KR101490052B1 - 사용자 단말 원격 접속 감지 시스템 및 방법 - Google Patents

사용자 단말 원격 접속 감지 시스템 및 방법 Download PDF

Info

Publication number
KR101490052B1
KR101490052B1 KR20130122032A KR20130122032A KR101490052B1 KR 101490052 B1 KR101490052 B1 KR 101490052B1 KR 20130122032 A KR20130122032 A KR 20130122032A KR 20130122032 A KR20130122032 A KR 20130122032A KR 101490052 B1 KR101490052 B1 KR 101490052B1
Authority
KR
South Korea
Prior art keywords
information
web service
pattern information
static pattern
unit
Prior art date
Application number
KR20130122032A
Other languages
English (en)
Inventor
김태봉
정영만
홍성구
Original Assignee
케이티비솔루션 주식회사
주식회사 대구은행
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 케이티비솔루션 주식회사, 주식회사 대구은행 filed Critical 케이티비솔루션 주식회사
Priority to KR20130122032A priority Critical patent/KR101490052B1/ko
Application granted granted Critical
Publication of KR101490052B1 publication Critical patent/KR101490052B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 웹(Web) 보안 시스템 및 방법에 관한 것으로, 더욱 상세하게는 임의의 웹 서비스를 제공하는 웹 서비스 서버에서 웹 서비스를 요청한 사용자 단말기를 이용하는 사용자가 정당한 사용자인지 원격지에서 사용자 단말에 접속한 원격 접속 단말기를 이용한 원격 침입자인지를 판단하여 정당한 사용자에게만 웹 서비스를 제공할 수 있는 사용자 단말 원격 접속 감지 시스템 및 방법에 관한 것이다.

Description

사용자 단말 원격 접속 감지 시스템 및 방법{System and method for monitoring illegal remote access of user's terminal}
본 발명은 웹(Web) 보안 시스템 및 방법에 관한 것으로, 더욱 상세하게는 임의의 웹 서비스를 제공하는 웹 서비스 서버에서 웹 서비스를 요청한 사용자 단말기를 이용하는 사용자가 정당한 사용자인지 원격지에서 사용자 단말에 접속한 원격 접속 단말기를 이용한 원격 침입자인지를 판단하여 정당한 사용자에게만 웹 서비스를 제공할 수 있는 사용자 단말 원격 접속 감지 시스템 및 방법에 관한 것이다.
최근 유무선 인터넷 통신 기술의 급속한 발달로 인하여 사용자의 컴퓨터 및 사용자가 회원으로 가입한 웹사이트들을 통해 개인정보들이 유출되고 있다. 이러한 개인정보의 유출은 명의 도용에 따른 공인인증서 재발급 및 전자이체 등과 같은 금융 위험을 발생시키고 있다. 그리고 무단 유출된 개인정보는 각종 금융 및 전자상거래 등의 사기에 이용되며, 개인정보를 이용한 오프라인 상에서의 각종 대포폰, 대포계좌 개설 등에 악용되고 있다. 또한, 개인정보 유출은 기업의 내부 기밀 유출 사고 시 기업 생존과 직결될 것으로 예상된다.
이러한 종래의 개인정보 유출을 방지하기 위한 방법으로는 최근 주민등록번호를 대신하여 인터넷 개인 식별번호(Internet Personal Identification Number: i-Pin)(이하 "아이핀"이라 함)를 이용하는 주민등록번호 대체 이용 방법, 개인 컴퓨터의 바이러스와 스파이웨어 등과 같은 악성코드를 검출 및 삭제하여 바이러스를 통한 정보 유출을 방지하는 보안 프로그램 이용 방법, 결제 시 안심결제 및 간편 결제 방법, 및 공인인증서 이용 방법 등이 있을 수 있다.
아이핀 방식은 아이핀 제공 보안회사의 웹사이트에서 주민등록번호에 대해 주민등록번호를 대신할 아이핀과 그 아이핀에 대한 비밀번호를 설정하여 등록하고, 온라인상에서 주민등록번호 대신 등록된 아이핀과 비밀번호를 사용하여 서비스 가입 등을 수행할 수 있도록 하고, 상기 등록하고자 하는 온라인의 웹사이트는 아이핀과 비밀번호에 의해 상기 아이핀 제공 보안 회사를 통해 본인인증을 수행하는 것이다.
그리고 공인인증서 방식은 공인인증기관에서 비밀번호 등을 설정한 공인인증서를 발급받아 컴퓨터, USB 등과 같은 휴대용 저장장치, 휴대폰 등에 저장해 놓고 인증 및 결제 시마다 공인인증서를 불러와 상기 공인인증서에 대한 비밀번호를 입력하여 인증하는 방식이다.
그러나 상술한 아이핀 방식의 경우도, 아이핀과 비밀번호가 노출되면 동일하게 개인정보가 노출될 수 있었으며, 공인인증서 방식 또한 공인인증서의 복사가 가능하고 비밀번호만 노출되면 온라인상에서 이용될 수 있는 문제점이 있었다.
또한, 이러한 개인정보 보호 방안들은 3자의 개인정보를 이용한 온라인상의 로그인, 결제 및 인증 시 해당 개인이 이를 알 수 없고, 시간이 지난 후에나 개인정보의 도용이 발생했음을 인지함으로써 피해를 방지하거나, 피해에 따른 빠른 대처를 할 수 없는 문제점이 있었다.
이러한 문제점을 해결하기 위해 최근에는 웹 서비스 서버에서 사용자가 웹 서비스를 받기 위해 사용할 사용자의 컴퓨터 등의 장치를 등록하고 등록된 장치 이외의 장치에서 로그인 등의 접속이 발생되면 차단하고, 미리 등록된 메일 등으로 등록된 장치 이외의 장치를 통한 제3자의 접속을 알리는 디바이스 지정 등록 보안 시스템이 개발되어 적용되고 있다.
그러나 제3자가 원격 접속 단말기를 이용하여 임의의 웹 서비스 서버에 기기 지정 등록을 완료한 사용자 단말기를 해킹하여 접속하고 상기 해킹한 사용자 단말기를 통해 웹 서비스 서버에 접속하거나, 악성 코드 등을 심어 놓고, 상기 사용자 단말기를 통해 웹 서비스 서버에 로그인 접속하는 경우, 종래 디바이스 지정 등록 보안 시스템은 제3자가 사용자 단말기를 통해 접근하므로 상기 제3자에 의한 접근임을 감지할 수 없는 문제점이 있었다.
특허공개 제10-2007-0028549호
따라서 본 발명의 목적은 임의의 웹 서비스를 제공하는 웹 서비스 서버에서 웹 서비스 요청 시 웹 서비스를 요청한 사용자 단말기를 이용하는 사용자가 정당한 사용자인지 원격지에서 사용자 단말에 접속한 원격 접속 단말기를 이용한 원격 침입자인지를 판단하여 정당한 사용자에게만 웹 서비스를 제공할 수 있는 사용자 단말 원격 접속 감지 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 사용자 단말 원격 접속 감지 시스템은: 임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부; 상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하는 것을 특징으로 한다.
상기 사용자 단말기는, 유무선 데이터 통신망에 접속하고, 상기 유무선 데이터 통신망에 접속된 다른 장치들과 데이터 통신을 수행하는 통신부; 상기 에이전트를 저장하는 저장부; 및 상기 에이전트에 의해 정적 패턴 정보를 수집하고 상기 통신부를 통해 상기 웹 서비스 서버부로 제공하는 제어부를 포함하는 것을 특징으로 한다.
상기 제어부는, 외부에서 상기 통신부를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사부; 상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 검출부; 및 상기 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하고 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 생성부를 포함하는 것을 특징으로 한다.
상기 제어부는, 상기 네트워크 연결 검사부 및 프로세스 검출부에서 검출 및 수집된 정보들을 특정 오픈 포트별로 재분류하는 포트 분석부; 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 오픈 포트별로 재분류된 상기 네트워크 연결 검사부, 프로세스 검출부에서 검출된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스를 가지는 네트워크 연결 및 프로세스 정보를 상기 정보들에서 제외하는 예외 분석부; 및 상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석부를 더 포함하되, 상기 정적 패턴 정보 생성부는 상기 정적 패턴 정보에 상기 예외 정보에 포함된 정보에 대응하는 정보 및 상기 예외 정보가 제외된 상기 정보들 및 출발지 IP 정보를 포함하는 정적 패턴 정보를 생성하는 것을 특징으로 한다.
상기 웹 서비스 서버부는, 상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받고, 그 결과가 침입 판단 정보이면 미리 등록된 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하고, 이에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 한다.
상기 통신단말기는 이동통신단말기이고, 상기 본인 확인 요청 메시지 및 응답 메시지는 단문 메시지 서비스 메시지인 것을 특징으로 한다.
상기 웹 서비스 서버부는, 자동응답시스템(ARS)을 포함하고, 상기 자동응답시스템을 통해 상기 사용자에 대해 미리 등록되어 있는 전화번호의 통신단말기로 아웃바운딩 호를 발신하여 통화로 형성 시 자동응답시스템의 시나리오에 따른 본인 확인 요청 메시지를 음성으로 송신하고, 이에 대한 응답 메시지를 음성 또는 통신단말기의 버튼 신호로 입력받고 상기 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명의 사용자 단말 원격 접속 감지 방법은: 사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정; 임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정; 원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및 상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하는 것을 특징으로 한다.
상기 정적 패턴 수집 과정은, 외부에서 통신부를 통해 접속한 네트워크 연결 중 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사 단계; 상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 정보 생성 단계; 상기 네트워크 연결 정보 및 프로세서 정보를 포함하는 정적 패턴 정보를 생성하는 정적 패턴 정보 생성 단계; 및 상기 정적 패턴 정보를 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 전송 단계를 포함하는 것을 특징으로 한다.
상기 정적 패턴 수집 과정은, 상기 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 재분류하는 포트 분석 단계; 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 재분류된 네트워크 연결 정보, 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외하는 예외 분석 단계; 및 상기 검출된 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석 단계를 더 포함하되, 상기 정적 패턴 정보 생성 단계는, 상기 정적 패턴 정보에 상기 포트 정보를 포함하되 상기 예외 정보에 포함된 정보들을 제외한 정적 패턴 정보를 생성하는 것을 특징으로 한다.
프로세스 정보 생성 단계는, 상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하는 프로세스 검출 단계; 검출된 상기 프로세스가 동작되고 있는 권한을 검출하고, 검출된 권한과 미리 정의된 권한 규칙들과 비교하여 정상적인 권한인지를 판단하고, 그 판단 결과를 생성하는 프로세스 권한 판단 단계;
검출된 상기 프로세스가 설치된 경로 정보를 검출하고 검출된 경로가 정상 설치 경로인지를 판단하고, 그 판단 결과를 생성하는 정상 설치 경로 판단 단계; 검출된 상기 프로세스의 소유자 정보를 검출하고 소유자 정보의 존재 여부를 판단하고 미리 설정된 정당한 소유자들에 대한 정보와 비교하여 허위 여부를 판단하고, 그 결과정보를 생성하는 프로세스 소유자 검증 단계;
검출된 상기 프로세스의 속성이 은닉인지를 판단하고, 그 결과정보를 생성하는 프로세스 은닉 판단 단계; 및 상기 검출된 프로세스 정보, 프로세스 권한 판단 결과 정보, 정상 설치 경로 판단 정보, 소유자 검증 정보, 프로세스 은닉 판단 정보를 포함하는 프로세스 정보를 생성하는 프로세스 정보 생성 단계를 포함하는 것을 특징으로 한다.
상기 서비스 제공 과정은, 상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받는 침입 판단 결과 수신 단계; 상기 수신된 침입 판단 결과가 침입 판단 정보이면 상기 사용자의 미리 등록된 전화번호를 로드하는 전화번호 로딩 단계; 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하는 본인 확인 요청 단계; 및 상기 본인 확인 요청 메시지에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 웹 서비스 제공 단계를 포함하는 것을 특징으로 한다.
상기 에이전트 설치 과정에서의 요청된 웹 서비스는 로그인 서비스이고, 정적 패턴 수집 과정의 웹 서비스는 로그인 서비스를 포함하는 웹 서비스 서버부에서 제공하는 임의의 웹 서비스인 것을 특징으로 한다.
본 발명은 사용자 단말기의 네트워크 연결 정보 및 실행된 프로세스 정보들을 포함하는 정적 패턴 정보를 수집하고, 수집된 정적 패턴 정보와 미리 설정되어 있는 동적 패턴 정보를 비교하여 사용자 단말기를 통해 임의의 웹 서비스 서버에 접속하여 서비스를 받고자 하는 사용자가 정당한 사용자인지 사용자 단말기에 불법으로 원격 접속한 침입자인지를 판단할 수 있는 효과를 갖는다.
이에 따라 본 발명은 사용자가 웹 서비스 서버에 접속하는 것만으로도 사용자 단말기에 접속한 원격 접속 단말기의 정보를 확인할 수 있으므로 사용자 단말기를 통한 개인정보 유출 및 웹 서비스 서버를 통한 제3자의 불법적인 서비스 이용을 차단하므로 웹 서비스 서버를 통한 사용자의 개인정보 유출을 차단할 수 있는 효과를 갖는다.
도 1은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 에이전트가 구동된 사용자 단말 원격 접속 감지 시스템의 사용자 단말기 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말기에서의 정적 패턴 정보 수집 방법을 나타낸 흐름도이다.
도 4는 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말 원격 접속 감지 방법을 나타낸 절차도이다.
이하 첨부된 도면을 참조하여 본 발명의 사용자 단말 원격 접속 감지 시스템 및 에이전트가 실행된 사용자 단말기의 구성 및 동작을 설명하고, 그 사용자단말기에서 정적 패턴 정보 수집 방법 및 그 시스템에서의 사용자 단말 원격 접속 감지 방법을 설명한다.
도 1은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면 본 발명에 따른 사용자 단말 원격 접속 감지 시스템은 사용자 단말기(200), 통신단말기(400), 웹 서비스 서버부(500) 및 원격 접속 감시 서버부(600)를 포함한다. 도면의 참조된 부호 100은 상기 사용자 단말기(200)에 원격 접속하는 원격 접속 단말기이다.
상기 유무선 데이터 통신망(150)은 유무선 인터넷망과 3세대 이동통신망(3G망), 및 4세대 이동통신망(Long Term Evolution: LTE)이 결합된 망일 수 있다.
상기 사용자 단말기(200)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)와 연결되어 데이터 통신을 수행하고, 웹 서비스 서버부(500)는 유무선 데이터 통신망(150)을 통해 원격 접속 감시 서버부(600)와 데이터 통신을 수행한다.
통신단말기(400)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)로부터 단문메시지서비스(Short Message Service: SMS) 메시지, 멀티미디어메시지서비스(Multimedia Message Service: MMS) 메시지 또는 에이전트를 통해 푸시 메시지를 수신하거나 유무선 데이터 통신망(150)의 이동통신망을 통해 음성 메시지를 수신할 수 있는 이동통신단말기(410) 및 일반공중전화망(Public Switched Telephony Network: PSTN)을 통해 웹 서비스 서버부(500)로부터 음성 메시지를 수신할 수 있는 일반 유선전화기(420)를 포함한다.
그리고 웹 서비스 서버부(500)는 본 발명의 실시예에 따라 일반공중전화망(PSTN)을 통해 사용자의 통신단말기(400)와 연결되어 음성 통신을 수행하거나 유무선 데이터 통신망(150)의 이동통신망을 통해 데이터 메시지 통신을 수행한다.
사용자 단말기(200)는 사용자가 웹 서비스 서버부(500)에 미리 등록해 놓은 지정 단말기일 수도 있고, 미등록한 일반 단말기일 수도 있을 것이다. 상기 사용자 단말기(200)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)에 접속할 수 있는 단말기로 개인용 컴퓨터(PC) 및 노트북 등과 같은 컴퓨터 단말기(300)가 될 수도 있고, 스마트폰 및 스마트패드 등과 같은 음성 통신 및 데이터 통신이 모두 가능한 스마트 단말기(410)가 될 수 있을 것이다. 사용자 단말기(200)는 웹 서비스 서버부(500)가 제공되는 에이전트를 설치하고 있으며, 상기 에이전트에 의해 외부에서 자신에게 접속하거나 접속을 유도하는 네트워크 연결 정보, 프로세스 정보, IP 정보 중 적어도 하나 이상을 포함하는 정적 패턴 정보를 수집하여 웹 서비스 서버부(500)로 제공한다. 그러나 상기 정적 패턴 정보는 최소한 네트워크 연결 정보 및 프로세스 정보를 포함하는 것이 바람직할 것이다.
웹 서비스 서버부(500)는 다수의 사용자들에 대한 아이디(ID) 및 패스워드를 포함하는 로그인 정보 및 전화번호를 포함하는 사용자 정보들을 저장하고 있으며, 로그인 서비스, 사용자 정보 변경/수정 서비스, 구매 서비스 및 결제 서비스 등과 같은 다양한 웹 서비스를 로그인 한 사용자의 사용자 단말기(200)로 제공한다. 특히 웹 서비스 서버부(500)는 에이전트 프로그램을 저장하고 있으며, 임의의 사용자가 로그인 시 상기 사용자의 사용자 단말기에 에이전트가 설치되어 있는지를 판단하고, 설치되어 있지 않은 경우 에이전트를 제공하여 에이전트를 설치할 수 있도록 한다. 웹 서비스 서버부(500)는 상기 에이전트를 통해 사용자 단말기(200)로부터 정적 패턴 정보가 수신되면 원격 접속 감시 서버부(600)로 제공하고, 원격 접속 감시 서버부(600)로부터 정적 패턴 정보에 대한 침입 여부 판단 정보가 수신되면 판단된 침입 여부에 따라 해당 서비스를 제공하거나 차단한다. 상기 웹 서비스 서버부(500)는 서비스를 제공 및 차단하기 전에 사용자에 대해 미리 등록된 사용자의 전화번호에 대응하는 통신단말기(400)로 본인 확인 요청 메시지를 전송하고 이에 대한 응답 여부에 따라 해당 서비스를 제공하거나 차단하도록 구성될 수 있을 것이다. 상기 본인 확인 요청 메시지는 음성 메시지, 또는 단문메시지서비스(SMS) 메시지, 멀티미디어서비스(MMS) 메시지 또는 푸시 메시지 등과 같은 데이터 메시지가 될 수 있을 것이다. 즉 웹 서비스 서버부(500)는 상기 본인 확인 요청 메시지를 음성 메시지로 송신하기 위해 자동응답시스템(Auto Response System: ARS)을 포함하거나 단문메시지서비스(SMS) 메시지, 멀티미디어메시지서비스(MMS) 메시지 등을 송수신하는 메시지 송수신 서버를 포함하거나 푸시 메시지를 송신할 수 있도록 에이전트에 대응하는 어플리케이션 서버를 포함하도록 구성될 수 있을 것이다.
원격 접속 감시 서버부(600)는 2가지 형태의 동적 패턴 정보를 저장하고 있는 동적 패턴 정보 데이터베이스(Database: DB)(610)를 포함하고, 웹 서비스 서버부(500)로부터 정적 패턴 정보의 수신 시 동적 패턴 정보 DB(610)에 미리 등록되어 있는 동적 패턴 정보와 비교하여 상기 정적 패턴 정보의 네트워크 연결 및 프로세스들의 침입 판단을 수행한다. 구체적으로, 상기 동적 패턴 정보는 블랙리스트 정보와 화이트리스트 정보를 포함한다. 블랙리스트 정보는 원격 접속 차단 악성코드(좀비/백도어) 정보들을 포함하고, 화이트 리스트 정보는 원격접속 허용 악성코드와 무관하게 "예외 처리"할 정보로 사전에 정의한 정상적인 프로세스에 대한 프로세스 정보를 포함한다. 상기 블랙리스트의 원격 접속 차단 악성코드 정보는 프로세스 명, MD5 해쉬값 등을 포함한다.
도 2는 본 발명에 따른 에이전트가 구동된 사용자 단말 원격 접속 감지 시스템의 사용자 단말기 구성을 나타낸 도면으로 에이전트 설치 및 실행에 따른 구성을 나타낸 도면이다.
도 2를 참조하면, 본 발명에 따른 사용자 단말기(200)는 제어부(210), 저장부(220), 입력부(230) 및 디스플레이부(240) 및 통신부(250)를 포함한다.
저장부(220)는 본 발명에 따른 에이전트를 포함하는 사용자 단말기의 동작을 제어하기 위한 제어프로그램을 저장하는 프로그램 저장 영역, 상기 제어프로그램 수행 중에 발생되는 데이터를 일시 저장하는 임시 영역, 에이전트에 의해 수집된 정보들 및 정적 패턴 정보를 저장하는 데이터 영역을 포함한다.
입력부(230)는 숫자 및 문자를 입력할 수 있는 다수의 키들을 구비하고 눌린 키에 대응하는 키 신호를 출력하는 키입력 장치 및 디스플레이부(240)와 일체로 구성되어 터치된 위치의 좌표 데이터를 제어부(210)로 출력하는 터치패드 중 적어도 하나 이상을 포함한다.
디스플레이부(240)는 본 발명에 따른 사용자 단말기의 다양한 정보들을 표시한다.
통신부(250)는 유무선 데이터 통신망(150)에 접속하여 유무선 데이터 통신망(150)에 접속한 원격 접속 단말기(100), 웹 서비스 서버부(500) 및 원격 접속 감시 서버부(600) 등과 같은 장치들과 제어부 간 데이터 통신을 제공한다. 상기 장치들과 제어부 간의 데이터 통신을 위해 상기 통신부(250)는 무선으로 유무선 데이터 통신망(150)의 무선 인터넷망에 접속하는 무선 인터넷 통신부 및 상기 유무선 데이터 통신망(150)의 유선 인터넷망에 유선으로 접속하는 유선 인터넷 통신부, 유무선 데이터 통신망(150)의 이동통신망에 무선으로 접속하는 이동통신부 중 적어도 하나 이상을 포함한다.
제어부(210)는 본 발명에 따른 사용자 단말기의 전반적인 동작을 제어한다. 특히 제어부(210)는 에이전트 구동 시 통신부(250)를 통해 외부에서 접속하거나 내부의 프로세스 및 서비스(서비스도 프로세스에 의해 수행되는 것이므로 이하 통칭하여 "프로세스"라 함)에 의해 외부 접속을 유도하는 네트워크 연결 정보 및 네트워크 연결을 생성한 프로세스 정보를 수집하고 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하여 웹 서비스 서버부(500)로 제공한다. 상기 네트워크 연결 정보는 프로토콜 정보, 로컬 어드레스(Local Address) 정보, 외부 어드레스(Foreign Address) 정보, 상태 정보 등의 정보가 될 수 있고, 상기 프로세스 정보는 프로세스 명, MD5 해시(Hash) 값, 프로세스 소유자(또는 발행자) 정보, 프로세스 용량 정보, 프로세스 속성 정보 등이 될 수 있을 것이다. 상기 네트워크 연결 정보 및 프로세스 정보 자체는 이 기술분야의 통상의 기술을 가진 자에게 잘 알려진 것이므로 그 상세한 설명을 생략한다.
구체적으로 설명하면, 제어부(210)는 네트워크 연결 검사부(211), 프로세스 검출부(212), 포트 분석부(213), 예외 분석부(214), IP 분석부(215) 및 정적 패턴 정보 생성부(216)를 포함한다.
네트워크 연결 검사부(211)는 외부에서 상기 통신부(250)를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집한다.
프로세스 검출부(212)는 상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성한다.
포트 분석부(213)는 상기 네트워크 연결 검사부(211) 및 프로세스 검출부(212)에서 검출 및 수집된 정보들을 특정 오픈(Open) 포트별로 재분류하여 출력한다. 상기 특정 오픈 포트란 현재 접근할 수 있도록 열려 있고, 접근이 용이하며 해킹에 자주 이용되는 포트로 미리 정의된 포트이다.
예외 분석부(214)는 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 네트워크 연결 검사부(211), 프로세스 검출부(212) 및 포트 분석부(213)에서 검출 및 분류된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스 및 포트정보에 대응하는 네트워크 연결 및 프로세스 정보들에서 제외한다.
IP 분석부(215)는 상기 예외 분석부(214)에 의해 제외된 네트워크 연결, 프로세스 및 포트 정보를 제외한 네트워크 연결, 프로세스에 대한 출발지 IP를 검출하고 IP 분석 정보를 생성한다.
상기 설명에서는 예외 분석을 먼저 수행하고 IP 분석을 수행하는 경우를 설명하였으나, 모든 네트워크 연결 및 프로세스에 대한 출발지 IP를 분석하고, 예외 연결, 예외 프로세스, 예외 포트 및 예외 IP를 포함하는 예외정보를 참조하여 생성된 네트워크 연결, 프로세스, 포트 및 IP 중 제외 대상 정보들을 제거하도록 구성될 수도 있을 것이다.
정적 패턴 정보 생성부(216)는 상기 네트워크 연결 정보, 프로세스 정보, IP 분석 정보들 중 적어도 하나 이상을 포함하는 정적 패턴 정보를 생성하고, 통신부를 통해 상기 웹 서비스 서버부(500)로 송신한다. 그러나 상기 정적 패턴 정보는 상기 정보들 중 적어도 네트워크 연결 정보 및 프로세스 정보를 포함하는 것이 바람직할 것이다.
도 3은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말기에서의 정적 패턴 정보 수집 방법을 나타낸 흐름도이다.
도 3을 참조하면, 사용자가 사용자 단말기(200)를 통해 웹 서비스 서버부(500)에 접속하여 웹 서비스를 요청 시 웹 서비스 서버부(500)로부터 에이전트 설치 프로그램을 다운로드 받아 에이전트를 설치한다(S311). 상기 에이전트를 설치하도록 유도하는 상기 웹 서비스는 로그인 서비스, 결제 서비스, 사용자 정보 변경 서비스 등이 될 수 있으나, 로그인 서비스인 것이 바람직할 것이다. 즉, 에이전트가 설치 안 된 상태에서 로그인 시 에이전트를 설치하도록 유도하는 것이 바람직할 것이다.
에이전트가 설치되면, 사용자 단말기(200)의 제어부(210)는 네트워크 연결 검사부(211)를 통해 통신부(250)에 접속한 네트워크 연결을 검출하고 검출된 네트워크 연결에 대한 네트워크 연결정보를 수집한다(S311). 네트워크 연결정보가 수집되면 제어부(210)는 네트워크 연결 검사부(211)를 통해 검출된 네트워크 연결들 중 지속 연결 상태(Established)인 네트워크 연결을 검출하고, 검출된 네트워크 연결에 대한 네트워크 연결 정보를 생성하여 저장한다(S315).
상기 네트워크 연결 정보가 생성되면 제어부(210)는 프로세스 검출부(212)를 통해 상기 네트워크 연결을 설정한 프로세스들을 검출하고, 검출된 프로세스들에 대한 프로세스 정보를 수집한다(S317).
프로세스 정보가 수신되면 제어부(210)는 미리 정의된 권한 규칙들과 비교하여 상기 검출된 프로세스가 적정한 권한을 가지고 있는지를 판단하고, 그 판단 결과에 대한 프로세스 권한 판단 정보를 생성한다(S319). 상기 프로세스 권한이란 프로세스들 각각이 가지고 있는 권한으로, 관리자(Administrator), 일반 사용자(User), 시스템 네트워크 워킹 그룹 권한, 시스템 권한 등이 있을 수 있을 것이다. 프로세스 권한 판단은 실행된 프로세스가 가지고 있으면 안되는 권한을 가지고 있는 경우 부적합한 권한을 가진 것으로 판단할 수 있을 것이다. 예를 들어, 프로세서가 관리자 권한을 가지고 있는 경우 제어부(210)는 부적합한 권한으로 판단할 수 있을 것이다.
상기 프로세스 권한 판단 후 제어부(210)는 프로세스 검출부(212)를 통해 프로세스 설치 경로를 추출하고, 추출된 경로가 정상적인 설치 경로에 설치되었는지를 판단하고, 그 판단 결과 정보인 프로세스 설치 경로 판단 정보를 생성한다(S321). 통상적으로 설치 경로는 프로그램 파일명으로 된 디렉토리에 설치된다. 그러나 프로그램 파일명의 디렉토리가 아닌 시스템 디렉토리 아래에 설치된 경우 비정상적인 설치 경로로 판단할 수 있을 것이다. 또한, 설치 경로의 적법 여부는 프로세스 권한과도 연관된다. 프로세스 권한이 시스템 권한인 경우 시스템 디렉토리 아래에 설치경로를 가져야할 것이다. 그러나 시스템 권한을 가진 프로세스임에도 불구하고 시스템 디렉토리가 아닌 임의의 경로에 설치된 경우 비정상적인 설치 경로에 설치된 것으로 판단할 수 있을 것이다.
상기 프로세스 설치 경로 판단 후, 제어부(210)는 프로세스 검출부(212)를 통해 프로세스 소유자 정보를 추출하고, 소유자 정보가 없거나 허위 표시되었는지를 판단하고, 그 판단 결과 정보인 프로세스 소유자 검증 정보를 생성하여 저장한다(S323). 이를 위해 프로세스 검출부(212)는 정상적인 소유자들에 대한 정보를 가지고 있어야 할 것이다.
상기 프로세스 소유자 검증 후 제어부(210)는 상기 프로세스의 속성이 은닉 속성인지를 판단하고, 그 결과 정보인 프로세스 속성 정보를 생성하여 저장한다(S325).
상기 프로세스 권한 판단 정보, 프로세스 설치 경로 판단 정보, 프로세스 소유자 검증 정보 및 프로세스 속성 정보를 상기 프로세스 정보에 포함하여 저장한다(S327).
상기 프로세스 정보가 수집되면 제어부(210)는 상기 수집된 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 정보를 재분류한다. 상기 특정 오픈 포트란 해킹 등에 자주 이용되는 포트를 의미하며, 이에 대한 포트 정의가 에이전트에 미리 되어 있어야 할 것이다(S329).
상기 특정 포트별로 상기 네트워크 연결정보 및 프로세스 정보가 재분류되면 제어부(210)는 저장부(220)에 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 분류된 네트워크 연결정보 및 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외한다(S331).
상기 예외정보의 제거 후 제어부(210)는 상기 포트별로 재분류되고 예외정보가 제거된 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성한(S333) 후, 통신부(250)를 통해 웹 서비스 서버부(500)로 송신한다(S335).
이외도 제어부(210)는 IP 분석부(215)를 통해 상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하고, 이에 대한 IP 정보를 상기 정적 패턴 정보에 더 포함하여 전송할 수 있을 것이다(미도시).
도 4는 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말 원격 접속 감시 방법을 나타낸 절차도로서, 로그인 요청 웹 서비스 시 에이전트 설치를 진행하는 경우의 사용자 단말 원격 접속 감시 방법을 나타낸 절차도이다.
도 4를 참조하면, 사용자 단말기(200)가 웹 서비스 서버부(500)에 접속하여 로그인 요청 시(S411), 웹 서비스 서버부(500)는 사용자 단말기(200)에 에이전트가 설치되어 있는지를 판단하고 에이전트 설치 요청 메시지를 전송한다(S413).
에이전트 설치 요청 메시지를 수신한 사용자 단말기(200)는 에이전트 설치 요청 메시지를 수신하고 사용자에 의해 설치 수락이 이루어지는 경우 설치 수락 신호를 웹 서비스 서버부(500)로 전송한다(S415). 그러면 웹 서비스 서버부(500)는 에이전트 설치 프로그램을 사용자 단말기(200)로 제공한다(S417).
사용자 단말기(200)는 웹 서비스 서버부(500)로부터 에이전트 설치 프로그램이 다운로드 완료되면 에이전트 설치 프로그램을 구동하여 에이전트를 설치한 후 구동한다(S419).
에이전트가 설치되면 사용자 단말기(200)는 도 2 및 도 3에서 설명한 바와 같이 정적 패턴 정보를 생성하고(S421), 생성된 정적 패턴 정보를 웹 서비스 서버부(500)로 송신한다(S423).
웹 서비스 서버부(500)는 사용자 단말기(200)로부터 정적 패턴 정보가 전송되면 자신의 고유 식별정보를 포함하여 원격 접속 감시 서버부(600)로 재전송한다(S425).
서비스 정적 패턴 정보를 수신한 원격 접속 감시 서버부(600)는 수신된 서비스 정적 패턴 정보의 네트워크 연결 정보 및 프로세스 정보와 미리 정의되어 있는 동적 패턴 정보를 비교하여 상기 사용자 단말기(200)에 원격 접속한 원격 접속 단말기가 있는지, 원격 접속한 원격 접속 단말기가 있다면 적법하게 원격 접속한 단말기인지 아님 불법 침입자인지를 판단한다(S427).
원격 침입이 아닌 것으로 판단되면 원격 접속 감시 서버부(600)는 비침입 판단 정보를 웹 서비스 서버부(500)로 송신하고(S431), 원격 침입이 있는 것으로 판단되면 침입 판단 정보를 웹 서비스 서버부(500)로 전송한다(S433).
웹 서비스 서버부(500)는 상기 서비스 정적 패턴 정보의 전송 후 원격 접속 감시 서버부(600)로부터 침입 여부 판단 정보가 수신되면 침입 여부 판단 정보가 비침입 판단 정보인지 침입 판단 정보인지를 검사하여 임의의 웹 서비스를 요청한 사용자 단말기(200)에 원격 침입자가 있는지를 판단한다(S435).
원격 침입자가 없으면 웹 서비스 서버부(500)는 사용자 단말기(200)로 요청한 웹 서비스를 제공한다(S447).
반면, 원격 침입자가 있는 것으로 판단되면 웹 서비스 서버부(500)는 상기 로그인한 사용자에 대해 미리 등록되어 있는 전화번호를 로드하고, 상기 전화번호의 사용자의 통신단말기(400)로 본인 확인 요청 메시지를 전송한다(S437).
상기 본인 확이 요청 메시지의 송신 후 웹 서비스 서버부(500)는 상기 통신단말기(400)로부터 응답 메시지가 수신되는지를 판단하고(S445). 응답 메시지가 수신되는 경우 상기 사용자 단말기(200)를 통해 요청한 웹 서비스를 제공하고(S447), 응답이 없는 경우 상기 사용자가 요청한 웹 서비스를 차단한다(S449). 즉, 응답이 없는 경우 웹 서비스 서버부(500)는 사용자 단말기(200)로 웹 서비스를 제공하지 않는다.
상기 설명에서는 웹 서비스 서버부(500)가 사용자의 통신단말기(400)로 본인 확인 요청 메시지를 송신하고 상기 통신단말기(400)로부터 응답 메시지가 수신되는 경우를 설명하였으나, 현재 본인 인증과 같이 통신단말기(400)로 본인 확인 요청 메시지를 전송한(S437) 후 사용자 단말기(200)로 본인 확인 정보의 입력을 요청하는 본인 확인 정보 입력 요청 메시지를 전송하고(S439), 사용자 단말기(200)를 통해 본인 확인 정보를 수신받아(S443) 본인 확인을 수행할 수도 있을 것이다. 상술한 바와 같이 상기 본인 확인 요청 메시지는 음성 메시지일 수도 있고, 단문메시지서비스(SMS) 메시지 또는 멀티미디어메시지서비스(MMS) 메시지일 수도 있을 것이다. 통신단말기(400)가 스마트폰인 경우, 상기 본인 확이 요청 메시지는 에이전트를 통한 푸시 메시지일 수도 있을 것이다. 상기 본인 확인 요청 메시지가 SMS 메시지 또는 MMS 메시지인 경우 응답메시지는 동일한 SMS/MMS 메시지가 될 수도 있고, ARS 시스템의 시나리오를 통한 음성 메시지 또는 전화번호 버튼 누름에 의한 버튼 신호일 수도 있을 것이다.
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
100: 원격 접속 단말기 110, 300: 컴퓨터 단말기
120, 410: 이동통신단말기 200: 사용자 단말기
210: 제어부 211: 네트워크 연결 검사부
212: 프로세스 검출부 213: 포트 분석부
214: 예외 분석부 215: IP 분석부
216: 정적 패턴 정보 생성부 220: 저장부
230: 입력부 240: 디스플레이부
250: 통신부 400: 통신단말기
420: 유선전화 단말기 500: 웹 서비스 서버부
600: 원격 접속 관리 서버부 610: 동적 패턴 정보 DB

Claims (13)

  1. 삭제
  2. 임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부;
    상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및
    정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하되,
    상기 사용자 단말기는,
    유무선 데이터 통신망에 접속하고, 상기 유무선 데이터 통신망에 접속된 다른 장치들과 데이터 통신을 수행하는 통신부;
    상기 에이전트를 저장하는 저장부; 및
    상기 에이전트에 의해 정적 패턴 정보를 수집하고 상기 통신부를 통해 상기 웹 서비스 서버부로 제공하는 제어부를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  3. 제2항에 있어서,
    상기 제어부는,
    외부에서 상기 통신부를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사부;
    상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 검출부; 및
    상기 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하고 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 생성부를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  4. 제3항에 있어서,
    상기 제어부는,
    상기 네트워크 연결 검사부 및 프로세스 검출부에서 검출 및 수집된 정보들을 특정 오픈 포트별로 재분류하는 포트 분석부;
    미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 오픈 포트별로 재분류된 상기 네트워크 연결 검사부, 프로세스 검출부에서 검출된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스를 가지는 네트워크 연결 및 프로세스 정보를 상기 정보들에서 제외하는 예외 분석부; 및
    상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석부를 더 포함하되,
    상기 정적 패턴 정보 생성부는 상기 정적 패턴 정보에 상기 예외 정보에 포함된 정보에 대응하는 정보 및 상기 예외 정보가 제외된 상기 정보들 및 출발지 IP 정보를 포함하는 정적 패턴 정보를 생성하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  5. 임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부;
    상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및
    정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하되,
    상기 웹 서비스 서버부는,
    상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받고, 그 결과가 침입 판단 정보이면 미리 등록된 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하고, 이에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  6. 제5항에 있어서,
    상기 통신단말기는 이동통신단말기이고,
    상기 본인 확인 요청 메시지 및 응답 메시지는 단문 메시지 서비스 메시지인 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  7. 제5항에 있어서,
    상기 웹 서비스 서버부는,
    자동응답시스템(ARS)을 포함하고,
    상기 자동응답시스템을 통해 상기 사용자에 대해 미리 등록되어 있는 전화번호의 통신단말기로 아웃바운딩 호를 발신하여 통화로 형성 시 자동응답시스템의 시나리오에 따른 본인 확인 요청 메시지를 음성으로 송신하고, 이에 대한 응답 메시지를 음성 또는 통신단말기의 버튼 신호로 입력받고 상기 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
  8. 삭제
  9. 사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정;
    임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정;
    원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및
    상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하되,
    상기 정적 패턴 수집 과정은,
    외부에서 통신부를 통해 접속한 네트워크 연결 중 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사 단계;
    상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 정보 생성 단계;
    상기 네트워크 연결 정보 및 프로세서 정보를 포함하는 정적 패턴 정보를 생성하는 정적 패턴 정보 생성 단계; 및
    상기 정적 패턴 정보를 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 전송 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
  10. 제9항에 있어서,
    상기 정적 패턴 수집 과정은,
    상기 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 재분류하는 포트 분석 단계;
    미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 재분류된 네트워크 연결 정보, 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외하는 예외 분석 단계; 및
    상기 검출된 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석 단계를 더 포함하되,
    상기 정적 패턴 정보 생성 단계는,
    상기 정적 패턴 정보에 상기 포트 정보를 포함하되 상기 예외 정보에 포함된 정보들을 제외한 정적 패턴 정보를 생성하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
  11. 제9항 또는 제10항에 있어서,
    프로세스 정보 생성 단계는,
    상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하는 프로세스 검출 단계;
    검출된 상기 프로세스가 동작되고 있는 권한을 검출하고, 검출된 권한과 미리 정의된 권한 규칙들과 비교하여 정상적인 권한인지를 판단하고, 그 판단 결과를 생성하는 프로세스 권한 판단 단계;
    검출된 상기 프로세스가 설치된 경로 정보를 검출하고 검출된 경로가 정상 설치 경로인지를 판단하고, 그 판단 결과를 생성하는 정상 설치 경로 판단 단계;
    검출된 상기 프로세스의 소유자 정보를 검출하고 소유자 정보의 존재 여부를 판단하고 미리 설정된 정당한 소유자들에 대한 정보와 비교하여 허위 여부를 판단하고, 그 결과정보를 생성하는 프로세스 소유자 검증 단계;
    검출된 상기 프로세스의 속성이 은닉인지를 판단하고, 그 결과정보를 생성하는 프로세스 은닉 판단 단계; 및
    상기 검출된 프로세스 정보, 프로세스 권한 판단 결과 정보, 정상 설치 경로 판단 정보, 소유자 검증 정보, 프로세스 은닉 판단 정보를 포함하는 프로세스 정보를 생성하는 프로세스 정보 생성 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
  12. 사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정;
    임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정;
    원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및
    상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하되,
    상기 서비스 제공 과정은,
    상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받는 침입 판단 결과 수신 단계;
    상기 수신된 침입 판단 결과가 침입 판단 정보이면 상기 사용자의 미리 등록된 전화번호를 로드하는 전화번호 로딩 단계;
    상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하는 본인 확인 요청 단계; 및
    상기 본인 확인 요청 메시지에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 웹 서비스 제공 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
  13. 제9항 또는 제12항에 있어서,
    상기 에이전트 설치 과정에서의 요청된 웹 서비스는 로그인 서비스이고, 정적 패턴 수집 과정의 웹 서비스는 로그인 서비스를 포함하는 웹 서비스 서버부에서 제공하는 임의의 웹 서비스인 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
KR20130122032A 2013-10-14 2013-10-14 사용자 단말 원격 접속 감지 시스템 및 방법 KR101490052B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130122032A KR101490052B1 (ko) 2013-10-14 2013-10-14 사용자 단말 원격 접속 감지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130122032A KR101490052B1 (ko) 2013-10-14 2013-10-14 사용자 단말 원격 접속 감지 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101490052B1 true KR101490052B1 (ko) 2015-02-04

Family

ID=52590319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130122032A KR101490052B1 (ko) 2013-10-14 2013-10-14 사용자 단말 원격 접속 감지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101490052B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100401088B1 (ko) 2000-05-12 2003-10-10 시큐아이닷컴 주식회사 인터넷을 이용한 통합 보안 서비스 시스템
KR20050055996A (ko) * 2003-12-09 2005-06-14 주식회사데이콤 종합 보안 상황 관리 시스템
KR100867864B1 (ko) 2008-07-09 2008-11-07 인터컴 소프트웨어(주) 유비쿼터스 센서 네트워크 통합 관제 시스템 및 그 방법
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100401088B1 (ko) 2000-05-12 2003-10-10 시큐아이닷컴 주식회사 인터넷을 이용한 통합 보안 서비스 시스템
KR20050055996A (ko) * 2003-12-09 2005-06-14 주식회사데이콤 종합 보안 상황 관리 시스템
KR100867864B1 (ko) 2008-07-09 2008-11-07 인터컴 소프트웨어(주) 유비쿼터스 센서 네트워크 통합 관제 시스템 및 그 방법
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법

Similar Documents

Publication Publication Date Title
US11494754B2 (en) Methods for locating an antenna within an electronic device
RU2595511C2 (ru) Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
US7818800B1 (en) Method, system, and computer program product for blocking malicious program behaviors
US7779062B2 (en) System for preventing keystroke logging software from accessing or identifying keystrokes
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
KR100835820B1 (ko) 통합 인터넷 보안 시스템 및 방법
CN113315637B (zh) 安全认证方法、装置及存储介质
JP6564841B2 (ja) 照合サーバ、照合方法及びコンピュータプログラム
CN105930726B (zh) 一种恶意操作行为的处理方法及用户终端
KR20120084184A (ko) 화이트 리스트 기반 스마트폰 악성 코드 차단 방법 및 그 기록매체
Sikder et al. A survey on android security: development and deployment hindrance and best practices
CN101308700A (zh) 防泄密u盘
Xing et al. Unauthorized cross-app resource access on mac os x and ios
KR20150124076A (ko) 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
US20150172310A1 (en) Method and system to identify key logging activities
CN106022096A (zh) 信息处理方法、装置及终端
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
KR101490052B1 (ko) 사용자 단말 원격 접속 감지 시스템 및 방법
Zeybek et al. A study on security awareness in mobile devices
KR20220121744A (ko) 빅데이터 및 인공지능 기반의 IoT 기기조작위험감지 및 이상행위방지 방법 및 이를 수행하는 IoT 모니터링 시스템
Saha et al. Review of considerations for mobile device based secure access to financial services and risk handling strategy for CIOs, CISOs and CTOs
Ham et al. DroidVulMon--Android Based Mobile Device Vulnerability Analysis and Monitoring System
KR101915718B1 (ko) Ps-lte 단말장치 및 ps-lte 통신망의 보안 방법 및 그 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191022

Year of fee payment: 6