KR20190076382A - 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법 - Google Patents

보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법 Download PDF

Info

Publication number
KR20190076382A
KR20190076382A KR1020170178142A KR20170178142A KR20190076382A KR 20190076382 A KR20190076382 A KR 20190076382A KR 1020170178142 A KR1020170178142 A KR 1020170178142A KR 20170178142 A KR20170178142 A KR 20170178142A KR 20190076382 A KR20190076382 A KR 20190076382A
Authority
KR
South Korea
Prior art keywords
security
security threat
iot
terminal
gateway
Prior art date
Application number
KR1020170178142A
Other languages
English (en)
Inventor
임재덕
김정녀
김건량
김영세
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170178142A priority Critical patent/KR20190076382A/ko
Publication of KR20190076382A publication Critical patent/KR20190076382A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법이 개시된다. 본 발명에 따른 보안 위협 탐지 게이트웨이에 의해 수행되는 IoT 단말의 보안 위협 탐지 방법은, 보안 위협 탐지 게이트웨이가, 하나 이상의 IoT 단말로부터 수집 데이터를 수신하는 단계, IoT 서비스 운영 기반 고유 정보를 기반으로 상기 수집 데이터를 분석하여, 상기 IoT 단말의 보안 위협을 탐지하는 단계, 상기 IoT 단말의 상기 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정하는 단계, 상기 격리 대상 단말로 설정된 하나 이상의 상기 IoT 단말을 격리하는 단계, 그리고 상기 격리 대상 단말의 소프트웨어를 복구하는 단계를 포함한다.

Description

보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법{SECURITY THREAT DETECTION GATEWAY, SECURITY CONTROL SERVER AND METHOD FOR SECURITY THREAT DETECTING OF IOT TERMINAL}
본 발명은 IoT 단말의 보안 위협을 탐지하고, 보안 섹터 단위로 IoT 단말을 격리하여, 보안 위협의 확산을 차단하고, IoT 단말의 소프트웨어 복구를 수행하는 기술에 관한 것이다.
사물인터넷 서비스 시장이 급성장하고 규모도 커짐에 따라, 다양한 종류의 기기들이 사물인터넷 서비스 운영을 위해 적용되고 있다. 사물인터넷 기기로는 게이트웨이 등과 같이 보안 기술의 적용이 비교적 용이한 고사양 기기뿐만 아니라, 서비스 엔드 단에서 서비스의 운영에 필요한 정보를 수집하고 제어를 수행하는 센서, 액츄에이터 등과 같은 저사양 기기도 활용되고 있다.
저사양 기기의 경우, 다양한 보안 기능이 충분히 적용되기 어렵다. 이러한 특성으로 인해 외부 공격이 주로 저사양 기기를 통해 발생하며, 저사양 기기로 침투하여 해당 기기가 속한 서비스 인프라로 보안 위협이 확산되는 경우가 많다. 특히, 원격 검침 서비스와 같은 특정 서비스를 구성하는 기기들은 대부분 동일한 사양의 기기들이 대규모 환경으로 구성되어 있어, 보안 위협의 확산 속도가 매우 빠르다.
또한, 외부 공격 기법이 점점 정교해지고, 복잡해지는 추세이다. 이로 인하여 공격 기법 자체를 정확히 탐지하는 것은 저사양 기기뿐만 아니라 고사양 기기에서도 어려운 분야로, 오탐 및 과탐의 가능성이 높으며, 대규모로 운영되는 사물인터넷 기반 서비스 특성 상 비용 절감을 위해 기기 사양을 최소화하는 상황에서 외부 공격 탐지를 위해 기기 자원을 사용하는 것은 비효율적이다.
이러한 문제점을 해결하기 위하여, 효과적이고 효율적인 보안 위협 확산 방지 수단이 필요하다. 이를 위해, 서비스를 제공하는 사물인터넷 인프라 차원에서 통제하는 방식이 효과적이며, 간단한 방식으로 보안 위협을 탐지하는 기술의 개발이 필요하다.
한국 등록 특허 제10-1391729호, 2014년 05월 27일 공고(명칭: 사물인터넷 보안시스템 및 방법)
본 발명의 목적은 사물인터넷 환경에서 IoT 단말이 아닌 중간 노드 및 서비스 플랫폼이 IoT 단말의 보안 위협을 탐지하여, 엔드 기기인 IoT 단말의 부하를 최소화하는 것이다.
또한, 본 발명의 목적은 IoT 서비스 운영에 관련된 고유 정보를 기반으로 IoT 단말의 정상 상태를 확인하는 간단한 방법으로 IoT 단말의 보안 위협을 탐지하는 것이다.
또한, 본 발명의 목적은 탐지된 보안 위협의 확산을 사전에 효율적으로 차단하는 것이다.
또한, 본 발명의 목적은 IoT 단말의 보안 위협에 빠르게 대처할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 보안 위협이 발생한 IoT 단말을 보안 섹터 단위로 격리하여, 보안 위협을 사전에 차단하고, 보안 위협에 의한 피해를 최소화하는 것이다.
또한, 본 발명의 목적은 보안 위협이 발생한 IoT 단말에 대한 보안 위협 복구를 수행한 후, 자동으로 격리를 해제하여 사용자의 개입이 최소화된 자율적인 보안 통제가 가능하도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 보안 위협 탐지 게이트웨이에 의해 수행되는 IoT 단말의 보안 위협 탐지 방법은, 보안 위협 탐지 게이트웨이가, 하나 이상의 IoT 단말로부터 수집 데이터를 수신하는 단계, IoT 서비스 운영 기반 고유 정보를 기반으로 상기 수집 데이터를 분석하여, 상기 IoT 단말의 보안 위협을 탐지하는 단계, 상기 IoT 단말의 상기 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정하는 단계, 상기 격리 대상 단말로 설정된 하나 이상의 상기 IoT 단말을 격리하는 단계, 그리고 상기 격리 대상 단말의 소프트웨어를 복구하는 단계를 포함한다.
이때, 상기 IoT 단말의 보안 위협을 탐지하는 단계는, 상기 IoT 단말에 상응하는 상기 IoT 서비스 운영 기반 고유 정보와 상기 수집 데이터를 비교하여, 상기 수집 데이터가 상기 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되지 않는 경우, 상기 IoT 단말에 상기 보안 위협이 발생한 것으로 판단할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 단말 임계 개수보다 작은 경우, 상기 보안 위협이 탐지된 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 단말 단위 통제 정책을 포함할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말 중에서, 단말 정보가 동일한 IoT 단말의 개수가 모델 임계 개수 이상인 경우, 상기 보안 위협 탐지 게이트웨이에 연결된 하나 이상의 IoT 단말 중에서 상기 단말 정보에 상응하는 IoT 단말을 상기 격리 대상 단말로 설정하는 모델 단위 통제 정책을 포함할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 상기 보안 위협이 탐지된 상기 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 상기 보안 위협 탐지 게이트웨이에 연결된 모든 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 게이트웨이 단위 통제 정책을 포함할 수 있다.
이때, 보안 통제 서버로 복구 이미지를 요청하고, 상기 보안 통제 서버로부터 상기 격리 대상 단말의 소프트웨어를 복구하기 위한 상기 복구 이미지를 수신하는 단계를 더 포함할 수 있다.
이때, 상기 격리 대상 단말의 소프트웨어를 복구하는 단계는, 상기 보안 통제 서버로부터 수신한 상기 복구 이미지를 상기 격리 대상 단말로 전송하여, 상기 격리 대상 단말의 소프트웨어를 복구하는 단계, 그리고 복구가 완료된 상기 격리 대상 단말의 격리를 해제하는 단계를 포함할 수 있다.
이때, 상기 보안 통제 서버가 상기 보안 위협 탐지 게이트웨이에 상응하는 영역 단위 및 상기 보안 위협 탐지 게이트웨이에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하도록, 상기 보안 위협이 탐지된 상기 IoT 단말의 정보를 포함하는 이상 상황 판단 정보를 보안 통제 서버로 전송하는 단계를 더 포함할 수 있다.
또한, 본 발명이 또 다른 실시예에 따른 보안 위협 탐지 게이트웨이는 하나 이상의 IoT 단말로부터 수집 데이터를 수신하는 수집 데이터 수신부, IoT 서비스 운영 기반 고유 정보를 기반으로 상기 수집 데이터를 분석하여, 상기 IoT 단말의 보안 위협을 탐지하는 보안 위협 탐지부, 상기 IoT 단말의 상기 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정하는 격리 대상 단말 설정부, 상기 격리 대상 단말로 설정된 하나 이상의 상기 IoT 단말을 격리하는 단말 격리부, 그리고 상기 격리 대상 단말의 소프트웨어를 복구하는 복구 수행부를 포함한다.
이때, 상기 보안 위협 탐지부는, 상기 IoT 단말에 상응하는 상기 IoT 서비스 운영 기반 고유 정보와 상기 수집 데이터를 비교하여, 상기 수집 데이터가 상기 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되지 않는 경우, 상기 IoT 단말에 상기 보안 위협이 발생한 것으로 판단할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 단말 임계 개수보다 작은 경우, 상기 보안 위협이 탐지된 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 단말 단위 통제 정책을 포함할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말 중에서, 단말 정보가 동일한 IoT 단말의 개수가 모델 임계 개수 이상인 경우, 하나 이상의 상기 IoT 단말 중에서 상기 단말 정보에 상응하는 IoT 단말을 상기 격리 대상 단말로 설정하는 모델 단위 통제 정책을 포함할 수 있다.
이때, 상기 보안 통제 정책은, 기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 상기 보안 위협이 탐지된 상기 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 연결된 모든 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 게이트웨이 단위 통제 정책을 포함할 수 있다.
이때, 보안 통제 서버로 복구 이미지를 요청하고, 상기 보안 통제 서버로부터 상기 격리 대상 단말의 소프트웨어를 복구하기 위한 상기 복구 이미지를 수신하는 서버 통신부를 더 포함할 수 있다.
이때, 상기 복구 수행부는, 상기 보안 통제 서버로부터 수신한 상기 복구 이미지를 상기 격리 대상 단말로 전송하여, 상기 격리 대상 단말의 소프트웨어를 복구하고, 복구가 완료된 상기 격리 대상 단말의 격리를 해제할 수 있다.
이때, 상기 서버 통신부는, 상기 보안 통제 서버가 상기 보안 위협 탐지 게이트웨이에 상응하는 영역 단위 및 상기 보안 위협 탐지 게이트웨이에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하도록, 상기 보안 위협이 탐지된 상기 IoT 단말의 정보를 포함하는 이상 상황 판단 정보를 보안 통제 서버로 전송할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 통제 서버는 하나 이상의 보안 위협 탐지 게이트웨이로부터 IoT 단말의 이상 상황 판단 정보를 수신하는 이상 상황 판단 정보 수신부, 상기 이상 상황 판단 정보를 분석하고, 보안 통제 정책을 기반으로 격리 대상 게이트웨이를 설정하는 격리 대상 게이트웨이 설정부, 그리고 상기 격리 대상 게이트웨이로 설정된 하나 이상의 상기 보안 위협 탐지 게이트웨이를 격리하는 게이트웨이 격리부를 포함한다.
이때, 상기 이상 상황 판단 정보 수신부는, 상기 보안 위협 탐지 게이트웨이의 정보 및 상기 보안 위협 탐지 게이트웨이에 연결된 격리 대상 단말의 정보를 포함하는 상기 이상 상황 판단 정보를 수신할 수 있다.
이때, 상기 보안 통제 정책은, 단위 영역에 포함된 복수의 상기 보안 위협 탐지 게이트웨이 중에서 영역 임계 개수 이상의 상기 보안 위협 탐지 게이트웨이로부터 상기 이상 상황 판단 정보를 수신한 경우, 상기 단위 영역에 포함된 상기 보안 위협 탐지 게이트웨이를 상기 격리 대상 게이트웨이로 설정하는 영역 단위 통제 정책을 포함할 수 있다.
이때, 상기 보안 통제 정책은, 동일한 IoT 서비스를 제공하는 복수의 상기 보안 위협 탐지 게이트웨이 중에서 서비스 임계 개수 이상의 상기 보안 위협 탐지 게이트웨이로부터 상기 이상 상황 판단 정보를 수신한 경우, 상기 IoT 서비스를 제공하는 상기 보안 위협 탐지 게이트웨이를 상기 격리 대상 게이트웨이로 설정하는 서비스 단위 통제 정책을 포함할 수 있다.
본 발명에 따르면, 사물인터넷 환경에서 IoT 단말이 아닌 중간 노드 및 서비스 플랫폼이 IoT 단말의 보안 위협을 탐지하여, 엔드 기기인 IoT 단말의 부하를 최소화할 수 있다.
또한 본 발명에 따르면, IoT 서비스 운영에 관련된 고유 정보를 기반으로 IoT 단말의 정상 상태를 확인하는 간단한 방법으로 IoT 단말의 보안 위협을 탐지할 수 있다.
또한 본 발명에 따르면, 탐지된 보안 위협의 확산을 사전에 효율적으로 차단할 수 있다.
또한 본 발명에 따르면, IoT 단말의 보안 위협에 빠르게 대처할 수 있다.
또한 본 발명에 따르면, 보안 위협이 발생한 IoT 단말을 보안 섹터 단위로 격리하여, 보안 위협을 사전에 차단하고, 보안 위협에 의한 피해를 최소화할 수 있다.
또한 본 발명에 따르면, 보안 위협이 발생한 IoT 단말에 대한 보안 위협 복구를 수행한 후, 자동으로 격리를 해제하여 사용자의 개입이 최소화된 자율적인 보안 통제가 가능하도록 할 수 있다.
도 1은 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이 및 보안 통제 서버가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안 통제 서버의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 보안 통제 정책 테이블을 나타낸 예시도이다.
도 6은 본 발명의 일실시예에 따른 IoT 단말 및 보안 위협 탐지 게이트웨이의 구성 정보를 나타낸 예시도이다.
도 7은 본 발명의 일실시예에 따른 IoT 서비스 환경에서의 보안 섹터 단위 통제를 나타낸 예시도이다.
도 8은 본 발명의 또 다른 실시예에 따른 IoT 단말의 보안 위협 탐지 시스템의 구성을 나타낸 블록도이다.
도 9는 본 발명의 일실시예에 따른 사물인터넷 게이트웨이가 사물인터넷 엔드 기기의 보안 통제를 수행하는 과정을 설명하기 위한 도면이다.
도 10은 본 발명의 일실시예에 따른 보안 통제 서버가 사물인터넷 엔드 기기의 보안 통제를 수행하는 과정을 설명하기 위한 도면이다.
도 11은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이 및 보안 통제 서버가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 1에 도시한 바와 같이, 하나 이상의 IoT 단말(100)은 보안 위협 탐지 게이트웨이(200)에 연결되고, 하나 이상의 보안 위협 탐지 게이트웨이(200)는 보안 통제 서버(300)에 연결된다.
즉, 사물인터넷 기반 서비스는 보안 통제 서버(300)가 포함된 서비스 플랫폼에, 하나 이상의 보안 위협 탐지 게이트웨이(200)가 연결되고, 하나의 보안 위협 탐지 게이트웨이(200)에는 하나 이상의 IoT 단말(100)이 연결된 구조에서 운영될 수 있다.
먼저, IoT 단말(100)은 사물인터넷(IoT) 환경에서의 엔드 기기로, 사물인터넷(IoT) 서비스 운영을 위해 필요한 정보를 수집하거나 제어를 수행한다.
특히, IoT 단말(100)은 센서 및 액츄에이터 등과 같은 저사양 기기일 수 있으며, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이(200) 및 보안 통제 서버(300)는 저사양 기기인 IoT 단말(100)에 다양한 보안 기능이 충분히 적용되기 어려운 한계를 극복하여, IoT 단말(100)이 포함된 서비스 인프라로 보안 위협이 확산되는 것을 중간 노드 및 서비스 플랫폼 수준에서 통제할 수 있다.
다음으로 보안 위협 탐지 게이트웨이(200)는 사물인터넷 환경에서의 중간 노드로, 하나 이상의 IoT 단말(100)과 무선 로컬 네트워크로 연결되어 IoT 단말(100)의 수집 데이터를 수신한다.
그리고 보안 위협 탐지 게이트웨이(200)는 IoT 단말(100)로부터 수신한 수집 데이터를 보안 통제 서버(300)로 전송하고, 보안 통제 서버(300)로부터 수신한 제어를 IoT 단말(100)로 전달한다. 이때, 보안 위협 탐지 게이트웨이(200)는 보안 통제 서버(300)와 광대역 네트워크를 통해 통신을 수행할 수 있다.
또한, 보안 위협 탐지 게이트웨이(200)는 IoT 서비스 운영 기반의 고유 정보를 기반으로, IoT 단말(100)로부터 수신한 수집 데이터를 분석하여 IoT 단말(100)의 보안 위협을 탐지할 수 있다.
그리고 보안 위협 탐지 게이트웨이(200)는 IoT 단말(100)의 보안 위협이 탐지된 경우, 기 설정된 보안 통제 정책을 기반으로 격리 대상 단말을 설정하고, 격리 대상 단말로 설정된 하나 이상의 IoT 단말(100)을 격리시킬 수 있다. 여기서, 격리 과정은 격리 대상 단말로 설정된 IoT 단말(100)에 대한 통신 접속을 일시 차단하는 것을 의미할 수 있다.
또한, 보안 위협 탐지 게이트웨이(200)는 격리 대상 단말로 설정된 IoT 단말(100)로 복구 이미지를 전송하여, 격리 대상 단말의 소프트웨어를 복구할 수 있다.
보안 위협 탐지 게이트웨이(200)는 게이트웨이 수준에서 IoT 단말(100)의 자율 통제를 수행할 수도 있고, 보안 통제 서버(300)로 이상 상황 판단 정보를 전송하여, 보안 통제 서버(300)가 서비스 수준에서 자율 통제를 수행하도록 지원할 수도 있다.
마지막으로, 보안 통제 서버(300)는 하나 이상의 보안 위협 탐지 게이트웨이(200)로부터 이상 상황 판단 정보를 수신하여, 서비스 수준에서 보안 위협을 탐지할 수 있다.
보안 통제 서버(300)는 보안 위협 탐지 게이트웨이(200)에 상응하는 영역 단위 및 보안 위협 탐지 게이트웨이(200)에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하고, 격리 대상 게이트웨이인 보안 위협 탐지 게이트웨이(200)를 격리할 수 있다.
또한, 보안 통제 서버(300)는 격리 대상 게이트웨이인 보안 위협 탐지 게이트웨이(200)로 복구 이미지를 전송하여, 보안 위협 탐지 게이트웨이(200)에 연결된 하나 이상의 IoT 단말(100)이 소프트웨어 복구를 수행하고, 정상적인 이미지로 재 운영될 수 있도록 한다.
IoT 서비스의 경우, 해당 IoT 서비스의 운영에 대한 고유 정보를 정의하고, IoT 서비스 운영 기반의 고유 정보를 기반으로 서비스 운영 과정에서 정상 범위를 벗어난 상황을 탐지하며, 정상 범위를 벗어난 경우 외부 공격이나 보안 위협이 발생한 것으로 판단 및 대응할 수 있다.
이에, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이(200)는 공격 자체를 탐지하는 것이 아니라, 중간 노드인 보안 위협 탐지 게이트웨이(200)와 보안 통제 서버(300)가 IoT 서비스 운영 기반의 고유 정보를 기반으로 보안 위협을 탐지함으로써, 간단한 방법으로 용이하게 IoT 단말(100)의 정상 상태를 확인하고, 보안 위협을 탐지할 수 있으며, 엔드 기기인 IoT 단말(100)의 부하를 최소화할 수 있다.
이하에서는 도 2 및 도 3을 통하여, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이 및 보안 통제 서버의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 보안 위협 탐지 게이트웨이(200)는 수집 데이터 수신부(210), 보안 위협 탐지부(220), 격리 대상 단말 설정부(230), 단말 격리부(240), 복구 수행부(250) 및 서버 통신부(260)를 포함할 수 있다.
먼저, 수집 데이터 수신부(210)는 하나 이상의 IoT 단말(100)로부터 수집 데이터를 수신한다. 여기서, 수집 데이터는 IoT 단말(100)이 서비스 엔드 단에서 서비스의 운영에 필요한 정보를 수집하여 생성한 데이터를 의미한다.
그리고 보안 위협 탐지부(220)는 IoT 서비스 운영 기반 고유 정보를 기반으로 수집 데이터를 분석하여, IoT 단말(100)의 보안 위협을 탐지한다. 이때, 보안 위협 탐지부(220)는 IoT 단말(100)에 상응하는 IoT 서비스 운영 기반 고유 정보와 수집 데이터를 비교하여, 수집 데이터가 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되는지 여부를 판단할 수 있다.
그리고 수집 데이터가 정상 범위 내에 포함되지 않는 경우, 보안 위협 탐지부(220)는 수집 데이터를 수집한 IoT 단말(100)에 보안 위협이 발생한 것으로 판단할 수 있다.
다음으로 격리 대상 단말 설정부(230)는 IoT 단말(100)의 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정한다. 그리고 격리 대상 단말 설정부(230)는 보안 통제 서버(300)로부터 보안 섹터 정보를 수신한 경우, 보안 섹터 정보를 기반으로 격리 대상 단말을 설정할 수 있다. 이때, 보안 섹터는, 단일 IoT 단말, 복수의 IoT 단말들로 구성된 그룹, 해당 보안 위협 탐지 게이트웨이(200) 내 모든 기기 등으로 정의될 수 있다.
여기서, 보안 통제 정책은, 단말 단위 통제 정책, 모델 단위 통제 정책 및 게이트웨이 단위 통제 정책 중 적어도 어느 하나를 포함할 수 있다. 단말 단위 통제 정책은 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말(100)의 개수가 단말 임계 개수보다 작은 경우, 보안 위협이 탐지된 IoT 단말(100)만 격리 대상 단말로 지정하는 정책이다.
그리고 모델 단위 통제 정책은 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말(100) 중에서 단말 정보가 동일한 IoT 단말(100)의 개수가 모델 임계 개수 이상인 경우, 보안 위협 탐지 게이트웨이(200)에 연결된 하나 이상의 IoT 단말(100) 중에서 해당 단말 정보에 상응하는 IoT 단말(100)을 격리 대상 단말로 설정하는 정책이다.
또한, 게이트웨이 단위 통제 정책은, 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 보안 위협이 탐지된 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 보안 위협 탐지 게이트웨이(200)에 연결된 모든 IoT 단말(100)을 격리 대상 단말로 설정하는 정책이다.
그리고 단말 격리부(240)는 격리 대상 단말로 설정된 하나 이상의 IoT 단말을 격리한다.
다음으로 복구 수행부(250)는 격리 대상 단말의 소프트웨어를 복구한다. 복구 수행부(250)는 보안 통제 서버(300)로부터 복구 이미지를 수신하고, 수신한 복구 이미지를 복구 수행부(250)로 전송하여, 격리 대상 단말인 IoT 단말(100)의 소프트웨어를 복구할 수 있다. 또한, 복구 수행부(250)는 복구가 완료된 IoT 단말(100)의 격리를 해제할 수 있다.
마지막으로 서버 통신부(260)는 보안 위협이 탐지된 IoT 단말(100)의 정보를 포함하는 이상 상황 판단 정보를 보안 통제 서버(300)로 전송할 수 있다. 이를 통하여, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이(200)는 보안 통제 서버(300)가 이상 상황 판단 정보를 기반으로 보안 위협 탐지 게이트웨이(200)에 상응하는 영역 단위 및 보안 위협 탐지 게이트웨이(200)에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하여, 자율 통제를 수행하도록 할 수 있다.
도 3은 본 발명의 일실시예에 따른 보안 통제 서버의 구성을 나타낸 블록도이다.
도 3에 도시한 바와 같이, 보안 통제 서버(300)는 이상 상황 판단 정보 수신부(310), 격리 대상 게이트웨이 설정부(320) 및 게이트웨이 격리부(330)를 포함할 수 있다.
먼저, 이상 상황 판단 정보 수신부(310)는 하나 이상의 보안 위협 탐지 게이트웨이(200)로부터 IoT 단말(100)의 이상 상황 판단 정보를 수신한다. 이때, 이상 상황 판단 정보 수신부(310)는 보안 위협 탐지 게이트웨이(200)의 정보 및 보안 위협 탐지 게이트웨이(200)에 연결된 격리 대상 단말의 정보를 포함하는 이상 상황 판단 정보를 수신할 수 있다.
다음으로 격리 대상 게이트웨이 설정부(320)는 이상 상황 판단 정보를 분석하고, 기 설정된 보안 통제 정책을 기반으로 격리 대상 게이트웨이를 설정한다.
여기서, 보안 통제 정책은 단위 영역에 포함된 복수의 보안 위협 탐지 게이트웨이(200) 중에서 영역 임계 개수 이상의 보안 위협 탐지 게이트웨이로부터 이상 상황 판단 정보를 수신한 경우, 해당 단위 영역에 포함된 보안 위협 탐지 게이트웨이(200)를 격리 대상 게이트웨이로 설정하는 영역 단위 통제 정책을 포함할 수 있다.
또한, 보안 통제 정책은 동일한 IoT 서비스를 제공하는 복수의 보안 위협 탐지 게이트웨이 중에서, 서비스 임계 개수 이상의 보안 위협 탐지 게이트웨이로부터 이상 상황 판단 정보를 수신한 경우, 해당 IoT 서비스를 제공하는 보안 위협 탐지 게이트웨이(200)를 격리 대상 게이트웨이로 설정하는 서비스 단위 통제 정책을 포함할 수 있다.
마지막으로 게이트웨이 격리부(330)는 격리 대상 게이트웨이로 설정된 보안 위협 탐지 게이트웨이(200)를 격리한다. 그리고 게이트웨이 격리부(330)는 격리된 보안 위협 탐지 게이트웨이(200)로 복구 이미지를 전송하여, 보안 위협 탐지 게이트웨이(200)에 연결된 IoT 단말(100)의 소프트웨어를 복구할 수 있다. 그리고 IoT 단말(100)의 복구가 완료된 경우, 격리를 해제할 수 있다.
이하에서는 도 4 및 도 5를 통하여, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이에 의해 수행되는 IoT 단말의 보안 위협 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 방법을 설명하기 위한 순서도이다.
먼저, 보안 위협 탐지 게이트웨이(200)는 하나 이상의 IoT 단말(100)로부터 수집 데이터를 수신한다(S410).
보안 위협 탐지 게이트웨이(200)는 하나 이상의 IoT 단말(100)로부터, IoT 단말(100)이 수집한 수집 데이터를 수신한다. 여기서, 수집 데이터는 IoT 단말이 IoT 서비스 엔드 단에서 IoT 서비스 운영에 필요한 정보를 수집하여 생성한 것을 의미할 수 있다.
예를 들어, 전력 원격 검침 서비스의 경우, IoT 단말(100)은 스마트 미터 기기를 의미할 수 있으며, 수집 데이터는 스마트 미터 기기의 위치, 전력 사용량 검침 데이터 패킷 발생 시간, 검침 데이터 등을 포함할 수 있다.
그리고 보안 위협 탐지 게이트웨이(200)는 수신한 수집 데이터가 정상 범위 내에 포함되는지 여부를 판단한다(S420).
보안 위협 탐지 게이트웨이(200)는 수집 데이터가 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되는지 여부를 판단한다. 예를 들어, IoT 서비스가 전력 원격 검침 서비스인 경우, 수집 데이터(패킷)의 크기, 검침 과정에서 발생하는 검침 패킷의 규모, 검침 데이터의 값 등이 각각의 정상 범위 내에 포함되는지 여부를 판단할 수 있다.
수집 데이터가 정상 범위 내에 포함되는 경우(S420 Yes), 보안 위협 탐지 게이트웨이(200)는 S410 단계를 반복하여 수행하거나, IoT 단말의 보안 위협 탐지 과정의 수행을 종료할 수 있다.
반면, 수집 데이터가 정상 범위 내에 포함되지 않는 경우(S420 No), 보안 위협 탐지 게이트웨이(200)는 해당 IoT 단말(100)의 보안 위협이 발생한 것으로 탐지하고(S430), 보안 통제 정책을 기반으로 격리 대상 단말을 설정한다(S440).
수집 데이터가 기 정의된 정상 범위를 벗어난 운영 상태인 이상 상황인 것으로 판단된 경우, 보안 위협 탐지 게이트웨이(200)는 해당 IoT 단말(100)의 보안 위협이 발생한 것으로 탐지할 수 있다. 그리고 보안 위협 탐지 게이트웨이(200)는 IoT 단말(100)에 상응하는 보안 정책을 기반으로 격리 대상 단말을 설정한다.
보안 위협 탐지 게이트웨이(200)는 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말(100)의 개수가 단말 임계 개수보다 작은 경우, 보안 위협이 탐지된 IoT 단말(100)만 격리 대상 단말로 지정하는 단말 단위 통제 정책을 기반으로 보안 섹터를 설정한다.
또한, 보안 위협 탐지 게이트웨이(200)는 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말(100) 중에서 단말 정보(모델명)가 동일한 IoT 단말(100)의 개수가 모델 임계 개수 이상인 경우, 보안 위협 탐지 게이트웨이(200)에 연결된 하나 이상의 IoT 단말(100) 중에서 해당 단말 정보에 상응하는 IoT 단말(100)을 격리 대상 단말로 설정하는 모델 단위 통제 정책을 기반으로 보안 섹터를 설정할 수 있다.
그리고 기 설정된 시간 동안 보안 위협이 탐지된 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 보안 위협이 탐지된 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 보안 위협 탐지 게이트웨이(200)는 보안 위협 탐지 게이트웨이(200)에 연결된 모든 IoT 단말(100)을 격리 대상 단말로 설정하는 게이트웨이 단위 통제 정책을 기반으로 보안 섹터를 설정할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이(200)는 보안 섹터에 상응하는 군집 형태의 격리 대상 단말을 자율 통제할 수 있다.
마지막으로, 보안 위협 탐지 게이트웨이(200)는 격리 대상 단말의 격리를 수행하고, 격리 대상 단말의 소프트웨어 복구를 수행한다(S450).
보안 위협 탐지 게이트웨이(200)는 보안 섹터에 해당하는 격리 대상 단말의 격리를 수행한 후 격리 대상 단말로 복구 이미지를 전송하여, 격리 대상 단말의 소프트웨어 복구를 수행할 수 있다. 이때, 복구 이미지는 보안 위협 탐지 게이트웨이(200)가 보안 통제 서버(300)에 요청하여 수신한 것일 수 있다.
그리고 보안 위협 탐지 게이트웨이(200)는 소프트웨어 복구의 수행을 완료한 격리 대상 단말의 격리를 해제할 수 있다.
이하에서는 도 5 및 도 6을 통하여 본 발명의 일실시예에 따른 보안 정책 테이블 및 구성 정보에 대하여 더욱 상세하게 설명한다.
도 5는 본 발명의 일실시예에 따른 보안 통제 정책 테이블을 나타낸 예시도이다.
도 5에 도시한 바와 같이, 보안 통제 정책 테이블은, 게이트웨이의 보안 정책 테이블(510) 및 서버의 보안 정책 테이블(520)를 포함할 수 있다.
게이트웨이의 보안 정책 테이블(510)은 보안 위협 탐지 게이트웨이(200)에 의해 관리되며, IoT 단말(100) 중에서 보안 위협이 탐지되어 이상 기기로 판단된 IoT 단말(100)의 개수 및 상태에 따른 보안 섹터 정보가 정의되어 있다.
도 5에 도시한 바와 같이, 하나의 IoT 단말(100)에서만 보안 위협이 탐지된 경우 보안 섹터는 기기 단위로 설정되어 있을 수 있으며, 이 경우 해당 IoT 단말(100)에 대해 보안 섹터가 적용되어 네트워크 접속이 차단될 수 있다. 즉, 보안 위협 탐지 게이트웨이(200)는 보안 위협이 탐지된 IoT 단말(100)만 격리 대상 단말로 설정할 수 있다.
반면, N개 이상의 동일 모델인 IoT 단말들(100)에서 보안 위협이 탐지된 경우, 보안 위협 탐지 게이트웨이(200)는 연결된 해당 모델의 모든 IoT 단말(100)을 격리 대상 단말로 설정할 수 있다. 그리고 N개 이상의 서로 다른 모델인 IoT 단말들(100)에서 보안 위협이 탐지된 경우, 보안 위협 탐지 게이트웨이(200)는 자신에게 연결된 모든 IoT 단말(100)을 모두 격리 대상 단말로 설정하여 격리를 수행할 수 있다.
동일한 N개의 IoT 단말들(100)에서 보안 위협이 탐지된 경우, 해당 종류에 해당하는 모든 IoT 단말(100)이 격리 대상 단말로 설정되어 네트워크 접속이 차단될 수 있다. 이때, 동일한 종류에 해당하는 IoT 단말(100)의 정보는 후술할 도 6의 게이트웨이별 IoT 단말 구성 정보 테이블(610)을 통해 확인할 수 있다.
본원 발명은 전력 원격 검침 서비스와 같은 특정 IoT 서비스에서 검침에 사용되는 IoT 단말(100)은 거의 동일한 모델로 이루어져 있으며, 운영 특성상 몇 가지 모델로 구성된다는 특징을 이용한다. 보안 위협이 탐지된 IoT 단말(100)은 동일 위협의 발생 가능성이 크므로, 복수의 IoT 단말들(100)에서 보안 위협이 탐지된 경우, 동일한 종류의 IoT 단말(100) 전체를 의심해야 한다. 따라서, 본 발명의 일실시예에 따른 보안 위협 탐지 게이트웨이(200)는 동일한 N개 이상의 IoT 단말들(100)에서 보안 위협이 탐지될 경우, 해당 종류에 해당하는 모든 IoT 단말들(100)을 보안 섹터로 설정한다.
또한, 서버의 보안 정책 테이블(520)은 보안 통제 서버(300)에 의해 관리되며, 서비스 단위로 보안 섹터를 통제해야 하므로, 보안 위협 탐지 게이트웨이(200)의 이상 상황에 따라 보안 위협 탐지 게이트웨이(200) 단위로 보안 통제하도록 구성된다.
보안 위협 탐지 게이트웨이(200)가 전송한 이상 상황 판단 정보를 분석한 결과, 단일 보안 위협 탐지 게이트웨이(200)에 기기 이상이 발생한 것으로 판단된 경우, 보안 섹터는 해당 보안 위협 탐지 게이트웨이(200) 단위로 설정되어 있을 수 있다.
또한, 물리적인 위치(지역)인 영역 단위 및 세분화된 서비스를 담당하는 보안 위협 탐지 게이트웨이(200) 단위로 군집을 이루어 보안 섹터가 정의될 수도 있다. 이때, 보안 섹터는 필요에 따라 세분화되어 정의될 수 있다.
그리고 동일 영역에 포함된 N개 이상의 보안 위협 탐지 게이트웨이들(200)에서 보안 위협이 탐지된 경우, 보안 통제 서버(300)는 해당 영역에 포함된 모든 보안 위협 탐지 게이트웨이들(200)을 격리 대상 게이트웨이로 설정할 수 있다. 또한, 동일 IoT 서비스를 운영하는 N개 이상의 보안 위협 탐지 게이트웨이들(200)에서 보안 위협이 탐지된 경우, 보안 통제 서버(300)는 해당 IoT 서비스를 운영하는 자신에게 연결된 모든 보안 위협 탐지 게이트웨이들(200)을 모두 격리 대상 단말로 설정하여 격리를 수행할 수 있다.
설명의 편의를 위하여, 보안 정책 테이블에서 N개 이상인 IoT 단말(100) 또는 N개 이상인 보안 위협 탐지 게이트웨이(200)에 대해 보안 섹터를 정의해 놓은 것으로 설명하였으나, 여기서 비교 기준이 되는 개수인 N은, 보안 정책 테이블 및 보안 정책 테이블의 항목 별로 다르게 설정된 것일 수 있다.
또한, 도 5에 도시한 보안 섹터는 기본적인 군집을 구성하기 위한 예시이며, 실제 적용 시에는 필요에 의해 세분화하여 정의되어 적용될 수 있다.
도 6은 본 발명의 일실시예에 따른 IoT 단말 및 보안 위협 탐지 게이트웨이의 구성 정보를 나타낸 예시도이다.
먼저, 게이트웨이별 IoT 단말 구성 정보 테이블(610)은 각각의 IoT 단말(100)의 모델명을 저장하고, IoT 서비스별 게이트웨이 구성 정보 테이블(620)은 IoT 서비스별로 해당 IoT 서비스를 제공하는 보안 위협 탐지 게이트웨이(200)의 정보를 포함한다. 또한, IoT 서비스별 IoT 단말 구성 정보 테이블(630)은 보안 위협 탐지 게이트웨이(200)별로 연결된 IoT 단말(100)의 정보를 포함한다.
IoT 서비스별 게이트웨이 구성 정보 테이블(620)은 IoT 서비스의 세부 서비스별로 보안 통제를 실시할 경우, 해당 세부 서비스를 구성하는 보안 위협 탐지 게이트웨이(200)에 대한 통제를 용이하게 수행하기 위하여 활용된다. 보안 위협 탐지 게이트웨이(200)의 구성이 변경된 경우, IoT 서비스별 게이트웨이 구성 정보 테이블(620)의 설정을 수정하면, 복잡한 구성 변경 없이 해당 세부 서비스에 대한 보안 통제를 용이하게 수행할 수 있다.
그리고 IoT 서비스별 IoT 단말 구성 정보 테이블(630)은 확장된 테이블로, 보안 통제 서버(300)에서 IoT 단말(100) 단위의 세분화된 통제를 수행할 필요가 있는 경우 활용될 수 있다.
도 5 및 도 6에 도시한 바와 같이, 게이트웨이 단위 보안 통제 정책 DB는 게이트웨이의 보안 정책 테이블(510) 및 게이트웨이별 IoT 단말 구성 정보 테이블(610)로 구성될 수 있다. 그리고 서비스 단위 보안 통제 정책 DB는 서버의 보안 정책 테이블(520), IoT 서비스별 게이트웨이 구성 정보 테이블(620) 및 IoT 서비스별 IoT 단말 구성 정보 테이블(630)로 구성될 수 있다.
이하에서는 도 7을 통하여 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 시스템에서, 보안 섹터 단위로 자율 통제를 수행하는 방법에 대하여 더욱 상세하게 설명한다.
도 7은 본 발명의 일실시예에 따른 IoT 서비스 환경에서의 보안 섹터 단위 통제를 나타낸 예시도이다.
도 7에 도시한 바와 같이, 각각의 보안 위협 탐지 게이트웨이(200)는 복수 개의 IoT 단말들(100)과 연결되어, IoT 단말들(100)로부터 수집 데이터를 수신할 수 있다. 그리고 보안 통제 서버(300)는 복수의 보안 위협 탐지 게이트웨이들(200)로부터 이상 상황 판단 정보를 수신할 수 있다.
도 7에서, 제1 보안 위협 탐지 게이트웨이(200_1)에 연결된 하나의 IoT 단말이 이상 상황 IoT 단말(120)로 판단된 경우, 제1 보안 위협 탐지 게이트웨이(200_1)는 보안 통제 정책을 기반으로 이상 상황 IoT 단말(120)을 격리 대상 단말로 설정하여 보안 섹터 격리(700)를 수행하고, 네트워크 접속을 차단할 수 있다.
그리고 제2 보안 위협 탐지 게이트웨이(200_2) 및 제5 보안 위협 탐지 게이트웨이(200_5)는 이상 상황 IoT 단말(120)의 개수가 보안 통제 정책에 설정된 단말 임계 개수(2개) 이상인 경우, 보안 통제 정책의 보안 섹터 정보에 따라 자신에게 연결된 모든 IoT 단말들(100)을 격리 대상 단말로 설정할 수 있다.
반면, 제3 보안 위협 탐지 게이트웨이(200_2) 및 제4 보안 위협 탐지 게이트웨이(200_3)와 같이, 모든 IoT 단말들(100)이 정상 상황 IoT 단말(110)인 경우, 격리 대상 단말을 설정하지 않는다.
또한, 보안 통제 서버(300)는 제1 IoT 서비스를 제공하는 보안 위협 탐지 게이트웨이들(200_1 내지 200_3) 중에서 서비스 임계 개수 이상의 보안 위협 탐지 게이트웨이들로부터 이상 상황 판단 정보를 수신한 경우, 제1 IoT 서비스를 제공하는 모든 보안 위협 탐지 게이트웨이들(200_1, 200_2, 200_3)을 격리 대상 게이트웨이로 설정할 수 있다.
설명의 편의를 위하여, 도 7에서 간단한 군집 형태의 보안 섹터를 정의하고, 통제를 수행하는 경우에 대하여 설명하였으나, 이에 한정하지 않고 본 발명의 일 실시예에 따른 IoT 단말의 보안 위협 탐지 시스템은 보다 세분화되고 정밀화된 형태의 군집을 보안 섹터로 정의하여, 자율 통제를 수행할 수 있다.
이하에서는 도 8을 통하여 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 시스템에 대하여 더욱 상세하게 설명한다.
도 8은 본 발명의 또 다른 실시예에 따른 IoT 단말의 보안 위협 탐지 시스템의 구성을 나타낸 블록도이다.
도 8에 도시한 바와 같이, IoT 단말의 보안 위협 탐지 시스템은 IoT 단말인 하나 이상의 사물인터넷 엔드 기기(800), 하나 이상의 사물인터넷 게이트웨이(900) 및 보안 통제 서버(1000)를 포함한다.
그리고 사물인터넷 엔드 기기(800)와 사물인터넷 게이트웨이(900)는 와이파이, 블루투스, 지그비 등의 무선 로컬 네트워크(10)를 통해 통신을 수행할 수 있으며, 사물인터넷 게이트웨이(900)와 보안 통제 서버(1000)는 인터넷과 같은 광대역 네트워크(20)를 통해 통신을 수행할 수 있다.
도 8에서, 사물인터넷 엔드 기기(800)는 사물인터넷 게이트웨이(900)를 통해 서비스 플랫폼인 보안 통제 서버(1000)로 연결되며, 수집 데이터를 전송하고, 보안 통제 서버(1000)로부터 수신한 제어를 수행한다. 그리고 사물인터넷 엔드 기기(800)는 통신 모듈 및 SW 복구 모듈을 포함할 수 있다.
사물인터넷 엔드 기기(800)의 통신 모듈은 중간 노드인 사물인터넷 게이트웨이(900)로 수집 데이터(패킷 정보)를 전송한다. 그리고 SW 복구 모듈은 사물인터넷 게이트웨이(900)나 보안 통제 서버(1000)에 의해 소프트웨어 복구가 필요하다고 판단되는 경우, 사물인터넷 게이트웨이(900)로부터 복구 이미지를 수신한다. 그리고 SW 복구 모듈은 수신한 복구 이미지를 설치한 후, 재부팅을 수행하여 소프트웨어를 복구할 수 있다.
다음으로 사물인터넷 게이트웨이(900)는 중간 노드인 사물인터넷 게이트웨이(900) 수준에서 군집 단위로 보안 섹터를 통제한다. 사물인터넷 게이트웨이(900)는 GW 단위 보안 위협 판단 모듈, GW 단위 보안 통제 수행 모듈, SW 복구 모듈을 포함하며, 서비스 운영 기반 기기 고유 정보(IoT 서비스 운영 기반 고유 정보) 및 GW 단위 보안 통제 정책 DB를 더 포함할 수 있다.
GW 단위 보안 위협 판단 모듈은 수신한 수집 데이터와 서비스 운영 기반 기기 고유 정보를 비교하여, 수집 데이터를 전송한 사물인터넷 엔드 기기(800)가 정상 상황인지 여부를 판단할 수 있다. GW 단위 보안 위협 판단 모듈은 기 정의된 서비스 운영 기반 기기 고유 정보를 이용하여 사물인터넷 엔드 기기(800)가 정상 범위에서 운영되는지 여부를 판단하며, 보안 통제 서버(1000)로부터 서비스 운영 기반 기기 고유 정보가 업데이트될 때마다 온라인으로 수신하여 저장할 수 있다.
그리고 GW 단위 보안 위협 판단 모듈은 사물인터넷 엔드 기기(800)가 이상 상황인 것으로 판단된 경우 보안 통제 서버(1000)로 이상 상황 판단 정보를 전송할 수 있다.
GW 단위 보안 통제 수행 모듈은 GW 단위 보안 통제 정책 DB에 저장된 보안 통제 정책을 기반으로 보안 섹터를 설정하고, 보안 섹터에 상응하는 사물인터넷 엔드 기기(800)를 격리 대상 단말로 설정한다. 그리고 GW 단위 보안 통제 수행 모듈은 격리 대상 단말로 설정된 사물인터넷 엔드 기기(800)를 격리한다. 이와 같이, GW 단위 보안 통제 수행 모듈은 중간 노드인 사물인터넷 게이트웨이(900) 수준에서 보안 통제를 수행할 수 있다.
이때, GW 단위 보안 통제 수행 모듈은 이상 상황인 것으로 판단되면, 보안 섹터가 정의된 보안 통제 정책 DB에 따라 보안 섹터에 상응하는 사물인터넷 엔드 기기(800)를 격리시킨다.
또한, GW 단위 보안 통제 수행 모듈은 보안 통제 서버(1000)의 서비스 단위 보안 위협 판단 모듈로 이상 상황 판단 정보를 전송하여, 서비스 수준에서 보안 통제를 수행하도록 할 수 있다.
그리고 SW 복구 모듈은 격리된 사물인터넷 엔드 기기(800)로 복구 이미지를 전송하여, 사물인터넷 엔드 기기(800)의 소프트웨어 복구를 수행한다. 이때, 복구 이미지는 보안 통제 서버(1000)로부터 수신한 것일 수 있다.
마지막으로, 보안 통제 서버(1000)는 사물인터넷 서비스를 제공하기 위하여, 데이터를 저장 및 제공하고 제어를 수행하는 서버로, 서비스 플랫폼 내에서 보안 통제 기능을 수행한다. 그리고 보안 통제 서버(1000)는 서비스 수준에서 군집 단위의 보안 섹터를 통제하기 위하여, 서비스 단위 보안 위협 판단 모듈, 서비스 단위 보안 통제 수행 모듈 및 SW 복구 모듈을 포함할 수 있으며, 서비스 단위 위협 판단 모델, 서비스 단위 보안 통제 정책 및 복구 이미지를 저장하는 DB를 포함할 수 있다.
보안 통제 서버(1000)는 복수의 사물인터넷 게이트웨이들(900)로부터 이상 상황 판단 정보를 수신하여, 서비스 수준의 보안 위협을 탐지하고, 서비스 수준에서 보안 위협의 확산을 차단할 수 있다.
서비스 단위 보안 위협 판단 모듈은 하나 이상의 사물인터넷 게이트웨이(900)로부터 이상 상황 판단 정보를 수신한다. 그리고 서비스 단위 보안 통제 수행 모듈은 보안 통제 정책을 기반으로 보안 섹터를 설정하며, 보안 섹터에 상응하는 사물인터넷 게이트웨이(900)를 격리한다.
이때, 보안 통제 서버(1000)에는 사물인터넷 서비스에 따라 별도의 서비스 단위 보안 위협 판단 모델이 존재할 수 있다. 서비스 단위 보안 위협 판단 모델이 존재하는 경우, 서비스 단위 보안 위협 판단 모듈은 해당 모델을 통하여 보안 위협을 판단할 수 있으며, 서비스 단위 보안 위협 판단 모델이 존재하지 않는 경우 서비스 단위 보안 위협 판단 모듈은 복수의 사물인터넷 게이트웨이들(900)로부터 수신한 이상 상황 판단 정보를 기반으로 보안 위협의 발생 여부를 판단할 수 있다.
예를 들어, 하나의 사물인터넷 게이트웨이(900)에서만 보안 위협이 발생한 것으로 판단된 경우, 즉 하나의 사물인터넷 게이트웨이(900)로부터만 이상 상황 판단 정보를 수신한 경우, 서비스 단위 보안 통제 수행 모듈은 해당 사물인터넷 게이트웨이(900)만 격리 대상 게이트웨이로 설정하여 보안 통제를 수행할 수 있다.
반면, 기 설정된 개수(예, 2개) 이상의 사물인터넷 게이트웨이들(900)에 보안 위협이 발생한 것으로 판단된 경우, 서비스 단위 보안 통제 수행 모듈은 해당 사물인터넷 게이트웨이들(900)에 상응하는 단위 영역 또는 해당 서비스를 보안 섹터로 설정하고, 보안 섹터에 상응하는 사물인터넷 게이트웨이들(900) 전체를 격리 대상 게이트웨이로 설정하여 보안 통제를 수행할 수 있다.
여기서, 보안 섹터는 동일한 하드웨어 사양이나 모델로 구성된 사물인터넷 엔드 기기(800)의 그룹, 임의의 지역별 서비스 그룹, 세부 서비스 종류별 그룹 등으로 정의될 수 있다.
또한, SW 복구 모듈은 통신 접속이 일치 차단되어 격리된 사물인터넷 게이트웨이(900)로 복구 이미지를 전송하여, 사물인터넷 게이트웨이(900) 및 사물인터넷 게이트웨이(900)에 연결된 사물인터넷 엔드 기기(800) 중 적어도 어느 하나의 소프트웨어 복구를 수행할 수 있다.
그리고 복구 수행 완료를 보고받은 후, 서비스 단위 보안 통제 수행 모듈은 사물인터넷 게이트웨이(900)의 GW 단위 보안 통제 수행 모듈로 보안 섹터의 차단 해제 요청을 전송하여, 정상적인 서비스가 진행되도록 할 수 있다.
도 8에서 사물인터넷 엔드 기기(800)는 도 1의 IoT 단말(100)과 실질적으로 동일하고, 사물인터넷 게이트웨이(900)는 도 1의 보안 위협 탐지 게이트웨이(200)와 실질적으로 동일하며, 보안 통제 서버(1000)는 도 1의 보안 통제 서버(300)와 실질적으로 동일한 바, 중복되는 설명은 생략한다.
이하에서는 도 9 및 도 10을 통하여, 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 시스템에 의해 수행되는 사물인터넷 엔드 기기의 보안 위협 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 9는 본 발명의 일실시예에 따른 사물인터넷 게이트웨이가 사물인터넷 엔드 기기의 보안 통제를 수행하는 과정을 설명하기 위한 도면이다.
도 9에 도시한 바와 같이, 사물인터넷 엔드 기기(800)는 사물인터넷 게이트웨이(900)로 발생된 패킷을 전송한다(S910).
사물인터넷 엔드 기기(800)는 서비스 운영에 따라 발생된 패킷(수집 데이터)를 사물인터넷 엔드 기기(800)의 정보와 함께 사물인터넷 게이트웨이(900)로 전송한다. 여기서, 사물인터넷 엔드 기기(800)의 정보는 사물 인터넷 엔드 기기(800)의 IP 주소, 기기 ID 등을 포함할 수 있다.
그리고 사물인터넷 게이트웨이(900)는 수신한 패킷을 분석하여 사물인터넷 엔드 기기(800)의 보안 위협을 탐지하며, 이상 상황인지 여부를 판단한다(S920).
사물인터넷 게이트웨이(900)는 패킷을 미리 정의된 서비스 운영 기반 기기 고유 정보와 비교하여, 사물인터넷 엔드 기기(800)가 정상적인 운영을 수행하고 있는지 여부를 판단한다. 서비스 운영 기반 기기 고유 정보는 패킷 발생 기기(사물인터넷 엔드 기기)의 위치, 서비스 운영 패킷의 발생 시간, 서비스 데이터, 각 패킷의 크기, 일련의 서비스 과정에서 발생하는 패킷의 규모 등을 포함할 수 있다.
이때, 패킷이 서비스 운영 기반 기기 고유 정보의 정상 범위 내에 포함되지 않는 경우, 사물인터넷 게이트웨이(900)는 해당 사물인터넷 엔드 기기(800)가 이상 상황인 것으로 판단하고, 보안 위협이 발생한 것으로 탐지할 수 있다.
보안 위협이 발생한 것으로 판단된 경우, 사물인터넷 게이트웨이(900)는 보안 통제 서버(1000)로 이상 상황 판단 정보를 전송하여, 보안 통제 서버(1000)가 서비스 단위의 보안 위협 판단을 수행하고, 신속한 보안 통제를 수행하도록 할 수 있다.
또한, 보안 위협이 발생한 것으로 판단된 경우, 사물인터넷 게이트웨이(900)는 보안 통제 정책을 확인하고, 보안 통제 정책에 따른 보안 섹터의 접속을 차단한다(S930).
사물인터넷 게이트웨이(900)는 보안 위협의 발생 정보를 기반으로, 보안 통제 정책을 기반으로 보안 섹터를 확인한다. 그리고 보안 섹터에 해당하는 하나 이상의 사물인터넷 엔드 기기(800)를 격리 대상 단말로 설정하여, 격리시키고, 네트워크 접속을 차단한다. 이때, 네트워크 차단은 사물인터넷 게이트웨이(900)에서 해당 사물인터넷 엔드 기기(800)의 라우팅을 차단하는 방법으로 수행할 수 있다.
도 9에는 설명의 편의를 위하여, 사물인터넷 게이트웨이(900)가 하나의 사물인터넷 엔드 기기(800)의 보안 통제를 수행하는 것으로 설명하였으나, 실제로는 복수의 사물인터넷 엔드 기기들(800)로부터 패킷을 수신하여 분석하고, 보안 통제를 수행하는 형태로 구현될 수 있다.
그리고 사물인터넷 게이트웨이(900)는 보안 통제 서버(1000)로 이상 기기 복구 소프트웨어 이미지(복구 이미지)를 요청하고(S940), 보안 통제 서버(100)로부터 요청에 상응하는 복구 소프트웨어 이미지를 수신한다(S950).
사물인터넷 게이트웨이(900)는 격리 대상 단말로 설정된 사물인터넷 엔드 기기(800)의 정보를 포함하는 복구 이미지 요청 메시지를 생성하여, 보안 통제 서버(1000)로 전송하고, 보안 통제 서버(1000)로부터 복구 이미지 요청 메시지에 상응하는 복구 소프트웨어 이미지를 수신할 수 있다.
또한, 사물인터넷 게이트웨이(900)는 수신한 복구 소프트웨어 이미지를 격리 대상 단말인 사물인터넷 엔드 기기(800)로 전달한다(S960).
사물인터넷 엔드 기기(800)는 수신한 복구 소프트웨어 이미지를 설치하고, 재부팅하며(S970), 사물인터넷 게이트웨이(900)로 복구 완료 확인 메시지를 전송할 수 있다(S980).
마지막으로, 사물인터넷 엔드 기기(800)로부터 복구 완료 확인 메시지를 수신한 사물인터넷 게이트웨이(900)는 격리 대상 단말인 사물인터넷 엔드 기기(800)의 격리를 해제한다(S990).
사물인터넷 게이트웨이(900)는 복구가 완료된 사물인터넷 엔드 기기(800)에 대한 네트워크 차단을 해제하여, 다시 정상적인 서비스를 수행하도록 할 수 있다.
즉, 도 9에 도시한 바와 같이, 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 시스템은 중간 노드인 사물인터넷 게이트웨이(900) 수준에서 사물인터넷 엔드 기기(800)의 자율 통제를 수행할 수 있다.
또한, 본 발명의 또 다른 실시예에 따른 IoT 단말의 보안 위협 탐지 시스템은 후술할 도 10에 도시한 바와 같이, 사물인터넷 게이트웨이(900)로부터 이상 상황 판단 정보를 수신한 보안 통제 서버(1000)가 서비스 수준에서 자율 통제를 수행할 수도 있다.
도 10은 본 발명의 일실시예에 따른 보안 통제 서버가 사물인터넷 엔드 기기의 보안 통제를 수행하는 과정을 설명하기 위한 도면이다.
사물인터넷 엔드 기기(800)는 발생된 패킷을 사물인터넷 게이트웨이(900)로 전송하고(S1010), 사물인터넷 게이트웨이(900)는 수신한 패킷을 분석하여 사물인터넷 엔드 기기(800)의 보안 위협을 탐지하며, 이상 상황인지 여부를 판단한다(S1020).
사물인터넷 엔드 기기(800)는 서비스 운영에 따라 발생된 패킷(수집 데이터)를 사물인터넷 엔드 기기(800)의 정보와 함께 사물인터넷 게이트웨이(900)로 전송한다. 여기서, 사물인터넷 엔드 기기(800)의 정보는 사물 인터넷 엔드 기기(800)의 IP 주소, 기기 ID 등을 포함할 수 있다.
사물인터넷 게이트웨이(900)는 패킷을 미리 정의된 서비스 운영 기반 기기 고유 정보와 비교하여, 사물인터넷 엔드 기기(800)가 정상적인 운영을 수행하고 있는지 여부를 판단한다. 서비스 운영 기반 기기 고유 정보는 패킷 발생 기기(사물인터넷 엔드 기기)의 위치, 서비스 운영 패킷의 발생 시간, 서비스 데이터, 각 패킷의 크기, 일련의 서비스 과정에서 발생하는 패킷의 규모 등을 포함할 수 있다.
이때, 패킷이 서비스 운영 기반 기기 고유 정보의 정상 범위 내에 포함되지 않는 경우, 사물인터넷 게이트웨이(900)는 해당 사물인터넷 엔드 기기(800)가 이상 상황인 것으로 판단하고, 보안 위협이 발생한 것으로 탐지할 수 있다.
그리고 사물인터넷 게이트웨이(900)는 보안 통제 서버(1000)로 이상 상황 판단 정보를 전송한다(S1030).
보안 위협이 발생한 것으로 판단된 경우, 사물인터넷 게이트웨이(900)는 보안 통제 서버(1000)로 이상 상황 판단 정보를 전송하여, 보안 통제 서버(1000)가 서비스 단위의 보안 위협 판단을 수행하고, 신속한 보안 통제를 수행하도록 할 수 있다.
이때, 사물인터넷 게이트웨이(900)는 S1020 단계를 수행한 후 이상 상황인지 여부의 판단 결과를 보안 통제 서버(1000)로 전송할 수 있다. 또한, 사물인터넷 게이트웨이(900)는 S1020 단계에서 이상 상황인 것으로 판단된 경우에만 보안 통제 서버(1000)로 이상 상황 판단 정보를 전송하는 S1030 단계를 수행할 수 있다.
하나 이상의 사물인터넷 게이트웨이(900)로부터 이상 상황 판단 정보를 수신한 보안 통제 서버(1000)는 서비스 수준의 이상 상황을 판단한다(S1040).
보안 통제 서버(1000)는 특정 서비스에 대해 미리 정의된 서비스 수준의 이상 상태 판단 모델을 기반으로, 서비스 수준의 이상 상황을 판단할 수 있다. 또한, 보안 통제 서버(1000)는 복수의 사물인터넷 게이트웨이들(900)로부터 수신한 이상 상황 판단 정보를 분석하여, 몇 개의 사물인터넷 게이트웨이(900)에서 이상 상황이 발생하였는지, 어느 영역의 사물인터넷 게이트웨이(900)에서 이상 상황이 발생하였는지 또는 어떠한 서비스를 운영하는 사물인터넷 게이트웨이(900)에서 이상 상황이 발생하였는지를 판단할 수 있다.
그리고 보안 통제 서버(1000)는 보안 통제 정책을 확인하고, 보안 통제 정책을 기반으로 보안 섹터의 접속을 차단한다(S1050).
보안 통제 서버(1000)는 보안 섹터를 기반으로 격리 대상 게이트웨이를 설정하고, 격리 대상 게이트웨이로 설정된 사물인터넷 게이트웨이(900)로 네트워크 접속 차단을 요청할 수 있다. 그리고 네트워크 접속 차단 요청을 수신한 사물인터넷 게이트웨이(900)는 연결된 모든 사물인터넷 엔드 기기(800)의 네트워크 접속을 차단할 수 있다.
또한 보안 통제 서버(1000)는 사물인터넷 게이트웨이(900)로 복구 소프트웨어 이미지를 전송하고(S1060), 사물인터넷 게이트웨이(900)는 사물인터넷 엔드 기기(800)로 복구 소프트웨어 이미지를 전달한다(S1070).
보안 통제 서버(1000)는 이상이 발생한 보안 섹터에 해당하는 사물인터넷 엔드 기기들(800)의 복구를 위하여, 해당 사물인터넷 엔드 기기들(800)이 포함된 사물인터넷 게이트웨이(900)로 복구 소프트웨어 이미지를 전송할 수 있다. 그리고 사물인터넷 게이트웨이(900)는 수신한 복구 소프트웨어 이미지를 사물인터넷 엔드 기기들(800)로 전송하여 사물인터넷 엔드 기기들(800)가 S1080 단계를 수행할 수 있도록 한다.
복구 소프트웨어 이미지를 수신한 사물인터넷 엔드 기기(800)는 복구 소프트웨어 이미지를 설치하고 재부팅하며(S1080), 사물인터넷 게이트웨이(900)로 복구 완료 확인 메시지를 전송한다(S1090).
그리고 사물인터넷 게이트웨이(900)는 보안 통제 서버(1000)로 사물인터넷 엔드 기기(800)의 복구 완료 확인 메시지를 전달하며(S1100), 보안 통제 서버(1000)는 복구가 완료된 격리 대상 단말인 사물인터넷 엔드 기기들(800)의 격리를 해제할 수 있다(S1110).
보안 통제 서버(1000)는 사물인터넷 게이트웨이(900)의 격리를 해제하여, 사물인터넷 게이트웨이(900)에 포함된 사물인터넷 엔드 기기들(800)의 네트워크 차단을 해제하고, 다시 서비스가 재개될 수 있도록 할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 IoT 단말의 보안 위협 탐지 시스템은 IoT 서비스 운영과 관련된 고유 정보를 기반으로 IoT 단말의 보안 위협을 탐지하고, 탐지된 보안 위협의 확산을 차단하고 복구를 수행하는 절차를 미리 정의된 군집 형태의 보안 섹터 단위로 자율적으로 수행할 수 있다.
이를 통하여, 본 발명은 미처 발견하지 못한 이상 상황의 IoT 단말을 통해 보안 위협이 확산 및 전파되는 경우를 사전에 차단할 수 있고, 탐지된 보안 위협에 의한 피해를 최소화할 수 있다. 또한, 보안 위협의 발생 정도에 따라 보안 섹터 기반의 네트워크 격리 및 해제를 자율적으로 수행함으로써 사용자의 개입을 최소화하며, 탐지된 보안 위협을 사전에 효율적으로 차단할 수 있다.
또한, 본 발명은 부하가 많이 발생하는 기존의 심층 패킷 분석에 의한 악성코드 및 해킹 공격 탐지 방식이나, 머신 러닝을 이용한 학습 기반 비정상 트래픽 패턴 탐지 방식이 아닌, IoT 서비스 운영과 관련된 고유 정보를 기반으로 IoT 단말의 이상 상황을 탐지하는 간단한 방식을 적용하여, 보안 위협에 신속하게 대처할 수 있다.
도 11은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 11을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 11에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 로컬 무선 네트워크 20: 광대역 네트워크
100: IoT 단말 110: 정상 상황 IoT 단말
120: 이상 상황 IoT 단말 200: 보안 위협 탐지 게이트웨이
210: 수집 데이터 수신부 220: 보안 위협 탐지부
230: 격리 대상 단말 설정부 240: 단말 격리부
250: 복구 수행부 260: 서버 통신부
300: 보안 통제 서버 310: 이상 상황 판단 정보 수신부
320: 격리 대상 게이트웨이 설정부
330: 게이트웨이 격리부 510: 게이트웨이의 보안 정책 테이블
520: 서버의 보안 정책 테이블
610: 게이트웨이별 IoT 단말 구성 정보 테이블
620: IoT 서비스별 게이트웨이 구성 정보 테이블
630: IoT 서비스별 IoT 단말 구성 정보 테이블
700: 보안 섹터 격리 800: 사물인터넷 엔드 기기
900: 사물인터넷 게이트웨이 1000: 보안 통제 서버
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (20)

  1. 보안 위협 탐지 게이트웨이에 의해 수행되는 IoT 단말의 보안 위협 탐지 방법에 있어서,
    보안 위협 탐지 게이트웨이가, 하나 이상의 IoT 단말로부터 수집 데이터를 수신하는 단계,
    IoT 서비스 운영 기반 고유 정보를 기반으로 상기 수집 데이터를 분석하여, 상기 IoT 단말의 보안 위협을 탐지하는 단계,
    상기 IoT 단말의 상기 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정하는 단계,
    상기 격리 대상 단말로 설정된 하나 이상의 상기 IoT 단말을 격리하는 단계, 그리고
    상기 격리 대상 단말의 소프트웨어를 복구하는 단계를 포함하는 IoT 단말의 보안 위협 탐지 방법.
  2. 제1항에 있어서,
    상기 IoT 단말의 보안 위협을 탐지하는 단계는,
    상기 IoT 단말에 상응하는 상기 IoT 서비스 운영 기반 고유 정보와 상기 수집 데이터를 비교하여, 상기 수집 데이터가 상기 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되지 않는 경우, 상기 IoT 단말에 상기 보안 위협이 발생한 것으로 판단하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  3. 제2항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 단말 임계 개수보다 작은 경우, 상기 보안 위협이 탐지된 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 단말 단위 통제 정책을 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  4. 제3항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말 중에서, 단말 정보가 동일한 IoT 단말의 개수가 모델 임계 개수 이상인 경우, 상기 보안 위협 탐지 게이트웨이에 연결된 하나 이상의 IoT 단말 중에서 상기 단말 정보에 상응하는 IoT 단말을 상기 격리 대상 단말로 설정하는 모델 단위 통제 정책을 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  5. 제4항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 상기 보안 위협이 탐지된 상기 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 상기 보안 위협 탐지 게이트웨이에 연결된 모든 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 게이트웨이 단위 통제 정책을 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  6. 제2항에 있어서,
    보안 통제 서버로 복구 이미지를 요청하고, 상기 보안 통제 서버로부터 상기 격리 대상 단말의 소프트웨어를 복구하기 위한 상기 복구 이미지를 수신하는 단계를 더 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  7. 제6항에 있어서,
    상기 격리 대상 단말의 소프트웨어를 복구하는 단계는,
    상기 보안 통제 서버로부터 수신한 상기 복구 이미지를 상기 격리 대상 단말로 전송하여, 상기 격리 대상 단말의 소프트웨어를 복구하는 단계, 그리고
    복구가 완료된 상기 격리 대상 단말의 격리를 해제하는 단계를 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  8. 제2항에 있어서,
    상기 보안 통제 서버가 상기 보안 위협 탐지 게이트웨이에 상응하는 영역 단위 및 상기 보안 위협 탐지 게이트웨이에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하도록, 상기 보안 위협이 탐지된 상기 IoT 단말의 정보를 포함하는 이상 상황 판단 정보를 보안 통제 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 IoT 단말의 보안 위협 탐지 방법.
  9. 하나 이상의 IoT 단말로부터 수집 데이터를 수신하는 수집 데이터 수신부,
    IoT 서비스 운영 기반 고유 정보를 기반으로 상기 수집 데이터를 분석하여, 상기 IoT 단말의 보안 위협을 탐지하는 보안 위협 탐지부,
    상기 IoT 단말의 상기 보안 위협이 탐지된 경우, 보안 통제 정책을 기반으로 격리 대상 단말을 설정하는 격리 대상 단말 설정부,
    상기 격리 대상 단말로 설정된 하나 이상의 상기 IoT 단말을 격리하는 단말 격리부, 그리고
    상기 격리 대상 단말의 소프트웨어를 복구하는 복구 수행부를 포함하는 보안 위협 탐지 게이트웨이.
  10. 제9항에 있어서,
    상기 보안 위협 탐지부는,
    상기 IoT 단말에 상응하는 상기 IoT 서비스 운영 기반 고유 정보와 상기 수집 데이터를 비교하여, 상기 수집 데이터가 상기 IoT 서비스 운영 기반 고유 정보의 정상 범위 내에 포함되지 않는 경우, 상기 IoT 단말에 상기 보안 위협이 발생한 것으로 판단하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  11. 제10항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 단말 임계 개수보다 작은 경우, 상기 보안 위협이 탐지된 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 단말 단위 통제 정책을 포함하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  12. 제11항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말 중에서, 단말 정보가 동일한 IoT 단말의 개수가 모델 임계 개수 이상인 경우, 하나 이상의 상기 IoT 단말 중에서 상기 단말 정보에 상응하는 IoT 단말을 상기 격리 대상 단말로 설정하는 모델 단위 통제 정책을 포함하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  13. 제12항에 있어서,
    상기 보안 통제 정책은,
    기 설정된 시간 동안 상기 보안 위협이 탐지된 상기 IoT 단말의 개수가 게이트웨이 임계 개수 이상이고, 상기 보안 위협이 탐지된 상기 IoT 단말의 종류가 임계 종류 개수 이상인 경우, 연결된 모든 상기 IoT 단말을 상기 격리 대상 단말로 설정하는 게이트웨이 단위 통제 정책을 포함하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  14. 제10항에 있어서,
    보안 통제 서버로 복구 이미지를 요청하고, 상기 보안 통제 서버로부터 상기 격리 대상 단말의 소프트웨어를 복구하기 위한 상기 복구 이미지를 수신하는 서버 통신부를 더 포함하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  15. 제14항에 있어서,
    상기 복구 수행부는,
    상기 보안 통제 서버로부터 수신한 상기 복구 이미지를 상기 격리 대상 단말로 전송하여, 상기 격리 대상 단말의 소프트웨어를 복구하고, 복구가 완료된 상기 격리 대상 단말의 격리를 해제하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  16. 제14항에 있어서,
    상기 서버 통신부는,
    상기 보안 통제 서버가 상기 보안 위협 탐지 게이트웨이에 상응하는 영역 단위 및 상기 보안 위협 탐지 게이트웨이에 상응하는 서비스 단위로 격리 대상 게이트웨이를 설정하도록, 상기 보안 위협이 탐지된 상기 IoT 단말의 정보를 포함하는 이상 상황 판단 정보를 보안 통제 서버로 전송하는 것을 특징으로 하는 보안 위협 탐지 게이트웨이.
  17. 하나 이상의 보안 위협 탐지 게이트웨이로부터 IoT 단말의 이상 상황 판단 정보를 수신하는 이상 상황 판단 정보 수신부,
    상기 이상 상황 판단 정보를 분석하고, 보안 통제 정책을 기반으로 격리 대상 게이트웨이를 설정하는 격리 대상 게이트웨이 설정부, 그리고
    상기 격리 대상 게이트웨이로 설정된 하나 이상의 상기 보안 위협 탐지 게이트웨이를 격리하는 게이트웨이 격리부를 포함하는 보안 통제 서버.
  18. 제17항에 있어서,
    상기 이상 상황 판단 정보 수신부는,
    상기 보안 위협 탐지 게이트웨이의 정보 및 상기 보안 위협 탐지 게이트웨이에 연결된 격리 대상 단말의 정보를 포함하는 상기 이상 상황 판단 정보를 수신하는 것을 특징으로 하는 보안 통제 서버.
  19. 제18항에 있어서,
    상기 보안 통제 정책은,
    단위 영역에 포함된 복수의 상기 보안 위협 탐지 게이트웨이 중에서 영역 임계 개수 이상의 상기 보안 위협 탐지 게이트웨이로부터 상기 이상 상황 판단 정보를 수신한 경우, 상기 단위 영역에 포함된 상기 보안 위협 탐지 게이트웨이를 상기 격리 대상 게이트웨이로 설정하는 영역 단위 통제 정책을 포함하는 것을 특징으로 하는 보안 통제 서버.
  20. 제18항에 있어서,
    상기 보안 통제 정책은,
    동일한 IoT 서비스를 제공하는 복수의 상기 보안 위협 탐지 게이트웨이 중에서 서비스 임계 개수 이상의 상기 보안 위협 탐지 게이트웨이로부터 상기 이상 상황 판단 정보를 수신한 경우, 상기 IoT 서비스를 제공하는 상기 보안 위협 탐지 게이트웨이를 상기 격리 대상 게이트웨이로 설정하는 서비스 단위 통제 정책을 포함하는 것을 특징으로 하는 보안 통제 서버.
KR1020170178142A 2017-12-22 2017-12-22 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법 KR20190076382A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170178142A KR20190076382A (ko) 2017-12-22 2017-12-22 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170178142A KR20190076382A (ko) 2017-12-22 2017-12-22 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법

Publications (1)

Publication Number Publication Date
KR20190076382A true KR20190076382A (ko) 2019-07-02

Family

ID=67258429

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170178142A KR20190076382A (ko) 2017-12-22 2017-12-22 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법

Country Status (1)

Country Link
KR (1) KR20190076382A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210014686A1 (en) * 2018-03-28 2021-01-14 Huawei Technologies Co., Ltd. Method For Controlling Access Of Terminal To Network And Network Element
KR20210084993A (ko) * 2019-12-30 2021-07-08 한국전자통신연구원 사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법
KR20210090070A (ko) 2020-01-09 2021-07-19 숭실대학교산학협력단 사물 인터넷 데이터 분류장치 및 그를 포함하는 사물 인터넷 데이터 전송장치
KR102287815B1 (ko) * 2021-02-26 2021-08-09 가이아스 주식회사 원격검침시스템용 보안 강화형 IoT 통신장치
WO2021256577A1 (ko) * 2020-06-15 2021-12-23 주식회사시옷 멀티네트워크 디바이스의 보안 진단 방법
KR20220041632A (ko) 2020-09-25 2022-04-01 (주)조이튠 모바일 근접 통신에서 공개키 기반의 인증 서버를 이용한 기기 인증 및 보안 통신 방법
KR102400282B1 (ko) * 2021-11-12 2022-05-23 주식회사 오픈잇 게이트웨이의 동작 방법, 및 이를 이용하는 게이트웨이 및 프로그램

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101391729B1 (ko) 2014-02-27 2014-05-27 주식회사 에이에스티소프트 사물인터넷 보안시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101391729B1 (ko) 2014-02-27 2014-05-27 주식회사 에이에스티소프트 사물인터넷 보안시스템 및 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210014686A1 (en) * 2018-03-28 2021-01-14 Huawei Technologies Co., Ltd. Method For Controlling Access Of Terminal To Network And Network Element
KR20210084993A (ko) * 2019-12-30 2021-07-08 한국전자통신연구원 사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법
KR20210090070A (ko) 2020-01-09 2021-07-19 숭실대학교산학협력단 사물 인터넷 데이터 분류장치 및 그를 포함하는 사물 인터넷 데이터 전송장치
WO2021256577A1 (ko) * 2020-06-15 2021-12-23 주식회사시옷 멀티네트워크 디바이스의 보안 진단 방법
KR20220041632A (ko) 2020-09-25 2022-04-01 (주)조이튠 모바일 근접 통신에서 공개키 기반의 인증 서버를 이용한 기기 인증 및 보안 통신 방법
KR102287815B1 (ko) * 2021-02-26 2021-08-09 가이아스 주식회사 원격검침시스템용 보안 강화형 IoT 통신장치
KR102400282B1 (ko) * 2021-11-12 2022-05-23 주식회사 오픈잇 게이트웨이의 동작 방법, 및 이를 이용하는 게이트웨이 및 프로그램
US11778425B2 (en) 2021-11-12 2023-10-03 Openit Inc. Method of operating a gateway, and a gateway using the same

Similar Documents

Publication Publication Date Title
KR20190076382A (ko) 보안 위협 탐지 게이트웨이, 보안 통제 서버 및 IoT 단말의 보안 위협 탐지 방법
US11438347B2 (en) Information handling system threat management and detection with scheduled token communication
KR101977731B1 (ko) 제어 시스템의 이상 징후 탐지 장치 및 방법
US11683218B2 (en) Compromised network node detection system
KR20130101672A (ko) 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
CN107800663B (zh) 流量离线文件的检测方法及装置
US11595407B2 (en) Information handling system threat management
US11336658B2 (en) Information handling system threat management
KR101709632B1 (ko) 정보 처리 장치
Lin et al. Setting malicious flow entries against SDN operations: attacks and countermeasures
US20070198993A1 (en) Communication system event handling systems and techniques
KR20200113836A (ko) 보안 통제 장치 및 방법
CN113824595B (zh) 链路切换控制方法、装置和网关设备
EP2988476B1 (en) Method and apparatus for processing operation on endpoint peripheral
KR101753237B1 (ko) 디바이스들의 상호 검증을 이용하는 네트워크 시스템
JP6989457B2 (ja) 外部情報受配信装置、データ送信方法、及びプログラム
KR101792331B1 (ko) M2M/IoT 플랫폼에서 트랜잭션 방법 및 시스템
WO2014183369A1 (zh) 监控处理方法、装置及m2m网关
KR102286913B1 (ko) 네트워크 관리 장치 및 그 제어방법
US11936665B2 (en) Method for monitoring data transiting via a user equipment
JP7243329B2 (ja) コンピュータプログラム、イベント異常検知方法及びコンピュータ
KR102136923B1 (ko) Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법
JP6213496B2 (ja) 制御装置、制御方法及び制御プログラム
JP2006115260A (ja) 通信制御方法、通信中継装置および通信制御プログラム
JP2005222239A (ja) ノード装置