KR20220095669A - 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법 - Google Patents

이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법 Download PDF

Info

Publication number
KR20220095669A
KR20220095669A KR1020200187418A KR20200187418A KR20220095669A KR 20220095669 A KR20220095669 A KR 20220095669A KR 1020200187418 A KR1020200187418 A KR 1020200187418A KR 20200187418 A KR20200187418 A KR 20200187418A KR 20220095669 A KR20220095669 A KR 20220095669A
Authority
KR
South Korea
Prior art keywords
security
history
network
terminal
diagnostic
Prior art date
Application number
KR1020200187418A
Other languages
English (en)
Other versions
KR102521895B1 (ko
Inventor
공익선
배은아
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020200187418A priority Critical patent/KR102521895B1/ko
Publication of KR20220095669A publication Critical patent/KR20220095669A/ko
Application granted granted Critical
Publication of KR102521895B1 publication Critical patent/KR102521895B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 단말에 대해 시간 및 장소의 제약 없이도 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있도록 하는 구체화된 기술을 실현하는 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법을 제안하고 있다.

Description

이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법{NETWORK SECURITY DEVICE AND NETWORK SECURITY METHOD BASED ON EVENT HISTORY}
본 발명은 악성 공격으로부터 네트워크를 보호하기 위한 네트워크 보안 기술에 관한 것으로, 더욱 상세하게는 기업 망과 같이 높은 보안이 필요한 네트워크로의 접속을 선택적으로 허용하여 네트워크를 보호하는 기술과 관련된 것이다.
최근, 재택 근무의 확산과 클라우드 기반 업무 환경의 도입으로, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 형태가 증가하고 있으며, 이와 함께 웹과 이메일 등을 이용해 단말(예: PC 등)에 침투하여 공격을 감행하는 악성 공격의 형태가 증가하고 있다.
한편, 높은 보안이 필요한 이용 환경(예: 기업 내 업무 환경)에서는, 악성 공격으로부터 내부 네트워크(예: 기업망 등, 이하 보안 네트워크라 함)를 보호해야만 한다.
이를 위해, 기존에는 보안 네트워크를 보호하기 위한 방식들이 존재하며, 대표적으로 네트워크 망 분리 기술을 이용하는 방식이 있다.
간단히 설명하면, 네트워크 망 분리 기술을 이용하는 방식은, 네트워크 망 분리 기술을 통해, 내부 데이터와 내부 시스템에만 연결 가능한 보안 네트워크와, 인터넷 등에 연결 가능한 외부 네트워크로 분리 운영하고, 사용자가 업무에 사용하는 단말(예: PC 등)을 통해 보안 네트워크 또는 외부 네트워크 중 어느 한쪽에만 접속 가능하도록 하는 방식이다.
이러한 네트워크 망 분리 기술을 이용하는 방식은, 단말(예: PC 등)이 보안 네트워크 또는 외부 네트워크 중 어느 한쪽에만 접속 가능하도록 하여, 외부의 위협이나 공격이 내부의 보안 네트워크로 침투하지 못하도록 격리하는 구조를 기본으로 하며, 보안 채널(예: VPN)이나 방화벽, DMZ(Demilitarized Zone)와 같은 제한된 영역을 통해서만 데이터의 이동이 가능하도록 하고 있다.
하지만, 네트워크 망 분리 기술을 이용하는 기존 방식은 제한된 장소(공간, 위치)서만 적용 가능하므로, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 최근의 네트워크 이용 환경(이하, 스마트워크 환경)에서는, 더 이상 사용자의 단말(예: PC 등)을 외부 위협이나 공격으로부터 분리할 수 없는 한계를 갖는다.
이에, 본 발명에서는, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 기존의 보안 방식들이 갖는 한계를 벗어나, 단말에 대해 시간 및 장소의 제약 없는 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있는 방안(기술)을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 기존의 보안 방식들이 갖는 한계를 벗어나, 단말에 대해 시간 및 장소의 제약 없는 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있는 새로운 기술, 즉 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 이벤트 이력 기반 네트워크 보안 방법은, 단말에서 발생한 이벤트에 대한 이력을 수집하는 이력 수집단계; 상기 수집한 이벤트 이력에 대하여 진단 검사를 수행한 검사 결과를 기반으로, 상기 단말의 보안 상태를 나타내는 보안 상태 정보를 생성하는 보안상태정보 생성단계; 및 상기 보안 상태 정보를 상기 보안 네트워크의 보안 장치에 제공하여, 상기 보안 장치가 상기 보안 상태 정보를 근거로 상기 단말에 대한 상기 보안 네트워크로의 접속 허용 여부를 판단할 수 있게 하는 보안상태 제공단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 이벤트 이력 기반 네트워크 보안 장치는, 단말에서 발생한 이벤트에 대한 이력을 수집하는 이력 수집부; 상기 수집한 이벤트 이력에 대하여 진단 검사를 수행한 검사 결과를 기반으로, 상기 단말의 보안 상태를 나타내는 보안 상태 정보를 생성하는 보안상태정보 생성부; 및 상기 보안 상태 정보를 상기 보안 네트워크의 보안 장치에 제공하여, 상기 보안 장치가 상기 보안 상태 정보를 근거로 상기 단말에 대한 상기 보안 네트워크로의 접속 허용 여부를 판단할 수 있게 하는 보안상태 제공부를 포함한다.
본 발명의 실시예들에 따르면, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 단말에 대해 시간 및 장소의 제약 없이도 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있도록 하는 구체화된 기술을 실현하고 있다.
이로 인해, 본 발명에 따르면, 단말이 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있기 때문에, 스마트워크 환경에서도 사용자(단말)의 고의 또는 부주의로 인해 발생할 수 있는 악성 공격으로부터 보안 네트워크를 보호하는 보안 성능을 향상시키는 효과를 도출할 수 있다.
도 1은 본 발명이 고려하고 있는 시간 및 장소를 제한할 수 없는 네트워크 이용 환경(스마트워크 환경)에 대한 개념을 보여주는 예시도이다.
도 2는 본 발명의 일 실시예에 따른 이벤트 이력 기반 네트워크 보안 장치의 구성을 보여주는 구성도이다.
도 3은 본 발명의 일 실시예에 따른 이벤트 이력 기반 네트워크 보안 방법의 동작 흐름을 보여주는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.
본 발명은, 기업 망과 같이 높은 보안이 필요한 네트워크로의 접속을 선택적으로 허용하여 네트워크를 보호하는 기술과 관련된 것이다.
최근, 재택 근무의 확산과 클라우드 기반 업무 환경의 도입으로, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 형태가 증가하고 있다.
이렇듯, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 최근의 네트워크 이용 환경을, 본 발명에서는 스마트워크 환경이라 지칭하여 후술의 설명을 이어가겠다.
또한, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경의 근무 형태가 증가하면서, 이와 함께 웹과 이메일 등을 이용해 단말(예: PC 등)에 침투하여 공격을 감행하는 악성 공격의 형태가 증가하고 있다.
한편, 높은 보안이 필요한 이용 환경, 예를 들면 전술한 기업 내 업무 환경에서는, 악성 공격으로부터 내부 네트워크(예: 기업망, 이하 보안 네트워크라 함)를 보호해야만 한다.
이를 위해, 기존에는 보안 네트워크를 보호하기 위한 방식들이 존재하며, 대표적으로 네트워크 망 분리 기술을 이용하는 방식이 있다.
간단히 설명하면, 네트워크 망 분리 기술을 이용하는 방식은, 네트워크 망 분리 기술을 통해, 내부 데이터와 내부 시스템에만 연결 가능한 보안 네트워크와, 인터넷 등에 연결 가능한 외부 네트워크로 분리 운영하고, 사용자가 업무에 사용하는 단말(예: PC 등)을 통해 보안 네트워크 또는 외부 네트워크 중 어느 한쪽에만 접속 가능하도록 하는 방식이다.
이러한 네트워크 망 분리 기술을 이용하는 방식은, 단말(예: PC 등)이 보안 네트워크 또는 외부 네트워크 중 어느 한쪽에만 접속 가능하도록 하여, 외부의 위협이나 공격이 내부의 보안 네트워크로 침투하지 못하도록 격리하는 구조를 기본으로 하며, 보안 채널(예: VPN)이나 방화벽, DMZ(Demilitarized Zone)와 같은 제한된 영역을 통해서만 데이터의 이동이 가능하도록 하고 있다.
하지만, 네트워크 망 분리 기술을 이용하는 기존 방식은 제한된 장소(공간, 위치)서만 적용 가능하므로, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 최근의 네트워크 이용 환경(예: 스마트워크 환경)에서는, 더 이상 사용자의 단말(예: PC 등)을 외부 위협이나 공격으로부터 분리할 수 없는 한계를 갖는다.
도 1은 스마트워크 환경을 보안 관점에서 개념적으로 도시하고 있다.
도 1의 상부에 도시된 바와 같이, 기존의 업무 환경에서는, 기업망과 같은 보안 네트워크에 제한된 영역(예: VPN)을 통해 접속한 시간(통상의 업무 시간) 동안 단말(예: PC 등)이 접속하므로, 단말에 대해 통제 및 보안 조치가 가능했다.
하지만, 도 1의 하부에 도시된 바와 같이, 기업의 제한된 사무실 공간 외에도 다양한 시간과 장소에서 근무하는 최근의 업무 환경 즉 스마트워크 환경에서는, 단말(예: PC 등)이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없고 단말(예: PC 등)이 자유롭게 외부 네트워크와 연결 가능하기 때문에, 사실 상 단말(예: PC 등)에 대한 통제가 불가능하고 상시 위협에 노출될 수 밖에 없다.
한편, 기존의 보안 네트워크를 보호하기 위한 방식에는, 보안 네트워크로 접속하려는 단말(예: PC 등)을 검증하는 방식도 존재한다.
간단히 설명하면, 단말을 검증하는 방식은, 보안 네트워크로 접속하려는 단말(예: PC 등)에 대해, 보안 제품의 최신 버전 업데이트 여부나 운영체제의 보안 패치 적용 여부 등을 확인하여 접속 허용 조건에 부합하는지 판단하고, 접속 허용 조건을 충족하는 경우에만 보안 네트워크로의 접속을 허용하는 방식이다.
이렇듯, 단말을 검증하는 방식은, 보안 네트워크에 접속하려는 시점(특정 시점)의 보안 제품의 버전이나 보안 패치 적용 여부에 의존하는 방식이다.
하지만, 보안 제품의 버전이나 보안 패치 적용 여부는, 보안 제품의 최신 버전 업데이트나 보안 패치 적용 이전 시간 동안에 단말에서 발생할 수 있는 외부 네트워크(예: 인터넷) 접속, 외부 파일의 유입 등에 대한 검증 및 안전성까지 보장할 수는 없다.
즉, 보안 제품의 버전이나 보안 패치 적용 여부에 의존하는 단말을 검증하는 기존 방식 역시, 사용자의 단말(예: PC 등)을 외부 위협이나 공격으로부터 충분히 검증할 수는 없다는 한계를 갖는다.
이에, 본 발명에서는, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서 기존의 보안 방식들이 갖는 한계를 벗어나, 단말에 대해 시간 및 장소의 제약 없는 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있는 방안(기술)을 제안하고자 한다.
보다 구체적으로, 본 발명에서는 제안하는 방안(기술)을 실현할 수 있는 이벤트 이력 기반 네트워크 보안 장치를 구현해내고자 한다.
도 2는 본 발명의 일 실시예에 따른 이벤트 이력 기반 네트워크 보안 장치(100)의 구성을 보여주고 있다.
본 발명에 따른 이벤트 이력 기반 네트워크 보안 장치(100)은, 다양한 형태의 악성 코드에 의한 공격 또는 침투 대상이 될 수 있는 독립된 시스템의 단말(200, 예: PC, 노트북, 모바일 폰 등)에 탑재/설치되는 것이 바람직하다.
이러한 본 발명의 이벤트 이력 기반 네트워크 보안 장치(100)은, 단말(200)에 설치되는 어플리케이션, 또는 프로그램, 또는 엔진 형태일 수 있다.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 이벤트 이력 기반 네트워크 보안 장치(100)은, 이력 수집부(110), 보안상태정보 생성부(120), 보안상태 제공부(130)를 포함하여 구성될 수 있다.
이에, 도 2에 도시된 본 발명의 이벤트 이력 기반 네트워크 보안 장치(100)은, 전술한 구성을 기반으로 본 발명에서 제안하는 방안(기술), 즉 단말에 대해 시간 및 장소의 제약 없는 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있는 새로운 방식의 기술을 실현할 수 있다.
이하에서는, 본 발명에서 제안하는 기술을 실현하기 위한 이벤트 이력 기반 네트워크 보안 장치(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.
이력 수집부(110)는, 단말(200)에서 발생한 이벤트에 대한 이력을 수집하는 기능을 수행한다.
보다 구체적인 실시 예를 설명하면, 이력 수집부(110)는, 단말(200)에서 보안 네트워크(20, 예: 기업망)가 아닌 외부 네트워크(10, 예: 인터넷, 타 망 등)에 접속하는 각 접속 이벤트에 대한 접속 주소정보 이력, 단말(200)에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트에 대한 파일 관련 이력 중 적어도 하나를 수집하는 방식으로, 이벤트에 대한 이력을 수집할 수 있다.
이때, 접속 주소정보 이력은, 단말(200)에서 외부 네트워크(10)에 접속하는 각 접속 이벤트 별로, 해당 접속 이벤트 시 어떤 접속 주소정보에 접속한 것인지를 나타내는 이력을 의미한다.
본 발명에서는, 접속 주소정보의 형태에 제한을 두지 않으며 다양한 형태의 접속 주소정보들로 이력을 수집할 수 있으나, 이하에서는 설명의 편의를 위해 접속 주소정보 형태의 일 예로서 URL 주소정보를 언급하여 설명하겠다.
이러한 실시예에 따르면, 이력 수집부(110)는, 단말(200)에서 외부 네트워크(10)에 접속하는 각 접속 이벤트에 대한 URL 주소정보의 이력을 수집할 수 있다.
또한, 본 발명에서는, 접속 주소정보 이력을 수집하는 방식에 제한을 두지 않으며 다양한 방식을 통해 접속 주소정보 이력을 수집할 수 있다.
다만, 전술의 실시예에 따라 수집 방식의 일 예를 설명하면, 이력 수집부(110)는, 단말(200) 내 브라우저와 연동하는 어플리케이션을 통해, 단말(200)에서 HTTP(HyperText Transfer Protocol) 또는 HTTPS(HTTP Secure)로 접속하는 인터넷 사이트의 URL 주소정보를 획득하여, 각 접속 이벤트 별로 URL 주소정보 이력을 수집할 수 있다.
한편, 파일 관련 이력은, 단말(200)에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트 별로, 해당 파일 관련 이벤트 시 어떤 파일을 다운로드 또는 저장한 것인지를 나타내는 이력을 의미한다.
단말(200) 내 파일 시스템(미도시)에는 존재하지 않던 외부 파일이 유입된다면, 그 유입의 형태는 외부 네트워크(10) 접속을 통한 파일 다운로드일 수 있으며, 그 유입의 형태가 매체 간 복사 형태일 경우라면 복사된 외부 파일은 단말(200) 내 파일 시스템(미도시)에 저장될 것이다.
결국, 이력 수집부(110)는, 단말(200)에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트에 대한 파일 관련 이력을 수집함으로써, 단말(200) 내의 외부 파일 유입에 대한 이력(파일 관련 이력)을 모두 수집할 수 있다.
또한, 본 발명에서는, 파일 관련 이력을 수집하는 방식에 제한을 두지 않으며 다양한 방식을 통해 파일 관련 이력을 수집할 수 있다.
그리고, 본 발명에서 이력 수집부(110)는, 단말(200)이 보안 네트워크(20)에 접속한 상태에서 전술의 이벤트에 대한 이력 수집을 수행할 수 있고, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태에서 전술의 이벤트에 대한 이력 수집을 수행할 수 있다.
다만, 이하 설명에서는 일 실시예로서, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태에서 전술의 이벤트에 대한 이력 수집을 수행하는 경우로 설명하겠다.
즉, 이력 수집부(110)는, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태로, 단말(200)에서 외부 네트워크(10)에 접속하는 각 접속 이벤트에 대한 URL 주소정보 이력, 단말(200)에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트에 대한 파일 관련 이력을 수집할 수 있다.
보안상태정보 생성부(120)는, 이력 수집부(110)에서 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대하여 진단 검사를 수행한 검사 결과를 기반으로, 단말(200)의 보안 상태를 나타내는 보안 상태 정보를 생성하는 기능을 수행한다.
보다 구체적인 실시예를 설명하면, 보안상태정보 생성부(120)는, 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)을 ML(machine learning) 기반의 진단 모델을 갖는 진단 엔진(300)으로 전달하여 이벤트 이력에 대해 진단 검사를 요청할 수 있다.
이렇게 되면, 진단 엔진(300)은, 자신이 보유한 진단 모델을 통해, 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행하고, 그 검사 결과를 이벤트 이력 기반 네트워크 보안 장치(100, 특히 보안상태정보 생성부(120))로 회신할 수 있다.
이에, 보안상태정보 생성부(120)는, 진단 엔진(300)으로부터 진단 검사 요청에 따른 검사 결과를 획득할 수 있다.
이때, 진단 엔진(300)으로부터 획득하는 검사 결과에는, 진단 엔진(300)에 의해 수행된 진단 검사인 것을 증명하기 위해 발행된 특정 정보가 포함된다.
예를 들어, 특정 정보는, 진단 엔진(300)이 가진 공개키(Public Key)를 이용하여 서명된 토큰(Token)일 수 있다.
이렇듯, 본 발명에서는, 보안 상태 정보 생성에 필수/기반이 되는 이벤트 이력에 대한 진단 검사를, ML(machine learning) 기술로 제작된 고 신뢰도의 진단 모델을 통해 수행함으로써, 이벤트 이력에 대해 정확도 높은 진단 검사 결과를 얻을 수 있다.
도 2에서는, 진단 엔진(300)이 별도 장치로 도시되었지만, 진단 엔진(300)은 단말(200) 내부에 구비될 수도 있고, 이벤트 이력 기반 네트워크 보안 장치(100) 내부에 구비될 수도 있다.
물론, 본 발명에서는, 진단 엔진(300)과 연동하여 이벤트 이력에 대한 진단 검사를 수행 및 검사 결과를 획득하는 방식 외에도, 이벤트 이력 기반 네트워크 보안 장치(100)에서 내부적으로 이벤트 이력에 대한 진단 검사를 수행하고 검사 결과를 도출할 수도 있을 것이다.
다만, 이하에서는 설명의 편의 상, 본 발명의 이벤트 이력 기반 네트워크 보안 장치(100)가 진단 엔진(300)과 연동하는 실시예로 설명을 이어가겠다.
한편, 단말(200)에서 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)을 진단 엔진(300)으로 제공하는 것은, 개인 정보 보안 및 개인 프라이버시 관점에서 문제가 될 수 있는 우려가 있다.
이에, 본 발명에서는, 본 발명의 이벤트 이력 기반 네트워크 보안 장치(100)는, 개인 정보 보안 및 개인 프라이버시와 관련된 보안 정책을 정의함으로써, 이러한 보안 정책에 따라서 수집한 이벤트 이력의 원본 데이터를 진단 엔진(300)으로 전달하지 않고도 진단 엔진(300)으로부터 진단 검사 결과를 얻을 수 있는 구성을 제안한다.
구체적으로 실시예를 설명하면, 보안상태정보 생성부(120)는, 기 정의된 보안 정책에 따라서, 이력 수집부(110)에서 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 원본 데이터를 진단 엔진(300)으로 전달하여 이벤트 이력에 대해 진단 검사를 요청할 수 있다.
이 경우, 진단 엔진(300)은, 진단 검사 요청을 통해 전달된 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 원본 데이터에 대한 전 처리를 수행하여, 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)을 진단 모델에 적용하기 위한 특징 값을 추출하고, 추출한 특징 값을 진단 모델에 적용하여 결과를 얻는 방식으로, 진단 모델을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행할 수 있다.
이에 보안상태정보 생성부(120)는, 진단 엔진(300)으로부터 진단 검사 요청에 따른 검사 결과를 획득할 수 있다.
한편, 보안상태정보 생성부(120)는, 기 정의된 보안 정책에 따라서, 이력 수집부(110)에서 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 전 처리를 통해 진단 엔진(300)이 갖는 진단 모델에 적용되는 특정 값을 추출한 후 추출한 특징 값을 진단 엔진(300)으로 전달하여 이벤트 이력에 대해 진단 검사를 요청할 수 있다.
이렇게 되면, 보안상태정보 생성부(120)는, 이력 수집부(110)에서 수집한 이벤트 이력의 원본 데이터를 진단 엔진(300)으로 전달하지 않고도 진단 엔진(300)으로 이벤트 이력에 대한 진단 검사를 요청하는 것이다.
이 경우, 진단 엔진(300)은, 진단 검사 요청을 통해 전달된 특징 값을 진단 모델에 즉시 적용하여 결과를 얻는 방식으로, 진단 모델을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행할 수 있다.
이 경우 역시, 보안상태정보 생성부(120)는, 진단 엔진(300)으로부터 진단 검사 요청에 따른 검사 결과를 획득할 수 있다.
이때, 보안 정책은, 다양한 주체에 의해 보안 기준으로 다양하게 정해질 수 있으며, 일 예를 들면 보안 네트워크(예: 기업망 등)에 의해 정의될 수 있으며, 원본 데이터를 전달할 것인지 특징 값을 추출하여 전달할 것인지의 보안 기준을 단말 별로 구분하도록 정할 수 있다.
이상과 같이, 본 발명에서는, 진단 엔진(300)과 연동하여 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사 결과를 얻는 과정에서, 이벤트 이력의 원본 데이터를 진단 엔진(300)으로 전달하지 않고도 진단 엔진(300)으로부터 진단 검사 결과를 얻을 수 있도록 함으로써, 개인 정보 보안 및 개인 프라이버시 관점에서 발생할 수 있는 우려를 회피할 수 있다.
그리고, 보안상태정보 생성부(120)는, 전술과 같이 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 수행한 진단 검사의 검사 결과를 기반으로, 단말(200)의 보안 상태를 나타내는 보안 상태 정보를 생성할 수 있다.
이처럼 생성되는 보안 상태 정보는, 단말(200)을 식별하는 단말 식별자, 단말(200)에 발생하는 매 이벤트 마다 이력을 누락 없이 수집한 것을 증명하기 위한 시간 정보 로그, 이벤트 이력에 대하여 수행한 진단 검사의 검사 결과, 진단 검사가 인증된 진단 엔진(300)에 의해 수행된 것임을 증명하는 특정 정보(예: 토큰)를 포함하는 구성일 수 있다.
그리고, 보안 상태 정보는, 금번 보안 상태 정보 생성 시 진단 검사 수행에 이용한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력) 데이터를 더 포함할 수도 있다.
이렇듯, 본 발명에서 생성되는 단말(200)에 대한 보안 상태 정보는, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태 동안에 동적으로 수행했던 행위(이벤트)들이 안전한 것인지 여부를 식별(확인)할 수 있게 하는 정보로서, 금번 보안 상태 정보를 생성하는 현 시점에 단말(200)의 보안 상태가 안전한지 여부를 증명하기 위한 정보인 것이다.
보안상태 제공부(130)는, 전술의 생성한 보안 상태 정보를 보안 네트워크(20)의 보안 장치(미도시)로 제공하여, 보안 장치(미도시)가 제공된 보안 상태 정보를 근거로 단말(200)에 대한 보안 네트워크(20)로의 접속 허용 여부를 판단할 수 있게 하는 기능을 수행한다.
구체적으로 보안상태 제공부(130)는, 단말(200)이 보안 네트워크(20)로의 접속을 시도하는 시점에, 전술의 생성한 보안 상태 정보를 보안 네트워크(20)의 보안 장치(미도시)로 제공할 수 있다.
이에, 보안 네트워크(20)의 보안 장치(미도시)는, 보안 네트워크(20)로의 접속을 시도하는 단말(200)에 대해 제공되는 보안 상태 정보를 근거로, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태 동안에 동적으로 수행했던 행위(이벤트)들이 안전한 것이며 현 시점에 단말(200)의 보안 상태가 안전한지를 확인하고, 보안 상태가 안전한 것으로 확인될 시 단말(200)에 대한 보안 네트워크(20)로의 접속을 허용할 수 있다.
본 발명에서는, 보안 네트워크(20)의 보안 장치(미도시)가, 본 발명에서 제공하는 단말(200)에 대한 보안 상태 정보를 근거로 단말(200)의 보안 상태가 안전한지를 확인할 수 있는 방식이라면, 그 구체적인 확인` 방식에 대해 제한을 두지 않을 것이다.
이때, 단말(200)이 보안 네트워크(20)로의 접속 시도 시 제공하는 보안 상태 정보는, 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 금번 보안 네트워크(20)로의 접속 시도 시점까지 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 진단 검사를 수행한 검사 결과를 기반으로 생성된 것이다.
예컨대, 일 실시예의 경우, 보안상태정보 생성부(120)는, 단말(200)이 보안 네트워크(20)로의 접속을 시도하는 시점에, 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 금번 보안 네트워크(20)로의 접속 시도 시점까지 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 진단 검사를 요청하여 진단 엔진(300)으로부터 진단 검사 요청에 따른 검사 결과를 획득할 수 있다.
이 경우라면, 보안상태정보 생성부(120)는, 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 금번 보안 네트워크(20)로의 접속 시도 시점까지 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 수행한 진단 검사의 검사 결과를 기반으로 보안 상태 정보를 생성하므로, 보안상태 제공부(130)는, 금번 생성된 보안 상태 정보를 보안 네트워크(20)의 보안 장치(미도시)로 제공하면 된다.
또 다른 실시예의 경우, 보안상태정보 생성부(120)는, 기 설정된 주기시간 마다, 해당 주기시간 단위로 수집된 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 진단 검사를 요청하여 진단 엔진(300)으로부터 진단 검사 요청에 따른 검사 결과를 획득 및 저장할 수 있다.
이 경우라면, 보안상태정보 생성부(120)는, 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 금번 보안 네트워크(20)로의 접속 시도 시점까지의 시간 동안, 주기시간 단위로 수집된 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 저장하고 있는 검사 결과들을 기반으로 보안 상태 정보를 생성하고, 보안상태 제공부(130)는, 금번 생성된 보안 상태 정보를 보안 네트워크(20)의 보안 장치(미도시)로 제공하면 된다.
이상 설명한 바와 같이, 본 발명에서는, 보안 네트워크에 접속하려는 단말에서, 해당 단말이 보안 네트워크에 접속하지 않은 동안에 동적으로 수행했던 행위(이벤트)들을 근거로 단말의 현 시점 보안 상태가 안전한지 여부를 증명할 수 있는 보안 상태 정보를 보안 네트워크로 제공함으로써, 보안 네트워크에서 단말이 보안 네트워크에 접속하려는 현 시점의 보안 상태에 따라 단말의 접속을 선택적으로 허용할 수 있도록 하는 구체화된 기술을 실현하고 있다.
더 나아가, 본 발명에 의하면, 단말의 현 시점 보안 상태가 안전한지 여부를 증명할 수 있는 보안 상태 정보를 생성하는 과정에서, 개인 정보 보안 및 개인 프라이버시 관점에서 발생할 수 있는 우려까지 회피하 수 있는 구체화된 기술을 실현하고 있다.
이로써, 본 발명에서는, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 단말에 대해 시간 및 장소의 제약 없이도 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있도록 한다.
이에, 본 발명에 의하면, 단말이 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있기 때문에, 스마트워크 환경에서도 사용자(단말)의 고의 또는 부주의로 인해 발생할 수 있는 악성 공격으로부터 보안 네트워크를 보호하는 보안 성능을 향상시키는 효과를 도출할 수 있다.
이하에서는, 도 3을 참조하여, 본 발명의 일 실시예에 따른 이벤트 이력 기반 네트워크 보안 방법의 동작 흐름을 구체적으로 설명하겠다.
성명의 편의 상, 본 발명의 이벤트 이력 기반 네트워크 보안 방법이 수행되는 동작 주체로서 이벤트 이력 기반 네트워크 보안 장치(100)를 언급하여 설명하겠다.
본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, 단말(200)에서 보안 네트워크(20)로의 접속 시도가 발생하면(S10), 단말(200)에서 발생하는 특정 시간 동안의 이벤트 이력을 수집할 수 있다(S20).
이때, 특정 시간은, 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 금번 보안 네트워크(20)로의 접속 시도 시점(현 시점)까지의 시간일 수 있다.
이하 설명에서는, 설명의 편의 상, 단말(200)이 보안 네트워크(20)에 접속한 상태에서는 이벤트에 대한 이력 수집을 수행하지 않는 실시예를 가정하여, 특정 시간을 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 해제 시점부터 현 시점까지의 시간으로 가정하여 설명하겠다.
그리고, 본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, 전술의 이벤트 이력으로서, 단말(200)에서 외부 네트워크(10)에 접속하는 각 접속 이벤트에 대한 URL 주소정보 이력, 단말(200)에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트에 대한 파일 관련 이력을 수집할 수 있다.
이에, 본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, 단말(200)에서 특정 시간 즉 단말(200)이 보안 네트워크(20)에 접속한 직전 접속의 접속 해제 시점부터 현 시점까지의 시간 동안 발생되는 이벤트 이력, 즉 URL 주소정보 이력 및 파일 관련 이력을 수집할 수 있다(S20).
그리고, 본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, 기 정의된 보안 정책에 따라서, S20단계에서 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 원본 데이터를 진단 엔진(300)으로 전달하거나, 또는 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 전 처리를 통해 진단 엔진(300)이 갖는 진단 모델에 적용되는 특정 값을 추출한 후 추출한 특징 값을 진단 엔진(300)으로 전달하여, 이벤트 이력에 대해 진단 검사를 요청할 수 있다(S30).
이에, 진단 엔진(300)은, 진단 검사 요청을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 원본 데이터가 전달되는 경우, 전달된 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 원본 데이터에 대한 전 처리를 수행하여, 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)을 진단 모델에 적용하기 위한 특징 값을 추출하고, 추출한 특징 값을 진단 모델에 적용하여 결과를 얻는 방식으로, 진단 모델을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행할 수 있다(S40).
한편, 진단 엔진(300)은, 진단 검사 요청을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)의 특징 값이 전달되는 경우, 전달된 특징 값을 진단 모델에 즉시 적용하여 결과를 얻는 방식으로, 진단 모델을 통해 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행할 수 있다(S40).
그리고, 진단 엔진(300)은, 진단 검사 요청에 따라 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대한 진단 검사를 수행한 검사 결과를 회신하며, 이때 진단 엔진(300)에 의해 수행된 진단 검사인 것을 증명하기 위한 특정 정보(예: 토큰)을 발행하여 함께 회신할 수 있다(S40).
본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, 전술과 같이 수집한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력)에 대해 진단 검사를 요청하여 획득한 검사 결과를 기반으로, 단말(200)의 보안 상태를 나타내는 보안 상태 정보를 생성할 수 있다(S50).
이처럼 생성되는 보안 상태 정보는, 단말(200)을 식별하는 단말 식별자, 단말(200)에 발생하는 매 이벤트 마다 이력을 누락 없이 수집한 것을 증명하기 위한 시간 정보 로그, 이벤트 이력에 대하여 수행한 진단 검사의 검사 결과, 진단 검사가 인증된 진단 엔진(300)에 의해 수행된 것임을 증명하는 특정 정보(예: 토큰)를 포함하는 구성일 수 있다.
그리고, 보안 상태 정보는, 금번 보안 상태 정보 생성 시 진단 검사 수행에 이용한 이벤트 이력(URL 주소정보 이력 및 파일 관련 이력) 데이터를 더 포함할 수도 있다.
이렇듯, 본 발명에서 생성되는 단말(200)에 대한 보안 상태 정보는, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태 동안에 동적으로 수행했던 행위(이벤트)들이 안전한 것인지 여부를 식별(확인)할 수 있게 하는 정보로서, 금번 보안 상태 정보를 생성하는 현 시점에 단말(200)의 보안 상태가 안전한지 여부를 증명하기 위한 정보인 것이다.
그리고, 본 발명의 이벤트 이력 기반 네트워크 보안 방법에서 이벤트 이력 기반 네트워크 보안 장치(100)는, S50단계에서 생성한 보안 상태 정보를 보안 네트워크(20)의 보안 장치(미도시)로 제공하여(S60), 보안 장치(미도시)가 제공된 보안 상태 정보를 근거로 단말(200)에 대한 보안 네트워크(20)로의 접속 허용 여부를 판단할 수 있게 한다(S70).
예컨대, 보안 네트워크(20)의 보안 장치(미도시)는, 보안 네트워크(20)로의 접속을 시도하는 단말(200)에 대해 제공되는 보안 상태 정보를 근거로, 단말(200)이 보안 네트워크(20)에 접속하지 않은 상태 동안에 동적으로 수행했던 행위(이벤트)들이 안전한 것이며 현 시점에 단말(200)의 보안 상태가 안전한지를 확인하고, 보안 상태가 안전한 것으로 확인될 시 단말(200)에 대한 보안 네트워크(20)로의 접속을 허용할 수 있다(S70).
이상 설명한 바와 같이, 본 발명의 이벤트 이력 기반 네트워크 보안 방법에 따르면, 보안 네트워크에 접속하려는 단말에서, 해당 단말이 보안 네트워크에 접속하지 않은 동안에 동적으로 수행했던 행위(이벤트)들을 근거로 단말의 현 시점 보안 상태가 안전한지 여부를 증명할 수 있는 보안 상태 정보를 보안 네트워크로 제공함으로써, 보안 네트워크에서 단말이 보안 네트워크에 접속하려는 현 시점의 보안 상태에 따라 단말의 접속을 선택적으로 허용할 수 있도록 하는 구체화된 기술을 실현하고 있다.
더 나아가, 본 발명의 이벤트 이력 기반 네트워크 보안 방법은, 단말의 현 시점 보안 상태가 안전한지 여부를 증명할 수 있는 보안 상태 정보를 생성하는 과정에서, 개인 정보 보안 및 개인 프라이버시 관점에서 발생할 수 있는 우려까지 회피하 수 있는 구체화된 기술을 실현하고 있다.
이로써, 본 발명에서는, 단말이 보안 네트워크에 접속하려는 시간 및 장소를 제한할 수 없는 스마트워크 환경에서, 단말에 대해 시간 및 장소의 제약 없이도 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있도록 한다.
이에, 본 발명에 의하면, 단말이 보안 네트워크에 접속하려는 현 시점의 보안 상태를 검증하여 보안 네트워크로의 접속을 선택적으로 허용할 수 있기 때문에, 스마트워크 환경에서도 사용자(단말)의 고의 또는 부주의로 인해 발생할 수 있는 악성 공격으로부터 보안 네트워크를 보호하는 보안 성능을 향상시키는 효과를 도출할 수 있다.
본 발명의 실시예에 따르는 이벤트 이력 기반 네트워크 보안 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
10 : 외부 네트워크 20 : 보안 네트워크
100 : 이벤트 이력 기반 네트워크 보안 장치
110 : 이력수집부 120 : 보안상태정보 생성부
130 : 보안상태 제공부
200 : 단말
300: 진단 엔진

Claims (12)

  1. 단말에서 발생한 이벤트에 대한 이력을 수집하는 이력 수집단계;
    상기 수집한 이벤트 이력에 대하여 진단 검사를 수행한 검사 결과를 기반으로, 상기 단말의 보안 상태를 나타내는 보안 상태 정보를 생성하는 보안상태정보 생성단계; 및
    상기 보안 상태 정보를 상기 보안 네트워크의 보안 장치에 제공하여, 상기 보안 장치가 상기 보안 상태 정보를 근거로 상기 단말에 대한 상기 보안 네트워크로의 접속 허용 여부를 판단할 수 있게 하는 보안상태 제공단계를 포함하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  2. 제 1 항에 있어서,
    상기 이력 수집단계는.
    상기 단말에서 상기 보안 네트워크가 아닌 외부 네트워크에 접속하는 각 접속 이벤트에 대한 접속 주소정보 이력, 상기 단말에서 파일을 다운로드하거나 저장하는 각 파일 관련 이벤트에 대한 파일 관련 이력 중 적어도 하나를 수집하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  3. 제 1 항에 있어서,
    상기 보안 상태 정보는,
    상기 단말이 상기 보안 네트워크에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 상기 보안 네트워크로의 접속 시도 시점까지 수집한 이벤트 이력에 대해, 진단 검사를 수행한 검사 결과를 기반으로 생성되는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  4. 제 1 항에 있어서,
    기 정의된 보안 정책에 따라, 상기 수집한 이벤트 이력의 원본 데이터를 ML(machine learning) 기반의 진단 모델을 갖는 진단 엔진으로 전달하거나, 또는 상기 수집한 이벤트 이력에 대한 전 처리를 통해 상기 진단 모델에 적용되는 특징 값을 추출하여 상기 추출한 특징 값을 상기 진단 엔진으로 전달하여, 상기 이벤트 이력에 대해 진단 검사를 요청하는 단계; 및
    상기 진단 엔진으로부터 상기 이벤트 이력에 대해 상기 진단 모델을 통해 진단 검사를 수행한 검사 결과를 획득하는 단계를 더 포함하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  5. 제 4 항에 있어서,
    상기 진단 엔진으로부터 획득하는 검사 결과에는,
    상기 진단 엔진에 의해 수행된 진단 검사인 것을 증명하기 위해 발행된 특정 정보가 포함되는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  6. 제 1 항에 있어서,
    상기 보안 상태 정보는,
    상기 단말에 발생하는 매 이벤트 마다 이력을 누락 없이 수집한 것을 증명하기 위한 시간 정보 로그, 상기 이벤트 이력에 대하여 수행한 상기 진단 검사의 검사 결과, 상기 진단 검사가 인증된 진단 엔진에 의해 수행된 것임을 증명하는 특정 정보를 포함하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  7. 단말에서 발생한 이벤트에 대한 이력을 수집하는 이력 수집부;
    상기 수집한 이벤트 이력에 대하여 진단 검사를 수행한 검사 결과를 기반으로, 상기 단말의 보안 상태를 나타내는 보안 상태 정보를 생성하는 보안상태정보 생성부; 및
    상기 보안 상태 정보를 상기 보안 네트워크의 보안 장치에 제공하여, 상기 보안 장치가 상기 보안 상태 정보를 근거로 상기 단말에 대한 상기 보안 네트워크로의 접속 허용 여부를 판단할 수 있게 하는 보안상태 제공부를 포함하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 장치.
  8. 제 7 항에 있어서,
    상기 보안 상태 정보는,
    상기 단말이 상기 보안 네트워크에 접속한 직전 접속의 접속 시점 또는 직전 접속의 접속 해제 시점부터 상기 보안 네트워크로의 접속 시도 시점까지 수집한 이벤트 이력에 대해, 진단 검사를 수행한 검사 결과를 기반으로 생성되는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 장치.
  9. 제 7 항에 있어서,
    상기 보안상태정보 생성부는,
    기 정의된 보안 정책에 따라, 상기 수집한 이벤트 이력의 원본 데이터를 ML(machine learning) 기반의 진단 모델을 갖는 진단 엔진으로 전달하거나, 또는 상기 수집한 이벤트 이력에 대한 전 처리를 통해 상기 진단 모델에 적용되는 특징 값을 추출하여 상기 추출한 특징 값을 상기 진단 엔진으로 전달하여, 상기 이벤트 이력에 대해 진단 검사를 요청하고,
    상기 진단 엔진으로부터 상기 이벤트 이력에 대해 상기 진단 모델을 통해 진단 검사를 수행한 검사 결과를 획득하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 장치.
  10. 제 9 항에 있어서,
    상기 진단 엔진으로부터 획득하는 검사 결과에는,
    상기 진단 엔진에 의해 수행된 진단 검사인 것을 증명하기 위해 발행된 특정 정보가 포함되는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 장치.
  11. 제 7 항에 있어서,
    상기 보안 상태 정보는,
    상기 단말에 발생하는 매 이벤트 마다 이력을 누락 없이 수집한 것을 증명하기 위한 시간 정보 로그, 상기 이벤트 이력에 대하여 수행한 상기 진단 검사의 검사 결과, 상기 진단 검사가 인증된 진단 엔진에 의해 수행된 것임을 증명하는 특정 정보를 포함하는 것을 특징으로 하는 이벤트 이력 기반 네트워크 보안 방법.
  12. 제 1 항 내지 제 6 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020200187418A 2020-12-30 2020-12-30 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법 KR102521895B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200187418A KR102521895B1 (ko) 2020-12-30 2020-12-30 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200187418A KR102521895B1 (ko) 2020-12-30 2020-12-30 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법

Publications (2)

Publication Number Publication Date
KR20220095669A true KR20220095669A (ko) 2022-07-07
KR102521895B1 KR102521895B1 (ko) 2023-04-14

Family

ID=82397543

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200187418A KR102521895B1 (ko) 2020-12-30 2020-12-30 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법

Country Status (1)

Country Link
KR (1) KR102521895B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009010807A (ja) * 2007-06-29 2009-01-15 Fuji Xerox Co Ltd 情報処理システム、セキュリティ診断プログラム、処理実行制御プログラム及び情報処理装置
KR101657180B1 (ko) * 2015-05-04 2016-09-19 최승환 프로세스 접근 제어 시스템 및 방법
KR101747670B1 (ko) * 2016-01-07 2017-06-15 한국인터넷진흥원 보안 정책 위반 탐지 방법
KR102055843B1 (ko) * 2018-11-28 2020-01-22 주식회사 이글루시큐리티 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009010807A (ja) * 2007-06-29 2009-01-15 Fuji Xerox Co Ltd 情報処理システム、セキュリティ診断プログラム、処理実行制御プログラム及び情報処理装置
KR101657180B1 (ko) * 2015-05-04 2016-09-19 최승환 프로세스 접근 제어 시스템 및 방법
KR101747670B1 (ko) * 2016-01-07 2017-06-15 한국인터넷진흥원 보안 정책 위반 탐지 방법
KR102055843B1 (ko) * 2018-11-28 2020-01-22 주식회사 이글루시큐리티 이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법

Also Published As

Publication number Publication date
KR102521895B1 (ko) 2023-04-14

Similar Documents

Publication Publication Date Title
US20190354709A1 (en) Enforcement of same origin policy for sensitive data
RU2618946C1 (ru) Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями
US11616812B2 (en) Deceiving attackers accessing active directory data
Bojjagani et al. Stamba: Security testing for Android mobile banking apps
CN111294345A (zh) 一种漏洞检测方法、装置及设备
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
JP2017228264A (ja) 安全なオンライン認証のためのシステム及び方法
US11539695B2 (en) Secure controlled access to protected resources
US10032027B2 (en) Information processing apparatus and program for executing an electronic data in an execution environment
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
CN107819639B (zh) 一种测试方法和装置
KR101917996B1 (ko) 악성 스크립트 탐지 방법 및 장치
KR101754195B1 (ko) 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법
KR20220095669A (ko) 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법
Shimamoto et al. Towards further formal foundation of web security: expression of temporal logic in Alloy and its application to a security model with cache
Wang et al. A framework for formal analysis of privacy on SSO protocols
Maidl et al. Pattern-based modeling of cyber-physical systems for analyzing security
CN113194088B (zh) 访问拦截方法、装置、日志服务器和计算机可读存储介质
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
RU2706894C1 (ru) Система и способ анализа содержимого зашифрованного сетевого трафика
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
KR20060090408A (ko) 분산네트워크환경에서의 통합된 보안취약점 관리시스템 개발
KR101400709B1 (ko) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
Zhou et al. Strengthening XSRF defenses for legacy web applications using whitebox analysis and transformation

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant