KR102449282B1 - 웹사이트 보안강화를 위한 사이트 복제 장치 - Google Patents

웹사이트 보안강화를 위한 사이트 복제 장치 Download PDF

Info

Publication number
KR102449282B1
KR102449282B1 KR1020220055590A KR20220055590A KR102449282B1 KR 102449282 B1 KR102449282 B1 KR 102449282B1 KR 1020220055590 A KR1020220055590 A KR 1020220055590A KR 20220055590 A KR20220055590 A KR 20220055590A KR 102449282 B1 KR102449282 B1 KR 102449282B1
Authority
KR
South Korea
Prior art keywords
web
web content
site
tcp
http
Prior art date
Application number
KR1020220055590A
Other languages
English (en)
Inventor
박창준
Original Assignee
(주) 시큐러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시큐러스 filed Critical (주) 시큐러스
Priority to KR1020220055590A priority Critical patent/KR102449282B1/ko
Application granted granted Critical
Publication of KR102449282B1 publication Critical patent/KR102449282B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)
  • Molds, Cores, And Manufacturing Methods Thereof (AREA)

Abstract

본 발명은 인트라넷 영역(Intranet Zone)의 내부 사이트(WEB Site)에 대하여 HTTP(Hyper Text Transfer Protocol) 프로토콜(Protocol) 기반의 웹컨텐츠(Web Contents) 제공 서비스에 대하여 인터넷 영역(Internet Zone) 외부로 동적인 웹컨텐츠를 복제하여 연동하여 서비스를 하게 되며, 본 발명(웹사이트원)의 동작 흐름으로는 아래의 ‘대표도’에서 보는바와 같이 외부 인터넷 영역에서 HTTP를 통한 웹컨텐츠 정보 요청의 기반이 되는 TCP/IP(Transmission Control Protocol/Pnternet Protocol) 커넥션이 연결이 되고, 웹사이트원의 2개로 구성된 장치 중 하나의 장치인 송신모듈에서 다른 하나의 장치인 수신데몬으로 별도의 TCP(Transmission Control Protocol) 프로토콜로 통신을 한후, 수신데몬이 받은 HTTP 프로토콜 컨텐츠를 인트라넷 영역(Intranet Zone)의 내부 사이트(WEB Site)로 전송을 하여 수신되는 웹컨텐츠를 받아서 이를 다시 송신모듈에서 전달 후 내부 사이트(WEB Site)로 전송을 닫음(Close)으로써 HTTP를 통한 웹컨텐츠 전송시 이루어지는 TCP 프로토콜이 스위치 연결 방식(2개의 연결에 대해 동시에 연결되어 있는 것이 아니라 한쪽이 연결되면 다른 한쪽은 연결이 해제되는 방식)으로 내부 외부간을 연결하였다가 차단하였다가 하면서 웹컨텐츠를 전달하게 하여, 궁극적으로는 터널링 공격, 원격 코드실행 공격 형태의 웹 공격시 필수적으로 연결되어 있어야만 하는 TCP기반의 연결을 끊어주게 되어 TCP연결된 상태의 공격들을 무력화(Haking Defence)시킨다.
또한 외부(인터넷 영역)에 있는 송신모듈과 내부(인트라넷 영역)에 있는 수신데몬간 별도의 TCP 프로토콜로 통신을 하게 되는 통신 네트워크 구간에는 TLS 1.2 암호화 처리를 하므로써, 네트워크 중간에서 스니핑(통신망에서 오가는 패킷을 가로채 그 내용을 알아내는 해킹 수법)을 하여도 패킷을 해석할 수 없게 한다.
이로써 웹컨텐츠를 제공하는 웹사이트에 대해 중간자 공격에 대한 방어, TCP기반 연결을 이용하는 터널링 공격(SSH Tunneling Attack), 원격 코드실행 공격(RCE : Remote Code Execution Attack) 등에 대한 방어(원천적으로 차단)하는 기술을 제공하는 것이 가능하다.

Description

웹사이트 보안강화를 위한 사이트 복제 장치{Site replication devicefor enhancing website security}
본 발명은 웹사이트 보안강화를 위한 사이트 복제에 관한 것으로, 더욱 상세하게는 인트라넷 영역(Intranet Zone)의 내부 사이트(WEB Site)에 대하여 전체 또는 일부의 서비스를 인터넷 영역 외부로 웹컨텐츠 서비스에 대해 보안을 고려하여 연계하는 웹사이트 보안강화를 위한 사이트 복제 장치에 관한 것이다.
일반적으로 내부 업무 시스템(사이트)에 대해 필요에 의해 외부에 서비스를 노출시켜서 사용해야 하지만, 보안 이슈가 있는 경우 또는 내부/외부 사이트간 게시판 등 웹 컨텐츠 연동이 필요한 고객사의 경우나 의무화된 보안 규정이나 비용, 기간, 인력 등의 문제로 망연계 솔루션 도입에 어려움을 겪는 고객사들이 많다.
종래에는 웹컨텐츠의 서비스를 제공하는 웹서버(또는 WAS서버)에 악의적으로 접근하는 해커에 대해 방어하기 위하여 다양한 방법이 제시되었다.
웹사이트를 서비스하면서 시스템에 대한 해킹 공격을 차단하기 위한 서버 방화벽, 네트워크 방화벽, 웹 방화벽, IPS장비, IDS 장비 등이 대안으로 제시되어 왔으며, 각각의 보안 기술(보안 제품)의 내용과 한계는 다음과 같다.
네트워크 방화벽은 OSI (Open Systems Interconnection) 7계층중 4계층인 전송계층(transport layer)측면의 보안을 하는 역할을 한다.
관리자는 네트워크 방화벽을 이용해 IP 주소 및 포트(port) 번호를 이용한 접근제어 규칙을 설정해 비인가된 IP 기반 공격자로부터의 네트워크 패킷을 차단한다.
하지만 웹사이트는 외부에서 접근하는 모든 사용자에게 접근이 허가되어 있으므로 네트워크 방화벽은 웹 서비스로 향하는 모든 패킷을 허용한다. 그러나 웹사이트와 같이 외부에 공개된 웹서버는 웹사이트 소스에 취약점이 있다면 누구든 해당 취약점을 공격할 수 있으므로 네트워크 방화벽은 취약점에 대한 외부 해커의 공격을 막을 수 없다. 즉, 네트워크 방화벽은 허가할 서비스와 허가하지 않을 서비스를 제어할 수는 있지만, 허가된 서비스의 통신되는 패킷의 내용상의 취약점공격은 막을 수 없다.
이와 같은 문제를 해결하기 위해 웹 방화벽이 선보였다. 웹 방화벽은 HTTP의 프로토콜을 인식할 수 있으며 해당 웹사이트에 존재하는 취약점에 대한 공격을 방어할 수 있다.
웹 방화벽은 패킷을 필터링하는 시스템을 구비하여, 수신되는 패킷을 미리 정의된 패턴과 비교해 악성패킷이면 차단하고 정상패킷이면 웹서버로 전송하는 패킷 필터링 방식으로 동작한다.
하지만, 웹 방화벽은 알려진 공격기법을 이용해 패턴을 작성하므로, 공격자는 기존의 공격기법을 약간 변형함으로써 패턴 필터 시스템을 쉽게 우회할 수 있고, 알려지지 않은 공격기법은 방어할 수 없으며, 입력되는 모든 패킷을 수십~수천 개의 미리 정의된 패턴과 비교하는 작업을 수행해야하므로 웹 서비스 속도가 크게 느려지는 문제가 있었다. 또한, 주체가 웹서버가 아니라 중간자 역확에서 웹서버의 올바른 패킷에 대한 의미해석이 어럽고, 정상패킷이 미리 정의된 패턴과 우연히 일치하면 악성패킷으로 오인되어 정상적인 사용자의 웹 서비스 이용이 차단되는 부작용도 있다.
특히 Log4J 취약점 공격 등 웹기반의 ‘터널링 공격’ 및 ‘원격 코드실행 공격’ 형태의 해킹은 HTTP의 웹공격을 하여, TCP기반의 쉘(Shell)을 획득하게 되는 보안의 위험도가 최고임에도 불구하고, 입력값(Input parameter)의 다양한 문자열 우회 공격(중간 공백, 대소문자, URL인코딩, Base64인코등 등)으로 너무 다양하기에 이에 대한 모든 패턴을 등록 할 수 없다.
보안 관점에서 웹컨텐츠의 서비스를 제공하는 서버의 구성에 대한 변화를 보면, 최초의 웹서버 단독 구성에서, 진화하여 웹서버와 WAS서버를 분리하게 되었고, 이후에는 웹서버는 외부망(외부 인터넷 네트워크 영역)에, WAS서버는 내부망(내부 인트라넷 네트워크 영역)에 두어 분리된 망으로 서비스하게 되었다.
이 구성에서 사용자는 외부 브라우저를 통해 웹서버에 접속하여 요청(Request)하게 되고, TCP 통신으로 연결된 내부 WAS서버로 웹컨텐츠 데이터를 응답(Response)하여 내용을 전달하는 과정으로 서비스를 이용하고 있다.
여기에서 웹컨텐츠의 서비스 제공시 웹서버 접속에 맺어지는 HTTP의 경우 구조적으로 OSI(Open Systems Interconnection) 7계층의 7 Layer 이고, TCP의 경우 하위 계층 4 Layer 이며, 이런 TCP 프로토콜의 기반 위에 HTTP 프로토콜이 구성이 되는데, 일반 사용자가 아닌 악의적인 해커는 이 구조적인 특성을 이용하여, HTTP의 웹공격을 하여, TCP기반의 쉘(Shell)을 획득하게 되는 웹기반의 ‘터널링 공격’ 및 ‘원격 코드실행 공격’ 형태의 해킹을 하게 되었다.
여기서 보안상 심각한 것은 외부의 해커가 허가나 인증이 없이 내부망의 내부 시스템을 침투를 하게 되는 것이다.
더 나아가 내부망의 침투 성공으로 내부 시스템의 중요자료 삭제, 개인정보 탈취 등을 할 수 있으며, 서비스의 마비 및 2차 무방비 상태의 내부 시스템들을 접근하여 2차 피해를 입힐 수 있는 것이다.
최근, 악의적인 해커들의 웹 공격이 다양해지고 기술적으로 진화하고 있으며, 기존보다 증가하고 있다.
또한, 기존 방식의 보안 기술로는 고도화된 웹기반의 ‘터널링 공격’ 및 ‘원격 코드실행 공격’ 형태의 해킹은 방어할 방법이 전무하다.
원격코드 실행 취약점을 이용한 공격 사례로는 아래와 같다.
* ORACLE WebLogic Server 원격 코드 실행 취약점 발견
- 2018년 05월 03일
- 참조 : https://blog.naver.com/ntower/221267434257
* ThinkPHP 프레임워크 원격 코드 실행 취약점 발견(CVE-2018-20062)
- 2019년 01월 28일
- 참조 : https://lopicit.tistory.com/358
* 지라 서버 및 데이터 센터의 ContactAdministrators 및 SendBulkMail 기능에서 발생하는 템플릿 삽입 취약점(CVE-2019-11581)
- 2019년 08월 19일 - 참조 : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35126
* Microsoft는 SMBv3(Server Message Block 3.1.1) 프로토콜이 압축 헤더를 사용하여 요청을 처리하는 방식에 원격 코드 실행 취약점 존재
- 2020년 03월 10일
- 참조 : https://blog.naver.com/skinfosec2000/221869960914
* LFI to RCE - LFI 취약점을 악용한 원격 코드 실행
- 2020년 06월 16일
- 참조 : https://blog.naver.com/sjhmc9695/222002074140
* 시스코 제품 보안취약점…원격코드실행 등 피해 발생
- 2020년 10월 05일
- 참조 : https://www.dailysecu.com/news/articleView.html?idxno=114546
* Struts 서버가 OGNL 표현식을 사용자 입력 값으로 받도록 설정되어 있다면, 공격자가 악의적인 표현식을 전달하여 임의의 명령을 실행시킬 수 있는 취약점이 발견
- 2020년 12월 10일
- 참조 : https://blog.naver.com/skinfosec2000/222218983899
* 세션 데이터에 비정상 HTTP Header의 문자열이 삽입되어 잘못된 세션 핸들러 과정에서 원격 실행 코드가 utf8_general_ci에 저장되어 임의의 코드가 실행되는 취약점 발견
- 2021년 03월 25일
- 참조 : https://blog.naver.com/hahasungan/222286967626
* "Webmin 원격코드 실행 취약점" 비밀번호 변경 기능에서 발생하며, 별도의 인증없이 관리자 권한 명령어 실행이 가능
- 2021년 01월 20일
- 참조 : https://blog.naver.com/evolve0702/222213341986
* 마이크로소프트의 첫 번째 정기 패치에 포함된 취약점인 'CVE-2022-21907'은 공격자가 HTTP 프로토콜 스택(http.sys)을 활용하여 원격 코드를 실행할 수 있는 취약점 발견
- 2022년 02월 21일
- 참조 : https://blog.naver.com/sk_shieldus/222653279031
* 스프링프레임워크에 치명적 취약점 발견 스프링4셸로 명명함.
- 2022년 03월 31일
- 참조 : https://zdnet.co.kr/view/?no=20220331181050
따라서, 웹사이트를 기존보다 보안상 더 안전하게 서비스할 수 있는 HTTP의 특성상 웹컨텐츠를 전달해주고 나면 중간에서 TCP 커넥션이 끊어져도 HTTP의 컨텐츠의 본질에는 영향이 없는 구조, TCP 커넥션이 연결되어져 있어서 발생될수 있는 치명적인 웹기반의 ‘터널링 공격’ 및 ‘원격 코드실행 공격’ 형태의 해킹에 해대 항상 전달하 TCP 커넥션을 끊어주고 새로은 TCP 세션을 맺는 구조의 새로운 구성의 보안 기술의 개발이 필요하다 할 것이다.
특허문헌 1 : 대한민국 특허출원 10-2018-0143337호(2018. 11. 20.) 특허문헌 2 : 대한민국 공개특허 10-2011-0067169호(2011. 06. 21.) 특허문헌 3 : 대한민국 공개특허 10-2005-0107487호(2005. 11. 11.)
따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 오픈소스 라이브러리에 대한 의존도가 높아지면서 보안 취약점은 매년 증가하고 있고, 특히 역사상 최악의 취약점이라고 불리는 log4j 취약점은 원격 코드실행 취약점(RCE, Remote Code Execution)으로, ‘CVSS(Common Vulnerability Scoring System)스코어 10점’까지 받은, 보안상 가장 높은 심각한 단계로써, 시스템의 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시키는 취약점으로 외부 경로를 통하여 내부 시스템들을 침투할 수 있다. 특히 공격 기법이 단순하여 많은 기관 및 기업은 블랙해커들에게 손쉽게 접할 수 있는 공격 대상이 되어 기관 및 기업의 입장에서는 큰 위협이 되었고, 대처가 불가능한 Zero-Day 공격 형태를 포함하여 계속적으로 오픈소스 라이브러리 취약점을 이용한 공격이 전방위적으로 증가 됨에 따라 이에 대한 보안 대응 방안으로 이러한 불법적이고 악의적인 웹 공격(터널링 공격, 원격 코드실행 공격 등)에 대한 방어(근본적 원천 차단)를 하기 위하여 웹사이트 보안강화를 위한 사이트 복제 장치를 제공하는데 그 목적이 있다.
또한 본 발명은 인트라넷 영역(Intranet Zone)의 내부 사이트(WEB Site)에 대하여 전체 또는 일부의 서비스를 인터넷 영역 외부로 웹컨텐츠 서비스에 대해 보안을 고려하여 연계하는 웹사이트 보안강화를 위한 사이트 복제 장치를 제공하는데 그 목적이 있다.
이러한 목적을 해결하기 위한 본 발명은, 외부 인터넷 영역(Internet Zone)의 외부 클라이언트로부터의 HTTP를 통한 웹컨텐츠 정보요청에 대하여 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스의 데이터를 송신하는 송신모듈(100); 및 상기 외부 클라이언트로부터의 웹컨텐츠 정보요청에 대하여 상기 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스로 전송을 하여 수신되는 웹컨텐츠를 받아서 이를 상기 송신모듈(100)로 전달 시 상기 내부 시스템(WEB Site) 전송을 닫음(Close)으로써 HTTP를 통한 웹컨텐츠 전송시 이루어지는 TCP 프로토콜이 스위치 연결 방식으로 웹컨텐츠를 전달하는 수신데몬(200)을 포함하여 구성됨을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치를 제공한다.
여기서 수신데몬(200)은, HTTP, HTTPS 프로토콜 기반의 웹컨텐츠를 제공하는 웹사이트에 대한 동적인 웹컨텐츠를 복제하여 또다른 웹서버에 제공하는 것을 특징으로 한다.
그리고 송신모듈(100)은, 사용자의 브라우저를 통해 인터넷 영역에 있는 웹서버에 접속하게 되고, 이렇게 호출되는 웹 요청(Request) 서비스에 대해 HTTP 프로토콜의 통신 형태를 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)로 변환(conversion)을 하며, 웹 요청(Request) 서비스의 의미 내용은 그대로 적용하는 것을 특징으로 한다.
한편 수신데몬(200)은, 상기 송신모듈(100)에서 수신받은 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)의 웹 요청(Request) 서비스의 의미 내용을 파싱하여 WAS서버(또는 웹서버)가 해석 가능한 형태의 HTTP 프로토콜의 형태로 재구성하여 내부망(인트라넷 영역)의 내부 사이트(WEB Site)로 전송하는 것을 특징으로 한다.
또한, 수신데몬(200)과 송신모듈(100)은, 내부망(인트라넷 영역)의 사이트의 웹컨텐츠 제공 서비스에 대해 외부망(인터넷 영역)에 있는 웹서버에 그대로 재현한 제공 서비스 시, TCP 커넥션을 3개로 분리하여 연결에 대해서 2개의 연결에 대해 동시에 연결되어 있는 것이 아니라 한쪽이 연결되면 다른 한쪽은 연결이 해제되는 스위치 방식으로 내부와 외부간을 연결하였다가 차단하였다가 하면서 웹컨텐츠를 전달하도록 설정되어, 웹기반의 터널링 공격 및 원격 코드실행 공격 형태의 공격(해킹)시 TCP기반의 연결을 끊어주게 되어 TCP연결된 상태의 공격들을 무력화(Haking Defence)되는 보안상 방어를 수행하는 것을 특징으로 한다.
그리고 송신모듈(100)의 메모리에 LRU(Least Recently Used) 알고리즘을 적용하여 동일한 사용자 세션의 동일한 웹컨텐츠 전송의 요구가 있을 경우, 자주 사용되어지는 웹컨텐츠의 캐쉬로의 저장 기능을 수행하는 LRU Cache Manager를 확인하여 캐시 매니저에 등록되어 있을 경우, 상기 수신데몬(100)으로 전달하지 않고, 현재 LRU Cache Manager에 등록된 웹 결과(Response) 컨텐츠를 꺼내어 바로 전달하는 LRU 알고리즘을 활용한 웹 컨텐츠 데이터 메모리 캐싱 관리를 수행하거나, 상기 송신모듈(100)과 수신데몬(200)간 대량의 웹컨텐츠 데이터 전송을 위한 멀티채널 및 NIO Socket 처리 형식의 TCP 통신 처리하거나, 대용량 웹컨텐츠 데이터 전송을 위한 단일 쓰레드가 아닌 쓰레드 그룹(ThreadGroup) 처리하거나, ASync 방식의 대기열 방식을 적용하여 불필요한 TCP 커넥션을 줄이는 것을 특징으로 한다.
여기서 수신데몬(200)에는, HTTP 프로토콜의 통신 중 웹 요청(Request) 정보 호출시 HTTP 요청(Request) Heder 또는 입력값(Input parameter)의 문자열 삽입 공격 형태의 공격(해킹)시에도 방어를 할수 있도록, 다양한 외부입력에 대한 파싱을 하여 입력값(Input parameter)에 대해 정규식 패턴으로 악성 문자열을 검출하여 차단하는 ecure Filter(227)가 더 구성됨을 특징으로 한다.
그리고 수신데몬(200)에는 웹컨텐츠를 상기 송신모듈(200)로 전달 시 외부 웹사이트와 내부 웹사이트간 사용자 인증의 동일인 확인을 위한 "Session Manager"(225)가 구성되어 SSO 인증처리 기능을 제공하고, 동적인 웹컨텐츠를 제공하기 위한 웹 URL의 동적 매핑을 하는 용도의 "Request Manager"(221), "Response Manager"(223)가 구성되어 외부 인터넷 영역(Internet Zone)의 웹서버에 연결되어지는 데이터베이스가 필요 없는 상태로 서비스가 제공되는 것을 특징으로 한다.
본 발명은 내부 시스템의 일부 또는 전체에 대해 보안을 고려하여 외부에 서비스가 필요하거나, 내부/외부 영역의 웹시스템(사이트)간 특정 게시판 연계 또는 전체 사이트 복제가 필요한 곳으로, 인터넷을 통한 B2B, B2C 서비스가 필요하나 법적 규정 이행에 필요한 고가의 솔루션을 도입하기 어려운 단체나 기업, 기업의 내부시스템에 대해 원격 재택 근무 등을 위한 위부의 웹 서비스 제공을 필요로 할 경우 특히 다음과 효과가 있다.
첫째, 종래의 원격코드 실행 취약점을 이용한 공격 사례에 대한 다양한 형태로 발생되는 원격코드 실행 취약점에 대한 방어(근본적 원천 차단)가 가능하다.
둘째, 매번 변화하는 임의의 공격패턴들에 대해 해킹 피해 발생 후 발견된 패턴을 등록하는 것이 아니라 선제적으로 방어(원천 차단하는 방법)가 가능한 해결책을 제공한다.
셋째, 기존 인프라 구성도는 그대로 유지하고, 오픈소스라이브러리에 대한 취약점과 무관하게 본 발명의 장치를 설치하여 간단한 설정만으로 터널링 공격, 원격 코드실행 공격 형태의 웹 공격에 완벽 대응이 가능하다.
넷째, 근래 가장 위협적인 Log4j 취약점 공격에 대한 보안 조치를 하기 위해 보안담당자가 매번 최신버전으로의 보안패치를 하는 많은 시간과 노력을 들이지 하지 않아도 안전하게 웹사이트 운영을 유지할 수 있다.
도 1은 본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제 장치의 실시예를 설명하기 위한 도면,
도 2는 본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제 프로세스 흐름을 설명하기 위한 도면,
도 3은 일반적인 사이트 복제를 나타낸 도면,
도 4는 본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제를 나타낸 도면이다.
본 발명의 바람직한 실시 예를 첨부된 도면에 의하여 상세히 설명하면 다음과 같다.
아울러, 본 발명에서 사용되는 용어는 가능한 한 현재 널리 사용되는 일반적인 용어를 선택하였으나, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며 이 경우는 해당되는 발명의 설명부분에서 상세히 그 의미를 기재하였으므로, 단순한 용어의 명칭이 아닌 용어가 가지는 의미로서 본 발명을 파악하여야 함을 밝혀두고자 한다. 또한 실시예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고, 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
본 발명은 다음과 같은 기능을 제공한다.
첫째, 내/외부간 전체 또는 일부 서비스 실시간 복제 연계 기능
보안상의 이유로 내부업무망과 외부서비스망으로 구분하여 고객서비스를 제공해야 하는 경우 별도의 내/외부간 연계프로그램 개발 없이 설정만으로 사이트 전체 또는 일부 컨텐츠 실시간 복제 기능을 제공한다. 외부사이트가 없을 경우에도 추가적인 외부사이트 구축이 불필요하다.
둘째, 쉬운설치 및 다양한 서버환경 적용
웹컨텐츠 서비스 제공 대상 시스템에 대하여 Unix, Windows, Linux, Mac 등의 다양한 운영체제 (OS)와 Apahe Tomcat, Jeus 등등 다양한 서버 환경에 대한 시스템(사이트)을 대상으로 적용이 가능하다. 제품의 설치 또한 쉽고 빠르게 할 수 있다.
셋째, 내/외부간 컨텐츠 제공시간 단축을 위한 기술 적용
자주 또는 많은 사용자가 이용하는 컨텐츠 및 서비스에 대해 네트워크 부하 감소와 빠른 서비스 제공을 위해 이미지 및 컨텐츠 복제 알고리즘을 통한 캐싱 기술을 제공하며 그 외 HTTP와 TCP간 데이터 송수신 변환 기술, 네트워크 전송 병렬화, 프로세스 병렬화, 대량의 데이터 및 대용량 데이터 연계처리가 원활하도록 멀티채널 형식의 TCP 통신처리기술을 적용하여 보다 빠른 성능을 기대할 수 있다.
넷째, 스위치 방식의 내/외부간 송/수신 데이터 연계 기능
웹컨텐츠의 내/외부간 서비스 요청 시 웹프로토콜(HTTP)로 계속 연결 되어 있는 것이 아니라, 내부 전달 시 내부 접속 연결하여 데이터 전송 후 접속을 종료하고외부 서비스에 데이터 전달하는 스위치 방식(전등 on/off 개념, 프락시 방식 아님)으로 동작을 하여 외부 해커에 의한 터널링 공격(외부를 통한 내부로의 침투)을 원천 차단한다.(예 - Log4j 취약점 활용한 원격 코드실행 공격(RCE)으로 내부 시스템 접근에 대한 방어 등.)
다섯째, 알려진 웹공격에 대한 방어 기능
웹서비스 요청에 대하여 외부 해커에 의해 SQL인젝션 공격, XSS등 자주 이용 되어지고 잘 알려진 웹공격에 대해 실시간 방어할 수 있는 보안 필터 기능을 제공한다. 또한 허용되지 않는 파일의 업로드를 중간에서 캐치하여 방어하는 기능도 제공한다.
여섯째, 데이터 도청을 불가능하게 하는 자체 프로토콜 사용
내부업무시스템과 외부서비스시스템 간의 컨텐츠 데이터 연계 시 시큐러스 자체 프로토콜을 적용, 전송구간을 암호화하여 데이터 도청 공격을 차단한다.
일곱째, 가상화 서비스 이용방식의 강력한 정보 보호 기술
외부 사용자가 직접 이용하는 외부시스템에는 복제 서비스를 위한 제품 모듈만 존재할뿐 어떤 첨부파일이나 데이터베이스가 존재하지 않으므로 외부 공격으로 인한 자료탈취 개인정보 유출로 인한 사고를 막을 수 있다.
본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제 장치의 실시예는 도 1에 나타낸 바와 같이, 인트라넷 영역(Intranet Zone)의 내부 시스템(내부 사이트(WEB Site))에 대하여 HTTP(Hyper Text Transfer Protocol) 프로토콜(Protocol) 기반의 웹컨텐츠(Web Contents) 제공 서비스에 대하여 인터넷 영역(Internet Zone) 외부의 외부 시스템(WAAS)으로 동적인 웹컨텐츠를 복제하여 연동하여 서비스 시 송신모듈(100)과 수신데몬(200)을 이용하게 되는데, 웹컨텐츠 송신 장치인 송신모듈(100)은 외부 인터넷 영역(Internet Zone)의 외부 클라이언트로부터의 HTTP를 통한 웹컨텐츠 정보요청에 대하여 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스의 데이터를 송신한다.
그리고 수신데몬(200)은 웹컨텐츠 수신 및 송신 장치로 외부 클라이언트로부터의 웹컨텐츠 정보요청에 대하여 상기 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스로 전송을 하여 수신되는 웹컨텐츠를 받아서 이를 상기 송신모듈(100)로 전달 시 상기 내부 시스템(WEB Site) 전송을 닫음(Close)으로써 HTTP를 통한 웹컨텐츠 전송시 이루어지는 TCP 프로토콜이 스위치 연결 방식으로 웹컨텐츠를 전달한다.
이러한 수신데몬(200)은 웹컨텐츠 수신 및 송신 장치로, xml(210), keystore(211) 및 x.509(212)로 구성되는 File Repository와, Request Manager(221), Response Manager(223), Cache Manager(LRU)(224), Session Manager(225), Encrytion/Decrytion(AES 256)(226) 및 Secure Filter(227)로 구성되는 business Architecture, Daemon Server Connector(WebListener)(231), Communication Data Protocol(DataHandler, FileUploadHandler, FileDownloadHandle)(232), EngineExecutor(HttpClient)(233), SSL (TSL v1.2)(240), Network Protocol(Socket Channel)(250) 및 클라이언트 필터(300)을 포함하여 구성된다.
여기서, xml(210)은 발명의 동작에 필요한 설정 정의 파일이고, keystore(211)은 네트워크 통신구간 암호화(TLS 1.2)에 필요한 암/복호화의 key 저장소이며, x.509(212)은 암/복호화의 key 인증 방식이다.
Request Manager(221)은“Request Manager”로 웹컨텐츠의 요청 기능의 자료를 관리한다.
Response Manager(223)는 “Response Manager” 로 웹컨텐츠의 응답 기능의 자료를 관리한다.
Cache Manager(LRU)(224)는“LRU Cache Manager” 로 자주 사용되어지는 웹컨텐츠의 캐쉬로의 저장 기능을 수행한다.
Session Manager(225)는 “Session Manager” 로 내/외부의 웹기반 사용자의 세션을 동기화 관리하는 기능을 수행한다.
Encrytion/Decrytion(AES 256)(226)는 웹컨텐츠 송신/수신시의 데이터에 대한 암호화 기능( AES 256 알고리즘 사용)을 수행한다.
Secure Filter(227)는 “Secure Filter”는 웹 파라메터 공격에 대한 방어용 보안 필터이다.
Daemon Server Connector(WebListener)(231)231 - "WebListener"로 송신모듈에서 전송된 웹컨텐츠 데이터의 수신 기능
Communication Data Protocol(DataHandler, FileUploadHandler, FileDownloadHandle)(232)은 "Communication Data Protocol"로 HTTP 송신/수신의 기능을 정의한다.
EngineExecutor(HttpClient)(233)는 "EngineExecutor" 로 HTTP 송/수신 처리을 위한 메인 기능을 수행한다.
SSL (TSL v1.2)(240)는 네트워크 통신구간에 대한 암호화를 하는 "SSL" 기반의 동작을 표현한다.
Network Protocol(Socket Channel)(250)는 "Network Protocol" 에 대하여 멀티 채널 방식의 동작을 표현한다.
Client Filter(300)는 WAS 서버에 원격지 IP 등의 정보제공이 필요할 경우 선택적으로 사용되어지는 "Client Filter" 의 기능을 수행한다.
상기 수신데몬(200)은,
HTTP, HTTPS 프로토콜 기반의 웹컨텐츠를 제공하는 웹사이트에 대한 동적인 웹컨텐츠를 복제하여 또다른 웹서버에 제공하는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
여기서 송신모듈(100)은, 사용자의 브라우저를 통해 인터넷 영역에 있는 웹서버에 접속하게 되고, 이렇게 호출되는 웹 요청(Request) 서비스에 대해 HTTP 프로토콜의 통신 형태를 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)로 변환(conversion)을 하며, 웹 요청(Request) 서비스의 의미 내용은 그대로 적용한다.
그리고 수신데몬(200)은 송신모듈(100)에서 수신받은 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)의 웹 요청(Request) 서비스의 의미 내용을 파싱하여 WAS서버(또는 웹서버)가 해석 가능한 형태의 HTTP 프로토콜의 형태로 재구성하여 내부망(인트라넷 영역)의 내부 사이트(WEB Site)로 전송하도록 한다.
한편 수신데몬(200)과 송신모듈(100)은 내부망(인트라넷 영역)의 사이트의 웹컨텐츠 제공 서비스에 대해 외부망(인터넷 영역)에 있는 웹서버에 그대로 재현한 제공 서비스 시, 도 4에서와 같이 TCP 커넥션을 3개로 분리하여 연결에 대해서 2개의 연결에 대해 동시에 연결되어 있는 것이 아니라 한쪽이 연결되면 다른 한쪽은 연결이 해제되는 스위치 방식으로 내부와 외부간을 연결하였다가 차단하였다가 하면서 웹컨텐츠를 전달하도록 설정되어, 웹기반의 터널링 공격 및 원격 코드실행 공격 형태의 공격(해킹)시 TCP기반의 연결을 끊어주게 되어 TCP연결된 상태의 공격들을 무력화(Haking Defence)되는 보안상 방어가 수행된다.
그리고 1회의 웹컨텐츠 전송시 요구되는 일반적인 1회의 TCP 커넥션을, 스위치 방식의 2개의 장치로 재전송을 함에 따라, 전송시간이 3배 이상으로 늘어나는 성능상의 문제점을 보완하고자, 본 발명에서는 송신모듈(100)의 메모리에 LRU(Least Recently Used) 알고리즘을 적용하여 동일한 사용자 세션의 동일한 웹컨텐츠 전송의 요구가 있을 경우, 이 "웹 요청(Request) 서비스"를 "LRU Cache Manager"(224) 에 등록되어 있는지를 확인하여 캐시 매니저에 등록되어 있을 경우, 내부 사이트(WEB Site)로 전송하는 장치(웹사이트원 수신데몬)로 전달하지 않고, 현재 "LRU Cache Manager"에 등록된 "웹 결과(Response) 컨텐츠"를 꺼내어 바로 전달하는 성능향상을 위하여 LRU 알고리즘을 활용한다.
또한, 송신모듈(100)과 수신데몬(200)간 대량의 웹컨텐츠 데이터 전송을 위한 멀티채널 및 NIO Socket 처리 형식의 TCP 통신 처리의 방법(네트워크 전송 병렬화)과 대용량 웹컨텐츠 데이터 전송을 위한 단일 쓰레드가 아닌 쓰레드 그룹(ThreadGroup) 처리의 방법(프로세스 처리 병렬화)을 수행하도록 한다.
그리고 TCP 데이터 송/수신시 보통의 경우 Sync 방식의 통신 데이터 처리를 하게 되지만, 송신모듈(100)에서 웹컨텐츠 수신 및 수신데몬(200)으로의 웹컨텐츠 전송(송신)시 ASync 방식의 대기열 방식을 적용하여 불필요한 TCP 커넥션(TCP 커넥션 Open / Close )을 줄이도록 한다.
그에 따라 종합적으로 평균적인 성능에 대하여 물리적인 3~4배의 속도 증가되어야 하는 상황에서 위의 방법들로 성능향상을 하여 평균 1.2 배의 속도로 구현가능하다.
참고로, 물리적인 속도 증가는 발명의 장치 적용 전에는 외부망(인터넷 영역)에 있는 웹서버에서 내부망(인트라넷 영역)의 WAS서버로의 TCP 커넥션이 1개(1회)이지만, 본 발명의 장치 적용 후에는 외부망(인터넷 영역)에 있는 웹서버와 내부망(인트라넷 영역)의 WAS서버 사이에 발명의 2개의 장치인 웹컨텐츠 전송 장치(송신모듈(100)), 웹컨텐츠 수신 및 송신 장치(웹사이트원 수신데몬(200))가 추가되어 TCP 커넥션이 3개(3회)가 되어 물리적인 시간이 증가 됨을 말한다.
또한, 보안상 2개의 장치를 이용하여 TCP 커넥션을 3개로 분리하여 스위치 방식으로 패킷을 송/수신하는 과정으로, 외부망(인터넷 영역)에서 전달받은 웹컨텐츠 데이터의 중간 검역처리와 내부망(인트라넷 영역)의 연결의 단절을 할수 있게 하는 원리로 일반적인 웹사이트 접속시 맺어진 HTTP의 경우 OSI 7계층의 7 Layer 이고 하위 계층 TCP의 경우 4 Layer이므로 TCP 기반하의 HTTP 가 동작되는데, 이를 분리하여 TCP라는 컨테이너에 HTTP의 물건을 적재하는 개념으로, 2개의 장치의 TCP라는 서로 다른 컨테이너에 HTTP의 물건을 재 적재하는 방식(스위치방식)으로, 최초 TCP세션을 끊고 새로운 TCP세션으로 웹컨텐츠 데이터를 전달한다.
이때 기존에 맺어졌던 TCP 세션(TCP 고유 세션ID)과 별도로 HTTP(또는 HTTPS)의 웹컨텐츠(사용자 웹 세션 포함)에는 영향이 없음으로 정상적인 웹컨텐츠 전달 서비스가 가능하며, TCP 기반의 새로운 TCP세션(TCP 고유 세션ID)을 맺게 되어 해커의 터널링 공격, 원격 코드실행 공격이 불가능하게 된다.
또한 HTTP(또는 HTTPS)의 웹컨텐츠(사용자 웹 세션 포함) 전달시 HTTP 헤더 공격의 방어를 위하여, 웹컨텐츠 수신 및 송신 장치인 수신데몬(200)으로 전달된 HTTP(또는 HTTPS)의 웹컨텐츠의 HTTP 헤더를 안전하게 변경한다.
그리고 내부망(인트라넷 영역)의 웹사이트의 동적인 웹컨텐츠를 복제하여 외부망(인터넷 영역)의 웹서버에 그대로 전달 및 구현을 하기 위하여, 외부 웹사이트와 내부 웹사이트간 사용자 인증의 동일인 확인을 위한
1) 외부 웹사이트,
2) 웹컨텐츠 수신 및 송신 장치(웹사이트원 수신데몬(200)) 및
3) 내부 웹사이트
의 3곳의 서로 다른 웹 세션을 매핑 관리하도록 "Session Manager"(225)를 적용하여 SSO 인증처리 기능을 제공한다.
그 외 동적인 웹컨텐츠(*.jsp, *.do 형식의 서버해석 서버 프로그램에 대하여 파라메터 요청 정보에 따른 제공되는 변경 및 변화가 된는 웹컨텐츠)를 제공하기 위한 웹URL의 동적 매핑을 하는 용도의 "Request Manager"(221), "Response Manager"(223)를 관리한다. 그에 따라 웹사이트의 동적인 웹컨텐츠를 복제하므로써, 통상적으로 외부망(인터넷 영역)의 웹서버에 연결되어지는 데이터베이스가 필요 없는 상태로 서비스가 제공가능하며, 웹사이트에서 필수불가결하게 제공되는 DB의 중요정보를 보호하고, 개인정보 보호 측면으로 안전하게 하는 보안 시스템으로 적용가능하다.
한편, 보안상 방어가 되는 구조의 방법의 또 다른 방법으로, HTTP 프로토콜의 통신 중 웹 요청(Request) 정보 호출시 HTTP 요청(Request) Heder 또는 입력값(Input parameter)의 문자열 삽입 공격 형태의 공격(해킹)시에도 방어를 할수 있도록 다양한 외부입력에 대한 파싱을 하여 입력값(Input parameter)에 대해 정규식 패턴으로 악성 문자열을 검출하여 차단하는 발명의 2개의 장치 중 웹컨텐츠 수신 및 송신 장치(웹사이트원 수신데몬(200))의 Secure Filter(227)가 제공된다.
참고로, 문자열 삽입 공격 형태의 경우에는,
1) SQL Injection
2) 크로스 사이트 스크립팅 (XSS)
3) LDAP Injection
4) JNDI Injection
5) XPath Injection
6) SSI Injection (Server-side Include Injection)
7) 운영 체제 명령 실행 (OS Command Injection on Web)
과 같다.
이러한 본 발명 보안의 특징으로 종래의 보안 제품 중 웹방화벽, IPS 장비, IDS 장비 등의 장비들은 HTTP 프로토콜의 통신의 암호화(HTTPS)된 웹컨텐츠 데이터에 대해서는 SSL의 Key값을 가지고 있지 않으므로 복호화 해석을 하기 어려우며, 암호화된 데이터를 검열한다고 하더라도, 네트워크 기반으로 전송되어지는 패킷의 입력값들에 대한 정확한 해석(Parsing)이 되지 않으므로 구조적으로 제대로 검열을 할 수가 없다. 본 발명의 장치 중 하나인 웹컨텐츠 수신 및 송신 장치(웹사이트원 수신데몬) )에서는 TCP 기반하에 수신되어지는 HTTP 프로토콜 및 HTTPS 프로토콜의 내용을 해석(Parsing)하므로 입력값(Input parameter)들의 시작과 끝을 정확히 구분하여 올바른 입력값(Input parameter)의 내용으로 악성 문자열 공격(웹 해킹)의 패턴을 찾아서 차단을 할 수 있다는데 있다.
도 2는 본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제 프로세스 흐름을 설명하기 위한 도면이고, 도 3은 일반적인 사이트 복제를 나타낸 도면이며, 도 4는 본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제를 나타낸 도면이다.
본 발명에 따른 웹사이트 보안강화를 위한 사이트 복제 프로세스 흐름은 도 2에 나타낸 바와 같은데, 이를 통해 웹사이트 보안강화를 위한 사이트 복제 방법을 설명하면,
① 외부 접속 사용자의 인터넷망의 웹브라우저로 외부 웹사이트 접속(HTTP/HTTPS), ② ‘송신 모듈’에서 HTTP Request 정보를 해석한 후 AES-128bit 데이터 암호화된 데이터에 대해 커스터마이징 프로로토콜 변환(HTTP -> TCP), ③ ‘송신 모듈’이 ‘수신 데몬’에게 웹컨텐츠 DATA전달 (별도의 TCP커스터마이징 프로토콜 사용, TLS 1.2 통신구간 암호화, 별도의 Port사용), ④ ‘송신 모듈’에서 수신 받은 정보의 커넥션 대기, 내부 업무망의 WEB(또는 WAS)로 정보요청 및 결과 수신 후 커넥션 종료. ⑤ 데이터베이스 내용 조회. ⑥ ‘송신 모듈’ 에서 대기중인 커넥션을 연결하여 내부 업무망의 WEB(또는 WAS)로부터 HTTP 기반의 수신된 정보를 취득. ⑦ 전송받은 수신 정보에 대한 프로토콜 변환 후(TCP->HTTP) AES-128bit 데이터 복호화하여 HTTP Response 정보로 변환하여 전달. ⑧ 웹서버로 내용 전달 및 ⑨ 인터넷망으로 외부 웹사이트의 WEB으로 접속된 사용자에게 WEB Page형태로 결과정보를 전송 받아서 웹브라우저를 통한 확인을 수행한다.
이상과 같은 예로 본 발명을 설명하였으나, 본 발명은 반드시 이러한 예들에 국한되는 것이 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다. 따라서 본 발명에 개시된 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 예들에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 한다.
100 : 송신모듈(100) 200 : 수신데몬
210 : xml 211 : keystore
211 : x.509 221 : Request Manager
223 : Response Manager 224 : Cache Manager(LRU)
225 : Session Manager 226 : Encrytion/Decrytion(AES 256)
227 : Secure Filter 231 : Daemon Server Connector
232 : Communication Data Protocol 233 : EngineExecutor
240 : SSL(TSL v1.2)
250 : etwork Protocol(Socket Channel)
300 : 클라이언트 필터

Claims (8)

  1. 외부 인터넷 영역(Internet Zone)의 외부 클라이언트로부터의 HTTP를 통한 웹컨텐츠 정보요청에 대하여 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스의 데이터를 송신하는 송신모듈(100); 및
    상기 외부 클라이언트로부터의 웹컨텐츠 정보요청에 대하여 상기 인트라넷 영역(Intranet Zone)의 내부 시스템 데이터베이스로 전송을 하여 수신되는 웹컨텐츠를 받아서 이를 상기 송신모듈(100)로 전달 시 상기 내부 시스템(WEB Site) 전송을 닫음(Close)으로써 HTTP를 통한 웹컨텐츠 전송시 이루어지는 TCP 프로토콜이 스위치 연결 방식으로 웹컨텐츠를 전달하는 수신데몬(200);을 포함하여 구성되되,
    상기 수신데몬(200)에는 웹컨텐츠를 상기 송신모듈(100)로 전달 시 외부 웹사이트와 내부 웹사이트간 사용자 인증의 동일인 확인을 위한 "Session Manager"(225)가 구성되어 SSO 인증처리 기능을 제공하고,
    동적인 웹컨텐츠를 제공하기 위한 웹 URL의 동적 매핑을 하는 용도의 "Request Manager"(221), "Response Manager"(223)가 구성되어 외부 인터넷 영역(Internet Zone)의 웹서버에 연결되어지는 데이터베이스가 필요 없는 상태로 서비스가 제공되는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  2. 제1항에 있어서,
    상기 수신데몬(200)은,
    HTTP, HTTPS 프로토콜 기반의 웹컨텐츠를 제공하는 웹사이트에 대한 동적인 웹컨텐츠를 복제하여 또다른 웹서버에 제공하는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  3. 제1항에 있어서,
    상기 송신모듈(100)은,
    사용자의 브라우저를 통해 인터넷 영역에 있는 웹서버에 접속하게 되고, 이렇게 호출되는 웹 요청(Request) 서비스에 대해 HTTP 프로토콜의 통신 형태를 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)로 변환(conversion)을 하며, 웹 요청(Request) 서비스의 의미 내용은 그대로 적용하는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  4. 제1항에 있어서,
    상기 수신데몬(200)은,
    상기 송신모듈(100)에서 수신받은 별도의 TCP 프로토콜(TCP 프로토콜 기반의 자체 규약 정의)의 웹 요청(Request) 서비스의 의미 내용을 파싱하여 WAS서버(또는 웹서버)가 해석 가능한 형태의 HTTP 프로토콜의 형태로 재구성하여 내부망(인트라넷 영역)의 내부 사이트(WEB Site)로 전송하는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  5. 제1항에 있어서,
    상기 수신데몬(200)과 송신모듈(100)은,
    내부망(인트라넷 영역)의 사이트의 웹컨텐츠 제공 서비스에 대해 외부망(인터넷 영역)에 있는 웹서버에 그대로 재현한 제공 서비스 시,
    TCP 커넥션을 3개로 분리하여 연결에 대해서 2개의 연결에 대해 동시에 연결되어 있는 것이 아니라 한쪽이 연결되면 다른 한쪽은 연결이 해제되는 스위치 방식으로 내부와 외부간을 연결하였다가 차단하였다가 하면서 웹컨텐츠를 전달하도록 설정되어, 웹기반의 터널링 공격 및 원격 코드실행 공격 형태의 공격(해킹)시 TCP기반의 연결을 끊어주게 되어 TCP연결된 상태의 공격들을 무력화(Haking Defence)되는 보안상 방어를 수행하는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  6. 제5항에 있어서,
    상기 송신모듈(100)의 메모리에 LRU(Least Recently Used) 알고리즘을 적용하여 동일한 사용자 세션의 동일한 웹컨텐츠 전송의 요구가 있을 경우,
    자주 사용되어지는 웹컨텐츠의 캐쉬로의 저장 기능을 수행하는 LRU Cache Manager를 확인하여 캐시 매니저에 등록되어 있을 경우, 상기 수신데몬(200)으로 전달하지 않고, 현재 LRU Cache Manager에 등록된 웹 결과(Response) 컨텐츠를 꺼내어 바로 전달하는 LRU 알고리즘을 활용한 웹 컨텐츠 데이터 메모리 캐싱 관리를 수행하거나,
    상기 송신모듈(100)과 수신데몬(200)간 대량의 웹컨텐츠 데이터 전송을 위한 멀티채널 및 NIO Socket 처리 형식의 TCP 통신 처리하거나,
    대용량 웹컨텐츠 데이터 전송을 위한 단일 쓰레드가 아닌 쓰레드 그룹(ThreadGroup) 처리하거나,
    ASync 방식의 대기열 방식을 적용하여 불필요한 TCP 커넥션을 줄이는 것을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  7. 제5항에 있어서,
    상기 수신데몬(200)에는,
    HTTP 프로토콜의 통신 중 웹 요청(Request) 정보 호출시 HTTP 요청(Request) Heder 또는 입력값(Input parameter)의 문자열 삽입 공격 형태의 공격(해킹)시에도 방어를 할수 있도록,
    다양한 외부입력에 대한 파싱을 하여 입력값(Input parameter)에 대해 정규식 패턴으로 악성 문자열을 검출하여 차단하는 ecure Filter(227)가 더 구성됨을 특징으로 하는 웹사이트 보안강화를 위한 사이트 복제 장치.
  8. 삭제
KR1020220055590A 2022-05-04 2022-05-04 웹사이트 보안강화를 위한 사이트 복제 장치 KR102449282B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220055590A KR102449282B1 (ko) 2022-05-04 2022-05-04 웹사이트 보안강화를 위한 사이트 복제 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220055590A KR102449282B1 (ko) 2022-05-04 2022-05-04 웹사이트 보안강화를 위한 사이트 복제 장치

Publications (1)

Publication Number Publication Date
KR102449282B1 true KR102449282B1 (ko) 2022-09-29

Family

ID=83462060

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220055590A KR102449282B1 (ko) 2022-05-04 2022-05-04 웹사이트 보안강화를 위한 사이트 복제 장치

Country Status (1)

Country Link
KR (1) KR102449282B1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020083542A (ko) * 2001-04-26 2002-11-04 한신텔리젠트(주) 무선 인터넷 단말기를 이용한 실시간 조회 방법 및 시스템
KR20050107487A (ko) 2003-03-04 2005-11-11 코닌클리케 필립스 일렉트로닉스 엔.브이. 허가된 복제의 보장
KR20110067169A (ko) 2009-06-04 2011-06-21 유니시스 코포레이션 보안 맞춤형 애플리케이션 클라우드 컴퓨팅 아키텍처
KR20180016685A (ko) * 2016-08-04 2018-02-19 주식회사 시큐다임 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법
KR20180051719A (ko) * 2016-11-08 2018-05-17 (주) 퓨전데이타 Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법
JP2018143337A (ja) 2017-03-02 2018-09-20 株式会社ディーブレス 枕用芯材および枕

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020083542A (ko) * 2001-04-26 2002-11-04 한신텔리젠트(주) 무선 인터넷 단말기를 이용한 실시간 조회 방법 및 시스템
KR20050107487A (ko) 2003-03-04 2005-11-11 코닌클리케 필립스 일렉트로닉스 엔.브이. 허가된 복제의 보장
KR20110067169A (ko) 2009-06-04 2011-06-21 유니시스 코포레이션 보안 맞춤형 애플리케이션 클라우드 컴퓨팅 아키텍처
KR20180016685A (ko) * 2016-08-04 2018-02-19 주식회사 시큐다임 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법
KR20180051719A (ko) * 2016-11-08 2018-05-17 (주) 퓨전데이타 Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법
JP2018143337A (ja) 2017-03-02 2018-09-20 株式会社ディーブレス 枕用芯材および枕

Similar Documents

Publication Publication Date Title
US8904558B2 (en) Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source
EP2144420B1 (en) Web application security filtering
US8850219B2 (en) Secure communications
US8161538B2 (en) Stateful application firewall
US8707387B2 (en) Secure network computing
US20060288220A1 (en) In-line website securing system with HTML processor and link verification
US20150082424A1 (en) Active Web Content Whitelisting
WO2016186736A1 (en) Security systems for mitigating attacks from a headless browser executing on a client computer
Atashzar et al. A survey on web application vulnerabilities and countermeasures
IL193975A (en) A method of providing security for a web application
JP2008146660A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US10348701B2 (en) Protecting clients from open redirect security vulnerabilities in web applications
US20060294206A1 (en) Opaque cryptographic web application data protection
KR102449282B1 (ko) 웹사이트 보안강화를 위한 사이트 복제 장치
Selvamani et al. Protection of web applications from cross-site scripting attacks in browser side
JP2010250791A (ja) ウェブサーバとクライアントとの間の通信を監視するウェブ保安管理装置及び方法
Duraisamy et al. A server side solution for protection of web applications from cross-site scripting attacks
Jithin et al. SECURE-D: Framework For Detecting and Preventing Attacks in SQL and NoSQL Databases
Alanazi et al. The history of web application security risks
Kuosmanen Security Testing of WebSockets
Tselios et al. Improving Network, Data and Application Security for SMEs
Amuthadevi et al. A Study on Web Application Vulnerabilities to find an optimal Security Architecture
Desai et al. The web: a hacker's heaven and an on-line system
AR Identifying SOA security threats using web mining
Dhingra A Review on Web Application Security

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant