WO2018186511A1

WO2018186511A1 - 사물 인터넷 네트워크에서의 에이알피 스푸핑 방지 시스템

Info

Publication number: WO2018186511A1
Application number: PCT/KR2017/003778
Authority: WO
Inventors: 정현철; 김동현
Original assignee: (주)노르마
Priority date: 2017-04-06
Filing date: 2017-04-06
Publication date: 2018-10-11
Also published as: CN109314707A

Abstract

본 발명의 일 실시예에 따르면, 컴퓨터에, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우, 상기 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하는 단계; 및 스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 단계;를 포함하는 IoT 보안을 위한 ARP 스푸핑 방지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체가 개시된다.

Description

사물 인터넷 네트워크에서의 에이알피 스푸핑 방지 시스템

본 발명은 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템, 방법, 및 프로그램을 기록한 기록매체에 관한 것이다.

네트워크를 이용하는 컴퓨터들은 에이알피(ARP: 주소 설정 프로토콜) (이하, 'ARP') 테이블이라고 불리우는 아이피(IP)와 맥어드레스간의 변환테이블을 관리한다.

한편, 이러한 주소 결정 프로토콜(ARP) 테이블에 대하여 공격자들이 자신이 게이트웨이 인 것처럼 공격하는 ARP 스푸핑 공격이 종종 이루어지고 있고, 이러한 ARP 스푸핑 공격에 대한 대응기술들이 공개되고 있다(예를 들면, 한국공개특허 2011-0060271).

하지만, 로밍과 같은 동작들이 수행되는 모바일 환경으로 이루어진 사물 인터넷(IoT) 네트워크에서 발생되는 ARP 스푸핑 공격에 대하여는 효과적인 대응책이 마련되고 있지 않는 상황이다.

본 발명의 일 실시예에 따르면 모바일 디바이스가 속한 사물 인터넷(IoT) 네트워크에서 ARP 스푸핑을 방지할 수 있는, 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템, 방법, 및 프로그램을 기록한 기록매체가 제공될 수 있다.

본 발명의 일 실시예에 따르면

컴퓨터에,

미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우, 상기 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하는 단계; 및

스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 단계;를 포함하는 IoT 보안을 위한 ARP 스푸핑 방지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체가 제공될 수 있다.

본 발명의 다른 실시예에 따르면,

복수의 사물 인터넷(IoT) 디바이스들과 게이트웨이를 포함하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템에 있어서,

상기 복수의 사물 인터넷(IoT) 디바이스들 중 적어도 하나의 사물 인터넷(IoT) 디바이스는,

미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우, 상기 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하는 동작과,

스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작을 수행하는 것을 특징으로 하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템이 제공될 수 있다.

본 발명의 하나 이상의 실시예에 따르면 모바일 디바이스가 속한 사물 인터넷(IoT) 네트워크에서 로밍하는 경우와 ARP 스푸핑하는 경우를 정확히 구분함으로써, 효과적으로 ARP 스푸핑을 방지할 수 있다.

도 1은 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템을 설명하기 위한 도면이다.

도 2는 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 프로그램을 설명하기 위한 도면이다.

도 3은 본 발명의 일 실시예에 따라서 공격자를 선별하여 차단하는 동작을 설명하기 위한 도면이다.

도 4는 본 발명의 일 실시예에 따라서 로밍하는 동작을 설명하기 위한 도면이다.

도 5는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 방법을 설명하기 위한 도면이다.

[부호의 설명]

10, 60 : 게이트웨이

20, 30, 40, 50, 70, 80: 사물 인터넷 디바이스

21:프로세서

23: 메모리

25: 랜카드

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.

또한, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.

도 1을 참조하면, 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템(이하, 'ARP 스푸핑 방지 시스템')은 게이트웨이(GW)(10), 및 복수의 사물 인터넷(IoT) 디바이스들(20, 30, 40)을 포함한다.

게이트웨이(GW)(10)와 복수의 사물 인터넷(IoT) 디바이스들(20, 30, 40)은 서로 로컬 네트워크를 형성하며, 복수의 사물 인터넷(IoT) 디바이스들(20, 30, 40)은 각각 게이트웨이(GW)(10)를 통해서 서로 통신을 하거나 또는 외부 인터넷망과 연결된다.

게이트웨이(GW)(10)와 복수의 사물 인터넷(IoT) 디바이스들(20, 30, 40)은 도 1에 나타난 바와 같이 각각 맥어드레스와 IP 주소를 가진다. 도 1에 나타낸 맥어드레스와 IP 주소는 본 발명의 설명의 목적을 위해서 임의적으로 선정한 값이다.

이하에서는, 본 발명의 설명의 목적을 위해서, 복수의 사물 인터넷(IoT) 디바이스들(20, 30, 40) 중 사물 인터넷(IoT) 디바이스(20)를 예로 들어서 구성, 작용 및 효과를 설명하기로 한다.

사물 인터넷(IoT) 디바이스(20)는 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들(30, 40, ...) 중 어느 하나 이상에서 발생하거나, 또는 사물 인터넷(IoT) 디바이스(20)가 접속하는 게이트웨이(10)가 변경되는 경우, 게이트웨이(10)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행한다.

미리 정한 이벤트는 예를 들면, 중요한 데이터를 송신하고자 하는 경우일 수 있다. 중요한 데이터인지 여부는 미리 사용자에 의해 미리 정의된다. 예를 들면, 특정 수신처로 송신되는 데이터는 중요한 데이터로 정의될 수 있다. 특정 수신처 송신되는 데이터로서 은행으로 송신되는 데이터들은 모두 중요한 데이터로 정의될 수 있다. 이러한 경우, 사물 인터넷(IoT) 디바이스(20)는 은행으로 데이터를 송신할 때 마다, IP와 맥어드레스를 스캐닝하여 공격자를 선별하는 동작을 수행하게 된다.

사물 인터넷(IoT) 디바이스(20)는 로컬 네트워크에 속한 다른 사물 인터넷(IoT) 디바이스들(30, 40, ...) 또는 외부 인터넷망에 속한 디바이스들(미도시)과 통신을 할 때 사용하는 주소 결정 프로토콜(ARP) 테이블을 저장 및 관리한다.

주소 결정 프로토콜(ARP) 테이블은 로컬 네트워크에 속한 게이트웨이(10)와다른 사물 인터넷(IoT) 디바이스들(30, 40, ...) 각각의 맥어드레스와 IP 주소를 포함한다.

사물 인터넷(IoT) 디바이스(20)는, 상술한 바와 같이, 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들(10, 30, 40, ...) 중 어느 하나 이상에서 발생하면 게이트웨이(10)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행하여, 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

사물 인터넷(IoT) 디바이스(20)는, 또한, 게이트웨이(10)가 다른 사물 인터넷(IoT) 디바이스로 변경되면, 로컬 네트워크에 속한 모든 사물 인터넷(IoT) 디바이스들(10, 30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행하여, 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

평상시 사물 인터넷(IoT) 디바이스(20)는, 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들((10, 30, 40, ...) 에서 발생하거나, 또는 자신(20)이 접속하던 게이트웨이의 맥어드레스가 변경(즉, 게이트웨이가 다른 디바이스로 변경)되는지 여부를 모니터링하는 동작을 수행하다가, 이벤트 발생 또는 게이트웨이가 변경되면 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

사물 인터넷(IoT) 디바이스(20)는, IP와 맥어드레스를 스캐닝한 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작을 수행한다.

상세하게 설명하면, 사물 인터넷(IoT) 디바이스(20)는, 주소 결정 프로토콜(ARP) 테이블이 갱신되면(업데이트 되면), 갱신된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스를 선별하는 동작을 수행한다. 갱신된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스가 있으면 그러한 디바이스를 공격자로 보고 후속처리하는 동작을 수행한다. 공격자 디바이스가 선별되면 그에 따른 후속 조치는 종래 알려진 기술에 따라서 처리할 수 있다. 즉, ARP 스푸핑에서 공격자 탐지 기술들에서, 공격자로 탐지된 디바이스에 대한 조치는 종래 알려진 기술들에 따른 것일 수 있다.

본 실시예에서, 공격자로 탐지된 디바이스에 대한 조치는 종래 알려진 기술들에 따른 조치가 가능하고, 다르게는 본원 발명의 일 실시예에 따른 조치도 가능하다.

공격자로 탐지된 디바이스에 대한 본 발명의 일 실시예에 따른 조치는, 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하면, 게이트웨이(10)에 접속된 공격자가 아닌 사물 인터넷(IoT) 디바이스(비공격자 사물 인터넷(IoT) 디바이스)들 중에서 적어도 하나의 사물 인터넷(IoT) 디바이스가 사용자에게 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하는 것을 알리는 동작을 수행한다. 예를 들면, 도 1에서 IoT 디바이스3(40)가 공격자 디바이스라고 하면, IoT 디바이스2(30)가 사용자에게 IoT 디바이스3(40)가 공격자 디바이스라고 알람 또는 메시지와 같은 방식으로 알릴 수 있다.

이상 설명은 사물 인터넷(IoT) 디바이스(20)를 예로 들어서 설명되었지만, 이는 예시적인 것으로서 다른 사물 인터넷(IoT) 디바이스들(30, 40)도 같은 작용 및 효과를 가질 수 있을 것이다.

도 2를 참조하면, 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 디바이스(20)는 프로세서(21), 메모리(23), 및 무선통신을 위한 랜카드(25)를 포함한다. 메모리(23)에는 다양한 프로그램들(22)과 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 프로그램(24)이 저장되어 있다. 메모리(23)에 저장된 프로그램들은 프로세서(21)의 제어하에 해당 하드웨어에 결합되어 동작한다.

본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 프로그램(24) 역시, 무선통신을 위한 랜카드(25)와 결합되어 본 발명에 따른 동작을 수행한다.

본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스(20) 또는 다른 사물 인터넷(IoT) 디바이스들(30, 40, ...) 중 어느 하나 이상에서 발생하거나, 또는 사물 인터넷(IoT) 디바이스(20)가 접속하는 게이트웨이(10)가 변경되는 경우, 게이트웨이(10)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행한다.

본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 로컬 네트워크에 속한 다른 사물 인터넷(IoT) 디바이스들(30, 40, ...) 또는 외부 인터넷망에 속한 디바이스들(미도시)과 통신을 할때 사용하는 주소 결정 프로토콜(ARP) 테이블을 저장 및 관리한다.

본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 상술한 바와 같이, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스(20) 또는 다른 사물 인터넷(IoT) 디바이스들(10, 30, 40, ...) 중 어느 하나 이상에서 발생하면 게이트웨이(10)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행하여, 주소 결정 프로토콜(ARP) 테이블을 갱신한다. 여기서, 주소 결정 프로토콜(ARP) 테이블은 도시하지는 않았지만 메모리(23)에 저장되어 있을 수 있다.

본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 또한, 게이트웨이(10)가 다른 사물 인터넷(IoT) 디바이스로 변경되면, 로컬 네트워크에 속한 모든 사물 인터넷(IoT) 디바이스들(10, 30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행하여, 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

평상시 본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스(20) 또는 다른 사물 인터넷(IoT) 디바이스들((10, 30, 40, ...) 에서 발생하거나, 또는 사물 인터넷(IoT) 디바이스(20)가 접속하던 게이트웨이의 맥어드레스가 변경(즉, 게이트웨이가 다른 디바이스로 변경)되는지 여부를 모니터링하는 동작을 수행하다가, 이벤트 발생 또는 게이트웨이가 변경되면 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, IP와 맥어드레스를 스캐닝한 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작을 수행한다.

상세하게 설명하면, 본 발명의 일 실시예에 따른 IoT 보안을 위한 ARP 스푸핑 방지 프로그램(24)은, 주소 결정 프로토콜(ARP) 테이블이 갱신되면(업데이트 되면), 갱신된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스를 선별하는 동작을 수행한다. 갱신된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스가 있으면 그러한 디바이스를 공격자로 보고 후속처리하는 동작을 수행한다. 공격자 디바이스가 선별되면 그에 따른 후속 조치는 도 1을 참조하여 설명한 바가 있으므로 여기서는 생략하기로 한다.

이상 설명은 사물 인터넷(IoT) 디바이스(20)를 예로 들어서 설명되었지만, 이는 예시적인 것으로서 다른 사물 인터넷(IoT) 디바이스들(30, 40)도 같은 구성, 작용, 및 효과를 구비할 수 있을 것이다.

도 1과 도 3을 참조하여, 본 발명의 일 실시예에 따라서 공격자를 선별하여 차단하는 동작을 설명하면, 평상시 사물 인터넷(IoT) 디바이스(20)는, 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들((10, 30, 40, ...) 에서 발생하거나, 또는 자신(20)이 접속하던 게이트웨이의 맥어드레스가 변경(즉, 게이트웨이가 다른 디바이스로 변경)되는지 여부를 모니터링하는 동작을 수행한다.

이런 상황에서, 공격자(50)가 로컬 네트워크에 침입하여, 자신(50)이 게이트웨이라고 IoT 디바이스1(20)에게 통지한다고 가정한다. 그러한 통지를 받은 IoT 디바이스1(20)는 본 발명의 일 실시예에 따른 구성 및 작용을 수행하게 된다. 즉, IoT 디바이스1(20) 입장에서는 게이트웨이가 변경되는 경우에 해당되므로 게이트웨이(10)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(30, 40, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행하여, 주소 결정 프로토콜(ARP) 테이블을 갱신한다.

갱신된 주소 결정 프로토콜(ARP) 테이블에서는 IP는 다른데 맥어드레스가 동일한 경우가 발생된다. 이는, 공격자(50)가 자신(50)이 게이트웨이라고 IoT 디바이스1(20)에게 통지하였기 때문이다.

IP는 다른데 맥어드레스가 동일한 경우를 설명하기 위해서 다음과 같은 표로 나타내었다.

<표1>을 참조하면, IP는 다른데 맥어드레스가 다른 경우가 나타나 있다. 만약 게이트웨이가 IP:00:00:01, 맥어드레스 102.166. 0.1를 가진 디바이스에서 , IP: 00:00:07, 맥어드레스 102.166.0.1 를 가진 디바이스로 변경된 경우라면, 나중에 게이트웨이로 변경된 IP : 00:00:07, 맥어드레스 102.166.0.1 를 가진 디바이스를 공격자로 취급할 수 있다.

도 1과 도 4를 참조하면, 평상시 사물 인터넷(IoT) 디바이스(20)는, 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들((10, 30, 40, ...) 에서 발생하거나, 또는 자신(20)이 접속하던 게이트웨이의 맥어드레스가 변경(즉, 게이트웨이가 다른 디바이스로 변경)되는지 여부를 모니터링하는 동작을 수행한다.

이런 상황에서, IoT 디바이스1(20)가 다른 로컬 네트워크로 로밍하고, IoT 디바이스1(20)가 로밍한 다른 로컬 네트워크에는 게이트웨이(60)와 다른 사물 인터넷(IoT) 디바이스들(70, 80)이 속해있다고 가정한다.

IoT 디바이스1(20)는 다른 로컬 네트워크로 로밍하였으므로 자신의 주소 결정 프로토콜(ARP) 테이블을 새로 갱신한다. 그리고 갱신한 주소 결정 프로토콜(ARP) 테이블에서 맥어드레스가 중복되는 디바이스가 없는지 확인한다.

도 4와 같은 네트워크 상황(즉, 공격자는 없고, IoT 디바이스1(20)가 로밍한 상황)에서는, 맥어드레스가 중복되는 디바이스는 존재하지 않는다.

이후, IoT 디바이스1(20)는 도 1을 참조하여 설명한 동작을 수행하게 된다.

즉, 사물 인터넷(IoT) 디바이스(20)는 미리 정의된 이벤트가 자신(20) 또는 다른 사물 인터넷(IoT) 디바이스들(60, 70, 80, ...) 중 어느 하나 이상에서 발생하거나, 또는 사물 인터넷(IoT) 디바이스(20)가 접속하는 게이트웨이(60)가 다른 디바이스로 변경되는 경우, 게이트웨이(60)에 접속하는 모든 사물 인터넷(IoT) 디바이스들(70, 80, ...)의 IP와 맥어드레스를 스캐닝하는 동작을 수행한다. 그리고, 사물 인터넷(IoT) 디바이스(20)는, IP와 맥어드레스를 스캐닝한 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작을 수행한다.

도 5는 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 방법을 설명하기 위한 도면이다.

도 5를 참조하면, 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 방법은 예를 들면 도 1을 참조하여 설명한 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템과 같은 방식으로 구현될 수 있다.

도 1과 같은 시스템에 본 발명의 일 실시예에 따른 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 방법이 구현되었다고 가정하고, 본 방법을 설명하면, 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 방법은, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는지 여부를 모니터링하는 단계(S101), 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우(S103), 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하여 업데이트하는 단계(S105); 스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스가 있는지 확인하여(S107), 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 공격자로 선별하여 처리하는 단계(S109)를 포함할 수 있다.

본 방법은 또한, 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하면, 게이트웨이에 접속된 공격자가 아닌 사물 인터넷(IoT) 디바이스(비공격자 사물 인터넷(IoT) 디바이스)들 중에서 적어도 하나의 사물 인터넷(IoT) 디바이스가 사용자에게 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하는 것을 알리는 단계를 더 포함할 수 있다.

상기와 같이 본 발명은 비록 한정된 실시예들과 도면에 의해 설명되었으나, 본 발명은 상기의 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

본 발명의 범위는 설명된 실시예들에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

컴퓨터에,

미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우, 상기 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하는 단계; 및

스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 단계;를 포함하는 IoT 보안을 위한 ARP 스푸핑 방지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
제1항에 있어서, 상기 방법은

미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는지 여부를 모니터링하는 단계;를 더 포함하는 것을 특징으로 하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
제2항에 있어서, 상기 방법은

상기 스캐닝하는 단계의 수행결과를 반영하여 주소 결정 프로토콜(ARP) 테이블을 업데이트하는 단계;를 더 포함하며,

상기 처리하는 단계는, 업데이트된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 단계인 것을 특징으로 하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
제1항에 있어서, 상기 방법은

공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하면, 상기 게이트웨이에 접속된 공격자가 아닌 사물 인터넷(IoT) 디바이스(비공격자 사물 인터넷(IoT) 디바이스)들 중에서 적어도 하나의 사물 인터넷(IoT) 디바이스가 사용자에게 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하는 것을 알리는 단계;를 더 포함하는 것을 특징으로 하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
복수의 사물 인터넷(IoT) 디바이스들과 게이트웨이를 포함하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템에 있어서,

상기 복수의 사물 인터넷(IoT) 디바이스들 중 적어도 하나의 사물 인터넷(IoT) 디바이스는,

미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는 경우, 상기 게이트웨이에 접속하는 모든 사물 인터넷(IoT) 디바이스들의 IP와 맥어드레스를 스캐닝하는 동작과,

스캐닝된 결과에서 맥어드레스가 중복되는 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작을 수행하는 것을 특징으로 하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템.
제5항에 있어서,

상기 적어도 하나의 사물 인터넷(IoT) 디바이스는

또한, 미리 정의된 이벤트가 사물 인터넷(IoT) 디바이스에서 발생하거나, 또는 상기 사물 인터넷(IoT) 디바이스가 접속하는 게이트웨이의 맥어드레스가 변경되는지 여부를 모니터링하는 동작을 수행하는 것을 특징으로 하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템.
제6항에 있어서,

상기 적어도 하나의 사물 인터넷(IoT) 디바이스는

또한, 상기 스캐닝하는 단계의 수행결과를 반영하여 주소 결정 프로토콜(ARP) 테이블을 업데이트하는 동작을 수행하며,

상기 처리하는 동작은, 업데이트된 주소 결정 프로토콜(ARP) 테이블에서 중복된 맥어드레스를 가진 사물 인터넷(IoT) 디바이스를 선별하여 공격자로 처리하는 동작인 것을 특징으로 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템.
제5항에 있어서,

상기 적어도 하나의 사물 인터넷(IoT) 디바이스는

공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하면, 상기 게이트웨이에 접속된 공격자가 아닌 사물 인터넷(IoT) 디바이스(비공격자 사물 인터넷(IoT) 디바이스)들 중에서 적어도 하나의 사물 인터넷(IoT) 디바이스가 사용자에게 공격자로 처리된 사물 인터넷(IoT) 디바이스가 존재하는 것을 알리는 동작을 수행하는 것을 특징으로 하는 사물 인터넷(IoT) 네트워크에서의 ARP 스푸핑 방지 시스템.