KR101098947B1 - 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체 - Google Patents

데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체 Download PDF

Info

Publication number
KR101098947B1
KR101098947B1 KR1020090008602A KR20090008602A KR101098947B1 KR 101098947 B1 KR101098947 B1 KR 101098947B1 KR 1020090008602 A KR1020090008602 A KR 1020090008602A KR 20090008602 A KR20090008602 A KR 20090008602A KR 101098947 B1 KR101098947 B1 KR 101098947B1
Authority
KR
South Korea
Prior art keywords
file data
data
path
storage medium
security
Prior art date
Application number
KR1020090008602A
Other languages
English (en)
Other versions
KR20100089387A (ko
Inventor
김상범
이기용
이병오
정용우
Original Assignee
김상범
정용우
이병오
이기용
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김상범, 정용우, 이병오, 이기용 filed Critical 김상범
Priority to KR1020090008602A priority Critical patent/KR101098947B1/ko
Publication of KR20100089387A publication Critical patent/KR20100089387A/ko
Application granted granted Critical
Publication of KR101098947B1 publication Critical patent/KR101098947B1/ko

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47CCHAIRS; SOFAS; BEDS
    • A47C19/00Bedsteads
    • A47C19/02Parts or details of bedsteads not fully covered in a single one of the following subgroups, e.g. bed rails, post rails

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체; 사용자 입력에 따라 상기 일반 저장 영역에 신규 파일 데이터를 저장하거나 저장된 파일 데이터와는 다른 변경된 파일 데이터를 저장하기 위한 출력 명령을 상기 저장매체에 출력하는 운영체제부; 상기 출력 명령이 발생한 경우, 상기 일반 저장 영역의 일부를 보안 영역으로 설정하여 상기 신규 파일 데이터 또는 상기 변경된 파일 데이터를 저장하거나 상기 저장된 파일 데이터를 백업하여 저장하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치를 제공한다.
데이터 보안, FSD

Description

데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체{METHOD AND APPARATUS FOR DATA SECURITY, AND RECORDING MEDIUM STORING PROGRAM TO IMPLEMENT THE METHOD}
본 발명은 데이터 보안 장치 및 데이터 보안 방법, 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체에 관한 것으로서, 더욱 상세하게는, 변경된 모든 데이터를 변경 전의 데이터로 완벽하게 복구함으로써 데이터의 유출을 방지할 수 있는 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체에 관한 것이다.
최근, 기술이 다양해지고 기술 수준이 높아짐에 따라, 사업성이 높은 기술에 대한 부당한 거래가 잦아지고 있다. 그래서 기업들은 자사의 기술이 임의로 외부로 유출되는 것을 막기 위하여 부단한 노력을 하고 있다.
특히, 기업이 외부 인력을 아웃소싱하여 기술 개발 등을 진행하는 경우에 있어서는 더욱 내부 기술 자료의 유출에 대하여 보안을 강화한다.
일반적인 데이터 보안 방법으로는, 외부 인력이 기업으로 진입할 때 및 작업을 마치고 돌아갈 때, 노트북, 휴대폰, USB 메모리 등의 각종 저장매체를 포맷과 같은 처리에 의해 초기화하도록 하고 있다.
그러나 이러한 방법은, 애초에 저장되어 있던 외부 인력의 개인적인 자료까지도 손상된다는 단점이 있으며, 노트북 컴퓨터와 같은 경우에는 모든 프로그램을 재설치해야한다는 번거로움을 유발한다.
또한, 다른 데이터 보안 방법으로는, 기업으로 진입하기 전에 저장매체마다 저장된 파일의 개수 및 용량을 기록하여두고, 돌아갈 때에도 같은 상태인지를 비교하는 방법이 있다.
하지만 이러한 방법도, 기존의 데이터에 덮어쓰기나 동일한 크기를 같는 파일과 파일명 변경 등의 방법에 대해서는 감시가 곤란하다.
상술한 문제점을 해결하기 위해, 본 발명은 간단한 프로세스에 의해 완벽한 데이터 보안을 행할 수 있는 데이터 보안 장치 및 데이터 보안 방법을 제공하는 것을 목적으로 한다.
또한 본 발명은 임의의 저장매체 내의 원본 파일 데이터를 동일한 또는 또다른 저장매체로 복사하거나 이동하거나 삭제하고자 하는 경우에 있어서, 원본 파일 데이터를 손상시키지 않고 보존할 수 있는 데이터 보안 장치 및 데이터 보안 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은, 상술한 데이터 보안 방법을 컴퓨터에서 실행할 수 있도록 설계된 프로그램을 저장하고 있는 기록매체를 제공하고자 한다.
상술한 과제를 해결하기 위한 본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체; 사용자 입력에 따라 상기 일반 저장 영역에 신규 파일 데이터를 저장하거나 저장된 파일 데이터와는 다른 변경된 파일 데이터를 저장하기 위한 출력 명령을 상기 저장매체에 출력하는 운영체제부; 상기 출력 명령이 발생한 경우, 상기 일반 저장 영역의 일부를 보안 영역으로 설정하여 상기 신규 파일 데이터 또는 상기 변경된 파일 데이터를 저장하거나 상기 저장된 파일 데이터를 백업하여 저장하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치를 제공한다.
또한, 상기 데이터 보안부는, 상기 운영체제부에서 인식하는 저장 경로 또는 폴더와는 다른 상기 보안 영역 내의 가상의 저장 경로 또는 폴더를 통해 파일 데이터에 접근하도록 관리하는 것을 특징으로 한다.
또한, 상기 보안 영역은 사용자가 상기 운영체제부를 통해 접근할 수 없도록 보호되는 것을 특징으로 한다.
또한, 상기 데이터 보안부는, 상기 보안 영역에 저장되는 데이터를 암호화하는 것을 특징으로 한다.
또한, 상기 데이터 보안부는, 데이터 보안부의 실행 프로세스를 강제로 삭제하기 위한 사용자 입력을 감지하면, 상기 삭제 요청을 거부하거나 또는 상기 데이 터 보안부의 실행 프로세스를 복제함으로써 실행을 계속하도록 하는 것을 특징으로 한다.
또한, 상기 데이터 보안부는, 상기 운영체제부에 접속된 외부 저장매체를 데이터 저장 불가능 상태로 제한하는 것을 특징으로 한다.
더욱, 본 발명에 있어서, 상기 보안 영역은 보안 폴더를 포함하고, 상기 데이터 보안부는, 상기 운영체제부로부터 상기 저장매체의 일반 저장 영역을 가리키는 제1 경로에 신규 파일 데이터의 저장을 지시하는 저장 명령을 감지하면, 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제1' 경로에 상기 신규 파일 데이터를 저장하고, 이후에 발생하는 상기 제1 경로에 대한 접근은 상기 제1' 경로에 대한 접근으로 변경하여 처리하고, 이후, 데이터 보안 명령의 입력을 접수하면, 상기 보안 폴더에 저장된 상기 신규 파일 데이터를 복구 불가능하게 완전삭제하는 것을 특징으로 한다.
더욱, 본 발명에 있어서, 상기 보안 영역은 보안 폴더 및 백업 폴더를 포함하고, 상기 데이터 보안부는, 상기 운영체제부로부터 상기 저장매체의 일반 저장 영역을 가리키는 제2 경로에 저장되어 있는 원본 파일 데이터의 이름 변경을 요청하는 변경 명령을 감지하면, 상기 백업 폴더에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하고, 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제2' 경로에 상기 제2 경로의 상기 원본 파일 데이터의 이름을 변경하여 저장하고, 상기 운영체제부에는 이름 변경이 완료한 것으로 보고하고, 이후에 발생하는 상기 제2 경로에 대한 접근은 상기 제2' 경로에 대한 접근으로 변경하여 처리하고, 이 후, 데이터 보안 실행 명령의 입력을 접수하면, 상기 보안 폴더에 저장된 상기 이름 변경된 파일 데이터를 복구 불가능하게 삭제하고 동시에 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제2 경로의 상기 원본 파일 데이터로 복원하는 것을 특징으로 한다.
더욱, 본 발명에 있어서, 상기 보안 영역은 백업 폴더를 포함하고, 상기 데이터 보안부는, 상기 운영체제부로부터 상기 저장매체의 상기 일반 저장 영역을 가리키는 제3 경로에 저장되어 있는 상기 원본 파일 데이터를 변경된 파일 데이터로 수정하는 저장을 요청하는 수정 명령을 감지하면, 상기 보안 영역 내의 상기 백업 폴더를 가리키는 제3' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하고, 상기 제3 경로의 상기 원본 파일 데이터를 상기 변경된 파일 데이터로 수정하고,
이후, 데이터 보안 실행 명령의 입력을 접수하면, 상기 제3 경로의 상기 변경된 파일 데이터를 완전삭제하고 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제3 경로의 상기 원본 파일 데이터로 복원하는 것을 특징으로 한다.
더욱, 본 발명에 있어서, 상기 보안 영역은 백업 폴더 및 삭제 폴더를 포함하고, 상기 데이터 보안부는, 상기 운영체제부로부터 상기 저장매체의 상기 일반 저장 영역을 가리키는 제4 경로에 저장되어 있는 상기 원본 파일 데이터를 복구 불가능하게 완전삭제 요청하는 삭제 명령을 감지하면, 상기 백업 폴더를 가리키는 제4' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하고, 상기 원본 파일 데이터의 상기 제4 경로를 상기 삭제 폴더를 가리키도록 변경하고, 상기 운영체제부에는 완전삭제 처리의 완료로 보고하고, 이후, 데이터 보안 실행 명령의 입력을 접수하면, 상기 삭제 폴더 내의 상기 원본 파일 데이터를 완전삭제하고, 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제4 경로의 상기 원본 파일 데이터로 복원하는 것을 특징으로 한다.
또한, 상술한 과제를 해결하기 위한 본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서의 데이터 보안 방법에 있어서, 상기 저장매체의 일반 저장 영역을 가리키는 제1 경로에 신규 파일 데이터의 저장을 지시하는 저장 명령을 접수하는 단계; 상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 보안 폴더를 생성하는 단계; 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제1' 경로에 상기 신규 파일 데이터를 저장하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 신규 파일 데이터를 저장하는 단계 이후, 상기 제1 경로에 대한 접근은 상기 제1' 경로에 대한 접근으로 변경하여 처리하는 단계를 더 포함한다.
또한, 상기 저장매체에 대한 데이터 보안 실행 명령의 입력을 접수하면, 상기 보안 폴더 내에 저장된 상기 신규 파일 데이터를 복구 불가능하게 완전삭제하는 단계를 더 포함한다.
또한, 본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서의 데이터 보안 방법에 있어서, 상기 저장매체의 일반 저장 영역을 가리키는 제2 경로에 저장되어 있는 원본 파일 데이터의 이름 변경을 요청하는 변경 명령을 접수하는 단계; 상기 저장매체의 상기 일반 저장 영역의 일부 를 보안 영역으로 설정하고, 상기 보안 영역에 보안 폴더 및 백업 폴더를 생성하는 단계; 상기 백업 폴더에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하는 단계; 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제2' 경로에 상기 제2 경로의 상기 원본 파일 데이터의 이름을 변경하여 저장하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 원본 파일 데이터의 이름을 변경하여 저장하는 단계 이후, 상기 제2 경로에 대한 접근은 상기 제2' 경로에 대한 접근으로 변경하여 처리하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 저장매체에 대한 데이터 보안 실행 명령의 입력을 접수하면, 상기 보안 폴더에 저장된 상기 이름 변경된 파일 데이터를 복구 불가능하게 삭제하고 동시에 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제2 경로의 상기 원본 파일 데이터로 복원하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서의 데이터 보안 방법에 있어서, 상기 저장매체의 상기 일반 저장 영역을 가리키는 제3 경로에 저장되어 있는 상기 원본 파일 데이터를 변경된 파일 데이터로 수정하는 저장을 요청하는 수정 명령을 접수하는 단계; 상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 백업 폴더를 생성하는 단계; 상기 보안 영역 내의 상기 백업 폴더를 가리키는 제3' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하는 단계; 상기 제3 경로의 상기 원본 파일 데이터를 상기 변경된 파일 데이터로 수정하 는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 저장매체에 대한 데이터 보안 실행 명령의 입력을 접수하면, 상기 제3 경로의 상기 변경된 파일 데이터를 완전삭제하고 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제3 경로의 상기 원본 파일 데이터로 복원하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명은, 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서의 데이터 보안 방법으로서, 상기 저장매체의 상기 일반 저장 영역을 가리키는 제4 경로에 저장되어 있는 상기 원본 파일 데이터를 복구 불가능하게 완전삭제 요청하는 삭제 명령을 접수하는 단계; 상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 백업 폴더 및 삭제 폴더를 생성하는 단계; 상기 백업 폴더를 가리키는 제4' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하는 단계; 상기 원본 파일 데이터의 상기 제4 경로를 상기 삭제 폴더를 가리키도록 변경하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 저장매체에 대한 데이터 보안 실행 명령의 입력을 접수하면, 상기 삭제 폴더 내의 상기 원본 파일 데이터를 완전삭제하고, 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제4 경로의 상기 원본 파일 데이터로 복원하는 단계를 더 포함하는 것을 특징으로 한다.
상술한 바와 같은 본 발명에 의하면, 사용자가 운영체제부를 통하여 저장매체에 저장되어 있는 데이터에 접근하여 각종 동작의 수행을 요청하는 경우에 있어서, 당시에는 사용자의 요청이 행해지는 것으로 확인되지만, 이후 데이터 보안부가 제거되면, 저장매체는 데이터 접근이 발생하기 이전으로 완벽하게 복구될 수 있게 된다. 따라서, 저장매체에 최초 저장된 데이터에 대하여, 또는 외부로부터 독출하여 저장매체 내에 저장하고자 하는 동작에 대하여 완전한 보안이 이루어질 수 있게 된다.
사용자는 운영체제부를 통하여 보안 영역에 접근할 수 없으므로, 보안 영역에 저장되는 데이터에 대한 완전한 보안이 가능하다.
또한, 보안 영역에 저장되는 데이터는 암호화되므로, 저장매체를 분리하여 데이터를 독출하고자 하는 경우에 대해서도 보안을 보장할 수 있다.
이하, 첨부한 도면을 참조하여 본 발명을 상세히 설명한다.
도 1은, 본 발명의 일 실시예에 따른 데이터 보안 장치의 구성을 나타내는 블록도이다. 도 1을 참조하면, 사용자가 사용하는 컴퓨터 등에 대해 적용되는 데이터 보안 장치은, 저장매체(10)와 운영체제부(20)와 데이터 보안부(30)를 포함하여 이루어진다.
저장매체(10)는, 운영체제부(20)로부터 제공되는 디지털 정보를 기록하고, 요청된 정보를 독출하는 기능을 행한다. 저장매체(10)로는 하드 디스크 또는 플로피 디스크 등과 같은 전자기적 저장매체, CD 또는 DVD와 같은 광학적 저장매체, USB 메모리 또는 플래시 메모리와 같은 전기적 저장매체 등을 포함할 수 있다.
이러한 저장매체(10)에 저장되는 데이터는 하나의 데이터 열이 끊김 없이 저장되는 것이 아니라, 일정한 크기의 섹터, 헤드, 실린더 등의 단위로 분할되어 구분 저장된다. 그리고 이렇게 분할된 단위들을 통합하여 하나의 대용량 데이터를 구성하게 되는 것이다.
한편, 이러한 데이터 저장 방식(파일 시스템)으로는 FAT, FAT32, NTFS, ext2, ext3 등이 있으며, 저장매체(10)가 적용되는 시스템에 따라서 선택되어 사용될 수 있다. 이러한 저장 방식은 저장매체(10)의 저장 공간을 논리적으로 분할하고 관리하기 위한 방법의 차이일 뿐이며 실제적으로 데이터는 상술한 단위별로 2진 데이터로 저장되게 된다.
운영체제부(20)는, 사용자가 컴퓨터가 다양한 기능을 수행할 수 있도록 동작하기 위한 논리적 제어 시스템이다. 운영체제부(20)는, 사용자가 실행하고자 하는 애플리케이션 프로그램을 구동하며, 애플리케이션 프로그램의 구동에 수반하여 저장매체 또는 메모리 장치(도시하지 않음)에 대한 데이터의 저장 및 독출의 요청이 발생하면, 저장매체(10) 또는 메모리 장치에 대한 상기 요청이 수행될 수 있도록 제어한다.
운영체제부(20)는 일련의 2진 데이터를 저장매체의 파일 시스템으로 변환하 여 저장하기 위한 파일 시스템 드라이버(FSD)(도시하지 않음)를 더 구비한다. 또한, 운영체제부(20)는 운영체제부(20)와 파일 시스템 드라이버와의 통신 내역을 감시할 수 있도록 하는 파일 시스템 필터 드라이버(FSFD)(도시하지 않음)를 더욱 구비한다.
데이터 보안부(30)는, 상술한 파일 시스템 필터 드라이버에 개재되어 운영체제부(20)와 저장매체(10)와의 데이터 송수신을 감시한다. 도 1에서 'A'로 도시된 부분은 파일 시스템 필터 드라이버에 해당하며, 운영체제부(20)와 저장매체(10)와의 연결이 모두 데이터 보안부(30)로 접속되어 있음을 보여주고 있다. 이러한 상태는 데이터 보안부(30)가 운영체제부(20)와 저장매체(10)의 모든 데이터 송수신을 중계하는 상태를 의미한다.
한편, 데이터 보안부(30)는 저장매체(10)의 적어도 일부의 영역을 보안 영역으로 설정할 수 있다. 일반적인 저장매체(10)는 기본적으로 사용자가 운영체제부(20)를 통해 자유롭게 데이터를 저장하고 요청에 따라 저장된 데이터를 독출할 수 있는 일반 저장 영역으로 이루어져 있지만, 데이터 보안부(30)의 제어에 의해 저장매체(10)의 일부의 영역이 사용자가 운영체제부(20)를 통해 임의로 접근할 수 없도록 보안 관리되는 보안 영역(12)으로 설정될 수 있다.
보안 영역(12)은 적어도 세 개의 폴더, 즉, 새로운 파일 데이터를 생성할 때의 대상 공간이 되는 보안 폴더와, 소정의 파일 데이터를 백업하여 보관하는 백업 폴더와, 복구 불가능하게 완전히 삭제할 파일 데이터를 보관하는 삭제 폴더를 포함 한다.
이렇게 사용자에 의한 임의의 접근이 불가능하도록 관리되는 보안 영역(12)은, 데이터 보안부(30)가 운영체제부(20)에서 저장매체(10)로의 모든 접근을 중계하고 있기 때문에 가능하다. 즉, 운영체제부(20)가 보안 영역(12)으로의 접근을 시도하면, 데이터 보안부(30)에서 상기 접근을 거절하거나 다른 영역으로 접근하도록 명령을 변경한다.
더욱, 데이터 보안부(30)는 보안 영역(12)으로 저장되는 모든 데이터를 암호화함으로써 데이터 보안부(30)를 거치지 않는 접근에 의해서는 저장된 데이터를 복호화할 수 없도록 할 수도 있다. 이에 의해, 저장 매체(10)를 강제로 분리하여 다른 컴퓨터에 의해 보안 영역(12)으로 접근하더라도 데이터를 보호할 수 있게 된다.
이러한 데이터 보안부(30)는 일반 저장 영역의 소정의 위치로의 신규 파일 데이터 생성 요청, 일반 저장 영역에 저장된 원본 파일 데이터에 대한 복사, 이름변경, 내용변경 또는 삭제 등의 요청이 발생하면, 신규 파일 데이터 또는 원본 파일 데이터의 사본을 보안 영역(12)의 소정의 폴더 내에 생성하고, 요청된 작업을 사본 데이터에 대하여 실시하게 된다. 이후, 운영체제부(20)에서 원본 파일 데이터로의 접근이 발생하면, 데이터 보안부(30)에서 사본 데이터로의 접근하도록 하여 운영체제부(20)는 원본 파일 데이터에 대하여 요청된 작업이 수행된 것으로 인식하게 된다.
또는 상술한 요청이 발생하면, 작업 요청된 원본 파일 데이터를 보안 영역에 복사하여 사본 데이터를 저장함으로써 백업하고, 이 사본 데이터는 그대로 유지하 고, 원본 파일 데이터에 대하여 요청된 작업을 실시하고, 이후 작업 실시된 원본 파일 데이터를 사본 데이터로 복원하도록 할 수도 있다.
이와 같은 데이터 보안부(30)는 보안이 필요한 컴퓨터(또는 운영체제부)에 대하여 프로그램의 형태로 제공될 수 있으며, 보안 운영자가 데이터 보안 프로그램을 사용자 컴퓨터의 운영체제부(20)에 설치함으로써 데이터 보안부가 구동하게 된다.
데이터 보안부(30)는 데이터 보안 프로그램이 설치된 동안에 운영체제부(20)와 저장매체(10)와의 모든 통신을 중계하여 보안 관리하고, 데이터 보안 프로그램이 운영자에 의해 삭제됨과 동시에 데이터 보안부(30)가 운영체제부(20)를 보안 관리하고 있는 동안에 발생한 모든 데이터에 대한 변경 또는 삭제에 대한 동작을 원상 복구시키게 된다. 즉, 데이터 보안부(30)가 구동하기 이전의 상태로 컴퓨터를 복원한다.
이러한 복원 동작은, 데이터 보안부(30)의 삭제와 동시에 보안 영역(12)에 저장된 모든 데이터를 삭제하거나, 보안 영역(12)에 백업된 데이터를 원본 파일 데이터에 대하여 덮어쓰기하는 것으로 간단하게 이루어질 수 있다.
이와 같은 구성으로 이루어지는 데이터 보안 장치에 의한 데이터 보안 방법의 개요에 대하여, 도 2를 참조하여 설명한다. 도 2는, 본 발명의 일 실시에에 따른 데이터 보안 방법의 개념을 설명하기 위한 흐름도이다.
먼저, 데이터 보안부(30)가 운영체제부(20)와 저장매체(10)와의 데이터 통신 을 중계하는 중에, 운영체제부(20)로부터 일반 저장 영역의 소정의 위치로의 신규 파일 데이터 생성 요청, 일반 저장 영역에 저장된 원본 파일 데이터에 대한 복사, 이름변경 또는 내용변경에 대한 변경된 파일 데이터의 저장 요청, 또는 저장된 파일 데이터에 대한 삭제의 요청을 포함하는 출력 명령을 접수하면(S10), 데이터 보안부(30)는 저장매체(10) 내에 사용자가 운영체제부(20)를 통해 접근할 수 없는 보안 영역(12)을 설정하고(S20), 보안 영역(12) 내에 신규 파일 데이터를 생성하거나 원본 파일 데이터를 보안 영역(12) 내에 복사하여 백업 데이터를 생성한다(S30)
다음, 데이터 보안부(30)는 이후 상기의 원본 파일 데이터에 대한 접근 요청들이 발생하면, 보안 영역(12)을 가리키는 가상의 저장 경로를 통해 신규 파일 데이터 또는 백업되어 있는 원본 파일 데이터 등에 요청이 처리되도록 관리한다(S40). 이때, 운영체제부(20)에서는 신규 파일 생성의 요청 또는 원본 파일 데이터의 복사 요청시 신규 파일 데이터 또는 복사된 파일 데이터가 일반 저장 영역 내에 저장된 것으로 인식하게 되지만, 실제로는 신규 파일 데이터는 보안 영역(12) 내에 생성된 상태이다. 또한, 원본 파일 데이터의 이름 변경, 내용 변경, 삭제의 요청 발생시, 원본 파일 데이터는 백업된 상태로 유지되는 상태이다.
이러한 데이터 보안 처리가 수행된 후, 데이터 보안부(30)는 운영체제부(20)에 대해서는 원본 파일 데이터에 대해 모든 동작이 직접 행해진 것으로 보고하게 된다(S50).
여기에서 원본 파일 데이터는, 기존의 저장매체(10)에 저장되어 있던 데이터를 통칭하는 것으로서 현재 운영체제부(20)에 의해 실행되고 있는 애플리케이션에 서 사용하는 데이터뿐만 아니라, 운영체제부(20)를 구성하는 데이터, 각종 컨텐츠 데이터 등의 모든 데이터를 의미한다. 또한, 원본 파일 데이터는 네트워크 등을 통하여 독출 가능하게 공개된 외부 저장매체에 저장된 데이터일 수도 있다. 이하에서 원본 파일 데이터가 저장된 일반 저장 영역 내의 위치는, 원본 경로라고 지칭된다.
상술한 설명에 있어서 데이터에 대한 각종 접근(출력 명령)이라 함은, 저장매체의 일반 저장 영역에 이미 저장되어 있는 원본 파일 데이터를 독출하기 위한 접근, 소정의 애플리케이션을 이용하여 새로운 작업을 시작하기 위한 기초 데이터를 생성하고자 하는 접근(신규 파일 데이터 작성), 원본 파일 데이터를 원본 경로에 유지한 채로 원본 파일 데이터를 새로운 저장 위치에 복사하여 저장하고자 하는 접근(복사), 원본 파일 데이터를 원본 경로의 저장 위치에서 삭제하고 새로운 위치에 복사하여 저장하고자 하는 접근(물리적 이동), 원본 파일 데이터를 원본 경로를 새로운 경로로 변경하고자 하는 접근(논리적 이동), 원본 파일 데이터의 이름을 변경하고자 하는 접근(이름 변경), 원본 파일 데이터를 변경된 파일 데이터로 갱신하고자 하는 접근(덮어쓰기), 원본 파일 데이터를 휴지통으로의 삭제 또는 완전삭제하고자 하는 접근(삭제) 등을 포함할 수 있다.
한편, 운영체제부(20)는 저장매체(10)에 데이터 보안부(30)에 의해 보안 영역이 설정된 것을 인지할 수 없으며, 모든 데이터(원본 파일 데이터)는 일반 저장 영역에 저장된 것으로 인식하고 원본 파일 데이터로의 접근을 요청하게 된다. 또한, 운영체제부(20)는 어떠한 데이터를 신규 작성하거나 변경 저장하고자 하더라도 일반 저장 영역의 어떠한 경로만을 지정하게 된다. 하지만, 결과적으로는 데이터 보안부(30)에 의해 모든 데이터는 보안 영역(12)에 사본 데이터를 생성하여 백업되는 것이며, 이 사본 데이터에 대해 요청된 접근이 수행되고(또는 백업 파일 데이터를 유지한 채로 원본 파일 데이터에 대해 요청된 접근이 직접 수행되고), 운영체제부(20)에 대해서는 원본 파일 데이터에 대하여 최초 사용자에 의한 접근이 올바르게 행해진 것으로 보고하게 된다.
이러한 동작에 의하여, 운영체제부(20)는 사용자에 의한 데이터 접근 요청이 원본 파일 데이터에 대해서 처리된 것으로 인식하게 되지만, 실제로는 원본 파일 데이터는 변경이 없고 사본 데이터에서 모든 동작이 처리되는 것이 된다. 또는 원본 파일 데이터에서 모든 동작이 처리되었지만, 보안 영역(12)에 초기 상태의 원본 파일 데이터가 백업 데이터로 보관되어 있는 상태인 것이다.
그리고 이후 데이터 보안부(30)를 제거하고자 하면, 보안 영역(12)에 저장된 데이터들을 모두 완전삭제하거나 적절히 원본 파일 데이터를 복원시킨 후, 운영체제부(20)에서 저장매체(10)를 정상적으로 직접 관리할 수 있도록 하면(운영체제부에 의한 저장 매체에 대한 관리는, 데이터 보안부가 설치된 이후로부터는, 파일 시스템 필터 드라이버를 제어하는 데이터 보안부를 통하여 이루어지고 있었으므로, 데이터 보안부가 제거되면 운영체제부가 직접 파일 시스템 필터 드라이버를 통해 저장매체를 관리할 수 있게 됨), 저장 매체(10)는 최초 데이터 보안부를 실행하기 전의 상태로 완벽하게 복원되는 것으로 된다.
다음은 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 신규 파일 데이터를 작성하고자 하는 경우의 데이터 보안 방법에 대하여, 도 3을 참조하여 설명한다.
이하의 설명에 있어서, 도 3 내지 도 6은 도 2를 결합하여 이해하도록 한다.
사용자 및 운영체제부(20)를 통해 제1 경로로 지정되는 일반 저장 영역에 신규 파일 데이터의 작성 요청(저장 명령)이 발생하면 데이터 보안부(30)는 생성 요청된 신규 파일 데이터를 보안 영역(12)의 제1' 경로로 지정되는 위치에 생성시킨다.
즉, 운영체제부(20) 및 데이터 보안부(30)가 구동하는 중에 사용자가 저장매체(10)의 일반 저장 영역의 제1 경로로 지정되는 소정의 위치에 신규 파일 데이터를 생성하고자 하는 요청을 입력하면, 운영체제부(20)는 제1 경로로 요청된 위치에 신규 파일 데이터를 생성하라는 명령을 저장매체 측으로 전송하게 된다(S31). 데이터 보안부(30)는 이러한 명령을 파일 시스템 필터 드라이버를 통해 확인한 후, 보안 영역(12)의 보안 폴더를 가리키는 제1' 경로로 지정되는 위치에 요청된 신규 파일 데이터를 생성한다(S32). 그리고 신규 파일 데이터의 생성이 완료되면 운영체제부(20)에 대해서는 제1 경로에 요청된 신규 파일 데이터가 생성 완료된 것으로 보고한다.
이후 운영체제부(20)에 의해 신규 파일 데이터에 대한 접근의 요청이 발생하면(즉, 제1 경로로의 접근 요청이 발생하면), 데이터 보안부(30)는 제1' 경로에 생성된 신규 파일 데이터에 대한 접근의 요청으로 변경하여 처리하도록 한다.
이러한 과정에 의해 사용자는 최초에 요청한 제1 경로에 신규 파일 데이터가 생성된 것으로 인식하게 되지만, 실제의 제1 경로가 가리키는 위치에는 어떠한 데이터도 새로 생성되지 않은 상태이다.
이후, 데이터 보안을 위하여, 운영자에 의해 데이터 보안부(30)가 제거되면 보안 폴더 및 보안 폴더에 생성된 신규 파일 데이터도 삭제되며(S33), 더이상 운영체제부(20)에서 저장매체(10)로의 출력 명령은 중계되지 않고 직접 연결되게 된다. 따라서, 데이터 보안부(30)가 설치되기 이전의 상태, 즉, 새로운 데이터에 대한 생성 요청이 발생하기 이전의 상태로 완전하게 복원될 수 있게 되는 것이다.
이에 대한 실제 적용예시를 들면, 운영체제부(20)에서 c:\ 경로에 abc.txt 파일을 신규 생성하고자 하면, 보안 폴더의 경로를 c:\secure라고 가정한 상태에서, 데이터 보안부는 c:\secure\ 경로에 abc.txt 파일을 생성하게 된다. 그리고 운영체제부(20)에 대해서는 c:\ 경로에 abc.txt 파일이 신규 생성된 것으로 보고한다. 그리고, 데이터 보안이 실행되면, c:\secure\ 경로의 모든 파일 데이터를 삭제한다.
다음, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터를 복사하여 다른 위치에 저장하고자 하는 경우의 데이터 보안 방법에 대하여, 설명한다. 복사의 과정은, 신규 파일 데이터 생성의 과정과 유사하다.
원본 파일 데이터의 복사 요청이 발생하면, 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12)의 보안 폴더에 복사한다.
즉, 복사의 동작은, 원본 파일 데이터는 원본 경로(예를 들면, c:\)에 그대로 두고, 보안 폴더를 가리키는 복사 경로(예를 들면, c:\secure\)에 신규 파일 데이터를 생성하는 절차를 포함한다. 이후 복사된 데이터로의 접근이 발생하게 되면, 보안 영역(12) 내의 신규 파일 데이터로의 접근으로 변경한다.
그리고 데이터 보안부(30)가 제거될 때, 보안 영역(12)에 생성된 신규 파일 데이터를 삭제하게 되면, 복사된 신규 파일 데이터가 삭제되고 저장매체는 복사 전의 상태로 복원된다.
다음, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터의 이름을 변경하고자 하는 경우의 데이터 보안 방법에 대하여, 도 4를 참조하여 설명한다.
원본 파일 데이터의 이름 변경 요청(변경 명령)이 발생하면, 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12)의 백업 폴더에 복사하여 백업 파일 데이터를 생성하고, 원본 파일 데이터의 이름을 변경하고 동시에 원본 경로를 보안 폴더를 가리키는 경로로 변경한다.
즉, 먼저, 저장매체(10)의 일반 저장 영역에 저장된 원본 파일 데이터의 이름을 변경하고자 하는 요청이 발생하면(S41), 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12) 내의 백업 폴더에 복사하여 백업 파일 데이터를 생성한다(S42).
그리고 원본 경로의 원본 파일 데이터를 사용자에 의해 요청된 이름으로 변 경하고, 동시에 원본 경로를 보안 영역 내의 보안 폴더를 가리키는 제2' 경로로 변경한다(S43).
이어서, 원본 파일 데이터의 복사, 이름 변경 및 경로 변경이 완료되면, 운영체제부(20)에는 원본 경로에 존재하던 원본 파일 데이터의 이름이 변경 완료하였음으로 보고하게 된다. 이와 같은 동작이 완료된 상태는, 원본 파일 데이터는 실제로는 백업 폴더에 초기 상태로 유지되는 상태이며, 보안 폴더의 제2' 경로에 원본 파일 데이터가 이름 변경되어 존재하는 상태이다.
이후 사용자가(또는 운영체제부가) 이름 변경 요청된 원본 파일 데이터(사용자는 이름 변경된 것으로 인식하고 있는 원본 파일 데이터)에 접근하고자 하면 데이터 보안부(30)에서는 제2' 경로의 보안 폴더에 유지된 이름 변경된 원본 파일 데이터로 접근하도록 출력 명령을 변경한다(S44).
이후, 데이터 보안을 위하여, 운영자에 의해 데이터 보안부(30)가 제거되면, 보안 폴더 및 보안 폴더에 유지된 이름 변경된 원본 파일 데이터는 완전삭제되며, 백업 폴더에 유지된 백업 파일 데이터의 경로를 제2 경로로 변경하고, 백업 폴더도 완전삭제한다(S45). 또한, 데이터 보안부(30)에 의한 파일 시스템 필터 드라이버의 중계는 이루어지지 않게 되므로, 운영체제부(20)에서 저장매체(10)로의 출력 명령은 직접 연결되게 된다.
따라서, 데이터 보안부(30)가 설치되기 이전의 상태, 즉, 상기 원본 파일 데이터에 대하여 이름 변경의 요청이 발생하기 이전의 상태로 완전하게 복원될 수 있게 되는 것이다.
이에 대한 실제 적용예시를 들면, c:\Test\의 원본 경로에 abc.txt의 원본 파일 데이터를 c:\Test\의 동일한 원본 경로의 def.txt 파일로 이름 변경하고자 하는 경우에, 보안 폴더의 경로를 c:\Secure\로 가정하고 백업 폴더의 경로를 c:\Backup\으로 가정하면 다음과 같은 절차가 수행된다.
먼저, 이름 변경의 요청이 확인되면, c:\Test\ 원본 경로의 abc.txt 원본 파일 데이터를 c:\Backup\Test\ 경로에 복사하여 abc.txt의 사본 데이터를 생성한다. 사본 데이터의 생성이 완료되면, 원본 파일 데이터의 이름을 요청된 이름인 def.txt로 변경하고, 원본 경로를 c:\Secure\Test\로 변경한다.
그리고 이후 사용자 또는 운영체제부(20)에 의해 c:\Test\ 원본 경로의 def.txt에 대한 접근이 발생하면, 데이터 보안부(30)는 c:\Secure\Test\ 제2' 경로의 def.txt에 대한 접근으로 변경하여 처리한다.
한편, 데이터 보안부(30)를 삭제하고자 하거나 데이터 보안을 수행하고자 하는 명령이 실행되면, c:\Secure\Test\ 제2' 경로 내의 모든 데이터는 삭제되고, 백업된 abc.txt 사본 데이터의 c:\Backup\Test\ 경로를 원본 경로로 변경한다.
한편, 실제 적용예시에 있어서, 데이터 보안부(30)가 구동하는 중에 새로 생성된 데이터의 이름을 변경하고자 하는 경우가 있을 수 있다. 즉, 원본 파일 데이터를 c:\Test\ 경로의 abc.txt라고 하고, 이를 c:\Test\ 경로의 def.txt로 이름 변경하고자 할 때, 원본 파일 데이터가 되는 abc.txt는 실제로는 보안 폴더 내를 가리키는 c:\Secure\test\에 저장되어 있는 것이다. 따라서, 이 경우에는, 데이터 보안부(30)에서, 이름 변경의 대상이 되는 원본 파일 데이터의 경로를 c:\Secure\Test\로 변경하고, 이 경로에 저장된 abc.txt를 def.txt로 이름 변경하게 된다.
다음, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터를 이동시켜 다른 위치에 저장하고자 하는 경우가 있을 수 있는데, 이 경우에는 이름 변경의 동작에서 이름은 변경하지 않고 경로만을 변경함으로써 처리가 완료된다.
다음, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터에 변경된 파일 데이터로 덮어쓰기하고자 하는 경우의 데이터 보안 방법에 대하여, 도 5를 참조하여 설명한다.
원본 파일 데이터의 덮어쓰기 요청(수정 명령)이 발생하면, 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12)의 백업 폴더에 복사하여 백업 파일 데이터를 유지하고, 원본 경로의 원본 파일 데이터에 대하여 변경된 파일 데이터에 의한 덮어쓰기 요청이 처리되도록 한다. 백업 파일 데이터는 유지된다.
이와 같이. 덮어쓰기에 대한 보안 동작은 상술한 신규 파일 데이터 작성이나, 이름 변경의 동작과는 다소 상이하다. 즉, 신규 파일 데이터 작성 및 이름 변경의 동작에서는, 원본 파일 데이터를 보안 영역(12)으로 생성 또는 이동시킨 후, 보안 영역(12) 내에서 이후의 동작이 이루어지도록 하고 있지만, 덮어쓰기 요청에 대해서는 백업 파일 데이터를 유지한 후 원본 파일 데이터에 직접 덮어쓰기 동작이 이루어지도록 하고 있다.
이러한 과정을 포함하는 덮어쓰기 동작에 대한 보안 처리는 다음과 같다. 먼저, 사용자 또는 운영체제부(20)로부터 제3 경로의 원본 파일 데이터를 변경된 파일 데이터로 덮어쓰기하고자 하는 요청(수정 명령)이 발생하면(S51), 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12)의 백업 폴더를 가리키는 제3' 경로에 복사하여 저장한다(S52). 이후 데이터 보안부(30)는, 원본 파일 데이터가 복사되어 백업 파일 데이터 생성이 완료되면 원본 경로의 원본 파일 데이터를 변경된 파일 데이터로 직접 덮어쓰기 하게 된다(S53).
그리고 이후, 원본 경로의 변경된 파일 데이터(수정된 원본 파일 데이터)에 대해 사용자의 접근이 발생하는 경우에는 데이터 보안부는 경로 변경의 절차를 행하지 않고, 즉시 원본 경로의 변경된 파일 데이터에 접근하도록 하고, 단계(S52)와 같은 백업 절차를 반복하여 행하지는 않도록 한다.
그리고 운영자에 의한 데이터 보안 실행 명령이 입력되어 데이터 보안부(30)가 제거될 때에는, 백업 폴더의 제3' 경로에 복사된 백업 파일 데이터를 변경된 파일 데이터(덮어쓰기된 원본 파일 데이터)에 다시 덮어쓰기함으로써(S54)(또는, 원본 경로의 사본 데이터를 완전삭제한 후, 제3' 경로를 원본 경로로 변경할 수도 있다.), 원본 파일 데이터가 덮어쓰기 요청되기 이전의 상태로 복원된다.
이에 대한 실제 적용예시를 들면, c:\Test\의 원본 경로에 abc.txt의 원본 파일 데이터에 덮어쓰기 요청이 발생한 경우에는, 보안 폴더의 경로를 c:\Secure\로 가정하고 백업 폴더의 경로를 c:\Backup\으로 가정하면 다음과 같은 절차가 수 행된다.
먼저, c:\Test\ 원본 경로의 abc.txt 원본 파일 데이터를 c:\Backup\Test\의 제3' 경로의 위치에 복사한다. 그리고 c:\Test\ 원본 경로의 abc.txt에 덮어쓰기 요청이 수행되어 데이터의 내용은 변경되게 된다.
한편, 데이터 보안부(30)를 삭제하고자 하거나 데이터 보안을 수행하고자 하는 명령이 실행되면, 백업된 사본 데이터 abc.txt의 c:\Backup\Test\ 제3' 경로를, c:\Test\ 원본 경로로 변경한다.
한편, 원본 파일 데이터를 일반 저장 영역의 제3 경로에 유지한 상태에서, 보안 영역(12)의 제3' 경로에 사본 데이터를 생성하고 이 사본 데이터에 변경된 파일 데이터에 의한 덮어쓰기를 직접 실행하는 경우를 상정할 수 있는데, 이 경우에는 다음과 같은 문제점이 발생하였다. 즉, 데이터 보안부(30)에서 제3 경로(원본 경로)에 접근하고자 하면, 보안 영역(12)의 사본 데이터(변경된 파일 데이터)에 대해서 접근이 이루어지는 것이 아니라, 보안 영역(12)의 제3' 경로의 사본 데이터뿐만 아니라 제3 경로의 원본 파일 데이터에 대해서도 접근이 동시에 이루어지게 되어 데이터 보안부(30)에서 오류가 발생하였다.
그래서, 본 발명은 상술한 실시예와 같이, 덮어쓰기에 대한 보안 처리에 있어서는, 원본 파일 데이터를 보안 영역에 백업하여두고, 원본 파일 데이터에 직접 변경된 파일 데이터로 덮어쓰기 실시함으로써 상술한 오류를 해결한 것이다.
다음, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터를 완전삭제하고자 하는 경우의 데이터 보안 방법에 대하여 도 6을 참조하여 설명한다.
제4 경로로 표시되는 일반 저장 영역 내의 원본 파일 데이터에 대한 완전삭제 요청(삭제 명령)이 발생하면(S61), 데이터 보안부(30)는 원본 파일 데이터를 보안 영역(12)의 백업 폴더를 가리키는 제4' 경로에 복사하여 백업 파일 데이터를 생성하고 동시에 원본 파일 데이터를 삭제 폴더로 이동시킨다(S62). 운영체제부(20)에는 완전삭제 처리가 완료한 것으로 보고한다.
이러한 과정에 의해 사용자는 원본 파일 데이터가 저장 매체(10) 내에서 완전히 삭제된 것으로 인식하게 되지만, 실제로는 원본 파일 데이터는 보안 영역(12)의 백업 폴더 및 삭제 폴더에 유지되고 있는 상태이다.
이후, 데이터 보안을 위하여, 운영자에 의해 데이터 보안 실행 명령이 입력되어 데이터 보안부(30)가 제거되거나 데이터 보안 실행의 명령이 입력되면, 보안 영역(12)에 유지된 백업 파일 데이터를 최초 원본 경로로 이동 또는 복사하고, 동시에 삭제 폴더에 저장된 데이터는 모두 완전삭제하게 되므로(S63), 데이터 보안부(30)가 설치되기 이전의 상태, 즉, 상기 원본 파일 데이터에 대한 완전삭제 요청이 발생하기 이전의 상태로 완전하게 복원될 수 있게 되는 것이다.
또는, 데이터 보안부(30)가 제거될 때에, 백업 폴더의 사본 데이터도 모두 완전삭제할 수도 있다.
실제 적용 예시를 들면, 원본 경로를 c:\Test\로 하는 abc.txt 원본 파일 데이터를 완전삭제하고자 하는 경우, 보안 폴더의 경로를 c:\Secure\로 가정하고 백 업 폴더의 경로를 c:\Backup\라고 가정하고 삭제 폴더의 경로를 c:\Delete\ 라고 가정하면, 다음과 같은 동작이 이루어진다.
먼저, 완전삭제 요청이 발생하면, c:\Test\ 원본 경로의 abc.txt 원본 파일 데이터를 c:\Backup\Test\의 제4' 경로에 abc.txt로 복사하여 사본 데이터를 생성한다. 그리고 동시에 원본 파일 데이터의 원본 경로를 c:\Delete\ 경로로 변경하고, 운영체제부(20)에는 완전삭제 처리의 완료로 보고한다.
이후, 데이터 보안이 실행될 때, c:\Delete\ 경로에 유지된 abc.txt 데이터는 완전삭제되고, 백업 폴더의 abc.txt의 제4' 경로를 원본 경로로 변경함으로써, 원본 파일 데이터가 복원되도록 한다.
상술한 바와 같이 동작하는 데이터 보안부(30)는 자동 설치 프로그램의 형태로 보안 운영자에 의해 사용자의 컴퓨터에 직접 제공될 수 있다. 또는, 컴퓨터가 메인 시스템의 네트워크에 접속하게 되면, 메인 시스템에서 자동으로 데이터 보안 프로그램을 제공하여 자동 설치되도록 할 수도 있다. 그리고 데이터 보안 프로그램이 컴퓨터 내에 설치됨과 동시에 운영체제부(20)와 저장매체(10)의 통신에 대한 중계를 개시하여 데이터 보안 절차를 실행하게 된다.
한편, 본 발명에 따른 데이터 보안 장치 및 방법에서는, 운영체제부(20)에 연결되어 데이터의 저장 및 독출이 가능한 외부 저장매체에 대한 보안 처리도 행할 수 있다. 즉, 네트워크 등을 이용하여 외부의 저장매체로 데이터를 통신하는 경우 에 있어서도, 외부의 저장매체로의 저장을 위한 경로를 미리 설정된 보안 영역 내의 경로로 변경할 수 있다. 이때, 보안 영역은 외부의 저장매체 내에 설정될 수도 있고, 운영체제부(20)에서 관리하는 저장매체(10)(현재 사용자가 사용하는 컴퓨터의 저장매체) 내에 설정될 수도 있다.
또한, 예를 들면, USB 저장매체, 이동식 하드디스크, CD, DVD 등의 저장매체를, 단지 독출만 가능하고 저장 불가능하게 설정할 수도 있다. 이에 의해 데이터의 외부 유출의 가능성을 최소화한다.
또한, 본 발명에 따른 데이터 보안 장치 및 방법에 있어서는, 사용자가 운영체제부(20)에서 동작하는 데이터 보안부(30)의 실행 프로세스를 삭제하고자 하는 경우에 대한 방안도 마련한다.
즉, 사용자가 데이터 보안부(30)의 실행 프로세스를 강제로 삭제하고자 하는 경우에는, 삭제 요청을 차단하여 프로세스의 정상적인 동작을 보장하거나, 또는 삭제 요청을 감지한 경우 실행 프로세스를 복제하여 계속 실행될 수 있도록 함으로써 데이터 보안의 지속적인 실행을 보장하도록 하는 것이 바람직하다.
더욱, 본 발명의 일 실시예에 있어서는, 상술한 바와 같은 데이터 보안 장치 또는 데이터 보안 방법을 컴퓨터와 같은 데이터 처리 기기 내에서 실행시키기 위한 프로그램을 포함하며, 또한, 이러한 프로그램이 상기 컴퓨터 등에서 실행시킬 수 있도록 저장된 기록 매체를 제공한다.
도 1은, 본 발명의 일 실시예에 따른 데이터 보안 장치의 구성을 나타내는 블록도이다.
도 2는, 본 발명의 일 실시에에 따른 데이터 보안 방법의 개념을 설명하기 위한 흐름도이다.
도 3은, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 신규 파일 데이터를 작성하고자 하는 경우의 데이터 보안 방법을 설명하는 흐름도이다.
도 4는, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터의 이름을 변경하고자 하는 경우의 데이터 보안 방법을 설명하는 흐름도이다.
도 5는, 본 발명의 일 실시예에 따른 데이터 보안 장치에 있어서, 원본 파일 데이터에 변경된 파일 데이터를 덮어쓰기하고자 하는 경우의 데이터 보안 방법을 설명하는 흐름도이다.

Claims (21)

  1. 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체;
    사용자 입력에 따라 상기 저장매체의 상기 일반 저장 영역을 가리키는 제1 경로에 신규 파일 데이터의 생성을 지시하는 저장 명령을 상기 저장매체를 목적지로 하여 출력하는 운영체제부;
    상기 저장매체로 출력되는 상기 운영체제부의 명령을 감시하고, 상기 저장 명령이 발생한 경우, 상기 저장 명령을 상기 운영체제부에서 인식하지 못하도록 가로채고, 상기 일반 저장 영역의 일부를 보안 폴더를 갖는 보안 영역으로 설정하고, 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제1' 경로에 상기 신규 파일 데이터를 생성하여 저장하고, 이후에 상기 운영체제부를 통해 발생하는 상기 제1 경로에 대한 접근 요청은 상기 제1' 경로에 대하여 처리한 후 상기 운영체제부에는 상기 제1 경로에 대하여 상기 접근 요청이 처리된 것으로 보고하고, 이후, 데이터 보안 명령을 입력받으면, 상기 보안 폴더에 저장된 상기 신규 파일 데이터를 복구 불가능하게 완전삭제하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치.
  2. 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체;
    사용자 입력에 따라 상기 저장매체의 상기 일반 저장 영역의 제2 경로에 저장되어 있는 원본 파일 데이터의 이름 변경을 요청하는 변경 명령을 상기 저장매체를 목적지로 하여 출력하는 운영체제부;
    상기 저장매체로 출력되는 상기 운영체제부의 명령을 감시하고, 상기 변경 명령이 발생한 경우, 상기 변경 명령을 상기 운영체제부에서 인식하지 못하도록 가로채고, 상기 일반 저장 영역의 일부를 보안 폴더 및 백업 폴더를 갖는 보안 영역으로 설정하고, 상기 백업 폴더에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하고, 상기 보안 영역 내의 상기 보안 폴더를 가리키는 제2' 경로에 상기 제2 경로의 상기 원본 파일 데이터를 이름을 변경하여 저장하고, 상기 운영체제부에는 상기 원본 파일 데이터에 대한 이름 변경이 완료한 것으로 보고하고, 이후에 발생하는 상기 제2 경로에 대한 접근 요청은 상기 제2' 경로에 대하여 처리하고, 상기 운영체제부에는 상기 제2 경로에 대하여 상기 접근 요청이 처리된 것으로 보고하고, 이후, 데이터 보안 실행 명령을 입력받으면, 상기 보안 폴더에 저장된 상기 이름 변경된 원본 파일 데이터를 복구 불가능하게 삭제하고 동시에 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제2 경로의 상기 원본 파일 데이터로 복원하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치.
  3. 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체;
    사용자 입력에 따라 상기 저장매체의 상기 일반 저장 영역을 가리키는 제3 경로에 저장되어 있는 원본 파일 데이터를 변경된 파일 데이터로 수정하는 저장을 요청하는 수정 명령을 상기 저장매체를 목적지로 하여 출력하는 운영체제부;
    상기 저장매체로 출력되는 상기 운영체제부의 명령을 감시하고, 상기 수정 명령이 발생한 경우, 상기 수정 명령을 상기 운영체제부에서 인식하지 못하도록 가로채고, 상기 일반 저장 영역의 일부를 백업 폴더를 갖는 보안 영역으로 설정하고, 상기 보안 영역 내의 상기 백업 폴더를 가리키는 제3' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터로 저장하고, 상기 제3 경로의 상기 원본 파일 데이터를 상기 변경된 파일 데이터로 수정하고, 이후, 데이터 보안 실행 명령을 입력받으면, 상기 제3 경로의 상기 변경된 파일 데이터를 완전삭제하고 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제3 경로의 상기 원본 파일 데이터로 복원하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치.
  4. 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체;
    사용자 입력에 따라 상기 저장매체의 상기 일반 저장 영역을 가리키는 제4 경로에 저장되어 있는 원본 파일 데이터를 복구 불가능하게 완전삭제 요청하는 삭제 명령을 상기 저장매체를 목적지로 하여 출력하는 운영체제부;
    상기 저장매체로 출력되는 상기 운영체제부의 명령을 감시하고, 상기 삭제 명령이 발생한 경우, 상기 삭제 명령을 상기 운영체제부에서 인식하지 못하도록 가로채고, 상기 일반 저장 영역의 일부를 백업 폴더 및 삭제 폴더를 갖는 보안 영역으로 설정하고, 상기 백업 폴더를 가리키는 제4' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터로 저장하고 상기 원본 파일 데이터를 상기 삭제 폴더로 이동시키고, 상기 운영체제부에는 완전삭제 처리의 완료로 보고하고, 이후, 데이터 보안 실행 명령의 입력받으면, 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제4 경로의 상기 원본 파일 데이터로 복원하고 상기 삭제 폴더의 상기 이동된 원본 파일 데이터를 완전 삭제하는 데이터 보안부를 포함하는 것을 특징으로 하는 데이터 보안 장치.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 보안 영역은 사용자가 상기 운영체제부를 통해 접근할 수 없도록 보호되는 것을 특징으로 하는 데이터 보안 장치.
  6. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 데이터 보안부는,
    상기 보안 영역에 저장되는 모든 데이터는 암호화되는 것을 특징으로 하는 데이터 보안 장치.
  7. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 데이터 보안부는,
    상기 데이터 보안부의 실행 프로세스를 강제로 삭제하기 위한 사용자 입력을 감지하면, 상기 사용자 입력의 실행을 거부하거나 또는 상기 데이터 보안부의 실행 프로세스를 복제하는 것을 특징으로 하는 데이터 보안 장치.
  8. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 데이터 보안부는,
    상기 운영체제부에 접속되는 외부 저장매체를 데이터 저장 불가능 상태로 제한하는 것을 특징으로 하는 데이터 보안 장치.
  9. 삭제
  10. 삭제
  11. 운영체제와 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서, 상기 운영체제의 상기 저장매체에 대한 제어 동작을 관리하는 데이터 보안부에 의한 데이터 보안 방법으로서:
    상기 컴퓨터의 운영체제에서 상기 저장매체의 일반 저장 영역을 가리키는 제1 경로에 신규 파일 데이터의 생성을 지시하는 저장 명령을 상기 저장매체를 목적지로 하여 출력하면, 상기 저장 명령을 상기 운영체제에서 인식하지 못하도록 가로채는 단계;
    상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 보안 폴더를 생성하는 단계;
    상기 보안 영역 내의 상기 보안 폴더를 가리키는 제1' 경로에 상기 신규 파일 데이터를 생성하여 저장하는 단계;
    상기 제1 경로에 대한 접근 요청이 발생한 경우, 상기 접근 요청을 상기 제1' 경로에 대한 접근 요청으로 변경하여 처리하고, 상기 운영체제에는 상기 제1 경로에 대한 상기 접근 요청이 처리된 것으로 보고하는 단계; 및
    상기 저장매체에 대한 데이터 보안 실행 명령을 입력받으면, 상기 보안 폴더 내에 저장된 상기 신규 파일 데이터를 복구 불가능하게 완전삭제하는 단계를 포함하는 것을 특징으로 하는 데이터 보안 방법.
  12. 삭제
  13. 삭제
  14. 운영체제와 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서, 상기 운영체제의 상기 저장매체에 대한 제어 동작을 관리하는 데이터 보안부에 의한 데이터 보안 방법으로서:
    상기 컴퓨터의 운영체제에서 상기 저장매체의 일반 저장 영역을 가리키는 제2 경로에 저장되어 있는 원본 파일 데이터의 이름 변경을 요청하는 변경 명령을 상기 저장매체를 목적지로 하여 출력하면, 상기 변경 명령을 상기 운영체제에서 인식하지 못하도록 가로채는 단계;
    상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 보안 폴더 및 백업 폴더를 생성하는 단계;
    상기 백업 폴더에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하는 단계;
    상기 보안 영역 내의 상기 보안 폴더를 가리키는 제2' 경로에 상기 제2 경로의 상기 원본 파일 데이터의 이름을 변경하여 저장하는 단계;
    상기 제2 경로에 대한 접근 요청이 발생한 경우 상기 제2' 경로에 대한 접근으로 변경하여 처리하고, 상기 운영체제에는 상기 제2 경로에 대한 상기 접근 요청이 처리된 것으로 보고하는 단계; 및
    상기 저장매체에 대한 데이터 보안 실행 명령을 입력받으면, 상기 보안 폴더에 저장된 상기 이름 변경된 원본 파일 데이터를 복구 불가능하게 삭제하고 동시에 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제2 경로의 상기 원본 파일 데이터로 복원하는 단계를 포함하는 것을 특징으로 하는 데이터 보안 방법.
  15. 삭제
  16. 삭제
  17. 운영체제와 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서, 상기 운영체제의 상기 저장매체에 대한 제어 동작을 관리하는 데이터 보안부에 의한 데이터 보안 방법으로서:
    상기 컴퓨터의 운영체제에서 상기 저장매체의 상기 일반 저장 영역을 가리키는 제3 경로에 저장되어 있는 원본 파일 데이터를 변경된 파일 데이터로 수정하는 저장을 요청하는 수정 명령을 상기 저장매체를 목적지로 하여 출력하면, 상기 수정 명령을 상기 운영체제에서 인식하지 못하도록 가로채는 단계;
    상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 백업 폴더를 생성하는 단계;
    상기 보안 영역 내의 상기 백업 폴더를 가리키는 제3' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터로 저장하는 단계;
    상기 제3 경로의 상기 원본 파일 데이터를 상기 변경된 파일 데이터로 수정하는 단계; 및
    상기 저장매체에 대한 데이터 보안 실행 명령을 입력받으면, 상기 제3 경로의 상기 수정된 원본 파일 데이터를 완전삭제하고 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제3 경로의 상기 원본 파일 데이터로 복원하는 단계를 더 포함하는 것을 특징으로 하는 데이터 보안 방법.
  18. 삭제
  19. 운영체제와 파일 데이터를 저장하기 위한 일반 저장 영역을 갖는 저장매체를 구비한 컴퓨터에서, 상기 운영체제의 상기 저장매체에 대한 제어 동작을 관리하는 데이터 보안부에 의한 데이터 보안 방법으로서:
    상기 컴퓨터의 운영체제에서 상기 저장매체의 상기 일반 저장 영역을 가리키는 제4 경로에 저장되어 있는 원본 파일 데이터를 복구 불가능하게 완전삭제 요청하는 삭제 명령을 상기 저장매체를 목적지로 하여 출력하면, 상기 삭제 명령을 상기 운영체제에서 인식하지 못하도록 가로채는 단계;
    상기 저장매체의 상기 일반 저장 영역의 일부를 보안 영역으로 설정하고, 상기 보안 영역에 백업 폴더 및 삭제 폴더를 생성하는 단계;
    상기 백업 폴더를 가리키는 제4' 경로에 상기 원본 파일 데이터를 복사하여 백업 파일 데이터를 저장하는 단계;
    상기 원본 파일 데이터를 상기 삭제 폴더로 이동하는 단계; 및
    상기 저장매체에 대한 데이터 보안 실행 명령을 입력받으면, 상기 백업 폴더에 저장된 상기 백업 파일 데이터를 상기 제4 경로의 상기 원본 파일 데이터로 복원하고 상기 삭제 폴더의 상기 이동된 원본 파일 데이터를 완전 삭제하는 단계를 포함하는 것을 특징으로 하는 데이터 보안 방법.
  20. 삭제
  21. 제11항, 제14항, 제17항 및 제19항 중 어느 한 항에 따른 데이터 보안 방법을 컴퓨터에서 실행하기 위한 프로그램을 저장한 기록매체.
KR1020090008602A 2009-02-03 2009-02-03 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체 KR101098947B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090008602A KR101098947B1 (ko) 2009-02-03 2009-02-03 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090008602A KR101098947B1 (ko) 2009-02-03 2009-02-03 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체

Publications (2)

Publication Number Publication Date
KR20100089387A KR20100089387A (ko) 2010-08-12
KR101098947B1 true KR101098947B1 (ko) 2011-12-28

Family

ID=42755277

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090008602A KR101098947B1 (ko) 2009-02-03 2009-02-03 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체

Country Status (1)

Country Link
KR (1) KR101098947B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160118A1 (ko) * 2014-04-15 2015-10-22 (주)나무소프트 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
KR20190002241A (ko) * 2017-06-29 2019-01-08 주식회사 바이오닉스진 랜섬웨어를 방지하는 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5606293B2 (ja) * 2010-11-22 2014-10-15 キヤノン株式会社 データ処理装置、アクセス制御方法及びプログラム
KR101997254B1 (ko) * 2017-05-10 2019-07-08 김덕우 고립된 사용자컴퓨팅부를 갖는 컴퓨터
CN111566632B (zh) * 2018-09-29 2023-11-03 华为技术有限公司 一种操作控制方法及电子设备
WO2023008620A1 (ko) * 2021-07-30 2023-02-02 (주)기원테크 폴더 보호 기능을 제공하는 보안 장비 시스템의 구동 장치 및 그 동작 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160118A1 (ko) * 2014-04-15 2015-10-22 (주)나무소프트 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
US10289860B2 (en) 2014-04-15 2019-05-14 Namusoft Co., Ltd. Method and apparatus for access control of application program for secure storage area
KR20190002241A (ko) * 2017-06-29 2019-01-08 주식회사 바이오닉스진 랜섬웨어를 방지하는 방법
KR101995944B1 (ko) * 2017-06-29 2019-07-03 주식회사 한류에이아이센터 랜섬웨어를 방지하는 방법

Also Published As

Publication number Publication date
KR20100089387A (ko) 2010-08-12

Similar Documents

Publication Publication Date Title
US10956364B2 (en) Efficient data synchronization for storage containers
AU2018202512B2 (en) Integrating composite formats with finder and explorer
US7565495B2 (en) Using disassociated images for computer and storage resource management
US7752492B1 (en) Responding to a failure of a storage system
EP1148416B1 (en) Computer system and snapshot data management method
US7895394B2 (en) Storage system
US8073815B1 (en) Backup server architecture
KR101098947B1 (ko) 데이터 보안 장치 및 데이터 보안 방법, 그리고 데이터 보안 방법을 실행하기 위한 프로그램을 저장한 기록매체
US8205049B1 (en) Transmitting file system access requests to multiple file systems
US9335931B2 (en) System and method for making snapshots of storage devices
US8171246B2 (en) Ranking and prioritizing point in time snapshots
KR101705550B1 (ko) 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
US8010543B1 (en) Protecting a file system on an object addressable storage system
US7673096B2 (en) Control apparatus for controlling virtual storage
US8037026B1 (en) Protected user-controllable volume snapshots
CN106919471B (zh) 用于快照建立的方法和系统
US20070022290A1 (en) Information processing apparatus, control method thereof, and computer program
JP2009064160A (ja) 計算機システム、管理計算機及びデータ管理方法
JP2014178784A (ja) 情報処理装置、情報処理システム及び情報処理プログラム
US8095804B1 (en) Storing deleted data in a file system snapshot
US20040107357A1 (en) Apparatus and method for protecting data on computer hard disk and computer readable recording medium having computer readable programs stored therein
CA2825891A1 (en) Storage system for storing data in a plurality of storage devices
US8880820B2 (en) Techniques for using sparse files during snapshots
JP4538838B1 (ja) 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法
KR101826176B1 (ko) 스냅샷 방식의 이미지 테이블을 이용한 백업데이터 제어방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee