KR100901356B1 - 에이전트 기반에서 첨부파일의 정보유출 방지 방법 - Google Patents

에이전트 기반에서 첨부파일의 정보유출 방지 방법 Download PDF

Info

Publication number
KR100901356B1
KR100901356B1 KR1020080100062A KR20080100062A KR100901356B1 KR 100901356 B1 KR100901356 B1 KR 100901356B1 KR 1020080100062 A KR1020080100062 A KR 1020080100062A KR 20080100062 A KR20080100062 A KR 20080100062A KR 100901356 B1 KR100901356 B1 KR 100901356B1
Authority
KR
South Korea
Prior art keywords
file
hooking
function
attachment
system driver
Prior art date
Application number
KR1020080100062A
Other languages
English (en)
Inventor
최주호
최종기
Original Assignee
(주)디지탈센스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)디지탈센스 filed Critical (주)디지탈센스
Priority to KR1020080100062A priority Critical patent/KR100901356B1/ko
Application granted granted Critical
Publication of KR100901356B1 publication Critical patent/KR100901356B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Abstract

본 발명은 인터넷 통신을 통해 컴퓨터 내부의 파일이 첨부되어 전송되는 경우, 첨부파일을 변형 처리하여 정보의 유출을 방지하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 관한 것으로, (A) 관리서버 컴퓨터의 정책설정부가 첨부파일의 차단 및 허용에 대한 보안정책을 설정하는 단계; (B) 차단 및 허용 정책 DB가 상기 (A) 단계를 통해 설정된 보안정책을 저장하고, 상기 저장된 보안정책을 통신부를 통해 클라이언트 컴퓨터에 전송하는 단계; (C) 클라이언트 컴퓨터의 정책 수신부가 상기 첨부파일의 차단 및 허용에 대한 보안정책을 수립하는 단계; (D) 상기 클라이언트 컴퓨터의 파일 송신부가 통신 프로그램을 선택함과 동시에 전송하고자 하는 파일을 첨부하여 파일전송을 준비하는 단계; 및 (E) 상기 클라이언트 컴퓨터의 파일전송 차단부가 파일시스템 드라이버를 통해 첨부파일을 후킹하여, 상기 (C) 단계를 통해 차단된 보안정책에 따른 첨부파일인 경우에는 첨부파일을 변형 처리한 후, 파일 송신부가 변형 처리된 첨부파일을 전송하게 하는 단계를 포함한다.

Description

에이전트 기반에서 첨부파일의 정보유출 방지 방법{METHOD FOR PREVENTING OUTFLOW OF ATTACHED FILE INFORMATION BASED ON AGENT}
본 발명은 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 관한 것으로, 더욱 상세하게는 인터넷 통신을 통해 컴퓨터 내부의 파일이 첨부되어 전송되는 경우, 첨부파일을 변형 처리하여 정보의 유출을 방지하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 관한 것이다.
즉, 컴퓨터 내에 저장된 파일은 저장장치(FDD, CD-R/W, 외장형 HDD, Flash 메모리 등)를 이용하여 파일을 복사 및 저장하여 유출하는 경우와 인터넷 통신을 통하여 파일을 전송하거나 종이 문서로 인쇄하여 유출하는 경우가 있는데, 본 발명에서는 인터넷 통신을 통해 파일을 첨부 및 전송하여 파일이 유출되는 것을 방지하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 관한 것이다.
최근, 개인 사용자의 컴퓨터가 대용량화됨과 동시에 처리 속도가 향상됨에 따라, 예를 들어 기술자료, 설계도면, 개발자료, 시험자료, 영업자료, 생산정보, 군기밀자료 및 개인정보와 같은 사적인 작업내용 및 공적인 업무자료가 개인컴퓨터에 저장되어 관리되고 있다.
위와 같은 사적인 작업내용 및 공적인 업무자료는 파일을 생성한 자신이나 타인에 의해 외부로 유출될 수 있는 위험에 상시 노출되어 있다.
따라서, 종래에는 도 1에 나타낸 바와 같이, 내부 사용자에 의한 외부로의 정보 유출을 방지하기 위해, 메일 모니터링 방법이나 방화벽에 의한 방법을 이용한다.
도 1에 나타낸 바와 같이, 종래에 사용자 컴퓨터(10, 12)간에 메일서버(15)를 통해 첨부파일을 주고 받는 경우, 첨부파일이 전송되는 최종단인 라우터 또는 스위치 허브(20)를 통해 패킷 미러링부(21)에서 패킷을 수집하여 분석한 후, 송신메일이나 수신메일에 대해 로그를 생성하여 메일 모니터링부(22)에서 첨부파일을 모니터링하는 방법을 이용한다.
또한, 방화벽(30)과 같이 게이트웨이에서 송신이나 수신 패킷의 URL(Uniform Resource Locator), IP(Internet Protocol) 및 포트(Port)를 차단하고 인터넷접속을 차단하여 첨부파일의 전송을 차단하는 방법을 이용한다.
그러나, 상기와 같은 종래의 게이트웨이에서 정보유출방지 방법은, 노트북 컴퓨터의 경우에 보안이 적용되지 않은 지역에서 통신을 하거나 무선랜 및 와이브로와 같은 이동통신을 이용하여 파일을 전송하는 경우에는 보안구간을 거치지 않아, 사용자 컴퓨터(10, 12)에 유출방지 시스템이 설치되었다 하더라도 파일의 전송을 방지할 수 없는 문제점이 있다.
한편, 종래의 인터넷 통신에서 정보의 유출을 방지하는 또 다른 방법으로는 도 2에 나타낸 바와 같이, 방화벽을 이용하는 방법, 첨부파일 전송차단 방법, 프로 세스 중지 방법 등으로 구분할 수 있다.
즉, 방화벽 기능을 이용하는 방법은 이메일, 웹메일, 송신패킷을 분석하여 URL, IP 및 PORT를 이용하여 사이트의 접속을 차단하는 방식이고, 첨부파일 전송차단 방법은 이메일, 웹메일에서 메일의 본문은 전송을 허용하고 첨부되는 파일에 대해 전송을 차단함과 동시에 메신저에서는 채팅은 허용하나 파일의 첨부와 공유를 통한 파일 전송을 차단하여 첨부되는 파일에 대해 유출을 방지하는 방식이고, 프로세스 중지 방법은 실행프로그램의 프로세스를 정지시켜 통신 프로그램 자체를 실행되지 못하도록 하여 사용을 금지하는 방법이다.
이 중에서, 상기 방화벽 기능을 이용하는 방법의 일예를 도 3을 참조하여 설명한다.
즉, 도 3에 나타낸 바와 같이, 방화벽 기능을 이용하는 방법은 접속하고자 하는 인터넷 사이트의 URL과 URI(31)를차단하거나, 해당 사이트의 IP(32) 또는 통신 포트(33)를 차단하여 정보의 전송을 차단한다.
그러나, 상기 방화벽 기능을 이용하는 방법은. 웹메일의 경우에는 인터넷 사이트의 차단 및 사용을 제한하기 때문에 인터넷 사용의 불편을 초래하며, 여러 가지 메일 사이트중 차단할 메일 사이트를 별도로 등록하여야 한다는 문제점이 있다.
예컨대, www.naver.com에서 메일은 mail.naver.com, www.nate.com은 mail.nate.com라는 URI를 통하여 메일을 사용하게 되는데, 방화벽은 URL이나 URI에 mail이라는 키워드가 포함되면 차단하는 방식을 사용하고 있다.
그러나, www.daum.netwwl659 . daum . net, wwl548 . daum . net등을 이용하여 메 일서비스를 제공하고 있으며, 최근에는 wwl1086 . daum . net이 추가되어 서비스되고 있어 이를 차단하기 위해서는 모든 메일서비스사이트를 조사하여 해당 URI를 등록하여야 한다는 문제점이 있다.
또한, 대용량 메일 전송을 위해서는 Active X나 통신 전용프로그램을 이용하게 되는데, 이런 경우에는 URL이나 URI가 포함되지 않아 파일 전송을 차단할 수 없게 되며, 웹 게시판에 파일을 업로드하여 정보가 유출되는 것을 방지하고자 하는 경우에는 80 port를 차단하면 인터넷 통신 자체를 사용할 수 없으며, 모든 사이트의 게시판이나 카페, 블로그 등을 등록하여 차단한다는 것은 현실적으로 불가능하기 때문에 정보유출을 방지하는데 취약점이 있으며, 메신저의 경우에도 채팅은 허용하나 첨부파일의 전송을 차단하지 못하는 문제점이 있다.
따라서, 상기 방화벽 기능을 이용한 URL, URI, IP 및 포트 차단 방법이나 프로세스 중지 방법은 컴퓨터 내의 파일이 외부로 전송되는 것을 방지하는데 보안 취약점이나 한계점이 있어 새로운 보안 방법이 필요하다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 그 목적은 인터넷 통신을 통해 컴퓨터 내부의 파일이 이메일, 웹메일, 웹하드, 메신저 및 P2P 등의 인터넷 통신을 통해 첨부되어 외부로 전송되더라도, 첨부파일의 암호화, 삭제 및 블랭크 처리와 같은 변형처리를 통해 정보의 외부 유출을 방지하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은, 특정 인터넷 사이트나 이메일, 웹메일, 웹게시판, 웹하드, 메신저, P2P 등에서 사용하는 SMTP, HTTP, 파일전송 전용 프로그램을 사용하는 경우에도, 통신 프로토콜에 상관없이 첨부파일에 대한 정보가 유출되는 것을 방지하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 제공하는 것이다.
상기의 목적을 달성하기 위한 본 발명에 따른 에이전트 기반에서 첨부파일의 정보유출 방지 방법은, (A) 관리서버 컴퓨터(100)의 정책설정부(110)가 첨부파일의 차단 및 허용에 대한 보안정책을 설정하는 단계(310); (B) 차단 및 허용 정책 DB(120)가 상기 (A) 단계를 통해 설정된 보안정책을 저장하고(S320), 상기 저장된 보안정책을 통신부(130)를 통해 클라이언트 컴퓨터(200)에 전송하는 단계(S330); (C) 클라이언트 컴퓨터(200)의 정책 수신부(240)가 상기 첨부파일의 차단 및 허용에 대한 보안정책을 수신하는 단계(S340); (D) 상기 클라이언트 컴퓨터(200)의 파일 송신부(250)가 통신 프로그램을 선택함과 동시에 전송하고자 하는 파일을 첨부하여 파일전송을 준비하는 단계(S350) 및 (E) 상기 클라이언트 컴퓨터(200)의 파일전송 차단부(260)가 파일시스템 드라이버(605)를 통해 첨부파일을 후킹하여, 상기 (C) 단계를 통해 차단된 보안정책에 따른 첨부파일인 경우에는 첨부파일을 변형 처리한 후, 파일 송신부(250)가 변형 처리된 첨부파일을 전송하게 하는 단계(S360)를 포함한다.
여기서, 상기 (E) 단계에서 파일전송 차단부(260)는 차단된 보안정책에 따른 첨부파일을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리하는 것이 바람직하다.
또한, 상기 (E) 단계에서 첨부파일의 변형 처리는, (E1) 파일을 첨부하여 전송하기 위해 파일시스템 드라이버(605)에서 파일생성함수를 후킹하는 단계(S610)와, (E2) 파일시스템 드라이버(605)의 파일읽기함수를 후킹하는 단계(S620)와, (E3) 파일의 저장이나 전송과 같은 물리적인 동작에 대해 장치입출력제어함수를 후킹하는 단계(S630)를 포함하되, 상기 (E1) 단계의 파일시스템 드라이버(605)에서 파일생성 함수를 처리하는 단계(S610)는, 파일시스템 드라이버(605)에서 파일생성함수를 후킹하는 단계(S611)와, 후킹된 파일생성함수 내에서 해당 프로세스명을 추출하는 단계(S612)와, 상기 추출된 프로세스명에 소켓통신을 수행하는 프로세스명이 포함되어 있는지를 검색하는 단계(S613)와, 소켓통신을 수행하는 프로세스명에서 프로세스 리스트를 생성하는 단계(S614)를 포함하고, 상기 (E2) 단계의 파일시스템 드라이버(605)의 파일읽기함수를 후킹하는 단계(S620)는, 파일을 저장하거나 전송하기 위해 파일읽기 동작을 수행하여 파일시스템 드라이버(605)의 장치입출력제어함수를 후킹하는 단계(S621)와, 후킹된 함수에 대한 프로세스를 추출(S622)한 후 상기 추출된 프로세스가 상기 S614 단계의 프로세스 리스트에 포함되어 있는지를 검색(S623)하여, 상기 파일생성함수에서 후킹하여 추출된 프로세스 리스트에 포함되어 있으면 파일리스트를 생성하는 단계(S624)를 포함하는 것이 바람직하다.
바람직하게, 상기 (E3) 단계의 파일의 저장이나 전송과 같은 물리적인 동작의 상태를 알수 있는 장치입출력제어함수를 후킹하는 단계(S630)는, 파일을 물리적 인 장치에 저장하거나 통신장치를 통하여 전송하는 경우에 파일시스템 드라이버(605)의 장치제어상태함수를 후킹하여 필요한 첨부파일을 추출하는 단계(S631)와, 클라이언트 컴퓨터(200)가 인터넷통신을 통해 파일을 첨부하여 전송하는 경우에 상기 후킹된 첨부파일을 송신버퍼에 저장하는 단계(S632)와, 상기 파일시스템 드라이버(605) 함수를 후킹하여 통신을 포함하고 있는 프로세스를 추출하는 단계(S633)와, 추출된 프로세스가 상기 S624 단계의 파일리스트의 프로세스명 내에 존재하는 지를 검색(S634)함과 동시에 상기 S631 단계의 장치입출력제어함수에 통신전송 코드가 포함되어 있는지를 검색하는 단계(S635)와, 추출된 프로세스가 프로세스명 내에 존재하면서 통신전송 코드를 포함하고 있으면 파일의 전송으로 판단하고 상기 S624 단계의 파일리스트 내의 파일과 상기 S632 단계의 송신버퍼 내에 저장된 파일을 비교하는 단계(S636)와, 상기 비교한 파일이 동일하면 송신버퍼에 저장된 파일을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리한 후 파일 송신부(250)에 전송하는 단계(S637)를 포함한다.
더 바람직하게, 상기 프로세스 리스트는, 프로세스명, 프로세스 핸들, IP 및 포트 정보 중 어느 하나의 정보를 포함한다.
또한, 상기 파일리스트는, 파일핸들, 파일명 및 파일 컨텐츠 중 어느 하나의 정보를 포함한다.
본 발명에 따른 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 따르면, 인터넷 통신을 통해 컴퓨터 내부의 파일이 이메일, 웹메일, 웹하드, 메신저 및 P2P 등의 인터넷 통신을 통해 첨부되어 외부로 전송되더라도, 첨부파일의 암호화, 삭제 및 블랭크 처리와 같은 변형처리를 통해 전송된 파일을 식별할 수 없게 함으로써 첨부파일정보의 외부 유출을 방지할 수 있다.
또한, 특정 인터넷 사이트나 이메일, 웹메일, 웹게시판, 웹하드, 메신저, P2P 등에서 사용하는 SMTP, HTTP, 파일전송 전용 프로그램을 사용하는 경우에도, 통신 프로토콜과 무관하게 첨부파일의 유출을 방지할 수 있다.
상기 목적 외에 본 발명의 다른 목적 및 이점들은 첨부한 도면을 참조한 실시 예에 대한 상세한 설명을 통하여 명백하게 드러나게 될 것이다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 상세하게 설명하기로 한다.
본 발명의 상세한 설명에 앞서, 본 명세서에서 사용되는 '정보' 라는 용어는 컴퓨터 내에 저장된 '파일'을 의미하고, '유출방지', '전송차단' 및 '첨부파일 차단'이라는 용어는 여러 가지 통신 프로그램을 통해 전송되는 첨부파일을 '암호화'하거나, '삭제'하거나, '파일내용 블랭크화'를 의미하며, '파일내용 블랭크화'는 전송되는 파일의 내용을 비워서 내용이 없는 파일을 의미한다.
또한, 본 발명의 적용은 사용자 컴퓨터에 설치되는 에이전트 프로그램 방식이며, 상기 에이전트 프로그램은 Windows 운영체제에서 구동된다.
먼저, 본 발명의 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 적용되는 구성을 도 4를 참조하여 설명한다.
도 4는 본 발명의 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 적용되는 시스템 구성을 나타낸 도면이다.
도 4에 나타낸 바와 같이, 본 발명의 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 적용되는 시스템은, 클라이언트 컴퓨터(200)에서 인터넷을 이용하여 파일을 전송하는 경우에 첨부파일의 차단 및 허용여부를 각각의 사용자별로 적용하기 위한 보안 정책을 설정하는 관리서버 컴퓨터(100)와, 본 발명에 따른 에이전트 프로그램이 설치되어 상기 관리서버 컴퓨터(100)로부터 보안정책을 수신하여 첨부파일의 전송시 유출을 차단하는 기능을 수행하는 클라이언트 컴퓨터(200)를 포함한다.
여기서, 관리서버 컴퓨터(100)는 첨부파일의 차단 및 허용에 대한 정책을 설정하는 정책설정부(110)와, 상기 정책설정부(110)를 통해 설정된 정책을 저장하는 정책 DB(120)와, 상기 차단 및 허용 정책 DB(120)에 저장된 정책을 클라이언트 컴퓨터(200)에 전송하는 통신부(130)를 포함한다.
또한, 클라이언트 컴퓨터(200)는 상기 관리서버 컴퓨터(100)의 통신부(130)를 통해 전송된 보안정책을 수신하여 보안정책을 수립하는 정책 수신부(240)와, 인터넷 통신을 통해 첨부파일을 전송하는 파일 송신부(250)와, 상기 파일 송신부(250)를 통해 파일 전송시 첨부되는 파일을 암호화, 삭제 및 블랭크화하는 파일전송 차단부(260)를 포함한다.
한편, 이하에서는 상기와 같은 구성을 통해 본 발명의 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 설명한다.
도 5는 본 발명에 따른 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 전체적으로 나타낸 순서도이고, 도 6은 첨부파일의 암호화의 일예를 나타낸 도면이며, 도 7은 첨부파일의 블랭크화의 일예를 나타낸 도면이고, 도 8은 상기 도 5의 상기 S350 단계 및 S360 단계를 구체적으로 나타낸 순서도이다.
먼저, 관리서버 컴퓨터(100)는 정책설정부(110)를 통해 첨부파일의 차단 및 허용에 대한 보안정책을 설정한다(310).
다음에, 차단 및 허용 정책 DB(120)가 상기 S310 단계를 통해 설정된 정책을 저장한다(S320).
그 다음, 상기 S320 단계를 통해 저장된 정책을 통신부(130)가 클라이언트 컴퓨터(200)에 전송한다(S330).
이후, 클라이언트 컴퓨터(200)의 정책 수신부(240)는 상기 S330 단계를 통해 수신된 해당 URL의 차단 및 허용에 대한 보안정책을 수립한다(S340).
이어서, 클라이언트 컴퓨터(200)는 파일 송신부(250)를 통해 인터넷 통신을 위한 통신 프로그램을 선택함과 동시에 전송하고자 하는 파일을 첨부하여 파일전송을 준비한다(S350).
이와 동시에, 클라이언트 컴퓨터(200)의 파일전송 차단부(260)는 파일시스템 드라이버를 통해 첨부파일을 후킹하여, 상기 S340 단계를 통해 차단된 보안정책에 따른 첨부파일인 경우에는 첨부파일을 변형 처리한 후, 파일 송신부(250)가 변형 처리된 첨부파일을 전송하게 한다(S360).
이때, 상기 파일전송 차단부(260)는 차단된 보안정책에 따른 첨부파일에 대 한 변형 처리로서, 도 6에 나타낸 바와 같이 첨부파일을 암호화하거나, 도 7에 나타낸 바와 같이 첨부파일을 블랭크화하거나, 첨부파일을 삭제한다.
즉, 상기 S350 단계 및 S360 단계를 도 8을 참조하여 구체적으로 설명하면 다음과 같다.
도 8에 나타낸 바와 같이, 클라이언트 컴퓨터(200)는 첨부파일의 인터넷 통신을 위하여, 이메일, 웹메일, 웹하드, 메신저 및 P2P 중 어느 하나의 통신 프로그램을 선택한다(S351).
이후, 상기 클라이언트 컴퓨터(200)는 상기 통신 프로그램을 통해 파일을 전송하고자 하는 경우에 첨부할 파일을 선택한다(S352).
다음에, 상기 S352 단계를 통해 선택된 파일을 첨부하거나 업로드(S353)하여 첨부파일을 외부의 사용자에게 전송(S354)하는데, 이때, 파일전송 차단부(260)가 파일시스템 드라이버를 통해 첨부 및 업로드된 파일을 후킹한 후, 정책 수신부(240)를 통해 해당 URL이 차단된 보안정책에 따른 첨부파일인 경우에는 첨부파일을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리(S360)하기 때문에, 변형 처리된 첨부파일을 수신한 사용자는 첨부파일에 대한 내용을 식별할 수 없게 된다.
한편, 상기 S360 단계의 첨부파일을 변형 처리하여 첨부파일의 정보유출을 방지 방법을 도 9 내지 도 12를 참조하여 설명한다.
도 9는 첨부파일을 변형 처리하여 첨부파일의 정보유출을 방지하는 방법을 전체적으로 나타낸 순서도이고, 도 10은 상기 도 9의 S610 단계의 서브루틴이고, 도 11은 상기 도 9의 S620 단계의 서브루틴이며, 도 12는 상기 도 9의 S630 단계의 서브루틴이다.
이때, 상기 S360 단계에서는, 첨부파일을 변형 처리하여 첨부파일의 정보유출을 방지하는 방법에 적용되는 구성으로서 윈도우 운영체제에서 파일의 모든 동작을 감시하고 제어하기 위해 파일시스템 드라이버(605)를 이용하며, 사용자 모드의 응용프로그램이 파일을 첨부하여 전송하기 위해서 반드시 수행되는 일련의 과정중에서 첨부파일의 차단 목적에 필요한 수행과정의 커널함수를 후킹한다. 즉, 전송할 첨부파일의 속성을 얻기 위한 파일생성함수(NtCreateFile)에 대한 후킹 단계(S610), 전송할 첨부파일의 내용을 읽어오는 파일읽기함수(NtReadFile)에 대한 후킹 단계(S620) 및 파일의 저장이나 전송등 물리적인 입출력 정보를 가지고 있는 장치입출력제어함수(NtDeviceContorlFile)를 후킹하는 단계(S630)를 포함한다.
즉, 도 10에 나타낸 바와 같이, 파일시스템 드라이버(605)에서 파일생성 함수를 처리하는 단계(S610)는, 파일시스템 드라이버(605)에서 파일을 첨부하기 위해서는 메모리에서 파일생성을 수행하므로 해당 프로세스를 추출하기 위하여 파일생성에 관련된 함수(NtCreatFile)를 후킹(S611)하고, 후킹된 파일생성 함수 내에서 프로세스명(예컨대, iexplorer, 한글 및 워드등)을 추출(S612)하며, 파일을 첨부하여 전송하기 위해서는 소켓(Socket)통신을 수행하므로 추출된 프로세스명에 소켓통신을 수행하는 프로세스명이 포함되어 있는지를 검색(S613)한다. 이는 프로세스가 컴퓨터 내부에 파일을 저장하는 동작인지, 내부통신을 위한 동작인지, 외부로 전송을 위한 동작인지를 구분하여 외부통신에 해당되는 프로세스만 추출하기 위함이다. 이후, 소켓통신이 포함된 프로세스를 검색하여 조건이 맞는 프로세스명에서 프 로세스 리스트를 생성한다(S614).
이때, 상기 프로세스 리스트에는 프로세스명, 프로세스 핸들, IP 및 포트 등의 정보를 포함한다.
한편, 도 11에 나타낸 바와 같이, 파일시스템 드라이버(605)의 파일읽기함수를 후킹하는 단계(S620)는, 파일의 전송을 위해서는 생성된 파일을 메모리의 크기만큼 읽어오는 동작을 수행하게 되어 이에 대한 파일읽기함수(NtReadFile)를 후킹(S621)하고, 후킹된 함수에 대하여 프로세스를 추출(S622)한 후, 상기 추출된 프로세스가 상기 S614 단계의 파일생성 함수에서 후킹하여 추출된 프로세스 리스트에 포함되어 있는지를 검색(S623)하여, 상기 S622 단계를 통해 추출한 프로세스가 파일생성함수에서 후킹하여 추출된 프로세스 리스트에 포함되어 있으면 파일리스트를 생성한다(S624). 이는 파일의 전송을 위하여 메모리에서 파일을 생성하고 읽기 동작을 수행하는 통신프로그램의 프로세스를 추출하기 위한 과정이며 상기 파일리스트에는 파일핸들, 파일명 및 파일 내용(컨텐츠)을 포함한다.
한편, 도 12에 나타낸 바와 같이, 파일의 물리적인 동작상태를 알 수 있는 장치제어상태함수 후킹 단계(S630)는, 파일시스템 드라이버(605)에서 파일의 저장/전송 등의 물리적인 상태정보를 추출할 수 있는 장치입출력제어함수(NtDeviceControlFile)를 후킹(S631)하여, 파일이 각종 저장장치에 저장되었는지와 전송되었는지를 구분하여 통신으로 전송된 프로세스만 추출하며, 클라이언트 컴퓨터(200)의 보안정책 설정 조건에 만족한지를 비교한다. 이 조건을 만족하면 인터넷통신을 통해 파일이 첨부되어 전송하는 경우이므로 첨부파일의 내용을 송신버퍼 에 저장(S632)한다.
이후, 장치제어상태함수를 후킹하여 통신을 포함하고 있는 프로세스를 추출(S633)하고, 상기 프로세스는 파일의 전송을 위하여 메모리에서 파일의 생성과 읽기 동작을 수행한 통신프로그램의 프로세스인지를 비교하기 위하여 상기 S624 단계의 파일리스트의 프로세스명 내에 존재하는 지를 검색(S634)함과 동시에 상기 S631 단계의 장치입출력제어함수에서 파일의 전송여부를 판단하기 위하여 통신전송 코드가 포함되어 있는지를 검색(S635)한 후, 추출된 프로세스가 프로세스명 내에 존재하면서 통신전송 코드를 포함하고 있으면 파일이 첨부되어 전송되는 것으로 판단하고 상기 S624 단계의 파일리스트 내의 파일과, 상기 S632 단계의 송신버퍼 내에 저장된 파일을 비교한다(S636).
그 다음, 상기 S636 단계의 비교결과, 비교내용이 동일하면 통신을 이용하여 파일이 첨부되어 전송되는 것으로 판단하여 실제 수신자에게 전송될 내용이 담긴 송신버퍼의 내용(컨텐츠)을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리(S637)한 후, 파일 송신부(250)에 전송하면 변형처리된 내용이 수신자에게 전송된다.
따라서, 상기와 같은 방법을 통해 첨부파일을 수신한 수신자 컴퓨터는, 첨부파일의 내용이 암호화되거나 블랭크, 삭제되어 첨부파일의 정보가 유출되는 것을 방지할 수 있다.
이상에서는 본 발명의 일실시예에 따라 본 발명을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 변경 및 변형한 것도 본 발명에 속함은 당연하다.
도 1은 종래의 정보유출을 방지하기 위한 방법의 일예를 나타낸 도면
도 2는 종래의 인터넷 통신에서 정보의 유출을 방지하는 방법들을 나타낸 도면.
도 3은 방화벽 기능을 이용하여 정보의 유출을 방지하는 방법을 나타낸 도면.
도 4는 본 발명의 에이전트 기반에서 첨부파일의 정보유출 방지 방법에 적용되는 시스템 구성을 나타낸 도면.
도 5는 본 발명에 따른 에이전트 기반에서 첨부파일의 정보유출 방지 방법을 전체적으로 나타낸 순서도.
도 6은 첨부파일의 암호화의 일예를 나타낸 도면.
도 7은 첨부파일의 블랭크화의 일예를 나타낸 도면.
도 8은 도 5의 S350 단계 및 S360 단계를 구체적으로 나타낸 순서도.
도 9는 첨부파일을 변형 처리하여 첨부파일의 정보유출을 방지하는 방법을 전체적으로 나타낸 순서도.
도 10은 도 9의 S610 단계의 서브루틴을 나타낸 도면.
도 11은 도 9의 S620 단계의 서브루틴을 나타낸 도면.
도 12는 도 9의 S630 단계의 서브루틴을 나타낸 도면.

Claims (6)

  1. 에이전트 기반에서 첨부파일의 정보유출을 방지하는 방법으로서,
    (A) 관리서버 컴퓨터(100)의 정책설정부(110)가 첨부파일의 차단 및 허용에 대한 보안정책을 설정하는 단계(310);
    (B) 차단 및 허용 정책 DB(120)가 상기 (A) 단계를 통해 설정된 보안정책을 저장하고(S320), 상기 저장된 보안정책을 통신부(130)를 통해 클라이언트 컴퓨터(200)에 전송하는 단계(S330);
    (C) 클라이언트 컴퓨터(200)의 정책 수신부(240)가 상기 첨부파일의 차단 및 허용에 대한 보안정책을 수신하는 단계(S340);
    (D) 상기 클라이언트 컴퓨터(200)의 파일 송신부(250)가 통신 프로그램을 선택함과 동시에 전송하고자 하는 파일을 첨부하여 파일전송을 준비하는 단계(S350); 및
    (E) 상기 클라이언트 컴퓨터(200)의 파일전송 차단부(260)가 파일시스템 드라이버(605)를 통해 첨부파일을 후킹하여, 상기 (C) 단계를 통해 차단된 보안정책에 따른 첨부파일인 경우에는 첨부파일을 변형 처리한 후, 파일 송신부(250)가 변형 처리된 첨부파일을 전송하게 하는 단계(S360)를 포함하되,
    상기 (E) 단계에서 첨부파일의 변형 처리는,
    (E1) 파일을 첨부하여 전송하기 위해 파일시스템 드라이버(605)에서 파일생성함수를 후킹하는 단계(S610)와,
    (E2) 파일시스템 드라이버(605)의 파일읽기함수를 후킹하는 단계(S620)와,
    (E3) 파일의 저장이나 전송과 같은 물리적인 동작에 대해 장치입출력제어함수를 후킹하는 단계(S630)를 포함하되,
    상기 (E1) 단계의 파일시스템 드라이버(605)에서 파일생성 함수를 처리하는 단계(S610)는,
    파일시스템 드라이버(605)에서 파일생성함수를 후킹하는 단계(S611)와, 후킹된 파일생성함수 내에서 해당 프로세스명을 추출하는 단계(S612)와, 상기 추출된 프로세스명에 소켓통신을 수행하는 프로세스명이 포함되어 있는지를 검색하는 단계(S613)와, 소켓통신을 수행하는 프로세스명에서 프로세스 리스트를 생성하는 단계(S614)를 포함하고,
    상기 (E2) 단계의 파일시스템 드라이버(605)의 파일읽기함수를 후킹하는 단계(S620)는,
    파일을 저장하거나 전송하기 위해 파일읽기 동작을 수행하여 파일시스템 드라이버(605)의 장치입출력제어함수를 후킹하는 단계(S621)와, 후킹된 함수에 대한 프로세스를 추출(S622)한 후 상기 추출된 프로세스가 상기 S614 단계의 프로세스 리스트에 포함되어 있는지를 검색(S623)하여, 상기 파일생성함수에서 후킹하여 추출된 프로세스 리스트에 포함되어 있으면 파일리스트를 생성하는 단계(S624)를 포함하는 것을 특징으로 하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법.
  2. 제 1항에 있어서,
    상기 (E) 단계에서, 파일전송 차단부(260)는 파일 시스템 드라이버를 기반으로 하여, 첨부파일을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리하는 것을 특징으로 하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법.
  3. 삭제
  4. 제 1항에 있어서,
    상기 (E3) 단계의 파일의 저장이나 전송과 같은 물리적인 동작의 상태를 알수 있는 장치입출력제어함수를 후킹하는 단계(S630)는,
    파일을 물리적인 장치에 저장하거나 통신장치를 통하여 전송하는 경우에 파일시스템 드라이버(605)의 장치제어상태함수를 후킹하여 필요한 첨부파일을 추출하는 단계(S631)와, 클라이언트 컴퓨터(200)가 인터넷통신을 통해 파일을 첨부하여 전송하는 경우에 상기 후킹된 첨부파일을 송신버퍼에 저장하는 단계(S632)와, 상기 파일시스템 드라이버(605) 함수를 후킹하여 통신을 포함하고 있는 프로세스를 추출하는 단계(S633)와, 추출된 프로세스가 상기 S624 단계의 파일리스트의 프로세스명 내에 존재하는 지를 검색(S634)함과 동시에 상기 S631 단계의 장치입출력제어함수에 통신전송 코드가 포함되어 있는지를 검색하는 단계(S635)와, 추출된 프로세스가 프로세스명 내에 존재하면서 통신전송 코드를 포함하고 있으면 파일의 전송으로 판단하고 상기 S624 단계의 파일리스트 내의 파일과 상기 S632 단계의 송신버퍼 내에 저장된 파일을 비교하는 단계(S636)와, 상기 비교한 파일이 동일하면 송신버퍼에 저장된 파일을 암호화, 삭제 및 블랭크화 중 어느 하나로 변형 처리한 후 파일 송신부(250)에 전송하는 단계(S637)를 포함하는 것을 특징으로 하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법.
  5. 제 1항에 있어서,
    상기 프로세스 리스트는, 프로세스명, 프로세스 핸들, IP 및 포트 정보 중 어느 하나의 정보를 포함하는 것을 특징으로 하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법.
  6. 제 1항에 있어서,
    상기 파일리스트는, 파일핸들, 파일명 및 파일 컨텐츠 중 어느 하나의 정보를 포함하는 것을 특징으로 하는 에이전트 기반에서 첨부파일의 정보유출 방지 방법.
KR1020080100062A 2008-10-13 2008-10-13 에이전트 기반에서 첨부파일의 정보유출 방지 방법 KR100901356B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080100062A KR100901356B1 (ko) 2008-10-13 2008-10-13 에이전트 기반에서 첨부파일의 정보유출 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080100062A KR100901356B1 (ko) 2008-10-13 2008-10-13 에이전트 기반에서 첨부파일의 정보유출 방지 방법

Publications (1)

Publication Number Publication Date
KR100901356B1 true KR100901356B1 (ko) 2009-06-05

Family

ID=40982380

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100062A KR100901356B1 (ko) 2008-10-13 2008-10-13 에이전트 기반에서 첨부파일의 정보유출 방지 방법

Country Status (1)

Country Link
KR (1) KR100901356B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101393911B1 (ko) * 2012-07-19 2014-05-12 닉스테크 주식회사 에이전트와 네트워크 장치의 연동을 통한 정보 유출 방지 시스템
KR101636805B1 (ko) 2016-04-18 2016-07-08 (주)지란지교소프트 악의적인 파일 유출 방지 방법
KR101657091B1 (ko) 2016-04-18 2016-09-19 (주)지란지교소프트 악의적인 파일 유출 방지 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054376A (ko) * 2000-06-02 2000-09-05 최정환 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
JP2006344000A (ja) * 2005-06-09 2006-12-21 Quality Kk 電子メールシステム,電子メール送受信プログラムおよび電子メールシステム用プログラム
JP2007150454A (ja) * 2005-11-24 2007-06-14 Mitsubishi Electric Information Systems Corp メール暗号装置
JP2007266674A (ja) 2006-03-27 2007-10-11 Nec Corp ファイル転送方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054376A (ko) * 2000-06-02 2000-09-05 최정환 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
JP2006344000A (ja) * 2005-06-09 2006-12-21 Quality Kk 電子メールシステム,電子メール送受信プログラムおよび電子メールシステム用プログラム
JP2007150454A (ja) * 2005-11-24 2007-06-14 Mitsubishi Electric Information Systems Corp メール暗号装置
JP2007266674A (ja) 2006-03-27 2007-10-11 Nec Corp ファイル転送方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101393911B1 (ko) * 2012-07-19 2014-05-12 닉스테크 주식회사 에이전트와 네트워크 장치의 연동을 통한 정보 유출 방지 시스템
KR101636805B1 (ko) 2016-04-18 2016-07-08 (주)지란지교소프트 악의적인 파일 유출 방지 방법
KR101657091B1 (ko) 2016-04-18 2016-09-19 (주)지란지교소프트 악의적인 파일 유출 방지 방법

Similar Documents

Publication Publication Date Title
US9667657B2 (en) System and method of utilizing a dedicated computer security service
CN103607385B (zh) 基于浏览器进行安全检测的方法和装置
JP5917573B2 (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
EP2767058B1 (en) Method and apparatus for managing access for trusted and untrusted applications
EP2733656A1 (en) System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
US20170324774A1 (en) Adding supplemental data to a security-related query
CN101911591A (zh) 阻止安全数据离开网络周界
US9973513B2 (en) Method and apparatus for communication number update
US20080307529A1 (en) Method and Apparatus for Protecting Internet Privacy
CN102082589B (zh) 保存联系方式的方法、装置和系统
CN103891331A (zh) 移动风险评估
CN105827574A (zh) 一种文件访问系统、方法及装置
CN112671887B (zh) 一种资产识别方法、装置、电子设备及计算机存储介质
CN103095861A (zh) 确定设备是否处于网络内部
KR20110102879A (ko) 전자 파일 전달 방법
CN113632085A (zh) 通过数个存根管理数个对象的一协作
CN110363017A (zh) 混合云环境下基于客户端加密的数据安全共享方法及系统
KR100901356B1 (ko) 에이전트 기반에서 첨부파일의 정보유출 방지 방법
JP5394772B2 (ja) 電子メール配信システム、及びプログラム
CN113010904A (zh) 数据处理方法和装置及电子设备
KR20220098316A (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
US20090328233A1 (en) Sending log of accessed data prior to executing disable command in lost computer
JP2005236398A (ja) ネットワーク設定システム
KR102432835B1 (ko) 보안이벤트 비식별화시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130626

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140530

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150529

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160601

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171201

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190604

Year of fee payment: 11