KR20180103487A - 네트워크 접속 제어 시스템 및 방법 - Google Patents

네트워크 접속 제어 시스템 및 방법 Download PDF

Info

Publication number
KR20180103487A
KR20180103487A KR1020170030506A KR20170030506A KR20180103487A KR 20180103487 A KR20180103487 A KR 20180103487A KR 1020170030506 A KR1020170030506 A KR 1020170030506A KR 20170030506 A KR20170030506 A KR 20170030506A KR 20180103487 A KR20180103487 A KR 20180103487A
Authority
KR
South Korea
Prior art keywords
address
communication terminal
network access
access equipment
mac
Prior art date
Application number
KR1020170030506A
Other languages
English (en)
Other versions
KR101993860B1 (ko
Inventor
임호문
박정일
서영수
송현선
주재응
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020170030506A priority Critical patent/KR101993860B1/ko
Publication of KR20180103487A publication Critical patent/KR20180103487A/ko
Application granted granted Critical
Publication of KR101993860B1 publication Critical patent/KR101993860B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비인가 통신 단말에 대한 네트워크 등록을 온라인으로 처리하고 IP 주소 및 MAC 주소를 도용하는 비인가 통신 단말을 신속하게 차단할 수 있는 네트워크 접속 제어 시스템 및 방법이 개시된다. 일 측면에 따른 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템은, 네트워크 접속 장비를 통해 접속하는 상기 통신 단말로 유동 IP 주소를 할당하는 유동 IP 주소 할당 모듈; 상기 유동 IP 주소를 할당받은 상기 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 DNS 모듈; 및 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 웹 서버를 포함한다.

Description

네트워크 접속 제어 시스템 및 방법{SYSTEM AND METHOD FOR CONTROLLING NETWORK ACCESS}
본 발명은 네트워크 접속 제어 기술에 관한 것으로, 보다 구체적으로 사설망과 같은 보안이 필요한 네트워크로 접속하는 통신 단말을 제어하는 네트워크 접속 제어 시스템 및 방법에 관한 것이다.
네트워크 접속 제어 시스템은 기업에 구축된 사설망 등과 같은 네트워크에서 접근 허용 조건을 만족하는 통신 단말만을 상기 네트워크에 접속을 허가하는 시스템이다. 통상적으로, 네트워크 관리자는, 통신 단말에 사용을 허용한 IP 주소 대역, 설치 요구되는 필수 소프트웨어 목록 등이 포함된 네트워크 접속 허용 조건을 설정하고, 이 접속 허용 조건에 부합된 통신 단말에 대해서 네트워크 접속을 허용한다. 아래의 특허문헌은 필수 프로그램 설치 정보를 이용한 네트워크 접속 제어 시스템 및 이의 방법에 대해서 개시한다.
통신 단말이 네트워크로 접속하기 하기 위해서는, 네트워크 관리자가 상기 통신 단말이 사용할 IP 주소를 사전에 배정해야 하며, 또한 통신 단말에는 해당 IP 주소가 설정되고 필수 소프트웨어가 설치되어야 한다. 네트워크 접속 제어 시스템에는 상기 통신 단말의 MAC 주소, 네트워크 관리자 배정한 IP 주소 및 필수 소프트웨어 설치 정보가 사전에 등록되어야 한다. 이에 따라, 네트워크 접속 제어 시스템에 등록되지 않은 통신 단말은 네트워크로의 접속이 불가능하다.
네트워크 접속 제어 시스템에 통신 단말을 등록하기 위해서는 단말 사용자가 단말의 MAC 주소를 네트워크 관리자에게 송부하여 등록 절차를 수행해야 한다. 그러나 이러한 등록 방식은, 사용자의 불편함을 유발하게 되고 네트워크 관리자의 업무를 가중시키게 되는 문제점이 있다. 또한, 네트워크 관리자 입장에서는 사용자가 송부하는 단말 정보(예, MAC 주소)에 의존하여 네트워크를 사용하는 단말을 인증해야 한다는 보안상의 문제점도 존재한다. 특히, 근래에는 MAC 주소를 변경할 수 있는 악성 프로그램이 나타남에 따라, 통신 단말의 MAC 주소를 기반으로 사용자를 인증하는 방식은 보안상의 문제점이 있다.
또한, 네트워크에 접속하는 통신 단말은 요구되는 필수 소프트웨어의 운영과 설치를 위하여, 에이전트를 설치해야 되는데, 네트워크 접속 허용 조건이 총족되지 않은 상태인 통신 단말은 네트워크 접속 자체가 불가능하여, 상기 에이전트를 오프라인 매체를 통해서 설치해야 되는 문제점도 발생한다.
한국공개특허 제10-2011-0002947호
본 발명은 비인가 통신 단말에 대한 네트워크 등록을 온라인으로 처리하고 IP 주소 및 MAC 주소를 도용하는 비인가 통신 단말을 신속하게 차단할 수 있는 네트워크 접속 제어 시스템 및 방법을 제공하는데 목적이 있다.
일 측면에 따른 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템은, 네트워크 접속 장비를 통해 접속하는 상기 통신 단말로 유동 IP 주소를 할당하는 유동 IP 주소 할당 모듈; 상기 유동 IP 주소를 할당받은 상기 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 DNS 모듈; 및 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 웹 서버를 포함한다.
상기 DNS 모듈은, 상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답할 수 있다.
상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 설치 안내 페이지를 포함하고, 상기 시스템은, 상기 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 제어 모듈을 더 포함할 수 있다.
상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 로그인 안내 페이지를 포함하고, 상기 시스템은, 상기 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 전송하는 제어 모듈을 더 포함할 수 있다.
다른 측면에서, 상기 시스템은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈을 더 포함하고, 상기 제어 모듈은, 상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 통신 단말의 단말 정보가 일정한 시간 내에 상기 수집 모듈에서 미수집되는 경우 접속 차단 명령을 전송할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및 상기 단말 정보에 포함된 통신 단말의 IP 주소 및 MAC 주소가 화이트 리스트에 존재하지 않으면 상기 통신 단말의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및 상기 MAC 테이블에 포함된 MAC 주소가 화이트 리스트에 존재하지 않으면 그 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및 상기 단말 정보에 포함된 단말 고유 키 값과 기 저장된 단말 고유 키 값이 불일치하는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및 상기 통신 단말로부터 상기 DNS 모듈로의 DNS 쿼리의 전송은 있으나 상기 수집 모듈에서 상기 단말 정보가 미수집되는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하고, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및 상기 MAC 테이블에 포함된 MAC 주소에 대응하는 통신 단말의 단말 정보가 상기 수집 모듈에서 미수집되는 경우 상기 MAC 주소에 대응하는 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
또 다른 측면에서, 상기 시스템은, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및 상기 MAC 테이블을 기초로 포트 번호가 일정한 시간 내에 일정 횟수 이상 변경되는 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함할 수 있다.
상기 제어 모듈은, 네트워크 접속이 차단된 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 상기 고정 IP 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송할 수 있다.
또 다른 측면에 따른 네트워크 접속 제어 시스템에서 통신 단말의 네트워크 접속을 제어하는 방법은, 네트워크 접속 장비를 통해 접속하는 상기 통신 단말로 유동 IP 주소를 할당하는 단계; 상기 유동 IP 주소를 할당받은 상기 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 단계; 및 상기 통신 단말로 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 단계를 포함한다.
상기 방법은, 상기 고정 IP 주소를 할당하는 단계 이후에, 상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 단계를 더 포함할 수 있다.
상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 설치 안내 페이지를 포함하고, 상기 방법은, 상기 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 단계를 더 포함할 수 있다.
상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 로그인 안내 페이지를 포함하고, 상기 방법은, 상기 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 전송하는 단계를 더 포함할 수 있다.
상기 접속 차단 명령을 전송하는 단계는, 상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 통신 단말의 단말 정보가 상기 통신 단말에 설치되는 보안 소프트웨어로부터 일정한 시간 내에 미수집되는 경우 상기 접속 차단 명령을 전송할 수 있다.
또 다른 측면에서 상기 방법은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 단계; 및 상기 단말 정보에 포함된 통신 단말의 IP 주소 및 MAC 주소가 화이트 리스트에 존재하지 않으면 상기 통신 단말의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및 상기 MAC 테이블에 포함된 MAC 주소가 화이트 리스트에 존재하지 않으면 그 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 단계; 및 상기 단말 정보에 포함된 단말 고유 키 값과 기 저장된 단말 고유 키 값이 불일치하는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 상기 통신 단말로부터 DNS 쿼리의 전송은 있으나 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보가 미수집되는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및 상기 MAC 테이블에 포함된 MAC 주소에 대응하는 통신 단말의 단말 정보가 미수집되는 경우 상기 MAC 주소에 대응하는 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및 상기 MAC 테이블을 기초로 포트 번호가 일정한 시간 내에 일정 횟수 이상 변경되는 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
또 다른 측면에서 상기 방법은, 네트워크 접속이 차단된 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 상기 고정 IP 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함할 수 있다.
본 발명은 비인가 통신 단말의 등록 절차를 온라인으로 진행함으로써, 단말 등록 과정에서 발생하는 종래의 불편함을 해소한다.
또한, 본 발명은 유동 IP 주소를 이용하여 제한된 접속을 통신 단말로 허락한 후 고정 IP 주소를 통신 단말로 할당하고, 도메인 네임에 대한 쿼리 응답을 이용하여 통신 단말에 필수 보안 소프트웨어를 설치시킴으로써, 네트워크 접속에 대한 보안성 및 편의성을 향상시킨 효과가 있다.
또한, 본 발명은 통신 단말에 설치된 보안 소프트웨어로부터 단말 정보를 주기적으로 수집하여, 이 수집된 단말 정보를 토대로 통신 단말이 도용되고 있는지 여부를 검증함으로써 내부 시스템의 침입을 탐지하고 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템이 적용되는 통신 환경을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 유동 IP 주소를 할당하는 방법을 설명하는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 통신 단말을 보안 정책 준수 안내 페이지로 접속 유도하는 방법을 설명하는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 통신 단말이 네트워크 접속 장비의 포트를 변경하였을 때 인증하는 방법을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템이 적용되는 통신 환경을 나타내는 도면이다.
도 1을 참조하면, 기업 등의 사내망(60)은 통신 단말(90)과 네트워크 접속 장비를 통해 통신한다. 여기서 네트워크 접속 장비는 도 1에 도시된 바와 같이, 유선 통신 연결을 위한 L2 스위치(20), L3 스위치(30)를 포함하고, 또한 무선 통신 연결을 위한 액세스 포인트(AP)(40) 및 이를 제어하는 AP 제어기(50)를 포함한다. 네트워크 접속 제어 시스템(80)은, 사내망(60)에 연결되어 통신 단말(90)과 상기 네트워크 접속 장비를 통해 통신하고, 통신 단말(90)의 사내망(60) 또는 사내망(60)을 통한 외부 인터넷(70)의 접속 제어를 수행한다.
L2 스위치(20)는 OSI(Open System Interconnection) 7 레이어 모델 중 데이터 링크 레이어의 역할을 수행하며, 구체적으로, 물리적인 네트워크 사이의 데이터 전송을 담당하고, 물리적 어드레싱, 오류 검출, 프레임의 전달 및 데이터의 흐름 제어를 관리한다. L2 스위치(20)의 하나의 포트에는 하나의 인터넷 회선이 연결될 수 있다. L2 스위치(20)는 각 포트에 연결된 통신 단말(90)들의 MAC 주소를 획득하고, 이를 MAC 테이블에 저장한다. L2 스위치(20)는 L3 스위치(30)로부터 프레임이 수신되면, MAC 테이블을 참조하여, 어떤 포트로 해당 프레임을 보낼 것인지를 결정한다.
L3 스위치(30)는 OSI 7 레이어 모델 중 네트워크 레이어의 역할을 수행한다. L3 스위치(30)는 통신 단말(90)들의 IP 주소를 MAC 주소에 대응시키기 위해 ARP(Address Resolution Protocol) 프로토콜을 사용하고, IP 주소 및 MAC 주소의 대응 정보를 ARP 테이블에 저장한다. 즉, ARP 테이블을 조회하면 통신 단말(90)의 IP 주소와 그에 대응하는 MAC 주소를 확인할 수 있다. 또한 L3 스위치(30)는 ARP 테이블 이외, 포트별 통신 단말(90)의 MAC 주소를 기록한 MAC 테이블을 포함하고, 또한 접속 제어 리스트(ACL:Access Control List)를 구비한다. 여기서 접속 제어 리스트는, 네트워크 접속 제어 시스템(80)에서 통신 단말(90)에 할당 가능한 유동 IP 주소, 그리고 네트워크 접속 제어 시스템(80)에서 접속을 허용한 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함할 수 있다. L3 스위치(30)는 접속 제어 리스트에 기초하여 통신 단말(90)의 접속을 차단할 수 있다.
액세스 포인트(40)는 무선랜과 같은 근거리 통신 서비스를 제공하는 접속 장비로서 본 실시예의 L2 스위치(20)에 대응할 수 있고, AP 제어기(50)는 액세스 포인트(40)를 관리하는 장비로서 본 실시예의 L3 스위치(30)에 대응할 수 있다. 이하에서는 L2 스위치(20) 및 L3 스위치(30)를 중심으로 설명한다.
통신 단말(90)은 데스크톱 컴퓨터, 태블릿 컴퓨터, 스마트폰, 노트북 등으로서, 네트워크 접속 제어 시스템(80)의 제어에 따라 사내망(60)으로의 접속이 선택적으로 허락된다. 통신 단말(90)이 사내망(60)으로 접근이 허락된 경우, 사내망(60) 및/또는 외부 인터넷(70)으로 접근하여 사내망(60)의 자원을 활용하거나 외부 인터넷(70)으로 접속할 수 있다.
네트워크 접속 제어 시스템(80)은 사내망(60)에 접속하는 통신 단말(90)의 접속을 제어한다. 네트워크 접속 제어 시스템(80)은 보안 정책을 미준수하는 통신 단말(90)의 접속을 차단하고 보안 정책을 준수하는 통신 단말(90)의 접속은 허용한다. 네트워크 접속 제어 시스템(80)은 보안 정책을 준수하는 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 네트워크 접속 장비, 예컨대 L3 스위치(30)로 전송하고, 보안 정책을 준수하지 않는 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송한다.
도 1을 참조하면, 네트워크 접속 제어 시스템(80)은, 유동 IP 주소 할당 모듈(81), 지능형 웹 서버(82), 지능형 DNS 서버(83), 제어 서버(84), 수집 서버(85) 및 데이터베이스(86)를 포함한다. 본 실시예에서는 네트워크 접속 제어 시스템(80)을 별개의 서버들의 집합으로 설명하지만 여기에 제한되는 것은 아니고 각 서버들을 하나의 독립된 모듈로 구현하여 네트워크 접속 제어 시스템(80)을 하나의 서버 형태로 구현할 수도 있다. 네트워크 접속 제어 시스템(80)은 메모리 및 프로세서를 포함하고 프로세서는 메모리에 저장된 프로그램을 구동하여 동작을 수행할 수 있다.
유동 IP 주소 할당 모듈(81)은, 유동 IP 주소 풀(Pool)을 구비하고, 네트워크 접속 장비(20, 30)를 통해 접속하는 비인가 통신 단말(90)로 유동 IP 주소를 할당한다. 유동 IP 주소는 통신 단말(90)이 고정 IP 주소를 할당받기 위해 임시로 사용하는 IP 주소로서 일정한 시간 동안만 사용이 가능하다. 유동 IP 주소 할당 모듈(81)은, 통신 단말(90)로 유동 IP 주소를 할당하며 통신 단말(90)의 정보, 즉 MAC 주소, L3 스위치(30)의 IP 주소를 수집하여, 상기 할당한 유동 IP 주소와 함께 데이터베이스(86)에 저장한다.
지능형 DNS 서버(83)는, 통신 단말(90)로부터 DNS 쿼리 수신시, DNS 쿼리의 소스 IP 주소를 추출한 후, 추출한 소스 IP 주소 및 데이터베이스(86)에 저장된 블랙 리스트 또는 화이트 리스트에 기초하여 통신 단말(90)로 DNS 쿼리 응답을 전송한다. 블랙 리스트에는 접속 차단된 통신 단말(90)의 IP 주소 및 MAC 주소가 기록되고, 화이트 리스트에는 접속 허용된 통신 단말(90)의 IP 주소 및 MAC 주소가 기록된다.
구체적으로, 지능형 DNS 서버(83)는, 통신 단말(90)로부터 수신된 DNS 쿼리에 포함된 소스 IP 주소가 유동 IP 주소인 경우, 고정 IP 주소 신청 페이지의 IP 주소를 응답한다. 또한 지능형 DNS 서버(83)는, 통신 단말(90)로부터 수신된 DNS 쿼리에 포함된 소스 IP 주소가 고정 IP 주소인 경우, 해당 고정 IP 주소가 블랙 리스트에 포함되어 있는 경우, 보안 정책 준수 안내 페이지의 IP 주소를 응답한다. 여기서 블랙 리스트에 포함된 IP 주소는, 필수 보안 소프트웨어를 설치하지 않은 고정 IP 주소, 보안 소프트웨어에 로그인하지 않은 고정 IP 주소, IP 주소/MAC 주소가 도용된 고정 IP 주소를 포함한다. 보안 정책 준수 안내 페이지의 IP 주소는 지능형 웹 서버(82)의 IP 주소일 수 있고, 또는 안내 페이지 자체의 IP 주소일 수 있다. 지능형 DNS 서버(83)는, DNS 쿼리에 포함된 소스 IP 주소가 고정 IP 주소이고 블랙 리스트에 포함되지 않는 경우, 사내 DNS 서버로 DNS 쿼리를 릴레이하여 IP 주소를 받아 통신 단말(90)로 응답할 수 있고, 또는 자체 정보를 이용하여 IP 주소를 응답할 수 있다. 지능형 DNS 서버(83)는 데이터베이스(86)에 저장된 블랙 리스트를 가져와 자체 메모리에 저장하여 이용할 수 있다. 자체 메모리에 저장하여 이용함으로써 데이터베이스(86)에 접근하여 정보를 확인하는 과정을 줄여 속도를 높일 수 있다.
한편, 지능형 DNS 서버(83)는, 통신 단말(90)로부터 DNS 쿼리가 수신되면 DNS 쿼리에 포함된 소스 IP 주소를 제어 서버(84)로 통지한다.
지능형 웹 서버(82)는 보안 정책 준수 안내 페이지를 운영한다. 지능형 웹 서버(82)는, 통신 단말(90)로부터 접속 패킷을 수신하면, 접속 패킷에 포함된 소스 IP 주소를 추출하고, 추출한 소스 IP 주소에 따라 통신 단말(90)로 보안 정책 준수 안내 페이지를 제공한다. 보안 정책 준수 안내 페이지는, 고정 IP 주소 신청 페이지, 보안 소프트웨어 설치 안내 페이지, 보안 소프트웨어 로그인 안내 페이지, OTP 인증 페이지 등을 포함한다. 지능형 웹 서버(82)는, 소스 IP 주소가 유동 IP 주소인 경우 고정 IP 주소 신청 페이지를 제공한다. 지능형 웹 서버(82)는, 소스 IP 주소가 고정 IP 주소인 경우 데이터베이스(86)에 저장된 블랙 리스트와 소스 IP 주소를 비교하여 보안 정책 미준수 유형을 파악하고, 그 유형에 따라 통신 단말(90)로 그 유형에 맞는 보안 정책 준수 안내 페이지를 제공한다.
지능형 웹 서버(82)는, 통신 단말(90)이 보안 소프트웨어를 설치하는 경우 해당 통신 단말(90)의 고정 IP 주소, MAC 주소 등과 함께 그 설치 정보를 데이터베이스(96)에 저장하고, 제어 서버(84)로 통지한다. 또한 지능형 웹 서버(82)는, 통신 단말(90)이 보안 소프트웨어 설치 안내 페이지에 접속하였으나 일정한 시간 내에 보안 소프트웨어를 설치하지 않는 경우 이를 제어 서버(84)로 통지하고, 또는 로그인 안내 페이지에 접속하는 경우 이를 제어 서버(84)로 통지한다.
수집 서버(85)는, 보안 소프트웨어를 설치한 통신 단말(90)의 보안 소프트웨어로부터 통신 단말의 정보를 수집한다. 여기서 통신 단말의 정보는, 필수 보안 소프트웨어의 설치 여부, 보안 소프트웨어 로그인 여부, 통신 단말의 고유 키 값, 통신 단말의 IP 주소/MAC 주소를 포함한다. 수집 서버(85)는 통신 단말(90)의 수집 정보를 제어 서버(84)로 전달한다. 또한, 수집 서버(85)는 네트워크 접속 장비(20, 30)로부터 주기적으로 또는 필요시 MAC 테이블 정보를 수집하여 제어 서버(84)로 전달한다.
제어 서버(84)는, 데이터베이스(86)의 정보를 관리한다. 제어 서버(84)는, 수집 서버(85)로부터 수신되는 통신 단말(90)의 수집 정보를 데이터베이스(86)에 저장하고, 또한, 보안 정책 준수 여부에 따라 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 블랙 리스트 또는 화이트 리스트에 기록할 수 있다. 블랙 리스트에는 고정 IP 주소별로 보안 소프트웨어의 설치 여부, 보안 소프트웨어 로그인 여부, IP 주소/MAC 주소 도용 여부가 기록된다.
제어 서버(84)는, 통신 단말(90)의 보안 정책 준수 여부에 따라 통신 단말(90)의 사내망(60) 접속을 선택적으로 차단하거나 허용한다. 제어 서버(84)는, 차단시 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비, 예컨대 L3 스위치(30)로 전송하고, 허용시 통신 단말(90)의 IP 주소 및 MAC 주소를 포함하는 접속 허용 명령을 네트워크 접속 장비, 예컨대 L3 스위치(30)로 전송한다.
제어 서버(84)는, 지능형 웹 서버(82)로부터 필수 보안 소프트웨어를 모두 설치한 통신 단말(90)의 정보, 예컨대 고정 IP 주소를 통지받으면, 해당 통신 단말(90)에 대한 접속 허용 명령을 네트워크 접속 장비(20, 30)로 전송한다. 또한, 제어 서버(84)는, 보안 소프트웨어 설치 안내 페이지에 접속하였으나 일정한 시간 내에 보안 소프트웨어를 설치하지 않는 통신 단말(90)의 정보, 예컨대 고정 IP 주소를 지능형 웹 서버(82)로부터 통지받으면, 해당 통신 단말(90)에 대한 접속 차단 명령을 네트워크 접속 장비(20, 30)로 전송한다. 또한, 제어 서버(84)는, 로그인 안내 페이지에 접속한 통신 단말(90)의 정보를 지능형 웹 서버(82)로부터 통지받으면, 해당 통신 단말(90)의 보안 소프트웨어로부터 로그인 정보가 일정한 시간 내에 수신되지 않을 경우 접속 차단 명령을 네트워크 접속 장비(20, 30)로 전송한다. 또한, 제어 서버(84)는 수집 서버(85)를 통해 수집된 통신 단말(90)의 IP 주소 및 MAC 주소가 화이트 리스트에 기록된 IP 주소 및 MAC 주소와 불일치하면, 그 수신된 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비(20, 30)로 전송한다. 즉 통신 단말(90)에서 임의의 고정 IP 주소를 사용하는 경우 차단하는 것이다. 또한, 제어 서버(84)는 수집 서버(85)를 통해 네트워크 접속 장비(20, 30)로부터 수집된 MAC 테이블에 포함된 통신 단말(90)의 MAC 주소가 화이트리스트에 존재하지 않으면 해당 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비(20, 30)로 전송한다. 즉, 통신 단말(90)에서 임의의 MAC 주소를 사용하는 경우 차단하는 것이다. 또한 제어 서버(84)는 허가된 IP 주소 및 MAC 주소를 도용한 것으로 판단된 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비(20, 30)로 전송한다. 제어 서버(84)는, 접속 차단 명령을 전송하며 해당 고정 IP 주소 및 MAC 주소를 블랙 리스트에 기록할 수 있다. 제어 서버(84)는 다음과 같은 기준에 따라 IP 주소 및 MAC 주소의 도용을 판단한다.
제어 서버(84)는, 수집 서버(85)를 통해 수집된 통신 단말(90)의 고유 키 값이 데이터베이스(86)에 저장된 고유 키 값과 불일치하면 도용으로 판단한다. 데이터베이스(86)에는 고정 IP 주소별로 단말 고유 키 값이 저장되어 있고, 제어 서버(84)는 수집 서버(85)를 통해 수집된 통신 단말(90)의 IP 주소 및 고유 키 값과 데이터베이스(86)에 저장된 고정 IP 주소별 단말 고유 키 값을 비교하여 일정한 시간 동안 불일치시 도용으로 판단한다. 비인가 통신 단말(90)에서 IP 주소 및 MAC 주소를 도용하는 경우 단말은 변경되었으므로 단말 고유 키 값이 변경되고 이를 탐지하는 것이다.
제어 서버(84)는, 지능형 DNS 서버(83)로부터 통지되는 고정 IP 주소에 해당하는 통신 단말(90)의 수집 정보가 수집 서버(85)를 통해 일정한 시간 내에 수신되지 않으면, 해당 고정 IP 주소 및 MAC 주소는 도용된 것으로 판단한다. 비인가 통신 단말(90)에서 IP 주소 및 MAC 주소를 도용하고 보안 소프트웨어를 설치하지 않은 상태에서 인터넷을 사용하는 경우 지능형 DNS 서버(83)로 DNS 쿼리가 전송되고 이를 탐지하는 것이다.
또한, 제어 서버(84)는, 수집 서버(85)를 통해 네트워크 접속 장비, 예컨대 L2 스위치(20)로부터 주기적으로 MAC 테이블을 수집하고, 그 MAC 테이블에 기록된 MAC 주소에 대응하는 통신 단말(90)의 수집 정보가 수집 서버(85)를 통해 일정한 시간 내에 수신되지 않고 지능형 DNS 서버(83)로부터도 해당 통신 단말(90)에 대한 통지가 없는 경우, 해당 MAC 주소 및 IP 주소가 도용된 것으로 판단한다. 즉, MAC 테이블에 기록된 MAC 주소가 고정 IP 주소에 대응하는 경우(예컨대 화이트 리스트에 속하는 경우), 제어 서버(84)는 해당 MAC 주소에 대응하는 고정 IP 주소의 통신 단말(90)로부터 일정한 시간 내에 수집 서버(85)를 통해 단말 정보가 수신되지 않는 경우, 도용으로 판단하는 것이다.
또한, 제어 서버(84)는, 수집 서버(85)를 통해 네트워크 접속 장비, 예컨대 L2 스위치(20)로부터 주기적으로 MAC 테이블을 수신하는데, 통신 단말(90)의 L2 스위치(20)의 접속 포트가 지속적으로 변경시(예컨대 일정한 시간 내에 일정한 횟수 이상 변경), 해당 통신 단말(90)의 MAC 주소 및 IP 주소가 도용된 것으로 판단한다. 인가 통신 단말이 전원 ON 상태에서 그 인가 통신 단말의 IP 주소 및 MAC 주소를 도용한 다른 비인가 단말이 L2 스위치(20)의 다른 포트에 접속시에는 동일한 MAC 주소의 접속 포트가 중복되거나 포트가 지속적으로 변경되는 것을 확인할 수 있다. 이러한 경우 도용으로 판단하는 것이다. L2 스위치(20) 뿐만 아니라 L3 스위치(30)도 마찬가지로 판단한다. 제어 서버(84)는 L3 스위치(30)에서 동일 MAC 주소의 포트가 지속 변경되는 경우 VLAN(Virtual LAN) 기준으로 차단을 할 수 있다.
한편, 제어 서버(84)는 네트워크 접속 장비(20, 30)로 접속 차단 명령을 전송하기 전에 고정 IP 주소의 원 소유자에게 도용 의심 문자 또는 메일을 발송하고, 또한 접속 차단을 한 후에 도용 차단을 알리는 문자 또는 메일을 발송할 수 있다. 또한, 제어 서버(84)는, 고정 IP 주소가 차단된 원 소유자가 지능형 웹 서버(82)를 통해 OTP 인증을 수행하는 경우, 지능형 웹 서버(82)로부터 이 사실을 통지받고 즉시 네트워크 접속 장비(20, 30)로 접속 허용 명령을 전송하여 차단을 해제할 수 있다.
도 2는 본 발명의 일 실시예에 따른 유동 IP 주소를 할당하는 방법을 설명하는 흐름도이다.
도 2를 참조하면, 통신 단말(90)은 네트워크 접속 장비인 L2 스위치(20)에 접속하여 IP 주소 할당 요청 메시지를 전송한다. 네트워크 접속 장비인 L2 스위치(20) 및 L3 스위치(30)는 통신 단말(90)로부터 전송된 IP 주소 할당 요청 메시지를 사내망(60)을 통해 네트워크 접속 제어 시스템(80)의 유동 IP 주소 할당 모듈(81)로 전송한다. 통신 단말(90)은 DHCP(Dynamic Host Configuration Protocol)를 이용하여 IP 주소 할당 요청 메시지를 전송한다. 유동 IP 주소 할당 모듈(81)은 유동 IP 주소 풀(Pool)에서 미사용 중인 유동 IP 주소를 통신 단말(90)로 할당한다(S21).
유동 IP 주소를 할당받은 통신 단말(90)에서 사용자는 임의의 인터넷 사이트에 접속을 시도한다. 예를 들어, 인터넷 브라우저를 구동하여 임의의 웹 사이트 주소를 입력한다. 따라서 통신 단말(90)은 DNS 쿼리를 전송한다. L3 스위치(30)에는 유동 IP 주소들을 접근 제어 리스트로 보유하고 유동 IP 주소를 갖는 통신 단말(90)로부터 DNS 쿼리가 수신되면 무조건 네트워크 접속 제어 시스템(80)의 지능형 DNS 서버(83)로 상기 DNS 쿼리를 전송한다(S23).
지능형 DNS 서버(83)는 상기 DNS 쿼리에 포함된 소스 IP 주소를 기초로 유동 IP 주소임을 식별하고 이에 따라 고정 IP 주소를 신청하기 위한 지능형 웹 서버(82)의 IP 주소를 응답한다(S25). 통신 단말(90)은 지능형 DNS 서버(83)로부터 수신된 지능형 웹 서버(82)의 IP 주소를 이용하여 지능형 웹 서버(82)에 접속하고 사용자는 지능형 웹 서버(82)에서 제공하는 고정 IP 주소 신청 페이지에서 고정 IP 주소를 신청한다(S27). 이때 지능형 웹 서버(82)는 통신 단말(90)의 MAC 주소, L3 스위치의 IP 주소, 유동 IP 주소 등을 자동으로 수집하여 데이터베이스(86)에 저장한다. MAC 주소 및 고정 IP 주소는 임시로 블랙 리스트에 저장될 수 있다.
본 실시예에서 지능형 웹 서버(82)는 통신 단말(90)이 접속해 오면 통신 단말(90)의 소스 IP 주소가 유동 IP 주소임을 식별한 후 고정 IP 주소 신청 페이지로 리다이렉트시킨다. 또는 다른 실시예로서, 지능형 DNS 서버(83)는 별도의 고정 IP 주소 신청 페이지의 IP 주소를 보유하고 있고 DNS 쿼리에 대한 응답을 통신 단말(90)로 회신할 때 고정 IP 주소 신청 페이지의 IP 주소를 회신할 수도 있다.
관리자는 고정 IP 주소 신청 페이지를 통해 접수된 신청 정보(이메일, 사원번호, 이동 전화번호, ID/패스워드 등)를 확인하여 정당한 권한을 가진 사용자의 신청이면 신청을 승인하고 고정 IP 주소 풀에서 고정 IP 주소를 선정한다. 이에 따라 지능형 웹 서버(82)는 제어 서버(84)로 통보하고, 제어 서버(84)는 L3 스위치(30)에 고정 IP 주소 및 통신 단말(90)의 MAC 주소를 포함하는 접속 허용 명령을 전송하여 접속을 허용한다(S29). 그리고 제어 서버(84)는 문자 메시지를 통해 통신 단말(90)로 고정 IP 주소 승인 내역을 통보하거나, 이메일로 고정 IP 주소 승인 내역을 통보한다. 고정 IP 주소는 지능형 웹 서버(82)를 통해 통신 단말(90)에 설정될 수 있고, 또는 상기 승인 내역에 따라 사용자가 직접 수작업으로 통신 단말(90)에 고정 IP 주소를 설정할 수도 있다.
이상의 도 2를 참조하여 설명한 실시예에 따라 사내망(60)에 접속하는 통신 단말(90)은 임시로 유동 IP 주소를 할당받은 후 정식 절차에 따라 고정 IP 주소를 신청하여 고정 IP 주소를 할당받게 된다. 한편, 통신 단말(90)이 고정 IP 주소를 할당받더라도 보안 소프트웨어를 설치하지 않으면 인터넷(70)에 접속할 수 없다. 이하에서 도 3을 참조하여 보안 소프트웨어를 설치하는 방법을 설명한다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 통신 단말을 보안 정책 준수 안내 페이지로 접속 유도하는 방법을 설명하는 흐름도이다.
도 3을 참조하면, 도 2를 참조하여 설명한 실시예의 절차를 통해 고정 IP 주소를 할당받은 통신 단말(90)의 사용자는 통신 단말(90)을 통해 임의의 웹 사이트에 접속을 시도한다. 예컨대 웹 브라우저에 임의의 웹 사이트의 도메인 네임을 입력한다. 이에 따라 통신 단말(90)은 네트워크 접속 장비인 L2/L3 스위치(20, 30)를 경유하여 지능형 DNS 서버(83)로 DNS 쿼리를 전송한다(S31). L3 스위치(30)에는 통신 단말(90)의 MAC 주소와 고정 IP 주소가 접속 허용되어 있으므로 DNS 쿼리는 차단되지 않고 지능형 DNS 서버(83)로 전송된다.
지능형 DNS 서버(83)는 상기 DNS 쿼리에 포함된 소스 IP 주소, 즉 통신 단말(90)의 고정 IP 주소를 기초로 데이터베이스(86)의 블랙 리스트를 검색하여 해당 소스 IP 주소가 블랙 리스트에 속하는 것을 판별한다. 즉, 통신 단말(90)에는 보안 정책을 준수하지 않은 것으로 체크되어 해당 통신 단말(90)의 고정 IP 주소는 블랙 리스트로 등록되어 있다. 여기서 보안 정책의 준수는, 필수 보안 소프트웨어의 설치, 보안 소프트웨어의 로그인 등을 포함한다.
지능형 DNS 서버(83)는 보안 정책 준수 안내 페이지로 통신 단말(90)을 접속시키기 위해 지능형 웹 서버(82)의 IP 주소를 응답한다(S33). 통신 단말(90)은 지능형 DNS 서버(83)로부터 수신된 지능형 웹 서버(82)의 IP 주소를 이용하여 지능형 웹 서버(82)에 접속하고 사용자는 지능형 웹 서버(82)에서 제공하는 보안 정책 준수 안내 페이지에 접속한다(S35). 여기서 보안 정책 준수 안내 페이지는 보안 소프트웨어 설치 안내 페이지이다.
본 실시예에서 지능형 웹 서버(82)는 통신 단말(90)이 접속해 오면 통신 단말(90)의 소스 IP 주소, 즉 고정 IP 주소를 이용하여 데이터베이스(86)에서 해당 고정 IP 주소가 보안 정책 미준수에 의해 블랙 리스트에 속하는 것을 판별한 후, 보안 정책 미준수 유형에 따른 보안 정책 준수 안내 페이지로 리다이렉트시킨다. 또는 다른 실시예로서, 지능형 DNS 서버(83)는 유형별 보안 정책 준수 안내 페이지의 IP 주소를 보유하고 있고 DNS 쿼리에 대한 응답을 통신 단말(90)로 회신할 때 보안 정책 미준수 유형에 따른 보안 정책 준수 안내 페이지의 IP 주소를 회신할 수도 있다.
보안 정책 준수에서 설치를 요구하는 필수 보안 소프트웨어는 적어도 하나 이상일 수 있다. 예를 들어, 네트워크 접속 시스템(80)의 클라이언트 프로그램, 바이러스 백신 프로그램, DRM 프로그램 등을 포함할 수 있고, 하나의 안내 페이지에서 이러한 모든 프로그램의 설치 안내를 할 수 있고, 또는 각 프로그램마다 설치 안내 페이지를 별도로 구축하여 이용할 수도 있다.
사용자는 보안 정책 준수 안내 페이지에서 필요한 보안 프로그램을 선택하여 통신 단말(90)로 다운로드하여 설치한다(S37). 지능형 웹 서버(82)는 보안 소프트웨어에 설치에 관한 정보를 제어 서버(84)로 통지한다. 또한 통신 단말(90)에 설치되는 보안 프로그램 중에서 네트워크 접속 시스템(80)의 클라이언트 프로그램은, 통신 단말(90)의 정보, 예컨대 필수 보안 소프트웨어들의 설치 유무, 보안 소프트웨어들의 로그인 유무, 통신 단말(90)의 고유 키 값을 주기적으로 수집 서버(85)로 전송한다. 수집 서버(85)는 클라이언트 프로그램으로부터 수신되는 정보를 제어 서버(84)로 전달하고, 제어 서버(84)는 그 전달되는 정보에 따라 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 블랙 리스트에서 삭제하고 화이트 리스트에 저장할 수 있다.
한편, 제어 서버(84)는 지능형 웹 서버(82)의 통지에 따라 통신 단말(90)이 보안 정책 준수 안내 페이지에 접속하였으나 보안 소프트웨어를 일정 시간 내에 설치하지 않은 것으로 판단되면, 해당 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송할 수 있다.
이상의 도 3를 참조하여 설명한 실시예에 따라 고정 IP 주소를 할당받고 필수적인 보안 소프트웨어를 설치하여 로그인 한 통신 단말(90)의 사용자는 해당 통신 단말(90)을 통해 인터넷(70)에 접속할 수 있다.
한편, 도 3을 참조한 실시예에서 통신 단말(90)이 보안 소프트웨어를 설치하는 과정을 설명하였으나, 다른 실시예로서, 통신 단말(90)이 보안 소프트웨어를 설치하였으나 보안 소프트웨어(예, 클라이언트 프로그램)에 로그인하지 않은 경우, 제어 서버(84)는 수집 서버(85)로부터 주기적으로 단말 정보가 수집되지 않으므로 해당 통신 단말(90)의 고정 IP 주소를 블랙 리스트에 등록한다. 이에 따라 통신 단말(90)에서 DNS 쿼리를 전송하면 해당 통신 단말(90)은 보안 준수 안내 페이지, 구체적으로 보안 소프트웨어 로그인 안내 페이지로 접속이 유도되고, 일정한 시간 내에 로그인하지 않는 경우, 제어 서버(84)는 해당 통신 단말(90)의 고정 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 네트워크 접속 장비로 전송할 수 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 4를 참조한 실시예에서, 통신 단말(90)은 필수 보안 소프트웨어를 설치하고 보안 소프트웨어(예, 클라이언트 프로그램)의 로그인도 하였으나, 고정 IP 주소와 MAC 주소를 도용한 단말이다(S41). 통신 단말(90)의 클라이언트 프로그램은 주기적으로 통신 단말(90)의 정보, 즉 보안 소프트웨어의 설치 유무, 보안 소프트웨어의 로그인 유무, 통신 단말(90)의 고유 키 값을 주기적으로 수집 서버(85)로 전송한다(S43).
수집 서버(85)는 통신 단말(90)의 클라이언트 프로그램으로부터 수신된 정보를 제어 서버(84)로 전달하고, 제어 서버(84)는 수집 서버(85)로부터 수신된 정보 중 통신 단말(90)의 고유 키 값을 데이터베이스(86)에 저장된 고유 키 값과 비교한다. 고정 IP 주소와 MAC 주소는 도용되었으므로, 데이터베이스(86)에서 고정 IP 주소 및 MAC 주소에 매핑되어 있는 통신 단말의 고유 키 값은, 수집 서버(85)로부터 전달되는 고유 키 값과 다르다. 따라서 제어 서버(84)는 고유 키 값이 불일치하므로 통신 단말(90)에서 고정 IP 주소와 MAC 주소를 도용한 것으로 판단하고, 네트워크 접속 장비인 L3 스위치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S45). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다. 제어 서버(84)는 차단 전에 도용 의심을 문자 또는 이메일로 안내할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 5를 참조한 실시예에서, 통신 단말(90)은 바이러스 프로그램 등의 보안 소프트웨어는 설치하였으나 클라이언트 프로그램은 삭제하거나 설치하지 않고 고정 IP 주소와 MAC 주소를 도용한 단말이다(S51). 클라이언트 프로그램이 삭제되었으므로 수집 서버(85)로는 주기적인 단말 정보의 전송이 이루어지지 않는다. 그러나 V3 등의 바이러스 프로그램은 주기적으로 DNS 쿼리를 수행하게 된다. 따라서 바이러스 프로그램에 의해 통신 단말(90)은 DNS 쿼리를 전송한다(S53).
DNS 쿼리를 수신한 지능형 DNS 서버(83)는, DNS 쿼리의 소스 IP 주소, 즉 통신 단말(90)의 고정 IP 주소를 기초로 데이터베이스(86)를 조회하여 화이트 리스트에 속하는 것을 확인한다. 통신 단말(90)의 악의적 사용자(예, 해커)는 필수 보안 소프트웨어를 모두 설치한 다른 통신 단말의 고정 IP 주소 및 MAC 주소를 도용하고 있으므로, 해당 도용된 고정 IP 주소는 화이트 리스트로 등록되어 있다. 지능형 DNS 서버(83)는 DNS 쿼리를 수신할 때마다 화이트 리스트에 속하는 소스 IP 주소, 즉 고정 IP 주소를 제어 서버(84)로 전송한다(S55).
제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소를 토대로 해당 고정 IP 주소를 갖는 통신 단말(90)로부터 주기적으로 단말 정보가 수신되는지 확인한다. 그러나 본 실시예의 통신 단말(90)은 클라이언트 프로그램이 설치되어 있지 않으므로 단말 정보는 수집 서버(85)로 전송되지 않고, 따라서 제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소는 도용된 IP 주소로 판단하고 네트워크 접속 장비인 L3 스위치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S57). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다. 본 실시예에서 제어 서버(84)는 지능형 DNS 서버(83)로부터 전송된 고정 IP 주소에 해당하는 통신 단말(90)로부터 일정한 시간 동안 단말 정보가 수신되지 않으면 상기 차단 명령을 전송한다. 여기서 일정한 시간은 클라이언트 프로그램이 단말 정보를 주기적으로 전송하는 전송 주기를 의미할 수 있다.
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 접속 제어 시스템에서 IP 주소 및 MAC 주소를 도용한 통신 단말의 접속을 차단하는 방법을 설명하는 흐름도이다.
도 6을 참조한 실시예에서, 통신 단말(90)은 필수 보안 소프트웨어는 설치하지 않고 고정 IP 주소와 MAC 주소를 도용한 단말이다. 일반적으로 윈도우 등의 운영체제는 통신 단말(90)의 전원이 켜져 부팅되면 자동으로 네트워크 접속 장비인 L2 스위치(20)로 MAC 주소를 전송하여 등록한다(S61).
수집 서버(85)는 주기적으로 네트워크 접속 장비인 L2 스위치(20)로부터 L2 스위치(20)에 접속 중인 통신 단말(90)들의 MAC 주소를 저장하고 있는 MAC 테이블을 수집한다(S63). 수집 서버(85)는 수집된 MAC 테이블을 제어 서버(84)로 전송한다.
제어 서버(84)는 수집 서버(85)로부터 수신된 MAC 테이블에 기록된 MAC 주소를 갖는 통신 단말(90)로부터 일정한 시간 내에 DNS 쿼리 및 단말 정보가 수신되는지 확인한다. 본 실시예에서 통신 단말(90)은 필수 보안 소프트웨어를 설치하지 않았으므로, 단말 정보를 수집 서버(85)로 전송하지 않고, 또한 사용자가 임의의 웹 사이트에 접속하지 않는 이상 DNS 쿼리도 전송하지 않는다. 따라서 제어 서버(84)는 통신 단말(90)을 IP 주소 및 MAC 주소를 도용한 단말로 판별하고, 네트워크 접속 장비인 L3 스위치(30)로 고정 IP 주소 및 MAC 주소에 대한 접속 차단 명령을 전송한다(S65). 그리고 제어 서버(84)는 도용된 고정 IP 주소를 할당받았던 사용자의 이동 전화번호 또는 이메일을 데이터베이스(86)에서 확인하여 차단 내역을 알린다.
도 7은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템에서 통신 단말이 네트워크 접속 장비의 포트를 변경하였을 때 인증하는 방법을 설명하는 흐름도이다.
도 7을 참조한 실시예에서, 통신 단말(90)은 고정 IP 주소를 할당받고 필수 보안 소프트웨어를 설치한 단말이다. 통신 단말(90)이 접속하여 고정 IP 주소를 할당받았던 네트워크 접속 장비, 즉 L2 스위치(20)의 포트 정보는 데이터베이스(86)에 저장되어 있다. 통신 단말(90)이 L2 스위치(20)의 포트를 변경하여 접속하는 경우(S71), 통신 단말(90)의 MAC 주소는 L2 스위치(20)에 저장되고, 수집 서버(85)는 L2 스위치(20)로부터 MAC 테이블을 수집한다(S72). MAC 테이블에는 L2 스위치(20)의 IP 주소, 포트별 MAC 주소를 포함한다.
수집 서버(85)는 수집된 MAC 테이블을 제어 서버(84)로 전송한다. 제어 서버(84)는 수집 서버(85)로부터 수신된 MAC 테이블에 기록된 포트별 MAC 주소와 데이터베이스(86)의 정보를 비교하여 포트가 변경된 통신 단말(90)을 판별하고 통신 단말(90)로 OTP(One Time Password) 인증 안내를 전송한다(S73). 여기서 OTP 인증 안내는 포트가 변경되었으므로 일정한 시간 내에 OTP 인증을 해야 함을 알리는 안내 메시지로, SMS 메시지 또는 이메일로 전송될 수 있다. 이때 제어 서버(84)는 포트가 변경된 통신 단말(90)을 블랙 리스트로 등록할 수 있다.
이후 사용자는 통신 단말(90)을 통해 임의의 웹 사이트에 접속한다. 따라서 통신 단말(90)은 DNS 쿼리를 지능형 DNS 서버(83)로 전송한다(S74). 지능형 DNS 서버(83)는 DNS 쿼리에 포함된 소스 IP 주소를 토대로 해당 통신 단말(90)이 포트 변경에 따라 블랙 리스트에 등록된 것을 확인하고 지능형 웹 서버(82)의 IP 주소를 응답한다(S75).
통신 단말(90)은 지능형 DNS 서버(83)로부터 수신된 지능형 웹 서버(82)의 IP 주소를 이용하여 지능형 웹 서버(82)에 접속하고 사용자는 지능형 웹 서버(82)에서 제공하는 OTP 인증 페이지에 접속한다(S76). 사용자는 OTP 인증 페이지에 본인의 이동 전화번호를 입력하여 휴대 단말로 OTP를 수신한 후 이를 OTP 인증 페이지에 입력하여 OTP 인증을 수행한다(S77).
본 실시예에서 지능형 웹 서버(82)는 통신 단말(90)이 접속해 오면 통신 단말(90)의 소스 IP 주소, 즉 고정 IP 주소를 이용하여 데이터베이스(86)에서 해당 고정 IP 주소가 포트 변경에 의해 블랙 리스트에 등록된 것을 판별한 후, OTP 인증 페이지로 리다이렉트시킨다. 또는 다른 실시예로서, 지능형 DNS 서버(83)는 OTP 인증 페이지의 IP 주소를 보유하고 있고 DNS 쿼리에 대한 응답을 통신 단말(90)로 회신할 때 OTP 인증 페이지의 IP 주소를 회신할 수도 있다.
제어 서버(84)는 단계 S73에서 OTP 인증 안내를 전송한 후 일정한 시간 이내에 지능형 웹 서버(82)로부터 OTP 인증 완료 메시지가 수신되지 않으면, 해당 포트가 변경된 통신 단말(90)의 접속을 차단하기 위해 L3 스위치(30)로 고정 IP 주소 차단 명령을 전송한다(S78). 또는 제어 서버(84)는 단계 S73에서 OTP 인증 안내를 전송한 후 일정한 시간 이내에 지능형 웹 서버(82)로부터 OTP 인증 완료 메시지가 수신되면 해당 통신 단말(90)을 블랙 리스트에서 제외하고 화이트 리스트에 등록한다.
이상에서 도 7을 참조하여 설명한 OTP 인증은, IP 주소 및 MAC 주소가 도용되어 차단된 원 소유자에 대해서도 수행될 수 있다. 원 소유자는 IP 주소 및 MAC 주소가 도용되어 차단되었음을 문자 메시지 또는 이메일로 안내 받으면, 도 7을 참조하여 설명한 OTP 인증을 통해 인증을 한 후 IP 주소 및 MAC 주소의 차단을 해제할 수 있다. 원 소유자는 고정 IP 주소가 차단되었으므로 유동 IP 주소를 임시로 할당받아 OTP 인증을 수행할 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
20 : L2 스위치
30 : L3 스위치
40 : AP
50 : AP 제어기
60 : 사내망
70 : 인터넷
80 : 네트워크 접속 제어 시스템
81 : 유동 IP 주소 할당 모듈
82 : 지능형 웹 서버
83 : 지능형 DNS 서버
84 : 제어 서버
85 : 수집 서버
86 : 데이터베이스

Claims (24)

  1. 통신 단말의 네트워크 접속을 제어하는 네트워크 접속 제어 시스템에 있어서,
    네트워크 접속 장비를 통해 접속하는 상기 통신 단말로 유동 IP 주소를 할당하는 유동 IP 주소 할당 모듈;
    상기 유동 IP 주소를 할당받은 상기 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 DNS 모듈; 및
    상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 웹 서버를 포함하는 네트워크 접속 제어 시스템.
  2. 제 1 항에 있어서,
    상기 DNS 모듈은,
    상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 네트워크 접속 제어 시스템.
  3. 제 2 항에 있어서,
    상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 설치 안내 페이지를 포함하고,
    상기 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  4. 제 2 항에 있어서,
    상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 로그인 안내 페이지를 포함하고,
    상기 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  5. 제 4 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈을 더 포함하고,
    상기 제어 모듈은,
    상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 통신 단말의 단말 정보가 일정한 시간 내에 상기 수집 모듈에서 미수집되는 경우 접속 차단 명령을 전송하는 네트워크 접속 제어 시스템.
  6. 제 1 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및
    상기 단말 정보에 포함된 통신 단말의 IP 주소 및 MAC 주소가 화이트 리스트에 존재하지 않으면 상기 통신 단말의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  7. 제 1 항에 있어서,
    상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및
    상기 MAC 테이블에 포함된 MAC 주소가 화이트 리스트에 존재하지 않으면 그 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  8. 제 1 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및
    상기 단말 정보에 포함된 단말 고유 키 값과 기 저장된 단말 고유 키 값이 불일치하는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  9. 제 1 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 수집 모듈; 및
    상기 통신 단말로부터 상기 DNS 모듈로의 DNS 쿼리의 전송은 있으나 상기 수집 모듈에서 상기 단말 정보가 미수집되는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  10. 제 1 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하고, 상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및
    상기 MAC 테이블에 포함된 MAC 주소에 대응하는 통신 단말의 단말 정보가 상기 수집 모듈에서 미수집되는 경우 상기 MAC 주소에 대응하는 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  11. 제 1 항에 있어서,
    상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 수집 모듈; 및
    상기 MAC 테이블을 기초로 포트 번호가 일정한 시간 내에 일정 횟수 이상 변경되는 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 제어 모듈을 더 포함하는 네트워크 접속 제어 시스템.
  12. 제 3 항 내지 제 11 항 중 어느 한 항에 있어서,
    상기 제어 모듈은,
    네트워크 접속이 차단된 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 상기 고정 IP 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 네트워크 접속 제어 시스템.
  13. 네트워크 접속 제어 시스템에서 통신 단말의 네트워크 접속을 제어하는 방법에 있어서,
    네트워크 접속 장비를 통해 접속하는 상기 통신 단말로 유동 IP 주소를 할당하는 단계;
    상기 유동 IP 주소를 할당받은 상기 통신 단말로부터 상기 네트워크 접속 장비를 통해 임의의 DNS 쿼리를 수신하고 고정 IP 주소 신청 페이지의 IP 주소를 응답하는 단계; 및
    상기 통신 단말로 상기 고정 IP 주소 신청 페이지를 제공하고 상기 통신 단말에 대한 고정 IP 주소를 할당하는 단계를 포함하는 방법.
  14. 제 13 항에 있어서,
    상기 고정 IP 주소를 할당하는 단계 이후에,
    상기 고정 IP 주소를 이용하여 상기 네트워크 접속 장비를 통해 상기 통신 단말로부터 DNS 쿼리를 수신하면, 상기 고정 IP 주소와 블랙 리스트를 비교하고, 비교 결과에 기초하여 보안 정책 준수 안내 페이지의 IP 주소를 응답하는 단계를 더 포함하는 방법.
  15. 제 14 항에 있어서,
    상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 설치 안내 페이지를 포함하고,
    상기 방법은,
    상기 통신 단말의 보안 소프트웨어 설치 여부에 따라 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령 또는 접속 허용 명령을 전송하는 단계를 더 포함하는 방법.
  16. 제 14 항에 있어서,
    상기 보안 정책 준수 안내 페이지는, 보안 소프트웨어 로그인 안내 페이지를 포함하고,
    상기 방법은,
    상기 통신 단말에서 일정한 시간 내에 보안 소프트웨어 미로그인시 상기 네트워크 접속 장비로 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 전송하는 단계를 더 포함하는 방법.
  17. 제 16 항에 있어서,
    상기 접속 차단 명령을 전송하는 단계는,
    상기 보안 소프트웨어 로그인 안내 페이지에 접속한 상기 통신 단말의 단말 정보가 상기 통신 단말에 설치되는 보안 소프트웨어로부터 일정한 시간 내에 미수집되는 경우 상기 접속 차단 명령을 전송하는 방법.
  18. 제 13 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 단계; 및
    상기 단말 정보에 포함된 통신 단말의 IP 주소 및 MAC 주소가 화이트 리스트에 존재하지 않으면 상기 통신 단말의 IP 주소 및 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  19. 제 13 항에 있어서,
    상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및
    상기 MAC 테이블에 포함된 MAC 주소가 화이트 리스트에 존재하지 않으면 그 MAC 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  20. 제 13 항에 있어서,
    상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보를 수집하는 단계; 및
    상기 단말 정보에 포함된 단말 고유 키 값과 기 저장된 단말 고유 키 값이 불일치하는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  21. 제 13 항에 있어서,
    상기 통신 단말로부터 DNS 쿼리의 전송은 있으나 상기 통신 단말에 설치되는 보안 소프트웨어로부터 단말 정보가 미수집되는 경우 상기 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  22. 제 13 항에 있어서,
    상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및
    상기 MAC 테이블에 포함된 MAC 주소에 대응하는 통신 단말의 단말 정보가 미수집되는 경우 상기 MAC 주소에 대응하는 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  23. 제 13 항에 있어서,
    상기 네트워크 접속 장비로부터 MAC 테이블을 수집하는 단계; 및
    상기 MAC 테이블을 기초로 포트 번호가 일정한 시간 내에 일정 횟수 이상 변경되는 통신 단말의 고정 IP 주소를 포함하는 접속 차단 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
  24. 제 15 항 내지 제 23 항 중 어느 한 항에 있어서,
    네트워크 접속이 차단된 통신 단말의 사용자에 대한 OTP(One Time Password) 인증 성공시 상기 고정 IP 주소를 포함하는 접속 허용 명령을 상기 네트워크 접속 장비로 전송하는 단계를 더 포함하는 방법.
KR1020170030506A 2017-03-10 2017-03-10 네트워크 접속 제어 시스템 및 방법 KR101993860B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170030506A KR101993860B1 (ko) 2017-03-10 2017-03-10 네트워크 접속 제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170030506A KR101993860B1 (ko) 2017-03-10 2017-03-10 네트워크 접속 제어 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20180103487A true KR20180103487A (ko) 2018-09-19
KR101993860B1 KR101993860B1 (ko) 2019-06-27

Family

ID=63719090

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170030506A KR101993860B1 (ko) 2017-03-10 2017-03-10 네트워크 접속 제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101993860B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법
CN115842655A (zh) * 2022-11-10 2023-03-24 合芯科技有限公司 防止非法设备接入方法、装置、系统及存储介质
KR20230053129A (ko) 2021-10-14 2023-04-21 주식회사 에이써티 보안 인터페이스를 이용한 보안검색엔진 제어방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100784152B1 (ko) * 2006-10-10 2007-12-10 조관현 Isp 시스템에 dns 시스템을 부가 설치하여 가입자pc에게 서비스를 제공하는 방법 및 그 시스템
KR20110002947A (ko) 2009-07-03 2011-01-11 (주)넷맨 필수 프로그램 설치정보를 이용한 네트워크 접근 제어시스템 및 이의 방법
KR101096129B1 (ko) * 2011-07-20 2011-12-19 (주)넷맨 호스트의 아이피 및 도메인 네임 할당방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100784152B1 (ko) * 2006-10-10 2007-12-10 조관현 Isp 시스템에 dns 시스템을 부가 설치하여 가입자pc에게 서비스를 제공하는 방법 및 그 시스템
KR20110002947A (ko) 2009-07-03 2011-01-11 (주)넷맨 필수 프로그램 설치정보를 이용한 네트워크 접근 제어시스템 및 이의 방법
KR101096129B1 (ko) * 2011-07-20 2011-12-19 (주)넷맨 호스트의 아이피 및 도메인 네임 할당방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법
WO2023038224A1 (ko) * 2021-09-09 2023-03-16 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법
KR20230053129A (ko) 2021-10-14 2023-04-21 주식회사 에이써티 보안 인터페이스를 이용한 보안검색엔진 제어방법 및 장치
CN115842655A (zh) * 2022-11-10 2023-03-24 合芯科技有限公司 防止非法设备接入方法、装置、系统及存储介质

Also Published As

Publication number Publication date
KR101993860B1 (ko) 2019-06-27

Similar Documents

Publication Publication Date Title
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
US8001610B1 (en) Network defense system utilizing endpoint health indicators and user identity
US20090217346A1 (en) Dhcp centric network access management through network device access control lists
US20100197293A1 (en) Remote computer access authentication using a mobile device
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US20080133719A1 (en) System and method of changing a network designation in response to data received from a device
CN101277308A (zh) 一种隔离内外网络的方法、认证服务器及接入交换机
US20090119745A1 (en) System and method for preventing private information from leaking out through access context analysis in personal mobile terminal
US20030167411A1 (en) Communication monitoring apparatus and monitoring method
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
JP2008113409A (ja) トラフィック制御システム及び管理サーバ
WO2019084340A1 (en) SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP6616733B2 (ja) ネットワークシステムおよびサーバ装置
CN110933018B (zh) 网络认证方法、装置以及计算机存储介质
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
CN111416815B (zh) 报文处理方法、电子设备和存储介质
KR20180131765A (ko) 관리자 모드 네트워크 접속관리시스템 및 접속 방법
CN114710302A (zh) 互联网访问的控制方法及其控制装置
KR101910604B1 (ko) 네트워크 접근 제어 시스템 및 방법
JP4290526B2 (ja) ネットワークシステム
KR101690105B1 (ko) 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법
US10523715B1 (en) Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right