KR102449417B1 - 위치정보 기반의 방화벽 시스템 - Google Patents

위치정보 기반의 방화벽 시스템 Download PDF

Info

Publication number
KR102449417B1
KR102449417B1 KR1020220046723A KR20220046723A KR102449417B1 KR 102449417 B1 KR102449417 B1 KR 102449417B1 KR 1020220046723 A KR1020220046723 A KR 1020220046723A KR 20220046723 A KR20220046723 A KR 20220046723A KR 102449417 B1 KR102449417 B1 KR 102449417B1
Authority
KR
South Korea
Prior art keywords
address
client system
unit
access
blocked
Prior art date
Application number
KR1020220046723A
Other languages
English (en)
Inventor
정성준
Original Assignee
비토플러스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 비토플러스 주식회사 filed Critical 비토플러스 주식회사
Priority to KR1020220046723A priority Critical patent/KR102449417B1/ko
Application granted granted Critical
Publication of KR102449417B1 publication Critical patent/KR102449417B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 내부 네트워크와 외부 네트워크의 사이에 위치되는 방화벽 시스템에 있어서, 위성항법장치를 이용하여 자신의 현재위치를 포함하는 접근예외요청을 생성하는 적어도 하나의 클라이언트 시스템; 상기 내부 네트워크와 외부 네트워크 사이의 패킷을 감시하고 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용하는 방화벽 장치; 상기 방화벽 장치를 경유하여 클라이언트 시스템들이 접속될 수 있으며, 클라이언트 시스템의 IP주소가 사용자ID단위로 구분되어 로그인정보로 저장되되, 클라인언트 시스템의 활성화 시, 클라이언트 시스템의 사용자를 인증하는 디렉토리 서버; 상기 클라이언트 시스템으로부터 접근예외요청을 수신하면, 허용IP주소와 상기 허용IP주소가 외부 네트워크에 접속할 수 있도록 하는 임시정책을 생성하는 관리서버;를 포함하고, 상기 임시정책은 허용IP주소, 접근허용시간 정보, 접근예외 어플리케이션, 접근예외 컨텐츠, 접근예외 위치범위를 포함하고, 상기 관리서버는 상기 클라이언트 시스템이 상기 허용IP주소를 가지고, 상기 클라이언트 시스템의 현재위치가 상기 접근예외 위치범위에 포함되며, 상기 접근허용시간 정보에 포함되는 일정 시간 동안 접속할 경우, 상기 임시정책을 상기 방화벽 장치로 배포하여 상기 방화벽 장치를 제어할 수 있다.

Description

위치정보 기반의 방화벽 시스템{Location information-based firewall system}
본 발명은 위치정보 기반의 방화벽 시스템에 관한 것이다.
정보 통신 기술의 발달로 정보화 사회가 됨에 따라 사회, 문화 및 경제 등 전 분야에서 인터넷이 중요한 매체가 되고 있다. 이에 따라 기업 내에서 업무를 처리함에 있어서도 정보 통신 기술을 활용하고 있는데, 보안상의 이유로 폐쇄적인 사설 네트워크망인 인트라넷을 이용하고 있다.
따라서 현재에는 개별 기업들의 내부 네트워크망의 관리는 매우 중요한 문제로 등장하게 되었고, 이를 위하여 외부의 네트워크망과 선택적으로 연결되면서도 보안성을 확보하기 위하여 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 방화벽(FireWall) 등과 같은 여러가지 솔루션들이 사용되고 있다.
이 중 방화벽(FireWall)은 인터넷과 연결된 네트워크 경로 상에서 가장 앞 단에 배치되며, 기본적으로 외부 또는 내부 네트워크로 향하는 모든 패킷을 검사하고 차단하는 보안 시스템이다.
대한민국 등록특허 제 10-2020178호(이하, "선행문헌1"이라고 한다.)는자동화된 보안 정책으로 외부 위협에 유연하고 빠른 대처가 가능한 방화벽 시스템에 대하여 개시하고 있다.
상기 선행문헌1은 관리서버가 특정 IP주소를 내부 네트워크망에 접속이 허용된 클라이언트 시스템에 배정하고, 내부 네트워크망에 접속하려는 클라이언트 시스템의 현재 IP주소가 상기 특정 IP주소인지 검사하고, 직전 IP주소를 비교하여 내부 네트워크망에 접속을 허용하거나 차단한다.
또한, 별도의 내부 네트워크망을 구축하여 운용하는 사내에서 외부 인사와의 미팅이나 발표를 위하여 외부 네트워크망에 접속해야 할 필요가 있을 경우 주로 외부 인사와의 미팅이나 발표가 이루어지는 장소는 특정되어 있는 것이 보통이다. 그러나 클라이언트 시스템이 내부 네트워크망에서 외부 네트워크망에 접속해야 하는 경우에 상기 클라이언트 시스템의 위치정보에 기반하여 작동하는 방화벽 시스템에 관해서는 현재 전무한 실정이다.
뿐만 아니라, 유해 IP를 효과적으로 차단하기 위하여 KISA, Ahnlab과 같은 국내외의 보안전문업체들은 무료 또는 유상으로 정상 및 유해 패킷 정보를 IP주소 단위로 구분하여 제공하고 있는데, 이러한 실시간으로 갱신되는 유해 IP주소에 대한 데이터베이스를 사용하여 클라이언트 시스템에 대한 내부 네트워크망과 외부 네트워크망 사이의 패킷 전송을 허용하거나 차단하는 방화벽 시스템이 필요하다.
대한민국 등록특허 제 10-2020178 호
본 발명은 위치정보 기반의 방화벽 시스템에 관한 것으로서, 내부 네트워크 내 특정 위치에서만 외부 네트워크와 접속을 가능하게 하는 방화벽 시스템을 제공하는 것을 그 목적으로 한다.
본 발명의 위치정보 기반의 방화벽 시스템은 내부 네트워크와 외부 네트워크의 사이에 위치되는 방화벽 시스템에 있어서, 위성항법장치를 이용하여 자신의 현재위치를 포함하는 접근예외요청을 생성하는 적어도 하나의 클라이언트 시스템; 상기 내부 네트워크와 외부 네트워크 사이의 패킷을 감시하고 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용하는 방화벽 장치; 상기 방화벽 장치를 경유하여 클라이언트 시스템들이 접속될 수 있으며, 클라이언트 시스템의 IP주소가 사용자ID단위로 구분되어 로그인정보로 저장되되, 클라인언트 시스템의 활성화 시, 클라이언트 시스템의 사용자를 인증하는 디렉토리 서버; 상기 클라이언트 시스템으로부터 접근예외요청을 수신하면, 허용IP주소와 상기 허용IP주소가 외부 네트워크에 접속할 수 있도록 하는 임시정책을 생성하는 관리서버;를 포함하고, 상기 임시정책은 허용IP주소, 접근허용시간 정보, 접근예외 어플리케이션, 접근예외 컨텐츠, 접근예외 위치범위를 포함하고, 상기 관리서버는 상기 클라이언트 시스템이 상기 허용IP주소를 가지고, 상기 클라이언트 시스템의 현재위치가 상기 접근예외 위치범위에 포함되며, 상기 접근허용시간 정보에 포함되는 일정 시간 동안 접속할 경우, 상기 임시정책을 상기 방화벽 장치로 배포하여 상기 방화벽 장치를 제어하는 것을 특징으로 한다.
상기 관리서버는 방화벽 장치 및 내부 네트워크와의 접속을 위한 송수신부; 상기 클라이언트 시스템 사용자의 로그인정보를 디렉토리 서버에서 조회하여 획득하는 사용자조회부; 상기 로그인정보에 포함되는 IP주소와 상기 클라이언트 시스템의 이전 IP 주소의 동일성을 검사하는 IP검사부; 상기 접근예외요청에 포함되는 클라이언트 시스템의 현재 위치가 접근예외 위치범위에 포함하는지 검사하는 위치검사부; 상기 임시정책이 적용되는 허용IP주소를 생성하는 IP생성부; 접근예외요청에 따라 임시정책을 생성하는 정책생성부; 상기 임시정책을 방화벽 장치로 배포하는 정책배포부;를 포함하는 것을 특징으로 한다.
또한, 상기 관리서버는 외부 서버로부터 제공되는 차단IP주소를 IP주소 단위로 구분하여 저장 관리하는 차단IP주소제공부; 및 접근예외요청에 대한 사전 승인 요청 당시 클라이언트 시스템의 IP주소가 상기 차단IP주소에서 조회되면 제1 값을 출력하고, 그렇지 않으면 제2 값을 출력하여 차단IP주소인지 판단하는 차단IP주소판별부;를 더 포함하고, 상기 관리서버는 상기 클라이언트 시스템으로부터 접근예외요청을 수신하고, 상기 차단IP주소판별부에서 제1 값이 출력되면 상기 임시정책이 방화벽 장치로 배포되는 것을 차단하는 것을 특징으로 한다.
또한, 상기 클라이언트 시스템은 악성 소프트웨어를 찾아내서 제거하는 바이러스 검사부;를 더 포함하고, 상기 관리서버는 상기 클라이언트 시스템의 현재위치를 모니터링하되, 상기 클라이언트 시스템의 현재위치가 상기 접근예외 위치범위에 포함되었다가 벗어나거나 또는 반대로 상기 접근예외 위치범위에 벗어났다가 포함될때 마다 상기 바이러스 검사부를 수행되도록 하여 그 결과를 전송받고, 상기 관리서버는 상기 바이러스 검사부가 클라이언트 시스템에서 악성 소프트웨어가 발견하면, 방화벽 장치로 상기 임시정책가 배포되는 것을 차단하는 것을 특징으로 한다.
또한, 상기 차단IP주소제공부는 적어도 하나의 보안전문업체에서 제공하는 유해IP주소를 보안전문업체와 IP주소 단위로 구분하여 저장하는 유해IP수집DB를 포함하는 유해IP수집부; 및 위협정보 제공업체에서 제공하는 실시간 위협IP주소를 수집하여 위협정보 제공업체와 IP주소 단위로 구분하여 저장하는 위협IP수집DB를 포함하는 위협IP수집부; 상기 유해IP수집DB와 위협IP수집DB에 저장되는 유해IP주소와 위협IP주소를 활용하여 상기 차단IP주소를 선별한 후에 차단IP수집DB에 저장하여 관리하는 차단IP선별부; 및 상기 차단IP주소를 상기 관리서버의 요청에 대응하여 상기 차단IP주소판별부에 제공하는 제공부;를 포함하는 것을 특징으로 한다.
또한, 상기 차단IP선별부는, 상기 유해IP수집DB와 위협IP수집DB에 적어도 1회 이상 포함되는 IP주소를 취합하여 제1리스트를 출력하는 제1선별부; 상기 차단IP수집DB에 저장된 IP주소와 상기 제1리스트에 포함된 IP주소를 비교하여 상기 차단IP수집DB에는 저장되어 있지만, 상기 제1리스트에 포함되지 않은 IP주소를 선별하여 제2리스트를 출력하는 제2선별부; 및 상기 제2선별부에서 제2리스트를 출력한 후에 상기 차단IP수집DB를 상기 제1리스트에 포함되는 모든IP주소로 갱신시키는 갱신부;를 포함하고, 상기 차단IP주소는 상기 제1리스트 및 제2리스트에 포함되는 모든 IP주소인 것을 특징으로 한다.
또한, 상기 차단IP선별부는 상기 제1리스트에 포함되는 모든IP주소를 자신이 이미 저장하고 있는 IP주소를 비교하여 중복되는 IP주소를 제거한 후 저장하는 백업부;를 더 포함하고, 상기 갱신부는 기 설정된 주기로 상기 백업부에 저장된 모든IP주소를 상기 차단IP수집DB에 추가하고 난 뒤, 상기 백업부에 저장된 모든IP주소를 삭제하는 것을 특징으로 한다.
본 발명의 위치정보 기반의 방화벽 시스템에 의하면, 클라이언트 시스템의 현재 위치가 외부 네트워크에 접속 가능한 위치인지 검사하여 상기 클라이언트 시스템의 외부 네트워크로의 접속을 허용하거나 차단한다.
또한, 내부 네트워크 내에서 특정 위치범위에 속하거나 벗어나는 클라이언트 시스템에서 악성소프트웨어를 검사하는 바이러스 검사를 수행함으로써, 보안성이 향상된다.
또한, 내부 네트워크 내에서 외부 네트워크에 접속하기 위한 접근예외요청에 대한 사전 승인을 신청할 당시 클라이언트 시스템의 IP주소를 별도로 저장하고 있다가 내부 네트워크 내에서 외부 네트워크에 접속을 실제로 요청할 때 저장된 접근예외요청을 신청할 당시 클라이언트 시스템의 IP주소를 확인하고, 유해한 IP인지 검사하고 그 결과에 따라 외부 네트워크에 접속여부를 차단하거나 허용할 수 있어 보안성이 향상된다.
도 1은 본 발명의 일 실시예에 따른 위치정보 기반의 방화벽 시스템의 개념도이다.
도 2는 본 발명의 일 실시예에 따른 관리서버의 블록도이다.
도 3은 본 발명의 일 실시예에 따른 클라이언트 시스템의 바이러스 검사부를 도시한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 차단IP주소제공부에서 유해IP주소와 위협IP주소를 수집하는 개념을 도시한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 차단IP주소제공부의 블록도이다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 본 발명의 위치정보 기반의 방화벽 시스템(3000)에 대하여 상세하게 설명한다.
실시 예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성 요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
도 1은 본 발명의 일 실시예에 따른 위치정보 기반의 방화벽 시스템(3000)의 개념도이다. 도 1를 참조하면, 상기 위치정보 기반의 방화벽 시스템(3000)은 내부 네트워크(1000) 내 위치하는 적어도 하나의 클라이언트 시스템(3100), 방화벽 장치(3200), 디렉토리 서버(3300) 및 관리서버(3400)를 포함한다.
상기 클라이언트 시스템(3100)은 방화벽 시스템(3000)을 통해 내부 네트워크(1000) 및 외부 네트워크(2000)와 접속하는 엔드 유저측의 컴퓨터로서, 랩탑 컴퓨터나 핸드헬드 PC를 채택하는 것이 바람직하지만 반드시 이에 한정되는 것은 아니며 네트워크망을 통해 데이터를 송, 수신할 수 있는 모든 정보통신단말을 포함하는 것으로 해석되어야 한다. 따라서, 스마트폰, 셀룰라폰, PCS, PDA 도 클라이언트 시스템(3100)이 될 수 있다.
또한, 상기 클라이언트 시스템(3100)은 통상적인 시스템 구성 요소로서, URL (Uniform Resource Locator)에 근거하여 웹페이지를 불러오고, 이를 HTML(Hyper-Text Markup Language) 코드 해석하여 모니터에 디스플레이하는 웹브라우저(browser) 프로그램 및 컴퓨터 시스템을 전체적으로 관리, 제어하는 운영 체제(OS : Operating System) 프로그램을 포함한다.
다만 본 발명의 상기 클라이언트 시스템(3100)은 본 발명의 관리서버(3400)에 접근예외요청(100)을 생성하는데, 이 때 상기 접근예외요청(100)에는 클라이언트 시스템(3100) 자신의 현재위치를 포함시킬 수 있어야 하며, 상기 클라이언트 시스템(3100)은 자신의 현재위치를 측정하기 위하여 GPS모듈과 같은 위성항법장치를 내장하고 있어야 함이 바람직하다.
상기 방화벽 장치(3200)는 상기 내부 네트워크(1000)와 외부 네트워크(2000) 사이의 패킷(500)을 감시하고 미리 설정된 정책에 대응하여 패킷(500)을 차단하거나 허용하는 장치이다. 다만, 본 발명의 방화벽 장치(3200)는 상기 패킷(500)을 차단하거나 허용함에 있어 클라이언트 시스템(3100)의 현재위치를 더 고려한다는 점을 제외하면 공지의 방화벽 장치(3200)와 그 구성과 기능이 다르지 않으므로 상세한 설명은 생략하기로 한다.
다시, 도 1을 참조하면, 내부 네트워크(1000)에는 적어도 하나의 클라이언트 시스템(3100)이 위치될 수 있다. 상기 클라이언트 시스템(3100)은 방화벽 시스템(3000)의 방화벽 장치(3200)를 경유하여 디렉토리 서버(3300)에 접속된다.
상기 디렉토리 서버(3300)는 클라이언트 시스템(3100)들의 활성화 시 사용자를 인증하기 위한 것으로, 로그인 서버로 이용된다. 상기 방화벽 장치(3200)를 경유하여 클라이언트 시스템(3100)들이 접속될 수 있으며, 클라이언트 시스템(3100)의 IP주소가 사용자ID단위로 구분되어 로그인정보(300)로 저장되되, 클라인언트 시스템의 활성화 시, 클라이언트 시스템(3100)의 사용자를 인증한다.
사용자는 클라이언트 시스템(3100)을 활성화하고, 활성화된 클라이언트 시스템(3100)에서 사용자 ID 및 패스워드를 입력한다. 사용자가 입력한 사용자 ID 및 패스워드는 디렉토리 서버(3300)에서 인증되고, 이에 따라 활성화된 클라이언트 시스템(3100)의 사용이 가능해진다.
이때 상기 디렉토리 서버(3300)에는 사용자 ID에 대응한 IP주소 등이 로그인 정보로 저장된다. 일 예로, 사용자가 클라이언트 시스템(3100)을 이용하여 접속한 경우, 디렉토리 서버(3300)에는 사용자 ID 및 클라이언트 시스템(3100)에 대응하는 IP주소 등이 로그인 정보로 저장될 수 있으며, 상기 방화벽 장치(3200)는 디렉토리 서버(3300)로부터 사용자별 로그인 정보를 공급받는다. 그리고 방화벽 장치(3200)는 해당 사용자의 어플리케이션 정책에 대응하여 패킷(500)을 허용하거나 차단한다.
상기 관리서버(3400)는 상기 클라이언트 시스템(3100)으로부터 접근예외요청(100)을 수신하면, 허용IP주소와 상기 허용IP주소가 외부 네트워크(2000)에 접속할 수 있도록 하는 임시정책(200)을 생성하여 방화벽 장치(3200)로 배포한다. 상기 관리서버(3400)에 대하여는 도 2 내지 도 7을 참조하여 상세히 설명하기로 한다.
상기 임시정책(200)는 접근예외요청(100)을 한 내부 네트워크(1000) 내의 클라이언트 시스템(3100)이 외부 네트워크(2000)과 통신하여 데이터를 주고 받을 수 있도록 방화벽 장치(3200)에 배포되어 적용된다.
이를 위하여 상기 임시정책(200)은 클라이언트 시스템(3100)이 외부 네트워크(2000)와 통신하는 데 사용하는 허용IP주소, 외부 네트워크(2000)에 통신이 허용되는 접근허용시간정보, 외부 네트워크(2000)와 통신 가능한 어플리케이션이나 컨텐츠에 관한 정보인 접근예외 어플리케이션과 접근예외 컨텐츠를 포함하고, 클라이언트 시스템(3100)이 외부 네트워크(2000)에 통신할 수 있는 장소에 대한 범위를 나타내는 접근예외위치정보를 포함한다.
도 2는 본 발명의 일 실시예에 따른 관리서버(3400)의 블록도이다. 도 2를 참조하면, 상기 관리서버(3400)가 클라인언트 시스템으로부터 접근예외요청(100)을 수신하면, 상기 접근예외요청(100)을 분석하여 클라이언트 시스템(3100)이 상기 허용IP주소를 가지고, 상기 클라이언트 시스템(3100)의 현재위치가 상기 접근예외 위치범위에 포함되며, 상기 접근허용시간 정보에 포함되는 일정 시간 동안 접속할 경우, 상기 임시정책(200)을 상기 방화벽 장치(3200)로 배포하고, 상기 방화벽 장치(3200)는 임시 정책에 따라 상기 클라이언트 시스템(3100)이 외부 네트워크(2000)에 통신가능하도록 한다.
이를 가능하게 하기 위하여 상기 관리서버(3400)는 송수신부(3410), 사용자조회부(3420), IP검사부(3430), 위치검사부(3440), IP생성부(3450), 정책생성부(3460), 정책배포부(3470), 차단IP주소제공부(3480), 차단IP주소판별부(3490)를 포함하여 구성된다.
상기 송수신부(3410)는 방화벽 장치(3200) 및 내부 네트워크(1000)와의 접속을 위한 것으로, 이더넷, LTE 등 공지의 통신프로토콜을 이용하여 상기 방화벽 장치(3200) 및 내부 네트워크(1000)와 접속할 수 있다.
상기 사용자조회부(3420)는 상기 클라이언트 시스템(3100) 사용자의 로그인정보(300)를 디렉토리 서버(3300)에서 조회하여 획득한 후에 내부 네트워크(1000)에서 외부 네트워크(2000)로 접속하기 위한 요청자의 로그인 정보를 디렉토리 서버(3300)에 요청하여 사용자 ID 및 상기 요정차가 사용하는 클라이언트 시스템(3100)에 대응하는 IP주소를 조회하게 된다.
상기 IP검사부(3430)는 상기 로그인정보(300)에 포함되는 IP주소와 상기 클라이언트 시스템(3100)의 이전 IP주소의 동일성을 검사한다. 이 때, 상기 로그인정보(300)에 포함되는 IP주소는 접근예외요청(100)에 대한 사전 승인 요청 당시 클라이언트 시스템(3100)의 IP주소가 되고, 상기 IP검사부(3430)가 IP주소의 동일성을 검사한 결과, 로그인정보(300)에 포함되는 IP주소와 상기 클라이언트 시스템(3100)의 이전 IP주소가 동일하지 않으면 상기 관리서버(3400)는 임시정책(200)의 배포를 차단하여 클라이언트 시스템(3100)이 외부 네트워크(2000)에 접속하는 것을 차단한다.
이를 위하여 상기 클라이언트 시스템(3100)은 IP주소의 변경에 대한 로그정보를 포함하여 상기 클라이언트 시스템(3100)의 이전 IP주소를 관리서버(3400)에 제공할 수 있도록 구성되어야 한다.
상기 위치검사부(3440)는 상기 접근예외요청(100)에 포함되는 클라이언트 시스템(3100)의 현재 위치가 접근예외 위치범위에 포함하는지 검사한다. 상기 위치검사부(3440)에 의해 클라이언트 시스템(3100)의 현재 위치가 접근예외 위치범위에 포함되지 않는 경우에는 임시정책(200)이 방화벽 장치(3200)에 배포되는 것을 차단하여 상기 클라이언트 시스템(3100)의 외부 네트워크(2000)로의 접속을 차단한다.
이를 통해, 내부 네트워크(1000)가 적용되는 장소 중 기 설정되는 특정위치에 클라이언트 시스템(3100)이 있을 때에만 외부 네트워크(2000)에 접속되는 것을 허용할 수 있다.
예를 들어, 외부 인사를 사내에서 만나 업무 관련 미팅을 진행하는 사용자가 미팅 진행을 위해 자신의 클라이언트 시스템(3100)으로 소셜 네트워크 서비스에 접속할 필요가 있거나 포털 사이트에 접속해 자료를 확인할 필요가 있을 때마다 종래에는 이러한 전산 관리자와 보안 관리자에게 허락을 받고 방화벽 정책의 규칙들을 수정하고, 외부 네트워크(2000)로의 접속이 필요하지 않게 되면 다시 전산 관리자와 보안 관리자에게 허락을 받고 방화벽 정책의 규칙들을 되돌려 놓아야 했다.
특히 종래의 방화벽 정책들은 IP주소와 포트 번호만을 사용하여 내부 또는 외부 네트워크(2000)로의 접속을 허용하거나 차단하였는데, 이 경우 내부 네트워크(1000)에서 외부 네트워크(2000)로의 접속을 허용한 IP주소를 가지는 클라이언트 시스템(3100)은 내부 네트워크(1000)가 적용되는 어느 장소에서라도 외부 네트워크(2000)에 접속할 수 있었다.
그러나 본 발명의 방화벽 시스템(3000)에서 사용되는 임시정책(200)에는 클라이언트 시스템(3100)이 외부 네트워크(2000)에 접속할 수 있는 위치에 대한 정보를 추가하여 클라이언트 시스템(3100)의 IP주소, 포트 번호, 접속 시간 뿐만 아니라 내부 네트워크(1000)가 적용되는 장소 중에서도 특정 위치범위 내에 존재하는 경우에만 외부 네트워크(2000)에 접속이 가능하고, 그 위치를 벗어나는 경우 비록, 외부 네트워크(2000)에 접속 간능한 IP주소를 가지고 있더라도 외부 네트워크(2000)로의 접속을 차단함으로써 내부 내트워크가 적용되는 장소 중에서도 특정 장소에서만 클라이언트 시스템(3100)이 외부 네트워크(2000)에 접속할 수 있게 함으로써, 보안성을 향상시켰다.
또한, 종래에는 내부 네트워크(1000)가 적용되는 장소에서 외부 네트워크(2000)에 접속할 수 있는 별도의 분리된 네트워크를 별도의 장소에 구축하여 특정 장소에서만 외부 네트워크(2000)에 접속할 수 있도록 하였으나, 본 발명의 방화벽 시스템(3000)은 이와 달리 별도의 분리된 네트워크를 구축하지 않고서도 동일한 효과를 발휘할 수 있어 외부 네트워크(2000)에 접속하기 위한 별도의 네트워크 구축 비용이 절감되는 효과가 있다.
이 때, 분리된 네트워크가 아닌 만큰, 외부에서 악성 소프트웨어가 내부 네트워크(1000)에 유입되는 것을 차단하기 위하여 상기 클라이언트 시스템(3100)에는 도 3에 도시된 바와 같이 바이러스 검사부(3110)가 설치될 수 있는데, 상기 바이러스 검사부(3110)에 대하여는 도 3을 참조하여 아래에서 상세히 설명하기로 한다.
상기 IP생성부(3450)는 상기 임시정책(200)에 적용되는 허용IP주소를 생성하고, 상기 정책생성부(3460)는 접근예외요청(100)에 따라 상기 임시정책(200)을 생성하며, 상기 정책배포부(3470)는 상기 임시정책(200)을 방화벽 장치(3200)로 배포한다.
상기 차단IP주소제공부(3480)는 외부 서버로부터 제공되는 차단IP주소(630)를 IP주소 단위로 구분하여 저장 관리하고, 상기 차단IP주소판별부(3490)는 접근예외요청(100)에 대한 사전 승인 요청 당시 클라이언트 시스템(3100)의 IP주소가 상기 차단IP주소(630)에서 조회되면 제1 값(410)을 출력하고, 그렇지 않으면 제2 값(420)을 출력하여 차단IP주소(630)인지 판단한다.
이 때, 상기 관리서버(3400)에서 정책배포부(3470)는 상기 클라이언트 시스템(3100)으로부터 접근예외요청(100)을 수신하고, 상기 차단IP주소판별부(3490)에서 제1 값(410)이 출력되면 상기 임시정책(200)이 방화벽 장치(3200)로 배포되는 것을 차단함으로써, 접근예외요청(100)에 대한 사전 승인 요청 당시 클라이언트 시스템(3100)의 IP주소를 검사하여 상기 클라이언트 시스템(3100)이 내부 네트워크(1000)에 악영향을 줄 수 있는 클라이언트 시스템(3100)일 가능성이 있는 경우 외부 네트워크(2000)로의 접속을 차단할 뿐만 아니라, 내부 네트워크(1000)로의 접속도 방화벽 장치(3200)에 의해 차단시킬 수 있다.
도 3은 본 발명의 일 실시예에 따른 클라이언트 시스템(3100)의 바이러스 검사부(3110)를 도시한 개념도이다. 도 3을 참조하면, 내부 네트워크(1000) 내에 위치하는 클라이언트 시스템(3100)은 악성 소프트웨어를 찾아내서 제거하는 바이러스 검사부(3110)를 포함하고 있다.
상기 바이러스 검사부(3110)는 스스로를 복제하여 컴퓨터를 감염시키는 컴퓨터 프로그램, 복제 기능이 없는 다른 종류의 악성 코드, 애드웨어, 스파이웨어 등을 찾아내서 제거하는 프로그램으로 컴퓨터 메모리의 내용(램, 시동 섹터), 고정 및 이동식 드라이브(하드 드라이브, 플로피 드라이브)에 저장된 파일을 검사하고 알려진 바이러스의 서명 데이터베이스와 해당 파일을 비교함으로써 수행될 수 있다.
특히 본 발명의 관리서버(3400)는 상기 클라이언트 시스템(3100)의 현재위치를 모니터링하되, 상기 클라이언트 시스템(3100)의 현재위치가 상기 접근예외 위치범위에 포함되었다가 벗어나거나 또는 반대로 상기 접근예외 위치범위에 벗어났다가 포함될 때 마다 상기 바이러스 검사부(3110)를 수행되도록 하여 그 결과를 전송받고, 상기 바이러스 검사부(3110)가 클라이언트 시스템(3100)에서 악성 소프트웨어가 발견하면, 관리서버(3400)의 정책배포부(3470)를 통해 방화벽 장치(3200)로 상기 임시정책(200)가 배포되는 것을 차단함으로써, 내부 네트워크(1000) 내에서 외부 네트워크(2000)에 접속가능한 장소에 클라이언트 시스템(3100)이 포함될 때마다 클라이언트 시스템(3100)의 악성 소프트웨어 설치 및 잠복 여부를 검사하게 된다.
이를 통해 외부 네트워크(2000)에 접속하기 위하여 내부 네트워크(1000)가 적용되는 어느 장소에 내부 네트워크(1000)와 분리된 별도의 네트워크를 구축하지 않도라도 외부에서 악성 소프트웨어가 내부 네트워크(1000)에 유입되는 것을 차단할 수 있다.
패킷(500)은 접근예외요청(100) 후에 클라이언트 시스템(3100)과 외부 네트워크(2000)와의 데이터를 주고 받기 위해 사용되는 데이터 단위로, 패킷(500)은 소정의 크기, 예를 들면 1460byte의 크기로 설정될 수 있으며, 이와 같은 패킷(500)은 헤더와 데이터로 구분된다.
패킷(500)의 헤더에는 5 튜플(tuple) 정보가 저장되는데, 헤더에는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 정보가 저장될 수 있다. 여기서, 소스 IP는 해당 패킷(500)을 전송한 시스템의 주소, 목적지 IP는 해당 패킷(500)을 전송받는 시스템의 주소, 소스 포트는 해당 패킷(500)이 전송된 포트, 목적지 포트는 해당 패킷(500)이 전송될 포트, 프로토콜은 TCP/IP를 포함한 통신 규약을 의미한다.
패킷(500)의 데이터에는 시그니처, 클라이언트 시스템(3100)의 바이러스 감염 여부, 클라이언트 시스템(3100)의 현재위치 중 적어도 하나를 포함하는 전송하고자 하는 정보가 포함될 수 있다. 여기서, 시그니처는 어플리케이션을 구분하기 위한 정보로 이용될 수 있다. 일 예로, 어플리케이션이 "네이트 온"으로 설정되는 경우 패킷(500)의 데이터에는 "REQS"와 같은 시그니처 정보가 포함된다. 또한, 어플리케이션이 웹 사이트, 일 예로 "네이버"로 설정되는 경우 패킷(500)의 데이터에는 "Host: www.naver.com"과 같은 시그니처 정보가 포함된다.
시그니처 정보는 연속되는 패킷(500)들 중 초반에 공급되는 패킷(500)들에 포함된다. 실제로, 시그니처 정보는 연속되어 공급되는 패킷(500)들 중 첫 번째 또는 두 번째 패킷(500)에 포함된다.
바이러스 감염 여부, 클라이언트 시스템(3100)의 현재위치는 상기 클라이언트 시스템(3100)의 현재위치가 접근예외 위치범위에 포함되거나 벗어나는 경우 상기 패킷(500)에 포함된다.
상기 관리서버(3400)는 접근예외요청(100)을 통해 내부 네트워크(1000) 내의 클라이언트 시스템(3100)이 외부 네트워크(2000)와 데이터를 주고 받을 때, 상기 패킷(500)을 분석하여 임시정책(200)을 방화벽 장치(3200)에 배포하거나 적용할지를 결정하여 클라이언트 시스템(3100)이 외부 네트워크(2000)에 접속되는 것을 허용하거나 차단할 수 있다.
도 4는 본 발명의 일 실시예에 따른 차단IP주소제공부(3480)에서 유해IP주소(610)와위협IP주소(620)를 수집하는 개념을 도시한 개념도이다. 도 4를 참조하면, 차단IP주소제공부(3480)는 외부의 보안전문업체(4000) 및/또는 위협정보제공업체(5000)와 방화벽 장치(3200)를 통해 연결되어 유해IP주소(610) 및/또는위협IP주소(620)를 제공받는다.
보안전문업체(4000)는 유해IP 주소를 외부에 제공하는 것을 전문으로 하는 법인 및 개인을 말하며, 위협정보제공업체(5000)는 KISA(한국인터넷진흥원)에서 제공하는 C-TAS(Cyber Threat Analysis & Sharing. 사이버위협정보 분석 공유 시스템)와 같이위협IP주소(620)를 API를 통해 실시간으로 제공하는 기관을 의미한다.
상기 차단IP주소제공부(3480)는 적어도 하나의 보안전문업체(4000)에서 제공하는 유해IP주소(610)를 IP주소 단위로 구분하여 저장하는 유해IP수집DB(3481a)를 포함하는 유해IP수집부(3481)와 위협정보 제공업체에서 제공하는 실시간위협IP주소(620)를 수집하여 IP주소 단위로 구분하여 저장하는 위협IP수집DB(3482a)를 포함하는 위협IP수집부(3482)를 포함한다.
이 때, 중복되는 IP주소는 제거되어 상기 유해IP수집DB(3481a)와 위협IP수집DB(3482a)에 저장될 수 있다.
상기 유해IP수집부(3481)와 위협IP수집부(3482)가 외부의 보안전문업체(4000) 및/또는 위협정보제공업체(5000)와 연결되어 실시간으로 갱신되는 유해IP주소(610)와위협IP주소(620)를 제공받아 유해IP수집DB(3481a)와 위협IP수집DB(3482a)를 업데이트하여 상기 차단IP주소제공부(3480)가 최신의 유해IP주소(610)와위협IP주소(620)를 제공함으로써, 유해IP주소(610) 또는위협IP주소(620)를 가진 클라이언트 시스템(3100)의 내부 네트워크(1000)로의 접속을 차단하게 된다.
특히, 접근예외요청(100)에 대한 사전 승인 요청 당시에는 클라이언트 시스템(3100)의 IP주소가 유해IP주소(610)이거나위협IP주소(620)가 아니었으나, 내부 네트워크(1000)에서 외부 네트워크(2000)로 접속하려 할 때 그 클라이언트 시스템(3100) 이전 IP주소가 유해IP주소(610) 또는위협IP주소(620)이면 방화벽 장치(3200)를 이용하여 접속을 차단시킬 수 있다.
도 5는 본 발명의 일 실시예에 따른 차단IP주소제공부(3480)의 블록도이다. 도 5를 참조하면 상기 차단IP주소제공부(3480)는 상기 유해IP수집부(3481), 위협IP수집부(3482) 외에 차단IP선별부(3483), 제공부(3484)를 더 포함한다.
상기 차단IP선별부(3483)는 상기 유해IP수집DB(3481a)와 위협IP수집DB(3482a)에 저장되는 유해IP주소(610)와 위협IP주소(620)를 전달받아 상기 차단IP주소(630)를 선별한 후에 차단IP수집DB(3483c)에 저장하여 관리하고, 상기 제공부(3484)는 상기 차단IP주소(630)를 상기 관리서버(3400)의 요청에 대응하여 상기 차단IP주소판별부(3490)에 제공한다.
상기 차단IP선별부(3483)는 제1 선별부(3483a), 제2 선별부(3483b), 갱신부(3483d), 차단IP수집DB(3483c) 및 백업부(3483e)를 포함한다.
상기 제1 선별부(3483a)는 상기 유해IP수집DB(3481a)와 위협IP수집DB(3482a)에 적어도 1회 이상 포함되는 IP주소를 취합하여 제1 리스트(710)를 출력한다.
상기 제2 선별부(3483b)는 상기 차단IP수집DB(3483c)에 저장된 IP주소와 상기 제1 리스트(710)에 포함된 IP주소를 비교하여 상기 차단IP수집DB(3483c)에는 저장되어 있지만, 상기 제1 리스트(710)에 포함되지 않은 IP주소를 선별하여 제2 리스트(720)를 출력한다.
상기 갱신부(3483d)는 상기 제2 선별부(3483b)에서 제2 리스트(720)를 출력한 후에 상기 차단IP수집DB(3483c)를 상기 제1 리스트(710)에 포함되는 모든IP주소로 갱신시킨다.
이 때, 상기 제공부(3484)가 출력하는 상기 차단IP주소(630)는 상기 제1 리스트(710) 및 제2 리스트(720)에 포함되는 모든 IP주소가 된다.
상기 백업부(3483e)는 상기 제1 리스트(710)에 포함되는 모든IP주소를 자신이 이미 저장하고 있는 IP주소를 비교하여 중복되는 IP주소를 제거한 후 저장하고, 상기 갱신부(3483d)는 기 설정된 주기로 상기 백업부(3483e)에 저장된 모든IP주소를 상기 차단IP수집DB(3483c)에 추가하고 난 뒤, 상기 백업부(3483e)에 저장된 모든IP주소를 삭제한다.
상기 백업부(3483e)와 갱신부(3483d)를 통해 상기 차단IP수집DB(3483c)에 저장되어 관리되는 데이터의 양이 성능에 영향을 주지 않을 정도로 관리함과 동시에 과거에 차단IP주소(630)에 포함되었던 IP주소를 상기 차단IP수집DB(3483c)가 저장가능하게 함으로써, 내부 네트워크(1000)에 악영향을 줄 수 있는 가능성이 있는 IP주소를 제공할 수 있다.
또한, 본 발명의 위치정보 기반의 방화벽 시스템(3000)은 클라이언트 시스템(3100)의 현재 위치가 외부 네트워크(2000)에 접속 가능한 위치인지 검사하여 상기 클라이언트 시스템(3100)의 외부 네트워크(2000)로의 접속을 허용하거나 차단할 수 있고, 내부 네트워크(1000) 내에서 특정 위치범위에 속하거나 벗어나는 클라이언트 시스템(3100)에서 악성소프트웨어를 검사하는 바이러스 검사를 수행함으로써, 보안성이 향상된다.
또한, 내부 네트워크(1000) 내에서 외부 네트워크(2000)에 접속하기 위한 접근예외요청(100)에 대한 사전 승인을 신청할 당시 클라이언트 시스템(3100)의 IP주소를 별도로 저장하고 있다가 내부 네트워크(1000) 내에서 외부 네트워크(2000)에 접속을 실제로 요청할 때 저장된 접근예외요청(100)을 신청할 당시 클라이언트 시스템(3100)의 IP주소를 확인하고, 유해한 IP인지 검사하고 그 결과에 따라 외부 네트워크(2000)에 접속여부를 차단하거나 허용할 수 있어 보안성이 향상된다.
본 발명에 따른 상기 예시적인 방법들은 프로세서에 의해 실행되는 프로그램 명령들, 소프트웨어 모듈, 마이크로코드, 컴퓨터(정보 처리 기능을 갖는 장치를 모두 포함함)로 읽을 수 있는 기록 매체에 기록된 컴퓨터 프로그램 제품, 애플리케이션, 논리 회로들, 주문형 반도체, 또는 펌웨어 등 다양한 방식으로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD, DVD, 자기 테이프, 하드 디스크, 플로피 디스크, 하드 디스크, 광데이터 저장 장치 등이 있으며, 이에 제한되는 것은 아니다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
한편, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예 외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
1000 : 내부 네트워크
2000 : 외부 네트워크
3000 : 방화벽 시스템
3100 : 클라이언트 시스템
3200 : 방화벽 장치
3300 : 디렉토리 서버
3400 : 관리서버
4000 : 보안전문업체
5000 : 위협정보제공업체

Claims (7)

  1. 내부 네트워크와 외부 네트워크의 사이에 위치되는 방화벽 시스템에 있어서,
    위성항법장치를 이용하여 자신의 현재위치를 포함하는 접근예외요청을 생성하는 적어도 하나의 클라이언트 시스템;
    상기 내부 네트워크와 외부 네트워크 사이의 패킷을 감시하고 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용하는 방화벽 장치;
    상기 방화벽 장치를 경유하여 클라이언트 시스템들이 접속될 수 있으며, 클라이언트 시스템의 IP주소가 사용자ID단위로 구분되어 로그인정보로 저장되되, 클라인언트 시스템의 활성화 시, 클라이언트 시스템의 사용자를 인증하는 디렉토리 서버;
    상기 클라이언트 시스템으로부터 접근예외요청을 수신하면, 허용IP주소와 상기 허용IP주소가 외부 네트워크에 접속할 수 있도록 하는 임시정책을 생성하는 관리서버;를 포함하고,
    상기 임시정책은 허용IP주소, 접근허용시간 정보, 접근예외 어플리케이션, 접근예외 컨텐츠, 접근예외 위치범위를 포함하고,
    상기 관리서버는 상기 클라이언트 시스템이 상기 허용IP주소를 가지고, 상기 클라이언트 시스템의 현재위치가 상기 접근예외 위치범위에 포함되며, 상기 접근허용시간 정보에 포함되는 일정 시간 동안 접속할 경우, 상기 임시정책을 상기 방화벽 장치로 배포하여 상기 방화벽 장치를 제어하고,
    상기 관리서버는,
    방화벽 장치 및 내부 네트워크와의 접속을 위한 송수신부;
    상기 클라이언트 시스템 사용자의 로그인정보를 디렉토리 서버에서 조회하여 획득하는 사용자조회부;
    상기 로그인정보에 포함되는 IP주소와 상기 클라이언트 시스템의 이전 IP 주소의 동일성을 검사하는 IP검사부;
    상기 접근예외요청에 포함되는 클라이언트 시스템의 현재 위치가 접근예외 위치범위에 포함하는지 검사하는 위치검사부;
    상기 임시정책이 적용되는 허용IP주소를 생성하는 IP생성부;
    접근예외요청에 따라 임시정책을 생성하는 정책생성부;
    상기 임시정책을 방화벽 장치로 배포하는 정책배포부;를 포함하는 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
  2. 삭제
  3. 제1 항에 있어서,
    상기 관리서버는,
    외부 서버로부터 제공되는 차단IP주소를 IP주소 단위로 구분하여 저장 관리하는 차단IP주소제공부; 및,
    접근예외요청에 대한 사전 승인 요청 당시 클라이언트 시스템의 IP주소가 상기 차단IP주소에서 조회되면 제1 값을 출력하고, 그렇지 않으면 제2 값을 출력하여 차단IP주소인지 판단하는 차단IP주소판별부;를 더 포함하고,
    상기 관리서버는 상기 클라이언트 시스템으로부터 접근예외요청을 수신하고, 상기 차단IP주소판별부에서 제1 값이 출력되면 상기 임시정책이 방화벽 장치로 배포되는 것을 차단하는 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
  4. 제1 항 또는 제3 항에 있어서,
    상기 클라이언트 시스템은 악성 소프트웨어를 찾아내서 제거하는 바이러스 검사부;를 더 포함하고,
    상기 관리서버는 상기 클라이언트 시스템의 현재위치를 모니터링하되, 상기 클라이언트 시스템의 현재위치가 상기 접근예외 위치범위에 포함되었다가 벗어나거나 또는 반대로 상기 접근예외 위치범위에 벗어났다가 포함될때 마다 상기 바이러스 검사부를 수행되도록 하여 그 결과를 전송받고,
    상기 관리서버는 상기 바이러스 검사부가 클라이언트 시스템에서 악성 소프트웨어가 발견하면, 방화벽 장치로 상기 임시정책가 배포되는 것을 차단하는 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
  5. 제3 항에 있어서,
    상기 차단IP주소제공부는,
    적어도 하나의 보안전문업체에서 제공하는 유해IP주소를 보안전문업체와 IP주소 단위로 구분하여 저장하는 유해IP수집DB를 포함하는 유해IP수집부; 및,
    위협정보 제공업체에서 제공하는 실시간 위협IP주소를 수집하여 위협정보 제공업체와 IP주소 단위로 구분하여 저장하는 위협IP수집DB를 포함하는 위협IP수집부;
    상기 유해IP수집DB와 위협IP수집DB에 저장되는 유해IP주소와 위협IP주소를 활용하여 상기 차단IP주소를 선별한 후에 차단IP수집DB에 저장하여 관리하는 차단IP선별부; 및,
    상기 차단IP주소를 상기 관리서버의 요청에 대응하여 상기 차단IP주소판별부에 제공하는 제공부;를 포함하는 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
  6. 제5항에 있어서,
    상기 차단IP선별부는,
    상기 유해IP수집DB와 위협IP수집DB에 적어도 1회 이상 포함되는 IP주소를 취합하여 제1리스트를 출력하는 제1선별부;
    상기 차단IP수집DB에 저장된 IP주소와 상기 제1리스트에 포함된 IP주소를 비교하여 상기 차단IP수집DB에는 저장되어 있지만, 상기 제1리스트에 포함되지 않은 IP주소를 선별하여 제2리스트를 출력하는 제2선별부; 및,
    상기 제2선별부에서 제2리스트를 출력한 후에 상기 차단IP수집DB를 상기 제1리스트에 포함되는 모든IP주소로 갱신시키는 갱신부;를 포함하고,
    상기 차단IP주소는 상기 제1리스트 및 제2리스트에 포함되는 모든 IP주소인 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
  7. 제6항에 있어서,
    상기 차단IP선별부는 상기 제1리스트에 포함되는 모든IP주소를 자신이 이미 저장하고 있는 IP주소를 비교하여 중복되는 IP주소를 제거한 후 저장하는 백업부;를 더 포함하고,
    상기 갱신부는 기 설정된 주기로 상기 백업부에 저장된 모든IP주소를 상기 차단IP수집DB에 추가하고 난 뒤, 상기 백업부에 저장된 모든IP주소를 삭제하는 것을 특징으로 하는 위치정보 기반의 방화벽 시스템.
KR1020220046723A 2022-04-15 2022-04-15 위치정보 기반의 방화벽 시스템 KR102449417B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220046723A KR102449417B1 (ko) 2022-04-15 2022-04-15 위치정보 기반의 방화벽 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220046723A KR102449417B1 (ko) 2022-04-15 2022-04-15 위치정보 기반의 방화벽 시스템

Publications (1)

Publication Number Publication Date
KR102449417B1 true KR102449417B1 (ko) 2022-10-11

Family

ID=83599035

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220046723A KR102449417B1 (ko) 2022-04-15 2022-04-15 위치정보 기반의 방화벽 시스템

Country Status (1)

Country Link
KR (1) KR102449417B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060040405A (ko) * 2004-11-05 2006-05-10 주식회사 플랜티넷 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법
KR101059058B1 (ko) * 2010-07-29 2011-08-24 삼성에스디에스 주식회사 위치 기반 서비스 접근 제어 장치, 방법 및 시스템
KR102020178B1 (ko) 2019-03-21 2019-09-09 김상환 동적 정책 제어를 수행하는 방화벽 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060040405A (ko) * 2004-11-05 2006-05-10 주식회사 플랜티넷 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법
KR101059058B1 (ko) * 2010-07-29 2011-08-24 삼성에스디에스 주식회사 위치 기반 서비스 접근 제어 장치, 방법 및 시스템
KR102020178B1 (ko) 2019-03-21 2019-09-09 김상환 동적 정책 제어를 수행하는 방화벽 시스템

Similar Documents

Publication Publication Date Title
US11647043B2 (en) Identifying security actions based on computing asset relationship data
US11222111B2 (en) Techniques for sharing network security event information
US11831785B2 (en) Systems and methods for digital certificate security
US8375120B2 (en) Domain name system security network
JP6736657B2 (ja) 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム
CN111600856B (zh) 数据中心运维的安全***
RU2536663C2 (ru) Система и способ защиты от нелегального использования облачных инфраструктур
US7836506B2 (en) Threat protection network
US20170041342A1 (en) System and method of utilizing a dedicated computer security service
US8548998B2 (en) Methods and systems for securing and protecting repositories and directories
US10348754B2 (en) Data security incident correlation and dissemination system and method
WO2014094151A1 (en) System and method for monitoring data in a client environment
JP2008546060A (ja) アプリケーションファイルの監視及び制御システム及び方法
US20090300748A1 (en) Rule combination in a firewall
US11374946B2 (en) Inline malware detection
CN111510463B (zh) 异常行为识别***
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
US20230344861A1 (en) Combination rule mining for malware signature generation
KR102449417B1 (ko) 위치정보 기반의 방화벽 시스템
EP3999985A1 (en) Inline malware detection
Ying et al. Anteater: Malware Injection Detection with Program Network Traffic Behavior
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
US20230069731A1 (en) Automatic network signature generation
Venter et al. Harmonising vulnerability categories
WO2019146346A1 (ja) セキュリティシステム、セキュリティオペレーション方法、及び統括インシデント管理装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant