WO2016195344A1

WO2016195344A1 - 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

Info

Publication number: WO2016195344A1
Application number: PCT/KR2016/005677
Authority: WO
Inventors: 이용환; 박민혁; 김수로; 손재식
Original assignee: 주식회사 수산아이앤티
Priority date: 2015-06-02
Filing date: 2016-05-30
Publication date: 2016-12-08
Also published as: KR20160142101A; KR101728764B1

Abstract

본 발명은 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하고, 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하고, 확인결과 미러링된 패킷이 외부 네트워크로 송신되며 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 클라이언트 단말로 송신하여 실행 파일의 다운로드를 사용자에게 경고하고 다운로드 여부를 확인할 수 있다.

Description

드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법

아래의 설명은 드라이브 바이 다운로드(Drive-By Download)를 차단하는 기술에 관한 것으로, 네트워크 보안 방법에 관한 것이다.

최근 악성코드들은 감염 전파를 위해 네트워크를 통한 취약한 서비스를 공격하는 방식에서 벗어나 웹서핑 중 사용자가 악의적인 웹사이트에 접속하는 순간 악성코드에 감염되는 드라이브 바이 다운로드(Drive-By Download) 방식을 통해 유포되고 있다. Drive-By Download를 통한 악성코드 유포 방식은 사용자 몰래 악성코드 감염이 가능하며, 다수의 사용자가 접속하는 웹 서버를 공격 매개체로 활용함으로써, 다수의 사용자를 한 번에 감염시키는 것이 가능하다.

악성코드에 감염된 좀비 PC는 대부분 봇넷 구축, 개인정보 탈취 등과 같은 행위에 악용될 수 있으며, 설치된 안티바이러스 제품 삭제, 방화벽 해제 등을 통해 악성코드 탐지 및 치료를 어렵게 하고 있다.

Drive-By Download란 사용자가 자주 방문하는 웹페이지에 공격자가 SQL 주입공격(Injection)과 같은 웹공격 방법으로 악성 스크립트를 삽입하여 사용자가 인식하지 못 한 순간에 웹 페이지에 접속하는 것만으로도 사용자 PC를 감염시키는 방법이다.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.

구체적으로, 본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계; 확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계를 포함한다.

이때, 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는, 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계; 상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계; 상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및 상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계 를 포함할 수 있다.

이때, 상기 허가된 주소는, 상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.

이때, 상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은, 상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공할 수 있다.

이때, 상기 응답 HTML은, 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.

이때, 상기 응답 HTML은, 돌아가기 버튼과 다운로드 버튼을 포함하고, 상기 돌아가기 버튼은 선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고, 상기 다운로드 버튼은 상기 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.

이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 할 수 있다.

이때, 상기 다운로드 버튼은, 상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.

이때, 상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는, 상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신할 수 있다.

본 발명은 외부 네트워크로 송신되는 패킷을 미러링하고 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 실행 파일의 다운로드를 사용자에게 경고하여 다운로드 여부를 확인할 수 있는 가짜 응답 패킷을 생성하여 사용자에게 제공하여서, 사용자가 의도한 다운로드인지 확인하고 그렇지 않은 경우 사전에 차단함으로써, 드라이브 바이 다운로드를 차단하는 효과를 제공한다.

도 1은 일 실시예에 따라 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.

도 2는 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드를 차단하는 과정을 도시한 흐름도이다.

도 3은 일 실시예에 따른 네트워크 보안 시스템의 보안 서버에서 드라이브 바이 다운로드로 의심되는 패킷을 선별하는 과정을 도시한 흐름도이다.

도 4는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 조건을 확인하기 위해 미러링한 패킷에서 확인하는 정보를 표시한 도면이다.

도 5는 일 실시예에 따라 드라이브 바이 다운로드로 의심되는 경우 클라이언트 단말로 제공하는 화면을 도시한 도면이다.

상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.

본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.

그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

이하에서는, 본 발명의 일 실시 예에 따른 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.

도 1을 참조하면, 네트워크 환경에서 클라이언트 단말(160)로부터 인터넷(100)에 접속할 때, 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결될 수 있다. 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트 단말(160)은 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다.

보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 패킷(packet)을 미러링할 수 있다. 보안 서버(140)는 사전에 안전하다고 판단되어 다운로드가 허가된 주소들의 리스트를 저장할 수 있다. 예를 들면, 보안 서버(140)는 허가 대상 도메인 주소인 www.aaa.com, www.bbb.com, www.ccc.com을 저장하고 있을 수 있다.

패킷은 인터넷(100)을 통하여 외부 DNS 서버(120)로도 전달될 수 있고, 미러링을 통하여 보안 서버(140)로도 전달될 수 있다. 보안 서버(140)는 패킷이 HTTP 요청 패킷인지 여부와 외부 네트워크로 송신되는 패킷인지 확인할 수 있다.

보안 서버(140)는 미리렁된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷(Request Packet)이면, 사전에 허가되지 않은 목적지 주소로 실행 파일을 다운로드 요청하는지 여부를 확인할 수 있다.

보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하여 클라이언트 단말(160)로 송신할 수 있다.

이때, 응답 HTML은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다.

또한, 응답 HTML은 리퍼러(Referer) 또는 기설정된 페이지로 돌아가도록 하는 돌아가기 버튼과 HTTP 요청 패킷을 재전송하는 기능을 제공하는 다운로드 버튼을 포함할 수 있다.

여기서, 다운로드 버튼은 재전송하는 HTTP 요청 패킷이 보안 서버(140)에서 드라이브 바이 다운로드의 조건에 검색되지 않도록 하는 기능을 포함할 수 있다.

클라이언트 단말(160)은 가짜 응답 패킷을 수신하면, 가짜 응답 패킷에 포함된 응답 HTML을 출력한다.

그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 돌아가기 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아간다.

그리고, 클라이언트 단말(160)는 응답 HTML에 포함된 다운로드 버튼이 입력됨을 감지하면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다. 이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.

한편, 종래에는 네트워크 보안 시스템이 고장난 경우, 정상적인 네트워크 접속이 안되는 경우가 많았다. 일 실시예에 따른 네트워크 보안 시스템은 보안 서버(140)가 고장 나더라도 네트워크 통신을 계속하여 수행되므로 서비스 정지 문제가 발생하지 않는다. 예를 들면, 보안 서버(140)가 고장난 경우라도 미러링되므로 정상 DNS 서버로부터 응답 패킷이 클라이언트 단말로 전달되므로 클라이언트 단말은 응답 패킷을 이용하여 정상적인 네트워크 접속을 할 수 있다.

이하, 상기와 같이 구성된 본 발명에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법을 아래에서 도면을 참조하여 설명한다.

도 2를 참조하면, 보안 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(210).

그리고, 보안 서버(140)는 드라이브 바이 다운로드의 조건에 만족하는지 여부를 확인한다(212).

드라이브 바이 다운로드로 의심되는 조건은 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인 경우로, 확인하는 과정은 이후 도 3을 참조하여 후술한다.

212단계의 확인결과 드라이브 바이 다운로드로 의심되는 조건을 만족하면, 보안 서버(140)는 응답 HTML을 생성하고, 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다(214). 이때, 가짜 응답 패킷은 응답 HTML을 포함하거나 또는 응답 HTML을 포함하고 있는 URL(uniform resource locator) 정보를 포함할 수 있다.

응답 HTML은 아래 도 5의 예와 같이 클라이언트 단말을 통해 출력될 수 있다.

도 5를 참조하면, 응답 HTML(500)은 다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함할 수 있다. 이때, 호스트에 관한 정보는 호스트의 주소 및 호스트의 국가 정보를 포함할 수 있고, 다운로드 하려는 파일에 관한 정보는 파일명, 다운로드 하려는 페이지 주소를 포함할 수 있다.

또한, 응답 HTML(500)은 돌아가기 버튼(510)과 다운로드 버튼(520)을 포함할 수 있다.

이때, 돌아가기 버튼(510)은 선택되면 리퍼러(Referer), HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지(예를 들어 시작 페이지)로 돌아가는 기능을 제공할 수 있다.

다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하는 기능을 제공할 수 있다.

이때, 다운로드 버튼(520)은 HTTP 요청 패킷을 재전송하기 전에, 재전송 하는 HTTP 요청 패킷이 이미 보안 서버(140)에 의해 처리되었음을 보안 서버(140)에서 인지하도록 하여 불필요 가짜 응답 패킷의 재전송을 방지할 필요가 있다.

그래서, 다운로드 버튼(520)은 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하거나 또는 HTTP 요청 패킷을 재전송하기에 앞서, 보안 서버(140)로 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하도록 할 수도 있다.

다시 도 2의 설명으로 돌아와서, 보안 서버(140)는 가짜 응답 패킷을 클라이언트 단말(160)로 송신한다(216).

이후, 가짜 응답 패킷을 수신한 클라이언트 단말(160)은 상기 도 5의 예와 같이 응답 HTML을 출력하고, 다운로드 버튼이 입력되는지 여부를 확인한다(218).

218단계의 확인결과 다운로드 버튼이 입력되면, 클라이언트 단말(160)은 HTTP 요청 패킷을 재전송한다(220).

이때, 클라이언트 단말(160)은 응답 HTML에 따라 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하거나 또는 재전송하는 HTTP 요청 패킷을 전송하기에 앞서, 보안 서버(140)로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송할 수 있다.

218단계의 확인결과 다운로드 버튼이 입력되지 않으면, 클라이언트 단말(160)은 돌아가기 버튼이 입력되는지 여부를 확인한다(222).

222단계의 확인결과 돌아가기 버튼이 입력되면, 클라이언트 단말(160)은 이전 페이지 또는 기설정된 페이지로 돌아간다(224). 이때, 이전 페이지는 미러링된 패킷에 포함된 리퍼러(Referer) 정보를 통해 확인할 수 있다.

한편, 보안 서버(140)는 HTTP 요청 패킷에 대한 응답 패킷을 클라이언트 단말(160)에서 수신하기 전에, 클라이언트 단말(160)로 가짜 응답 패킷을 송신하여야 한다.

이를 위해서, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하는지 여부를 판단하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.

한편, 응답 패킷을 폐기하였으나 드라이브 바이 다운로드로 의심되는 조건을 만족하지 않는 경우, 보안 서버(140)는 HTTP 요청 패킷을 재전송하도록 하는 가짜 응답 패킷을 송신할 수 있다.

또한, 보안 서버(140)는 드라이브 바이 다운로드로 의심되는 조건을 만족하여 가짜 응답 패킷을 송신해야 하는 경우, 가짜 응답 패킷을 클라이언트 단말(160)로 송신하기 전에 클라이언트 단말(160)로 전달되는 응답 패킷을 가로채서 폐기할 수 있다.

도 3을 참조하면, 보안 서버(140)는 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인한다(310). 이때, 패킷의 목적지 포트 넘버(destination port number)가 "80" 또는 "8080"인 경우가 외부 네트워크로 송신되는 패킷으로 판단할 수 있다.

310단계의 확인결과 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 보안 서버(140)는 미러링된 패킷에 Get 명령이 포함되어 있는지 확인한다(320).

320단계의 확인결과 미러링된 패킷에 Get 명령이 포함되어 있으면, 보안 서버(140)는 Get 명령으로 요청하는 파일이 실행 파일인지 확인한다(330).

330단계의 확인결과 Get 명령으로 요청하는 파일이 실행 파일이면, 보안 서버(140)는 미러링된 패킷의 목적지 주소가 허가된 주소인지 여부를 확인한다(340).

이때, 미러링된 패킷의 목적지 주소는 아래 도 4의 예와 같이 미러링된 패킷의 호스트(Host) 정보를 통해 확인할 수 있다. 그리고, 허가된 주소는 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는 내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소일 수 있다.

340단계의 확인결과 미러링된 패킷의 목적지 주소가 허가된 주소가 아니면, 보안 서버(140)는 214단계에서 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성한다

도 4를 참조하면,

보안 서버(140)는 미러링된 HTTP 요청 패킷(400)을 수신하면, 호스트 정보(430)을 확인하여 목적지 주소를 확인하고, 허가된 주소들의 리스트에 포함되어 있는지 비교하여 허가된 주소인지 확인할 수 있다.

그리고, 보안 서버(140)는 Get 정보(410)을 검색하여 Get 명령이 존재하는 지 여부, 수신할 파일명 및 수신할 파일의 확장자를 확인하여 실행 가능 여부를 확인할 수 있다.

한편, 보안 서버(140)는 가짜 응답 패킷에 포함시키기 위해서 리퍼러 정보(420)를 검색할 수 있다.

본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 드라이브 바이 다운로드를 차단하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims

보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계;

상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷(Request Packet)인지 여부를 확인하는 단계;

확인결과 상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷이면, 응답 HTML을 생성하고, 상기 응답 HTML의 정보를 포함하는 가짜 응답 패킷을 생성하는 단계; 및

상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계

를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항에 있어서,

상기 미러링된 패킷이 외부 네트워크로 송신되며, 사전에 허가되지 않은 목적지 주소로 실행 파일의 다운로드를 요청하는 HTTP 요청 패킷 인지 여부를 확인하는 단계는,

상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷인지 확인하는 단계;

상기 미러링된 패킷이 외부 네트워크로 송신되는 HTTP 요청 패킷이면, 상기 미러링된 패킷에 Get 명령이 포함되어 있는지 확인하는 단계;

상기 미러링된 패킷에 Get 명령이 포함되어 있으면, 상기 Get 명령으로 요청하는 파일이 실행 파일인지 확인하는 단계; 및

상기 Get 명령으로 요청하는 파일이 실행 파일이면, 상기 미러링된 패킷의 목적지 주소가 상기 허가된 주소인지 여부를 확인하는 단계

를 포함하는 보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제2항에 있어서,

상기 허가된 주소는,

상기 클라이언트 단말이 접속하여 다운로드를 허가한 적이 있는 주소이거나, 또는

내부 네트워크에 포함된 기설정 수의 클라이언트 단말을 통해 기설정 횟수 이상 다운로드가 된 적이 있는 주소임을 특징으로 하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항에 있어서,

상기 응답 HTML의 정보를 포함하는 상기 가짜 응답 패킷은,

상기 응답 HTML을 포함하거나 또는 상기 응답 HTML을 포함하고 있는 URL(uniform resource locator)을 제공하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항에 있어서,

상기 응답 HTML은,

다운로드 하려는 파일이 저장된 호스트에 관한 정보, 상기 다운로드 하려는 파일에 관한 정보, 상기 호스트의 국가 정보, 및 리퍼러(Referer) 정보 중에서 적어도 하나를 포함하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항에 있어서,

상기 응답 HTML은,

돌아가기 버튼과 다운로드 버튼을 포함하고,

상기 돌아가기 버튼은,

선택되면 리퍼러(Referer), 상기 HTTP 요청 패킷을 요청하기 이전 페이지 또는 기설정된 페이지로 돌아가는 기능을 제공하고,

상기 다운로드 버튼은,

상기 HTTP 요청 패킷을 재전송하는 기능을 제공하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제6항에 있어서,

상기 다운로드 버튼은,

상기 재전송하는 HTTP 요청 패킷의 리퍼러(Referer)를 사전에 허가된 주소에 해당하는 기설정된 주소로 변경하여 재전송하도록 하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제6항에 있어서,

상기 다운로드 버튼은,

상기 재전송하는 HTTP 요청 패킷을 전송하기에 앞서,

상기 보안 서버로 상기 HTTP 요청 패킷의 목적지 주소를 허가된 주소로 등록하는 패킷을 전송하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항에 있어서,

상기 가짜 응답 패킷을 클라이언트 단말로 송신하는 단계는,

상기 HTTP 요청 패킷에 대한 응답 패킷을 상기 클라이언트 단말에서 수신하기 전에, 상기 클라이언트 단말로 상기 가짜 응답 패킷을 송신함을 특징으로 하는

보안 서버에서 드라이브 바이 다운로드를 차단하는 방법.
제1항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.