KR102491627B1 - 게이트웨이 장치와 그 접속 처리 방법 - Google Patents

게이트웨이 장치와 그 접속 처리 방법 Download PDF

Info

Publication number
KR102491627B1
KR102491627B1 KR1020220089918A KR20220089918A KR102491627B1 KR 102491627 B1 KR102491627 B1 KR 102491627B1 KR 1020220089918 A KR1020220089918 A KR 1020220089918A KR 20220089918 A KR20220089918 A KR 20220089918A KR 102491627 B1 KR102491627 B1 KR 102491627B1
Authority
KR
South Korea
Prior art keywords
network
access terminal
virtual private
gateway device
tunnel
Prior art date
Application number
KR1020220089918A
Other languages
English (en)
Inventor
임진우
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020220089918A priority Critical patent/KR102491627B1/ko
Application granted granted Critical
Publication of KR102491627B1 publication Critical patent/KR102491627B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법은, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함한다.

Description

게이트웨이 장치와 그 접속 처리 방법{GATEWAY APPARATUS AND METHOD FOR HANDLING ACCESS THEREOF}
본 발명은 게이트웨이(gateway) 장치와 이 게이트웨이 장치가 접속을 처리하는 방법에 관한 것이다.
일반적으로 물리적 망분리 환경은 외부망(예컨대, 인터넷망)과 내부망(예컨대, 업무망)을 물리적으로 분리한 환경에서 운용하는 것을 일컫고, 이러한 물리적 망분리 환경에서 원격 접속 시에는 G2C(gateway to client) 가상사설망(VPN, virtual private network)을 통해 접근한다.
그런데, G2C 가상사설망 접근을 위해 외부망의 G2C 가상사설망 서버의 접속 주소 및 내부망의 G2C 가상사설망 서버의 접속 주소가 노출되기 때문에 접속 주소를 이용한 불특정 다수의 공격 시도에 취약하다.
이와 같은 보안 취약성을 최소화하기 위해 제로트러스트 개념으로 원격 사용자가 인증 받은 후에만 서버 주소를 알 수 있는 서버 하이딩 또는 서버 스텔스라 불리는 기능을 적용하기도 하는데, 이 방법 역시 인증 받은 후라 할지라도 결국 서버 주소가 노출된다는 약점이 존재한다.
특히, 인터넷망 등의 외부망에 비해 업무망 등의 내부망은 상대적으로 보안이 매우 중요하기 때문에 보다 엄격한 보안이 적용되어야 할 필요성이 있다.
한국공개특허공보, 제10-2009-0123800호 (2009.12.02. 공개)
일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G(gateway to gateway) 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있도록 한 게이트웨이 장치와 그 접속 처리 방법을 제공한다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법은, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함한다.
제 2 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치는, 상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와, 상기 통신부를 제어하는 프로세서부를 포함하고, 상기 프로세서부는, 상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어한다.
제 3 관점에 따른 물리적 망분리 통신 시스템은, 외부망과 내부망의 물리적 망분리 환경에서 접속 주소를 노출한 상태로 운용되는 상기 외부망의 제 1 게이트웨이 장치와, 접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고, 상기 제 1 게이트웨이 장치는, 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성한다.
제 4 관점에 따라 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체는, 상기 컴퓨터 프로그램이, 프로세서에 의해 실행되면, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.
제 5 관점에 따라 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램은, 상기 컴퓨터 프로그램이, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.
일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 근래의 불법적인 사이버 공격은 컴퓨팅파워를 활용하기 보다는 다크웹과 같은 불법적인 루트를 통해 정상적인 계정 정보 및/또는 접속 권한을 획득한 후 공격하는 방식이 증가하는 추세다. 따라서 인증을 받은 정상적인 단말 사용자로 판단이 되더라도 이 같은 상황에 대비하기 위해 최대한으로 보안성을 적용해야 할 필요가 있다. 본 발명의 일 실시예에 따르면, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.
도 2는 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치의 구성도이다.
도 3은 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.
도 1을 참조하면, 물리적 망분리 통신 시스템(100)은 인터넷망 등과 같은 외부망의 제 1 게이트웨이 장치(120) 및 업무망 등과 같은 내부망의 제 2 게이트웨이 장치(130)를 포함한다.
이러한 물리적 망분리 통신 시스템(100)에서, 인터넷망 등과 같은 외부망을 통해 접속 단말(110)이 제 1 게이트웨이 장치(120)에 접속할 수 있고, 업무망 등의 내부망을 통해 서버(140)가 제 2 게이트웨이 장치(130)에 접속할 수 있다. 예를 들어, 서버(140)는 업무망 내에서 수행할 수 있는 각종 업무를 지원하는 업무 서버일 수 있다. 여기서, 제 1 게이트웨이 장치(120)는 접속 주소를 노출한 상태로 운용되고, 제 2 게이트웨이 장치(130)는 접속 주소를 은닉한 상태로 운용된다.
제 1 게이트웨이 장치(120)는 외부망의 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널(101)을 생성하고, 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거한다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우에 G2G 가상사설망 터널(102)을 제거할 수 있고, 외부망용 인증에 대해 로그아웃을 할 경우에 G2C 가상사설망 터널(101)을 제거할 수 있다.
도 2는 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)의 구성도이다.
도 2를 참조하면, 제 1 게이트웨이 장치(120)는 통신부(121) 및 프로세서부(122)를 포함하고, 저장부(123)를 더 포함할 수 있다.
통신부(121)는 프로세서부(122)의 제어에 따라 외부망의 접속 단말(110) 및 내부망의 제 2 게이트웨이 장치(130)와 통신을 수행한다.
프로세서부(122)는 통신부(121)의 접속 주소를 노출한 상태에서 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하며, 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태에서 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어한다.
저장부(123)에는 프로세서부(122)에 의한 각종 처리 결과가 저장될 수 있고, 그리고, 저장부(123)에는 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장될 수 있다.
도 3은 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.
이하, 도 1 내지 도 3을 참조하여 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 접속 단말(110)에 의한 접속을 처리하는 과정에 대해 자세히 살펴보기로 한다.
먼저, 접속 단말(110)은 인터넷망 등과 같은 외부망을 통해 제 1 게이트웨이 장치(120)에 접속할 수 있다(S310).
그러면, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 대해 외부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 외부망용 인증에 통과할 수 있다. 예컨대, 외부망용 인증은 제 1 게이트웨이 장치(120)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S320).
외부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 접속 단말(110)과의 G2C 가상사설망 터널(101)을 생성한다. 예컨대, 통신부(121)는 G2C 가상사설망 터널(101)로서 SSL(secure socket layer) 가상사설망 터널을 생성할 수 있다(S330).
이렇게 외부망용 인증에 통과한 접속 단말(110)은 외부망을 이용할 수 있지만 내부망을 이용할 수 없는 상태이고, 내부망을 이용하기 위해서는 내부망용 인증에 통과하여야 한다. 이를 위해, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 대해 내부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 의해 제공되는 제 2 게이트웨이 장치(130)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 내부망용 인증에 통과할 수 있다. 이러한 내부망용 인증에서 접속 단말(110)은 제 2 게이트웨이 장치(130)의 접속 주소를 알 필요가 없기 때문에 제 1 게이트웨이 장치(120)는 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태로 내부망용 인증과 관련된 서비스를 제공할 수 있고 인증된 이후에도 제 2 게이트웨이 장치(130)의 접속 주소를 계속 은닉한다. 예컨대, 이러한 내부망용 인증은 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S340).
내부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 예컨대, 통신부(121)는 G2G 가상사설망 터널(102)로서 IPSec(internet protocol security) 가상사설망 터널을 생성할 수 있다(S350).
이렇게 G2G 가상사설망 터널(102)이 생성된 후, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어하고, 통신부(121)는 프로세서부(122)의 제어에 따라 접속 단말(110)과 서버(140) 사이의 데이터 송수신을 위해 G2G 가상사설망 터널(102)을 통한 릴레이를 지원한다(S360).
그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어할 수 있다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2G 가상사설망 터널(102)을 제거할 수 있고(S380), 외부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2C 가상사설망 터널(101)을 제거할 수 있다(S380).
지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 이처럼, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.
한편, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램은 컴퓨터 판독 가능 기록매체에 저장될 수 있다.
또한, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장되어 있는 컴퓨터 판독 가능한 기록매체가 제공될 수 있다.
본 발명에 첨부된 각 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 물리적 망분리 통신 시스템
110: 접속 단말
120: 제 1 게이트웨이 장치
130: 제 2 게이트웨이 장치
140: 서버

Claims (11)

  1. 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서,
    접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C(gateway to client) 가상사설망 터널을 생성하는 단계와,
    상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G(gateway to gateway) 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는
    접속 처리 방법.
  2. 제 1 항에 있어서,
    상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버로 데이터를 전달하는 단계를 더 포함하는
    접속 처리 방법.
  3. 제 2 항에 있어서,
    상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는 단계를 더 포함하는
    접속 처리 방법.
  4. 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치로서,
    상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와,
    상기 통신부를 제어하는 프로세서부를 포함하고,
    상기 프로세서부는,
    상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어하는
    게이트웨이 장치.
  5. 제 4 항에 있어서,
    상기 프로세서부는,
    상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하도록 상기 통신부를 제어하는
    게이트웨이 장치.
  6. 제 5 항에 있어서,
    상기 프로세서부는,
    상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하도록 상기 통신부를 제어하는
    게이트웨이 장치.
  7. 외부망과 내부망의 물리적 망분리 환경에서 접속 주소를 노출한 상태로 운용되는 상기 외부망의 제 1 게이트웨이 장치와,
    접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고,
    상기 제 1 게이트웨이 장치는,
    상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는
    물리적 망분리 통신 시스템.
  8. 제 7 항에 있어서,
    상기 제 1 게이트웨이 장치는,
    상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 제 2 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하는
    물리적 망분리 통신 시스템.
  9. 제 8 항에 있어서,
    상기 제 1 게이트웨이 장치는,
    상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는
    물리적 망분리 통신 시스템.
  10. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
    상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
    외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 판독 가능한 기록매체.
  11. 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
    상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
    외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램.
KR1020220089918A 2022-07-20 2022-07-20 게이트웨이 장치와 그 접속 처리 방법 KR102491627B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220089918A KR102491627B1 (ko) 2022-07-20 2022-07-20 게이트웨이 장치와 그 접속 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220089918A KR102491627B1 (ko) 2022-07-20 2022-07-20 게이트웨이 장치와 그 접속 처리 방법

Publications (1)

Publication Number Publication Date
KR102491627B1 true KR102491627B1 (ko) 2023-01-27

Family

ID=85101781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220089918A KR102491627B1 (ko) 2022-07-20 2022-07-20 게이트웨이 장치와 그 접속 처리 방법

Country Status (1)

Country Link
KR (1) KR102491627B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090123800A (ko) 2008-05-27 2009-12-02 아바야 인코포레이티드 양방향 웹 서비스 제공 방법
KR20150116170A (ko) * 2014-04-07 2015-10-15 한국전자통신연구원 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
KR101585936B1 (ko) * 2011-11-22 2016-01-18 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
KR102146568B1 (ko) * 2019-09-24 2020-08-20 프라이빗테크놀로지 주식회사 네트워크 접속 제어 시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090123800A (ko) 2008-05-27 2009-12-02 아바야 인코포레이티드 양방향 웹 서비스 제공 방법
KR101585936B1 (ko) * 2011-11-22 2016-01-18 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
KR20150116170A (ko) * 2014-04-07 2015-10-15 한국전자통신연구원 다중 데이터 보안 터널을 구성하는 무선 접속 장치, 그를 포함하는 시스템 및 그 방법
KR102146568B1 (ko) * 2019-09-24 2020-08-20 프라이빗테크놀로지 주식회사 네트워크 접속 제어 시스템 및 그 방법
KR102178003B1 (ko) * 2019-09-24 2020-11-13 프라이빗테크놀로지 주식회사 네트워크 접속 제어 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
CN105027493B (zh) 安全移动应用连接总线
US11750589B2 (en) System and method for secure application communication between networked processors
JP7304983B2 (ja) クラウドベースのセキュリティサービスのための大規模なローカル化
CN104662551B (zh) 在网络环境中对加密的数据的检查
US9942198B2 (en) Internet isolation for avoiding internet security threats
US10931686B1 (en) Detection of automated requests using session identifiers
EP3097658B1 (en) Automatic placeholder finder-filler
US20080005791A1 (en) Method and apparatus for supporting a virtual private network architecture on a partitioned platform
CN104871484A (zh) 用于安全环境中的端点硬件辅助的网络防火墙的***和方法
US10560433B2 (en) Vertical cloud service
US10681057B2 (en) Device and method for controlling a communication network
US20220217143A1 (en) Identity security gateway agent
Kulshrestha et al. A literature reviewon sniffing attacks in computernetwork
CN115134105A (zh) 私有网络的资源配置方法、装置、电子设备及存储介质
JP2008090791A (ja) 仮想端末を利用した検疫ネットワークシステム、仮想端末を検疫する方法、及び、仮想端末を検疫するためのプログラム
KR102491627B1 (ko) 게이트웨이 장치와 그 접속 처리 방법
JP4908609B2 (ja) ネットワークシステム
US9584544B2 (en) Secured logical component for security in a virtual environment
Garba The anatomy of a cyber attack: dissecting the cyber kill chain (ckc)
US11757839B2 (en) Virtual private network application platform
Hirono et al. Development of a secure traffic analysis system to trace malicious activities on internal networks
Kabta et al. Information security in software-defined network
KR102605714B1 (ko) 통신 장치 및 그 원격접속 보안 방법
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant