Critical patent/KR20170024428A/en
Application granted granted Critical
Publication of KR101744631B1 publication Critical patent/KR101744631B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a network security system which comprises: a plurality of user terminals using an internal network; a system server configured to store a plurality of major information or document information generated from at least one of the plurality of user terminals; a manager terminal and a user terminal configured to manage the plurality of user terminals; and a security server configured to protect the manager terminal and the system server.

Description

네트워크 보안 시스템 및 보안 방법{NETWORK SECURITY SYSTEM AND A METHOD THEREOF}[0001] NETWORK SECURITY SYSTEM AND A METHOD THEREOF [0002]

본 발명은 네트워크 보안 시스템 보안 방법에 관한 것으로, 외부의 알려지지 않은 해킹 위험에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법에 관한 것이다.The present invention relates to a network security system security method, and more particularly, to a network security system and a security method capable of coping with an unknown unknown hacking risk.

사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.Cyber attacks are organized and intelligent. Especially, APT (Intelligent Sustainable Threat) attack, which is a hacking organization for economic purposes and conducts covert and continuous intelligent attacks on specific attack targets, And it is becoming a serious social problem. In particular, the APT attack is the attack of hackers or hacking organizations to infiltrate malicious code into the attacking organization in order to illegally extract important information of the organization, then infecting the host of important information access authority with malicious code through continuous updating of malicious code , An attack method to leak important information.

국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법")에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.In Korean Patent No. 10-0635130 ("Kernel Backdoor Detection System and Method Using Window Network Monitoring"), network packets passing through TDI (Transport Driver Interface) layer and NDIS (Network Driver Interface Specification) And detects the kernel backdoor by separating the network packets generated from the normal network activity and the network packets generated from the malicious network behavior such as the kernel backdoor and filters the network packets generated from the kernel backdoor Discloses a system and method for detecting a kernel backdoor that can prevent an intrusion caused by a kernel backdoor.

그러나 국내등록특허 제10-0635130호는 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 있는 기술이 개시되어 있지 않다.However, Korean Patent Registration No. 10-0635130 is a technique limited to prevent intrusion into a kernel backdoor, and does not disclose a technique for preventing document leakage or hacking through terminals connected to a system server or an internal network.

본 발명이 해결하고자 하는 과제는 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 시스템의 침해 의심이 발생하는 경우 복구기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a method and system for performing an operation system patch, an application patch, a software distribution and a medium control for effective defense of a client system, which is a primary attack target of APT (Advanced Persistent Threat) And to provide a network security system and a security method capable of responding to an unknown hacking threat by applying the technology.

또한, 본 발명이 해결하고자 하는 다른 과제는 주요 정보 또는 문서 정보에 접근하는 사용자 및 관리자 클라이언트를 보호하고, 감시하여 주요 정보 또는 문서 정보 유출을 인지하고 위험 요소를 제거할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.Another problem to be solved by the present invention is to provide a network security system and security system capable of recognizing key information or document information leakage and removing risk elements by protecting and monitoring user and manager clients accessing key information or document information Method.

상기 과제를 해결하기 위하여, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서, 상기 보안 서버는 상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈; 상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및 상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템을 제공할 수 있다.According to an aspect of the present invention, there is provided an information processing system including a plurality of user terminals using an internal network, a system server storing a plurality of pieces of important information or document information generated by at least one of the plurality of user terminals, And a security server for protecting the user terminal, the administrator terminal and the system server, the security server comprising: a security server for managing important documents to be attacked from external hacking among the plurality of important information or document information, A preventive control module for analyzing a risk element of the important document and setting an access restriction of the plurality of user terminals from external hacking servers known to control the external access; And a log file of a user terminal that has generated network traffic for accessing the important document is stored. When an abnormal behavior including hacking is monitored in the user terminal, A detection control module for terminating the detection module; And a restoration control module for restoring the backup system image when the abnormality of the plurality of user terminals is monitored, when the abnormality of the plurality of user terminals is monitored, And the like.

상기 예방 통제 모듈은 상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부를 포함할 수 있다.The prevention control module evaluates the importance of the main information or the document information by giving a score of confidentiality, integrity and availability of the plurality of important information or document information, and evaluates the importance of the information asset And an evaluation unit.

상기 예방 통제 모듈은 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 취약성 분석부를 더 포함할 수 있다.The preventive control module analyzes and detects a risk factor for a document having a high degree of importance among the key information or document information and performs a security check on all the important information or document information when the risk factor is detected And may further include an analysis section.

상기 예방 통제 모듈은 상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부를 더 포함할 수 있다.The prevention control module may further include a control policy management unit for sending a security announcement to the user terminal through the administrator terminal and for allowing the user terminal to feedback the security notice.

상기 예방 통제 모듈은 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부; 상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C C&C(Command & Control) 서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부; 상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및 상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 더 포함할 수 있다.Wherein the prevention control module comprises: a terminal authentication unit for authenticating the user terminal using at least one authentication factor of the user ID and the OTP, the public key certificate, the ARS, and the QR code; A user terminal that has been authenticated by the terminal authentication unit accesses an external network through a C & C (Command & Control) server during the service, or monitors and manages the C & C server accessing the system server through the user terminal A server management unit; A user terminal controlling access to the P2P server or the harmful site, and when accessing the important information from the user terminal, checking the access time and the port to the user terminal in order to check whether the access is permitted or unauthorized access A server access control unit for sending an alert message to the administrator terminal after determining that the intruder or hacker is from an external server when there is no response to the notification message after sending the notification message; And a network traffic analyzing unit for collecting network traffic generated by the user terminal and setting a path.

상기 교정 통제 모듈은 상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부; 상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부; 상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및 상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함할 수 있다.Wherein the calibration control module includes: a TCP tagging and recognizing unit for tagging a unique ID in a network traffic or a network packet generated in the user terminal; A security agent management unit monitoring an installation of a security agent installed in the user terminal and transmitting the security agent to a user terminal that the security agent has not installed; A user terminal control unit for determining that the user information is an external attack when accessing the main information or document information without performing authentication at the user terminal and blocking access to the system server; And a system restoring unit for storing the backup image of the infected user terminal and restoring the infected user terminal to a pre-infection state, when it is determined that the user terminal is infected with at least one of the virus, malicious code, and spyware.

또한, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 보안 방법에 있어서, (a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계; (b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계; (c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계; (d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계; (e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계; (f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계; (g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및 (h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하는 보안 방법을 제공할 수 있다.According to another aspect of the present invention, there is provided an information processing system including a plurality of user terminals using an internal network, a system server storing a plurality of pieces of important information or document information generated by at least one of the plurality of user terminals, A security method performed in a security server for protecting a user terminal, an administrator terminal, and a system server, the security method comprising the steps of: (a) defining a control policy for controlling access to an external network or an unconfigured server; (b) an authentication step of performing authentication for permitting access to the system server to perform a task in the user terminal; (c) monitoring access to the main server, the C & C server, the P2P server, and the harmful site at the user terminal when performing the service of the user terminal in the security server, and checking whether the user policy violates the control policy; (d) notifying the administrator terminal when the security policy violates the security policy; (e) blocking the network of the user terminal in violation of the control policy in the security server; (f) storing a backup image of the user terminal in violation of the control policy in the security server; (g) recovering the user terminal through the backup image at the security server; And (h) performing digital forensics from the backup image at the security server.

상기 단계 (a) 이전에, 상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함할 수 있다.Prior to step (a), scores of confidentiality, integrity, and availability of a plurality of pieces of important information or document information stored in the system server are assigned to evaluate the importance of the main information or document information, Managing information; And analyzing and detecting a risk factor for a document having a high degree of importance among the main information or document information and performing a security check on all the main information or document information when the risk factor is detected .

상기 단계 (b)는 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증할 수 있다.The step (b) may be performed using at least one authentication factor of the user ID and the OTP, the authentication certificate, the ARS, and the QR code of the user terminal.

상기 단계 (h) 이후, 상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함할 수 있다.After the step (h), the digital forensic result may be reflected in the control policy.

본 발명의 실시 예에 따른 네트워크 보안 시스템 및 보안 방법은 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 내부 네트워크의 침입 의심이 발생하는 경우 복구 기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있다.The network security system and the security method according to the embodiment of the present invention may be implemented as an operating system patch, an application patch, a software distribution, and a media control for effective defense of a client system, which is a primary attack target of APT (Advanced Persistent Threat) In the event of suspected intrusion, recovery techniques can be applied to address unknown hacking threats.

또한, 사용자 단말 인식시 2팩터 인증을 통해 보안을 강화할 수 있고, 서비스 채널과 인증을 위한 채널을 다르게 하여 인증 시에 사용되는 정보를 보호할 수 있다.Further, security can be enhanced through two-factor authentication when recognizing a user terminal, and information used in authentication can be protected by making a channel for authentication different from that of a service channel.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도.
도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도.
도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도.
도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도.
도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도.
도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도.1 is a system diagram schematically illustrating a network security system according to an embodiment of the present invention;
FIG. 2 is a block diagram showing an internal configuration of the security server shown in FIG. 1. FIG.
3 is a block diagram showing the configuration of the preventive control module shown in FIG.
4 is a block diagram illustrating the detection control module shown in FIG. 2;
FIG. 5 is a block diagram showing the calibration control module shown in FIG. 2. FIG.
6 is a flowchart illustrating a network security method according to an embodiment of the present invention.

이하, 도면을 참조한 본 발명의 설명은 특정한 실시 형태에 대해 한정되지 않으며, 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있다. 또한, 이하에서 설명하는 내용은 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, the description of the present invention with reference to the drawings is not limited to a specific embodiment, and various transformations can be applied and various embodiments can be made. It is to be understood that the following description covers all changes, equivalents, and alternatives falling within the spirit and scope of the present invention.

이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용되는 용어로서, 그 자체에 의미가 한정되지 아니하며, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.In the following description, the terms first, second, and the like are used to describe various components and are not limited to their own meaning, and are used only for the purpose of distinguishing one component from another component.

본 명세서 전체에 걸쳐 사용되는 동일한 참조번호는 동일한 구성요소를 나타낸다.Like reference numerals used throughout the specification denote like elements.

본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 이하에서 기재되는 "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것으로 해석되어야 하며, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise. It is also to be understood that the terms " comprising, "" comprising, "or" having ", and the like are intended to designate the presence of stated features, integers, And should not be construed to preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

이하, 본 발명의 실시 예를 첨부한 도 1 내지 도 6을 참조하여 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1 to 6 attached hereto.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도이다.1 is a system diagram schematically illustrating a network security system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 시스템은 사용자 단말(10), 관리자 단말(20), 보안 서버(40) 및 시스템 서버(30)를 포함할 수 있다.Referring to FIG. 1, a network security system according to an embodiment of the present invention may include a user terminal 10, an administrator terminal 20, a security server 40, and a system server 30.

구체적으로, 사용자 단말(10)은 기업, 학교, 기관 등에서 사용되는 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다. Specifically, the user terminal 10 may include a terminal used in a company, a school, an institution, etc., a computer, a notebook, and a smart phone.

관리자 단말(20)은 사용자 단말(10)과 같은 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다.The administrator terminal 20 may include a terminal such as a computer such as the user terminal 10, a notebook computer, a smart phone, and the like.

시스템 서버(30)는 사용자 단말(10)과 내부 통신망을 통해 접속되어 사용자 단말(10)에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장할 수 있다. 시스템 서버(30)는 접속하는 사용자 단말(10)의 사용환경을 제공할 수 있다.The system server 30 is connected to the user terminal 10 through an internal communication network and can store a plurality of pieces of important information or document information generated in the user terminal 10. [ The system server 30 can provide the usage environment of the user terminal 10 to be connected.

보안 서버(40)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가하여 중요도별로 접근 권한을 설정한다. 예를 들면, 보안 서버(40)는 복수의 주요 정보 또는 문서 정보들 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가하고, 평가된 주요 정보 또는 문서 정보들을 중요도에 따라 접근 권한을 다르게 한다.The security server 40 evaluates the importance of a plurality of pieces of important information or document information and sets an access right for each importance. For example, the security server 40 evaluates the importance of key information or document information by giving scores on confidentiality, integrity, and availability of a plurality of pieces of important information or document information, and assigns the evaluated important information or document information to the importance Make different access rights accordingly.

또한, 보안 서버(40)는 위험 요소를 분석하여 위험 요소가 있는 주요 정보 또는 문서 정보의 접근을 통제한다. 보안 서버(40)는 주요 정보 또는 문서 정보의 접근 통제를 위하여 권한에 따른 사용자 단말(10)의 주요 정보 또는 문서 정보 접근을 통제한다.In addition, the security server 40 analyzes the risk factors and controls access to critical information or document information having a risk. The security server 40 controls access to key information or document information of the user terminal 10 according to the authority for access control of key information or document information.

보안 서버(40)는 외부 외부 해킹으로부터 주요 정보 또는 문서 정보를 보호하기 위하여, 해킹으로 사용되는 외부 서버를 등록하고, 사용자 단말(10)이 해킹의 주요 루트가 되는 외부 서버로 접속하는 것을 사전에 차단하거나, 외부 서버에서 사용자 단말(10)로 접근하는 것을 통제한다. The security server 40 registers an external server used for hacking and protects the user terminal 10 from accessing an external server that is a main route of hacking in order to protect key information or document information from external external hacking Or to access the user terminal 10 from an external server.

이를 위하여, 보안 서버(40)는 사용자 단말(10)의 네트워크 트래픽을 감시한다. 또한, 보안 서버(40)는 사용자 단말(10)의 로그 파일을 저장하며, 사용자 단말(10)을 통한 해킹을 포함하는 비정상행위가 모니터링되면 해당 사용자 단말의 업무를 종료시키거나, 사용자 단말(10)를 로그오프 시킨다.To this end, the security server 40 monitors the network traffic of the user terminal 10. The security server 40 stores the log file of the user terminal 10. When the abnormal operation including hacking through the user terminal 10 is monitored, the security server 40 terminates the task of the user terminal 10, ).

이때, 보안 서버(40)는 사용자 단말(10)의 백업 이미지를 생성하여 저장하고, 백업 이미지를 복원하여 사용자 단말(10)에 제공할 수 있다.At this time, the security server 40 may generate and store a backup image of the user terminal 10, restore the backup image, and provide the backup image to the user terminal 10.

보안 서버(40)는 백업 이미지 복원 이전에 사용자 단말(10)을 통해 접속된 해킹 서버 등의 위험에 대한 위험 요소를 업데이트하여 사용자 단말(10)에 공지할 수 있다.The security server 40 may update the risk factor for the risk of the hacking server or the like connected via the user terminal 10 prior to restoring the backup image and notify the user terminal 10 of the risk.

상기의 보안 서버(40)에 대한 설명은 도 2 내지 도 5를 참조하여 다시 상세히 하기로 한다.The security server 40 will be described in detail with reference to FIGS. 2 to 5. FIG.

도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도이고, 도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도이며, 도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도이며, 도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도이다.FIG. 2 is a block diagram showing the internal configuration of the security server shown in FIG. 1, FIG. 3 is a block diagram showing the configuration of the preventive control module shown in FIG. 2, FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2. Referring to FIG.

도 2 내지 도 5를 참조하면, 보안 서버(40)는 예방 통제 모듈(100), 탐지 통제 모듈(200) 및 교정 통제 모듈(300)를 구비할 수 있다.2 to 5, the security server 40 may include a prevention control module 100, a detection control module 200, and a calibration control module 300.

먼저, 예방 통제 모듈(100)은 정보 자산 평가부(110), 위험 분석부(120) 및 통제 정책 관리부(130)를 포함할 수 있다.First, the prevention control module 100 may include an information asset evaluation unit 110, a risk analysis unit 120, and a control policy management unit 130.

구체적으로, 정보 자산 평가부(110)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가한다. 정보 자산 평가부(110)는 미리 설정된 기준에 따라 복수의 주요 정보 또는 문서 정보들의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가한다. 예를 들면, 정보 자산 평가부(110)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보를 기밀성에 대하여 상, 중, 하 또는 A, B, C,... 또는 1, 2, 3, ... 등으로 등급을 설정한다. 예를 들면, 개인 정보, 금융 정보 등의 경우 기밀성을 높게 설정하고, 일반 업무 문서 등의 문서는 기밀성을 상대적으로 낮게 설정한다.Specifically, the information asset evaluation section 110 evaluates importance of a plurality of main information or document information. The information asset evaluation unit 110 evaluates the importance of key information or document information by giving scores on the confidentiality, integrity and availability of a plurality of pieces of important information or document information according to preset criteria. For example, the information asset evaluation unit 110 may classify major information or document information stored in the system server 30 into upper, middle, lower, or A, B, C, ... or 1, 2, ... and so on. For example, confidentiality is set high for personal information, financial information, and the like, and confidentiality is set relatively low for documents such as general business documents.

그리고 정보 자산 평가부(110)는 기밀성 평가가 완료된 문서에 대하여 결함 여부를 평가한다. 문서의 결함여부는 바이러스 또는 악성 코드의 감염여부, 문서의 작성 종결 여부, 암호화 여부 등을 통해 기밀성 평가와 같이 등급을 설정한다. 또한, 정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 가용성에 대하여 기밀성 평가와 같이 등급을 설정한다. Then, the information asset evaluation unit 110 evaluates whether or not the document having the confidentiality evaluation is defective. Whether or not the document is defective is determined by classification such as confidentiality evaluation through whether the virus or malicious code is infected, whether the document is terminated or not, and whether it is encrypted. In addition, the information asset evaluation unit 110 sets a rating such as confidentiality evaluation on the availability of key information or document information.

정보 자산 평가부(110)는 기밀성, 무결성 및 가용성을 종합하여 등급을 설정한다. 정보 자산 평가부(110)는 종합 등급이 높은 주요 정보 또는 문서 정보와 종합 등급이 낮은 주요 정보 또는 문서 정보 등을 구분한다.The information asset evaluation unit 110 sets a rating by combining the confidentiality, integrity, and availability. The information asset evaluation unit 110 distinguishes major information or document information having a high overall grade and major information or document information having a low overall grade.

정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 등급이 결정되면 등급에 따라 사용자 단말(10) 또는 관리자 단말(20)에서 접근시 접근 권한을 다르게 할 수 있다. 예를 들면, 주요 정보 또는 문서 정보의 등급이 높을 경우 사용자 단말(10)에서 접근이 불가능하도록 하며, 관리자 단말(20)에서만 접근이 가능하도록 할 수 있다. 또한, 주요 정보 또는 문서 정보의 등급이 낮아질 경우 사용자 단말(10)에서도 접근이 가능하도록 할 수 있다.The information asset evaluation unit 110 may change the access right when accessing from the user terminal 10 or the administrator terminal 20 according to the rank of the main information or the document information. For example, when the level of the main information or the document information is high, access from the user terminal 10 is disabled, and access from the administrator terminal 20 is possible. In addition, when the level of the main information or the document information is lowered, the user terminal 10 can access the information.

위험 분석부(120)는 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 위험 분석부(120)는 취약성 분석 도구를 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석하고, 신규 취약성에 발견되면 신규 취약성에 대한 안전성 검사를 수행하도록 관리자 단말(20)에 신규 취약성 발견에 대한 정보를 제공한다.The risk analysis unit 120 analyzes a vulnerability of the network or a vulnerability of key information or document information. The risk analysis unit 120 analyzes the potential risk factors of the main information or the document information using the vulnerability analysis tool and detects a new vulnerability in the administrator terminal 20 so as to perform a security check on the new vulnerability if it is found in the new vulnerability Provide information about

또한, 위험 분석부(120)는 잠재적 위험 요소의 취약성 검사 및 취약성 발견 정보와 관련된 이력을 저장하며, 이러한 이력을 관리자 단말(20)에 제공할 수 있다. In addition, the risk analysis unit 120 may store a history related to the vulnerability checking and vulnerability detection information of the potential risk element, and may provide such a history to the administrator terminal 20.

위험 분석부(120)는 관리자 단말(20)로 제공되는 취약성 정보 또는 이력을 시각적으로 인지하도록 그래프, 도형, 수치 등으로 제공할 수 있다.The risk analysis unit 120 may provide vulnerability information or history provided to the administrator terminal 20 in a graph, a graphic form, a numerical value, or the like so as to visually recognize the vulnerability information or history.

통제 정책 관리부(130)는 주요 정보 또는 문서 정보에 접근을 통제하기 위하여, 사용자 단말(10) 또는 관리자 단말(20)이 인가되지 않은 웹서버로 접근하는 것을 통제한다. 이를 위하여, 통제 정책 관리부(130)는 접속 가능한 웹서버 또는 접속 차단한 웹서버의 URL 정보를 미리 설정한다. 통제 정책 관리부(130)는 사용자 단말(10) 또는 관리자 단말(20)에서 접속 차단한 웹서버의 URL 접속시 접속을 차단하도록 통지할 수 있다.The control policy management unit 130 controls access to the unauthorized web server of the user terminal 10 or the administrator terminal 20 in order to control access to the main information or document information. For this, the control policy management unit 130 sets the URL information of the connectable web server or the blocked web server in advance. The control policy management unit 130 may notify the user terminal 10 or the administrator terminal 20 to block the connection when accessing the URL of the web server disconnected from the user terminal 10 or the administrator terminal 20. [

또한, 통제 정책 관리부(130)는 사용자 단말(10)로 보안공지를 강제하도록 할 수 있다. 예를 들면, 통제 정책 관리부(130)는 관리자 단말(20)에서 사용자 단말(10)로 보안공지를 웹페이지 형태로 전송하면, 사용자 단말(10)의 접속된 웹페이지를 차단하고, 보안공지 웹페이지로 접속을 유도할 수 있다.In addition, the control policy management unit 130 may force the security announcement to the user terminal 10. For example, when the security policy management unit 130 transmits a security notice in the form of a web page from the administrator terminal 20 to the user terminal 10, the control policy management unit 130 blocks the connected web page of the user terminal 10, Page. ≪ / RTI >

통제 정책 관리부(130)는 관리자 단말(20)에서 발송된 보안공지를 사용자 단말(10)의 확인 여부를 파악하기 위하여 사용자 단말(10)로 전송된 보안공지를 관리자 단말(20) 또는 통제 정책 관리부(130)에 피드백하도록 할 수 있다.The control policy management unit 130 transmits the security notice sent to the user terminal 10 to the administrator terminal 20 or the control policy management unit 20 in order to determine whether the user terminal 10 confirms the security notice sent from the administrator terminal 20. [ The control unit 130 may feed back the feedback signal.

예방 통제 모듈(100)은 단말 인증부(210), 서버 관리부(220), 서버 접근 통제부(230) 및 네트워크 트래픽 분석부(240)를 포함할 수 있다.Prevention control module 100 may include a terminal authentication unit 210, a server management unit 220, a server access control unit 230, and a network traffic analysis unit 240.

구체적으로, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)의 업무를 위한 시스템 서버(30) 접속 인증을 수행할 수 있다. 이때, 단말 인증부(210)는 2개 이상의 인증 요소를 사용하여 인증할 수 있는 2팩터(2 factor) 인증 방식을 사용할 수 있다. 예를 들면, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)에서 아이디(ID)와 패스워드(Password) 입력시 1차 인증을 수행하고, 1차 인증이 완료되면 이후 OTP, 공인인증서, ARS, QR코드 등의 방식을 이용하여 2차 인증을 수행한다. 이를 통해 단말의 접속 보안을 강화할 수 있다. Specifically, the terminal authentication unit 210 may perform connection authentication of the system server 30 for the tasks of the user terminal 10 or the administrator terminal 20. At this time, the terminal authentication unit 210 may use a two factor authentication method that can authenticate using two or more authentication elements. For example, the terminal authentication unit 210 performs the primary authentication when the ID and the password are input from the user terminal 10 or the administrator terminal 20, and when the primary authentication is completed, Secondary authentication is performed by using public certificate, ARS, QR code, etc. This makes it possible to enhance the access security of the terminal.

이때, 단말 인증부(210)는 별도의 채널을 통해 인증을 수행하며, 인증용 채널은 다른 서비스를 이용하지 않는 것이 바람직하다. 이를 통해, 사용자 단말(10) 또는 관리자 단말(20)은 인증 중에 공격자의 계정 탈취에 대한 위험을 원천적으로 차단할 수 있다.At this time, it is preferable that the terminal authentication unit 210 performs authentication on a separate channel, and the authentication channel does not use any other service. Accordingly, the user terminal 10 or the administrator terminal 20 can fundamentally block the risk of an attacker's account hijacking during authentication.

단말 인증부(210)에서 인증이 완료되면, 시스템 서버(30)에 이를 통지하여 사용자 단말(10) 또는 관리자 단말(20)에서 시스템 서버(30)로 접근하도록 할 수 있다.When authentication is completed in the terminal authentication unit 210, the terminal authentication unit 210 notifies the system server 30 of the authentication and access from the user terminal 10 or the administrator terminal 20 to the system server 30.

서버 관리부(220)는 지능형 타깃 지속 공격(APT; Advanced Persistent Threat)의 호스트 역할을 역할을 하는 C&C(Command & Control) 서버의 IP 목록을 관리하고, 이에 대한 관련 정보를 수집 및 분석한다. 서버 관리부(220)는 RSS 서비스로 제공되는 신규 C&C 서버의 목록을 주기적으로 업데이트하여 사용자 단말(10) 또는 관리자 단말(20)에서 C&C 서버를 통해 접속하거나, C&C 서버를 통해 사용자 단말(10) 또는 관리자 단말(20)이 시스템 서버(30)로 접속하는 것을 관리할 수 있다.The server management unit 220 manages an IP list of a C & C (Command & Control) server serving as a host of an intelligent target persistent attack (APT) and collects and analyzes related information. The server management unit 220 periodically updates the list of the new C & C servers provided as RSS services and accesses the user terminal 10 or the administrator terminal 20 through the C & C server or the user terminal 10 or the user terminal 10 through the C & It is possible to manage the connection of the administrator terminal 20 to the system server 30.

서버 접근 통제부(230)는 사용자 단말(10) 또는 관리자 단말(20)이 P2P서버 또는 유해 사이트에 접근하는 것을 통제할 수 있다. 서버 접근 통제부(230)는 미리 설정된 P2P서버 또는 유해 사이트의 URL정보를 이용하여 유해 사이트의 접근을 통제할 수 있다. 이때, 서버 접근 통제부(230)는 C&C 서버 접속 이외의 P2P서버 또는 유해 사이트들의 접근을 통제한다.The server access control unit 230 can control access of the user terminal 10 or the administrator terminal 20 to the P2P server or the harmful site. The server access control unit 230 can control the access to the harmful site by using the URL information of the P2P server or the harmful site set in advance. At this time, the server access control unit 230 controls access to P2P servers or harmful sites other than the C & C server access.

서버 접근 통제부(230)는 단말들에서 주요 정보 또는 문서 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 단말들에 접속 시간 및 포트를 정하는 공지 메시지를 전송한다. When accessing the main information or the document information at the terminals, the server access control unit 230 transmits a notification message for determining the connection time and the port to the terminals in order to confirm whether the access is permitted or unauthorized access.

이때, 서버 접근 통제부(230)는 공지 발송 이후, 공지에 대한 회신이 없을 경우 외부 서버의 침입으로 판단하여 관리자 단말(20)에 설정된 전화번호, 메신저, 이메일 등을 이용하여 경고 메시지를 전송한다.At this time, if there is no reply to the notification, the server access control unit 230 determines that it is an intrusion of the external server and transmits a warning message using the phone number, messenger, e-mail, etc. set in the administrator terminal 20 .

또한, 서버 접근 통제부(230)는 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근시 이를 탐지하여 관리자 단말(20)에 통보한다.In addition, the server access control unit 230 detects the access to the main information or the document information at the user terminal 10, and notifies the administrator terminal 20 of the detection.

네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 발생되는 모든 네트워크 트래픽을 수집하고 경로를 저장한다. 이때, 네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 허가되지 않은 주요 정보 또는 문서 정보의 접속이 모니터링될 경우 해당 사용자 단말(10)의 정확한 분석을 위하여 포트, 서비스 활성 상태, 주요 윈도우 로그 등을 수집할 수 있다.The network traffic analyzing unit 240 collects all the network traffic generated by the user terminal 10 and stores the path. In this case, when the connection of the main information or the document information which is not permitted in the user terminal 10 is monitored, the network traffic analyzing unit 240 analyzes the port, service active state, main window log And so on.

한편, 네트워크 트래픽 분석부(240)는 URL과 IP의 사전 매칭을 이용하여 미리 등록된 사이트 또는 서버에 대해서 패킷 감시를 수행하지 않을 수 있다.On the other hand, the network traffic analyzing unit 240 may not perform packet monitoring on a site or a server registered in advance using the dictionary matching of URL and IP.

한편, 네트워크 트래픽 분석부(240)는 IP 기반 C&C 서버의 탐지를 위하여 암호화 통신을 통해 전달되는 비밀 패킷을 모니터링할 수 있다. Meanwhile, the network traffic analyzing unit 240 can monitor the secret packets transmitted through the encrypted communication for the detection of the IP-based C & C server.

교정 통제 모듈(300)은 TCP 패킷 태깅 및 인식부(310), 보안 에이전트 관리부(320), 중앙 문서 관리부(330), 사용자 단말 제어부(340) 및 시스템 복원부(350)를 포함할 수 있다.The calibration control module 300 may include a TCP packet tagging and recognizing unit 310, a security agent managing unit 320, a central document managing unit 330, a user terminal controlling unit 340, and a system restoring unit 350.

구체적으로, TCP 패킷 태깅 및 인식부(310)는 내부 네트워크의 공유기를 사용하는 사용자 단말(10)에서 발생한 네트워크 패킷을 구별하기 위하여 사용자 단말(10)에서 발생한 모든 TCP 패킷에 고유 ID를 태깅할 수 있다. 이를 통해, TCP 패킷 태깅 및 인식부(310)는 TCP 패킷을 구분할 수 있어 네트워크 트래픽 분석부(240)에서 수집된 네트워크 트래픽을 용이하게 분석하도록 할 수 있다.Specifically, the TCP packet tagging and recognizing unit 310 may tag the unique IDs in all the TCP packets generated by the user terminal 10 in order to distinguish the network packets generated in the user terminal 10 using the router of the internal network have. Accordingly, the TCP packet tagging and recognizing unit 310 can classify the TCP packets and can easily analyze the network traffic collected by the network traffic analyzing unit 240.

보안 에이전트 관리부(320)는 사용자 단말(10)에 설치되는 보안 에이전트(예를 들면, 보안 프로그램 또는 안티 바이러스 프로그램 등)의 설치를 감시하고, 보안 에이전트가 설치되지 않은 사용자 단말(10)에 보안 에이전트를 설치하도록 보안 에이전트를 사용자 단말(10)에 전송할 수 있다.The security agent management unit 320 monitors the installation of a security agent (for example, a security program or an anti-virus program) installed in the user terminal 10 and notifies the security agent To the user terminal (10).

또한, 보안 에이전트 관리부(320)는 사용자 단말(10)에 설치된 보안 에이전트에 최신 버전의 업데이트를 진행한다.Also, the security agent management unit 320 proceeds to update the latest version to the security agent installed in the user terminal 10.

중앙 문서 관리부(330)는 사용자 단말(10)에서 작업된 문서를 시스템 서버(30)에 저장할 수 있도록 파일 시스템 드라이버를 사용한다. 여기서, 파일 시스템 드라이버는 사용자 단말(10)의 문서 작성 표준 파일 시스템일 수 있다.The central document management unit 330 uses the file system driver to store the document processed in the user terminal 10 in the system server 30. Here, the file system driver may be a document creation standard file system of the user terminal 10. [

사용자 단말 제어부(340)는 허가되지 않은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근할 경우 이를 외부 공격으로 판단하고, 사용자 단말(10)의 네트워크를 통신 및 주요 매체(시스템 서버 등)으로 접근을 차단할 수 있다. 사용자 단말 제어부(340)는 사용자 단말(10)에 접근하여 내부에 악성코드, 스파이웨어, 바이러스, 스파이 봇 등의 위험요소로 분류된 프로세스 또는 프로그램의 실행을 강제로 종료시키거나, 해당 프로세서의 실행을 방지할 수 있다. 그리고, 사용자 단말 제어부(340)는 상기 위험 요소가 발견되지 않은 사용자 단말(10)에 시스템 서버(30)로 접근이 가능하도록 1회용 암호를 생성하여 전송하고, 암호 입력시 시스템 서버(30)로 접근을 허락한다.When accessing the main information or document information from the unauthorized user terminal 10, the user terminal control unit 340 determines that the attack is an external attack and transmits the network of the user terminal 10 to the main medium (system server, etc.) Access can be blocked. The user terminal control unit 340 accesses the user terminal 10 and forcibly terminates execution of a process or program classified as a dangerous element such as malicious code, spyware, virus, spybot, or the like, Can be prevented. The user terminal control unit 340 generates and transmits a one-time password so that the system server 30 can access the user terminal 10 in which the risk factor is not found, and transmits the one-time password to the system server 30 Allow access.

시스템 복원부(350)는 사용자 단말(10)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면, 해당 사용자 단말의 백업 이미지를 저장한다.When it is determined that the user terminal 10 is infected with a virus, a malicious code, a spyware, or a spybot, the system restoring unit 350 stores a backup image of the corresponding user terminal.

시스템 복원부(350)는 사용자 단말(10)을 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염 이전 상태로 복원한다. 이때, 시스템 복원부(350)는 디지털 포렌식을 수행하고, 포렌식 결과를 통제 정책 관리부(130)에 통보할 수 있다.The system restoring unit 350 restores the user terminal 10 to a state before infection with viruses, malicious codes, spyware, spybots, and the like. At this time, the system restoring unit 350 may perform digital forensic and notify the control policy management unit 130 of the forensic result.

도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도이다.6 is a flowchart illustrating a network security method according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 방법은 보안 서버의 예방 통제 모듈에서 통제 정책을 정의하는 단계(S150), 사용자 단말의 인증을 수행하는 단계(S220), 사용자 단말의 업무 수행 시 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 통제 정책 위반 여부를 확인하는 단계(S297), 통제 정책 위반 시 교정 통제 모듈에서 관리자 단말에 통지하는 단계(S310), 사용자 단말의 네트워크를 차단하는 단계(S320), 포렌식을 위한 이미지 보관 단계(S330), 이미지 복구 단계(S340), 포렌식 단계(S335) 및 포렌식 결과에 대한 통제 정책 반영 단계(S357)를 포함할 수 있다.Referring to FIG. 6, a network security method according to an exemplary embodiment of the present invention includes defining a control policy in a prevention control module of a security server (S150), performing authentication of a user terminal (S220) (S297) of monitoring the access of the main server, the C & C server, the P2P server, and the harmful site in the user terminal, checking whether the control policy is violated (S297), notifying the administrator terminal of the control policy violation , Blocking the network of the user terminal (S320), storing the image for the forensic process (S330), recovering the image (S340), forensic step (S335), and reflecting the control policy for the forensic result (S357) can do.

구체적으로, 통제 정책을 정의하는 단계(S150)는 예방 통제 모듈(100)에서 수행되는 단계이다. 통제 정책을 정의하는 단계(S150) 이전에 정보 자산 업무 영향 평가 단계(S110), 중요 자산을 식별하는 단계(S120), 위험 분석 단계(S130) 및 취약점 분석 단계(S140)가 선행된다. Specifically, the step of defining a control policy (S150) is a step performed in the prevention control module 100. [ Prior to the step of defining the control policy (S150), the information asset operation impact evaluation step (S110), the step of identifying the important assets (S120), the risk analysis step (S130) and the vulnerability analysis step (S140) are preceded.

정보 자산 업무 영향 평가 단계(S110) 및 중요 자산을 식별하는 단계(S120)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보들을 설정된 기준에 따라 중요도를 평가하고, 중요도에 따라 중요 자산을 식별한다. 주요 정보 또는 문서 정보들의 중요도는 상술한 바와 같이, 정보 자산 평가부(110)에서 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성을 평가한다. 이때, 높은 등급의 주요 정보 또는 문서 정보들이 중요 자산으로 구분한다.The information asset operation impact evaluation step (S110) and the step of identifying the important assets (S120) evaluate the importance of important information or document information stored in the system server (30) according to the set criteria and identify the important asset according to the importance . As described above, the importance of the main information or the document information is evaluated by the information asset evaluation section 110 to evaluate the confidentiality, integrity and availability of key information or document information. At this time, high-level key information or document information is classified as important assets.

다음으로, 위험 분석 단계(S130) 및 취약점 분석 단계(S140)는 예방 통제 모듈(100)에서 내부 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 이때, 취약성 분석 도구 또는 프로그램을 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석한다. 위험 분석 단계(S130)에서 주요 정보 또는 문서 정보의 위험 요소가 발견되면 안전성 검사를 수행하고, 관리자 단말(20)에 이를 통지한다.Next, the risk analysis step (S130) and the vulnerability analysis step (S140) analyze vulnerability of the internal network or vulnerability of key information or document information in the prevention control module (100). At this time, vulnerability analysis tools or programs are used to analyze the potential risks of key information or document information. In the risk analysis step (S130), if a risk element of the main information or the document information is found, the security check is performed and the administrator terminal (20) is notified of the risk.

통제 정책을 정의하는 단계(S150)는 주요 정보 또는 문서 정보의 접근을 통제하기 위하여, 접속 가능한 서버의 URL과 접속 금지한 서버의 URL을 정의한다. 이를 통해, 사용자 단말 또는 관리자 단말에서 접속 금지한 서버의 URL로 접근 시 이를 차단하고, 사용자 단말(10) 또는 관리자 단말(20)에서 수행되는 업무를 종료 시킬 수 있다.The step of defining the control policy (S150) defines the URL of the accessible server and the URL of the prohibited server in order to control the access of the main information or the document information. Accordingly, when a user terminal or an administrator terminal accesses a URL of a server that is prohibited from accessing, it is possible to terminate the task performed by the user terminal 10 or the administrator terminal 20.

또한, 통제 정책을 정의하는 단계(S150)는 사용자 단말(10)로 보안 공지를 강제하도록 하는 단계를 포함할 수 있다. 이때, 예방 통제 모듈(100)에서 관리자 단말(20)을 통해 보안 공지를 사용자 단말(10)로 전송하도록 유도하며, 보안 공지를 수신한 사용자 단말(10)은 접속된 웹페이지를 차단하고, 보안 공지 웹페이지로 접속되도록 할 수 있다.In addition, defining a control policy (S150) may include enforcing the security announcement to the user terminal (10). At this time, the preventive control module 100 instructs the administrator terminal 20 to transmit the security notice to the user terminal 10, and the user terminal 10 receiving the security notice blocks the connected web page, And can be connected to a known web page.

사용자 단말의 인증을 수행하는 단계(S220)는 사용자 단말(10)이 시스템 서버(30)에 접근 시 2팩터(2factor)인증을 미리 수행한다. 이때, 2팩터 인증은 상술한 바와 같이 사용자 아이디와 패스워드를 통해 1차 인증을 수행하고, 추가 인증 수단(예를 들면, OTP, 공인인증서, ARS, QR코드 등)을 이용하여 2차 인증을 수행한다.Performing the authentication of the user terminal (S220) performs 2 factor authentication in advance when the user terminal 10 accesses the system server 30. At this time, the two-factor authentication performs the primary authentication through the user ID and the password as described above, and performs the secondary authentication using the additional authentication means (for example, OTP, authorized certificate, ARS, QR code, etc.) do.

이때, 2팩터 인증이 수행되지 않을 경우, 사용자 단말(10)이 시스템 서버(30)로 접속하지 못하도록 하거나, 사용자 단말(10)을 종료시킬 수 있다(S225).At this time, if the two-factor authentication is not performed, the user terminal 10 may be prevented from accessing the system server 30 or the user terminal 10 may be terminated (S225).

인증이 완료된 사용자 단말(10)은 업무 이후 생성된 주요 정보 또는 문서 정보를 시스템 서버에 저장할 수 있다(S230, S235). 또한, 사용자 단말(10)은 관리자 단말(20)로부터 수신되는 주요 보안 사항 공지를 수신할 수 있다(S240). 관리자 단말(20) 또는 시스템 서버(30)는 이에 상응하는 확인 로그를 저장할 수 있다. 사용자 단말(10)은 사용자 단말 제어부(340)로부터 보안 에이전트를 수신하여 사용자 단말(10) 내부의 보안 점검을 수행한다(S250). 이때, 보안 에이전트는 주기적으로 업데이트된다. 이후, 보안 점검에 대한 결과를 시스템 서버(30) 또는 보안 서버(40)에 결과 로그를 저장할 수 있다(S255). 보안 점검 이후 사용자 단말(10)은 업무수행을 계속 진행할 수 있다(S260).The authenticated user terminal 10 may store important information or document information generated after the job in the system server (S230, S235). In addition, the user terminal 10 may receive the main security notice from the administrator terminal 20 (S240). The administrator terminal 20 or the system server 30 can store the corresponding confirmation log. The user terminal 10 receives the security agent from the user terminal control unit 340 and performs a security check in the user terminal 10 (S250). At this time, the security agent is periodically updated. Thereafter, the result of the security check may be stored in the system server 30 or the security server 40 (S255). After the security check, the user terminal 10 can continue the task execution (S260).

한편, 탐지 통제 모듈(200)은 사용자 단말(10)의 업무수행 중 사용자 단말(10)로부터 비정상 행위를 감시한다(S270). 이때, 사용자 단말(10)에서 비정상 행위가 감지되지 않을 경우 정상적으로 업무를 수행하고, 업무 수행 이후 종료한다. 여기서, 업무종료 이후, 교정 통제 모듈(300)은 사용자 단말(10)로 전송한 보안 패치의 여부를 확인한다(S350). 보안패치 확인 결과 보안 패치의 필요성이 없을 경우 최종적으로 사용자 단말(10)의 윈도우를 종료시킬 수 있다. 보안 패치가 필요할 경우 사용자 단말(10)의 이미지를 저장한다. 이어서, 사용자 단말(10)에 보안 패치를 설치하고(S370), 설치 정보에 대한 로그 파일을 저장한다. 이어서, 사용자 단말(10)의 시스템 이미지를 저장한 이후(S375), 시스템 이미지를 복구한다(S360).Meanwhile, the detection control module 200 monitors an abnormal behavior from the user terminal 10 during the service of the user terminal 10 (S270). At this time, if the abnormal operation is not detected in the user terminal 10, the normal operation is performed and the operation ends after the operation is performed. Here, after the job is completed, the calibration control module 300 checks whether there is a security patch sent to the user terminal 10 (S350). As a result of checking the security patch, if there is no need for a security patch, the window of the user terminal 10 can be finally terminated. And stores an image of the user terminal 10 when a security patch is required. Then, a security patch is installed in the user terminal 10 (S370), and a log file of the installation information is stored. Subsequently, after storing the system image of the user terminal 10 (S375), the system image is restored (S360).

탐지 통제 모듈(200)에서 비정상 행위가 모니터링 되었을 경우, 주요 서버 접속을 확인한다(S275). 이때, 주요 서버에 대한 정보는 미리 설정된 서버들의 URL 또는 IP 주소일 수 있다.If the abnormal operation is monitored in the detection control module 200, the main server connection is confirmed (S275). At this time, the information about the main server may be a URL or an IP address of a predetermined server.

탐지 통제 모듈(200)은 주요 서버 접속 확인 결과, 설정된 주요 서버에 접속한 경우 해당 사용자 단말에 사용자 확인 공지 메시지를 발송한다(S280). 또한, 해당 사용자 단말(10)로 인증을 요청한다(S300). 사용자 단말(10)과의 인증을 위하여 상술한 2팩터 인증을 수행할 수 있다. 이때, 사용자 단말(10)과 보안 서버(40)는 인증을 위한 전용 채널을 통해 인증을 수행할 수 있다. 인증이 완료되면, 업무수행을 계속 진행하도록 한다(S260).If it is determined that the main server connection is established, the detection control module 200 sends a user confirmation notice message to the corresponding user terminal (S280). In addition, authentication is requested to the user terminal 10 (S300). The above-described two-factor authentication can be performed for authentication with the user terminal 10. At this time, the user terminal 10 and the security server 40 can perform authentication through a dedicated channel for authentication. When the authentication is completed, the task execution is continued (S260).

그러나, 인증이 확인되지 않을 경우 관리자 단말(20)에 통보하고, 사용자 단말의 시스템 이미지 복구를 위하여 로그 파일을 저장한다(S310).However, if the authentication is not confirmed, the administrator terminal 20 is notified and the log file is stored for restoring the system image of the user terminal (S310).

한편, 탐지 통제 모듈(200)에서 주요 서버 접속 확인 결과, 주요 서버 접속이 아닌 경우 C&C 서버 접근 여부를 확인한다(S290). 또한, C&C 서버 접근 여부를 확인 후 C&C 서버 접근이 아닐 경우, P2P 서버 접근을 확인한다(S295). P2P 서버 접근 확인 결과 P2P 서버 접근이 아닐 경우 유해 사이트 접근을 확인한다(S299). 상기에서 C&C 서버 또는 P2P 서버 또는 유해 사이트 접근으로 확인될 경우 정책 위반 여부를 판단한다(S297). 이때, 탐지 통제 모듈(200)에서 사용자 단말(10)의 정책 위반으로 판단한 경우 관리자 단말(20)에 통보하고, 로그 파일을 저장한다(S310). If it is determined that the main server connection is not established, the detection control module 200 checks whether the C & C server is accessed (S290). In addition, if the C & C server access is not confirmed, the P2P server access is confirmed (S295). If P2P server access is not confirmed, P2P server access is confirmed (S299). If it is confirmed through C & C server, P2P server or harmful site access as above, it is determined whether the policy is violated (S297). At this time, if the detection control module 200 determines that the policy of the user terminal 10 is violated, it notifies the administrator terminal 20 and stores the log file (S310).

이어서, 사용자 단말의 네트워크를 차단한다(S320). Then, the network of the user terminal is blocked (S320).

이후, 포렌식을 위하여 사용자 단말(100)의 시스템 이미지 보관한다(S330). 이때, 사용자 단말(10)의 디지털 포렌식을 위하여 사용자 단말의 최종 시스템 전체 이미지를 저장한다. Thereafter, the system image of the user terminal 100 is stored for the forensic operation (S330). At this time, for the digital forensic operation of the user terminal 10, the final system overall image of the user terminal is stored.

다음으로, 저장된 이미지를 이용하여 사용자 단말(10)의 시스템 이미지 복구한다(S340). Next, the system image of the user terminal 10 is recovered using the stored image (S340).

이후, 사용자 단말(10)의 디지털 포렌식을 수행하고(S335), 디지털 포렌식 결과에 대한 통제 정책 반영한다(S357).Thereafter, the digital forensic process of the user terminal 10 is performed (S335), and the control policy for the digital forensic result is reflected (S357).

상기에서 설명한 보안 서버는 시스템 서버와 결합될 수 있고, 시스템 서버 내에서 동작하는 OS 또는 프로그램일 수 있다.The security server described above may be combined with the system server, and may be an OS or a program operating in the system server.

또한, 상기 단말 인증부는 탐지 통제 모듈에 포함된 것을 예를 들어 설명하였으나, 이에 한정 되지 않으며, 교정 통제 모듈 또는 시스템 서버에 포함될 수 있다.In addition, although the terminal authentication unit has been described as being included in the detection control module, the terminal authentication unit is not limited thereto, and may be included in the calibration control module or the system server.

이상으로 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 그 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다. While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood. The embodiments described above are therefore to be considered in all respects as illustrative and not restrictive.

10: 사용자 단말
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 모듈
110: 정보 자산 평가부
120: 위험 분석부
130: 통제 정책 관리부
200: 탐지 통제 모듈
210: 단말 인증부
220: 서버 관리부
230: 서버 접근 통제부
240: 네트워크 트래픽 분석부
300: 교정 통제 모듈
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부10: User terminal
20:
30: System server
40: security server
100: Preventative Control Module
110: Information Asset Evaluation Department
120: Risk Analysis Department
130: Control Policy Management Department
200: Detection Control Module
210:
220:
230: Server Access Control Section
240: Network traffic analysis unit
300: Calibration control module
310: TCP packet tagging and recognition unit
320: Security Agent Management
330: central document management unit
340: User terminal control unit
350:

Claims (10)

내부 내트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서,
상기 보안 서버는
상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈;
상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및
상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템.
A system server for storing a plurality of pieces of important information or document information generated by at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals, 1. A network security system comprising a security server for protecting a terminal and a system server,
The security server
Identifying a critical document to be attacked from an external hacking among the plurality of pieces of important information or document information, analyzing a risk element in the important document, extracting, from external hacking servers known to control the external access, A preventive control module configured to restrict access to the terminal;
And a log file of a user terminal that has generated network traffic for accessing the important document is stored. When an abnormal behavior including hacking is monitored in the user terminal, A detection control module for terminating the detection module; And
A calibration control module that generates and stores a backup system image when the plurality of user terminals are connected to the system server and performs a restoration operation through the backup system image when the abnormality of the plurality of user terminals is monitored, Includes a network security system.
제 1 항에 있어서,
상기 예방 통제 모듈은
상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부를 포함하는 네트워크 보안 시스템.
The method according to claim 1,
The preventative control module
A network that includes an information asset evaluation unit that evaluates the importance of the main information or the document information by giving a score of confidentiality, integrity, and availability of the plurality of important information or document information, and performs information management according to the evaluated importance, Security system.
제 2 항에 있어서,
상기 예방 통제 모듈은
상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 취약성 분석부를 더 포함하는 네트워크 보안 시스템.
3. The method of claim 2,
The preventative control module
Further comprising a vulnerability analysis unit for analyzing and detecting a risk factor for a document having a high degree of importance among the main information or document information and performing a security check on all major information or document information when the risk factor is detected Network security system.
제 3 항에 있어서,
상기 예방 통제 모듈은
상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부를 더 포함하는 네트워크 보안 시스템.
The method of claim 3,
The preventative control module
Further comprising a control policy management unit for sending a security announcement to the user terminal through the administrator terminal and for allowing the user terminal to feedback whether the security notice is read or not.
제 1 항에 있어서,
상기 예방 통제 모듈은
상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부;
상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C(Command & Control)서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부;
상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및
상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 더 포함하는 네트워크 보안 시스템.
The method according to claim 1,
The preventative control module
A terminal authentication unit for authenticating the user terminal using at least one authentication factor, the user ID of the user terminal and the OTP, the public key certificate, the ARS, and the QR code;
A user terminal that has been authenticated by the terminal authentication unit accesses to an external network through a C & C (Command & Control) server during a task, or monitors and manages the connection of the C & C server to the system server through the user terminal Management;
A user terminal controlling access to the P2P server or the harmful site, and when accessing the important information from the user terminal, checking the access time and the port to the user terminal in order to check whether the access is permitted or unauthorized access A server access control unit for sending an alert message to the administrator terminal after determining that the intruder or hacker is from an external server when there is no response to the notification message after sending the notification message; And
And a network traffic analyzing unit for collecting network traffic generated by the user terminal and setting a path.
제 1 항에 있어서,
상기 교정 통제 모듈은
상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부;
상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부;
상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및
상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함하는 네트워크 보안 시스템.
The method according to claim 1,
The calibration control module
A TCP tagging and recognizing unit for tagging a unique ID in a network traffic or a network packet generated in the user terminal;
A security agent management unit monitoring an installation of a security agent installed in the user terminal and transmitting a security agent to a user terminal not installed by the security agent;
A user terminal control unit for determining that the user information is an external attack when accessing the main information or document information without performing authentication at the user terminal and blocking access to the system server; And
Further comprising a system restoring unit for storing a backup image of the infected user terminal and restoring the infected user terminal to a pre-infection state, when the user terminal is determined to be infected with at least one of the virus, malicious code, and spyware.
내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 정보 보호 방법에 있어서,
(a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계;
(b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계;
(c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계;
(d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계;
(e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계;
(f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계;
(g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및
(h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하는 네트워크 보안 방법.
A system server for storing a plurality of pieces of important information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals, And a security server for protecting a system server,
(a) defining a control policy for controlling access to an external network or an unconfigured server in the security server;
(b) an authentication step of performing authentication for permitting access to the system server to perform a task in the user terminal;
(c) monitoring access to the main server, the C & C server, the P2P server, and the harmful site at the user terminal when performing the service of the user terminal in the security server, and checking whether the user policy violates the control policy;
(d) notifying the administrator terminal when the security policy violates the security policy;
(e) blocking the network of the user terminal in violation of the control policy in the security server;
(f) storing a backup image of the user terminal in violation of the control policy in the security server;
(g) recovering the user terminal through the backup image at the security server; And
(h) performing digital forensic from the backup image at the secure server.
제 7 항에 있어서,
상기 단계 (a) 이전에,
상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및
상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함하는 네트워크 보안 방법.
8. The method of claim 7,
Prior to step (a)
Evaluating importance of the main information or document information by giving a score of confidentiality, integrity and availability of a plurality of important information or document information stored in the system server, and managing information according to the evaluated importance; And
Analyzing and detecting a risk factor for a document having a high degree of importance among the main information or document information and performing a security check on all major information or document information when the risk factor is detected, Security method.
제 7 항에 있어서,
상기 단계 (b)는
상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 것을 특징으로 하는 네트워크 보안 방법.
8. The method of claim 7,
The step (b)
Wherein the authentication is performed using at least one authentication element of the user ID and the OTP, the public key certificate, the ARS, and the QR code of the user terminal.
제 7 항에 있어서,
상기 단계 (h) 이후,
상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함하는 네트워크 보안 방법.
8. The method of claim 7,
After step (h)
And reflecting the result of the digital forensics to the control policy.
KR1020150119696A 2015-08-25 2015-08-25 Network security system and a method thereof KR101744631B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150119696A KR101744631B1 (en) 2015-08-25 2015-08-25 Network security system and a method thereof
PCT/KR2015/011066 WO2017034072A1 (en) 2015-08-25 2015-10-20 Network security system and security method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150119696A KR101744631B1 (en) 2015-08-25 2015-08-25 Network security system and a method thereof

Publications (2)

Publication Number Publication Date
KR20170024428A true KR20170024428A (en) 2017-03-07
KR101744631B1 KR101744631B1 (en) 2017-06-20

Family

ID=58100642

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150119696A KR101744631B1 (en) 2015-08-25 2015-08-25 Network security system and a method thereof

Country Status (2)

Country Link
KR (1) KR101744631B1 (en)
WO (1) WO2017034072A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190011145A (en) * 2017-07-24 2019-02-01 한국전자통신연구원 Apparatus and method for verifying file to be transmitted to internal network
KR101983997B1 (en) * 2018-01-23 2019-05-30 충남대학교산학협력단 System and method for detecting malignant code
KR101986738B1 (en) * 2018-11-28 2019-06-07 (주)시큐레이어 Method for providing visualization of information for network management service and apparatus using the same
WO2023158071A1 (en) * 2022-02-21 2023-08-24 주식회사 리니어리티 Malicious code infection detecting system and method through network communication log analysis

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102199054B1 (en) 2017-08-10 2021-01-07 한국전자통신연구원 Apparatus for serial port based cyber security vulnerability assessment and method for the same
KR102196970B1 (en) 2017-12-06 2020-12-31 한국전자통신연구원 Apparatus for inspecting security vulnerability through console connection and method for the same
KR102559568B1 (en) * 2019-03-11 2023-07-26 한국전자통신연구원 Apparatus and method for security control in IoT infrastructure environment
CN112217770B (en) * 2019-07-11 2023-10-13 奇安信科技集团股份有限公司 Security detection method, security detection device, computer equipment and storage medium
KR102611045B1 (en) 2021-11-18 2023-12-07 (주)디에스멘토링 Various trust factor based access control system
CN115021999A (en) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 Network information security monitoring system and method based on big data management

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR20060058296A (en) * 2004-11-25 2006-05-30 주식회사 코어그리드테크놀로지 Intergration process method for auto backup and recovery of system/data
KR101252812B1 (en) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 Network security device and method for controlling of packet data using the same
KR100968200B1 (en) * 2008-03-04 2010-07-06 주식회사 조은시큐리티 Intrusion detection and management system on home-network and thereof method
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190011145A (en) * 2017-07-24 2019-02-01 한국전자통신연구원 Apparatus and method for verifying file to be transmitted to internal network
KR101983997B1 (en) * 2018-01-23 2019-05-30 충남대학교산학협력단 System and method for detecting malignant code
KR101986738B1 (en) * 2018-11-28 2019-06-07 (주)시큐레이어 Method for providing visualization of information for network management service and apparatus using the same
WO2023158071A1 (en) * 2022-02-21 2023-08-24 주식회사 리니어리티 Malicious code infection detecting system and method through network communication log analysis

Also Published As

Publication number Publication date
KR101744631B1 (en) 2017-06-20
WO2017034072A1 (en) 2017-03-02

Similar Documents

Publication Publication Date Title
KR101744631B1 (en) Network security system and a method thereof
JP6894003B2 (en) Defense against APT attacks
CN107659583B (en) Method and system for detecting attack in fact
US9648029B2 (en) System and method of active remediation and passive protection against cyber attacks
US7890612B2 (en) Method and apparatus for regulating data flow between a communications device and a network
EP2180656A2 (en) Internet security dynamics assessment system, program product, and related methods
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
CN113411297A (en) Situation awareness defense method and system based on attribute access control
CN113411295A (en) Role-based access control situation awareness defense method and system
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
Alnabulsi et al. Protecting code injection attacks in intelligent transportation system
CA2587867C (en) Network security device
KR101889503B1 (en) Method and apparatus for providing flight data protection
SOX This White Paper
Al Makdi et al. Trusted security model for IDS using deep learning
KR101614809B1 (en) Practice control system of endpoint application program and method for control the same
KR101872605B1 (en) Network recovery system in advanced persistent threat
KR20070061287A (en) Apparatus and method for user's privacy & intellectual property protection of enterprise against denial of information
CN113079182B (en) Network security control system
CN114205166A (en) Virus protection system
KR101904415B1 (en) System recovery method in advanced persistent threat
Banday et al. A study of Indian approach towards cyber security
Egerton et al. Applying zero trust security principles to defence mechanisms against data exfiltration attacks
KR20100067383A (en) Server security system and server security method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant