- 네트워크 서비스를 제공하는 서버들은 언제든지 해커에 의해 발견되어 공격받을 수 있음
- 네트워크 서버들은 주로 고정된 IP를 장기간 유지하는데, 이로 인하여 해커가 공격준비를 하고 공격을 실행하기 까지 많은 시간을 벌 수 있음
- 본 기술은 서버의 IP 주소를 지속적으로 바꾸면서 해커의 공격으로부터 회피함과 동시에 해커의 공격 준비와 공격 시행 단계의 연결 고리를 끊음으로써 공격 실패를 목표로 하고 공격에 소요되는 시간 비용 등 공격 복잡도를 증가시킬 수 있음
- 본 기술은 서버의 IP가 지속적으로 바뀐다 하더라도 인증된 클라이언트의 네트워크 연결은 끊어지지 않도록 TCP 터널링을 제공하고, TCP 터널로의 해커의 접근을 방지하기 위해 익명 IP 주소 생성과 터널 은닉 그리고 의심스러운 연결 제거 기술 등을 제공함
- 본 기술은 가상 네트워크 노드를 이용하여 서버가 속해있는 네트워크 토폴로지의 규모를 극대화하여, 정교하고 꾸준한 해커의 공격을 가짜 또는 미끼(Decoy) 노드로 흘려보냄과 동시에 실시간으로 이와 같은 비정상 행위를 확정적으로 감지할 수 있는 기술을 제공함
- 수동적 네트워크 보안 기술은 공격 접점이 넓어지고 공격자들의 능력이 강해짐에 따라서 그 한계가 드러나고 있으며 실제로 보안 사고가 발생하는 빈도가 증가하고 있음.
- 능동적 네트워크 보안 기술은 새로운 보안 기술 패러다임으로서 공격자의 혼란, 비용 증가, 킬체인 단절 등을 목표로 활발히 연구/개발되고 있는 분야임.
- 본 기술은 실용적이고 사업화를 위해 실제로 적용이 가능한 능동적인 네트워크 서버 보안 기술임
- 본 기술은 보호대상 서버의 주소와 오픈 포트번호의 노출을 막기 위하여, 매우 짧은 주소 변이 주기 (Address Mutation Interval)로 보호대상 서버의 주소와 포트번호를 변이하는 엔진임
- 내부(서브 네트워크 내부까지 침투한) 공격자의 스캐닝 및 패킷 스니핑에 대한 서버 노출 대응이 가능함
- 보호대상 서버로 들어오는 패킷의 발신지 포트까지 특정해야만 보호대상 서버에 접근이 가능하기 때문에 네트워크 스캐닝을 통해 알아내는 정보로는 보호대상 서버의 취약점에 접근이 불가능함
- 네트워크 토폴로지 확장 기술은 1개의 가상 노드만으로도, “보호대상 서버에 할당된 IP주소 개수 x 65535개”의 end-point가 있는 것처럼 보이게 함으로써 최소한의 리소스로 극대화된 보안 효과를 제공함
- 네트워크 토폴로지 확장 기술은 최초 1회의 가상 환경 설정을 하게 되면, 그 이후로 보호대상 서버의 상태가 바뀌거나 추가/삭제가 된다고 하더라도 별도의 설정 변경이 필요 없는 매우 간편한 기술임
- 네트워크 토폴로지 확장 기술은 기존의 허니팟&허니넷 기술과 다르게, 별도의 네트워크 미들박스가 필요치 않으며 HW/SW적인 네트워크 인프라 수정이 전혀 필요 없으므로 적용 및 관리가 매우 용이함
- 경쟁 기술에 비하여 성능이 굉장히 좋음
- 네트워크에서 발생하는 다양한 예외 상황에 대한 고려 및 구현 방법을 상세히 제시함으로써 매우 실용적임
- 기존 경쟁 기술들과는 달리, 본 기술은 내부 위협에 대응함과 동시에 실제 적용 가능한 수준까지 기술 개발과 검증이 완료된 세계 최초의 MTD 네트워킹 기술임
- 본 기술의 네트워크 end-point 주소변이 기술은 보호대상 서버의 주소와 오픈 포트번호 노출을 막기 위하여, 서비스의 Transparency를 보장하면서 주기적으로 보호대상 서버의 주소와 포트번호를 변이하는 기술로써, 사이버 공격 시 공격대상 목표물 탐색을 어렵게하여 사이버 공격 복잡도를 높이는 기술임
- 본 기술의 네트워크 토폴로지 변이 기술은 보호대상 서버가 존재하는 네트워크 영역에 다수의 가상 end-point가 있는 것처럼 보이게 함으로써 공격자가 실제 보호대상 서버를 찾아내는데에 많은 시간을 쏟게 만들고 가상 end-point를 기반으로 비정상 행위를 즉시 탐지해내는 기술임
A. 기술명 : 네트워크 End-point 주소변이 기술
- 보호대상 서버 주소 및 서비스 포트 변이/추적 기술
a. 서버의 주기적인 주소 변이를 위한 Local NAT
b. 클라이언트의 Moving 서버 추적을 위한 Local NAT
- 보호대상 서버 접근을 위한 발신지 포트 변이 기술
a. 인증된 클라이언트에서 서버로 보내는 패킷의 발신지 포트를 특정하기 위한 POSTROUTING 제어 기술
- 인증된 사용자의 연결 유지 기술
a. TCP 계층의 연결을 IP 계층과 분리
b. TCP 계층과 IP 계층의 Transparency를 보장
c. ARP Table N:1 매핑을 통한 공격 접점 확장
- 의심스러운 연결 감지 및 제거 기술
a. 주소 변이 주기마다 시행되는 연결 정보 분석
b. 연결 정보 분석 결과에 따른 의심스러운 연결 제거
B. 기술명 : 네트워크 토폴로지 변이 기술
- 보호대상 서버와 가상 end-point를 운영하는 Decoy-bed와의 망 구성 기술
a. 외부 네트워크에서 보호대상 서버를 관통하여 Decoy-bed로 이어지는 네트워크 경로를 만들기 위한 사설망 구성
b. 보호대상 서버의 주소변이에 따른 네트워크 경로 재구성을 위한 라우팅 기술
- 가상 end-point 제어 기술
a. Decoy-bed의 docker 컨테이너 원격 제어
- 보호대상 서버와 Decoy 노드의 패킷 응답시간 일관성 보장 기술
a. 보호대상 서버의 트래픽 컨트롤을 통한 1-hop 딜레이 강제 지연
A. 기술명 : 네트워크 End-point 주소변이 기술
- 소스코드:네트워크 End-point 주소변이 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
B. 기술명 : 네트워크 토폴로지 변이 기술
- 소스코드: 네트워크 토폴로지 변이 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 특허
○ 기술도입으로 인한 경제적 효과
- 기존의 정적인 네트워크 보안을 제공했던 방화벽, IDS, IPS 등은 고가의 네트워크 보안 장비임에도 불구하고 APT 공격이나 Defense 경계 내로 침투한 공격자 그리고 보안 장비들을 우회하는 공격 등에 적절히 대응하지 못하고 잦은 보안 사고가 발생하였음
- 본 기술은 기존의 정적인 보안 기술과 차별화된 Proactive Defense이며, 적용하기 쉽도록 서버와 클라이언트에 간단히 SW 설치만 하면 되므로 적용 비용이 적음
- 기술 적용이 쉽기 때문에 국내외 수요처가 많을 것으로 예상 됨
- 네트워크 보안 장비에 비하여 유지보수 비용이 적음
○ 기술사업화로 인한 파급효과
- 본 기술은 지금까지의 MTD 네트워킹 기술이 상용화 수준에 못 미치는 현 시점에서, 기술을 상용화하기에 가장 적합한 기술로서의 가치가 있음