KR101032134B1 - 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법 - Google Patents

암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법 Download PDF

Info

Publication number
KR101032134B1
KR101032134B1 KR1020090017036A KR20090017036A KR101032134B1 KR 101032134 B1 KR101032134 B1 KR 101032134B1 KR 1020090017036 A KR1020090017036 A KR 1020090017036A KR 20090017036 A KR20090017036 A KR 20090017036A KR 101032134 B1 KR101032134 B1 KR 101032134B1
Authority
KR
South Korea
Prior art keywords
data
control
server
share
web
Prior art date
Application number
KR1020090017036A
Other languages
English (en)
Other versions
KR20100098054A (ko
Inventor
차연철
정경수
이경훈
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020090017036A priority Critical patent/KR101032134B1/ko
Publication of KR20100098054A publication Critical patent/KR20100098054A/ko
Application granted granted Critical
Publication of KR101032134B1 publication Critical patent/KR101032134B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 웹서비스 공유물에 대한 통제 시스템 제공 방법으로서, 보다 구체적으로는 웹서비스 공유물의 사용을 통제하고 관리 서버 사이의 통신을 수행하는 서버에이전트 프로그램이 구동되고, 웹서비스 공유물을 등록하거나 조회하는 기능을 제공하는 웹서버(11)와, 웹서비스 공유물에 대한 통제 정책을 설정하고 관리하는 관리서버(22)와, 웹서버(11) 및 관리서버(22)와 네트위크로 연결되어 통신가능한 사용자 단말기(30)를 포함하는 환경에서, 상기 웹서버(11)가 수행하는 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법에 있어서, 상기 웹서버(11)가 관리서버(22)로부터 통제 대상 데이터의 통제 정책을 수신하는 통제정책관리 단계, 상기 웹서버(11)가 내부 사용자 단말기(30)로부터 웹서비스 공유물의 등록하거나 조회하는 요청을 수신하는 공유물 요청 수신 단계, 상기 웹서버(11)가 상기 요청된 공유물의 암호화 여부를 판단하는 공유물 암호화 여부 확인 단계, 상기 웹서버(11)가 상기 요청된 공유물이 암호화 되어 있는 경우 이를 복호화하는 공유물 복호화 단계, 상기 웹서버(11)가 상기 복호화된 데이터에 통제 대상 데이터의 유무를 판단하는 통제 대상 데이터 판단 단계, 상기 웹서버(11)가 상기 복호화된 데이터에 통제 대상 데이터가 포함된 경우 이를 삭제하거나 다른 데이터로 치환하는 통제 대상 데이터 처리단계, 상기 웹서버(11)가 상기 통제 대상 데이터 처리단계에서 처리된 데이터를 암호화하는 데이터 암호화 단계를 포함하는, 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법에 관한 것이다.
DLP(Data Loss Prevention), 웹서비스 공유물, 사용자 통제 방법

Description

암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법{THE SYSTEM OF WEB SERVICE CONTENTS CONTROL AND MANAGEMENT FOR A ENCRYPTED AND NORMAL CONTENTS INCLUDE A CONFIDENTIAL DATA}
본 발명은 데이터 손실 방지 시스템 제공 방법 및 그 장치에 관한 것으로서, 보다 구체적으로는 암호화 기능이 포함되고, 적발 통제, 교정 통제 및 예방 통제를 동시에 수행하는 데이터 손실 방지 시스템 제공 방법에 관한 것이다.
최근 대규모 개인정보 유출 사고가 끊이지 않는 등 기업의 정보 유출 및 손실 문제가 날이 갈수록 심삭해지고 있으며, 그로 인해 피해 규모 역시 증가하는 추세이다.
기업의 정보 유출은 기업의 중요한 정보 자산에 엄청난 손실을 주는 동시에 금전적 피해를 유발시킨다. 그리고 궁극적으로 기업은 신뢰도에 큰 손상을 입고 무엇보다 비즈니스의 큰 자산인 고객의 신뢰를 잃을 수 있다는 점에서 IT 부서만의 문제가 아니라 기업 전체의 문제이며 경영진의 최고 선결과제이다. 최근에 많이 발생하고 있는 기업의 고객정보 유출 사건은 기업의 경영진들에게 "정보유출을 방지 하기 위해서 어떻게 해야 하는가"라는 문제의식을 심어주고 있다.
따라서, 최근에 이런 문제점을 해결하기 위해 DLP(Data Loss Prevention, 데이터 손실 방지) 기술이 각광을 받고 있다. DLP란 기업 구성원, 프로세스, 기술의 결합을 통해 고객 또는 직원 기록 등의 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등이 밖으로 유출되는 것을 방지하는 솔루션이다.
이러한 정보 손실은 외부로부터의 악의적인 공격이라기 보다 일반 직원들의 부주의와 기업 프로세스 위반으로 인해 주로 발생한다. 따라서 기업들은 외부 공격으로부터 경계를 보호하는 것에 중점을 두는 기존 보안책만으로 정보 손실 문제를 해결할 수 없다는 사실을 인정하고 DLP에 관심을 갖고 있으며 금융, 보험 등 주요 고객정보를 다루는 산업에서 세계 최대 기업 대다수가 현재 정보 손실의 위험을 줄이기 위해 DLP 솔루션이 점차 부각되고 있다.
이러한 DLP 기술은 네트워크 상에서 기업들이 정보 보안 정책을 세우고 이메일 트래픽을 감시하며 정책 위반 사례를 파악할 수 있는 기능을 제공하는 것 뿐 만 아니라, 웹메일, FTP, 보안 웹메일, 인스턴트 메시지까지 프로토콜 영역이 확장되고 정책을 위반하는 정보 전송을 사전에 차단하는 기능을 수행할 수 있다. 또한, 네트워크 상에서 사용하는 동일한 정책을 이용해 파일 서버, 데스크탑, 랩탑 및 다양한 데이터 저장소에 있는 기밀 정보의 노출 상태를 파악하고 보호하는 기능도 제 공될 수 있다.
최근에는 인터넷 웹서비스 공유물에 대한 위변조 문제를 해결하기 위해 보안의 수단으로 인터넷 웹서비스에 암호화 기법 등을 적용하는데, 이러한 암호화 기법의 적용은 전송정보 및 공유물에 대한 암호화로 인해 기존의 웹서비스 보안 시스템의 통제수단을 무력화하는 원인이 되기도 한다.
뿐만아니라, 상기와 같은 DLP 기술에 의한 통제 수단은 통제대상 정보의 실시간 검출 및 통제로 인터넷 웹서비스 사용자의 사용 정책 위반시 이를 통제하는 수단으로서 기능을 발휘하고 있으나, 사용 정책을 미연에 방지할 수 있는 사전 통제 기능의 제공을 하지 못하고 있다. 즉, 적발 통제 및 교정 통제의 방법은 제공하고 있으나, 예방 통제의 기능은 제공하지 못하고 있다.
본 발명은 암호화 기능이 포함된 웹서비스 공유물에 대한 통제시스템에 관한 것으로, 웹서비스를 제공하는 환경에서 특정 공유물에 대해 공유물에 대한 암호화 여부를 판단하여 공유물이 암호화되어 있을 경우 공유물에 대한 복호화를 실시하고, 공유물에 대한 통제 대상 정보내용 유무를 판단하여 통제 대상 정보가 공유물에 포함되어 있을 경우 공유물에 대한 웹서비스 공유를 통제한다. 또한, 해당 공유물에 대한 통제 결과를 표시할 뿐만 아니라, 각 사용자에게 통제결과에 대한 보고서를 제공하는 등 지속적인 통제 관리를 수행함으로써 적발 통제 및 교정 통제이외에 예방 통제를 동시에 하도록 하는 구성된 통제시스템을 제공하고 있다.
본 발명은, 소정의 환경에서 작동한다.
소정의 환경이란, 웹서비스 공유물의 사용을 통제하고 관리 서버 사이의 통신을 수행하는 서버에이전트 프로그램이 구동되고, 웹서비스 공유물을 등록하거나 조회하는 기능을 제공하는 웹서버(11)와, 웹서비스 공유물에 대한 통제 정책을 설정하고 관리하는 관리서버(22)와, 웹서버(11) 및 관리서버(22)와 네트위크로 연결되어 통신가능한 사용자 단말기(30, 40)를 포함하는 환경이다.
사용자 단말기(30, 40)는 관리서버(22) 및 웹서버(11)와 같은 네트워크로 연결되어 있는 내부 사용자 단말기(30)일 것이 바람직하나, 인터넷 등의 외부 네트워크로 연결되어 있는 외부 사용자 단말기(40)가 될 수도 있다.
본 발명은 상기 웹서버(11)가 아래와 같은 단계를 거쳐 수행한다.
본 발명에 의한 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법은, 상기 웹서버(11)가 관리서버(22)로부터 통제 대상 데이터의 통제 정책을 수신하는 통제정책관리 단계, 상기 웹서버(11)가 내부 사용자 단말기(30)로부터 웹서비스 공유물의 등록하거나 조회하는 요청을 수신하는 공유물 요청 수신 단계, 상기 웹서버(11)가 상기 요청된 공유물의 암호화 여부를 판단하는 공유물 암호화 여부 확인 단계, 상기 웹서버(11)가 상기 요청된 공유물이 암호화 되어 있는 경 우 이를 복호화하는 공유물 복호화 단계, 상기 웹서버(11)가 상기 복호화된 데이터에 통제 대상 데이터의 유무를 판단하는 통제 대상 데이터 판단 단계, 상기 웹서버(11)가 상기 복호화된 데이터에 통제 대상 데이터가 포함된 경우 이를 삭제하거나 다른 데이터로 치환하는 통제 대상 데이터 처리단계, 상기 웹서버(11)가 상기 통제 대상 데이터 처리단계에서 처리된 데이터를 암호화하는 데이터 암호화 단계를 포함한다.
또한, 상기 웹서버(11)가 상기 삭제되거나 치환된 데이터에 대한 기록을 저장하고 이를 관리서버(22)로 전송하는 통제대상 처리결과 전송단계를 더 포함할 수 있으며,
상기 웹서버(11)가 상기 복호화된 데이터를 파일 데이터와 직접 통제 대상 데이터로 분류하는 데이터 분류 단계, 상기 웹서버(11)가 상기 분류된 파일 데이터에 악성코드가 포함되어 있는지를 검사하는 악성코드 검사 단계, 상기 웹서버(11)가 상기 파일 데이터에 악성코드가 포함되어 있는 경우 이를 삭제하거나 다른 데이터로 치환하는 악성코드 처리단계를 더욱 포함할 수 있다.
또한, 상기 환경은, 상기 웹서버(11) 및 관리서버(22)와 외부 네트워크로 연결되어 있고, 악성코드정보를 갱신하도록 하는 업데이트 서버(51)를 더 포함할 수 있는데, 이 경우 상기 웹서버(11)가 주기적으로 업데이트 서버(51)로부터 업데이트 정보를 수신하여 상기 관리서버(22)에 악성코드용 데이터 베이스를 갱신하도록 하는 악성코드용 데이터 베이스 업데이트 단계를 더 포함할 수 있다.
또한, 본 발명은 통제 정책의 예방 및 사용자의 사전 교육을 위해, 청구항 1의 방법을 수행하는 상기 웹서버(11)와 네트워크로 연결되어 있는 상기 관리서버(22)가 수행하는 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법에 있어서, 상기 관리서버(22)가 상기 웹서버(11)로부터 공유물에 대한 통제대상 처리결과를 전송받는 단계, 상기 관리서버(22)가 상기 전송받은 결과를 관리자에게 실시간으로 통보하는 단계, 상기 관리서버(22)가 상기 전송받은 결과를 사용자 단말기에 실시간으로 통보하는 단계, 상기 관리서버(22)가 상기 전송받은 결과를 다수의 사용자가 열람할 수 있도록 공개하는 열람 제공단계를 포함할 수 있다.
또한, 불량사용자의 웹서버에 대한 접근을 원천적으로 차단하기 위해서, 청구항 1의 방법을 수행하는 상기 웹서버(11)와 네트워크로 연결되어 있고, 불량사용자목록관리 모듈을 더 포함하는 관리서버(22)가 수행하는 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법에 있어서, 상기 관리서버(22)가 사용자가 상기 불량사용자목록관리 모듈에 포함되는 경우에는 상기 웹서비스 공유물에 대한 등록 또는 조회를 차단하는 단계를 포함할 수 있다.
이때, 상기 관리서버(22)가 상기 웹서버(11)로부터 공유물에 대한 통제대상 처리결과를 전송받는 단계와, 상기 관리서버(22)가 통제대상을 위반한 사용자를 상기 불량사용자목록관리 모듈에 저장하는 단계를 더 포함할 수 있다.
본 발명은 같은 네트워크를 사용하는 내부 사용자들이 실수로 혹은 부주의로 인하여 개인 정보 유출 등의 문제를 일으킬 수 있는 것을 사전에 차단하여 기업의 정보 유출을 방지하는 효과가 있다. 특히, 이러한 차단을 회피하기 위하여 암호화하는 방식을 채택하더라도, 공유물에 대한 복호화 작업을 포함하여 이에 대한 차단을 완벽하게 할 수 있다.또한, 해당 공유물에 대한 통제 결과를 표시할 뿐만 아니라, 각 사용자에게 통제결과에 대한 보고서를 제공하는 등 지속적인 통제 관리를 수행함으로써 적발 통제 및 교정 통제 이외에 예방 통제를 동시에 하도록 하는 효과를 가지고 있다.
이하에서는 첨부된 도면을 참조로 하여 본 발명의 양호한 실시예에 대하여 설명하기로 한다.
도 1은 본 발명의 암호화 기능이 포함된 웹서비스 공유물 통제 시스템의 네트워크 구조를 나타내는 도면으로서, 웹서비스 공유물의 등록과 조회에 대한 통제시스템이 내부 네트워크(1)와 외부 네트워크(2) 환경에서 구분하여 통제되는 것을 보여주는 구성이다. 또한 웹서비스 공유물의 등록과 조회에 대한 통제수단으로 내부 사용자 단말시스템(30)을 통한 정보자산시스템의 웹서버(11)의 서비스 사용을 통제하는 것과 외부 사용자 단말시스템(40)을 통한 웹서비스 사용의 통제를 제공하는 것을 보여준다.
여기에서 정보자산시스템이란, 고객 또는 직원 기록 등의 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등을 포함하고 있는 웹서버(11)를 포함한 광의의 개념이다.
또한, 통제 대상이란 관리자가 필요에 따라 웹서버의 공유물에 포함되어서는 안되는 정보 등을 말하며, 고객 또는 직원 기록 등의 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등이 될 수 있다.
본 발명은 DATA LOSS PREVENTION과 관련된 것으로서, 주 목적은 특정 기업의 내부의 웹서비스 사용자의 관리 통제를 목적으로 한 것이나, 이들이 인터넷과 같은 외부 네트워크를 통하여 접속하는 경우에도 이의 관리 통제를 목적으로 할 수 있다. 또한 발명이 더욱 확대되는 경우, 외부 사용자의 관리 통제를 목적으로 할 수도 있다.
상기 통제 시스템은 웹서비스 공유물을 수용하는 웹서버(11)와, 허가되지 않은 내용을 포함한 웹서비스 공유물을 통제관리하는 서버에이전트(12)와, 통제 시스템의 통제 정책을 수립하고 모니터링하는 관리자운영콘솔(21)과, 통제 시스템의 통제정책과 시스템 환경정책을 관리하고 로그수집을 통한 사용자관리를 수행하는 관리서버(22)와, 사용자 단말기(30)에서 웹서비스를 이용하는 도구인 웹브라우저(31)와, 사용자 단말기에 설치되어 사용자로그인 및 정책위반 실시간 알림을 수행하는 사용자에이전트(32)와, 통제 시스템 일부 기능으로 악성코드검출에 이용되는 데이터베이스를 제공하는 업데이트 서버(51)를 제공하는 것을 특징으로 한다.
여기에서 서버에이전트(12) 및 웹브라우저(31), 사용자에이전트(32)는 각 서버 또는 사용자 단말기에 설치되어 구동되는 프로그램을 가리킨다.
내부 사용자 단말기(30)는 웹서버(11) 및 관리서버(22)와 LAN 및 WAN 등의 동일한 네트워크 상에 존재한다.
도 2는 본 발명의 통제시스템을 구성하고 있는 환경에서 각 구성요소들의 작용관계를 도시적으로 나타낸 그림이다. 여기에서 사용자란 기업 내부의 사용자를 가리키는 것이 일반적이나 일반적인 사용자가 될 수도 있다.
사용자가 사용자 단말시스템의 웹브라우저를 이용하여 웹서버(11)에 공유물에 대한 등록을 요청하거나, 웹서버(11)에 등록된 공유물에 대한 조회를 웹서버(11)에 요청하면, 수신된 공유물에 대한 요청을 받은 웹서버(11)는 서버 에이전트(12)를 구동하여 상기 공유물에 통제 대상 데이터의 존재 유무를 판단하게 된다. 만일, 통제 대상 데이터가 없다면 정상적인 웹서비스 공유물의 등록 또는 조회에 대한 사용을 허가하지만, 통제 대상 데이터가 존재한다면 상기 공유물의 사용을 차단하거나 통제 대상 데이터를 다른 정상적인 데이터를 치환하여 제공하는 통제 관리를 수행하게 된다.
또한 통제 관리된 데이터의 내용은 감사로그화일로 기록되며, 기록된 감사로그화일은 관리서버(22)로 전송되고, 관리서버는 상기 감사로그화일을 실시간으로 사용자 에이전트(32)로 통보함과 아울러 전송된 감사로그화일을 바탕으로 통계 작업을 수행하며, 이러한 통계데이터는 사용자가 원할 때 웹브라우저(31)를 통해 열람할 수 있도록 기능을 제공하게 된다.
도 3은 본 발명의 암호화 기능이 포함된 웹서비스 공유물에 대한 서비스 처리 흐름을 순차적으로 나타내는 순서도로서, 웹서비스 공유물을 등록 또는 조회하는 구조를 상세하게 보여준다.
먼저 관리자가 관리시스템의 관리자운영콘솔(21)을 사용하여 설정한 통제 정책을 서버 에이전트(12)가 관리서버(22)에서 수신하여 사용자의 웹서비스 공유물을 통제할 준비를 하는 통제정책관리(101) 단계로 대기한다. 통제 정책이란, 공유물 중 포함되어 있으면 안되는 정보들, 즉 고객 또는 직원 기록 등의 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등을 설정하는 것을 의미한다.
사용자는 사용자 에이전트(32)를 사용하여 관리서버(22)로 로그인을 시도한다. 이 단계는 사용자 로그인(102) 단계로 로그인한 사용자의 인터넷주소 정보가 관리서버(22)에 전달된다.
사용자는 사용자 로그인 후 웹서버에 공유물을 등록하거나, 등록된 공유물에 대한 조회 요청(103)을 수행한다. 다음 단계는 불량사용자관리(104) 단계로, 서버 에이전트가 관리서버(22)에 수집된 인터넷주소 정보에 대해 통제 관리할 불량사용자 여부를 확인(121)하여 불량사용자로 판단시 상기 공유물 요청에 대해 통제를 실 시한다. 여기에서 통제란 웹서버(11)에 공유물의 등록을 차단하거나, 웹서버(11)에 등록된 공유물(11)의 조회를 차단하는 것을 말한다.
다음 단계는 데이터복호화처리(105) 단계로, 서버 에이전트(12)가 공유물 등록/조회를 요청한 데이터가 암호화가 되었는지 여부를 판단하여, 암호화되어 있는 경우에는 서버 에이전트(12)가 통제대상데이터를 분석할 수 있도록 요청 공유물의 데이터를 복호화한다.
다음 단계는 데이터분류(106) 단계로, 서버 에이전트(12)가 입력한 데이터를 항목별로 분류하여 파일형태의 데이터와 직접적인 통제대상데이터로 분류한다.
여기에서 직접적인 통제대상데이터란 파일 형식을 제외한 웹문서에서 직접 인식할 수 있는 문자 및 기호, 그림 등의 데이터를 의미한다.
다음 단계는 첨부파일분석(107) 단계로, 상위 단계인 데이터분류(106) 단계에서 데이터의 유형이 파일 형식을 포함하는 경우, 해당 파일이 악성코드가 포함되어 있는지를 검사하고, 만일 포함되어 있는 경우이거나 해당 파일내에 통제대상데이터가 검출될 경우 공유물 등록 요청에 대한 통제를 실시한다.
다음 단계는 데이터가공처리(109) 단계로, 서버 에이전트(12)가 상위 단계인 첨부파일분석(107) 단계에서 요청 데이터에 통제관리 항목인 통제대상데이터 또는 악성코드가 검출된 경우로서, 통제관리 방법으로 데이터치환 방법이 설정되어 있을 경우 통제대상데이터를 다른 데이터로 치환한다.
다음 단계는 데이터암호화처리(110) 단계로, 서버 에이전트가 상위 데이터복호화(105) 단계에서 데이터가 복호화 되었을 경우 가공된 데이터를 다시 암호화한 다.
다음 단계는 통제관리(111) 단계로, 통제되어 차단되거나 치환된 통제대상데이터에 대해 감사기록을 저장하고 분석처리하는 통제 시스템의 마지막 단계이다.
또한 모든 단계에서 통제되는 데이터는 데이터통제(112) 단계에서 요청한 공유물의 등록/조회에 대해 차단메시지를 전송할 수 있도록 통제관리된다.
도 4는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 등록에 대한 통제 구조를 나타내는 순서도로, 웹서버에서 공유물의 등록시 통제절차를 상세하게 보여준다.
도 4에서, 사용자가 웹브라우저를 사용하여 웹서비스 공유물의 등록을 요청(201)하면, 서버 에이전트(12)가 먼저 불량사용자인지를 판단(202)하여 불량사용자일 경우 요청을 통제한다. 이에 대해서는 도 3에서 자세하게 설명한 바 있다. 판단결과 불량사용자가 아닐 경우 요청한 데이터를 수신(203)하여, 공유물을 등록하려는 데이터의 암호화 여부를 판단(204)하고, 데이터가 암호화 되어 있을 경우 데이터를 복호화한다. 이후 복호화된 데이터에 대하여 데이터분류(205) 단계를 수행하여 웹서비스 공유물 등록 데이터가 파일형태인지를 판단(206)하고, 파일형태일 경우 첨부파일에 대한 악성코드포함여부를 분석하여, 악성코드 포함시 요청 데이터에 대해 통제 관리를 실시한다.
또한 파일형태의 요청 데이터가 아니거나 악성코드가 포함되지 않은 파일형태의 요청 데이터일 경우 통제대상데이터를 분석(207)하여, 통제대상데이터가 포함 되어 있을 경우 데이터가공 단계를 수행한다. 데이터가공 단계란 통제 정책에 따라 포함된 통제대상데이터를 다른 데이터로 치환하거나, 삭제하는 것을 의미한다.
통제대상데이터포함 여부판단 단계(208)에서 통제대상데이터가 포함되어 있지 않거나, 통제대상데이터에 대하여 데이터가공 단계를 수행한 후, 초기 암호화된 것을 복호화 했던 것이라면 데이터 암호화 단계를 수행하고, 초기 암호화된 것이 아니었다면 데이터 암호화 단계를 거치지 않고, 웹서버에 공유물 등록 요청을 정상적으로 처리하도록 한다.
도 5는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 조회에 대한 통제 구조를 나타내는 순서도로, 웹서버에 등록된 공유물에 대한 조회에 대한 통제절차를 상세하게 보여준다.
도 5에서, 사용자가 웹브라우저를 사용하여 웹버서(11)에 등록된 공유물의 조회를 요청하면(301), 서버 에이전트(12)가 공유물 조회 요청을 수신(302)하고 수신된 요청 데이터를 웹서버(11)의 업무 프로그램으로 전달(303)한다.
여기에서 업무 프로그램이란 서버 에이전트(12) 프로그램의 일부분이 될 수도 있고, 별도의 알고리즘을 통해 구현된 프로그램일 수도 있다. 이렇게 전달된 요청은 웹서버의 업무 프로그램에 의해 요청 결과를 반환하며 서버 에이전트는 요청에 대한 응답데이터를 수신(304)한다. 응답데이터는 두가지의 형태를 가질 수 있다. 하나는 암호화된 데이터이며, 다른 하나는 암호화되지 않은 데이터이다. 서버 에이전트는 이러한 응답데이터의 암호화 여부를 판단(305)한다.
만일 데이터가 암호화되어 있을 경우 데이터를 복호화하는 과정을 선행한다. 복호화되거나 암호화되지 않은 상태로 직접 수신된 응답 데이터에 통제대상데이터가 포함되어 있는지를 분석(306)하여, 통제대상데이터가 포함되어 있을 경우 데이터가공 단계를 수행한다. 데이터가공 단계란 통제 정책에 따라 포함된 통제대상데이터를 다른 데이터로 치환하거나, 삭제하는 것을 의미한다.
통제대상데이터포함 여부판단 단계(307)에서 통제대상데이터가 포함되어 있지 않거나, 통제대상데이터에 대하여 데이터가공 단계를 수행한 후, 초기 암호화된 것을 복호화 했던 것이라면 데이터 암호화 단계를 수행하고, 초기 암호화된 것이 아니었다면 데이터 암호화 단계를 거치지 않고, 웹서버에 공유물 조회 요청을 정상적으로 처리하도록 한다.
도 6은 본 발명의 암호화 기능이 포함된 웹서비스 공유물 중 파일형태의 공유물을 통제하는 구조를 나타내는 도면으로서, 파일에 대한 악성코드 분석 및 통제데이터분석을 수행하는 통제절차를 상세하게 보여준다.
도 3에서 개시된 첨부파일분석(107) 단계는, 파일에 악성코드가 포함되어 있는지 여부를 판단하는 기준 데이터베이스를 획득하기 위해 서버 에이전트(12)는 악성코드용DB관리모듈(401)을 통해 주기적으로 관리서버(22)에 존재하는 악성코드용DB(411)를 갱신하고, 이를 바탕으로 서버 에이전트에 존재하는 악성코드용DB(402)를 최신버전으로 유지한다. 관리서버의 악성코드용DB(411)는 통제시스템의 외부 네트워크(2)에 존재하는 업데이트서버(51)에서 주기적인 갱신을 받는다.
사용자가 웹서비스 공유물로 파일형태의 데이터를 첨부(412)하여 등록을 요청하면, 서버 에이전트의 악성코드분석모듈(403)이 악성코드가 포함되어 있는지 여부를 판단하여 악성코드가 포함되어 있으면 파일형태의 웹서비스 공유물 등록을 통제관리한다. 파일형태의 게시물 등록 요청 데이터에 악성코드가 포함되어 있지 않으면 해당 파일의 유형을 분류(404)하여 압축파일의 경우 압축해제(405)여 일반파일로 압축해제하고, 일반파일과 압축해제된 일반파일은 일반파일관리(406)를 통해서 통제대상데이터를 추출하여 통제대상데이터를 분석한다.
도 7은 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 정보 내부에 포함된 통제대상데이터를 분석하는 구조를 나타내는 도면으로서, 사용자가 공유물 등록 또는 조회 요청으로 수신된 데이터를 입력값(511)으로 하여, 통제대상데이터를 포함하고 있는지를 분석(502)하여 통제대상데이터가 포함되어 있을 경우 데이터가공처리 및 통제관리하는 통제대상데이터분석 단계를 상세하게 보여준다.
도 7에서 서버 에이전트(12)는 웹서버에 등록 및 조회 요청으로 수신된 데이터에서 서버 에이전트가 분석할 수 있는 형태의 통제대상데이터 분석을 위한 목적데이터를 추출(501)하고, 추출된 목적데이터를 분석(502)을 통해, 개인정보 등의 통제 대상 데이터의 포함여부를 분석(503)하는 절차와, 비속어의 포함여부를 분석(504)하는 절차와, 통제정책설정에 의해 설정된 키워드의 포함여부를 분석(505)하는 절차와, 통제정책설정에 의해 설정된 정규표현식의 포함여부를 분석(506)하는 절차를 통해 상기 통제대상데이터를 포함하고 있을 경우 추출된 목 적데이터는 데이터가공처리되며 차단 및 치환, 감사기록 등 통제관리된다.
도 8에서, 서버 에이전트가 불량사용자이거나, 첨부파일에 악성코드가 포함된 것으로 판별된 데이터에 대해서는 직접 차단메시지가 할당(601)되며, 통제대상데이터에 대해서는 통제처리구분(611) 절차를 수행하여 통제정책에 따라 치환대상의 경우에는 통제대상데이터를 치환(612)하며, 통제대상데이터가 차단대상의 경우 통제대상데이터에 대해 차단메시지를 할당(601)한다.
이때, 차단메시지 할당은 관리자가 설정한 통제정책 수립에 따라, 각각의 차단방법 및 사용자, 통제대상에 따라 개별적인 차단메시지를 할당될 수 있다.
또한 상기에서 할당된 차단메시지를 사용하여 서버 에이전트는 사용자에게 보여줄 차단메시지를 생성(602)하고, 사용자 단말시스템의 웹브라우저에 보여줄 수 있도록 준비하며, 공유물 등록/조회 요청에 대한 수신 데이터가 암호화되어 있는지 판단(603)하여 수신 데이터가 암호화되어 있었을 경우 차단메시지를 암호화(604)하여, 사용자 단말시스템으로 차단메시지를 전송(605)한다.
도 9는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 등록에 대한 통제시 위험발생가능성이 높은 사용자에 대한 불량사용자 관리 구조를 나타내는 도면으로서, 통제대상데이터의 분석으로 정책위반이 발견될 경우, 정책위반이 위험수준 이상으로 반복적으로 발생시, 정책을 위반한 사용자에 대해 불량사용자 정보를 추가(705)하고, 추가된 불량사용자목록을 관리(701)하여 불량사용자목록을 유지(702) 하며, 공유물 등록 및 조회 요청시 불량사용자 여부를 판독(703)하여 해당 사용자가 불량사용자일 경우, 요청데이터에 대해 통제를 하며, 불량사용자가 아니라 판단(704)되면 통제대상데이터분석 절차를 수행하여 상기 서술된 절차를 순환하여 수행한다.
이때, 불량사용자목록관리모듈(701)은 불량사용자가 일정 시간 이상 공유물에 대한 등록 및 조회를 요청하지 않으면, 불량사용자 목록에서 해당 사용자 정보를 제거시킨다.
도 10은 본 발명의 암호화 기능이 포함된 웹서비스 공유물에 보안관리 정책위반 사항에 따른 통제관리를 나타내는 도면으로서, 사용자에 대한 통제정책의 예방교육과 실시간 통제절차를 상세하게 보여준다.
도 10에서, 사용자가 사용자 단말시스템의 웹브라우저를 사용하여 공유물 등록 및 조회를 요청하면, 서버 에이전트(12)는 통제대상데이터분석, 데이터가공, 데이터통제 절차를 수행하며, 다음 단계에서 통제관리의 첫번째 단계로 통제된 결과에 대해 감사기록을 저장(807)하며, 서버 에이전트 저장된 감사기록을 관리서버로 전송(808)하며, 정책위반사항에 대해서는 관리서버의 경보관리(803) 모듈에 의해 문자메시지 또는 전자우편 형태로 관리자에게 경보가 통보(804)된다.
이때, 관리서버는 관리서버에 수집된 정책위반 사항에 대한 감사기록을 이용하여 사용자 단말시스템의 사용자 에이전트(32)에 정책위반 사실을 실시간을 알려주며(805), 또한, 사용자가 정책을 위반하지 않도록 예방적 차원에서 해당 사용자 의 정책위반 사항을 사용자 단말시스템의 웹브라우저(31)를 통해 사용자에게 제공하며 정책위반사항을 열람(806)하도록 기능을 제공한다.
본 발명은 상기와 같은 실시예에 의해 권리범위가 한정되는 것은 아니며, 본 발명의 기술적인 사상을 가지고 있다면 모두 본 발명의 권리범위에 해당된다고 볼 수 있으며, 본 발명은 특허청구범위에 의해 권리범위가 정해짐을 밝혀둔다.
도 1은 본 발명의 암호화 기능이 포함된 웹서비스 공유물 통제 시스템의 네트워크 구조를 나타내는 도면.
도 2는 본 발명의 암호화 기능이 포함된 웹서비스 공유물 통제 시스템의 통제 흐름에 대한 실시 예를 나타내는 도면.
도 3은 본 발명의 암호화 기능이 포함된 웹서비스 공유물에 대한 서비스 처리 흐름을 순차적으로 나타내는 순서도.
도 4는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 등록에 대한 통제 구조를 나타내는 순서도.
도 5는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 조회에 대한 통제 구조를 나타내는 순서도.
도 6은 본 발명의 암호화 기능이 포함된 웹서비스 공유물 중 파일형태의 공유물을 통제하는 구조를 나타내는 도면.
도 7은 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 정보 내부에 포함된 통제대상데이터를 분석하는 구조를 나타내는 도면.
도 8은 본 발명의 암호화 기능이 포함된 웹서비스 공유물에 대한 차단메시지 생성 및 전송 구조를 나타내는 도면.
도 9는 본 발명의 암호화 기능이 포함된 웹서비스 공유물의 등록에 대한 통제시 위험발생가능성이 높은 사용자에 대한 불량사용자 관리 구조를 나타내는 도면.
도 10은 본 발명의 암호화 기능이 포함된 웹서비스 공유물에 보안관리 정책위반 사항에 따른 통제관리를 나타내는 도면.

Claims (8)

  1. 웹서비스 공유물의 사용을 통제하고 관리 서버와의 통신을 수행하는 서버에이전트 프로그램이 구동되고, 웹서비스 공유물을 등록하거나 조회하는 기능을 제공하는 웹서버와,
    웹서비스 공유물에 대한 통제 정책을 설정하고 관리하며 상기 웹서버와 네트워크로 연결되어 있는 관리서버와,
    웹서버 및 관리서버와 네트위크로 연결되어 통신가능한 사용자 단말기를 포함하는 환경에서 수행되는, 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법에 있어서,
    상기 웹서버가 관리서버로부터 통제 대상 데이터의 통제 정책을 수신하는 통제정책관리 단계와,
    상기 웹서버가 내부 사용자 단말기로부터 웹서비스 공유물의 등록하거나 조회하는 요청을 수신하는 공유물 요청 수신 단계와,
    상기 웹서버가 상기 요청된 공유물의 암호화 여부를 판단하는 공유물 암호화 여부 확인 단계와,
    상기 웹서버가 상기 요청된 공유물이 암호화 되어 있는 경우 이를 복호화하는 공유물 복호화 단계와,
    상기 웹서버가 상기 복호화된 데이터에 통제 대상 데이터의 유무를 판단하는 통제 대상 데이터 판단 단계와,
    상기 웹서버가 상기 복호화된 데이터에 통제 대상 데이터가 포함된 경우 이를 삭제하거나 다른 데이터로 치환하는 통제 대상 데이터 처리단계와,
    상기 웹서버가 상기 통제 대상 데이터 처리단계에서 처리된 데이터를 암호화하는 데이터 암호화 단계와,
    상기 관리서버가 상기 웹서버로부터 공유물에 대한 통제대상 처리결과를 전송받는 단계와,
    상기 관리서버가 상기 전송받은 결과를 관리자에게 실시간으로 통보하는 단계와,
    상기 관리서버가 상기 전송받은 결과를 사용자 단말기에 실시간으로 통보하는 단계와,
    상기 관리서버가 상기 전송받은 결과를 다수의 사용자가 열람할 수 있도록 공개하는 열람 제공단계를 포함하는,
    암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템 제공 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
KR1020090017036A 2009-02-27 2009-02-27 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법 KR101032134B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090017036A KR101032134B1 (ko) 2009-02-27 2009-02-27 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090017036A KR101032134B1 (ko) 2009-02-27 2009-02-27 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법

Publications (2)

Publication Number Publication Date
KR20100098054A KR20100098054A (ko) 2010-09-06
KR101032134B1 true KR101032134B1 (ko) 2011-05-02

Family

ID=43005078

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090017036A KR101032134B1 (ko) 2009-02-27 2009-02-27 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법

Country Status (1)

Country Link
KR (1) KR101032134B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108282517A (zh) * 2017-12-21 2018-07-13 福建天泉教育科技有限公司 一种web服务升级的方法及终端
KR102351471B1 (ko) * 2020-07-17 2022-01-17 주식회사 알파비트 암호화 정책 관리 방법 및 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475311B1 (ko) * 2002-12-24 2005-03-10 한국전자통신연구원 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법
KR100820306B1 (ko) * 2007-07-16 2008-04-08 주식회사 피앤피시큐어 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475311B1 (ko) * 2002-12-24 2005-03-10 한국전자통신연구원 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법
KR100820306B1 (ko) * 2007-07-16 2008-04-08 주식회사 피앤피시큐어 데이터 마스킹을 이용한 보안시스템과 이를 이용한 데이터보안방법

Also Published As

Publication number Publication date
KR20100098054A (ko) 2010-09-06

Similar Documents

Publication Publication Date Title
Mughal Cybersecurity Architecture for the Cloud: Protecting Network in a Virtual Environment
US10498772B2 (en) Method and system for digital privacy management
US7409547B2 (en) Adaptive transparent encryption
US8239668B1 (en) Computer security threat data collection and aggregation with user privacy protection
US20060031938A1 (en) Integrated emergency response system in information infrastructure and operating method therefor
Liu et al. A survey of payment card industry data security standard
AU2020217317B2 (en) Tunneled monitoring service and methods
KR101032134B1 (ko) 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법
Choi et al. A HIPAA security and privacy compliance audit and risk assessment mitigation approach
Basson The right to privacy: how the proposed POPI Bill will impact data security in a Cloud Computing environment
Stallings Data loss prevention as a privacy-enhancing technology
Georgiou et al. A security policy for cloud providers
KR101007400B1 (ko) 데이터 프로세싱 보안 서비스 제공 방법 및 시스템
KR100673137B1 (ko) 전자문서 보관소의 보안 시스템 및 방법
AU2024204230A1 (en) Tunneled monitoring service and methods
WO2021144770A1 (en) Device and method for securing, governing and monitoring source control management (scm) and version control systems
CN116010961A (zh) 一种云端装置、终端装置以及云电脑系统
Porter Evaluating and designing a network and information security solution for a company in accordance with PCI DSS
Clutterbuck et al. An Extended Public Key Infrastructure Framework For Host-Based Information Security Management
AUTHORITY Policy & Procedure Manual
Rahman Name of the Contributor
ARSLAN YÖNETİM BİLİŞİM SİSTEMLERİ DERGİSİ
DeLuccia IV Principle 5: Security and Assurance

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140421

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170411

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180410

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190325

Year of fee payment: 9