WO2019107794A1

WO2019107794A1 - 통신 관리 장치 및 방법

Info

Publication number: WO2019107794A1
Application number: PCT/KR2018/013732
Authority: WO
Inventors: 박수현
Original assignee: 주식회사 안랩
Priority date: 2017-11-28
Filing date: 2018-11-12
Publication date: 2019-06-06
Also published as: KR102096610B1; KR20190061940A

Abstract

일 실시예에 따른 통신 관리 장치는 공용 인터넷 망 및 암호화된 네트워크 망 중 어느 하나와 연결이 되도록 스위칭하는 라우터와, 사물 인터넷 단말로부터 패킷을 전달받는 통신부와, 상기 전달받은 패킷에 적용된 암호화 수준을 분석하는 분석부와, 상기 분석된 암호화 수준이 기 정의된 기준을 충족시키면 상기 전달받은 패킷을 암호화하지 않고, 상기 분석된 암호화 수준이 상기 기준을 충족시키지 못하면 상기 암호화된 네트워크 망에서 지원하는 암호화 알고리즘을 상기 전달받은 패킷에 적용하여서 암호화하는 암호화부와, 상기 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 암호화되지 않은 패킷은 상기 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 제어부를 포함한다.

Description

통신 관리 장치 및 방법

본 발명은 통신 관리 장치 및 방법에 관한 것이다.

최근 사물 인터넷(IoT) 관련한 관심이 많아지면서, IoT 단말을 이용한 상용 서비스들이 제공되고 있다. 상용 서비스를 제공하기 위해, IoT 단말은 공용 인터넷 망을 이용하여서 패킷을 송수신할 수 있다.

그런데, 일반적으로 IoT 단말은 저전력, 경량화 또는 소형화를 기반으로 개발된다. 예컨대 다양한 보안 기능이 IoT 단말에 탑재되기는 어려운 실정이다. 따라서, IoT 단말의 보안성에 대한 문제가 제기되고 있다.

본 발명의 해결하고자 하는 과제는 IoT 단말의 보안성을 향상시키는 기술을 제공하는 것이다.

다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

또한, 상기 분석부는 상기 전달받은 패킷 중 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 사물 인터넷 단말을 식별하는 정보는 상기 사물 인터넷 단말의 매체 액세스 제어 주소(media access control address, MAC 주소) 및 상기 사물 인터넷 단말의 인터넷 프로토콜 (internet protocol, IP) 주소 중 적어도 하나를 포함할 수 있다.

또한, 상기 분석부는 상기 전달받은 패킷이 바이너리(binary) 방식으로 인코딩되었는지 여부를 분석하고, 상기 전달받은 패킷이 상기 바이너리 방식으로 인코딩된 경우라면 디코딩하며, 상기 디코딩된 패킷이 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 포함하면 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 분석부는 상기 전달받은 패킷 중 plain text 형태의 정보를 포함하는 패킷은 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 암호화된 네트워크 망은 TOR(The Onion Router) 네트워크일 수 있다.

또한, 상기 전달받은 패킷에 적용된 암호화 수준이 상기 기준을 충족시키지 못하는 것으로 분석되면, 상기 기준을 충족시키지 못하는 것으로 분석된 패킷의 보안성이 취약하다고 표시하는 디스플레이부를 더 포함할 수 있다.

또한, 상기 통신 관리 장치는 상기 통신 관리 장치의 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달할지 여부를 입력받는 입력부를 더 포함하며, 상기 암호화부는 상기 입력부를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하고, 상기 입력부를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하지 말라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하지 않으며, 상기 제어부는 상기 기준을 충족시키지 못하면서 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 기준을 충족시키지 못하면서 암호화되지 않은 패킷은 목적지로의 전달이 차단되도록 상기 라우터의 스위칭을 제어할 수 있다.

일 실시예에 따른 통신 관리 장치는 공용 인터넷 망 및 암호화된 네트워크 망 중 어느 하나와 연결이 되도록 스위칭하는 라우터와, 사물 인터넷 단말로부터 패킷을 전달받는 통신부와, 상기 전달받은 패킷에 적용된 암호화 수준을 분석하고, 상기 분석된 암호화 수준을 기초로 상기 사물 인터넷 단말의 보안 레벨을 결정하는 분석부와, 상기 결정된 보안 레벨에 따라 상기 사물 인터넷 단말로부터 전달받은 패킷을 암호화하거나 암호화하지 않는 암호화부와, 상기 암호화부에 의해 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 암호화부에 의해 암호화되지 않은 패킷은 상기 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 제어부를 포함한다.

일 실시예에 따른 통신 관리 방법은 통신 관리 장치에 의해 수행되며, 상기 사물 인터넷 단말로부터 패킷을 전달받는 단계와, 상기 전달받은 패킷에 적용된 암호화 수준을 분석하는 단계와, 상기 분석된 암호화 수준이 기 정의된 기준을 충족시키면 상기 전달받은 패킷을 암호화하지 않고, 상기 분석된 암호화 수준이 상기 기준을 충족시키지 못하면 암호화된 네트워크 망에서 지원하는 암호화 알고리즘을 상기 전달받은 패킷에 적용하여서 암호화하는 단계와, 상기 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 통신 관리 장치에 포함된 라우터의 스위칭을 제어하고, 상기 암호화되지 않은 패킷은 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 단계를 포함한다.

또한, 상기 분석하는 단계는 상기 전달받은 패킷 중 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 분석하는 단계는 상기 전달받은 패킷이 바이너리(binary) 방식으로 인코딩되었는지 여부를 분석하고, 상기 전달받은 패킷이 바이너리 방식으로 인코딩된 경우라면 디코딩하며, 상기 디코딩된 패킷이 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 포함하면 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 분석하는 단계는 상기 전달받은 패킷 중 plain text 형태의 정보를 포함하는 패킷은 상기 기준을 충족시키지 못하는 것으로 분석할 수 있다.

또한, 상기 전달받은 패킷에 적용된 암호화 수준이 상기 기준을 충족시키지 못하는 것으로 분석되면, 상기 기준을 충족시키지 못하는 것으로 분석된 패킷의 보안성이 취약하다고 표시하는 단계를 더 포함할 수 있다.

또한, 상기 통신 관리 방법은 상기 통신 관리 장치의 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달할지 여부를 입력받는 단계를 더 포함하며, 상기 암호화하는 단계는 상기 입력받는 단계를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하고, 상기 입력받는 단계를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하지 말라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하지 않으며, 상기 라우팅하는 단계는 상기 기준을 충족시키지 못하면서 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 기준을 충족시키지 못하면서 암호화되지 않은 패킷은 목적지로의 전달이 차단되도록 상기 라우터의 스위칭을 제어할 수 있다.

일 실시예에 따르면, 소정의 암호화 수준을 충족시키는 패킷은 공용 인터넷 망을 통해 목적지로 전달되는 반면, 상기 소정의 암호화 수준을 충족시키지 못하는 패킷은 암호화된 네트워크 망을 통해 목적지로 전달되거나 또는 목적지로 전달되지 않고 차단될 수 있다. 즉, 사물 인터넷 단말이 송신하고자 하는 패킷이 소정의 암호화 수준을 충족시키지 못한다고 하여도 이러한 패킷의 송수신 과정에서 발생 가능한 보안 관련 문제가 해소될 수 있다.

도 1은 일 실시예에 따른 통신 관리 장치가 적용된 네트워크 시스템을 개념적으로 도시한 도면이다.

도 2는 도 1에 도시된 암호화된 네트워크 망의 구성을 개념적으로 도시한 도면이다

도 3은 도 1에 도시된 통신 관리 장치의 구성을 개념적으로 도시한 도면이다

도 4는 도 2에 도시된 분석부에서 패킷에 적용된 암호화 수준을 분석하는 기준을 개념적으로 도시한 도면이다.

도 5는 일 실시예에 따른 통신 관리 방법의 절차를 도시한 도면이다.

도 6은 도 5에 도시된 단계 중 일부를 세분화하여 도시한 도면이다.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

도 1은 일 실시예에 따른 통신 관리 장치(100)가 적용된 네트워크 시스템(10)의 구성을 개념적으로 도시한 도면이다. 다만, 도 1은 예시적인 것에 불과하므로, 통신 관리 장치(100)가 도 1에 도시된 네트워크 시스템(10)에만 적용되는 것으로 한정해석되는 것은 아니다.

도 1을 참조하면, 네트워크 시스템(10)은 통신 관리 장치(100), 적어도 하나의 사물 인터넷 단말(200), 사물 인터넷 관리 서버(300), 네트워크 망(400,500)을 포함한다. 여기서 네트워크 망(400,500)은 공용 인터넷 망(400) 및 암호화된 네트워크 망(500)을 포함한다.

사물 인터넷 단말(200)은 센서 장치나 조명기구 또는 주변을 촬영하는 촬영 장치 등일 수 있다. 이러한 사물 인터넷 단말(200)은 패킷을 생성한 뒤 이를 네트워크 망(400,500)을 통해 외부(예컨대 사물 인터넷 관리 서버(300) 또는 사물 인터넷 단말(200)의 사용자가 소지한 스마트 기기 등)로 송신하거나 또는 이러한 외부로부터 네트워크 망(400,500)을 통해 제어 명령을 포함하는 패킷을 수신해서 해당 제어 명령에 따라 동작할 수 있다. 송수신되는 패킷에는 사물 인터넷 단말(200)을 식별하는 정보(예컨대 사물 인터넷 단말(200)의 매체 액세스 제어 주소(media access control address, MAC 주소) 또는 사물 인터넷 단말(200)의 인터넷 프로토콜 (internet protocol, IP) 주소)), 사물 인터넷 단말(200)의 제어와 관련된 정보, 사물 인터넷 단말(200)로의 접속에 사용되는 정보(ID/password) 등이 포함될 수 있으나 이에 한정되는 것은 아니다.

사물 인터넷 단말(200)은 전술한 패킷을 암호화하지 않고 송신하거나, 인코딩(예컨대 바이너리(binary) 방식으로 인코딩)하여서 송신하거나 또는 다양한 암호화 알고리즘을 기초로 암호화하여 송신할 수 있다.

사물 인터넷 관리 서버(300)는 적어도 하나의 사물 인터넷 단말(200)과 패킷을 주고받으면서 이러한 사물 인터넷 단말(200)들을 관리하는 서버이다. 사물 인터넷 관리 서버(300)는 개인용 컴퓨터(personal computer, PC) 또는 서버(예컨대 클라우드 서버) 등에서 구현 가능하다.

사물 인터넷 관리 서버(300)는 네트워크 망(400,500)을 통해 사물 인터넷 단말(200)로부터 패킷을 전달받은 뒤, 이러한 패킷을 기초로 사물 인터넷 단말(200)을 모니터링하고 관리할 수 있다. 아울러, 사물 인터넷 관리 서버(300)는 네트워크 망(400,500)을 통해 사물 인터넷 단말(200)을 제어하는 제어 명령을 포함하는 패킷을 송신할 수 있다.

네트워크 망(400,500) 중 공용 인터넷 망(400)은 일반적인 인터넷 망을 의미한다. 공용 인터넷 망(400)에 대해 살펴보면, 송수신의 대상이 되는 패킷에 대한 암호화 또는 복호화가 해당 공용 인터넷 망(400)에서 자체적으로 수행되지 않는다.

이와 달리 암호화된 네트워크 망(500)에 대해 살펴보면, 암호화된 네트워크 망(500)은 익명성(anonymous)이라는 특징을 갖는다. 여기서의 익명성이란 온라인 상에서 트래픽 분석이나 IP 주소 추적을 불가능하게 함으로써 프라이버시와 보안이 보장되는 것을 의미한다.

암호화된 네트워크 망(500)은 송수신의 대상이 되는 패킷에 대한 암호화 또는 복호화를 수행한다. 도 2는 이러한 암호화된 네트워크 망(500)을 개념적으로 도시하고 있다. 도 2를 참조하면, 암호화된 네트워크 망(500)은 복수 개의 노드(501)로 구성된다. 각각의 노드(501)들은 서로 연결(502)되어 있으며, 암호화 또는 복호화는 각각의 노드에서 수행될 수 있다. 일 실시예에서 이러한 암호화된 네트워크 망(500)은 TOR(The Onion Router) 네트워크일 수 있는데, TOR 네트워크 자체는 이미 공지된 기술이므로 이에 대한 자세한 설명은 생략하기로 한다. 아울러, 암호화된 네트워크 망(500)이 TOR 네트워크인 것은 예시적인 것에 불과하며, 그 이외의 다른 암호화된 네트워크 망 (예컨대 가상 사설망(Virtual Private Network, VPN))일 수 있는 것이 배제되는 것은 아니다.

다시 도 1을 참조하면, 통신 관리 장치(100)는 사물 인터넷 단말(200)과 사물 인터넷 관리 서버(300) 사이에 배치된다. 통신 관리 장치(100)는 사물 인터넷 단말(200)로부터 패킷을 전달받아서 사물 인터넷 관리 서버(300)에게 전달할 수 있는데, 이 때 패킷에 적용된 암호화 수준에 따라 공용 인터넷 망(400)을 통해 사물 인터넷 관리 서버(300)에게 전달되도록 하거나 또는 암호화된 네트워크 망(500)을 통해 사물 인터넷 관리 서버(300)에게 전달되도록 제어할 수 있다. 아울러, 통신 관리 장치(100)는 사물 인터넷 관리 서버(300)로부터 패킷이 전달되면 이를 사물 인터넷 단말(200)에게 전달할 수 있으며, 만약 전달받은 패킷이 암호화되어 있거나 인코딩되어 있다면 복호화 또는 디코딩을 수행한 뒤 사물 인터넷 단말(200)에게 전달할 수 있다.

이러한 통신 관리 장치(100)는 게이트웨이의 역할을 수행하게 되는데, 이하에서는 이러한 통신 관리 장치(100)에 대해 보다 자세하게 살펴보기로 한다.

도 3은 도 1에 도시된 통신 관리 장치(100)의 구성을 개념적으로 도시한 도면이며, 다만 도 3에 도시된 통신 관리 장치(100)의 구성은 예시적인 것에 불과하므로, 통신 관리 장치(100)가 도 3에 도시된 구성으로 한정해석되는 것은 아니다.

먼저, 통신 관리 장치(100)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 실행하는 마이크로프로세서에 의해 구현 가능하다.

도 3을 참조하면, 통신 관리 장치(100)는 라우터(110), 통신부(120), 분석부(130), 암호화부(150) 및 제어부(170)를 포함하며, 실시예에 따라서 방화벽부(140), 복호화부(160), 디스플레이부(180) 및 입력부(190)를 더 포함할 수 있다.

먼저, 라우터(110)는 일반적으로 사용되는 라우터와 동일한 구성을 가질 수 있으며 하드웨어적으로 또는 소프트웨어적으로 구현 가능하다. 이러한 라우터(110)는 후술할 제어부(170)의 제어에 따라 사물 인터넷 단말(200)로부터 전달받은 패킷을 공용 인터넷 망(400) 및 암호화된 네트워크 망(500) 중 어느 하나로 라우팅시킬 수 있다.

통신부(120)는 사물 인터넷 단말(200)로부터 패킷을 수신하거나 사물 인터넷 단말(200)에게 패킷을 송신한다. 이러한 통신부(120)는 유선 통신 모듈 또는 무선 통신 모듈에 의해 구현 가능하다.

분석부(130), 방화벽부(140), 암호화부(150), 복호화부(160) 및 제어부(170)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 실행하는 마이크로프로세서에 의해 구현 가능하다.

분석부(130)에 대해 먼저 살펴보면, 분석부(130)는 사물 인터넷 단말(200)로부터 전달받은 패킷에 적용된 암호화 수준을 분석할 수 있다. 분석 결과를 기초로 분석부(130)는 해당 패킷 자체에 대한 암호화 수준을 결정하거나 또는 해당 패킷을 송신한 사물 인터넷 단말(200) 자체의 암호화 수준을 결정할 수 있다. 결정된 암호화 수준은 제어부(170)에게 전달될 수 있다. 이를 위해 분석부(130)는 통신부(120)가 전달받은 패킷을 모니터링하는 패킷 스니핑(sniffing) 모듈을 포함할 수 있다.

도 4는 분석부(130)가 패킷에 적용된 암호화 수준을 결정하는 판단 기준(기준)에 대해 도시하고 있다. 도 4를 참조하여서 보다 자세하게 살펴보면, 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷이 도 4에 도시된 판단 기준 중 어떠한 것을 포함하고 있는지 또는 판단 기준 중 어떠한 것과 매칭되는지를 기초로, 해당 패킷에 대한 암호화 수준이 기준에 부합되는지(기준을 충족시키는지) 아니면 기준 미달인지(기준을 충족시키지 못하는지)를 분석할 수 있다. 아울러, 기준 미달인 경우에도 판단 기준에 따라 상대적으로 암호화 수준이 높은 경우와 상대적으로 낮은 경우로 분석할 수 있다. 이에 따르면, 패킷의 암호화 수준이 기준에 부합되면 상(上)으로 분류될 수 있으며, 패킷의 암호화 수준이 기준 미달인 경우에도 판단 기준에 따라 중(中) 또는 하(下)로 분류될 수 있다. 다만 도 4에 도시된 것과 같이 암호화 수준이 상, 중, 하 3개로 분류되는 것 및 판단 기준은 예시적인 것에 불과하며, 암호화 수준인 2개이거나 또는 4개 이상일 수도 있고, 판단 기준 또한 도시된 것과는 상이할 수 있다.

보다 자세하게 살펴보면, 예컨대 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷에 전송 계층 보안(Transport Layer Security)이나 기타 다양한 암호화 알고리즘이 적용되었는지 여부를 분석할 수 있다. 이 경우 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기 정의된 기준에 부합되는 것으로 분석할 수 있고, 이 때의 암호화 수준에 대해 분석부(130)는 상(上)으로 분류할 수 있다.

이와 달리, 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷이 사물 인터넷 단말(200)을 식별하는 정보(사물 인터넷 단말의 매체 액세스 제어 주소(media access control address, MAC 주소)의 전부나 일부 또는 상기 사물 인터넷 단말의 인터넷 프로토콜 (internet protocol, IP) 주소 등)의 전부나 일부를 포함하는지를 분석할 수 있고, 이 경우 분석부(130)는 암호화 수준이 기 정의된 기준 미달인 것으로 분석할 수 있으며, 이 때의 암호화 수준에 대해 중(中)으로 분류할 수 있다.

예컨대, 패킷이 MAC 주소의 전부 또는 일부를 포함하고 있고 이러한 MAC 주소의 전부 또는 일부가 사전에 정의된 정보와 일치하는 경우, 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기 정의된 기준 미달인 것으로 분석할 수 있다. 여기서 MAC 주소의 일부라는 것은 MAC 주소 중 사물 인터넷 단말(200)의 제조사를 나타내는 MAC 주소의 끝의 2바이트 또는 3바이트일 수 있는데 이에 한정되는 것은 아니다.

여기서, 패킷에 포함된 MAC 주소나 IP 주소는 바이너리 방식으로 인코딩되어 있을 수 있다. 이에, 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷이 바이너리 방식으로 인코딩되어 있는지 여부를 분석한 뒤, 바이너리 방식으로 인코딩되어 있다면 이를 디코딩할 수 있으며, 디코딩된 정보를 사전에 정의된 정보와 매칭시킴으로써 전술한 분석을 수행할 수 있다.

이와 달리, 분석부(130)는 패킷에 포함된 정보가 plain text 형태인지 여부를 분석할 수 있고, 이 경우 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기 정의된 기준 미달인 것으로 분석할 수 있고, 이 때의 암호화 수준에 대해 하(下)로 분류할 수 있다.

보다 자세하게 살펴보면, 먼저 plain text란 사람이 읽을 수 있는(human readable) 형태의 정보를 의미한다. 이를 기초로 살펴보면, 예컨대 패킷이 사물 인터넷 단말(200)의 제어와 관련된 정보(사물 인터넷 단말(200)에 대한 ON, OFF, SET, GET 등과 같은 명령)를 이러한 plain text 형태로 포함하는 경우, 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기준 미달인 것으로 분석할 수 있다. 또는 패킷이 사물 인터넷 단말(200)로의 접속에 사용되는 정보(사물 인터넷 단말(200)의 ID 또는 패스워드, 사물 인터넷 단말(200)의 제조사명이나 제품명 또는 해당 사물 인터넷 단말(200)의 사용자명이나 암호 등)를 이러한 plain text 형태로 포함하는 경우, 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기준 미달인 것으로 분석할 수 있다.

다만, 분석부(130)가 위와 같은 방법으로 패킷에 적용된 암호화 수준을 분석하는 방법은 예시적인 것에 불과하며, 이와 다른 방법으로 암호화 수준을 분석하는 기술이 배제되는 것은 아니다.

다시 도 3을 참조하면, 방화벽부(140)는 패킷을 공용 인터넷 망(400)을 통해 목적지(예컨대 사물 인터넷 관리 서버(300) 또는 사용자가 소지하는 스마트 기기 등)로 송신할 것인지 아니면 암호화된 네트워크 망(500)을 통해 목적지로 송신할 것인지에 대한 정책을 저장한다. 예컨대, 방화벽부(140)에 저장된 정책은 암호화 수준이 기 정의된 기준에 부합되는 패킷은 공용 인터넷 망(400)을 통해 목적지로 송신하며, 전술한 기준 미달인 패킷은 암호화된 네트워크 망(500)을 통해 목적지로 송신하거나 목적지로 송신되지 않도록 차단하는 것일 수 있다.

암호화부(150)는 사물 인터넷 단말(200)로부터 수신된 패킷을 암호화하는 모듈이다. 암호화부(150)는 암호화된 네트워크 망(500)에서 지원하는 암호화 알고리즘을 패킷에 적용하여서 암호화를 수행할 수 있는데, 이러한 암호화 알고리즘은 예컨대 TOR 네트워크 또는 VPN에서 사용되는 알고리즘일 수 있으나 이에 한정되는 것은 아니다.

한편, 전술한 바와 같이 분석부(130)는 사물 인터넷 단말(200)로부터 전달받은 패킷 자체에 대한 암호화 수준을 결정할 수 있지만, 이와 달리 실시예에 따라서 해당 패킷을 송신한 사물 인터넷 단말(200) 자체의 암호화 수준을 결정할 수 있다. 후자에 있어서, 암호화부(150)는 암호화 수준이 기 정의된 기준과 부합되는 것으로 결정된 사물 인터넷 단말(200)로부터 수신되는 모든 패킷에 대해서 암호화를 수행하지 않을 수 있으며, 암호화 수준이 기 정의된 기준 미달인 것으로 결정된 사물 인터넷 단말(200)로부터 수신되는 모든 패킷에 대해서는 암호화를 수행할 수 있다.

복호화부(160)는 암호화된 패킷에 대한 복호화를 수행하는 구성이며, 복호화에 이용되는 알고리즘은 예컨대 TOR 네트워크 또는 VPN에서 사용되는 알고리즘일 수 있으나 이에 한정되는 것은 아니다.

제어부(170)는 라우터(110)의 스위칭 동작을 제어한다. 예컨대 제어부(170)는 암호화 수준이 기준 미달이여서 암호화부(150)에 의해 암호화된 패킷은 암호화된 네트워크 망(500)을 통해 목적지로 전달될 수 있도록 라우터(110)의 스위칭 동작을 제어할 수 있고, 암호화 수준이 기준에 부합되어서 암호화되지 않은 패킷은 공용 인터넷 망(400)을 통해 목적지로 전달될 수 있도록 라우터(110)의 스위칭 동작을 제어한다. 또는 실시예에 따라서 제어부(170)는 암호화 수준이 기준 미달인 패킷에 대해 사용자로부터의 입력이 있는 경우 목적지로 전달되지 않도록 차단시킬 수 있다.

따라서, 일 실시예에 따르면, 소정의 암호화 수준을 충족시키는 패킷은 공용 인터넷 망을 통해 목적지로 전달되는 반면, 상기 소정의 암호화 수준을 충족시키지 못하는 패킷은 암호화된 네트워크 망을 통해 목적지로 전달되거나 또는 목적지로 전달되지 않고 차단될 수 있다. 즉, 사물 인터넷 단말이 송신하고자 하는 패킷이 소정의 암호화 수준을 충족시키지 못한다고 하여도 이러한 패킷의 송수신 과정에서 발생 가능한 보안 관련 문제가 해소될 수 있다.

한편, 전술한 바에 따르면 제어부(170)는 패킷에 적용된 암호화 수준이 기준 미달일 경우 해당 패킷에 대한 암호화가 수행된 뒤 암호화된 네트워크 망(500)을 통해 목적지로 전달되도록 제어할 수 있다고 기술되어 있다. 즉, 암호화 수준이 기준 미달이라면 중(中)으로 분류되거나 하(下)로 분류되는 경우 모두 동일한 방식으로 처리될 수 있다.

다만, 이와 달리, 실시예에 따라서 패킷에 적용된 암호화 수준이 기준 미달이면서 중(中)으로 분류될 경우에는 해당 패킷에 대한 암호화가 수행된 뒤 암호화된 네트워크 망(500)을 통해 목적지로 전달되고, 패킷에 적용된 암호화 수준이 기준 미달이면서 하(下)로 분류될 경우에는 해당 패킷의 목적지로의 전달 자체가 차단되도록 제어할 수도 있다.

디스플레이부(180)는 이미지나 텍스트 등을 표시하는 구성이다. 디스플레이부(180)는 통신 관리 장치(100)의 사용자에게 소정의 질의 사항을 표시할 수 있다. 예컨대, 디스플레이부(180)에 표시되는 질의 사항은, 사물 인터넷 단말(200)로부터 수신된 패킷의 암호화 수준이 기준 미달인 경우, 해당 패킷의 보안성이 취약함을 표시하면서, 해당 패킷을 목적지로 전달할 것인지를 질의하는 것일 수 있으며, 다만 이에 한정되는 것은 아니다.

입력부(190)는 통신 관리 장치(100)의 사용자로부터 그의 의사를 입력받을 수 있다. 예컨대, 입력부(190)는 사용자가 조작할 수 있는 버튼 등으로 구현되거나 또는 디스플레이부(180)와 함께 터치스크린의 형태로 구현될 수도 있으며, 이와 달리 사용자가 소지한 별도의 스마트폰에서 어플리케이션의 형태로 구현될 수도 있으며, 다만 이에 한정되는 것은 아니다.

디스플레이부(180)에서 사용자에게 보안성이 취약한 패킷을 목적지로 전달할 것인지를 질의한 것에 대해, 입력부(190)는 전달할 것인지 전달하지 않을 것인지에 대한 사용자의 의사를 입력으로 받을 수 있다. 만약, 입력부(190)를 통해 사용자가 해당 패킷을 목적지로 전달할 의사를 표명하면 암호화부(150)는 해당 패킷을 암호화하며, 암호화된 패킷은 제어부(170)의 제어에 따라 암호화된 네트워크 망(500)을 통해 목적지로 전달될 수 있다.

그러나, 사용자가 입력부(190)를 통해 해당 패킷을 목적지로 전달하지 않을 의사를 표명하면, 이러한 패킷은 제어부(170)의 제어에 따라 목적지로 전달되지 않고 차단될 수 있다.

다만, 여기서 디스플레이부(180)가 사용자에게 질의를 하고 입력부(190)가 사용자로부터 입력을 받는 것은 실시예에 따라 수행되거나(수동 모드) 또는 수행되지 않을 수 있다(자동 모드). 수행되지 않을 경우, 제어부(170)는 전술한 조건들이 만족되면 자동으로 해당 패킷이 목적지로 전달되지 않도록 차단할 수 있다(자동 모드)

이상에서 살펴본 바와 같이, 일 실시예에 따르면, 소정의 암호화 수준을 충족시키는 패킷은 공용 인터넷 망을 통해 목적지로 전달되는 반면, 상기 소정의 암호화 수준을 충족시키지 못하는 패킷은 암호화된 네트워크 망을 통해 목적지로 전달되거나 또는 목적지로 전달되지 않고 차단될 수 있다. 즉, 사물 인터넷 단말이 송신하고자 하는 패킷이 소정의 암호화 수준을 충족시키지 못한다고 하여도 이러한 패킷의 송수신 과정에서 발생 가능한 보안 관련 문제가 해소될 수 있다.

한편, 도 5는 일 실시예에 따른 통신 관리 방법의 절차를 도시한 도면이다. 도 5에 도시된 방법은 도 3에 도시된 통신 관리 장치(100)에 의해 수행될 수 있다. 아울러, 도 5에 도시된 방법의 절차는 예시적인 것에 불과하므로, 도 5에 도시된 것에 한정해석되는 것은 아니다.

도 5를 참조하면, 통신 관리 장치(100)의 통신부(120)가 사물 인터넷 단말(200)로부터 패킷을 전달받는 단계가 수행된다(S110).

또한, 전달받은 패킷에 적용된 암호화 수준을 통신 관리 장치(100)의 분석부(130)가 분석하는 단계가 수행된다(S200).

또한, 단계 S200에서 분석된 암호화 수준이 기 정의된 기준에 부합되면 암호화가 수행되지 않으며, 암호화 수준이 기 정의된 기준 미달이면 암호화된 네트워크 망(500)에서 지원하는 암호화 알고리즘에 의해 암호화가 수행된다(S300).

또한, 단계 S300에서 암호화된 패킷은 암호화된 네트워크 망(500)을 통해 목적지로 전달되도록 제어부(170)가 라우터(110)를 라우팅하고, 암호화되지 않은 패킷은 공용 인터넷 망(300)을 통해 목적지로 전달되도록 제어부(170)가 라우터(110)를 라우팅하는 단계가 수행된다(S400).

여기서, 단계 S200 내지 단계 S400에 대해서는 도 6을 참고하여 보다 자세하게 살펴보기로 한다.

도 6은 도 5에 도시된 절차 중 단계 S200 내지 S400을 보다 자세하게 도시한 도면이다. 도 6을 도 5와 함께 참조하면, 도 6에 도시된 단계 S210 내지 S230은 도 5에 도시된 단계 S200을 보다 세분화한 단계이며, 도 6에 도시된 단계 S310 내지 S320은 도 5에 도시된 단계 S300을 보다 세분화한 단계이며, 도 6에 도시된 단계 S410 내지 S420은 도 5에 도시된 단계 S400을 보다 세분화한 단계이다.

단계 S210에서 분석부(130)는 패킷에 포함된 데이터를 탐지(sniffing)할 수 있다. 이를 위해 분석부(130)가 패킷 스니핑(sniffing) 모듈을 포함할 수 있음은 전술한 바와 같다.

단계 S220에서 분석부(130)는 패킷에 적용된 암호화 수준을 판단 기준(기준)과 비교하여서 결정할 수 있다. 판단 기준은 도 4에 도시된 것일 수 있으나 이에 한정되는 것은 아니다.

구체적으로 살펴보면, 단계 S220에서 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷이 도 4에 도시된 판단 기준 중 어떠한 것을 포함하고 있는지 또는 판단 기준 중 어떠한 것과 매칭되는지를 기초로, 해당 패킷에 대한 암호화 수준이 기준에 부합되는지 아니면 기준 미달인지를 분석할 수 있다. 아울러, 기준 미달인 경우에도 판단 기준에 따라 상대적으로 암호화 수준이 높은 경우와 상대적으로 낮은 경우로 분석할 수 있다.

보다 자세하게 살펴보면, 예컨대 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷에 전송 계층 보안(Transport Layer Security)이나 기타 다양한 암호화 알고리즘이 적용되었는지 여부를 분석할 수 있다. 이 경우 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기 정의된 기준에 부합되는 것으로 분석할 수 있다(S230).

암호화 수준이 기준에 부합되는 것으로 분석될 경우, 암호화부(150)는 해당 패킷에 대해 암호화를 수행하지 않는다(S310). 그리고 제어부(170)는 해당 패킷이 공용 인터넷 망(400)을 통해 목적지로 전달될 수 있도록 라우터(110)의 스위칭 동작을 제어할 수 있다(S410).

이와 달리, 분석부(130)는 사물 인터넷 단말(200)로부터 수신된 패킷이 사물 인터넷 단말(200)을 식별하는 정보(사물 인터넷 단말의 매체 액세스 제어 주소(media access control address, MAC 주소)의 전부나 일부 또는 상기 사물 인터넷 단말의 인터넷 프로토콜 (internet protocol, IP) 주소 등)의 전부나 일부를 포함하는지를 분석할 수 있고, 이 경우 분석부(130)는 암호화 수준이 기 정의된 기준 미달인 것으로 분석할 수 있다.

또한, 분석부(130)는 패킷에 포함된 정보가 plain text 형태인지 여부를 분석할 수 있고, 이 경우 분석부(130)는 해당 패킷에 적용된 암호화 수준이 기 정의된 기준 미달인 것으로 분석할 수 있다.

패킷에 적용된 암호화 수준이 기준 미달인 것으로 분석되면, 암호화부(150)는 패킷을 암호화할 수 있다(S320). 여기서 패킷에 적용되는 암호화 알고리즘은 예컨대 TOR 네트워크 또는 VPN에서 사용되는 알고리즘일 수 있으나 이에 한정되는 것은 아니다. 그리고, 제어부(170)는 암호화된 패킷이 암호화된 네트워크 망(500)을 통해 목적지로 전달될 수 있도록 라우터(110)의 스위칭 동작을 제어할 수 있다(S420). 다만, 실시예에 따라서 패킷에 적용된 암호화 수준이 기준 미달인 경우 전술한 것과 같이 암호화된 네트워크 망(500)을 통해 목적지로 전달되도록 제어하지 않고 목적지로의 전달 자체가 차단되도록 제어될 수 있음은 전술한 바와 같다.

한편, 일 실시예에 따른 통신 관리 방법은 전술한 통신 관리 장치(100)에 대한 것과 실질적으로 동일한 기술적 사상을 포함하므로, 통신 관리 장치(100)에서 이미 설명하였던 사항을 원용하기로 하고, 이에 대한 중복된 설명은 생략하기로 한다.

또 한편, 일 실시예에 따른 통신 보안 방법은 이러한 방법에 포함된 절차를 수행하도록 프로그램된 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체의 형태로 구현되거나, 또는 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램의 형태로 구현될 수 있다.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims

공용 인터넷 망 및 암호화된 네트워크 망 중 어느 하나와 연결이 되도록 스위칭하는 라우터와,

사물 인터넷 단말로부터 패킷을 전달받는 통신부와,

상기 전달받은 패킷에 적용된 암호화 수준을 분석하는 분석부와,

상기 분석된 암호화 수준이 기 정의된 기준을 충족시키면 상기 전달받은 패킷을 암호화하지 않고, 상기 분석된 암호화 수준이 상기 기준을 충족시키지 못하면 상기 암호화된 네트워크 망에서 지원하는 암호화 알고리즘을 상기 전달받은 패킷에 적용하여서 암호화하는 암호화부와,

상기 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 암호화되지 않은 패킷은 상기 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 제어부를 포함하는

통신 관리 장치.
제 1 항에 있어서,

상기 분석부는,

상기 전달받은 패킷 중 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 장치.
제 2 항에 있어서,

상기 사물 인터넷 단말을 식별하는 정보는,

상기 사물 인터넷 단말의 매체 액세스 제어 주소(media access control address, MAC 주소) 및 상기 사물 인터넷 단말의 인터넷 프로토콜 (internet protocol, IP) 주소 중 적어도 하나를 포함하는

통신 관리 장치.
제 2 항에 있어서,

상기 분석부는,

상기 전달받은 패킷이 바이너리(binary) 방식으로 인코딩되었는지 여부를 분석하고,

상기 전달받은 패킷이 상기 바이너리 방식으로 인코딩된 경우라면 디코딩하며,

상기 디코딩된 패킷이 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 포함하면 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 장치.
제 1 항에 있어서,

상기 분석부는,

상기 전달받은 패킷 중 plain text 형태의 정보를 포함하는 패킷은 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 장치.
제 1 항에 있어서,

상기 암호화된 네트워크 망은,

TOR(The Onion Router) 네트워크인

통신 관리 장치.
제 1 항에 있어서,

상기 전달받은 패킷에 적용된 암호화 수준이 상기 기준을 충족시키지 못하는 것으로 분석되면, 상기 기준을 충족시키지 못하는 것으로 분석된 패킷의 보안성이 취약하다고 표시하는 디스플레이부를 더 포함하는

통신 관리 장치.
제 1 항에 있어서,

상기 통신 관리 장치는,

상기 통신 관리 장치의 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달할지 여부를 입력받는 입력부를 더 포함하며,

상기 암호화부는,

상기 입력부를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하고, 상기 입력부를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하지 말라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하지 않으며,

상기 제어부는,

상기 기준을 충족시키지 못하면서 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 기준을 충족시키지 못하면서 암호화되지 않은 패킷은 목적지로의 전달이 차단되도록 상기 라우터의 스위칭을 제어하는

통신 관리 장치.
공용 인터넷 망 및 암호화된 네트워크 망 중 어느 하나와 연결이 되도록 스위칭하는 라우터와,

사물 인터넷 단말로부터 패킷을 전달받는 통신부와,

상기 전달받은 패킷에 적용된 암호화 수준을 분석하고, 상기 분석된 암호화 수준을 기초로 상기 사물 인터넷 단말의 보안 레벨을 결정하는 분석부와,

상기 결정된 보안 레벨에 따라 상기 사물 인터넷 단말로부터 전달받은 패킷을 암호화하거나 암호화하지 않는 암호화부와,

상기 암호화부에 의해 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 암호화부에 의해 암호화되지 않은 패킷은 상기 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 제어부를 포함하는

통신 관리 장치.
통신 관리 장치에 의해 수행되는 사물 인터넷 단말의 통신을 관리하는 방법으로서,

상기 사물 인터넷 단말로부터 패킷을 전달받는 단계와,

상기 전달받은 패킷에 적용된 암호화 수준을 분석하는 단계와,

상기 분석된 암호화 수준이 기 정의된 기준을 충족시키면 상기 전달받은 패킷을 암호화하지 않고, 상기 분석된 암호화 수준이 상기 기준을 충족시키지 못하면 암호화된 네트워크 망에서 지원하는 암호화 알고리즘을 상기 전달받은 패킷에 적용하여서 암호화하는 단계와,

상기 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 통신 관리 장치에 포함된 라우터의 스위칭을 제어하고, 상기 암호화되지 않은 패킷은 공용 인터넷 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하는 단계를 포함하는

통신 관리 방법.
제 10 항에 있어서,

상기 분석하는 단계는,

상기 전달받은 패킷 중 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 방법.
제 11 항에 있어서,

상기 사물 인터넷 단말을 식별하는 정보는,

상기 사물 인터넷 단말의 매체 액세스 제어 주소(media access control address, MAC 주소) 및 상기 사물 인터넷 단말의 인터넷 프로토콜 (internet protocol, IP) 주소 중 적어도 하나를 포함하는

통신 관리 방법.
제 11 항에 있어서,

상기 분석하는 단계는,

상기 전달받은 패킷이 바이너리(binary) 방식으로 인코딩되었는지 여부를 분석하고,

상기 전달받은 패킷이 바이너리 방식으로 인코딩된 경우라면 디코딩하며,

상기 디코딩된 패킷이 상기 사물 인터넷 단말을 식별하는 정보의 적어도 일부의 패킷을 포함하면 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 방법.
제 10 항에 있어서,

상기 분석하는 단계는,

상기 전달받은 패킷 중 plain text 형태의 정보를 포함하는 패킷은 상기 기준을 충족시키지 못하는 것으로 분석하는

통신 관리 방법.
제 10 항에 있어서,

상기 전달받은 패킷에 적용된 암호화 수준이 상기 기준을 충족시키지 못하는 것으로 분석되면, 상기 기준을 충족시키지 못하는 것으로 분석된 패킷의 보안성이 취약하다고 표시하는 단계를 더 포함하는

통신 관리 방법.
제 10 항에 있어서,

상기 통신 관리 방법은,

상기 통신 관리 장치의 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달할지 여부를 입력받는 단계를 더 포함하며,

상기 암호화하는 단계는,

상기 입력받는 단계를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하고, 상기 입력받는 단계를 통해서 상기 사용자로부터 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 목적지로 전달하지 말라는 입력을 받으면 상기 기준을 충족시키지 못하는 것으로 분석된 패킷을 암호화하지 않으며,

상기 라우팅하는 단계는,

상기 기준을 충족시키지 못하면서 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 상기 라우터의 스위칭을 제어하고, 상기 기준을 충족시키지 못하면서 암호화되지 않은 패킷은 목적지로의 전달이 차단되도록 상기 라우터의 스위칭을 제어하는

통신 관리 방법.
사물 인터넷 단말로부터 패킷을 전달받는 단계와

상기 전달받은 패킷에 적용된 암호화 수준을 분석하는 단계와,

상기 분석된 암호화 수준이 기 정의된 기준을 충족시키면 상기 전달받은 패킷을 암호화하지 않고, 상기 분석된 암호화 수준이 상기 기준을 충족시키지 못하면 암호화된 네트워크 망에서 지원하는 암호화 알고리즘을 상기 전달받은 패킷에 적용하여서 암호화하는 단계와,

상기 암호화된 패킷은 상기 암호화된 네트워크 망을 통해 목적지로 전달되도록 라우팅하고, 상기 암호화되지 않은 패킷은 공용 인터넷 망을 통해 목적지로 전달되도록 라우팅하는 단계를 포함하여 수행하도록 프로그램된

컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체.