한국인터넷방송통신학회논문지 (The Journal of the Institute of Internet, Broadcasting and Communication)

  • 제21권3호
  • /
  • Pages.91-98
  • /
  • 2021
  • /
  • 2289-0238(pISSN)
  • /
  • 2289-0246(eISSN)
한국인터넷방송통신학회 (The Institute of Internet, Broadcasting and Communication)
권호 표지
DOI QR코드

DOI QR Code

VPN 접속자의 원점 IP 탐지 방법

A Method for Original IP Detection of VPN Accessor

  • 투고 : 2021.03.29
  • 심사 : 2021.06.04
  • 발행 : 2021.06.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

대부분 해킹 과정에서 공격자는 자신의 원점 IP(Internet Protocol) 노출을 방지하고자 다양한 우회접속 방법을 이용한다. 따라서 방어자 입장에서 공격자의 원점 IP를 식별하는 것은 공격자를 인식하는데 있어 중요한 이슈이다. 공격자가 프록시(proxy)를 이용할 경우에는 웹 브라우저가 아닌 다른 응용프로그램을 통해서 원점 IP 확인이 가능하다. 그러나 이러한 방법은 VPN(Virtual Private Network)을 이용할 경우에는 아무런 효과가 없다. VPN은 모든 애플리케이션에 영향을 미치기 때문이다. 학술적으로는 네트워크 장비를 이용하여 IP를 역추적하는 다양한 방법이 연구되고 있으나 표준화, 개인정보보호 등의 문제로 인해 실현되기에는 아직 요원한 상태이다. 이러한 한계를 극복하기 위해 본 논문에서는 VPN을 사용하는 접속자의 네트워크 라우팅 테이블 정보를 이용하여 원점 IP를 탐지하는 실제적인 방법을 제안한다. 이 방법은 접속자의 네트워크 사용에는 영향을 미치지 않으며 개인정보 또한 수집하지 않는다. 더구나 다양한 VPN 툴을 사용하여 실제 인터넷에서 제안된 방법을 구현하고 검증하였다.

In most hacking attacks, hackers tend to access target systems in a variety of circumvent connection methods to hide their original IP. Therefore, finding the attacker's IP(Internet Protocol) from the defender's point of view is one of important issue to recognize hackers. If an attacker uses a proxy, original IP can be obtained through a program other than web browser in attacker's computer. Unfortunately, this method has no effect on the connection through VPN(Virtual Private Network), because VPN affects all applications. In an academic domain, various IP traceback methods using network equipments such as routers have been studied, but it is very difficult to be realized due to various problems including standardization and privacy. To overcome this limitation, this paper proposes a practical way to use client's network configuration temporarily until it can detect original IP. The proposed method does not only restrict usage of network, but also does not violate any privacy. We implemented and verified the proposed method in real internet with various VPN tools.

키워드

Ⅰ. 서론

대부분의 해킹 공격에서 해커는 자신의 IP, 즉 공격의 출발점을 은폐하기 위해 다양한 우회접속을 통해 공격대상 시스템에 접근한다. VPN(Virtual Private Network) 서비스는 암호화된 보안 터널을 제공하여 실제 트래픽을 숨기는 기능을 제공한다.⁽¹, ¹⁸⁾ 그래서 우회접속 방법 중에서 VPN을 이용할 때 공격자의 장비에서 발생하는 모든 트래픽이 VPN을 거치므로 공격자의 IP가 노출될 가능성이 매우 낮다.⁽⁾ 이러한 이유로 인해 대부분의 해커는 VPN을 활용한 공격을 선호한다. VPN은 2013년 3월 사이버테러, 2014년 한수원에 대한 공격 등에서도 이용되었다.

기존의 대부분의 연구가 공격자의 원점 IP를 식별하기 위해서 접속지로부터 역으로 IP를 추적하는 방법을 연구하는 데 집중되었다. Lee et al. 등은 사설 네트워크 우회접속 차단 방안을 제안 하였다.⁽⁾ VPN을 통해 우회 접속하여 온라인게임 불량 사용자를 탐지하는 방법과 사이버 범죄 예방 방안을 제안하였다.⁽¹⁰⁾ Murugesan et al. 는 다양한 IP 추적 방법을 5개의 부류(즉, 링크 테스트, 패킷 마킹, 패킷 로깅, ICMP(Internet Control Message Protocol) 역추적, 하이브리드 방법)로 분류하고 성능을 비교하였다.⁽¹¹⁾ 이 연구에 따르면, ICMP 역추적 방법을 제외하고, 다른 방법들은 IP 역추적을 위하여 기존 네트워크 인프라의 대대적인 변경을 요구하므로 구현 가능성이 낮다. 예를 들어, 패킷 마킹 및 로깅은 상업용 라우터에서 현재 지원하지 않는 기능이다. 그리고 ICMP 역추적은 대부분의 라우터와 서버에서 ICMP 플러드와 같은 DDoS 공격을 막기 위해 차단된 상태이다. 따라서 IP 역추적 방식에 의한 원점 IP 확인은 가까운 미래에 구현될 가능성이 매우 낮은 상황이다.

앞에서 제시된 원점 탐지 방식들의 한계를 극복하기 위해서는 접속자 PC에서 정보를 확인하는 현실적인 방법이 필요하다. Park et al. 은 접속지에서 역방향 연결을 통해 원점IP를 식별하는 새로운 접근방법을 제안하였다.⁽¹²⁾ Park and Kim은 이를 발전시켜 접속자 PC에서 웹브라우저가 아닌 다른 응용프로그램을 사용하여 원점을 식별하는 방법을 구현하였다.⁽¹³⁾ 이 모델은 Proxy 및 TOR을 사용하는 원점IP는 효과적으로 탐지하였다. 그러나 VPN을 사용하는 원점IP는 탐지할 수 없었다. VPN은 웹브라우저뿐만 아니라 모든 응용프로그램의 접속에 영향을 미치기 때문이다. 이 문제를 극복하고자 Kim et al.은 VPN 연결 메커니즘을 분석하고 라우팅 구성을 기반으로 VPN 사용자의 IP를 식별하는 방법을 제안했다.⁽¹⁴

본 논문에서는 Proxy, TOR는 물론 VPN의 경우에도 원점 IP를 탐지할 수 있는 방법을 제안하고 이를 구현한다. 즉, 접속자 PC에서 스크립트가 실행되면서 PC의 라우팅 구성 정보를 이용하여 원점 IP를 확인하는 것이다. 이를 구현하기 위해 VPN 메커니즘을 분석하고 VPN Entry와 Exit로 구성된 VPN 연결 모델을 설계한다. 이 모델을 기반으로 라우팅 테이블 환경을 변경하지 않고 클라이언트의 원점 IP를 탐지하는 메커니즘을 제시한다. 제안된 메커니즘을 검증하기 위해서 인터넷에서 한국과 미국에 테스트 환경을 구성하고 홈페이지와 탐지 알고리즘 스크립트를 작성하여 다양한 VPN 도구에 대해서 탐지 성능을 확인한다.

2장에서는 일반적인 연결 모델과 VPN 연결 모델을 비교한다. 3장에서는 접근방법으로 라우팅 테이블 정보를 이용한 원점 IP 탐지 메커니즘을 제안한다. 4장에서는 인터넷에서 상용 VPN 도구를 사용한 실험을 통해 제안된 메커니즘을 검증하고, 끝으로 결론에서는 향후 과제를 논한다.

Ⅱ. 관련 연구

1. 웹 접속 방법 및 특징

웹브라우저와 웹서버간 접속 과정으로 논 논문은 Kim et al. 이 제안한 접속 모델을 활용한다.⁽¹⁴⁾ 이 접속 모델을 직접과 간접으로 구분하고 간접접속을 다시 세분화한 후에 각 접속 방식별 특징, 탐지 방법의 한계 및 극복방안을 아래와 같다.

일반접속 (Normal Connection)은 일반 사용자가 어떠한 우회접속 도구를 이용하지 않고 웹서버에 접속하는 방법이며 그림 1과 같다. 이 경우에 웹브라우저는 모든 트래픽을 웹서버에 직접 보낸다. 모든 패킷은 동일한 IP 헤더(출발지 IP = 접속자IP, 목적지 IP= 웹서버 IP)를 갖는다. 웹브라우저에서 웹서버까지의 패킷 전달 경로는 다음과 같다.

OTNBBE_2021_v21n3_91_f0001.png 이미지

그림 1. 일반 접속

Fig. 1. Normal Connection

N1: 웹브라우저가 패킷을 생성해서 전송을 요청하면 접속자 PC의 물리 NIC가 그 패킷을 받는다. 라우팅 테이블에 물리 NIC가 기본 게이트웨이로 설정되어있기 때문이다.

N2: PC의 물리 NIC는 패킷을 받아서 변형하지 않고 서버의 NIC로 보낸다.

N3: 웹서버가 그 패킷을 받는다.

우회접속(Circumvent Connection)은 우회접속 도구 또는 서버를 이용하여 자신의 접속 IP를 숨기거나 변형한다. 우회접속은 영향을 받는 응용프로그램의 범위에 따라 부분 우회접속(Partial Circumvent Connection, PCC)과 전체 우회접속(Fully Circumvent Connection, FCC)으로 구분된다. PCC는 웹브라우저와 같은 일부 응용프로그램만 우회하는데 영향을 받는 방법이며 그림 2와 같다.

OTNBBE_2021_v21n3_91_f0002.png 이미지

그림 2. 부분 우회 접속

Fig. 2. Partial Circumvent Connection

대표적인 PCC기법은 Proxy Server를 경유한 접속이다. PCC는 일부 응용프로그램에만 영향을 미치는 한계점으로 인해 다양한 원점 식별 방법이 연구되었다. 예를 들어, Park and Kim은 의심되는 접속에 대해 우선 사용자의 동의를 구한 후에 IP 확인용 스크립트를 실행하여 접속자의 원점을 식별하는 방법을 제시하고 구현하였다.⁽¹²

FCC는 PCC에 비해서 접속자 장비에서 실행되는 모든 응용프로그램이 우회 서버를 경유하므로 원점 확인이 어려우며 그림 3과 같다. FCC를 구현하는 기술은 사실상 VPN이다. 그래서 VPN 접속자의 원점 IP를 직접적으로 확인하는 방법에 대한 연구는 매우 드물기 때문에 다수의 연구가 VPN 프로그램이나 VPN 서버의 취약점을 이용하여 정보를 수집하는데 집중되었다. 많은 VPN 도구에서 사용되는 OpenSSL 취약점을 이용한 Heart Bleed 공격이 대표적인 사례이다.

OTNBBE_2021_v21n3_91_f0003.png 이미지

그림 3. 전체 우회 접속

Fig. 3. Fully Circumvent Connection

2. VPN 접속 모델

VPN 접속은 모든 트래픽이 VPN 서버를 경유하게 함으로써 접속자의 원점 IP 를 숨긴다. 이를 구현하기 위하여 대부분 VPN 도구들은 실제 NIC 앞에 가상 NIC를 설치하고 실제 NIC를 대신하여 장비의 기본 게이트웨이로 설정한다. 가상 NIC는 장비에서 발생하는 모든 네트워크 트래픽을 중간에서 가로채서 암호화한 후에 지정된 VPN서버로 전송한다. 이로 인해 가상 NIC와 VPN 서버 사이에 가상의 터널이 형성된다. VPN 터널 관점에서 보면 터널의 입구에 위치한 가상 NIC가 VPN Entry이며, 터널의 출구에 위치한 VPN서버가 VPN Exit이다. VPN 을 사용한 경우, 그림 4와 같이 웹브라우저로부터 웹서버까지 전달 과정은 다음과 같다.

OTNBBE_2021_v21n3_91_f0004.png 이미지

그림 4. VPN 접속 모델

Fig. 4. VPN Connection Model

• V1: 웹브라우저가 발생한 패킷(Type A) 은 기본 게이트웨이인 VPN Entry에 전달된다.

• V2: VPN Entry는 Type A 패킷을 암호화한 후에 새로운 패킷(Type B)을 생성한다. Type B 패킷은 출발지는 VPN Entry이고 목적지는 VPN 서버이다.

표 1. VPN 사용시 IP 헤더 구조

Table 1. IP header Structure Using VPN

OTNBBE_2021_v21n3_91_t0001.png 이미지

• V3: Type B 패킷은 장비의 실제 NIC가 받아서 VPN 서버로 전달한다.

• V4: VPN 서버는 Type B 패킷의 페이로드에서 Type A 패킷을 꺼내 웹서버에 전달한다. 이때 IP 를 위장하기 위해 출발지를 자신으로 변경하기 때문에 Type A’로 표현하였다.

• V5: 최종적으로 웹서버는 Type A’을 받기 때문에 VPN 서버를 접속자로 인식한다.

Ⅲ. VPN 접속자 원점 IP 탐지 메커니즘

본 논문에서 제안 방법의 핵심 아이디어는 특정 웹서버에 접속하는 트래픽을 네트워크 환경의 변경 없이 클라이언트 PC의 물리적 NIC의 원점 IP를 얻는 것이다. VPN 클라이언트 PC는 그림 4의 VPN 접속 모델에서와같이 물리 NIC 앞에 가상 NIC를 설치한다는 사실에 근거한 것이다. 이를 위해 웹서버에 접속하는 고객들에게 원점 IP 확인용 스크립트 실행을 요청해야 한다. 중요한 점은 이로 인해 사용자에게 불편을 초래하거나 이들의 개인정보를 수집하면 안 된다. 그래서 특정 웹서버에 대해서만 그리고 일시적으로만 영향을 미치도록 네트워크 환경이 세밀하게 변경되어야 하고 확인 이후에는 원래대로 환원되도록 설계하였다.

확인 과정은 그림 5와 같다. VPN을 경유한 고객이 접속하면 웹서버에서 접속자의 IP는 VPN 서버로 인식된다. 이 고객이 원점 확인용 스크립트를 다운받아 실행하면 VPN을 사용 중인지 여부를 판단한다. 접속자 PC가 VPN을 사용 중이면, 가상 NIC의 IP(VPN Entry)와 물리 NIC IP(Original IP)를 웹서버로 전송한다. 그리고 실행한 스크립트를 복원한다.

OTNBBE_2021_v21n3_91_f0005.png 이미지

그림 5 원점 IP 탐지 과정

Fig. 5. Original IP Detection Process

따라서, PC에서 발생하는 모든 패킷은 접속자 PC의 라우팅 테이블에 라우팅 테이블에 의해 어떤 NIC로 보내져야 할지 결정되기 때문이다. VPN 터널이 동작하는 원리도 결국은 라우팅 테이블을 변경하므로 원점 IP 확인 방법도 라우팅 테이블에서 찾는다.

원점 IP 직접 연결을 일반접속 모드로 변경하기 위해서 가장 단순한 해결 방법은 라우팅 테이블에서 VPN이 설정한 모든 라인을 삭제하면 된다. 그러나 이런 방법은 접속자의 네트워크 환경에 상당한 변화를 주어 접속자의 활동에 많은 제한과 혼란을 초래한다. 접속자가 특정 웹사이트에 접속해서 이런 상황이 발생하면 해당 사이트에 불만을 갖게 됨은 물론 법적 소송이 이어질 수 있다. 따라서 최소한의 변화만을 주되 해커는 인식하지 못하게 하는 것이 가장 중요하다.

원점 IP 탐지 방법은 다음의 <알고리즘 1>과 같다. <알고리즘 1> 원점 IP 탐지 메커니즘

단계 1 : 웹서버 접속

해커가 VPN을 통해 웹서버에 접속; 해커 PC로 탐지용 스크립트 다운로드;

단계 2 : 원점 IP 식별

네트워크 어댑터 중 물리 NIC 찾음; 물리 NIC로부터 원점 IP 식별;

단계 3 : 원점 IP 전송

웹브라우저로 웹서버에 접속; 원점 IP를 웹서버로 전송;

단계 4 : 복구(자가삭제)

원점 IP 탐지용 스크립트를 삭제;

원점 IP를 원하는 곳은 웹서버일 뿐이다. 따라서 VPN 을 설치한 접속자 PC에서 물리 NIC의 원점 IP를 얻으면 된다. 물리 NIC의 위치는 라우팅 테이블에서 구할 수 있다. VPN 환경을 구축하면 표 2와 같이 기본 게이트웨이는 VPN Entry로 설정되고 목적지가 VPN Exit IP, 즉 VPN 서버이다.

표 2. VPN 접속 라우팅 테이블 구성

Table 2. VPN Connection Routing Table Configuration

OTNBBE_2021_v21n3_91_t0002.png 이미지

목적지가 웹서버인 패킷은 VPN 터널을 통해 전송됨을 의미하며 그림 6과 같다. 이 방법의 장점은 접속자의 인터넷 이용 중에 다른 어떠한 방해도 없이 단지 특정 웹서버에 접속할 때에만 원점 IP 확인용 스크립트가 잠시 실행되고 복원된다는 점이다. 그리고 이러한 정보수집에 대해서는 앞에서 기술한 바와 같이 접속자에게 사전동의를 구했을 경우에만 이루어지는 행위이므로 사생활 침해 소지가 없다.

OTNBBE_2021_v21n3_91_f0006.png 이미지

그림 6. 웹서버로 VPN 터널을 통해 원점 IP 전송

Fig. 6. Send original IP through VPN tunnel to web server

Ⅳ. 실험 및 검증

1. 테스트베드 구축

제안한 방법을 실제 인터넷 환경에서 그림 7과 같이 실험하였다. 접속자 PC는 한국 서울이며, 기본 상태에서 공인 IP는 61.77.251.165 이다. 접속자 PC의 운영체제는 윈도우10 이며, 웹브라우저는 크롬과 익스플로러를 사용하였다. 웹서버는 미국 캘리포니아주에 위치한 아마존 클라우드 EC2이며, 공인 IP는 38.134.89.148이다.⁽¹⁵⁾ 웹서버 운영체제는 리눅스이며 웹서버는 Apache2 이다.

OTNBBE_2021_v21n3_91_f0007.png 이미지

그림 7. 테스트베드 환경

Fig. 7. Test bed Environment

2. VPN 도구 설치

VPN 도구는 영국의 PCadvisor에서 추천하는 3개 제품(Cyber Ghost, Private Channel, Tunnel Bear)을선택하였다.⁽¹⁶⁾ 이들은 모두 단지 OpenVPN 방법만을 이용하고 있어 PPTP와 L2TP를 지원하는 Olga 제품을 추가하였다. 대표적으로 Cyber Ghost를 설치하기 전·후의 PC 네트워크 인터페이스 및 라우팅 설정은 그림 8과 같다. 인터페이스 목록에는 Cyber Ghost 전용 인터페이스가 추가되었고 IPv4 경로 테이블에도 10.201.35.242 (VPN Entry) 라우팅이 추가되었다.

OTNBBE_2021_v21n3_91_f0008.png 이미지

그림 8. PC에 VPN 설치 전후 라우팅 테이블

Fig. 8. Routing table before and after VPN installation on PC

예를 들어, VPN 각 제품을 설치했을 때 VPN Entry IP와 VPN Exit IP는 표 3과 같으며, 설치하는 시기에 따라 제품별 IP 주소는 변경될 수 있다.

표 3. VPN 도구별 터널링 방법 및 IP주소

Table 3. Tunneling method and IP by VPN tool

OTNBBE_2021_v21n3_91_t0003.png 이미지

대부분 VPN 도구들이 접속자의 주소가 VPN 서버의 주소로 변경된 과정 및 결과를 사용자에게 제공하고 있어 VPN이 정상적으로 동작되고 있음을 충분히 확인하면서 테스트할 수 있었다. 예를 들어, 그림 9는 Cyber Ghost를 사용한 경우에 접속자 주소가 한국 서울에서 미국 LA로 변경되는 과정을 지도에 표시한 것이다.

OTNBBE_2021_v21n3_91_f0009.png 이미지

그림 9. VPN 접속 주소 변경 과정을 지도로 표현

Fig. 9. Map the process of changing the VPN access address

3. 웹서버 접속

웹서버는 아마존 EC2이며, 리눅스 운영체제이다. Apache2 웹서버에 PHP로 웹페이지를 제작하였다. 접속자가 VPN을 이용하여 웹서버에 접속하면 원점 IP를 확인한다는 안내를 받는다. 예를 들어, 안내창의 내용은 “당신의 IP는 38.95.109.36 이다. 그러나 접속 원점을 정확히 확인하기 위하여 그림 10과 같이 아래 코드의 실행을 요청합니다.”으로 나타난다. 여기서 접속자의 IP가 38.95.109.36인 것은 Cyber Ghost를 통해 우회 접속했기 때문이다.

OTNBBE_2021_v21n3_91_f0010.png 이미지

그림 10. 원점 IP를 확인한다는 안내창

Fig. 10. Guidance window to confirm original IP

4. 원점 IP 탐지

원점 IP 탐지 프로그램은 3장에서 제안된 알고리즘에 따라서 VBS로 작성하였다. 이 프로그램은 윈도우 클라이언트에서 실행되어 접속 IP(External IP)와 원점 IP를 웹서버로 보내게 된다. 웹 서버는 접속자 IP로 나타나는 VPN 서버 IP와 원점 IP를 비교하여 접속자 PC의 VPN 사용 여부를 판단한다.

원점 IP 탐지는 원점 IP 확인, 웹 서버 접속 및 복구의 3단계로 구분되며 스크립트는 표 4와 같다. 실험 결과, 모든 VPN 도구에서 원점 IP를 정확히 탐지하였다. 또한, 다양한 VPN(OpenVPN, PPTP, L2TP)에 대해서도 동일하게 동작되는 것을 확인하였다.

표 4. 원점 IP 탐지를 위한 VBS

Table 4. VB Script for Detecting Original IP

OTNBBE_2021_v21n3_91_t0004.png 이미지

5. 원점 IP 활용

웹서버가 원점 IP를 확인한 경우, 이를 다양한 목적으로 활용할 수 있을 것이다. 예를 들어, IP 주소에 기반 한지리적 위치를 식별한 후에 그에 적합한 가격정책을 적용할 수 있다. 만약 웹서버를 운영하는 회사가 직접 접속만 허용한다면, 우회접속은 그림 11과 같이 다음과 같은 안내창을 제공하면서 차단할 수 있다.

OTNBBE_2021_v21n3_91_f0011.png 이미지

그림 11. 접속 허용정책 예

Fig. 11. Example of access permission policy

6. 다중 우회접속 환경에서 검증

본 논문에서 제안한 메커니즘을 보다 익명성이 강화된 환경에서 테스트하였다. 이를 위해 VPN과 프록시가 결합된 우회접속 상황을 설정하였다. 프록시를 통한 우회접속은 그림 7과 같이 기존 VPN 환경에 웹브라우저와프록시 IP 및 포트번호를 설정함으로써 추가할 수 있다. 무료 프록시는 인터넷에서 쉽게 구할 수 있다. proxynova.com에서 임의로 여러개의 익명성이 높은 그림 12와 같이 프록시를 선택하였다.⁽¹⁷

OTNBBE_2021_v21n3_91_f0012.png 이미지

그림 12 무료 프록시 목록

Fig. 12. Free proxy list

클라이언트의 첫 번째 접속에서는 웹서버가 프록시 서버(예:192.99.56.22)를 접속자로 인식하였다. 그러나 제안된 알고리즘을 실행한 이후에는 접속 원점을 접속자의 공인 IP인 61.77.251.65로 정확히 식별하였다. 이는 프록시 서버를 VPN 앞단에 연결해도 원점 IP 탐지에 영향을 미치지 않음을 의미한다. 그 이유는 탐지 스크립트는 웹브라우저가 아니므로 웹브라우저의 프록시 설정에 영향을 받지 않기 때문이다. 따라서, VPN과 프록시를 결합한 다중 우회접속 환경에서도 원점 IP를 정확히 확인할 수 있다.

OTNBBE_2021_v21n3_91_f0013.png 이미지

그림 13. 다중 우회접속 상황에서 원점 IP 탐지

Fig. 13. Original IP detection in multiple circumvent connection situations

다중 우회접속 상황에서의 실험에 사용한 프록시는 Hidester.com이다. 그림 14는 이를 이용한 프록시를사용하여 웹서버에 접속했을 때 원점 IP를 확인하여 접속을 차단하는 화면이다.

OTNBBE_2021_v21n3_91_f0014.png 이미지

그림 14. 웹서버에 다중우회 접속한 화면

Fig. 14. multiple circumvent connection screen to web server

Ⅴ. 결론 및 향후 과제

본 논문에서는 VPN 도구를 이용한 우회 접속자의 원점 IP를 탐지하는 방법을 제안하였다. 제안 메커니즘은 VPN 도구를 설치할 때 수반되는 PC의 라우팅 테이블을 변경하는 과정을 이용하여 원점 IP를 식별하는 모델이다. 원점 IP 탐지 방법은 VPN의 연결 메커니즘을 분석하여 설계한 모델에서 실험을 통해 검증하였다. 또한, VPN과 프록시가 결합된 다중 우회 접속 상황에서 실험하여 원점 IP를 정확히 식별할 수 있었다.

본 논문에서 제안된 실험 모델이 사이버 위협에 대응하는 조직이나 온라인 게임을 운영하는 기업 등 상업적 활용에도 큰 효과를 보일 것으로 기대한다.

향후 연구로서 먼저, 웹서버에 이러한 확인 및 차단 방법이 추가되면 정상 사용자들은 많은 불편을 느낄 것이다. 그래서 우회접속으로 의심되는 사용자를 추출하는 방법이 먼저 적용되어야 한다. 둘째, 우리가 제안한 탐지과정을 분석하여 악의적으로 원점 확인 패킷을 조작할 경우에 대비한 보호 대책이 필요하다. 마지막으로 접속자 PC에서 원점 IP 확인용 스크립트를 실행하여 확인하는 방법이므로 이에 대한 충분한 법적 검토가 요구된다.

참고문헌

  1. M.Zain ul Abideen, S. Saleem, and M. Ejaz, "VPN Traffic Detection in SSL-Protected Channel", Security Communication Networks, pp. 1-17, Oct 2019. DOI:https://doi.org/10.1155/2019/7924690
  2. R. Angelo, "Secure Protocols and Virtual Private Networks: An Evaluation", Issues in Information Systems vol. 20, Issue 3. pp. 37-46, 2019. DOI:https://doi.org/10.48009/3_iis_2019_37-46
  3. Yogesh Kumar Sharma, Chamandeep Kaur, "The Vital Role of Virtual Private Network(VPN) in Making Secure Connection Over Internet World", International Journal of Recent Technology and Engineering(IJRTE) vol. 8 Issue-6, pp.2336-2339, March 2020. DOI:10.35940/ijrte.F8335.038620
  4. Zhang Zhipeng, Sonali Chandel, Sun Jingyao, Yan Shilin, Yu Yunnan, Zang Jingji, "VPN: aBoon or Trap?:A Comparative Study of MLPS, IPSec and SSL Virtual Private Networks", Second International Conference on Computing Methodologies and Communication(ICCMC), pp. 510-515, IEEE, Feb. 2018, Erode, India DOI:10.1109/ICCMC.2018.8487653
  5. John Brozycki, "Detecting and Preventing Anonymous Proxy Usage", SANS Institute, 2008. Link:https://www.sans.org/reading-room/whitepapers/detection/detecting-preventing-anonymous-proxy-usage-32943
  6. vpnmentor.com/blog/proxies-vs-vpn-understanding-the-difference/
  7. Wikipedia.org/wiki/virtual_private_network
  8. Chul-won Lee, Hyu-kang Kim, Jong-in Lim, "A Study on Analysis and Circumvent Connection to the Private Network of Corporation", Journal of The Korea Institute of Information Security and Cryptology(JKIISC) vol. 20(6), pp.183-194, 2010. Link:https://www.koreascience.or.kr/article/JAKO201015037858312.page https://doi.org/10.13089/JKIISC.2010.20.6.183
  9. Dongnam Seo, Jiyoung Woo, Kyung-moon Woo, chong-kwon Kim, Huy Kang Kim, "Decting gold-farmers' group in MMORPG by analyzing connection pattern", Journal of The Korea Institute of Information Security and Cryptology(JKIISC) vol. 2(3), pp.585-600, Jun 2012. Link:https://www.koreascience.or.kr/article/JAKO201225038989496.page
  10. Jun-ki Lee, Kwang-Sun Park, "Countermeasure against CyberCrime using VPN", Journal of Korea Digital Forensics Society vol. 7(1), pp.63-76, Dec 2013.
  11. Vijayalakshmi Murugesan, Mercy Shalinie, and Nithya Neethimani, "A Brief Survey of IP Traceback Methodologies," Acta Poly-technica Hungarica, Vol. 11, No. 9, 2014. Link:http://acta.uni-obuda.hu/Murugesan_Shalinie_N eethimani_55.pdf
  12. Byungho Park, Dukyun Kim and Dae Cheol Shin, "An IP Estimation Method by Traceback with Use of a Proxy Server," The 1st International Joint Conference on Convergence, pp.258-259, 2015.
  13. Byungho Park and Dukyun Kim, "Original IP Detection Method in case of TOR or Proxy Server and Its Prototype," Information, Vol. 18, No. 7. pp.3181-3186, 2015.
  14. Dukyun Kim, Byungho Park and Sungdeok Cha, "VPN Detection Method using Attacker's Route Information," The 5th International Conference on Convergence Technology, pp.948-949, 2015.
  15. http://aws.amazon.com/ec2/
  16. http://www.pcadvisor.co.uk/test-centre/internet/best-free-vpn-services-of-2015-in-uk-3497781/
  17. http://www.proxynova.com/proxy-server-list/
  18. I. Jeon, S. Kang, H. Yang, "Development of Security Quality Evaluate Basis and Measurement of Intrusion Prevention System," Journal of the Korea Academia-Industrial cooperation Society(JKAIS), Vol. 11, No. 1, pp. 81-86, 2010. DOI:https://doi.org/10.5762/KAIS.2010.11.4.1449