KR20200085535A - 허니팟이 적용된 망 분리 시스템 - Google Patents

허니팟이 적용된 망 분리 시스템 Download PDF

Info

Publication number
KR20200085535A
KR20200085535A KR1020190001774A KR20190001774A KR20200085535A KR 20200085535 A KR20200085535 A KR 20200085535A KR 1020190001774 A KR1020190001774 A KR 1020190001774A KR 20190001774 A KR20190001774 A KR 20190001774A KR 20200085535 A KR20200085535 A KR 20200085535A
Authority
KR
South Korea
Prior art keywords
data
cracker
control
terminal device
unidirectional
Prior art date
Application number
KR1020190001774A
Other languages
English (en)
Other versions
KR102176961B1 (ko
Inventor
이지환
장수희
이승현
Original Assignee
지엘디앤아이에프 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지엘디앤아이에프 주식회사 filed Critical 지엘디앤아이에프 주식회사
Priority to KR1020190001774A priority Critical patent/KR102176961B1/ko
Publication of KR20200085535A publication Critical patent/KR20200085535A/ko
Application granted granted Critical
Publication of KR102176961B1 publication Critical patent/KR102176961B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

본 발명은 허니팟이 적용된 망 분리 시스템에 관한 것으로, 제1 검출수단; 제1 변환수단; 및 모니터링수단; 을 포함하여, 외부망을 통한 침해 행위 발생시 실시간으로 확인하고 대처할 수 있고, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있을 뿐만 아니라 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 적극적으로 망 침해 방식 데이터를 수집하여 신속하게 대처방안을 수립할 수 있도록 하는 것을 특징으로 한다.

Description

허니팟이 적용된 망 분리 시스템{SEPARATING NETWORK SYSTEM WITH HONEYPOT}
본 발명은 허니팟이 적용된 망 분리 시스템에 관한 것으로서, 더욱 상세하게는 외부망을 통한 침해 행위 발생시 실시간으로 확인하고 대처할 수 있고, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있을 뿐만 아니라 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 적극적으로 망 침해 방식 데이터를 수집하여 신속하게 대처방안을 수립할 수 있도록 하는 허니팟이 적용된 망 분리 시스템에 관한 것이다.
최근 급격히 증가하는 공공분야의 테러, 유괴, 주요 시설물에 대한 방화 등의 긴급 상황 발생과 어린이의 안전사고 등이 사회적인 문제로 대두되고 있으며, 이에 따라 감시카메라에 기반한 실시간 영상 보안시스템의 설치가 급격히 증가하고 있다.
그런데, 공공기관 및 공기업 등이 운용하고 있는 영상 보안시스템의 촬영데이터는 대외적 공유 및 공공목적 활용에 대한 필요성이 대두되고 있으나, 해킹 등 외부 침해 위협에 대해 시스템의 안정성을 담보하기 어려워 대외적으로 공유하는 것을 기피하고 있다.
이러한 외부 침해 위협에 대응하는 방법 중 하나로 허니팟(Honeypot)이 널리 사용되고 있다. 허니팟은 외부망을 통한 비정상적인 접근, 즉 해킹과 같은 침해 행위를 탐지하기 위해 의도적으로 설치해둔 시스템을 말하며, 시스템에 침입한 스팸 및 컴퓨터바이러스, 크래커서버 등을 유인하여 탐지, 추적하고 정보를 수집할 수 있어서 사이버 테러를 방지하기 위해 많이 활용되고 있다.
한편, 영상 보안시스템 구축에 필요한 구성품, 예를 들어 네트워크 카메라(IP camera)와 네트워크 비디오 녹화기(Network Video Recorder, NVR) 등이 네트워크 제품 형태로 발전되면서 미리 구성품 내에 악성 소프트웨어(Malicious Software, Malware) 등을 두어 이를 통해 해킹이 가능해지는 등 영상 보안시스템 구축에 사용되는 구성품에 의한 보안침해 위협이 발생하고 있다.
특히, 공공 및 민간분야 인터넷망에 공개된 네트워크 카메라에 대한 보안침해 문제는 여러 차례 매스컴을 통해 이슈화되었는데, 2016년 4월에는 분산서비스거부(Distributed Denial of Service, DDoS) 공격 수행 봇을 만들 수 있는 악성코드가 아마존에서 판매되고 있던 중국산 네트워크 카메라에서 발견된 바 있고, 2016년 11월에는 중국산 네트워크 영상보안 제품에 포함된 봇넷을 이용하여 미국 DNS 업체에 대규모 DDoS 공격이 발생하기도 하였다.
이에 따라 미국 의회의 경우 국방수권법(National Defense Authorization Act, NDAA)을 통과시켜 주요 시설에 중국산 네트워크 영상보안 물품 사용을 금지시켰다.
그러나 국내 공공기관 및 공기업에서 운영 중인 네트워크 영상 보안시스템에는 이미 중국산 네트워크 영상보안 물품이 다수 납품되어 설치, 운용되고 있는 실정이다.
따라서, 영상 보안시스템을 물리적으로 망 분리하여 외부망을 통한 침해 행위(해킹) 뿐만 아니라 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 시스템을 보호할 수 있고, 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 신속한 대처방안 수립을 위하여 적극적인 망 침해 방식 데이터를 수집할 필요성이 대두되고 있다.
대한민국 특허등록 제10-0926456호
따라서, 본 발명의 목적은 이와 같은 종래의 문제점을 해결하기 위한 것으로서 외부망을 통한 침해 행위 발생시 실시간으로 확인하고 대처할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.
또, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.
또한, 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 적극적으로 망 침해 방식 데이터를 수집하여 신속하게 대처방안을 수립할 수 있도록 하는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.
상기 목적은, 본 발명에 따라, 허니팟이 적용된 망 분리 시스템에 있어서, 상기 시스템에 접속된 외부 단말장치로부터 제1 제어데이터를 전달받아 상기 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단; 상기 제1 검출수단으로부터 상기 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하는 제1 변환수단; 및 상기 제1 크래커데이터 및 상기 제1 단방향데이터를 전달받아 저장하고, 상기 제1 단방향데이터를 촬영수단, 상기 촬영수단을 제어하는 제어수단 중 어느 하나 또는 둘에 전달하며, 상기 제1 단방향데이터가 전달된 상기 촬영수단, 상기 제어수단 중 어느 하나 또는 둘에 의해 동작되는 상기 시스템을 모니터링하는 모니터링수단; 을 포함하는 허니팟이 적용된 망 분리 시스템에 의해 달성된다.
여기서, 상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단; 상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제2 변환수단; 상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제1 검토수단; 상기 제1 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단; 상기 제1 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및 상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하는 제4 변환수단; 을 더 포함하고, 상기 모니터링수단은, 상기 제2 크래커데이터 및 상기 제4 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제4 단방향데이터를 전송하는 것이 바람직하다.
여기서, 상기 제1 제어데이터는 상기 촬영수단을 제어하기 위한 제어데이터이고, 상기 모니터링수단은 상기 제1 단방향데이터를 상기 촬영수단에 전달하는 것이 바람직하다.
여기서, 상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제3 제어데이터를 전달받고, 상기 제3 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단; 상기 제2 검토수단의 검토 결과, 정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제5 변환수단; 상기 제2 검토수단의 검토 결과 비정상인 제3 제어데이터를 전달받고, 상기 비정상인 제3 제어데이터에 포함되어 있는 제3 크래커데이터를 검출하는 제3 검출수단; 및 상기 제3 검출수단으로부터 상기 비정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환하는 제6 변환수단; 을 더 포함하고, 상기 모니터링수단은, 상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 것이 바람직하다.
여기서, 상기 제1 제어데이터는 상기 제어수단을 제어하기 위한 제어데이터이고, 상기 모니터링수단은 상기 제1 단방향데이터를 상기 제어수단에 전달하는 것이 바람직하다.
여기서, 상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제3 제어데이터를 전달받고, 상기 제3 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단; 상기 제2 검토수단의 검토 결과, 정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제5 변환수단; 상기 제2 검토수단의 검토 결과 비정상인 제3 제어데이터를 전달받고, 상기 비정상인 제3 제어데이터에 포함되어 있는 제3 크래커데이터를 검출하는 제3 검출수단; 및 상기 제3 검출수단으로부터 상기 비정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환하는 제6 변환수단; 을 더 포함하고, 상기 모니터링수단은, 상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 것이 바람직하다.
상기 제1 제어데이터는 상기 촬영수단, 상기 제어수단 중 둘 모두를 제어하기 위한 제어데이터이고, 상기 모니터링수단은 상기 제1 단방향데이터를 상기 촬영수단, 상기 제어수단 중 둘 모두에 전달하는 것이 바람직하다.
여기서, 상기 모니터링수단은, 상기 제4 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제4 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제4 단방향데이터를 전송하는 제1 모니터링부; 및 상기 제6 변환수단과 연결되어 상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 제2 모니터링부; 를 포함하는 것이 바람직하다.
여기서, 상기 외부 단말장치는 다수로 이루어지고, 상기 외부 단말장치 중 하나 또는 둘 이상은, 상기 촬영수단, 상기 제어수단 중 어느 하나 또는 둘에 상기 제1 제어데이터를 전송하는 크래커서버인 것이 바람직하다.
여기서, 상기 외부 단말장치의 정보는, 상기 크래커서버의 주소 정보 또는 상기 크래커서버에 저장되어 있는 데이터의 주소 정보인 것이 바람직하다.
본 발명에 따르면, 외부망을 통한 침해 행위 발생시 실시간으로 확인하고 대처할 수 있는 허니팟이 적용된 망 분리 시스템이 제공된다.
또, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있다.
또한, 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 적극적으로 망 침해 방식 데이터를 수집하여 신속하게 대처방안을 수립할 수 있도록 할 수 있다.
도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 4는 본 발명의 제4 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 5는 본 발명의 제5 실시예에 따른 허니팟이 적용된 망 분리 시스템의 일부 구성을 나타낸 일부구성도,
도 6은 본 발명의 제6 실시예에 따른 허니팟이 적용된 망 분리 시스템의 일부 구성을 나타낸 일부구성도,
도 7은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도,
도 8은 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도,
도 9는 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도이다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 허니팟이 적용된 망 분리 시스템에 대하여 상세하게 설명한다. 여기서, 본 발명에서 언급하는 허니팟이 적용된 망 분리 시스템은 물리적인 망 분리 및 허니팟이 적용된 영상 보안시스템을 지칭한다.
도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.
도 1을 참조하면, 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템(1000)은 크게 제1 검출수단(10), 제1 변환수단(20) 및 모니터링수단(100)을 포함하여 구성된다.
제1 검출수단(10)은 시스템(1000), 즉 허니팟이 적용된 망 분리 시스템(1000)에 접속된 외부 단말장치(2000)로부터 제1 제어데이터를 전달받아 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 구성요소이다. 이때, 제1 제어데이터는 하기에 서술하는 촬영수단(200)이나 제어수단(300), 또는 촬영수단(200)과 제어수단(300) 모두를 제어하기 위한 제어데이터일 수 있다.
그리고, 본 발명의 제1 실시예를 구성하는 구성요소 중 제1 변환수단(20)은 제1 검출수단(10)으로부터 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 단방향(One-way, Simplex)데이터, 즉 제1 단방향데이터로 변환하는 구성요소이다.
다음, 모니터링수단(100)은 제1 크래커데이터 및 제1 단방향데이터를 전달받아 저장하고, 제1 단방향데이터를 하기의 촬영수단(200), 촬영수단(200)을 제어하는 하기의 제어수단(300) 중 어느 하나 또는 둘에 전달하며, 제1 단방향데이터가 전달된 촬영수단(200), 제어수단(300) 중 어느 하나 또는 둘에 의해 동작되는 시스템(1000)을 모니터링하는 구성요소이다.
촬영수단(200)은 영상 보안시스템을 구축하는데 필수적으로 사용되는 구성요소로, 감시나 보안 등을 위한 장소에 설치되는 카메라 등이 해당된다. 또한, 촬영수단(200)으로 하나 또는 다수의 네트워크 카메라를 이용할 수 있으며, 촬영수단(200)으로 촬영한 영상이 촬영데이터가 된다.
제어수단(300)은 촬영수단(200)을 제어하는데, 이외에 본 발명에 따른 허니팟이 적용된 망 분리 시스템(1000) 전체를 제어할 수도 있다. 본 명세서에서는 제어수단(300)이 촬영수단(200)을 제어하기 위하여 촬영수단(200)측으로 전송하는 제어데이터를 제3 제어데이터라고 지칭하며, 이에 대해서는 하기의 제3 실시예에 대한 설명에서 언급한다.
한편, 제어수단(300)에는 촬영수단(200)을 통해 촬영되는 영상이 저장되도록 구성할 수 있는데, 이를 위해 네트워크 비디오 녹화기(NVR) 등을 제어수단(300)으로 사용할 수 있다.
도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.
도 2에 나타나는 것과 같이, 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템(1000)은 제1 실시예의 구성에 영상분리수단(210)과 제2 변환수단(220), 제1 검토수단(230), 제3 변환수단(240), 제2 검출수단(250) 및 제4 변환수단(260)을 더 포함하여 이루어진다.
전술한 제1 실시예에서, 외부 단말장치(2000)로부터 전달된 제1 제어데이터가 촬영수단(200)을 제어하기 위한 제어데이터라고 할 경우 모니터링수단(100)은 제1 단방향데이터를 촬영수단(200)에 전달하게 되고, 촬영수단(200)은 전달받은 제1 단방향데이터에 따라 동작하여 촬영데이터를 생성하게 된다.
영상분리수단(210)은 촬영수단(200)에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 구성요소이며, 이른바 파싱 엔진(Passing Engine)이 사용될 수 있다.
제2 변환수단(220)은 영상분리수단(210)으로부터 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하여 제어수단(300)으로 전달하는 구성요소이다. 이에 따라 제1 실시예에서 제1 변환수단(20)을 통해 변환된 제1 단방향데이터와 마찬가지로 제2 단방향데이터를 통해 제어수단(300)으로부터 송신측 방향으로 접근하는 것이 불가능해진다.
제1 검토수단(230)은 영상분리수단(210)으로부터 촬영데이터를 전달받고, 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다. 여기서, 제1 검토수단(230)에 전달되는 촬영데이터는 영상분리수단(210)이 아닌 촬영수단(200)으로부터 전달받을 수 있으나, 도면의 이해를 돕기 위해 도 2에서는 생략하였다. 또한, 도면에서는 제1 검토수단(230)이 영상분리수단(210) 다음 단계에 배치되어 구성되나, 제1 검토수단(230)이 촬영수단(200)과 영상분리수단(210) 사이에 배치되도록 하여 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 먼저 검토한 후 영상분리수단(210)이 영상데이터를 분리하도록 구성될 수도 있다.
이처럼, 본 발명의 제2 실시예의 경우 제1 검토수단(230)을 통해 제2 제어데이터의 정상 또는 비정상 여부를 검토함으로써, 구축된 시스템(1000) 중 촬영수단(200)에 멀웨어(Malware, 악성 소프트웨어)가 포함되어 있는지의 여부를 알 수 있게 된다.
다시 말해서, 외부 단말장치(2000)로부터 전달된 제1 제어데이터는 정상적인 제어데이터이지만 이를 전달받은 촬영수단(200)의 촬영데이터에 포함되어 있는 제2 제어데이터가 비정상인 경우 멀웨어가 포함되어 있다고 판단할 수 있다.
즉, 외부 단말장치(2000)로부터 전달된 제1 제어데이터를 통한 침해 행위가 발생하는 경우 외에 영상 보안시스템 구축에 사용된 구성품인 촬영수단(200)에 악성 소프트웨어 등이 포함되어 있는 경우에도 안정적으로 시스템(1000)을 보호할 수 있는 것이다.
제3 변환수단(240)은 제1 검토수단(230)의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 제어수단(300)으로 전달하는 구성요소이며, 이러한 제3 단방향데이터를 통해 수신측인 제어수단(300)으로부터 송신측인 제3 변환수단(240)측으로의 접근은 불가능해진다.
제2 검출수단(250)은 제1 검토수단(230)의 검토 결과 비정상인 제2 제어데이터를 전달받고, 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 구성요소이다. 이러한 제2 검출수단(250)은 제1 검출수단(10)이 제1 크래커데이터를 검출하는 것과 동일한 방법을 통해 제2 크래커데이터를 추출할 수도 있고, 다른 방법으로 제2 크래커데이터를 추출할 수도 있다.
제4 변환수단(260)은 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하는 구성요소이다.
이러한 제2 실시예에서, 제1 단방향데이터를 촬영수단(200)에 전달하고 이를 통해 동작되는 시스템(1000)을 모니터링하는 모니터링수단(100)은 제2 크래커데이터 및 제4 단방향데이터를 전달받아 저장하게 된다. 이때, 제2 크래커데이터에 외부 단말장치(2000)의 정보가 포함되어 있는 경우 해당 정보에 따른 외부 단말장치(2000)로 제4 단방향데이터를 전송하게 된다.
여기서, 도 2에서는 모니터링수단(100)으로부터 제4 단방향데이터를 전달받게 되는 외부 단말장치(2000)가 제1 제어데이터를 전송한 외부 단말장치(2000)와 동일한 외부 단말장치(2000)인 것으로 도시되어 있으나, 서로 다른 외부 단말장치(2000), 즉 다수의 외부 단말장치(2000)가 사용될 수 있다.
특히, 제1 제어데이터를 전송한 외부 단말장치(2000)는 크래커(Cracker)의 단말장치(2000), 즉 크래커서버일 수도 있고, 시스템 관리자의 단말장치(2000)이거나 일반인의 단말장치(2000)일 수도 있다.
그런데, 제4 단방향데이터를 전달받게 되는 외부 단말장치(2000)의 경우 외부 침해 행위를 위하여 제1 제어데이터를 전송한 크래커서버이거나, 촬영수단(200)에 멀웨어가 포함되도록 한 크래커서버일 가능성이 크며, 이때 크래커는 하나의 외부 단말장치(2000)를 사용할 수도 있으나 제1 제어데이터를 전송하는 외부 단말장치(2000)와 제4 단방향데이터를 전달받는 외부 단말장치(2000)를 따로따로 사용할 수 있다.
한편, 본 발명의 제2 실시예에서 언급된 외부 단말장치(2000)의 정보, 즉 제2 크래커데이터에 포함되어 있는 외부 단말장치(2000)의 정보는 제4 단방향데이터를 전달받게 되는 외부 단말장치(2000)의 정보를 지칭하는데, 특히 제4 단방향데이터를 전달받게 되는 외부 단말장치(2000)를 크래커서버라 가정하고, 이러한 크래커서버의 주소 정보, 예를 들어 아이피 주소(IP Address)나 도메인(Domain Name), URL(Uniform Resource Locator) 등과 같은 정보나, 이외에 크래커서버에 저장되어 있는 데이터의 주소 정보, 예를 들어 자료 위치 주소(Uniform Resource Locator) 등이 바로 외부 단말장치(2000)의 정보에 해당된다.
도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.
도 3에 도시된 것처럼, 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템(1000)은 제1 실시예의 구성에 제2 검토수단(310), 제5 변환수단(320), 제3 검출수단(330) 및 제6 변환수단(340)을 더 포함하여 이루어진다.
전술한 제2 실시예에서 외부 단말장치(2000)로부터 전달된 제1 제어데이터가 촬영수단(200)의 제어데이터였다면, 제3 실시예에서는 제1 제어데이터가 제어수단(300)을 제어하기 위한 제어데이터인 경우이다. 이에, 모니터링수단(100)은 제1 단방향데이터를 제어수단(300)에 전달하게 되고, 제어수단(300)은 제1 단방향데이터에 따라 동작하게 된다.
제2 검토수단(310)은 제어수단(300)으로부터 촬영수단(200)을 제어하기 위한 제3 제어데이터를 전달받고, 제3 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다.
본 발명의 제3 실시예에서는 제2 검토수단(310)을 통해 제3 제어데이터의 정상 또는 비정상 여부를 검토하게 되므로, 외부 단말장치(2000)로부터 전달된 제1 제어데이터는 정상적인 제어데이터이지만 이를 전달받은 제어수단(300)의 제3 제어데이터가 비정상인 경우 시스템(1000) 중 제어수단(300)에 멀웨어가 포함되어 있다고 판단할 수 있다.
제5 변환수단(320)은 제2 검토수단(310)의 검토 결과, 정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하여 촬영수단(200)에 전달하게 된다.
제3 검출수단(330)은 제2 검토수단(310)의 검토 결과 비정상인 제3 제어데이터를 전달받고, 비정상인 제3 제어데이터에 포함되어 있는 제3 크래커데이터를 검출하는 구성요소이다.
제6 변환수단(340)은 제3 검출수단(330)으로부터 비정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환하는 구성요소이다.
이러한 제3 실시예에서 제1 단방향데이터를 제어수단(300)에 전달하고 이를 통해 동작되는 시스템(1000)을 모니터링하는 모니터링수단(100)은, 제3 크래커데이터 및 제6 단방향데이터를 전달받아 저장하고, 제3 크래커데이터에 외부 단말장치(2000)의 정보, 즉 아이피 주소나 도메인, URL 등이 포함되어 있는 경우 해당 외부 단말장치(2000)로 제6 단방향데이터를 전송하게 된다.
제2 실시예와 마찬가지로, 도 3에 도시된 모니터링수단(100)으로부터 제6 단방향데이터를 전달받게 되는 외부 단말장치(2000)는 제1 제어데이터를 전송한 외부 단말장치(2000)와 동일한 외부 단말장치(2000)이지만 구성에 따라 서로 다른 외부 단말장치(2000)일 수 있으며, 특히 제6 단방향데이터를 전달받게 되는 외부 단말장치(2000)의 경우 외부 침해를 위하여 제1 제어데이터를 전송한 크래커서버이거나, 제어수단(300)에 멀웨어가 포함되도록 한 크래커서버일 가능성이 크다.
제2 실시예에서 서술한 것과 같이 제3 실시예에서 제3 크래커데이터에 포함되어 있는 외부 단말장치(2000)의 정보는, 제6 단방향데이터를 전달받는 외부 단말장치(2000)를 크래커서버라 가정하여 제6 단방향데이터를 전달받는 외부 단말장치(2000)의 아이피 주소나 도메인, URL을 지칭한다.
도 4는 본 발명의 제4 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.
도 4와 같이, 본 발명의 제4 실시예에 따른 허니팟이 적용된 망 분리 시스템은 제1 실시예의 구성에 제2 실시예의 구성, 그리고 제3 실시예의 구성이 모두 포함된다.
즉, 전술한 제2 실시예나 제3 실시예에서는 외부 단말장치(2000)로부터 전달된 제1 제어데이터가 촬영수단(200) 또는 제어수단(300) 중 어느 하나의 제어데이터였다면, 제4 실시예에서는 제1 제어데이터가 촬영수단(200)과 제어수단(300) 모두를 제어할 수 있는 제어데이터인 경우이다. 이에, 모니터링수단(100)은 제1 단방향데이터를 촬영수단(200)과 제어수단(300) 모두에 각각 전달하고, 이에 따라 동작되는 시스템(1000)을 모니터링하게 된다.
촬영수단(200)에 제1 단방향데이터가 전달된 후의 과정은 전술한 제2 실시예의 설명과 동일하고, 제어수단(300)에 제1 단방향데이터가 전달된 후의 과정은 전술한 제3 실시예의 설명과 동일하므로 자세한 설명은 생략한다.
본 발명의 제4 실시예에서는 제1 검토수단(230)을 통해 제2 제어데이터의 정상 또는 비정상 여부를 검토하고, 제2 검토수단(310)을 통해 제3 제어데이터의 정상 또는 비정상 여부를 검토하게 된다. 따라서, 외부 단말장치(2000)로부터 전달된 제1 제어데이터는 정상적인 제어데이터이지만 이를 전달받게 되는 촬영수단(200)이나 제어수단(300) 중 어느 하나 또는 둘에 멀웨어가 포함되어 있는지의 여부를 판단할 수 있다.
한편, 제4 실시예에서는 모니터링수단(100)에 촬영수단(200)으로부터 제4 변환수단(260)까지의 과정을 거친 제2 크래커데이터와 제4 단방향데이터, 그리고 제어수단(300)으로부터 제6 변환수단(340)까지의 과정을 거친 제3 크래커데이터와 제6 단방향데이터가 모두 저장될 수 있다.
이에, 제2 크래커데이터에 아이피 주소나 도메인, URL 등과 같은 외부 단말장치(2000, 크래커서버)의 정보가 포함되어 있는 경우 제4 단방향데이터를 해당 외부 단말장치(2000)로 전송하게 되고, 제3 크래커데이터에 외부 단말장치(2000, 크래커서버)의 정보가 포함되어 있는 경우 제6 단방향데이터를 해당 외부 단말장치(2000)로 전송하게 된다.
즉, 제2 크래커데이터에는 외부 단말장치(2000, 크래커서버)의 정보가 존재하고, 제3 크래커데이터에는 외부 단말장치(2000)의 정보가 존재하지 않는다면 제4 단방향데이터만 해당 외부 단말장치(2000, 크래커서버)로 전송하는 것이며, 제3 크래커데이터에만 외부 단말장치(2000, 크래커서버)의 정보가 존재한다면 제6 단방향데이터만 해당하는 외부 단말장치(2000, 크래커서버)로 전송한다.
이에 따라 제4 단방향데이터를 수신한 외부 단말장치(2000, 크래커서버)나, 제6 단방향데이터를 수신한 외부 단말장치(2000, 크래커서버)에서 각각 촬영수단(200)의 아이피 주소 또는 제어수단(300)의 아이피 주소를 확인하고자 ifconfig, inconfig, ipconfig, netstat 등과 같이 시스템(1000)을 구성하는 구성품의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 모니터링수단(100)의 아이피주소를 확인하게 된다.
한편, 제2 크래커데이터와 제3 크래커데이터 모두에 외부 단말장치(2000, 크래커서버)의 정보가 포함되어 있는 경우에는 해당 외부 단말장치(2000, 크래커서버)로 제4 단방향데이터 및 제6 단방향데이터를 전송하되, 서로 다른 아이피 주소로 전송하도록 구성되는 것이 바람직하다.
이는 외부 단말장치(2000, 크래커서버)에서 촬영수단(200)의 아이피 주소와 제어수단(300)의 아이피 주소를 확인하기 위한 시스템 명령을 수행할 경우 각각 서로 다른 아이피 주소를 확인하도록 함으로써 크래커가 탐지, 추적되고 있다는 사실을 숨길 수 있게 된다.
즉, 크래커는 자신이 탐지, 감시되고 있다는 사실을 인지하지 못하고 시스템(1000) 침입 시도가 성공했다고 생각하겠지만, 시스템 관리자는 외부 침입에 대비하고 있는 상태이므로 크래커의 정보를 탐지, 추적하고 크래커의 공격 시기, 패턴 등과 같은 정보를 수집하여 시스템(1000)의 보안성을 개선하는 등 다양하게 활용할 수 있게 된다.
한편, 도 4에서 모니터링수단(100)으로부터 제4 및 제6 단방향데이터를 전달받게 되는 외부 단말장치(2000)가 제1 제어데이터를 전송한 외부 단말장치(2000)와 동일한 외부 단말장치(2000)인 것으로 도시되어 있으나, 이는 구성에 따라 서로 다른 외부 단말장치(2000)일 수 있다. 예를 들면, 제1 제어데이터를 전송한 외부 단말장치(2000)는 외부 단말장치(2000) A이고, 제4 단방향데이터를 전송받는 외부 단말장치(2000)는 외부 단말장치(2000) B이며, 제6 단방향데이터를 전송받는 외부 단말장치(2000)는 외부 단말장치(2000) C인 것으로 구성될 수 있다.
도 5는 본 발명의 제5 실시예에 따른 허니팟이 적용된 망 분리 시스템의 일부 구성을 나타낸 일부구성도이고, 도 6은 본 발명의 제6 실시예에 따른 허니팟이 적용된 망 분리 시스템의 일부 구성을 나타낸 일부구성도이다.
도 5 및 도 6에 도시되어 있는 제5 및 제6 실시예는, 전술한 제4 실시예와 거의 동일하게 구성되나, 모니터링수단(100)이 물리적으로 나누어져 구성된다는 점에서 차이가 있다.
즉, 제5 및 제6 실시예의 경우 모니터링수단(100)을 둘로 나누어 제1 모니터링부(110)와 제2 모니터링부(120)로 구성하고, 제4 변환수단(260)과 연결되는 제1 모니터링부(110)에 제2 크래커데이터 및 제4 단방향데이터가 전달, 저장되며, 제6 변환수단(340)과 연결되는 제2 모니터링부(120)에 제3 크래커데이터 및 제6 단방향데이터가 전달, 저장되도록 구성하게 된다.
이에, 촬영수단(200)에 전달된 제1 단방향데이터가 비정상적인 제1 제어데이터를 변환한 것이거나 또는 촬영수단(200)에 멀웨어가 포함되어 있는 등의 이유로 제2 크래커데이터가 검출되고, 검출된 제2 크래커데이터에 외부 단말장치(2000)의 정보가 포함되어 있는 경우 제1 모니터링부(110)가 해당 외부 단말장치(2000)로 제4 단방향데이터를 전송하게 된다.
마찬가지로, 제어수단(300)에 전달된 제1 단방향데이터가 비정상적인 제1 제어데이터를 변환한 것이거나 또는 제어수단(300)에 멀웨어가 포함되어 있는 등의 이유로 제3 크래커데이터가 검출되고, 검출된 제3 크래커데이터에 외부 단말장치(2000)의 정보가 포함되어 있다면 제2 모니터링부(120)가 해당 외부 단말장치(2000)로 제6 단방향데이터를 전송하게 된다.
이때, 제5 실시예에서는 제2 크래커데이터와 제3 크래커데이터 모두에 동일한 외부 단말장치(2000)의 정보가 포함되어 있는 경우 해당 외부 단말장치(2000)로 제4 단방향데이터 및 제6 단방향데이터를 전송하게 되는데, 제4 단방향데이터를 전송하는 제1 모니터링부(110)와 제6 단방향데이터를 전송하는 제2 모니터링부(120)는 물리적으로 나누어져 있으며 서로 다른 아이피 주소로 외부 단말장치(2000)에 전송하게 된다. 따라서, 외부 단말장치(2000)가 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 서로 다른 제1 모니터링부(110)의 아이피 주소와 제2 모니터링부(120)의 아이피 주소를 확인하게 된다.
한편, 제6 실시예의 경우 제2 크래커데이터와 제3 크래커데이터에 각각 서로 다른 외부 단말장치(2000)의 정보가 포함되어 있는 상태로, 제1 모니터링부(110)와 제2 모니터링부(120)가 제4 단방향데이터와 제6 단방향데이터를 각각 다른 외부 단말장치(2000)로 전송하게 된다는 점에서 제5 실시예와 구분된다.
이는, 물리적으로 나뉘어진 제1 모니터링부(110)와 제2 모니터링부(120)가 각각 제4 단방향데이터와 제6 단방향데이터를 외부 단말장치(2000)로 전송하게 되므로, 외부 단말장치(2000)에 의해 아이피 주소를 확인하기 위한 시스템 명령의 수행시 서로 다른 제1 모니터링부(110)의 아이피 주소와 제2 모니터링부(120)의 아이피 주소를 확인하게 된다.
이러한 제5 및 제6 실시예에서도 제1 제어데이터를 전송하는 외부 단말장치(2000)와 제1 모니터링부(110), 제2 모니터링부(120)를 통해 제4 단방향데이터, 제6 단방향데이터를 전달받게 되는 외부 단말장치(2000)는 서로 다른 외부 단말장치(2000)일 수 있다.
지금부터는 본 발명에 따른 허니팟이 적용된 망 분리 시스템이 동작하게 되는 상태에 대해 보다 상세히 설명한다.
도 7은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도이다.
도 7을 살펴보면, 제일 먼저 허니팟이 적용된 망 분리 시스템(1000)에 접속된 외부 단말장치(2000)로부터 제1 제어데이터가 제1 검출수단(10)에 전달(S100)된다.
이때, 외부 단말장치(2000)라 함은 외부에서 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템(1000)에 접속하는 모든 단말장치(2000)를 뜻한다.
그리고 촬영수단(200)이나 제어수단(300), 또는 촬영수단(200)과 제어수단(300) 모두를 제어하는 제1 제어데이터는, 예를 들어 촬영수단(200)의 승강이나 팬(Pan), 틸트(Tilt), 줌(Zoom) 동작 등이나 촬영수단(200)이 촬영한 촬영데이터의 변경이나 삭제, 촬영의 시작 또는 완료, 전원의 온오프(On/Off) 등을 제어할 수 있는 제어데이터를 지칭하며, 이외에도 시스템 관리자가 지시하지 않은 별도의 데이터가 해당될 수 있다.
그리고, 제1 검출수단(10)을 통해 제1 제어데이터에서 제1 크래커데이터를 검출(S110)하게 된다.
제1 크래커데이터를 검출하는 방법으로는 이미 알려져 있는 다양한 기술이 사용될 수 있는데, 제1 제어데이터로부터 특정한 데이터, 예를 들어 제1 제어데이터에 포함되어 있는 멀웨어에 대한 정보를 직접 추출한 추출데이터를 제1 크래커라고 할 수도 있고, 제1 제어데이터를 로깅(Logging)하여 생성되는 로그데이터를 제1 크래커데이터로 할 수도 있다.
여기서, 일반인(시스템 관리자 또는 크래커가 아닌 사람)이 외부 단말장치(2000)를 통해 시스템(1000)에 접속하는 경우는 통상 영상 보안시스템의 촬영데이터를 단순히 활용, 예를 들어 도난사건 발생시 범인의 추적, 교통사고나 화재 발생시 사고원인의 조사하는 등의 정도에 불과할 뿐 촬영수단(200)이나 제어수단(300)을 직접적으로 제어하기 위한 시도, 즉 제1 제어데이터를 전송할 가능성이 적고, 시스템 관리자의 경우 외부에서 시스템(1000)에 접속하는 경우는 시스템(1000)을 테스트해보고자 하는 경우 외에는 없다고 볼 수 있다. 따라서, 시스템(1000)에 접속한 외부 단말장치(2000)로부터 제1 제어데이터가 전달된다면, 해당 외부 단말장치(2000)는 크래커의 단말장치(2000), 즉 크래커서버일 가능성이 높다고 볼 수 있다.
다음, 제1 검출수단(10)으로부터 제1 제어데이터가 제1 변환수단(20)에 전달(S130)되고, 제1 변환수단(20)은 제1 제어데이터를 제1 단방향데이터로 변환(S140)하게 된다.
단방향데이터는 데이터의 흐름 방향이 한 쪽으로만 진행되는 데이터를 말하며, TV 방송이나 라디오 방송과 같은 통신 방식, 예를 들어 마이크와 스피커의 관계와 같이 송신측과 수신측이 구분된다. 다시 말해서, 이와 같은 상황은 방송국에서 일방적으로 영상데이터를 전송하고, 가정에서는 방송국으로부터 일방적으로 전송된 영상데이터를 통해 TV 시청을 하는 것과 같다. 즉, 방송국에서는 가정을 향해 일방적으로 데이터를 전송하고, 가정에서는 방송국으로부터 수신한 데이터로 TV 시청을 할 수 있을 뿐 이를 방송국으로 되돌아가도록 전송할 수 없는 것이다.
이처럼 제1 제어데이터를 제1 단방향데이터로 변환하는 방법으로는, 예를 들어 인코더(Encoder)를 사용하는 등 알려져 있는 여러가지 방법을 사용할 수 있다.
이후, 제1 크래커데이터 및 제1 단방향데이터를 모니터링수단(100)에 전달(S150)하며, 모니터링수단(100)은 제1 단방향데이터를 촬영수단(200) 또는 제어수단(300) 중 어느 하나 또는 둘에 전달(S160)한다.
이처럼 본 발명의 제1 실시예에서는 제1 제어데이터를 제1 변환수단(20)을 통해 제1 단방향데이터로 변환하여 전달함으로써 제1 단방향데이터를 수신하는 촬영수단(200), 제어수단(300) 중 어느 하나 또는 둘로부터 제1 단방향데이터를 통해 송신측인 모니터링수단(100)측으로 접근하는 것이 원천적으로 차단되며, 마찬가지로 모니터링수단(100)으로부터 제1 단방향데이터를 통한 제1 변환수단(20)측으로의 접근 또한 차단되게 된다.
한편, 모니터링수단(100)은 전달된 제1 크래커데이터에 대한 분석 작업을 수행하여 제1 제어데이터가 어떤 목적을 갖고 있는지, 이를 통해 촬영수단(200)이나 제어수단(300)이 어떻게 동작할 것인지를 파악할 수도 있으나, 대부분의 경우 제1 크래커데이터의 내용을 알기 어렵다.
따라서, 모니터링수단(100)은 제1 제어데이터를 변환한 제1 단방향데이터를 촬영수단(200), 제어수단(300) 중 어느 하나 또는 둘에 전달하고, 이렇게 제1 단방향데이터가 전달된 촬영수단(200)이나 제어수단(300), 또는 둘 모두가 동작하면서 나타나는 상황을 모니터링함으로써 제1 크래커데이터의 내용이 어떤 것인지를 파악할 수 있게 된다.
도 8은 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도이다.
도 8에 도시된 바와 같이, 촬영수단(200)이 동작하여 촬영데이터가 생성(S200)된다. 이러한 촬영수단(200)의 동작은 외부 단말장치(2000)로부터 전달되어 제1 단방향데이터로 변환된 제1 제어데이터의 내용에 따른 것일 수 있다.
다음, 도 8에서는 촬영수단(200)에 의해 생성된 촬영데이터가 영상분리수단(210)과 제1 검토수단(230)으로 각각 전달(S210, S270)되도록 도시되어 있는데, 제1 검토수단(230)에 전달되는 촬영데이터는 영상분리수단(210)으로부터 전달될 수도 있다.
영상분리수단(210)에서는 전달된 촬영데이터에서 영상데이터를 분리(S220)하게 되고, 분리된 영상데이터는 제2 변환수단(220)으로 전달(S230)되어 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환(S240)된다.
여기서, 제2 변환수단(220)은 제1 변환수단(20)과 동일한 데이터 변환 방법을 사용할 수도 있고 다른 방법, 예를 들어 영상데이터를 실시간으로 디코딩하여 AVI 파일이나 MP4 파일 등으로 변환하거나, 보안성을 높일 수 있도록 1차로 디코딩하여 로우(Low)데이터로 변환한 후 단방향데이터, 예를 들어 시리얼(Serial)데이터 또는 패러럴(Parallel)데이터로 인코딩한 다음 2차로 디코딩함으로써 영상데이터화된 단방향데이터로 변환하도록 구성될 수도 있다.
그리고 제2 단방향데이터는 제어수단(300)으로 전달(S250)되는데, 하기에 서술하는 제3 단방향데이터와 함께 제어수단(300)에 별도로 연결되는 디스플레이장치, 예를 들어 모니터에 전달(S260)하여 디스플레이되도록 하거나, 별도의 영상저장장치를 두어 저장되도록 구성할 수도 있다.
한편, 촬영데이터가 제1 검토수단(230)에 전달(S270)되면, 제1 검토수단(230)은 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토(S280)한다.
제2 제어데이터의 정상 또는 비정상 여부는 제2 제어데이터의 프로토콜(Protocol)을 제1 검토수단(230)에 기설정되어 있는 프로토콜과 비교함으로써 판단된다. 즉, 프로토콜이 서로 일치하면 정상으로 판단하게 되고, 서로 상이한 경우 비정상으로 판단하게 되는 것이다.
즉, 외부 단말장치(2000)로부터 전달된 제1 제어데이터는 정상적인 제어데이터이지만 이를 전달받은 촬영수단(200)의 촬영데이터에 포함되어 있는 제2 제어데이터가 비정상이거나, 또는 촬영수단(200)에 멀웨어가 포함되어 있고 해당 멀웨어가 제2 제어데이터에 시스템 관리자가 지시하지 않은 내용이나 지시한 것 외에 별도의 내용을 포함시키는 등의 동작을 함으로써 기설정되어 있는 프로토콜과 다르다고 판단되는 경우 해당 제2 제어데이터를 비정상인 제어데이터로 판단할 수 있게 된다. 특히, 제2 제어데이터에 시스템 관리자의 지시가 아닌 촬영데이터의 추가나 삭제, 변경 등의 중요 프로토콜이 포함되어 있는 경우 멀웨어의 존재를 확신할 수 있다.
이처럼 촬영데이터에 포함되어 있는 제2 제어데이터는 제1 검토수단(230)을 통한 검토단계를 거치게 되므로 외부 단말장치(2000)로부터 전달된 제1 제어데이터가 정상적인 것이든 비정상적인 것이든 상관없이 시스템(1000)을 보호할 수 있으며, 촬영수단(200)에 멀웨어가 포함되어 있고, 해당 멀웨어가 시스템(1000)이 구축되자마자 동작되거나, 일정 시간이 지난 후 동작되더라도 제2 제어데이터의 정상 또는 비정상 여부를 항상 체크할 수 있다. 즉, 제1 검토수단(230)은 크래커가 미리 구성품, 즉 촬영수단(200)에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인하는 역할을 하게 된다.
제2 제어데이터가 정상이라면, 즉 외부 단말장치(2000)로부터 전송된 제1 제어데이터가 정상적인 제어데이터이고, 촬영수단(200)이 멀웨어를 포함하고 있지 않다고 판단되면 정상인 제2 제어데이터를 제3 변환수단(240)으로 전달(S282)하고, 이를 제3 단방향데이터로 변환(S284)하여 제어수단(300)으로 전송(S286)하게 되며, 전술한 제2 단방향데이터와 함께 별도의 디스플레이장치로 전달(S260)되어 제2 단방향데이터가 디스플레이되도록 할 수 있다.
그리고, 제2 제어데이터가 비정상이라면, 즉 외부 단말장치(2000)로부터 전송된 제1 제어데이터가 비정상적인 제어데이터이거나, 촬영수단(200)에 멀웨어가 포함되어 있거나, 둘 다라고 판단되면 비정상인 제2 제어데이터를 제2 검출수단(250)으로 전달(S290)하여 제2 크래커데이터를 검출(S300)한다. 이때, 제2 크래커데이터를 검출하는 방법은 제1 검출수단(10)이 제1 크래커데이터를 검출하는 방법과 동일할 수 있다.
다음, 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달(S310)받은 제4 변환수단(260)은 이를 제4 단방향데이터로 변환(S320)하며, 모니터링수단(100)에는 제2 크래커데이터 및 제4 단방향데이터가 전달(S330)된다.
모니터링수단(100)은 제2 크래커데이터에 외부 단말장치(2000), 즉 크래커서버의 아이피 주소나 도메인, URL 등과 같은 외부 단말장치(2000)의 정보가 존재하는지 파악(S340)하고, 존재한다면 이를 이용하여 해당 외부 단말장치(2000)(크래커서버)에 제4 단방향데이터를 전송(S350)한다.
제1 실시예에서 언급한 것과 같이 비정상인 제2 제어데이터에서 제2 크래커데이터를 검출했다해도 그 내용을 파악하기는 어려우므로 제4 단방향데이터를 외부 단말장치(2000)에 전송하고, 이후 벌어지는 상황을 모니터링함으로써 제2 크래커데이터의 내용이 어떤 것인지를 파악하는 것이 바람직하다.
이를 위해 외부 단말장치(2000)의 정보를 알게 되면, 모니터링수단(100)에 해당 외부 단말장치(2000)의 정보를 블랙리스트(Blacklist)에 기록되도록 하여 해당 외부 단말장치(2000)를 감시하는 것이 좋다.
또한, 외부 단말장치(2000)에 전송되는 것은 제4 단방향데이터이므로 크래커가 별도로 제4 단방향데이터를 통해 송신측인 모니터링수단(100)으로 접근하는 것은 차단할 수 있게 된다.
도 9는 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태의 순서도이다.
우선, 모니터링수단(100)으로부터 제1 단방향데이터, 즉 외부 단말장치(2000)로부터 전달되어 단방향데이터로 변환된 제1 제어데이터가 제어수단(300)에 전달(S400)된다.
그리고, 제어수단(300)으로부터 촬영수단(200)을 제어하기 위한 데이터, 즉 제3 제어데이터가 생성되어 제3 검출수단(330)으로 전달(S410)된다.
이처럼 제3 제어데이터가 촬영수단(200)으로 바로 전달되는 것이 아니라 먼저 제2 검토수단(310)에 전달되도록 구성되어 제3 제어데이터가 정상적인 제어데이터인지 비정상적인 제어데이터인지를 검토(S420)하는, 다시 말해서 외부 단말장치(2000)로부터 전송된 제1 제어데이터가 정상적인 제어데이터인지, 제어수단(300)에 멀웨어가 포함되어 있는지를 검토하는 과정을 거치게 된다.
제2 검토수단(310)은 제2 실시예에서 제2 제어데이터의 프로토콜을 비교하는 제1 검토수단(230)과 유사하게 제3 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 동일한지 상이한지를 비교하여 제3 제어데이터의 정상, 비정상 여부를 판단하게 된다. 이처럼 제3 제어데이터는 제2 검토수단(310)을 통한 검토단계(S420)를 거치게 되므로 외부 단말장치(2000)로부터 전달된 제1 제어데이터의 정상, 비정상 여부에 관계없이 시스템(1000)을 보호할 수 있으며, 크래커가 미리 구성품, 즉 제어수단(300)에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인할 수 있다.
제2 검토수단(310)을 통해 검토된 제3 제어데이터가 정상인 경우에는 제3 제어데이터를 제5 변환수단(320)으로 전달(S422)하고, 정상인 제3 제어데이터를 제5 단방향데이터로 변환(S424)하여 촬영수단(200)으로 전송(S426)하게 되며, 촬영수단(200)은 제5 단방향데이터의 내용에 따라 구동된다.
이처럼 본 발명에서는 정상인 제3 제어데이터를 제5 단방향데이터로 변환하여 촬영수단(200)에 전달함으로써 제5 단방향데이터를 통해 송신측인 제어수단(300)측으로 접근하는 것은 원천적으로 차단된다.
다음, 제2 검토수단(310)을 통한 검토(S420) 결과 제3 제어데이터가 비정상으로 판단되는 경우, 즉 즉 외부 단말장치(2000)로부터 전송된 제1 제어데이터가 비정상적인 제어데이터이거나 제어수단(300)에 멀웨어가 포함되어 있는 등 제3 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 다르다고 판단되면 비정상인 제2 제어데이터를 제3 검출수단(330)으로 전달(S430)하게 된다.
제3 검출수단(330)은 비정상인 제3 제어데이터에서 제3 크래커데이터를 검출(S440)하게 되는데, 이러한 제3 크래커데이터를 검출하는 방법은 제1 검출수단(10)이 제1 크래커데이터를 검출하는 방법이나 제2 검출수단(250)이 제2 크래커데이터를 검출하는 방법과 동일할 수 있다.
그리고, 제6 변환수단(340)은 제3 검출수단(330)으로부터 비정상인 제3 제어데이터를 전달받아(S450), 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환(S460)하고 제3 크래커데이터와 함께 모니터링수단(100)으로 전송(S470)한다. 이처럼 비정상인 제3 제어데이터가 제6 단방향데이터로 변환됨으로써 제6 단방향데이터를 통해 송신측으로 접근하는 것은 불가능해진다.
이후 모니터링수단(100)은 제3 크래커데이터에 외부 단말장치(2000), 즉 크래커서버의 아이피 주소나 도메인, URL 등과 같은 외부 단말장치(2000)의 정보가 존재하는지를 파악(S480)하여, 해당 외부 단말장치(2000, 크래커서버)에 제6 단방향데이터를 전송(S490)한다.
제1 및 제2 실시예와 마찬가지로, 검출된 제3 크래커데이터를 분석하더라도 그 내용을 파악하기는 어려우므로 제6 단방향데이터를 외부 단말장치(2000)에 전송하고, 이후 벌어지는 상황을 모니터링하여 제3 크래커데이터의 내용이 어떤 것인지를 파악하는 것이 좋다.
도시하지는 않았으나, 본 발명의 제4 실시예에 따른 허니팟이 적용된 망 분리 시스템(1000)이 사용되는 상태는 도면 중 도 8 및 도 9에 도시되어 있는 제2 및 제3 실시예의 사용되는 상태를 모두 포함하며, 이에 대한 설명은 생략한다.
한편, 본 발명에 따른 허니팟이 적용된 망 분리 시스템(1000)에서는 제1 검토수단(230)을 통한 제2 제어데이터의 검토 결과나 제2 검토수단(310)을 통한 제3 제어데이터의 검토 결과 비정상 또는 정상의 여부, 그리고 제1 내지 제3 크래커데이터의 검출 여부, 외부 단말장치(2000)의 정보 존재 여부 등을 텍스트나 이미지 등의 자막으로 삽입하여 시스템 관리자가 사용하는 영상재생장치, 예를 들어 모니터를 통해 디스플레이되도록 하여 시스템 관리자가 이를 쉽게 인지할 수 있도록 하는 별도의 자막삽입수단(미도시)을 포함하도록 구성할 수 있다.
본 발명의 권리범위는 상술한 실시예에 한정되는 것이 아니라 첨부된 특허청구범위 내에서 다양한 형태의 실시예로 구현될 수 있다. 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 변형 가능한 다양한 범위까지 본 발명의 청구범위 기재의 범위 내에 있는 것으로 본다.
10: 제1 검출수단 20: 제1 변환수단
100: 모니터링수단 110: 제1 모니터링부
120: 제2 모니터링부 200: 촬영수단
210: 영상분리수단 220: 제2 변환수단
230: 제1 검토수단 240: 제3 변환수단
250: 제2 검출수단 260: 제4 변환수단
300: 제어수단 310: 제2 검토수단
320: 제5 변환수단 330: 제3 검출수단
340: 제6 변환수단 1000: 허니팟이 적용된 망 분리 시스템
2000: 외부 단말장치

Claims (5)

  1. 허니팟이 적용된 망 분리 시스템에 있어서,
    상기 시스템에 접속된 외부 단말장치로부터 제1 제어데이터를 전달받아 상기 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단;
    상기 제1 검출수단으로부터 상기 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하는 제1 변환수단; 및
    상기 제1 크래커데이터 및 상기 제1 단방향데이터를 전달받아 저장하고, 상기 제1 단방향데이터를 촬영수단, 상기 촬영수단을 제어하는 제어수단 중 어느 하나 또는 둘에 전달하며, 상기 제1 단방향데이터가 전달된 상기 촬영수단, 상기 제어수단 중 어느 하나 또는 둘에 의해 동작되는 상기 시스템을 모니터링하는 모니터링수단;
    을 포함하는 허니팟이 적용된 망 분리 시스템.
  2. 제1항에 있어서,
    상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단;
    상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제2 변환수단;
    상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제1 검토수단;
    상기 제1 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단;
    상기 제1 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및
    상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하는 제4 변환수단; 을 더 포함하고,
    상기 모니터링수단은,
    상기 제2 크래커데이터 및 상기 제4 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제4 단방향데이터를 전송하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.
  3. 제1항에 있어서,
    상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제3 제어데이터를 전달받고, 상기 제3 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단;
    상기 제2 검토수단의 검토 결과, 정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제5 변환수단;
    상기 제2 검토수단의 검토 결과 비정상인 제3 제어데이터를 전달받고, 상기 비정상인 제3 제어데이터에 포함되어 있는 제3 크래커데이터를 검출하는 제3 검출수단; 및
    상기 제3 검출수단으로부터 상기 비정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환하는 제6 변환수단; 을 더 포함하고,
    상기 모니터링수단은,
    상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.
  4. 제2항에 있어서,
    상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제3 제어데이터를 전달받고, 상기 제3 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단;
    상기 제2 검토수단의 검토 결과, 정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제5 변환수단;
    상기 제2 검토수단의 검토 결과 비정상인 제3 제어데이터를 전달받고, 상기 비정상인 제3 제어데이터에 포함되어 있는 제3 크래커데이터를 검출하는 제3 검출수단; 및
    상기 제3 검출수단으로부터 상기 비정상인 제3 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제6 단방향데이터로 변환하는 제6 변환수단; 을 더 포함하고,
    상기 모니터링수단은,
    상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.
  5. 제4항에 있어서,
    상기 모니터링수단은,
    상기 제4 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제4 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제4 단방향데이터를 전송하는 제1 모니터링부; 및
    상기 제6 변환수단과 연결되어 상기 제3 크래커데이터 및 상기 제6 단방향데이터를 전달받아 저장하고, 상기 제3 크래커데이터에 상기 외부 단말장치의 정보가 포함되어 있는 경우 상기 외부 단말장치로 상기 제6 단방향데이터를 전송하는 제2 모니터링부;
    를 포함하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.
KR1020190001774A 2019-01-07 2019-01-07 허니팟이 적용된 망 분리 시스템 KR102176961B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190001774A KR102176961B1 (ko) 2019-01-07 2019-01-07 허니팟이 적용된 망 분리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190001774A KR102176961B1 (ko) 2019-01-07 2019-01-07 허니팟이 적용된 망 분리 시스템

Publications (2)

Publication Number Publication Date
KR20200085535A true KR20200085535A (ko) 2020-07-15
KR102176961B1 KR102176961B1 (ko) 2020-11-10

Family

ID=71603766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190001774A KR102176961B1 (ko) 2019-01-07 2019-01-07 허니팟이 적용된 망 분리 시스템

Country Status (1)

Country Link
KR (1) KR102176961B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926456B1 (ko) 2008-04-04 2009-11-13 숭실대학교산학협력단 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법
KR20170048785A (ko) * 2015-10-27 2017-05-10 제노테크주식회사 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법
KR20180010600A (ko) * 2016-07-21 2018-01-31 지엘디앤아이에프 주식회사 망 분리 시스템
KR20180028742A (ko) * 2016-09-09 2018-03-19 한국전자통신연구원 모드 변경이 가능한 양방향 통신 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926456B1 (ko) 2008-04-04 2009-11-13 숭실대학교산학협력단 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법
KR20170048785A (ko) * 2015-10-27 2017-05-10 제노테크주식회사 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법
KR20180010600A (ko) * 2016-07-21 2018-01-31 지엘디앤아이에프 주식회사 망 분리 시스템
KR20180028742A (ko) * 2016-09-09 2018-03-19 한국전자통신연구원 모드 변경이 가능한 양방향 통신 장치 및 방법

Also Published As

Publication number Publication date
KR102176961B1 (ko) 2020-11-10

Similar Documents

Publication Publication Date Title
US8856920B2 (en) System and method of securely processing lawfully intercepted network traffic
US8245297B2 (en) Computer security event management system
CN105681353B (zh) 防御端口扫描入侵的方法及装置
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
CN109347794A (zh) 一种Web服务器安全防御方法
JP6768951B2 (ja) ネットワーク分離装置およびこれを備える映像監視システム
KR20160008267A (ko) 네트워크 기반 영상감시체계에서의 사용자 행위 분석 시스템
KR100947211B1 (ko) 능동형 보안 감사 시스템
US20160006989A1 (en) Surveillance systems and methods thereof
KR101857716B1 (ko) 망 분리 장치 및 이를 구비하는 영상 감시 시스템
US8627470B2 (en) System and method for wireless network and physical system integration
US12069077B2 (en) Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
CN112154635A (zh) Sfc覆盖网络中的攻击源追踪
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
KR102176961B1 (ko) 허니팟이 적용된 망 분리 시스템
KR102210051B1 (ko) 허니팟이 적용된 망 분리 시스템
KR102126626B1 (ko) 허니팟이 적용된 망 분리 시스템
Doughty et al. Vulnerability analysis of ip cameras using arp poisoning
KR101420301B1 (ko) DDoS 공격 검출 방법 및 장치
CN114666419A (zh) 一种数据传输方法、装置、终端设备和存储介质
KR102173661B1 (ko) 영상 관제시스템
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
RU2261472C1 (ru) Способ мониторинга безопасности автоматизированных систем
KR101458365B1 (ko) 영상기기 보이스 알람 시스템 및 그 운용방법
CN110198298A (zh) 一种信息处理方法、装置及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant