KR100820306B1 - 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법 - Google Patents

데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법 Download PDF

Info

Publication number
KR100820306B1
KR100820306B1 KR1020070071235A KR20070071235A KR100820306B1 KR 100820306 B1 KR100820306 B1 KR 100820306B1 KR 1020070071235 A KR1020070071235 A KR 1020070071235A KR 20070071235 A KR20070071235 A KR 20070071235A KR 100820306 B1 KR100820306 B1 KR 100820306B1
Authority
KR
South Korea
Prior art keywords
data
masking
module
dbms
user
Prior art date
Application number
KR1020070071235A
Other languages
English (en)
Inventor
박천오
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020070071235A priority Critical patent/KR100820306B1/ko
Application granted granted Critical
Publication of KR100820306B1 publication Critical patent/KR100820306B1/ko
Priority to JP2010516913A priority patent/JP2010533915A/ja
Priority to PCT/KR2008/003449 priority patent/WO2009011496A2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 데이터를 출력하기 전 보안대상이 되는 데이터를 마스킹해서 데이터의 무단유출을 방지 및 보호할 수 있도록 하는 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터 보안방법에 관한 것으로, 데이터베이스 매니지먼트 시스템(이하 DBMS); 및 사용자 단말기의 쿼리를 수신하여 상기 DBMS로 전송하는 쿼리처리모듈과, DBMS의 검색데이터를 수신하여 확인하는 검색데이터 확인모듈과, 보안대상이 되는 데이터에 대한 마스킹정책을 저장하는 기초데이터 관리모듈과, 상기 검색데이터 확인모듈에서 확인된 검색데이터와 기초데이터 관리모듈의 마스킹정책을 비교하여 해당 데이터를 마스킹하는 마스킹모듈을 포함하고, 마스킹된 데이터를 상기 사용자 단말기로 전송하는 마스킹 서버를 포함하는 것이다.

Description

데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터 보안방법{Security system using the data masking and Data security method thereof}
본 발명은 데이터를 출력하기 전 보안대상이 되는 데이터를 마스킹해서 데이터의 무단유출을 방지 및 보호할 수 있도록 하는 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터 보안방법에 관한 것이다.
데이터베이스(이하 DB)에 저장된 수많은 데이터에는 개인정보 또는 기밀이 요구되는 보안정보를 포함한다. 따라서, 해당 데이터로의 접근을 시도하는 사용자의 자격(보안등급)에 따라 상기 데이터의 제공 여부가 결정되어야 할 것이다.
도 1은 데이터 보안을 위한 종래 보안시스템을 도시한 구성도인 바, 이를 참조하여 설명한다.
칼럼 및 행 정보를 포함한 각종 데이터를 저장하고 있는 DB(20)는 데이터베이스 관리시스템(database management system; DBMS)에 의해 관리된다.
DBMS(10)는 데이터베이스 관리자라고도 불리는데, 다수의 사용자가 DB에 데이터를 기록하거나 접근할 수 있게 해주는 프로그램으로서, 통상적으로 약어인 DBMS라는 용어를 더 많이 사용한다.
DBMS(10)는 DB(20)의 정보를 검색하거나, DB(20)에 정보를 저장하기 편리하도록 효율적인 환경을 제공한다. 또한, DBMS(10)는 응용소프트웨어 별로 흩어져 있는 자료들을 통합하고 통합된 자료들을 각 응용소프트웨어가 공유하여 정보의 체계적인 활용을 가능하게 한다.
이를 위해, DBMS(10)는 축적된 자료구조를 정의하고, 자료구조에 따른 자료를 축적하며, 데이터베이스 언어에 따라 자료를 검색 및 갱신하는 한편, 복수 사용자로부터 자료처리의 동시실행제어, 갱신 중에 이상이 발생했을 때 갱신 이전의 상태로 복귀 및 정보의 기밀보호(security) 등을 수행한다.
일반적 형태의 DBMS(10)는 관계형 데이터베이스 관리시스템(RDBMS)인데, RDBMS의 표준화된 사용자 및 프로그램 인터페이스를 SQL(Structured Query Language)이라고 한다. 이러한 DBMS(10)는 오라클(Oracle), 사이베이스(Sybase), DB2 등이 널리 쓰인다.
이상 설명한 임무를 수행하는 종래 DBMS(10)는 DB(20)의 데이터를 보호하기 위해 뷰 테이블 생성모듈(14)을 더 포함할 수 있다.
사용자 단말기(100)로부터 전송된 쿼리는 DBMS(10)의 쿼리분석모듈(11)에서 읽혀 이해되고, 데이터 검색모듈(12)은 이해된 쿼리의 내용에 따라 DB(20)를 검색한다. 검색이 완료되어 최종 검색데이터인 칼럼, 행 또는 테이블이 수집되면, 검색데이터 확인모듈(13)은 수집된 최종 검색데이터를 분석 및 확인하면서 뷰 테이블 생성모듈(14)에 입력된 테이블에 맞게 검색데이터를 정렬한다.
그런데, 상기 최종 검색데이터에는 보안의 대상이 되는 칼럼, 행 또는 테이 블이 포함될 수 있다. 해당 칼럼, 행 또는 테이블은 사용자 단말기(100)로 전송하여 노출시킬 수는 없으므로, 상기 뷰 테이블 생성모듈(14)은 임의 뷰 테이블을 생성하여 그 형식에 맞게 검색데이터를 삽입함으로서, 보안의 대상이 되는 칼럼, 행 또는 테이블이 DBMS(10)에서 필터링되도록 한다.
하지만, 상술한 종래 데이터 보안방법은 수많은 테이블과의 조인(join)에 의한 뷰 테이블의 생성이 지나치게 빈번해지고 또한 반복적으로 이루어지므로, DBMS(10)의 작동성능이 저하될 수밖에 없고, 상기 뷰 테이블 생성모듈(14)에 의한 일률적인 뷰 테이블의 생성으로 데이터의 필터링이 단순하게 이루어지므로, 중요한 정보로의 세부적인 접근을 위한 제어 및 모니터링을 원활하게 처리할 수 없는 문제가 있었다.
도 2는 데이터 보안을 위한 종래 보안시스템의 다른 실시모습을 도시한 구성도인 바, 이를 참조하여 설명한다.
데이터 보안을 위한 또 다른 방법으로, 데이터 마스킹이 있다. 데이터 마스킹은 데이터의 출력형태(글자, 모양 등)를 다른 형태로 변환하여서, 사용자가 해당 데이터의 내용을 파악하지 못하도록 하는 것이다.
종래 보안시스템에서는, DB(20)에서 검색된 최종 검색데이터를 쿼리를 전송한 해당 사용자에게 모두 전송하되, 사용자 단말기(100')에 설치된 마스킹 전용 프로그램이 최종 검색데이터에서 보안의 대상이 되는 데이터를 다른 형태로 변환하여 사용자 단말기(100')에 출력시키므로, 사용자는 비 보안대상뿐만 아니라 보안대상을 포함하는 완전한 테이블을 확인할 수 있으면서도 보안대상에 대한 데이터의 구 체적인 내용은 상기 변환에 의해 사용자가 확인할 수 없으므로, 보안대상의 보호는 물론 테이블에 대한 세부적인 접근이 가능해진다.
상기 마스킹 전용 프로그램은 마스킹 정책 관리모듈(110)과 마스킹모듈(120)과 검색데이터 확인모듈(130)을 포함한다.
사용자는 DBMS(10')에 접속하여 쿼리를 요청하고, DBMS(10')의 쿼리분석모듈(11)은 상기 쿼리를 받아 분석하여 데이터 검색모듈(12)을 통해 요청된 데이터를 DB(20)에서 검색한다.
최종 검색데이터는 DBMS(10')로부터 사용자 단말기(100')로 전송되고, 사용자 단말기(100')의 검색데이터 확인모듈(130)은 상기 검색데이터를 확인하여서 마스킹 정책 관리모듈(110)에 저장된 기준에 부합하는 데이터의 존재 여부를 파악한다. 마스킹 정책 관리모듈(110)의 기준에 부합하는 데이터의 존재가 확인되면, 해당 데이터는 보안대상이므로 마스킹모듈(120)은 해당 데이터를 마스킹하고, 상기 데이터를 포함하는 테이블의 원형을 사용자 단말기(100')에 출력한다.
하지만, 상술한 종래 데이터 보안방법은, 사용자 단말기(100')에 마스킹 전용 프로그램을 설치해야 한다. 즉, 마스킹 전용 프로그램이 설치되지 않은 사용자 단말기는 해당 DBMS(10')에 접근할 수 없거나 데이터를 검색할 수 없으므로, DB(20)의 데이터를 반드시 확인해야 하는 사용자라면 반드시 해당 마스킹 전용 프로그램을 설치해야 하는 것이다.
또한, 마스킹 전용 프로그램은 DBMS(10')에 따라 호환하는 것이 다르므로, 사용자가 다양한 DB(20)들로 접속해야 하는 경우에는 각 DB(20) 별 마스킹 전용 프 로그램을 설치해야한다. 즉, 종래 데이터 보안방법은 마스킹 전용 프로그램의 설치에 따른 시간적ㆍ비용적 낭비가 심각하고, 사용자 단말기(100')의 메모리를 불필요하게 잠식하므로, 효율성과 효용성 면에 있어서 많은 문제를 안고 있었다.
이외에도, 마스킹 전용 프로그램이 설치되지 않은 사용자 단말기(100')가 해당 DBMS(10')에 접근할 수 없거나 데이터를 검색할 수 없도록 하기 위하여 마스킹 전용 프로그램의 설치 여부에 따라 DBMS와는 별도로 접근을 제어할 보안서버가 추가로 필요하여 사용자단과 보안서버단의 이중관리가 필요한 비효율성이 있었다.
이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로, 데이터 마스킹을 통한 데이터의 보안을 위해서 사용자 단말기에 마스킹 전용 프로그램을 일일이 설치해야 하는 번거로움을 없애고, DB를 제어 및 관리하는 DBMS의 종류에 구분없이 적용가능하며, 사용자의 요청에 의한 데이터 노출 이력 등을 기록하여 데이터 유출입에 대한 보안 관리를 보다 엄격히 할 수 있도록 하는 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터 보안방법의 제공을 기술적 과제로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명은,
데이터베이스 매니지먼트 시스템(이하 DBMS); 및
사용자 단말기의 쿼리를 수신하여 상기 DBMS로 전송하는 쿼리처리모듈과, DBMS의 검색데이터를 수신하여 확인하는 검색데이터 확인모듈과, 보안대상이 되는 데이터에 대한 마스킹정책을 저장하는 기초데이터 관리모듈과, 상기 검색데이터 확인모듈에서 확인된 검색데이터와 기초데이터 관리모듈의 마스킹정책을 비교하여 해당 데이터를 마스킹하는 마스킹모듈을 포함하고, 마스킹된 데이터를 상기 사용자 단말기로 전송하는 마스킹 서버;
를 포함하는 데이터 마스킹을 이용한 보안시스템이다.
이상 상기와 같은 본 발명에 따르면, 데이터 마스킹 방식으로 데이터 보안이 이루어지는 DB를 검색하기 위해 사용자가 마스킹 전용 프로그램을 사용자 단말기에 일일이 저장해야 하는 번거로움을 없애고, DBMS의 구분없이 범용적으로 적용 가능하며, 마스킹 서버를 통해 데이터의 입출력을 상세히 관리할 수 있으므로, 데이터 보안 및 검색효율을 향상시킬 수 있는 효과가 있다.
이하 본 발명을 첨부된 예시도면에 의거하여 상세히 설명한다.
도 3은 본 발명에 따른 보안시스템의 일실시모습을 도시한 구성도이고, 도 4는 본 발명에 따른 데이터 보안방법의 일실시모습을 순차 도시한 플로우차트인 바, 이를 참조하여 설명한다.
본 발명에 따른 보안시스템은, 사용자 단말기(100, 101, 102)와 DBMS(30, 30', 30")의 통신을 매개하는 마스킹 서버(200)를 포함한다. 즉, 사용자가 특정 데이터를 검색하여 이를 열람하기 위해서는 DB(20, 20', 20")를 관리하는 DBMS(30, 30', 30")가 아닌 상기 마스킹 서버(200)에 우선 접속해야 하고, DBMS(30, 30', 30")의 검색데이터는 사용자 단말기(100, 101, 102)가 아닌 마스킹 서버(200)로 우선 전송되어야 한다.
상기 마스킹 서버(200)는, 사용자 단말기(100, 101, 102)의 쿼리를 확인하여 해당 DBMS(30, 30', 30")로 전송하는 쿼리처리모듈(220)과, DBMS(30, 30', 30")가 전송한 검색데이터를 확인하는 검색데이터 확인모듈(260)과, 테이블의 형식ㆍ테이블을 구성하는 칼럼 및 행 지정 정보ㆍ정규식 표현 정보ㆍ데이터 마스킹 정책 등에 대한 정보를 갖는 기초데이터 관리모듈(230)과, 기초데이터 관리모듈의 데이터 마 스킹 정책과 검색데이터를 비교하는 마스킹 정책 관리모듈(240)과, 마스킹 정책에 따라 보안대상으로 분류된 데이터를 마스킹하는 마스킹모듈(250)을 포함하고, 사용자를 구분하는 사용자 확인모듈(210)과, DBMS(30, 30', 30")를 구분하는 DBMS확인모듈(270)을 더 포함할 수 있다.
이상 설명한 본 발명에 따른 보안시스템의 각 구성에 대한 자세한 설명을 데이터 보안방법과 더불어 한다.
S10 ; 사용자 쿼리요청단계
사용자는 별도의 마스킹 전용 프로그램을 설치하지 않은 사용자 단말기(100, 101, 102)를 이용해 데이터를 검색할 수 있고, 이를 위해 해당 데이터를 저장하고 있는 DB(20, 20', 20")의 접속을 시도한다.
이때, 본 발명에 따른 보안시스템에서 사용자는 상기 DB(20, 20', 20") 또는 DBMS(30, 30', 30")에 직접 접속하지 않고 마스킹 서버(200)를 경유한다.
즉, 사용자가 열람하고자 하는 데이터를 검색하기 위한 쿼리는 마스킹 서버(200)로 전송되는 것이다.
일반적으로, 검색을 위한 쿼리는 'select' 또는 'union select' 등의 언어를 포함하여서, DBMS(30, 30', 30")의 쿼리분석모듈(31)이 데이터 검색모듈(32)로 하여금 DB(20, 20', 20")를 검색하도록 한다.
S40 ; DBMS로의 쿼리전송단계
사용자 단말기(100, 101, 102)로부터 전송된 쿼리는 쿼리처리모듈(220)을 거쳐 DBMS(30, 30', 30")로 전송된다.
S50 ; 쿼리에 따른 데이터검색단계
쿼리분석모듈(31)은 사용자 단말기(100, 101, 102)로부터 전송된 쿼리의 내용을 확인하고, 데이터 검색모듈(32)을 제어하여 DB(20, 20', 20")에서 사용자가 요구하는 데이터를 검색하도록 한다.
S60 ; 마스킹 서버의 검색데이터 확인단계
DBMS(30, 30', 30")로부터 검색데이터가 전송되면, 검색데이터 확인모듈(260)은 상기 검색데이터를 수신하여서 그 내용을 분석한다.
본 발명에 따른 검색데이터 확인모듈(260)은 다음과 같은 방식으로 검색데이터에서 테이블과 칼럼 및 행을 구분한다.
상기 DBMS(30, 30', 30")의 응답 값에는 항상 칼럼 명을 동반하여 실제 내용을 포함한 응답 값이 전송된다. 즉, DEPT PARTNO EMPNO NAME 등으로 칼럼 명이 먼저 전송이 되고, 각 컬럼에 해당되는 데이터가 전송되는 것이다. 한편, 마스킹 서버(200)의 검색데이터 확인모듈(260)은 상기 칼럼의 헤더 정보를 메모리에 저장한다.
또한, 상기 칼럼의 헤더 정보는 보안대상(마스킹의 대상)이 되는 데이터의 각 행 및 칼럼을 구분하는 구분자를 포함할 수 있다.
S70 ; 마스킹정책 적용단계
상기 마스킹정책 관리모듈(240)은 검색데이터 확인모듈(260)에 의해 분석된 검색데이터를 기초데이터 관리모듈(230)의 마스킹정책과 비교하여서, 검색데이터에 포함된 테이블 또는 칼럼, 행의 보안대상 여부를 확인한다.
마스킹정책에 따른 검색데이터의 비 보안대상 또는 보안대상 확인방법은, 정규식 표현에 의한 방법과, 테이블 및 칼럼, 행 지정에 의한 방법 등이 있다.
정규식 표현에 의한 방법은, 마스킹정책의 내용으로 정규식 표현을 설정하여 서버 응답 문자열 값 중 해당 정규식 표현과 일치하는 경우를 확인하는 것이고, 테이블 및 칼럼, 행 지정에 의한 방법은, 보안대상인 테이블 및 칼럼, 행을 직접 지정하고 이와 동일한 검색데이터의 존재를 확인하는 것이다.
따라서, 상기 마스킹정책 관리모듈(240)은 기초데이터 관리모듈(230)의 마스킹정책에 따라 검색데이터를 확인하고, 마스킹 처리를 해야 할 데이터를 구분한다.
또한, 상기 구분자를 통해 마스킹 처리할 데이터를 구분할 수도 있다.
S80 ; 데이터 마스킹 단계
상기 마스킹모듈(250)은 마스킹정책 적용단계(S70)에서 결정된 데이터를 마스킹해서, 사용자 단말기(100, 101, 102)로 전송할 최종데이터를 완성한다.
S90 ; 최종데이터 전송단계
상기 마스킹서버(200)는 최종데이터를 사용자 단말기(100, 101, 102)로 전송하여서, 사용자가 요구한 검색데이터를 열람할 수 있도록 한다. 물론, 보안대상인 데이터의 경우 마스킹처리되므로 사용자는 마스킹처리된 데이터의 내용을 확인할 수 없고, 결국 해당 데이터는 보안을 유지할 수 있게 된다.
계속해서, 상기 사용자 확인모듈(210)과 DBMS 확인모듈(270)은 모두 다수의 사용자 단말기와 다수의 DBMS(30, 30', 30")를 구분하기 위한 것으로, 이에 대한 설명은 도 6과 도 7을 통해 상세히 설명한다.
도 5는 본 발명에 따른 데이터 보안방법에 의한 검색데이터 출력값의 일예를 도시한 표인 바, 이를 참조하여 설명한다.
도 3 및 도 4를 참조하여 설명한 본 발명에 따른 보안시스템 및 보안방법은 다음과 같은 실시모습으로 실행된다.
사용자의 쿼리요청단계(S10)에서, 사용자는 회사 내에 특정지역에 살고 있는 직원에 대한 정보를 알기 위해 특정지역에 거주하는 직원에 대한 데이터 검색을 요청하는 쿼리를 마스킹서버(200)로 전송한다.
마스킹서버(200)는 상기 쿼리를 DBMS(30, 30', 30")로 전송(S40)하여서 DB(20, 20', 20")에서 필요한 데이터를 검색한다(S50).
검색데이터는 특정지역에 위치한 직원의 담당부서, 직위, 이름, 주민번호 및 연봉에 대한 정보가 될 수 있을 것이다.
상기 정보를 포함하는 검색데이터는 검색데이터 확인모듈(260)에서 분석되어서, 각각의 정보(담당부서, 직위, 이름, 주민번호, 연봉)가 확인된다(S60).
계속해서, 마스킹정책 관리모듈(240)은 상기 정보들을 기초데이터 관리모듈(230)의 마스킹정책과 비교하여서, 대상이 되는 데이터를 확인한다(S70).
마스킹정책은 주민번호와 연봉에 대한 정보를 보안하여 사용자가 이를 확인할 수 없도록 되므로, 주민번호와 연봉에 대한 정보는 보안대상으로 결정된다. 이때, 상기 주민번호 전체를 보안대상으로 할 수도 있고, 그 일부만을 보안대상으로 할 수도 있는데, 본 발명에 따른 실시예에서는 주민번호의 일부만을 보안대상으로 하였다.
보안대상으로 결정된 정보는 마스킹모듈(250)에 의해 마스킹 된 후, 사용자 단말기로 전송된다(S80, S90).
도 6은 본 발명에 따른 보안시스템의 다른 실시모습을 도시한 구성도이고, 도 7은 본 발명에 따른 데이터 보안방법의 다른 실시모습을 순차 도시한 플로우차트인 바, 이를 참조하여 설명한다.
본 발명에 따른 보안시스템의 마스킹 서버(200')는 다수의 사용자 단말기와 다수의 DBMS(30, 30', 30")를 매개하면서, 사용자가 요구하는 데이터를 검색하고 이를 제공하도록 할 수 있다.
이를 위해 마스킹 서버(200')는 사용자 확인모듈(210)을 구비하여서, 쿼리를 요청한 사용자 단말기를 확인하고, 해당 사용자에게 설정된 보안등급을 파악하여 이에 상응하는 마스킹정책을 적용하도록 할 수 있다.
또한, 다수의 DBMS(30, 30', 30")를 구분하기 위해 DBMS확인모듈(270)을 더 포함할 수 있다.
상술한 바와 같이, DBMS(30, 30', 30")는 오라클(Oracle), 사이베이스(Sybase), DB2 등 그 종류가 다양하므로, DBMS확인모듈(270)은 DBMS(30, 30', 30")의 종류에 상관없이 마스킹 서버(200')가 통신하면서 상호 데이터교환이 가능하도록, 해당 DBMS(30, 30', 30")에 호환하는 응용프로그램을 갖춘다.
한편, 본 발명에 따른 마스킹 서버(200')는 로그모듈(280)을 더 포함할 수 있다.
마스킹 서버(200')는 마스킹정책을 갱신하거나 또는 변경하기 위해 관리서버(300)와 통신한다. 또한, 관리서버(300)는 마스킹 서버(200')를 통한 데이터의 출입을 확인하고, 데이터 검색을 진행한 사용자 이력 및 데이터의 내용 등을 지속적으로 확인하여 마스킹정책의 갱신 또는 변경에 참고할 수 있는 정보를 기록한다.
이를 위해 상기 로그모듈(280)은 검색된 데이터와 데이터 검색을 진행한 사용자 이력 등을 실시간으로 기록 저장하고, 관리서버(300)는 로그모듈(280)에서 상기 정보를 읽어 감사자료로서 활용할 수 있다.
이를 위해 본 발명에 따른 보안방법은 사용자 확인모듈(210)에서 진행되는 사용자확인단계(S20)와, DBMS확인모듈(270)에서 진행되는 DBMS 확인단계(S30)와, 로그모듈(280)에서 진행되는 로그저장단계(S100)를 더 포함한다.
도 1은 데이터 보안을 위한 종래 보안시스템을 도시한 구성도이고,
도 2는 데이터 보안을 위한 종래 보안시스템의 다른 실시모습을 도시한 구성도이고,
도 3은 본 발명에 따른 보안시스템의 일실시모습을 도시한 구성도이고,
도 4는 본 발명에 따른 데이터 보안방법의 일실시모습을 순차 도시한 플로우차트이고,
도 5는 본 발명에 따른 데이터 보안방법에 의한 검색데이터 출력값의 일예를 도시한 표이고,
도 6은 본 발명에 따른 보안시스템의 다른 실시모습을 도시한 구성도이고,
도 7은 본 발명에 따른 데이터 보안방법의 다른 실시모습을 순차 도시한 플로우차트이다.

Claims (6)

  1. 데이터베이스 매니지먼트 시스템(이하 DBMS); 및
    사용자 단말기의 쿼리를 수신하여 상기 DBMS로 전송하는 쿼리처리모듈과, DBMS의 검색데이터를 수신하여 확인하는 검색데이터 확인모듈과, 보안대상이 되는 데이터에 대한 마스킹정책을 저장하는 기초데이터 관리모듈과, 상기 검색데이터 확인모듈에서 확인된 검색데이터와 기초데이터 관리모듈의 마스킹정책을 비교하여 해당 데이터를 마스킹하는 마스킹모듈과, 상기 사용자 단말기를 통해 접속한 사용자의 정보 및 보안등급을 확인하는 사용자 확인모듈과, DBMS 별로 호환하는 응용프로그램들이 설치되어 DBMS 종류의 구분없이 통신가능하도록 하는 DBMS확인모듈을 포함하고, 마스킹된 데이터를 상기 사용자 단말기로 전송하는 마스킹 서버;
    를 포함하는 것을 특징으로 하는 데이터 마스킹을 이용한 보안시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 사용자 단말기와 DBMS에 출입하는 데이터와 해당 사용자의 이력에 대한 정보를 기록 저장하는 로그모듈을 더 포함하는 것을 특징으로 하는 데이터 마스킹을 이용한 보안시스템.
  4. 사용자 단말기; DBMS; 및 사용자 단말기의 쿼리를 수신하여 상기 DBMS로 전송하는 쿼리처리모듈과, DBMS의 검색데이터를 수신하여 확인하는 검색데이터 확인모듈과, 보안대상이 되는 데이터에 대한 마스킹정책을 저장하는 기초데이터 관리모듈과, 상기 검색데이터 확인모듈에서 확인된 검색데이터와 기초데이터 관리모듈의 마스킹정책을 비교하여 해당 데이터를 마스킹하는 마스킹모듈을 포함하고, 마스킹된 데이터를 상기 사용자 단말기로 전송하는 마스킹 서버로; 이루어진 보안시스템에서, 사용자가 사용자 단말기를 통해 마스킹 서버로 데이터 검색을 위한 쿼리를 요청하는 쿼리요청단계;
    상기 쿼리처리모듈은 수신한 쿼리를 상기 DBMS로 전송하는 쿼리전송단계;
    상기 DBMS는 쿼리에 상응하는 데이터를 DB에서 검색하여 검색데이터를 완성하고, 상기 마스킹 서버로 전송하는 데이터검색단계;
    상기 검색데이터 확인모듈은 검색데이터의 구성 데이터를 분류하여 확인하는 검색데이터 확인단계;
    상기 마스킹 모듈은 상기 검색데이터 확인단계에서 확인된 검색데이터를 보안대상이 되는 데이터에 대한 기초데이터 관리모듈의 마스킹정책과 비교하여서, 상기 검색데이터로부터 보안대상이 되는 데이터를 확인하되, 상기 마스킹정책은 정규식 표현을 설정하여 서버 응답 문자열 값 중 해당 정규식 표현과 일치하는 경우에 문자열을 마스킹 처리하는 방식과, 관리자에 의해 지정된 테이블 및 칼럼에 대해 마스킹 처리하는 방식 중 선택된 어느 하나 이상의 방식으로 설정 및 처리되는 마스킹정책 적용단계;
    상기 마스킹 모듈은 보안대상으로 확인된 데이터를 마스킹하는 데이터마스킹단계; 및
    상기 마스킹 서버는 마스킹된 최종데이터를 사용자 단말기로 전송하는 전송단계;
    를 포함하는 것을 특징으로 하는 데이터 마스킹을 이용한 데이터 보안방법.
  5. 제 4 항에 있어서,
    상기 마스킹 서버는 상기 사용자 단말기로 전송된 데이터와 사용자 이력에 대한 정보를 기록하는 로그저장단계를 더 포함하는 것을 특징으로 하는 데이터 마스킹을 이용한 데이터 보안방법.
  6. 삭제
KR1020070071235A 2007-07-16 2007-07-16 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법 KR100820306B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020070071235A KR100820306B1 (ko) 2007-07-16 2007-07-16 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법
JP2010516913A JP2010533915A (ja) 2007-07-16 2008-06-18 データマスキングを用いた保安システムおよびそのデータ保安方法
PCT/KR2008/003449 WO2009011496A2 (en) 2007-07-16 2008-06-18 Security system using the data masking and data security method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070071235A KR100820306B1 (ko) 2007-07-16 2007-07-16 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법

Publications (1)

Publication Number Publication Date
KR100820306B1 true KR100820306B1 (ko) 2008-04-08

Family

ID=39534119

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070071235A KR100820306B1 (ko) 2007-07-16 2007-07-16 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법

Country Status (3)

Country Link
JP (1) JP2010533915A (ko)
KR (1) KR100820306B1 (ko)
WO (1) WO2009011496A2 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101032134B1 (ko) * 2009-02-27 2011-05-02 이니텍(주) 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법
KR101039698B1 (ko) 2009-06-12 2011-06-08 (주)소만사 애플리케이션을 경유한 db접근을 보호하기 위한 데이터베이스 보안 시스템, 서버 및 방법
KR101069367B1 (ko) * 2011-04-01 2011-10-04 주식회사 피앤피시큐어 질의어 변경을 통한 중요정보 보안 시스템 및 방법
KR101177310B1 (ko) * 2011-12-30 2012-08-30 주식회사 한글과컴퓨터 전자 문서 보안 전송 중계 장치 및 방법
KR101400214B1 (ko) * 2013-01-28 2014-05-28 주식회사 알티베이스 Hybrid C 인터페이스를 지원하는 장치
KR101980843B1 (ko) * 2018-07-05 2019-05-21 주식회사 피앤피시큐어 프록시를 경유한 접속 세션정보 확인시스템과 확인방법
KR102001070B1 (ko) * 2019-01-03 2019-07-17 최신철 보안성이 강화된 회계기장 서비스 방법
US20200082010A1 (en) * 2018-09-06 2020-03-12 International Business Machines Corporation Redirecting query to view masked data via federation table
KR102446674B1 (ko) * 2021-12-09 2022-09-26 주식회사 피앤피시큐어 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5707250B2 (ja) * 2011-06-23 2015-04-22 株式会社日立システムズ データベースアクセス管理システム、方法、及びプログラム
CN106549962B (zh) * 2016-11-03 2020-01-10 中冶华天南京工程技术有限公司 一种通用化的智能管控平台通信协议的实现方法
US11921868B2 (en) 2021-10-04 2024-03-05 Bank Of America Corporation Data access control for user devices using a blockchain

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000293421A (ja) 1998-10-02 2000-10-20 Ncr Internatl Inc プライバシー保護機能を向上させたデータ管理装置及び方法
JP2002175217A (ja) 2000-12-07 2002-06-21 Toppan Printing Co Ltd データベースシステム及びデータベースのアクセス制御方法並びにデータベースのアクセス制御プログラムを記録した記録媒体
KR20060013478A (ko) * 2002-07-25 2006-02-10 구글, 인코포레이티드 인터넷을 통하여 필터링된 및/또는 마스킹된 광고를제공하는 방법 및 시스템
JP2007058380A (ja) * 2005-08-23 2007-03-08 Hitachi Software Eng Co Ltd 電子文書マスキングシステム
JP2007133495A (ja) 2005-11-08 2007-05-31 Act Technical Support:Kk コンピュータを用いた建築関連情報の収集・検索システム及び方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04347747A (ja) * 1991-05-27 1992-12-02 Nec Software Kansai Ltd 情報検索システムの機密保護方式
US6038563A (en) * 1997-10-31 2000-03-14 Sun Microsystems, Inc. System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects
JP2005165737A (ja) * 2003-12-03 2005-06-23 Hitachi Software Eng Co Ltd データ提供システム及びデータ提供方法
KR100594886B1 (ko) * 2004-04-12 2006-06-30 주식회사 비티웍스 데이터베이스 보안 시스템 및 방법
US20070118527A1 (en) * 2005-11-22 2007-05-24 Microsoft Corporation Security and data filtering

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000293421A (ja) 1998-10-02 2000-10-20 Ncr Internatl Inc プライバシー保護機能を向上させたデータ管理装置及び方法
JP2002175217A (ja) 2000-12-07 2002-06-21 Toppan Printing Co Ltd データベースシステム及びデータベースのアクセス制御方法並びにデータベースのアクセス制御プログラムを記録した記録媒体
KR20060013478A (ko) * 2002-07-25 2006-02-10 구글, 인코포레이티드 인터넷을 통하여 필터링된 및/또는 마스킹된 광고를제공하는 방법 및 시스템
JP2007058380A (ja) * 2005-08-23 2007-03-08 Hitachi Software Eng Co Ltd 電子文書マスキングシステム
JP2007133495A (ja) 2005-11-08 2007-05-31 Act Technical Support:Kk コンピュータを用いた建築関連情報の収集・検索システム及び方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101032134B1 (ko) * 2009-02-27 2011-05-02 이니텍(주) 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법
KR101039698B1 (ko) 2009-06-12 2011-06-08 (주)소만사 애플리케이션을 경유한 db접근을 보호하기 위한 데이터베이스 보안 시스템, 서버 및 방법
KR101069367B1 (ko) * 2011-04-01 2011-10-04 주식회사 피앤피시큐어 질의어 변경을 통한 중요정보 보안 시스템 및 방법
KR101177310B1 (ko) * 2011-12-30 2012-08-30 주식회사 한글과컴퓨터 전자 문서 보안 전송 중계 장치 및 방법
KR101400214B1 (ko) * 2013-01-28 2014-05-28 주식회사 알티베이스 Hybrid C 인터페이스를 지원하는 장치
US20140214784A1 (en) * 2013-01-28 2014-07-31 Altibase Corp. Apparatus for providing transaction sharing hybrid interface of session
KR101980843B1 (ko) * 2018-07-05 2019-05-21 주식회사 피앤피시큐어 프록시를 경유한 접속 세션정보 확인시스템과 확인방법
US20200082010A1 (en) * 2018-09-06 2020-03-12 International Business Machines Corporation Redirecting query to view masked data via federation table
US11030212B2 (en) * 2018-09-06 2021-06-08 International Business Machines Corporation Redirecting query to view masked data via federation table
KR102001070B1 (ko) * 2019-01-03 2019-07-17 최신철 보안성이 강화된 회계기장 서비스 방법
KR102446674B1 (ko) * 2021-12-09 2022-09-26 주식회사 피앤피시큐어 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법

Also Published As

Publication number Publication date
JP2010533915A (ja) 2010-10-28
WO2009011496A3 (en) 2009-03-12
WO2009011496A2 (en) 2009-01-22

Similar Documents

Publication Publication Date Title
KR100820306B1 (ko) 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법
US6366901B1 (en) Automatic database statistics maintenance and plan regeneration
US6360214B1 (en) Automatic database statistics creation
US8826370B2 (en) System and method for data masking
US8078595B2 (en) Secure normal forms
CN106372185B (zh) 一种异构数据源的数据预处理方法
CN100478944C (zh) 自动任务生成器的方法和系统
US8280907B2 (en) System and method for managing access to data in a database
US6697808B1 (en) Method and system for performing advanced object searching of a metadata repository used by a decision support system
US10438008B2 (en) Row level security
US7617198B2 (en) Generation of XML search profiles
US20110072008A1 (en) Query Optimization with Awareness of Limited Resource Usage
CA2359296A1 (en) Method of cardinality estimation using statistical soft constraints
WO2004095428A2 (en) Index and query processor for data and information retrieval, integration and sharing from multiple disparate data sources
US7069263B1 (en) Automatic trend analysis data capture
US20020049747A1 (en) Method for integrating and accessing of heterogeneous data sources
US9747328B2 (en) Method and apparatus for modifying a row in a database table to include meta-data
US20050102271A1 (en) Indexes with embedded data
CN109446219B (zh) 权限管理方法及装置
US8316013B2 (en) Programmatic retrieval of tabular data within a cell of a query result
US8554722B2 (en) Method for transferring data into database systems
US8176035B2 (en) Detecting and tracking monotonicity for accelerating range and inequality queries
US10977284B2 (en) Text search of database with one-pass indexing including filtering
CN116055079A (zh) 一种网络数据管理平台
JPH04102153A (ja) 同一ネットワーク上の計算機資源利用権管理方法及びその装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190131

Year of fee payment: 12