WO2021070978A1

WO2021070978A1 - 블록체인 기반의 edr 장치 및 방법

Info

Publication number: WO2021070978A1
Application number: PCT/KR2019/013123
Authority: WO
Inventors: 노태상; 금동하; 이성기
Original assignee: (주)하몬소프트
Priority date: 2019-08-27
Filing date: 2019-10-07
Publication date: 2021-04-15
Also published as: KR102221736B1

Abstract

본 발명은 블록체인 기반의 EDR 장치 및 방법에 관한 것으로, 상기 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부 및 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다. 따라서, 본 발명은 프라이빗 블록체인 네트워크를 구성하여 엔드포인트로부터 수집된 정보를 안전하게 저장하고 관리할 수 있다.

Description

블록체인 기반의 EDR 장치 및 방법

본 발명은 EDR 기술에 관한 것으로, 더욱 상세하게는 프라이빗 블록체인 네트워크를 구성하여 엔드포인트로부터 수집된 정보를 안전하게 저장하고 관리할 수 있는 블록체인 기반의 EDR 장치 및 방법에 관한 것이다.

EDR (Endpoint Detection and Response) 기술은 가트너(Gartner)에 의해 2013년 처음 소개되었다. 여기에서, EDR은 엔드포인트의 행위와 이벤트들을 기록하고, 수집된 행위와 이벤트들을 기반으로 공격을 탐지하고 대응하는 솔루션으로 정의되었다. 즉, EDR은 많은 사이버 공격의 목표이자 시작점을 엔드포인트로 규정하고, 엔드포인트에서 무슨 일이 일어나고 있는가라는 질문에서부터 출발한다.

EDR은 엔드포인트에서 다양한 정보(예: 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자)를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 다양한 정보를 기반으로 행위분석, 머신러닝, IOC(Indicator of Compromise) 탐지의 기술로 알려진 그리고 알려지지 않은 위협을 탐지할 수 있다. EDR은 파일 기반의 악성 코드뿐만 아니라 파일 없이 실행되는 악성 코드에 대한 공격도 탐지할 수 있다. 또한, EDR은 위협이 발견된 엔드포인트를 격리하고, 위협을 제거할 수 있도록 대응을 가능하게 할 수 있다.

EDR은 전통적인 엔드포인트 보안 플랫폼(Endpoint Protection Platform)의 방어 기술보다 악성 코드의 공격 방법과 기술을 더욱 빠르게 진화시켰다.

[선행기술문헌]

[특허문헌]

한국등록특허 제10-1814368(2018.01.04)호

본 발명의 일 실시예는 프라이빗 블록체인 네트워크를 구성하여 엔드포인트로부터 수집된 정보를 안전하게 저장하고 관리할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.

본 발명의 일 실시예는 UIA의 식별 인증을 통해 추적 사용자 세션을 생성하고 엔드포인트 단말로부터 수집한 사용자 행위에 관한 정보를 기초로 블록체인용 블록을 생성할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.

본 발명의 일 실시예는 가상화된 블록체인 컨테이너를 기초로 멀티 블록체인 네트워크를 구축하여 추적대상파일 데이터를 안전하게 저장할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.

실시예들 중에서, 블록체인 기반의 EDR (Endpoint Detection & Response) 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부 및 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.

상기 EDR 장치는 EDR 단말 장치로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 상기 사용자 신원 기반 세션을 통해 상기 EDR 단말 장치와의 데이터 교환을 처리하는 엔드포인트 관리부를 더 포함할 수 있다.

상기 적어도 하나의 가상 블록체인 컨테이너는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성할 수 있다.

상기 파일블록 구성부는 파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 상기 파일 핑거프린트를 생성하고, 상기 파일 핑거프린트, EDR 단말 장치로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 상기 파일블록을 구성할 수 있다.

상기 파일블록 구성부는 상기 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 상기 파일블록에 더 추가하고, 상기 블록체인 관리부는 상기 파일 안전등급을 기초로 상기 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 상기 파일블록을 저장할 수 있다.

상기 블록체인 관리부는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 상기 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 상기 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성할 수 있다.

상기 블록체인 관리부는 상기 파일블록을 상기 실제 블록체인 노드에 분산되게 저장함으로써 상기 멀티 블록체인 네트워크에 전파할 수 있다.

실시예들 중에서, 블록체인 기반의 EDR 방법은 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성하는 단계, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 단계 및 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 단계를 포함한다.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.

본 발명의 일 실시예에 따른 블록체인 기반의 EDR 장치 및 방법은 UIA의 식별 인증을 통해 추적 사용자 세션을 생성하고 엔드포인트 단말로부터 수집한 사용자 행위에 관한 정보를 기초로 블록체인용 블록을 생성할 수 있다.

본 발명의 일 실시예에 따른 블록체인 기반의 EDR 장치 및 방법은 가상화된 블록체인 컨테이너를 기초로 멀티 블록체인 네트워크를 구축하여 추적대상파일 데이터를 안전하게 저장할 수 있다.

도 1은 본 발명에 따른 블록체인 기반의 EDR 시스템의 구성을 설명하는 도면이다.

도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.

도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.

도 4는 도 1에 있는 EDR 장치에서 수행되는 블록체인 기반의 EDR 과정을 설명하는 순서도이다.

도 5 및 6은 본 발명의 일 실시예에 따른 블록체인 기반의 EDR 시스템을 설명하는 개념도이다.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.

도 1을 참조하면, 블록체인 기반의 EDR 시스템(100)은 EDR 단말 장치(110), EDR 장치(130) 및 데이터베이스(150)를 포함할 수 있다.

EDR 단말 장치(110)는 네트워크에 접근하는 사용자의 신원을 인증하고 사용자의 행위를 추적하여 시스템에 위협이 되는 행위를 감지할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. EDR 단말 장치(110)는 EDR 장치(130)와 네트워크를 통해 연결될 수 있고, 복수의 EDR 단말 장치(110)들은 EDR 장치(130)와 동시에 연결될 수 있다.

일 실시예에서, EDR 단말 장치(110)는 엔드포인트(endpoint) 단말로서 사용자 또는 업무용 PC에 해당할 수 있고, 사용자 행위들에 관한 정보를 수집하고 이를 프론트-엔드 서버로 전송하는 동작을 수행하는 엔드포인트 에이전트의 동작을 제어할 수 있다. 또한, EDR 단말 장치(110)는 사용자의 신원을 인증할 수 있고, 엔드포인트 에이전트와 연동하여 사용자의 접근 및 이용을 제한할 수 있다.

여기에서, 엔드포인트 에이전트는 엔드포인트 단말 상에서 동작하는 프로그램에 해당할 수 있고, 사용자 행위를 모니터링 하는 역할을 수행할 수 있다. 엔드포인트 에이전트는 사용자 트래커(tracker), 네트워크 데이터 트래커, 파일 메타데이터 처리기 및 시큐리티 정책 집행기를 포함할 수 있다.

사용자 트래커는 사용자의 행위를 추적하는 동작을 수행할 수 있고, 네트워크 데이터 트래커는 네트워크 트래픽 데이터를 수집하고 분석하는 동작을 수행할 수 있으며, 파일 메타데이터 처리기는 파일로부터 메타데이터를 추출하고 분석하는 동작을 수행할 수 있고, 시큐리티 정책 집행기는 EDR 장치(130)로부터 수신된 시큐리티 정책에 따라 사용자의 행위에 대한 허용여부를 결정하는 동작을 수행할 수 있다.

일 실시예에서, EDR 단말 장치(110)는 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 EDR 장치(130)로 해당 추적대상파일의 메타데이터를 전송하고 EDR 장치(130)로부터 해당 메타데이터의 변경 알림이 수신되면 SYSCALL 그래프를 생성하여 EDR 장치(130)에게 제공할 수 있다.

EDR 장치(130)는 EDR 단말 장치(110)로부터 수집된 사용자의 행위에 관한 정보를 블록체인에 저장하고 관리하는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 또한, EDR 장치(130)는 분석 서버와의 연동을 통해 사용자의 행위에 관한 학습, 분석 및 탐지 등의 동작을 수행할 수 있다.

이 때, 분석 서버는 SIEM(Security Information and Event Management) 기반의 위협행위를 검출하고 인공지능 기반의 위협행위를 분석하며 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행할 수 있다. 이러한 동작을 위해 분석 서버는 SIEM 기반 위협행위 검출기, 비지도학습 기반 위협행위 분석기, 하이브리드 AI 기반 위협행위 분석기 및 시큐리티 정책 업데이터를 포함하여 구현될 수 있다.

또한, EDR 장치(130)는 EDR 단말 장치(110)와 블루투스, WiFi, 통신망 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 EDR 단말 장치(110)와 데이터를 주고받을 수 있다.

일 실시예에서, EDR 장치(130)는 데이터베이스(150)와 연동하여 엔드포인트 단말로부터 수집한 정보를 저장하고 관리하는 동작을 수행할 수 있다. 한편, EDR 장치(130)는 도 1과 달리, 데이터베이스(150)를 내부에 포함하여 구현될 수 있다. EDR 장치(130)는 프로세서, 메모리, 사용자 입출력부 및 네트워크 입출력부를 포함하여 구현될 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.

데이터베이스(150)는 EDR 장치(130)의 동작 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 EDR 단말 장치(110)로부터 수집된 사용자 행위에 관한 정보를 저장할 수 있으나, 반드시 이에 한정되지 않고, EDR 단말 장치(110) 및 분석 서버와의 연동 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.

일 실시예에서, 데이터베이스(150)는 프라이빗(private) 블록체인 네트워크와 연동하여 동작할 수 있다. 한편, 프라이빗 블록체인 네트워크는 가상 블록체인 컨테이너로 구현될 수 있고, 이 경우 프라이빗 블록체인 네트워크는 EDR 장치(130)의 일 구성요소로서 동작할 수 있다.

도 2를 참조하면, EDR 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함하여 구현될 수 있다.

프로세서(210)는 EDR 장치(130)의 각 동작을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 EDR 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 EDR 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.

메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 EDR 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.

사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, EDR 장치(130)는 서버로서 수행될 수 있다.

네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.

도 3을 참조하면, EDR 장치(130)는 가상 블록체인 컨테이너(310), 파일블록 구성부(330), 블록체인 관리부(350), 엔드포인트 관리부(370) 및 제어부(390)를 포함할 수 있다.

가상 블록체인 컨테이너(310)는 각각이 논리적으로 분산된 블록체인 저장소로 구성될 수 있다. 즉, 가상 블록체인 컨테이너(310)는 물리 컴퓨팅 요소(physical computing element)와 독립적으로 생성되는 가상의 컨테이너(container)에 해당할 수 있고, 블록체인 네트워크를 형성하는 하나의 노드에 대응되어 동작할 수 있다. 따라서, 가상 블록체인 컨테이너(310)는 EDR 단말 장치(110)로부터 수집한 정보들을 기초로 생성된 블록들을 분산 저장하는 역할을 수행할 수 있다.

한편, 가상 블록체인 컨테이너(310)는 EDR 장치(130)에 의해 생성되고 관리될 수 있으며, 보다 구체적으로 EDR 장치(130)에 포함된 가상 블록체인 컨테이너 처리기를 통해 처리될 수 있다.

일 실시예에서, 가상 블록체인 컨테이너(310)는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성할 수 있다. EDR 장치(130)는 엔드포인트 상에서 사용자 행위 추적 정보를 블록체인에 저장하여 관리할 수 있는데, 특히 블록체인은 보안성과 안전성을 확보하기 위하여 프라이빗(private) 네트워크로 구성될 수 있다.

여기에서, 프라이빗 블록체인 네트워크는 법적 책임을 지는 허가 받은 사람만 블록체인 네트워크에 참여할 수 있는 블록체인으로, 거래 당사자와 승인된 참여자만이 열람 가능하고, 주체에 따라 사용 권한 지정이 가능하며, 부분 분기를 허용하지 않는 BFT 계열의 합의 알고리즘을 사용하고, 높은 확정성을 가질 수 있다.

또한, EDR 장치(130)는 하나의 프라이빗 블록체인 네트워크를 운용할 수 있으나, 필요에 따라 복수개로 구성하여 데이터 관리를 수행할 수 있다. 이 경우, 가상 블록체인 컨테이너(310)는 각 블록체인 별로 고유 할당될 수 있고, EDR 장치(130)는 가상 블록체인 컨테이너 처리기를 통해 각 컨테이너의 생성, 할당 및 삭제를 수행할 수 있다.

파일블록 구성부(330)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성할 수 있다. 파일 핑거프린트는 파일이 가진 고유 특징 정보를 압축하여 표현한 것에 해당할 수 있고, 파일의 메타데이터를 기초로 생성될 수 있다. 예를 들어, 파일의 메타데이터는 파일 이름, 파일 크기, 작성자 및 타임 스탬프(stamp) 등을 포함할 수 있다.

EDR 장치(130)는 EDR 단말 장치(110)로부터 수집한 데이터 중 추적대상파일에 관한 파일 핑거프린트를 기초로 블록체인에 저장되는 파일블록을 구성할 수 있다. 따라서, EDR 장치(130)는 파일 핑거프린트를 기초로 추적대상파일을 식별할 수 있다. 한편, 추적대상파일은 시스템의 동작에 중대한 영향을 미칠 수 있는 파일에 해당할 수 있고, 권한 없는 외부자에게 노출되지 않도록 엄격하게 관리할 필요가 있다.

일 실시예에서, 파일블록 구성부(330)는 파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 파일 핑거프린트를 생성하고, 파일 핑거프린트, EDR 단말 장치(110)로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 파일블록을 구성할 수 있다.

SYSCALL 그래프는 EDR 단말 장치(110)에서 사용자의 행위와 연관되어 발생한 시스템 호출(SYSCALL)들의 호출 관계를 나타내는 제어 흐름 그래프에 해당할 수 있다. SYSCALL 그래프는 EDR 단말 장치(110)에서 생성되어 EDR 장치(130)로 전송될 수 있고, 파일블록 구성부(330)는 이를 기초로 파일블록을 구성할 수 있다.

파일블록 구성부(330)에 의해 생성되는 파일블록은 파일 핑거프린트, SYSCALL 그래프 및 이전 파일블록의 위치 정보를 포함할 수 있고, 따라서 각 파일블록은 추적대상파일의 내용 변경이 발생된 경우 파일 단위로 생성되고 이전 추적대상파일에 대한 파일블록과 연결될 수 있다. 만약 멀티 블록체인 네트워크에 파일블록을 저장하는 경우 파일블록 구성부(330)는 EDR 단말 장치(110) 단위로 블록체인을 할당할 수 있고, 결과적으로 동일 EDR 단말 장치(110) 상에서 수집된 파일 데이터를 기초로 생성된 파일블록들은 동일한 블록체인에 할당되어 저장될 수 있다.

일 실시예에서, 파일블록 구성부(330)는 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 파일블록에 더 추가할 수 있다. 파일 안전등급은 파일의 중요도를 기초로 결정될 수 있고, 보다 구체적으로, 수치화된 파일의 중요도를 범위 구간 별로 구분하고 각 범위 구간에 대해 등급을 부여하는 방식으로 결정될 수 있다. 예를 들어 파일의 중요도가 높을수록 파일 안전등급도 높을 수 있다.

블록체인 관리부(350)는 적어도 하나의 가상 블록체인 컨테이너(310)에 파일블록을 분산되게 저장할 수 있다. 가상 블록체인 컨테이너(310)는 물리적 구성에 대응되어 물리적인 분산화를 제공할 수도 있고, 물리적 구성에 상관없이 가상의 분산화를 제공할 수도 있다. 따라서, 블록체인 관리부(350)는 가상 블록체인 컨테이너(310)에 파일블록을 저장할 수 있고, 가상 블록체인 컨테이너(310)는 블록체인 네트워크를 구성함으로써 해당 블록체인에 참여한 다른 노드들에게 파일블록을 전파할 수 있다.

일 실시예에서, 블록체인 관리부(350)는 파일 안전등급을 기초로 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 파일블록을 저장할 수 있다. 즉, 블록체인 관리부(350)는 멀티 블록체인으로 데이터를 구축하는 경우 파일의 중요도에 관한 파일 안전등급에 따라 파일블록이 저장될 블록체인을 고유 할당할 수 있다. EDR 장치(130)는 멀티 블록체인을 구성하는 경우 각 블록체인에 대해 등급을 지정할 수 있고, 각 등급에 따라 블록체인의 저장, 갱신 및 삭제에 관한 보안 규칙을 독립적으로 정의하여 적용할 수 있다.

일 실시예에서, 블록체인 관리부(350)는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성할 수 있다. 즉, 멀티 블록체인의 각 블록체인들은 네트워크 상에 실제 물리적으로 구현된 블록체인 저장소에 대응되는 노드를 포함하여 구현될 수 있고, 각 블록체인들에 고유 할당된 실제 블록체인 노드로만 구성된 프라이빗 네트워크를 통해 상호 연결될 수 있다.

이러한 멀티 블록체인 구조를 통해 블록체인 관리부(350)는 각 블록체인 별로 독립적인 데이터 관리를 수행할 수 있을 뿐만아니라 필요에 따라 각 블록체인 간의 데이터 공유를 제공할 수도 있다. 이 때, 실제 블록체인 노드는 각 블록체인 간의 데이터 공유의 매개체로서의 역할을 수행할 수 있다.

일 실시예에서, 블록체인 관리부(350)는 파일블록을 실제 블록체인 노드에 분산되게 저장함으로써 멀티 블록체인 네트워크에 전파할 수 있다. 즉, 블록체인 관리부(350)는 멀티 블록체인 중 특정 블록체인에만 저장하고자 하는 경우 실제 블록체인 노드가 아닌 가상 블록체인 컨테이너(310)에 대응되는 노드에 저장할 수 있고, 멀티 블록체인 전체에 전파하고자 하는 경우 실제 블록체인 노드에 저장할 수 있다. 실제 블록체인 노드들이 별도의 독립적인 프라이빗 네트워크를 형성하고 있기 때문에, 실제 블록체인 노드에 파일블록이 저장된 경우 1차적으로 해당 파일블록은 실제 블록체인 노드들 간의 네트워크로 전파될 수 있고, 2차적으로 각 실제 블록체인 노드가 참여하는 블록체인 네트워크로로 전파될 수 있다.

엔드포인트 관리부(370)는 EDR 단말 장치(110)로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 사용자 신원 기반 세션을 통해 EDR 단말 장치(110)와의 데이터 교환을 처리할 수 있다. EDR 단말 장치(110)는 사용자에 의해 사용되는 과정에서 해당 사용자의 행위를 추적하기 위하여 해당 사용자에 고유한 세션을 생성할 필요가 있다. EDR 단말 장치(110)는 EDR 장치(130)를 통해 사용자 신원 기반 세션에 관한 생성을 요청할 수 있고, EDR 장치(130)는 엔드포인트 관리부(370)를 통해 해당 요청을 처리할 수 있다.

사용자 신원 기반 세션은 EDR 장치(130)를 통해 사용자 별로 생성되고 유지될 수 있으며, 사용자가 EDR 단말 장치(110)에 로그인 한 시점에 생성되어 로그아웃 한 시점까지 유지될 수 있다. EDR 단말 장치(110)는 사용자의 행위로서 파일에 대한 행위와 그 이외의 행위들을 추적하고 관련 정보를 수집할 수 있으며, 사용자 신원 기반 세션을 통해 EDR 장치(130)에게 제공할 수 있다.

한편, EDR 단말 장치(110)는 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류하고 파일 데이터 중에서 비-추적대상파일 데이터를 비-파일 데이터와 함께 EDR 장치(130)로 전송할 수 있다.

즉, EDR 단말 장치(110)는 사용자 신원 기반 세션 내에서 발생한 사용자의 행위들이 파일과 연관되었는지를 기준으로 파일 데이터와 비-파일 데이터로 구분할 수 있고, 파일 데이터를 추적대상파일과 비-추적대상파일로 구분하여 EDR 장치(130)에게 제공할 수 있다. EDR 장치(130)는 추적대상파일 중 파일 내용이 변경된 경우 파일블록을 생성하여 블록체인에 저장할 수 있다.

제어부(390)는 EDR 장치(130)의 전체적인 동작을 제어하고, 가상 블록체인 컨테이너(310), 파일블록 구성부(330), 블록체인 관리부(350) 및 엔드포인트 관리부(370) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.

도 4를 참조하면, EDR 장치(130)는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성할 수 있다(단계 S410). EDR 장치(130)는 파일블록 구성부(330)를 통해 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성할 수 있다(단계 S430). EDR 장치(130)는 블록체인 관리부(350)를 통해 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다(단계 S450).

도 5를 참조하면, 블록체인 기반의 EDR 시스템(100)은 엔드포인트 단말(510)에서 동작하는 엔드포인트 에이전트, 프론트-엔드 서버(530) 및 분석 서버(550)를 포함할 수 있다. 엔드포인트 단말(510)은 EDR 단말 장치(110)에 해당할 수 있고, 프론트-엔드 서버(530)는 EDR 장치(130)에 해당할 수 있다.

프론트-엔드 서버(530)는 엔드포인트 에이전트로부터 수집된 정보를 기초로 분석 서버(550)에 엔드포인트의 가시성을 제공하는 동작을 수행할 수 있다. 분석 서버(550)는 엔드포인트 에이전트에서 사용하도록 시큐리티 정책을 생성하고 배포하는 역할을 수행할 수 있다.

특히, 분석 서버(550)는 주기적으로 시큐리티 정책을 엔드포인트 에이전트에게 제공하여 엔드포인트 에이전트가 오프라인으로 동작할 경우에도 일정 수준 이상의 보안성을 유지할 수 있도록 유도할 수 있다. 분석 서버(550)는 관련 동작을 위하여 독립적인 SIEM(Security Information and Event Management) 모듈과 연결될 수 있고, 분석(통계 또는 알람) 결과를 다양한 인터페이스를 통해 시각화하여 관리자에게 제공할 수 있다.

여기에서, SIEM 모듈은 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계에 해당할 수 있다. 즉, SIEM 모듈은 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 기능을 수행할 수 있다.

도 5에서, 엔드포인트 단말(510)은 프론트-엔드 서버(530)와 연결되어 사용자 신원 기반 세션을 유지 및 갱신할 수 있고, 이를 기초로 사용자의 행위를 추적할 수 있다. 이를 위하여 EDR 장치(130)는 엔드포인트 관리부(570)를 통해 엔드포인트 단말(510)로부터의 요청에 따라 사용자 신원 기반 세션의 생성 및 유지에 활용되는 사용자 식별자를 제공할 수 있고, 사용자 신원 기반 세션을 통해 엔드포인트 단말(510)과의 데이터 교환을 처리할 수 있다.

도 6을 참조하면, 블록체인 기반의 EDR 시스템(100)은 엔드포인트 단말(610), 프론트-엔드 서버(630) 및 분석 서버(650) 간의 상호 연동을 통해 사용자 행위에 관한 분석, 탐지 및 대응을 수행할 수 있다.

특히, 프론트-엔드 서버(630)는 엔드포인트 에이전트 처리기, 가상 블록체인 컨테이너 처리기, 블록체인용 블록 생성기 및 블록 조회기를 포함하여 구현될 수 있다.

엔드포인트 에이전트 처리기는 엔드포인트 단말(610)의 접속 및 사용자 추적 세션을 관리하여 사용자 행위에 관한 정보를 추적 및 수집하는 동작을 수행할 수 있다. 가상 블록체인 컨테이너 처리기는 물리적 기기가 아닌 논리적 컨테이너로서 가상 블록체인 컨테이너(670)를 생성하여 분산 DB를 가상화하고 블록체인을 관리하는 동작을 수행할 수 있다.

또한, 블록체인용 블록 생성기는 파일의 메타데이터를 압축한 핑거프린트와 SYSCALL 그래프 및 이전 추적대상파일의 블록 위치를 포함하는 파일블록을 생성하는 동작을 수행할 수 있다. 블록 조회기는 이전 추적대상파일을 조회하는 동작을 수행할 수 있다.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

[부호의 설명]

100: 블록체인 기반의 EDR 시스템

110: EDR 단말 장치 130: EDR 장치

150: 데이터베이스

210: 프로세서 230: 메모리

250: 사용자 입출력부 270: 네트워크 입출력부

310: 가상 블록체인 컨테이너 330: 파일블록 구성부

350: 블록체인 관리부 370: 엔드포인트 관리부

390: 제어부

510, 610: 엔드포인트 단말 530, 630: 프론트-엔드 서버

550, 650: 분석 서버 670: 가상 블록체인 컨테이너

Claims

각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너;

적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부; 및

상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함하는 블록체인 기반의 EDR (Endpoint Detection & Response) 장치.
제1항에 있어서,

EDR 단말 장치로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 상기 사용자 신원 기반 세션을 통해 상기 EDR 단말 장치와의 데이터 교환을 처리하는 엔드포인트 관리부를 더 포함하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
제1항에 있어서, 상기 적어도 하나의 가상 블록체인 컨테이너는

각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
제1항에 있어서, 상기 파일블록 구성부는

파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 상기 파일 핑거프린트를 생성하고,

상기 파일 핑거프린트, EDR 단말 장치로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 상기 파일블록을 구성하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
제3항에 있어서,

상기 파일블록 구성부는 상기 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 상기 파일블록에 더 추가하고,

상기 블록체인 관리부는 상기 파일 안전등급을 기초로 상기 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 상기 파일블록을 저장하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
제3항에 있어서, 상기 블록체인 관리부는

물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 상기 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 상기 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
제6항에 있어서, 상기 블록체인 관리부는

상기 파일블록을 상기 실제 블록체인 노드에 분산되게 저장함으로써 상기 멀티 블록체인 네트워크에 전파하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
EDR (Endpoint Detection & Response) 장치에서 수행되는 방법에 있어서,

각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성하는 단계;

적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 단계; 및

상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 단계를 포함하는 블록체인 기반의 EDR 방법.