KR20170120937A - 디스크리스 솔루션을 활용한 물리적 망분리 시스템 - Google Patents

디스크리스 솔루션을 활용한 물리적 망분리 시스템 Download PDF

Info

Publication number
KR20170120937A
KR20170120937A KR1020160049512A KR20160049512A KR20170120937A KR 20170120937 A KR20170120937 A KR 20170120937A KR 1020160049512 A KR1020160049512 A KR 1020160049512A KR 20160049512 A KR20160049512 A KR 20160049512A KR 20170120937 A KR20170120937 A KR 20170120937A
Authority
KR
South Korea
Prior art keywords
network
internet
file
strip connection
transmission
Prior art date
Application number
KR1020160049512A
Other languages
English (en)
Other versions
KR101873970B1 (ko
Inventor
신진욱
이승준
Original Assignee
주식회사 에스티 솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스티 솔루션 filed Critical 주식회사 에스티 솔루션
Priority to KR1020160049512A priority Critical patent/KR101873970B1/ko
Publication of KR20170120937A publication Critical patent/KR20170120937A/ko
Application granted granted Critical
Publication of KR101873970B1 publication Critical patent/KR101873970B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 관한 것으로, 적어도 하나 이상의 업무용 PC; 적어도 하나 이상의 인터넷용 PC; 및 스마트디스크 서버;를 포함하며, 상기 업무용 PC가 사용하는 업무망과 상기 인터넷용 PC가 사용하는 인터넷망이 물리적으로 분리되어 있는 망분리 시스템에 있어서, 상기 인터넷용 PC는 하드 디스크 드라이브 없이 랜선으로 연결되어 있는 상기 스마트디스크 서버로부터 운영체계 및 소프트웨어를 제공받고, 상기 스마트디스크 서버는 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하고, 각 인터넷용 PC 별 데이터를 저장 관리하며, 각 인터넷용 PC의 I/O 포트를 통제하여 상기 인터넷용 PC에 외부 데이터입출력 장치가 연결되는 것을 방지하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 관한 것이다.

Description

디스크리스 솔루션을 활용한 물리적 망분리 시스템{SYSTEM FOR PHYSICALLY SEPARATING NETWORK USING DISKLESS SOLUTION}
본 발명은 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 관한 것으로, 더욱 상세하게는, 보안망인 업무망과 비보안망인 인터넷망을 물리적으로 분리시킨 망분리 시스템에 있어서, 인터넷망 내 인터넷용 PC에 디스크리스 솔루션을 적용하여 서버에서 인터넷용 PC의 운영체계, 소프트웨어 및 데이터를 저장 및 관리하도록 함으로써, 망분리에 따라 추가되는 PC 설비비용 및 관리비용을 절약할 수 있는 망분리 시스템에 관한 것이다.
디스크리스 솔루션이란, PC에 별도의 하드디스크를 장착하지 않고, 일반적인 네트워크 카드를 통해 OS를 부팅하는 것으로서, 모든PC의 OS, 소프트웨어 및 데이터는 중앙서버가 제공하는 통합공간에 보관된다.
상기 중앙서버는 설치 자동화를 제공하므로 개별 PC에 접근 하지 않더라도 OS 설치가 가능하며, 데스크탑 가상화와 유사하게 디스크 데이터를 중앙에서 관리할 수 있으며, 각 PC의 성능을 항상 최상으로 유지할 수 있다.
디스크리스 솔루션의 장점으로 데이터가 중앙서버에만 저장되기 때문에 보안성이 높고, 가상화의 기능처럼 각각의 PC의 이미지는 중앙서버에서 파일로 관리되므로 백업 및 복구가 용이하다. 또한 OS의 손상으로 인한 재설치 시에도 설치 자동화를 통해 매우 빠른 복구가 가능해진다.
한편, 망분리 시스템이란 내부 네트워크망과 외부 네트워크망을 분리하여 외부로의 침입을 막고 내부 정보의 유출을 막는 것을 목적으로 하는 것으로서, 최근 망분리를 이용한 네트워크 보안강화에 대한 관심이 늘고 있다.
망분리는 지난 2007년부터 국가정보원이 중심이 되어 공공기관에 도입되는 정부차원의 프로젝트로 정부기관에 도입되고 있으며, 망분리 방법에는 물리적 망분리와 논리적 망분리 방법로 나누어 진다.
이 중 물리적 망분리는 말 그대로 물리적으로 네트워크망을 분리하는 것으로, 외부의 네트워크와 내부의 네트워크를 별도로 구축하는 것이다. 이 방법의 장점은 물리적으로 분리가 되어 있기 때문에 가시성이 확보되어 분리된 상태를 눈으로 직접 확인할 수 있고 시스템 적으로 완전하며, 특별한 기술이 필요하지 않기 때문에 충분히 검증된 기술로 구축할 수 있고, 프로젝트를 수행할 수 있는 업체가 많다는 장점이 있으나, 각 망 별로 PC가 필요하기 때문에 1명당 PC를 두 대 지급해야 하는 비용문제와 각 PC를 오가면서 작업을 해야 하는 단점이 있었다.
또한, 종래의 물리적 망분리 시스템에서는 외부 단말의 망접속에 의해 보안성이 위협받을 수 있는 부분이 존재한다. 예를 들어, 직원 한 명이 집에서 쉬고 있는데 좋은 아이디어가 떠올라서 집에 있는 PC로 기안을 작성하고 이를 USB메모리에 담아서 출근한 후 내부망에 연결된 업무용 PC에 USB메모리를 연결할 경우, 집에 있는 PC에 USB메모리나 워드 프로그램을 공격하는 악성코드가 있었다면 내무망은 악성코드로 오염될 수 있다.
상기와 같은 물리적 망분리의 단점을 보완하고자 SBC 망분리, 데스크탑에서의 가상화 망분리 및 OS레벨에서의 가상화를 이용한 망분리 등의 가상화 기술을 이용한 망분리 즉, 논리적 망분리 방법이 개발되었으나 상기 물리적 망분리와 같이 시스템적으로 완전한 망분리에 미치지 못하는 문제가 있었다.
상기와 같은 실정에 따라 물리적 망분리에서도 PC, 관리포인트, 관리비용 등의 추가비용이 소모되는 것을 방지하고, PC를 포함한 하드웨어의 안정화, 보안성 강화 및 관리의 편의성을 향상시키기 위한 새로운 망분리 방법이 요구되고 있으며, 망은 분리되었다고 하더라도 USB 등 다양한 시나리오에 의해서 외부망의 악성코드 등이 내부망으로 들어올 수 있기 때문에, 망분리와 함께 이에 대한 보안 대비책이 필요한 실정이다.
이하 동 기술분야의 선행기술에 대해 살펴보고 이와 차별하여 본 발명이 이루고자하는 바를 설명하도록 한다.
먼저, 한국등록특허 제 1432626호는 내외부망의 물리적 분리장치에 관한 것으로, 보다 구체적으로는, 내부망 또는 외부망에 연결되는 망분리운영체계가 탑재되는 망분리보드; 상기 망분리보드의 일측에 구비되고 PC의 본체에 내장도니 슬롯에 장착되는 장착부재; 상기 망분리보드에 탑재되며, 상기 망분리운영체계와 상기 PC의 본체에 구비되는 메인보드의 메인운영체계가 PC의 주변기기(키보드, 모니터, 마우스 등)를 공유하여 사용하도록 지원하는 KVM모듈;을 포함하는 물리적 망분리 장치에 관한 기술이 기재되어 있다.
상기 선행기술문헌은 물리적 망분리 시스템을 구축하기 위하여 별도의 장치(망분리 장치)를 통하여 물리적 망분리를 수행함으로써, 내외부망별로 별도의 PC를 구비할 필요가 없으나, 상기 망분리 장치를 각 PC마다 장착해야 해야 하므로 PC의 개수만큼 망분리 구축 비용이 소모되는 문제가 있었다.
또한, 한국공개특허 제2015-0019315호는 물리적으로 망 분리된 컴퓨터들을 하나의 모니터 화면에서 제어하는 방법 및 그 보안 시스템에 관한 것으로, 보다 구체적으로는, 셋톱박스는 상기 모니터 화면에 나타난 커서의 위치 정보에 따라 상기 제1 컴퓨터와 상기 제2 컴퓨터 중 사용자가 접속할 컴퓨터를 판단하는 단계, 상기 셋톱박스는 상기 셋톱박스와 연결된 마우스로부터 발생하는 마우스 신호 또는 상기 셋톱박스와 연결된 키보드로부터 발생하는 키보드 신호를 입력받아, 상기 셋톱박스가 접속할 컴퓨터로 판단한 컴퓨터로 마우스 신호 또는 키보드 신호를 전송하는 단계, 상기 마우스 신호 또는 상기 키보드 신호를 입력받은 컴퓨터는 실행하여 비디오 신호를 생성하고, 상기 셋톱박스에 상기 비디오 신호를 출력하는 단계 및 상기 셋톱박스는 상기 접속 컴퓨터와 비접속 컴퓨터로부터 전송받은 비디오 신호들을 접속 컴퓨터인지에 따라 스케일링 변환 또는 색상 공간 변환을 조절하고, 변환된 비디오 신호들을 합성하여 상기 모니터에 디스플레이하는 단계를 포함하는 제어 방법에 관한 기술이 기재되어 있다.
상기 선행기술문헌은 망분리된 복수의 컴퓨터를 셋톱박스에 연결된 하나의 모니터, 키보드 및 마우스를 사용하여 제어하도록 함으로써, 종래의 물리적 망 분리 기술의 단점인 자원 낭비를 일부 해결할 수 있으나, 이는 PC 주변기기인 모니터, 키보드 및 마우스에 한정된 것일 뿐, 여전히 물리적 망분리에 따라 별도의 PC를 구비해야 하는 문제가 있었다.
본 발명은 상기와 같은 과제를 해결하기 위해 창작된 것으로, 물리적 망분리에 있어서, 망분리 시 PC, 관리포인트, 관리비용 등의 추가비용이 소모되는 것을 방지하고, PC를 포함한 하드웨어의 안정화, 보안성 강화 및 관리의 편의성을 향상시키기 위하여, 디스크리스 솔루션을 통해 물리적 망분리에 따라 추가되는 인터넷용 PC의 운영체계 및 소프트웨어가 일괄적으로 운용 및 관리할 수 있는 망분리 시스템을 제공하는 데 그 목적이 있다.
본 발명의 일 실시예에 따른 디스크리스 솔루션을 활용한 물리적 망분리 시스템은, 적어도 하나 이상의 업무용 PC; 적어도 하나 이상의 인터넷용 PC; 및 스마트디스크 서버;를 포함하며, 상기 업무용 PC가 사용하는 업무망과 상기 인터넷용 PC가 사용하는 인터넷망이 물리적으로 분리되어 있는 망분리 시스템에 있어서, 상기 인터넷용 PC는 하드 디스크 드라이브 없이 랜선으로 연결되어 있는 상기 스마트디스크 서버로부터 운영체계 및 소프트웨어를 제공받고, 상기 스마트디스크 서버는 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하고, 각 인터넷용 PC 별 데이터를 저장 관리하며, 각 인터넷용 PC의 I/O 포트를 통제하여 상기 인터넷용 PC에 외부 데이터입출력 장치가 연결되는 것을 방지하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 인터넷망은 NAC(Network Access Controller)를 포함하며, 상기 NAC를 통해 인터넷망 내부 네트워크에 연결되는 단말기 정보를 모니터링 하거나 단말기 접속 차단 또는 해제할 수 있도록 하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 NAC는, 단말기 접속 차단시 사용자와 관리자에게 실시간 알림 기능, 특정 IP 주소 및 MAC 주소에 대한 차단 기능, 시용 기간을 설정하여 방문자 혹은 임시사용자에게 IP를 할당하는 기능, 장기간 사용하지 않은 IP 주소 자동 회수 및 자동 회수 이후 해당 IP 사용시 네트워크를 차단하는 기능을 포함하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 자료전송 시스템 및 스트립 연계 시스템을 통해 상기 업무망과 인터넷망 간 안전한 자료전송 및 스트립 연계를 수행하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 자료전송 시스템은, 업무망 측의 L4 스위치 및 자료전송용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 자료전송용 익스터널 시스템 서버를 통해 자료전송을 수행하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 자료전송 시스템은, 파일전송 시 위/변조 및 악성코드 검사 기능, 송신 파일의 파일 헤더 분석을 통한 위/변조 파일의 전송 차단 기능, 송신 파일의 악성코드 검사 후 감염파일 전송 차단 기능, 파일전송 시 송신자와 수신자간 전 구간 암호화 통신 기능, 파일전송 시 송/수신간 파일 무결성 검사 기능을 포함하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 자료전송 시스템은, NON-TCP 통신으로서, 자체 프로토콜을 사용하며 파일전송 시 통신요청 프로토콜을 분석하여 정책외 통신을 차단하는 것을 특징으로 하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 스트립 연계 시스템은, 업무망 측의 L4 스위치 및 스트립 연계용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 스트립 연계용 익스터널 시스템 서버를 통해 스트립 연계를 수행하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 스트립 연계 시스템은, 스트립 연계용 인터널 시스템 서버에서 스트립 연계용 익스터널 시스템 서버로의 일방향성 통신세션을 구성함으로써, 인바운드 포트 오픈에 따른 보안 취약성 및 해킹 위협을 방지하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 스트립 연계 시스템은, NON-TCP 통신으로서, 자체 프로토콜을 사용하며 스트립 연계 시 통신요청 프로토콜을 분석하여 정책외 통신을 차단하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 파일전송 시스템 또는 스트립 연계 시스템은, 2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버을 이용하여 이중으로 구성함으로써, 하나의 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 하는 것을 특징으로 한다.
또한, 상기 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 일 실시예로서, 상기 파일전송 시스템 또는 스트립 연계 시스템은, 상기 2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버에 연결되는 업무망 측의 L4 스위치 및 인터넷망 측의 L4 스위치를 2개씩 구비함으로써, L4 스위치 장애 및 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 하는 것을 특징으로 한다.
본 발명은 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 관한 것으로, 업무망과 인터넷망을 물리적 망분리 방법으로 분리하고 인터넷망 내 인터넷용 PC에 대한 디스크리스 서버를 구축하여, 상기 디스크리스 서버를 통해 각 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하도록 함으로써, 각 PC 별 복구 솔루션이 불필요하고 손쉽게 소프트웨어를 관리할 수 있는 등 관리의 편의성이 증대되고, 최적의 PC 상태를 유지할 수 있으며, HDD 장애 문제를 극복할 수 있고, 하드웨어 안정화를 보다 쉽게 구현할 수 있으며, 각 PC의 I/O 포트를 통제함으로써 망내 및 망간 보안성을 향상시킬 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 대해 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 이터널 시스템 서버 및 익스터널 시스템 서버 이중화 구성에 대해 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 L4 스위치 이중화 구성에 대해 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 본 발명에 따른 디스크리스 솔루션을 활용한 물리적 망분리 시스템의 바람직한 실시예를 상세히 설명하도록 한다.
본 발명의 각 도면에 있어서, 구조물들의 사이즈나 치수는 본 발명의 명확성을 기하기 위하여 실제보다 확대하거나 축소하여 도시한 것이고, 특징적 구성이 드러나도록 공지의 구성들은 생략하여 도시하였으므로 도면으로 한정하지는 아니한다.
본 발명의 바람직한 실시예에 대한 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 디스크리스 솔루션을 활용한 물리적 망분리 시스템 및 그 방법에 대해 상세하게 설명하도록 한다.
본 발명은 업무망과 인터넷망을 물리적으로 분리한 망분리 시스템에 관한 것으로, 인터넷망 내의 인터넷용 PC에 디스크리스 솔루션을 적용하여 물리적 망분리에 따라 업무용 PC와는 별도로 추가되는 인터넷용 PC 설비 비용을 절약하고, 망내 및 망간 보안성을 향상시킬 수 있도록 한 것이다.
참고로 디스크리스 솔루션이란, 일반적으로 디스크리스(DISKLESS), 하드리스(HARDLESS), 노하드(NOHARD) 등으로 불리며, 랜선, 랜카드, 스위치허브로 구성된 네트워크 시스템으로서, PC에서 세팅 되어진 시스템파일 및 소프트웨어로 구성된 파일을 모두 중앙서버(본 발명에서는 스마트디스크 서버)에서 관리자가 임의로 생성된 가상 IMG 파일에 업로드 한 뒤, 각 PC 사용자는 랜 부팅 방식으로 서버에 저장된 IMG 파일을 사용하여 PC를 이용하기 때문에 각각의 PC에 별도의 HDD 설치 없이도 PC 운용이 가능하도록 하는 것이다.
즉, 디스크리스 솔루션은 랜 통신방식과 랜 부팅방식을 이용하여 중앙서버로부터 OS 파일 및 소프트웨어 파일 등을 전송받아 사용하기 때문에 HDD 없이 PC를 구동 시킬 수 있는 것이다.
도 1은 본 발명의 일 실시예에 따른 디스크리스 솔루션을 활용한 물리적 망분리 시스템에 대해 설명하기 위한 도면이다.
도 1에 도시되어 있는 바와 같이, 디스크리스 솔루션을 활용한 물리적 망분리 시스템은, 적어도 하나 이상의 업무용 PC; 적어도 하나 이상의 인터넷용 PC; 및 스마트디스크 서버;를 포함하며, 상기 업무용 PC가 사용하는 업무망과 상기 인터넷용 PC가 사용하는 인터넷망이 물리적으로 분리되어 있는 망분리 시스템에 있어서, 상기 인터넷용 PC는 하드 디스크 드라이브 없이 랜선으로 연결되어 있는 상기 스마트디스크 서버로부터 운영체계 및 소프트웨어를 제공받고, 상기 스마트디스크 서버는 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하고, 각 인터넷용 PC 별 데이터를 저장 관리하며, 각 인터넷용 PC의 I/O 포트를 통제하여 상기 인터넷용 PC에 외부 데이터입출력 장치가 연결되는 것을 방지함으로써, 각각의 인터넷용 PC의 모든 데이터를 관리 및 통제할 수 있도록 한다.
또한, 상기와 같이 본 발명은 업무망과 인터넷망을 물리적 망분리 방법으로 분리하고 인터넷망 내 인터넷용 PC에 대한 디스크리스 서버를 구축하여, 상기 디스크리스 서버를 통해 각 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하도록 함으로써, 각 인터넷용 PC 별 복구 솔루션이 불필요하고 손쉽게 소프트웨어를 관리할 수 있는 등 관리의 편의성이 증대되는 효과가 있다.
또한, 상기 스마트디스크 서버에 의해 모든 인터넷용 PC는 재부팅시 항상 같은 상태로 초기화 되어 항상 최초 설정 상태의 PC 상태를 불러오기 때문에 언제나 같은 SSD급의 부팅, 읽기 및 쓰기 속도를 항상 구현할 수 있어 최적의 PC 상태를 유지할 수 있는 효과가 있다.
또한, 상기 스마트디스크 서버에서 모든 OS 및 소프트웨어를 저장 관리하기 때문에, PC별 별도의 하드디스크가 필요없기 때문에 PC 하드웨어 장애의 50%를 차지하는 HDD 장애를 해결할 수 있으며, 악성코드 및 바이러스에 의한 하드웨어 공격으로부터 PC를 보호할 수 있어 하드웨어 안정화 효과가 있다.
또한, 관리자가 상기 디스크리스 서버를 통해 각각의 PC를 관리할 수 있기 때문에 관리자가 허가하지 않은 소프트웨어의 설치를 원천적으로 막을 수 있으며, 불법 소프트웨어 사용 방지 등의 지적 재산권을 보호할 수 있으며, 스마트리스 서버에 의한 운영체계 가상화 및 어플리케이션 가상화로 인해 악성코드 및 바이러스로부터 각 PC를 보호할 수 있으며, 각 PC의 I/O 포트를 통제함으로써 키보드, 마우스 외 인가되지 않은 USB 포트는 사용할 수 없도록 제어할 수 있어 망내 및 망간 보안성을 향상시킬 수 있다.
또한, 상기 인터넷용 PC는 스마트디스크 서버를 통해 운용되므로 하드디스크가 필요하지 않기 때문에, 모니터, 키보드, 마우스, 컴퓨터본체로 구성되며, 상기 컴퓨터본체에는 메인보드, CPU, RAM, 랜카드, 파워 서플라이를 최소 구성요소로 한다.
또한, 본 발명은 인터넷망에 접속되는 다양한 단말기에 대한 관리 및 통제를 위하여 상기 인터넷망 내에 NAC(Network Access Controller)를 포함할 수도 있다.
상기 NAC를 통해 인터넷망 내부 네트워크에 연결되는 단말기 정보를 모니터링 하거나 단말기 접속 차단 또는 해제할 수 있도록 한다. 더욱 상세하게는, 상기 NAC는 인터넷망에 접속되는 단말기 추적 및 모니터링 기능, 단말기 접속 차단시 사용자와 관리자에게 실시간 알림 기능, 특정 IP 주소 및 MAC 주소에 대한 차단 기능, 시용 기간을 설정하여 방문자 혹은 임시사용자에게 IP를 할당하는 기능, 장기간 사용하지 않은 IP 주소 자동 회수 및 자동 회수 이후 해당 IP 사용시 네트워크를 차단하는 기능을 포함한다.
이를 통해 본 발명은 인터넷망에 대한 가시성을 확보할 수 있고, 인증을 통한 역할별 접근제어를 수행할 수 있으며, 관리자가 세운 보안 규격에 의거하여 단말의 무결성을 확보할 수 있으며, 비인가 또는 보안에 취약한 단말기의 접속을 차단 및 제어할 수 있다.
또한, 본 발명에서는 업무망과 인터넷망이 물리적으로 분리되어 있기 때문에 업무 수행에 필요한 자료교환 및 업무 서비스 연계를 위하여 보안성이 확보된 망연계가 필요하다. 망연계 없이 USB 등의 이동식 메모리 장치를 이용하여 자료를 교환할 경우 망간 교환 자료에 대한 로그를 기록하기 어렵고, 자료 유출 등의 보안사고 발생 시 유출 루트를 추적하기 어려우며, 이동식 메모리 장치 분실 등에 의해 망내 자료가 외부로 유출되는 문제가 발생할 수 있다.
이와 같은 문제를 해결하기 위하여 본 발명은 자료전송 시스템 및 스트립 연계 시스템을 통해 상기 업무망과 인터넷망 간 안전한 자료전송 및 스트립 연계를 수행한다.
도 2는 본 발명의 일 실시예에 따른 이터널 시스템 서버 및 익스터널 시스템 서버 이중화 구성에 대해 설명하기 위한 도면이다.
이에 도시되어 있는 바와 같이, 상기 자료전송 시스템은 업무망 측의 L4 스위치 및 자료전송용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 자료전송용 익스터널 시스템 서버를 통해 자료전송을 수행한다.
상기 파일전송 시스템은 상기 자료전송용 인터널 시스템 서버 및 자료전송용 익스터널 시스템 서버가 파일전송 시 위/변조 및 악성코드 검사 기능, 송신 파일의 파일 헤더 분석을 통한 위/변조 파일의 전송 차단 기능, 송신 파일의 악성코드 검사 후 감염파일 전송 차단 기능, 파일전송 시 송신자와 수신자간 전 구간 암호화 통신 기능, 파일전송 시 송/수신간 파일 무결성 검사 기능을 포함함으로써, 망간 안전한 자료교환이 가능하도록 한다.
또한, 상기 스트립 연계 시스템은 업무망 측의 L4 스위치 및 스트립 연계용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 스트립 연계용 익스터널 시스템 서버를 통해 스트립 연계를 수행한다.
이때 상기 스트립 연계 시스템은 업무망 측의 스트립 연계용 시스템 서버에서 인터넷망 측의 스트립 연계용 익스터널 서버로의 일방향성 통신세션을 구성함으로써, 인바운드 포트 오픈에 따른 보안 취약성 및 업무망의 해킹 위협을 방지할 수 있다.
또한, 상기 파일전송 시스템 및 스트립 연계 시스템은 NON-TCP 통신인 자체 프로토콜을 사용함으로써, 파일전송 및 스티립 연계 시 통신요청 프로토콜을 분석하여 정책외 통신을 차단하도록 할 수 있다.
한편, 본 발명은 상기와 같이 파일전송 시스템 및 스트립 연계 시스템을 구축하는 데 있어서, 하나의 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생할 경우, 망간 파일전송 또는 스트립 연계가 중단되는 문제를 극복하기 위하여, 파일전송 시스템 또는 스트립 연계 시스템을 2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버을 이용하여 이중으로 구성함으로써, 하나의 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 한다.
이에 더하여 도 3에 도시되어 있는 바와 같이, L4 스위치 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 상기 2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버에 연결되는 업무망 측의 L4 스위치 및 인터넷망 측의 L4 스위치를 이중으로 구성할 수도 있다.
이상으로 본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 기술적 보호범위는 아래의 특허청구범위에 의해서 정하져야 할 것이다.
10: 망분리 시스템
100: 업무망
110: 업무용 PC
120: 업무망 내 서버
130: 파일전송용 이터널 시스템 서버
140: 스트립 연계용 이터널 시스템 서버
150: L4 스위치
200: 인터넷망
210: 인터넷용 PC
220: 스마트디스크 서버
230: 파일전송용 익스터널 시스템 서버
240: 스트립 연계용 익스터널 시스템 서버
250: L4 스위치

Claims (12)

  1. 적어도 하나 이상의 업무용 PC;
    적어도 하나 이상의 인터넷용 PC; 및
    스마트디스크 서버;를 포함하며, 상기 업무용 PC가 사용하는 업무망과 상기 인터넷용 PC가 사용하는 인터넷망이 물리적으로 분리되어 있는 망분리 시스템에 있어서,
    상기 인터넷용 PC는 하드 디스크 드라이브 미포함하며 랜선으로 연결되어 있는 상기 스마트디스크 서버로부터 운영체계 및 소프트웨어를 제공받고, 상기 스마트디스크 서버는 인터넷용 PC의 운영체계 및 소프트웨어를 일괄적으로 운용 및 관리하고, 각 인터넷용 PC 별 데이터를 저장 관리하며, 각 인터넷용 PC의 I/O 포트를 통제하여 상기 인터넷용 PC에 외부 데이터입출력 장치가 연결되는 것을 방지하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  2. 제1항에 있어서,
    NAC(Network Access Controller)를 더 포함하며, 상기 NAC를 통해 네트워크에 연결되는 단말기 정보를 모니터링 하거나 단말기 접속 차단 또는 해제할 수 있도록 하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  3. 제2항에 있어서,
    상기 NAC는,
    단말기 접속 차단시 사용자와 관리자에게 실시간 알림 기능, 특정 IP 주소 및 MAC 주소에 대한 차단 기능, 시용 기간을 설정하여 방문자 혹은 임시사용자에게 IP를 할당하는 기능, 장기간 사용하지 않은 IP 주소 자동 회수 및 자동 회수 이후 해당 IP 사용시 네트워크를 차단하는 기능을 포함하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  4. 제1항에 있어서,
    자료전송 시스템 및 스트립 연계 시스템을 통해 상기 업무망과 인터넷망 간 안전한 자료전송 및 스트립 연계를 수행하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  5. 제4항에 있어서,
    상기 자료전송 시스템은,
    업무망 측의 L4 스위치 및 자료전송용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 자료전송용 익스터널 시스템 서버를 통해 자료전송을 수행하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  6. 제5항에 있어서,
    상기 자료전송 시스템은,
    파일전송 시 위/변조 및 악성코드 검사 기능, 송신 파일의 파일 헤더 분석을 통한 위/변조 파일의 전송 차단 기능, 송신 파일의 악성코드 검사 후 감염파일 전송 차단 기능, 파일전송 시 송신자와 수신자간 전 구간 암호화 통신 기능, 파일전송 시 송/수신간 파일 무결성 검사 기능을 포함하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  7. 제6항에 있어서,
    상기 자료전송 시스템은,
    NON-TCP 통신으로서, 자체 프로토콜을 사용하며 파일전송 시 통신요청 프로토콜을 분석하여 정책외 통신을 차단하는 것을 특징으로 하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  8. 제4항에 있어서,
    상기 스트립 연계 시스템은,
    업무망 측의 L4 스위치 및 스트립 연계용 인터널 시스템 서버와 인터넷망 측의 L4 스위치 및 스트립 연계용 익스터널 시스템 서버를 통해 스트립 연계를 수행하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  9. 제8항에 있어서,
    상기 스트립 연계 시스템은,
    스트립 연계용 인터널 시스템 서버에서 스트립 연계용 익스터널 시스템 서버로의 일방향성 통신세션을 구성함으로써, 인바운드 포트 오픈에 따른 보안 취약성 및 해킹 위협을 방지하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  10. 제9항에 있어서,
    상기 스트립 연계 시스템은,
    NON-TCP 통신으로서, 자체 프로토콜을 사용하며 스트립 연계 시 통신요청 프로토콜을 분석하여 정책외 통신을 차단하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  11. 제5항 내지 제10항에 있어서,
    상기 파일전송 시스템 또는 스트립 연계 시스템은,
    2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버을 이용하여 이중으로 구성함으로써, 하나의 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
  12. 제11항에 있어서,
    상기 파일전송 시스템 또는 스트립 연계 시스템은,
    상기 2개의 인터널 시스템 서버 및 2개의 익스터널 시스템 서버에 연결되는 업무망 측의 L4 스위치 및 인터넷망 측의 L4 스위치를 2개씩 구비함으로써, L4 스위치 장애 및 파일전송 시스템 구간 또는 스트립 연계 시스템 구간에 장애가 발생하더라도 정상적으로 파일전송 또는 스트립 연계를 수행할 수 있도록 하는 것을 특징으로 하는 디스크리스 솔루션을 활용한 물리적 망분리 시스템.
KR1020160049512A 2016-04-22 2016-04-22 디스크리스 솔루션을 활용한 물리적 망분리 시스템 KR101873970B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160049512A KR101873970B1 (ko) 2016-04-22 2016-04-22 디스크리스 솔루션을 활용한 물리적 망분리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160049512A KR101873970B1 (ko) 2016-04-22 2016-04-22 디스크리스 솔루션을 활용한 물리적 망분리 시스템

Publications (2)

Publication Number Publication Date
KR20170120937A true KR20170120937A (ko) 2017-11-01
KR101873970B1 KR101873970B1 (ko) 2018-07-03

Family

ID=60382648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160049512A KR101873970B1 (ko) 2016-04-22 2016-04-22 디스크리스 솔루션을 활용한 물리적 망분리 시스템

Country Status (1)

Country Link
KR (1) KR101873970B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240019497A (ko) * 2022-08-04 2024-02-14 주식회사 바로컴퓨터 클라우드서버를 적용한 듀얼 컴퓨터

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240019497A (ko) * 2022-08-04 2024-02-14 주식회사 바로컴퓨터 클라우드서버를 적용한 듀얼 컴퓨터

Also Published As

Publication number Publication date
KR101873970B1 (ko) 2018-07-03

Similar Documents

Publication Publication Date Title
JP7029000B2 (ja) 外付け端末保護デバイス及び保護システム
US9684794B2 (en) System and architecture for secure computer devices
JP5976564B2 (ja) セキュリティ強化されたコンピュータシステムおよび方法
US11531749B2 (en) Controlling access to external networks by an air-gapped endpoint
US8209739B2 (en) Universal serial bus—hardware firewall (USB-HF) adaptor
US11240260B2 (en) System and method for detecting computer network intrusions
US9319426B2 (en) System and method for operating malicious marker detection software on management controller of protected system
ES2870926T3 (es) Dispositivo de generación de información de anotaciones y medio de registro, y dispositivo de extracción de información de anotaciones y medio de registro
US10193930B2 (en) Application security capability exchange via the application and data protection layer
US10769275B2 (en) Systems and methods for monitoring bait to protect users from security threats
US20220004623A1 (en) Managed isolated workspace on a user device
US9444845B2 (en) Network security apparatus and method
KR101873972B1 (ko) 디스크리스 솔루션을 활용한 확장형 물리적 망분리 방법
US20110289551A1 (en) Dynamically applying a control policy to a network
KR101873970B1 (ko) 디스크리스 솔루션을 활용한 물리적 망분리 시스템
KR101873968B1 (ko) 디스크리스 솔루션을 활용한 물리적 망분리 방법
KR101873974B1 (ko) 디스크리스 솔루션을 활용한 확장형 물리적 망분리 시스템
US8161188B2 (en) Devices and methods for providing network access control utilizing traffic-regulation hardware
US11146533B1 (en) Detecting and preventing password leakage using a device-level network filter
WO2017019551A1 (en) Systems and methods for providing multi-level network security
Hooper Cybersecurity for media technology products
Porokhin Ming Chow COMP 116 Final Project December 13, 2017 Security of Out of Band Management Technologies
Krasavin Keyloggers-content monitoring exploits
Yedavally Cloud Computing Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant