[go: up one dir, main page]

KR102014807B1 - 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 - Google Patents

우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 Download PDF

Info

Publication number
KR102014807B1
KR102014807B1 KR1020190021946A KR20190021946A KR102014807B1 KR 102014807 B1 KR102014807 B1 KR 102014807B1 KR 1020190021946 A KR1020190021946 A KR 1020190021946A KR 20190021946 A KR20190021946 A KR 20190021946A KR 102014807 B1 KR102014807 B1 KR 102014807B1
Authority
KR
South Korea
Prior art keywords
server
connection
login
access
bypass
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020190021946A
Other languages
English (en)
Inventor
신호철
김대옥
염창주
김정호
오소영
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Priority to KR1020190021946A priority Critical patent/KR102014807B1/ko
Application granted granted Critical
Publication of KR102014807B1 publication Critical patent/KR102014807B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

적어도 하나의 사용자 단말과 적어도 2개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 관한 것으로서, 상기 사용자 단말과 서버 간에 메시지를 중계하고, 중계를 위해 해당 서버와 연결을 설정하면 연결 정보 및 해당 서버의 로그인 프로세스의 아이디(PID)를 중계 이력으로 저장하는 접속 중계부; 서버로부터 로그인 이벤트를 수신하면, 해당 서버로의 로그인 연결 정보 및 해당 서버의 로그인 프로세스의 최상위 아이디(이하 로그인 연결 정보 등)를 수집하는 이벤트 수집부; 및, 서버의 로그인 이벤트가 발생하면, 수집된 로그인 연결 정보 등을 이용하여, 해당 서버로의 로그인 접속이 우회 접속 여부 및, 해당 로그인 접속의 사용자 계정을 탐지하는 우회접속 탐지부를 포함하는 구성을 마련한다.
상기와 같은 시스템에 의하여, 서버는 외부 접근에 의해 생성되는 모든 프로세스를 로그인 이벤트로 관리하므로, 로그인 이벤트를 통해 접근 경로를 역추적함으로써, 모든 우회 경로를 검출할 수 있고 안정적으로 서버 우회 접근을 통제할 수 있다.

Description

우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 { An access control system of detecting and blocking roundabout access }
본 발명은 사용자 단말이 접근통제 게이트웨이를 통해 제1 서버에 접근한 후 제1 서버에서 제2 서버로 우회 접근하는 것을 탐지하고, 접근통제 정책에 따라 해당 우회 접근을 차단하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 관한 것이다.
또한, 본 발명은 각 서버로부터 서버 로그인 이벤트를 수신하고, 로그인 연결 정보(소스와 서버의 IP주소 및 포트번호)와, 로그인을 수행한 프로세스의 아이디(PID)를 이용하여, 우회 경로를 역 추적하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 관한 것이다.
현재 국내외 개인정보 유출 및 기관의 서비스 파괴 공격 등의 방어를 위해 서버 원격접근을 사용자 권한별로 통제하는 접근통제 시스템을 도입하여 운영 중이다. 종래기술에 의한 서버 접근통제 시스템은 사용자 단말과 서버 사이에서 보안 감시를 수행한다[특허문헌 1]. 특히, 전문적인 보안 시스템이 구비되지 않는 서버, 즉, 에이전트리스(agentless) 방식의 서버에 대하여, 접근통제 시스템을 구성하여 접근을 통제할 수 있다.
도 1에서 보는 바와 같이, 종래 기술에 따르면, 사용자 단말(1)이 제1 서버(30)에 접근하기 위해서는 접근통제 게이트웨이(2)를 경유해야 접근이 가능하고, 제1 서버(3)로 직접 접근하는 세션은 방화벽 등에 의하여 차단한다. 따라서 접근통제 게이트웨이(2)는 사용자 단말(1)과 제1 서버(3) 간의 모든 통신 내용을 확인할 수 있고, 접근 통제 정책에 따라 사용자 단말(1)의 접근을 통제할 수 있다.
그런데, 사용자 단말(1)이 접근통제 게이트웨이(2)를 통과하여 제1 서버(3)에 접근하고, 제1 서버(3)에서 다시 제2 서버(4)에 접근할 수 있다. 이때, 사용자에게 제1 서버(3)의 접근은 허용되나 제2 서버(4)의 접근이 허용되지 않을 수도 있다. 즉, 사용자는 자신에게 허용된 제1 서버(3)에 접속 후 다른 제2 서버로(4)의 접속을 시도할 수 있다. 이러한 시도는 서버 접근통제 보안 시스템의 통제를 벗어남을 의미하므로 보안적으로 큰 문제로 받아들여지고 있다.
이러한 문제를 해결하기 위하여, 종래기술의 에이전트리스(Agentless) 방식의 보안 시스템들은 크게 2가지 방식을 사용하고 있다. 첫째 방식은 우회 접속을 시도하는 명령어가 입력되는 경우 이를 차단한다. 다음으로, 둘째 방식은 서버 자체 방화벽 설정을 통해, 허용 IP주소가 아닌 다른 IP주소에서 접속한 경우 이를 차단한다.
하지만, 상술한 우회 접속 차단 방식은 서버 간 우회 접속을 탐지 및 차단하는데 그 한계성이 존재한다.
먼저, 사용자가 입력하는 우회 접속 시도 명령어를 기반으로 우회 접속을 차단하는 방식의 경우, 사용자 입력 명령어를 정규 표현식 형태로 비교하여 판단하므로, 접속 시도 명령어와 다른 표현을 사용하면 우회할 수 있다. 예를 들어, 악의적 사용자는 별칭(alias) 명령어 등을 사용하여 우회 접속 시도 명령어를 실행시킬 수 있다.
다음으로, 허용 IP주소를 기준으로 우회 접속을 차단하는 방식의 경우, 사용자의 IP주소를 이용하지 않고 접근하여 우회 접속 시도 명령어를 실행시킬 수 있다. 예를 들어, 사용자가 아닌 서버 간 접속(서버 간 파일 동기화 및 배포 서버 등..)이 허용되어야 하는 작업이 존재할 경우, 허용 IP주소를 기준으로 차단 방식을 적용할 수 없다. 또한, 관리자가 허용 IP주소에 대한 변경 관리를 직접 관리해야 하므로, 관리가 어렵고 비용이 많이 소요된다.
한국등록특허 제10-1143847호(2012.05.10.공고)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 사용자 단말이 접근통제 게이트웨이를 통해 제1 서버에 접근한 후 제1 서버에서 제2 서버로 우회 접근하는 것을 탐지하고, 접근통제 정책에 따라 해당 우회 접근을 차단하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템을 제공하는 것이다.
또한, 본 발명의 목적은 각 서버로부터 서버 로그인 이벤트를 수신하고, 로그인 연결 정보(소스와 서버의 IP주소 및 포트번호)와, 로그인을 수행한 프로세스의 아이디(PID)를 이용하여, 우회 경로를 역 추적하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 적어도 하나의 사용자 단말과 적어도 2개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 관한 것으로서, 상기 사용자 단말과 서버 간에 메시지를 중계하고, 중계를 위해 해당 서버와 연결을 설정하면 연결 정보 및 해당 서버의 로그인 프로세스의 아이디(PID)를 중계 이력으로 저장하는 접속 중계부; 서버로부터 로그인 이벤트를 수신하면, 해당 서버로의 로그인 연결 정보 및 해당 서버의 로그인 프로세스의 최상위 아이디(이하 로그인 연결 정보 등)를 수집하는 이벤트 수집부; 및, 서버의 로그인 이벤트가 발생하면, 수집된 로그인 연결 정보 등을 이용하여, 해당 서버로의 로그인 접속이 우회 접속 여부 및, 해당 로그인 접속의 사용자 계정을 탐지하는 우회접속 탐지부를 포함하는 것을 특징으로 한다.
또, 본 발명은 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서, 상기 시스템은 각 사용자 계정에 대한 서버 접근 허용 정보를 접속보안 정책으로 사전에 설정하여 저장하는 접속정책 관리부를 더 포함하고, 상기 우회접속 탐지부는 해당 서버로의 로그인 접속이 우회 접속이고, 상기 접속보안 정책에 의해 우회탐지된 사용자 계정이 해당 서버로의 접근 제한 여부에 따라, 상기 접속 중계부를 통해, 해당 로그인 접속에 대한 중계를 차단하거나 허용하도록 하는 것을 특징으로 한다.
또, 본 발명은 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서, 상기 이벤트 수집부는 서버 로그인 이벤트를 수신하면, 해당 서버에 접속하여 시스템 로그(SYSLOG)를 참조하여 로그인 연결 정보의 소스 IP주소와 소스 포트를 검색하고, 검색된 소스 IP주소와 소스 포트로 PID를 검색하는 것을 특징으로 한다.
또, 본 발명은 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서, 상기 우회접속 탐지부는, 서버 로그인 이벤트가 발생하면, 수집된 로그인 연결 정보 등과 중계 이력의 연결정보와 일치하는 정보가 있는지 판단하고, 일치하는 정보가 있을 경우 직접 접속으로 판단하고, 일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속하고, 소스 서버에서 소스 포트로 연결하는 프로세스의 최상위 프로세스를 검색하고, 최상위 프로세스의 연결 정보를 획득하여, 중계 이력의 연결 정보와 일치하는지를 판단하고, 일치하는 정보가 있을 경우, 우회 접속으로 판단하는 것을 특징으로 한다.
또, 본 발명은 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서, 상기 우회접속 탐지부는 소스 서버의 최상위 프로세스의 연결 정보가 중계 이력의 연결 정보와 일치하지 않으면, 해당 연결 정보의 소스 서버에 대하여 최상위 프로세스의 연결정보을 탐지하는 과정을 반복하는 것을 특징으로 한다.
또, 본 발명은 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서, 상기 우회접속 탐지부는 우회 접속으로 판단하는 경우, 소스 서버의 최상위 프로세스의 연결 정보를 상기 중계 이력에 추가하여 저장하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 의하면, 서버는 외부 접근에 의해 생성되는 모든 프로세스를 로그인 이벤트로 관리하므로, 로그인 이벤트를 통해 접근 경로를 역추적함으로써, 모든 우회 경로를 검출할 수 있고 안정적으로 서버 우회 접근을 통제할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 의하면, 각 서버가 로그인 이벤트를 게이트웨이에 전송하는 기능만을 추가하면 접근통제 게이트웨이에서 접근 경로를 역추적하여 우회 경로를 통제함으로써, 전문적인 보안 에이전트를 별도로 설치하지 않을 수 있고, 이를 통해, 저비용으로 단기간에 통제 체계를 구축할 수 있는 효과가 얻어진다.
도 1은 종래기술에 따른 접근통제 시스템에 대한 구성도.
도 2는 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 3 및 도 4는 본 발명에 따른 본 발명에서 사용하는 PID를 이용하여 우회 접속을 탐지하는 방식의 주요 과정을 나타낸 예시 화면.
도 5는 본 발명의 일실시예에 따른 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템의 구성에 대한 블록도.
도 6은 본 발명의 일실시예에 따른 접속보안 정책을 나타낸 예시 표.
도 7은 본 발명의 일실시예에 따른 중계 이력을 나타낸 예시 표.
도 8은 본 발명의 일실시예에 따른 로그인 연결 정보 및 PID를 나타낸 예시 표.
도 9는 본 발명의 제1 실시예에 따른 접근통제 시스템의 우회 접속 탐지 및 차단 방법을 설명하는 흐름도.
도 10은 본 발명의 제1 실시예에 따른 우회 접속을 탐지하는 단계의 세부 단계를 설명하는 흐름도.
도 11은 본 발명의 제2 실시예에 따른 접근통제 시스템의 우회 접속 탐지 및 차단 방법을 설명하는 흐름도.
도 12는 본 발명의 제2 실시예에 따른 우회 접속을 탐지하는 단계의 세부 단계를 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성에 대하여 도 2를 참조하여 설명한다.
도 2에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 적어도 2대의 서버(40), 및, 서버(40)의 접근을 통제하는 접근통제 게이트웨이(30)로 구성된다. 또한, 사용자 단말(10)과 접근통제 게이트웨이(30)는 네트워크(미도시)를 통해 연결된다.
사용자 단말(10)은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC 등이다. 또한, 사용자 단말(10)은 네트워크(미도시)를 통해 서버(40) 또는 접근통제 게이트웨이(30)에 연결할 수 있는 네트워크 기능을 보유한다. 또한, 사용자 단말(10)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다.
또한, 사용자 단말(10)에는 통신 어플리케이션(미도시)이 설치되어, 통신 어플리케이션을 통해 서버(40)에 접속하여 통신 작업이 수행될 수 있다. 통신 어플리케이션(미도시)은 사용자가 서버(40)에 원격 접근하기 위한 다양한 터미널 툴로서, 통신 프로토콜을 통해 서버(40)에 접속하고 통신을 수행한다. 예를들어, 통신 어플리케이션은 원격접속 프로토콜인 텔넷(TELNET) 또는 파일 전송을 위한 FTP(File Transfer Protocol)의 프로토콜 등에 의한 쉘(Shell)을 통해 작업을 수행한다. 한편, 통신 어플리케이션은 실제로 접근통제 게이트웨이(30)을 통해 서버(40)에 접속한다.
사용자 단말(10)이 서버(40)에 접근한다는 것은 실제로, 사용자 단말(10)에 설치되는 통신 어플리케이션을 통해 서버(40)에 접근하는 것이다. 그러나 이하에서 설명의 편의를 위하여, 사용자 단말(10)이 서버에 접근하는 것으로 설명한다.
다음으로, 서버(40)는 다수 개, 바람직하게는, 적어도 2개가 설치된다.
각 서버(40)는 사용자 단말(10)로부터 네트워크(미도시)를 통해 접속 요청을 받고, 요청에 따라 접속을 허용하여 통신을 수행시켜준다. 이때, 바람직하게는, 서버(40)는 통신 프로토콜을 통해 통신 사용자 단말(10)과 통신을 수행한다.
또한, 서버(40)는 통신 프로토콜을 이용하여, 사용자 단말(10)로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 사용자 단말(10)에 전송한다. 이때, 사용자 단말(10)과, 서버(40) 사이에는 세션이 형성되고, 세션 내에서 접속 요청 또는 메시지, 결과내용 등이 통신 프로토콜을 통해 데이터 패킷으로 송수신된다.
한편, 위에서 설명된 서버(40)와 사용자 단말(10)과의 통신은 직접 연결되어 처리되지 않고, 접근통제 게이트웨이(30)을 통해 연결된다. 즉, 사용자 단말(10)의 요청 메시지는 접근통제 게이트웨이(30)을 통해 서버(40)로 전달되고, 또한, 서버(40)의 응답 메시지도 접근통제 게이트웨이(30)을 통해 사용자 단말(10)에 전달된다.
한편, 바람직하게는, 서버(40)는 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(10)은 직접 서버(50)에 접근할 수 없고 반드시 접근통제 게이트웨이(30)을 통해서만 서버(40)에 접근할 수 있다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.
또한, 서버(40)는 외부에서 자신에게 접속하는 서버 로그인 이벤트가 발생하면, 서버 로그인 이벤트 정보를 접근통제 게이트웨이(30)로 전송한다. 또한, 서버(40)는 접근통제 게이트웨이(30)의 요청에 따라 서버 접속 정보를 전송한다.
다음으로, 접근통제 게이트웨이(30)는 사용자 단말(10)과 서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 사용자 단말(10)과 서버(40) 사이를 모니터링하여 중계하거나 차단한다.
즉, 접근통제 게이트웨이(30)는 사용자 단말(10)로부터 수신되는 메시지(또는 데이터 패킷)를 수신하여 서버(40)에 전달하고, 서버(40)로부터 결과(또는 데이터 패킷)를 수신하여 사용자 단말(10)로 전달한다.
이때, 접근통제 게이트웨이(30)는 수신되는 메시지를 분석하고, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 즉, 사전에 정해진 보안 정책 또는 접근통제 정책에 따라, 해당 메시지를 서버(40)에 전송하거나 차단하는 등 모니터링하고, 통신 내용을 로그에 기록하고 저장한다.
바람직하게는, 접근통제 게이트웨이(30)는 메시지를 기반으로 사용자 권한별 보안 정책에 따라 인가 여부를 결정하고, 인가된 사용 요청일 경우 실제 서버(40)에 신규로 통신(또는 세션)을 연결하고, 사용자 단말(10)과의 통신을 중계한다. 따라서 접근통제 게이트웨이(30)는 실제 서버(40)에 접근하여 통신을 중계한다.
특히, 이때, 접근통제 게이트웨이(30)는 서버(40)에 접속하여, 서버(40)와의 사이에서 세션(이하 서버용 세션)을 형성한다. 또한, 접근통제 게이트웨이(30)는 사용자 단말(10)과의 사이에서 세션(이하 클라이언트용 세션)을 형성한다. 그리고 클라이언트용 세션과 서버용 세션 사이를 중계한다.
또한, 접근통제 게이트웨이(30)는 사용자 단말(10)과 서버(40) 간의 중계 이력을 기록한다. 중계 이력은 게이트웨이(30)로 접근한 사용자 단말의 접속 정보(IP주소 및 포트번호), 중계를 위한 서버(40)에 접근한 서버의 접속 정보(IP주소 및 포트번호), 서버(40)가 제공한 서비스의 프로세스 아이디(PID) 등으로 구성된다.
또한, 접근통제 게이트웨이(30)는 모든 서버(40)로부터 서버 로그인 이벤트 정보를 수신하고, 이벤트를 수신하면 해당 서버로 접근한 로그인 연결 정보 및 그 PID를 추출한다. 로그인 연결 정보는 로그인을 위해 서버로 접속한 외부 접속 정보(IP주소 및 포트번호), 서버가 제공한 서비스의 접속 정보(IP주소 및 포트번호) 등으로 구성된다. 또한, 프로세스 아이디(PID)는 서버가 제공한 서비스 프로세스의 최상위 PID이다.
그리고 접근통제 게이트웨이(30)는 로그인 연결 정보를, 또는, 로그인 연결 정보의 소스 서버를 역추적하여 획득된 연결 정보 및 PID를, 중계 이력의 연결 정보와 비교하여, 해당 서버로의 직접 접속 또는 우회 접속 여부 및, 그 사용자의 서비스 계정을 탐지한다.
그리고 접근통제 게이트웨이(30)는 검출된 중계 이력의 사용자(또는 사용자의 서비스 계정)을 확인하고, 해당 사용자의 접근통제 정책을 참조하여 해당 서버의 접속이 허용/차단 여부를 판단하고, 판단에 따라 해당 중계 이력의 중계를 차단하거나 허용을 유지한다.
다음으로, 데이터베이스(80)는 데이터를 저장하기 위한 데이터베이스를 구비하여, 접속보안 정책을 저장하는 접속정책DB(81), 중계이력을 저장하는 중계이력DB(82), 로그인 연결 정보 및 그 최상위 PID를 저장하는 로그인 연결 정보DB(83) 등으로 이루어진다. 그러나 데이터베이스(80)의 구성은 바람직한 일실시예일 뿐이며, 구체적인 장치를 개발하는데 있어서, 접근 및 검색의 용이성 및 효율성 등을 감안하여 데이터베이스 구축이론에 의하여 다른 구조로 구성될 수 있다.
다음으로, 본 발명의 일실시예에 따른 접근통제 시스템의 세부 구성을 설명하기에 앞서, 본 발명에서 사용하는 PID를 이용하여 우회 접속을 탐지하는 방식의 주요 과정을 도 3 및 도 4를 참조하여 설명한다.
즉, 사용자 단말이 접근통제 시스템을 통해서 제1 서버(192.168.5.181)에만 1차 접속이 가능한 경우, 제2 서버(192.168.5.180)로 우회하면, 이를 탐지하는 주요 과정을 설명한다.
도 3에서 보는 바와 같이, 사용자가 사용자 단말(10)에서 접근통제 게이트웨이(192.168.0.150)를 통해 제1 서버(192.168.5.181)에 원격 접속(또는 로그인)을 할 경우 원격 접속 세션에 대한 PID(최상위 PID)가 부여된다.
원격 접속(또는 로그인 연결)에 대한 PID를 확인하기 위해서는 소스 IP주소와 포트(Source IP/Port) 정보가 필요한데, 도 3(a)과 같이, 이는 시스템 로그(SYSLOG)를 통해 확인할 수 있다.
다음으로, 서버 로그인 시 서버는 원격 접속 세션(로그인 연결)에 대해 PID를 부여한다. 도 3(b)와 같이, 제1 서버(192.168.5.181)에 접속된 상태에서, 원격 접속 세션(로그인 연결)의 소스 IP주소(192.168.0.150)와 소스 포트(38268)를 통해 PID(20105)를 검색할 수 있다.
다음으로, 사용자가 제1 서버(192.168.5.181)에 접속 후 제2 서버(192.168.5.180)로 접속을 시도할 경우에도, 원격 접속 세션에 대한 PID가 부여된다.
즉, 도 4(a)와 같이, 사용자가 제1 서버(192.168.5.181)에 접속 후 제2 서버(192.168.5.180)로 ssh 접속을 시도하면, 제2 서버(192.168.5.180)로 서버 접속 시 시스템 로그(SYSLOG)가 발생한다.
이때, 도 4(b)와 같이, 시스템 로그(SYSLOG) 정보의 소스 IP주소(192.168.5.181)의 서버에 접속 후 소스 포트(34776)를 사용 중인 PID 검색하면, 세션에 부여된 PID(14393)를 찾을 수 있다. 이때, 네트워크 연결 상태 명령(netstat 명령) 등을 사용한다.
또한, 도 4(c)와 (d)와 같이, 해당 PID(14393)의 최상위 PID(20105) 검색하고, 검색된 최상위 PID(20105)의 네트워크 연결 정보 조회를 조회할 수 있다. 이때, ps 명령이나 netstat 명령 등을 사용한다.
위와 같은 과정의 반복을 통해 제1 서버(192.168.5.181)에서 제2 서버(192.168.5.180)로 접속한 실 사용자를 추적할 수 있다. 즉, 소스 IP주소와 소스 포트번호, 및 최상위 PID가 접근통제 시스템의 접속 이력과 매칭이 될때까지 반복한다.
다음으로, PID와 최상위 PID에 대하여 구체적으로 설명한다.
최상위 PID는 현재 접속 중인 서버에 최초로 로그인할 때의 프로세스 아이디를 말한다. 예를 들어, 사용자가 서버에 접속한 후 서비스 프로세스(쉘 등)를 이용하여 서버의 서비스를 이용한다. 이때, 사용자가 서버의 쉘(서비스 프로세스) 상에서 서버 접속 명령(ssh 명령 등 서비스 접속 명령)을 입력하면, 다른 쉘(서비스 프로세스)이 실행되고 사용자는 새로 생성된 쉘 상에서 작업을 수행하게 된다. 이때, 새로운 쉘을 수행하는 프로세스가 새로 생성되는 것이므로, 프로세스의 아이디(PID)는 변경된다. 동일한 서버 내에서 제1 프로세스에서 제2 프로세스로의 변경이 가능하다. 이때, 해당 서버에 최초로 접속할 때 생성된 프로세스가 최상위 프로세스이다. 따라서 제2 프로세스를 이용 중일 때의 최상위 프로세스는 제1 프로세스이다.
즉, 사용자가 제1 서버에 접속한 후 해당 서버의 서비스(또는 제2 서비스 프로세스)를 이용 중에, 다른 제2 서버의 서비스를 요청하여 프로세스(제3 서비스 프로세스)가 생성될 수 있다. 이때, 제3 서비스 프로세스의 최상위 프로세스는 자신이다. 즉, 제3 서비스 프로세스는 제2 서버에 최초로 접속한 서비스이기 때문이다.
앞서 본 바와 같이, 해당 서버에 명령을 전송하여 프로세스 아이디 및 최상위 프로세스 아이디를 받아올 수 있다. 일례로서, 리눅스 등 운영체제에서 ps 명령을 통해 프로세스 아이디에 대한 최상위 프로세스 아이디를 확인할 수 있다.
다음으로, 본 발명의 일실시예에 따른 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템(30)의 세부 구성에 대하여 도 5를 참조하여 설명한다.
본 발명에 따른 접근통제 시스템(30)은 앞서 설명한 접근통제 게이트웨이로 구현될 수 있다. 이하에서 접근통제 시스템의 도면부호를 접근통제 게이트웨이와 동일한 도면 부호로 사용한다.
도 5에서 보는 바와 같이, 본 발명의 일실시예에 따른 접근통제 시스템(30)은 서버(40)로의 접속 정책을 관리하는 접속정책 관리부(31), 사용자 단말(10)과 서버(40) 간에 메시지(또는 데이터 패킷)를 중계하는 접속 중계부(32), 로그인 연결 정보 및 그 최상위 PID를 수집하는 이벤트 수집부(33), 및, 서버로의 우회 접속을 탐지하는 우회접속 탐지부(34)로 구성된다.
먼저, 접속정책 관리부(31)는 각 사용자(또는 사용자의 서비스 계정)에 대한 서버 접근 허용 정보를 접속보안 정책으로 사전에 설정하여 저장한다.
즉, 도 6에서 보는 바와 같이, 접근통제 정책 또는 접속보안 정책을 사용자(또는 사용자의 서비스 계정)를 기준으로 구성되며, 접속 가능한 서비스 계정, 접속 가능한 서버의 IP주소 등으로 구성하여 설정할 수 있다. 바람직하게는, 접속보안 정책은 관리자 등에 의해 사전에 설정되어 저장된다.
다음으로, 접속 중계부(32)는 사용자 단말(10)과 서버(40) 간에 메시지(또는 데이터 패킷)를 중계하거나 차단한다. 이때, 중계하는 경우, 서버(40)의 서비스 프로세스의 아이디(PID)를 수집한다.
즉, 접속 중계부(32)는 사용자 단말(10)로부터 서버(40)로의 접근 메시지를 수신하면, 접근통제 정책에 따라 서버 접근의 차단/허용 여부를 판단한다. 허용이 되면, 서버(40)에 접속하여, 서버(40)와의 사이에서 세션(이하 서버용 세션)을 형성한다. 또한, 사용자 단말(10)과의 게이트웨이 사이에서 세션(이하 클라이언트용 세션)을 형성한다. 그리고 클라이언트용 세션과 서버용 세션 사이를 중계한다.
이때, 접속 중계부(32)는 사용자 단말(10)과 서버(40) 간의 중계 이력을 기록한다. 바람직하게는, 중계 이력은 각 사용자의 서비스 계정을 기준으로 접속된 정보를 기록한다.
도 7에서 보는 바와 같이, 중계 이력은 사용자 단말(10)이 접근한 IP주소 및 포트번호 등의 접속 정보, 중계를 위해 서버(40)에 접근하는 서버의 접속 정보(IP주소 및 포트번호), 서버(40)가 제공한 서비스의 프로세스 아이디(PID) 등으로 구성된다.
서비스의 프로세스 아이디(PID)는 서버(40)가 생성하는 프로세스의 식별정보를 말한다. 즉, 서버(40)가 외부로부터 접속을 요청받으면, 해당 접속에 대한 서비스(또는 로그인 서비스)를 제공하기 위하여 프로세스를 생성한다. 예를 들어, 외부에서 텔넷(telnet)으로 접속되면, 텔넷(telnet) 프로토콜을 수행하는 쉘(shell)을 실행시키고, 쉘을 통해 서버의 서비스를 제공한다. 프로세스 아이디(PID)는 서비스를 제공하는 프로세스의 아이디이다.
다음으로, 이벤트 수집부(33)는 각 서버(40)로부터 서버 로그인 이벤트를 수신하고, 이벤트를 수신하면 외부에서 해당 서버로 접근한 로그인 연결 정보 및 그 최상위 PID를 추출하여 저장한다.
도 8에서 보는 바와 같이, 로그인 연결 정보는 로그인을 위해 서버로 접속한 외부 접속 정보(소스의 IP주소 및 포트번호), 서버가 제공한 서비스의 접속 정보(서버의 IP주소 및 포트번호) 등으로 구성된다. 또한, 프로세스 아이디(PID)는 서버의 로그인 서비스를 제공하는 프로세스의 최상위 PID이다.
이하에서, 소스와 목적의 IP주소 및 포트 번호는 "연결 정보"라 부르기로 하고, 연결 정보 및 그 최상위 PID는 "연결 정보 등"이라 부르기로 한다.
통상의 서버는 외부에서 자신에게 접속하는 서버 로그인 이벤트가 발생하면, 해당 이벤트에 대하여 로그(syslog)를 기록한다. 본 발명의 각 서버(40)는 로그인 이벤트가 발생하면, 기록된 로그인 이벤트 또는 로그인 이벤트 정보를 게이트웨이, 즉, 이벤트 수집부(33)로 전송한다.
또한, 바람직하게는, 이벤트 수집부(33)는 서버 로그인 이벤트를 수신하면, 해당 서버에 접속하여 로그인 연결 정보 및 그 최상위 PID를 추출한다. 즉, 해당 서버에 접속하여 시스템 로그(SYSLOG)를 참조하여 로그인 연결 정보의 소스 IP주소와 소스 포트를 검색하고, 검색된 소스 IP주소와 소스 포트로 PID를 검색할 수 있다.
이렇게 수집된 정보는 우회접속 탐지부(34)에 전달되어, 해당 로그인에 대하여 직접 접속 또는 우회 접속인지 여부 등을 탐지하게 한다.
다음으로, 우회접속 탐지부(34)는 로그인 연결 정보 및 그 최상위 PID(또는 로그인 연결 정보 등)를, 또는, 로그인 연결 정보의 소스 서버를 역추적하여 획득된 연결 정보 및 그 최상위 PID를, 중계 이력의 연결 정보와 비교하여, 해당 서버로의 직접 접속 또는 우회 접속 여부 및, 그 사용자의 서비스 계정을 탐지한다.
즉, 우회접속 탐지부(34)는 서버 로그인 이벤트가 발생하면, 이벤트 수집부(33)에서 수집된 로그인 연결 정보 등과 중계 이력의 연결정보와 일치하는 정보가 있는지 판단한다. 일치하는 정보가 있을 경우 정상 접속(또는 직접 접속)으로 판단한다.
또한, 일치하는 정보가 없을 경우, 우회접속 탐지부(34)는 로그인 연결 정보의 소스 IP주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속한다. 이때, 소스 IP주소의 서버에 접근하기 위한 계정 정보(서버 접속 계정 / 패스워드)를 접근통제 시스템으로부터 전달받아 소스 IP주소의 서버(또는 소스 서버)에 접속한다.
그리고 우회접속 탐지부(34)는 소스 서버에 접속한 후, 연결 정보의 소스 포트(Source Port)를 사용하고 있는 프로세스 아이디(PID)를 검색한다. 또한, 이를 기반으로 최상위 PID를 찾아낸다. 그리고 최상위 프로세스(최상위 PID)의 연결 정보를 수집한다. 이때, 연결 정보는 소스 IP주소, 소스 포트, 목적 IP주소, 목적 포트로 구성된다.
그리고 우회접속 탐지부(34)는 수집된 연결 정보(또는 최상위 프로세스의 연결정보) 및 그 최상위 PID(또는 연결 정보 등)와 중계 이력의 연결정보와 일치하는 정보가 있는지 판단한다. 일치하는 정보가 있을 경우 우회 접속으로 판단한다. 특히, 해당 연결정보 등은 중계 이력의 사용자(또는 계정, 사용자의 서비스 계정)에 의해 사용되는 것으로 판단한다.
만약 일치하는 정보가 없을 경우, 해당 연결 정보의 소스 IP주소를 이용하여, 앞서 S53 단계부터의 과정을 반복한다(S58).
또한, 우회접속 탐지부(34)는 우회 접속으로 탐지하면, 탐지된 서비스 계정의 접속보안 정책을 참조하여, 해당 우회 접속의 허용 여부를 판단한다. 또한, 판단 결과에 따라, 접속 중계부(32)를 통해 해당 중계를 차단하거나 허용하도록 한다.
다음으로, 본 발명의 제1 실시예에 따른 접근통제 시스템의 우회 접속 탐지 및 차단 방법을 도 9를 참조하여 설명한다.
도 9에서 보는 바와 같이, 먼저, 접근통제 게이트웨이(30) 또는 관리부(31)는 각 사용자(또는 사용자의 서비스 계정)에 대한 서버 접근 허용 정보를 접속보안 정책으로 사전에 설정하여 저장한다(S10).
다음으로, 접근통제 게이트웨이(30) 또는 접속 중계부(32)는 "사용자 단말 - 게이트웨이(접속중계부) - 서버" 간 세션을 연결하고, 중계 이력을 생성한다(S20). 즉, 클라이언트용 세션과 서버용 세션을 형성하고, 이들 세션을 중계한다.
이 과정에서 접속 중계부(32)는 서버(40)에 로그인 후, 사용자 단말(10)과 세션을 연결하기 전에, 서버(40)가 부여한 사용자 쉘에 대한 최상위 PID 값을 확인하고, 이후 사용자 단말(10)과 세션을 연결한다. 이때 중계 이력(사용자 계정, 서버 접속의 소스 IP주소/포트, 서버의 IP주소/포트, 최상위 PID)은 DB에 기록된다.
즉, 사용자의 서버 접속 요청이 들어오면, 접속 중계부(32)가 먼저 서버에 세션을 연결하고 세션이 연결되면 ps 명령을 통해 최상위 PID를 확인한다. 그리고 PID 확인이 끝나면 접속 중계부(32)가 서버(40)와 연결된 세션을 사용자 단말(10)과 연결한다. 결국 최초 서버 접속 세션은 “중계부 - 서버”사이에서 발생되게 되고 PID 확인이 끝나는 시점에 접속 중계부(32)가 사용자 단말(10)과 세션을 연결하게 되므로 “사용자 - 중계부 - 서버”간 세션이 연결된다.
다음으로, 접근통제 게이트웨이(30) 또는 이벤트 수집부(33)는 각 서버(40)로부터 서버 로그인 이벤트를 수신하고, 이벤트를 수신하면 외부에서 해당 서버로 접근한 로그인 연결 정보 등을 수집한다(S40).
서버 로그인 이벤트는 최초로 서버에 접속할 때 발생하는 이벤트로서, 게이트웨이 또는 접속 중계부(32)가 중계를 위해 직접 접속하는 경우(S20)나, 사용자가 이미 다른 서버에 접속한 상태에서 우회하여 해당 서버로 접속하는 경우(S30)이다. 이때, 서버(40)는 서버 로그인 이벤트 또는 이와 관련된 시스템 로그를 게이트웨이 또는 이벤트 수집부(33)로 전송한다.
또한, 로그인 연결 정보 등은 로그인을 위해 서버로 접속한 외부 접속 정보(소스의 IP주소 및 포트번호), 서버가 제공한 서비스의 접속 정보(서버의 IP주소 및 포트번호), 서버(40)가 제공한 서비스의 프로세스 아이디(PID)(또는 최상위 PID) 등으로 구성된다.
다음으로, 접근통제 게이트웨이(30) 또는 우회접속 탐지부(34)는 로그인 연결 정보 등을, 또는, 로그인 연결 정보의 소스 서버를 역추적하여 획득된 연결 정보 등을, 중계 이력의 연결 정보와 비교하여, 해당 서버로의 직접 접속 또는 우회 접속 여부 및, 그 사용자의 서비스 계정을 탐지한다(S50). 탐지 단계(S50)는 도 10을 참조하여 이하에서 보다 구체적으로 설명한다.
다음으로, 접근통제 게이트웨이(30) 또는 우회접속 탐지부(34)는 서버로의 직접 접속(또는 정상 접속)으포 판단하면, 해당 접속을 정상으로 파악하고 종료한다(S60). 특히, 이때, 중계는 유지된다.
다음으로, 접근통제 게이트웨이(30) 또는 우회접속 탐지부(34)는 서버로의 우회 접속으포 탐지하면, 탐지된 서비스 계정의 접속보안 정책을 참조하여, 해당 우회 접속의 허용 여부를 판단하고, 판단 결과에 따라 접속 중계부(32)를 통해 해당 중계를 차단하거나 허용하도록 한다(S70).
다음으로, 본 발명의 제1 실시예에 따른 우회 접속을 탐지하는 단계(S50)의 세부 단계에 대하여 도 10을 참조하여 설명한다. 정상 접속 또는 우회 접속을 탐지하는 단계(S50)는 접근통제 게이트웨이(30) 또는 우회접속 탐지부(34)에 의해 수행된다.
도 10에서 보는 바와 같이, 이벤트 수집(33)에서 수집된 로그인 연결 정보 등과 중계 이력의 연결정보와 일치하는 정보가 있는지 판단한다(S51). 판단 결과, 일치하는 정보가 있을 경우 정상 접속(또는 직접 접속)으로 판단한다(S52).
일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP주소를 이용하여 로그인으로 접속한 소스 서버에 접속하고, 로그인 연결 정보의 소스 포트(Source Port)를 사용하고 있는 프로세스 아이디(PID)를 검색한다(S53).
다음으로, 프로세스 아이디(PID)를 기반으로 최상위 PID를 찾아낸다(S54). 그리고 최상위 프로세스(최상위 PID)의 연결정보를 수집한다(S55). 수집된 연결정보 등(또는 최상위 프로세스의 연결정보)과 중계 이력의 연결정보와 일치하는 정보가 있는지 판단한다(S56).
일치하는 정보가 있을 경우 우회 접속으로 판단한다(S57). 이때, 해당 연결정보 등은 중계 이력의 사용자(또는 계정, 사용자의 서비스 계정)에 의해 사용되는 것으로 판단한다.
다음으로, 일치하는 정보가 없을 경우, 해당 연결 정보의 소스 IP주소를 이용하여, 앞서 S53 단계부터의 과정을 반복한다(S58).
다음으로, 본 발명의 제2 실시예에 따른 접근통제 시스템의 우회 접속 탐지 및 차단 방법을 도 11 및 도 12를 참조하여 설명한다.
본 발명에 따른 제2 실시예는 앞서 설명한 제1 실시예와 동일하다.
도 11에서 보는 바와 같이, 다만, 제2 실시예는, 제1 실시예에 비해, 우회 접속에 대해 접속보안 정책에 따라 허용되면, 우회 접속의 연결 정보를 중계 이력에 추가하는 단계(S180)가 추가된다. 이때, 바람직하게는, 추가되는 중계 이력은 게이트웨이로 접근한 사용자 단말의 접속 정보(IP주소 및 포트번호), 최상위 PID의 소스 서버의 접속 정보(IP주소 및 포트번호), 소스 서버의 최상위 PID 등으로 구성된다.
또한, 도 12에서 보는 바와 같이, 제2 실시예는 제1 실시예에서 수행하던 반복 단계(S58)가 없다.
즉, 사용자 단말(10)이 제1 서버에서 제2 서버로 우회 접속을 하고, 해당 우회 접속이 허용되면, 제2 서버에 대한 최상위 프로세스의 연결 정보를 중계 이력으로 저장한다.
이 경우, 우회 접속이 될 때 직전 소스 서버에 대한 모든 중계 이력이 기록되기 때문에, 역추적을 반복하지 않아도 된다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 사용자 단말
30 : 접근통제 게이트웨이 31 : 접속정책 관리부
32 : 접속 중계부 33 : 이벤트 수집부
34 : 우회접속 탐지부
40 : 서버 80 : 데이터베이스
81 : 접속정책DB 82 : 중계이력DB
83 : 로그인연결정보DB

Claims (6)

  1. 적어도 하나의 사용자 단말과 적어도 2개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템에 있어서,
    상기 사용자 단말과 서버 간에 메시지를 중계하고, 중계를 위해 해당 서버와 연결을 설정하면 연결 정보 및 해당 서버의 로그인 프로세스의 아이디(PID)(이하 중계이력 연결 정보 등)를 중계 이력으로 저장하는 접속 중계부;
    서버로부터 로그인 이벤트를 수신하면, 해당 서버로의 로그인 연결 정보 및 해당 서버의 로그인 프로세스의 최상위 아이디(이하 로그인 연결 정보 등)를 수집하는 이벤트 수집부; 및,
    서버의 로그인 이벤트가 발생하면, 수집된 로그인 연결 정보 등을 이용하여, 해당 서버로의 로그인 접속이 우회 접속인지 여부를 탐지하고, 해당 로그인 접속의 사용자 계정을 탐지하는 우회접속 탐지부를 포함하고,
    상기 우회접속 탐지부는,
    서버 로그인 이벤트가 발생하면, 수집된 로그인 연결 정보 등과 중계 이력 연결정보 등과 일치하는 정보가 있는지 판단하고, 일치하는 정보가 있을 경우 직접 접속으로 판단하고,
    일치하는 정보가 없을 경우, 로그인 연결 정보의 소스 IP주소를 이용하여, 로그인 연결 정보의 소스 서버에 접속하고, 소스 서버에서 소스 포트로 연결하는 프로세스의 최상위 프로세스를 검색하고, 최상위 프로세스의 연결 정보 및 프로세스 아이디(PID)를 획득하여, 중계 이력의 연결 정보 등과 일치하는지를 판단하고, 일치하는 정보가 있을 경우, 우회 접속으로 판단하고,
    상기 중계 이력은 사용자 단말이 접근한 IP주소 및 포트번호, 해당 서버에 접근하는 IP주소 및 포트번호, 해당 서버가 제공한 서비스의 프로세스 아이디(PID)를 포함하고,
    상기 해당 서버로의 로그인 연결 정보는 로그인을 위해 해당 서버로 접속한 외부 접속 정보인 소스의 IP주소 및 포트번호, 해당 서버가 제공한 서비스의 접속 정보인 해당 서버의 IP주소 및 포트번호를 포함하는 것을 특징으로 하는 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템.
  2. 제1항에 있어서,
    상기 시스템은 각 사용자 계정에 대한 서버 접근 허용 정보를 접속보안 정책으로 사전에 설정하여 저장하는 접속정책 관리부를 더 포함하고,
    상기 우회접속 탐지부는 해당 서버로의 로그인 접속이 우회 접속이고, 상기 접속보안 정책에 의해 우회탐지된 사용자 계정이 해당 서버로의 접근 제한 여부에 따라, 상기 접속 중계부를 통해, 해당 로그인 접속에 대한 중계를 차단하거나 허용하도록 하는 것을 특징으로 하는 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템.
  3. 제1항에 있어서,
    상기 이벤트 수집부는 서버 로그인 이벤트를 수신하면, 해당 서버에 접속하여 시스템 로그(SYSLOG)를 참조하여 로그인 연결 정보의 소스 IP주소와 소스 포트를 검색하고, 검색된 소스 IP주소와 소스 포트로 PID를 검색하는 것을 특징으로 하는 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템.
  4. 삭제
  5. 제1항에 있어서,
    상기 우회접속 탐지부는 소스 서버의 최상위 프로세스의 연결 정보 및 PID가 중계이력 연결 정보 등과 일치하지 않으면, 해당 연결 정보의 소스 서버에 대하여 최상위 프로세스의 연결정보를 탐지하는 과정을 반복하는 것을 특징으로 하는 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템.
  6. 제1항에 있어서,
    상기 우회접속 탐지부는 우회 접속으로 판단하는 경우, 소스 서버의 최상위 프로세스의 연결 정보 및 PID를 상기 중계 이력에 추가하여 저장하는 것을 특징으로 하는 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템.
KR1020190021946A 2019-02-25 2019-02-25 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 Active KR102014807B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190021946A KR102014807B1 (ko) 2019-02-25 2019-02-25 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190021946A KR102014807B1 (ko) 2019-02-25 2019-02-25 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템

Publications (1)

Publication Number Publication Date
KR102014807B1 true KR102014807B1 (ko) 2019-08-27

Family

ID=67807829

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190021946A Active KR102014807B1 (ko) 2019-02-25 2019-02-25 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템

Country Status (1)

Country Link
KR (1) KR102014807B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102142045B1 (ko) * 2019-11-28 2020-08-06 주식회사 넷앤드 멀티 클라우드 환경에서의 서버 감사 시스템
KR20210043904A (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
KR20210072364A (ko) * 2019-12-09 2021-06-17 (주)나린시스 딥러닝을 기초로 서버 보안정책을 수행하는 게이트웨이 장치 및 그것의 제어 방법
KR20210075653A (ko) * 2019-12-13 2021-06-23 단국대학교 산학협력단 디코이 트랩을 이용한 이동 표적 방어 시스템 및 이를 통한 공격 표면 확장 방법
KR102508418B1 (ko) * 2022-09-20 2023-03-14 알비소프트 주식회사 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템
KR102634198B1 (ko) 2022-12-30 2024-02-06 주식회사 에스티씨랩 디지털 서비스 기반의 접속 통제를 위한 트랜잭션 관리서버 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101143847B1 (ko) 2005-04-14 2012-05-10 (주) 모두스원 네트워크 보안장치 및 그 방법
KR101160219B1 (ko) * 2012-01-05 2012-06-27 주식회사 피앤피시큐어 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법
KR20170047533A (ko) * 2015-10-23 2017-05-08 이니텍(주) 비인가 우회접속 차단 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101143847B1 (ko) 2005-04-14 2012-05-10 (주) 모두스원 네트워크 보안장치 및 그 방법
KR101160219B1 (ko) * 2012-01-05 2012-06-27 주식회사 피앤피시큐어 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법
KR20170047533A (ko) * 2015-10-23 2017-05-08 이니텍(주) 비인가 우회접속 차단 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210043904A (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
WO2021075652A1 (ko) * 2019-10-14 2021-04-22 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
KR102288604B1 (ko) * 2019-10-14 2021-08-11 주식회사 수산아이앤티 우회 프로그램 자동 검출 방법 및 그 시스템
KR102142045B1 (ko) * 2019-11-28 2020-08-06 주식회사 넷앤드 멀티 클라우드 환경에서의 서버 감사 시스템
KR20210072364A (ko) * 2019-12-09 2021-06-17 (주)나린시스 딥러닝을 기초로 서버 보안정책을 수행하는 게이트웨이 장치 및 그것의 제어 방법
KR102324518B1 (ko) * 2019-12-09 2021-11-15 (주)나린시스 딥러닝을 기초로 서버 보안정책을 수행하는 게이트웨이 장치 및 그것의 제어 방법
KR20210075653A (ko) * 2019-12-13 2021-06-23 단국대학교 산학협력단 디코이 트랩을 이용한 이동 표적 방어 시스템 및 이를 통한 공격 표면 확장 방법
KR102276753B1 (ko) * 2019-12-13 2021-07-13 단국대학교 산학협력단 디코이 트랩을 이용한 이동 표적 방어 시스템 및 이를 통한 공격 표면 확장 방법
KR102508418B1 (ko) * 2022-09-20 2023-03-14 알비소프트 주식회사 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템
KR102634198B1 (ko) 2022-12-30 2024-02-06 주식회사 에스티씨랩 디지털 서비스 기반의 접속 통제를 위한 트랜잭션 관리서버 및 방법
KR20240108323A (ko) 2022-12-30 2024-07-09 주식회사 에스티씨랩 디지털 서비스 기반의 접속 통제를 위한 트랜잭션 관리 서버 및 방법

Similar Documents

Publication Publication Date Title
KR102014807B1 (ko) 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템
US10938800B2 (en) System and method for secure access of a remote system
US8341317B2 (en) Systems and methods for managing a network
US9191365B2 (en) Method and system for authentication event security policy generation
US7581249B2 (en) Distributed intrusion response system
US7373524B2 (en) Methods, systems and computer program products for monitoring user behavior for a server application
CA2570783C (en) Systems, methods and computer-readable media for regulating remote access to a data network
US20050188222A1 (en) Methods, systems and computer program products for monitoring user login activity for a server application
US20050188080A1 (en) Methods, systems and computer program products for monitoring user access for a server application
US20050188221A1 (en) Methods, systems and computer program products for monitoring a server application
US20050188079A1 (en) Methods, systems and computer program products for monitoring usage of a server application
US20050198099A1 (en) Methods, systems and computer program products for monitoring protocol responses for a server application
US20060161816A1 (en) System and method for managing events
US20150113589A1 (en) Authentication server enhancements
JP2005529409A (ja) プロトコルゲートウェイのためのシステム及び方法
CA2375206A1 (en) Internet/network security method and system for checking security of a client from a remote facility
CN110602134A (zh) 基于会话标签识别非法终端访问方法、装置及系统
US11153350B2 (en) Determining on-net/off-net status of a client device
Cisco Configuration Procedures
Cisco Configuring Sensor Nodes
Cisco Configuration Tasks
Cisco Cisco Secure Intrusion Detection System Sensor Configuration Note Version 2.5
Cisco Administering DFM
Cisco Chap 3: Administration
Cisco Configuration Management

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20190225

PA0201 Request for examination
PA0302 Request for accelerated examination

Patent event date: 20190225

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20190415

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20190715

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20190821

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20190821

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20220902

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20230706

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20240523

Start annual number: 6

End annual number: 6