KR101349807B1 - 이동식 저장매체 보안시스템 및 그 방법 - Google Patents
이동식 저장매체 보안시스템 및 그 방법 Download PDFInfo
- Publication number
- KR101349807B1 KR101349807B1 KR1020120092857A KR20120092857A KR101349807B1 KR 101349807 B1 KR101349807 B1 KR 101349807B1 KR 1020120092857 A KR1020120092857 A KR 1020120092857A KR 20120092857 A KR20120092857 A KR 20120092857A KR 101349807 B1 KR101349807 B1 KR 101349807B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- storage medium
- removable storage
- host
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
- G06F3/04842—Selection of displayed objects or displayed text elements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
이동식 저장매체 보안시스템 및 그 방법이 개시된다. 상기 이동식 저장매체 보안시스템은 호스트에 설치되는 이동식 저장매체 보안시스템은 상기 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하기 위한 파일 매니저 모듈 및 상기 파일 매니저 모듈에 의해 인식된 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트(mount)하기 위한 제어부를 포함한다.
Description
본 발명은 이동식 저장매체 보안시스템 및 그 방법에 관한 것으로, 보다 상세하게는 호스트에 이동식 저장매체가 연결되는 경우, 상기 이동식 저장매체에 저장된 파일들 중 일부만 선택적으로 호스트에 마운트될 수 있도록 하여, 상기 이동식 저장매체에 저장된 악성 파일로 인해 호스트가 공격받을 위험을 차단할 수 있는 시스템 및 그 방법에 관한 것이다.
이동식 저장매체(예컨대, USB 저장매체 등)는 그 편리함 때문에 많은 산업 분야에서 사용되고 있다. 하지만, 이러한 이동식 저장매체를 사용하는 경우, 보안적 측면에서 그 위험성이 존재한다. 특히 최근 이동식 저장매체를 통한 다양한 바이러스 전염 사례가 알려지고 있다. 이러한 이동식 저장매체를 통한 전염은 네트워크 사용이 불가능한 상황에서도 사용자의 부주의로 인한 전파가 가능하여 보안 시설을 무력화하는 치명적인 결과를 초래하기도 한다.
이와 같은 위험성 때문에 이동식 저장매체를 위한 다양한 보안 솔루션들이 공지되어 사용되고 있다.
종래의 이동식 저장매체를 위한 보안은 크게 이동식 저장매체를 통해 호스트에 저장된 정보의 유출을 방지하는 방식 및 이동식 저장매체에 저장된 악성정보가 호스트로 전송되는 경우를 방지하는 방식이 존재한다.
전자의 경우에는 이동식 저장매체에 새로운 데이터를 쓰는 것을 방지하도록 I/O를 접근제어하는 방식을 이용하고 있다. 예컨대, 마운트되는 이동식 저장매체에 읽기 권한만 부여하여 마운트하는 방식 등이 가능하다. 하지만, 이와 같은 방식은 호스트를 보호하는 것에는 취약한 방식이다. 즉, 이동식 저장매체에 저장된 데이터의 읽기가 호스트에서 가능하므로, 이미 감염된 이동식 저장매체에 악성파일(예컨대, 웜 바이러스 등)을 방호할 수 없는 문제점이 있다.
한편, 후자의 방식으로는 이동식 저장매체가 호스트에 연결되어 마운트(mount) 되면, 마운트된 이동식 저장매체를 안티 바이러스(anti-virus) 등의 종래의 솔루션을 통해 검사한 후 사용하는 방식이다. 하지만, 이러한 방식은 알려진 바이러스를 방호하는 데는 일응 그 효과가 있지만, 기존에 알려지지 않은 바이러스를 방호할 수 없는 문제점이 존재한다. 특히, 외부 네트워크와는 단절된 독립된 네트워크(예컨대, SCADA 망)을 공격하기 위한 악성코드는 일반적으로 유통되는 바이러스와 다른 특성을 가지고 있을 수 있고, 일반적인 안티 바이러스 솔루션이 미리 이러한 바이러스를 감지하기가 사실상 매우 어려운 문제점이 있다.
이처럼 종래의 이동식 저장매체를 위한 보안 방식은 이동식 저장매체가 연결되는 호스트를 방호하는데 취약성을 가진다고 할 수 있다. 특히, 원자력 발전소, 국가기반망 등과 같은 시스템의 경우에는 외부 네트워크로부터 단절되어 있다. 따라서, 시스템의 업데이트 또는 주기적인 유지보수의 경우에는 USB 저장매체와 같은 이동식 저장매체를 통해 수행될 수밖에 없다. 따라서, 이동식 저장매체가 연결되는 호스트를 안전하게 보호하는 것은 매우 중요할 수 밖에 없다. 실제로 스턱스넷(stuxnet) 웜 바이러스가 USB 저장매체를 통해 전염되어 이란 원전 시설이 타격받은 사례를 보아도 이러한 중요성은 잘 알 수 있다.
따라서, 호스트에 이동식 저장매체가 연결되는 경우에, 상기 호스트를 보다 안전하게 보호하면서도 종래의 보안 방식보다 안전한 방식이 절실히 요구된다.
따라서, 본 발명이 이루고자 하는 기술적인 과제는 호스트에 이동식 저장매체가 연결되는 경우, 상기 이동식 저장매체 자체를 바로 마운트 하는 것이 아니라 상기 이동식 저장매체에 저장된 파일들 중 안전하다고 판단되는 일부의 선택파일만을 마운트 하도록 함으로써, 상기 선택파일이 아닌 경우에는 원천적으로 호스트에 영향을 미치지 못하도록 할 수 있는 시스템 및 그 방법을 제공하는 것이다.
상기의 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 호스트에 설치되는 이동식 저장매체 보안시스템은 상기 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하기 위한 파일 매니저 모듈 및 상기 파일 매니저 모듈에 의해 인식된 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트(mount)하기 위한 제어부를 포함한다.
상기 파일 매니저 모듈은 상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 인식할 수 있다.
상기 파일 매니저 모듈은 상기 파일정보가 저장된 영역을 직접 억세스하는 것을 특징으로 할 수 있다.
상기 제어부는 상기 파일 매니저 모듈에 의해 인식된 상기 적어도 하나의 파일의 파일정보를 상기 호스트에 디스플레이하고, 디스플레이된 정보에 기초하여 입력되는 사용자 입력신호에 기초하여 상기 선택파일을 선택하기 위한 선택모듈을 포함할 수 있다.
상기 제어부는 상기 호스트에 마운트될 수 있는 인가된 파일에 대한 정보를 미리 저장하며, 저장된 상기 인가된 파일에 대한 정보에 상응하도록 상기 선택파일을 선택하기 위한 선택모듈을 포함할 수 있다.
상기 인가된 파일에 대한 정보는 상기 인가된 파일의 인증정보를 포함하며, 상기 제어부는 상기 선택파일이 상기 인증정보에 상응하는 경우에만 상기 선택파일을 마운트시키기 위한 인증모듈을 더 포함할 수 있다.
상기 제어부는 상기 선택파일을 포함하는 가상 드라이브를 생성하고, 생성된 가상 드라이브를 상기 호스트에 마운트시키기 위한 마운트 모듈을 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 호스트에 설치되는 이동식 저장매체 보안시스템은 상기 호스트에 이동식 저장매체가 연결되는지를 판단하는 인터페이스 모듈, 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하기 위한 파일 매니저 모듈, 미리 저장된 인가된 파일에 대한 정보에 기초하여 상기 적어도 하나의 파일 중 선택파일을 선택하기 위한 선택모듈, 상기 선택모듈에 의해 선택된 상기 선택파일이 미리 저장된 인증정보에 상응하는지를 판단하기 위한 인증모듈, 및 상기 인증모듈에 의해 인증된 상기 선택파일을 가상 드라이브에 포함시켜 상기 호스트에 마운트(mount)하기 위한 마운트모듈을 포함한다.
상기 기술적 과제를 해결하기 위한 이동식 저장매체 보안방법은 호스트에 이동식 저장매체가 연결되면, 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계 및 상기 이동식 저장매체 보안시스템이 인식된 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계를 포함한다.
상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계는, 상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 인식하는 단계를 포함할 수 있다.
상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 인식하는 단계는, 상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체의 상기 파일정보가 저장된 영역을 직접 억세스 하는 것을 특징으로 할 수 있다.
상기 이동식 저장매체 보안방법은 상기 이동식 저장매체 보안시스템이 인식된 상기 적어도 하나의 파일의 파일정보를 상기 호스트에 디스플레이하는 단계 및 디스플레이된 정보에 기초하여 입력되는 사용자 입력신호를 수신하는 단계를 더 포함하며, 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는 상기 사용자 입력신호에 기초하여 선택된 상기 선택파일만을 상기 호스트에 마운트하는 단계를 포함할 수 있다.
상기 이동식 저장매체 보안방법은 상기 이동식 저장매체 보안시스템이 상기 호스트에 마운트될 수 있는 인가된 파일에 대한 정보를 저장하는 단계를 더 포함하며, 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는 저장된 상기 인가된 파일에 대한 정보에 상응하는 상기 선택파일만을 상기 호스트에 마운트하는 단계를 포함할 수 있다.
상기 인가된 파일에 대한 정보는 상기 인가된 파일의 인증정보를 포함하며, 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는 상기 선택파일이 상기 인증정보에 상응하는지 판단하는 단계를 더 포함하며, 상기 이동식 저장매체 보안시스템은 판단결과 상응하는 경우에만 상기 선택파일을 마운트시킬 수 있다.
상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는 상기 이동식 저장매체 보안시스템이 상기 선택파일을 포함하는 가상 드라이브를 생성하는 단계 및 생성된 가상 드라이브를 상기 호스트에 마운트하는 단계를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 이동식 저장매체 보안방법은 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계, 상기 이동식 저장매체 보안시스템이 미리 저장된 인가된 파일에 대한 정보에 기초하여 상기 적어도 하나의 파일 중 마운트 될 선택파일을 선택하는 단계, 상기 이동식 저장매체 보안시스템이 선택된 상기 선택파일이 미리 저장된 인증정보에 상응하는지를 인증하는 단계, 인증결과 상기 선택파일이 인증되면, 인증된 상기 선택파일을 가상 드라이브에 포함시켜 상기 호스트에 마운트(mount)하는 단계를 포함한다.
상기 이동식 저장매체 보안방법은 프로그램을 기록한 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.
본 발명의 기술적 사상에 따르면 호스트에 이동식 저장매체가 연결되더라도 상기 이동식 저장매체 자체가 호스트에 마운트되지 않고, 이동식 저장매체에 저장된 파일들 중 선택되는 일부의 파일만 상기 호스트에서 이용될 수 있도록 함으로써 선택된 파일 외에는 상기 이동식 저장매체에 저장된 데이터가 호스트에 영향을 미치지 못하도록 하는 효과가 있다.
특히, 알려지지 않은 악성파일 등이 상기 이동식 저장매체에 저장된 경우에도 상기 악성파일은 호스트에 마운트되지 않으므로, 호스트가 악성파일에 감염되는 것을 원천적으로 방지할 수 있는 효과가 있다. 예컨대, 이동식 저장매체의 숨김파일이나 부트섹터 등에 존재하는 악성파일(예컨대, 웜 등)이 상기 호스트에 연향을 미치는 것을 원천적으로 방지할 수 있는 효과가 있다.
또한, 호스트에 마운트되는 선택되는 파일도 인증된 원본 파일과 동일한 경우에만 호스트에 마운트될 수 있도록 인증할 수 있으므로, 악성파일이 위변조되어 마치 선택파일인 것처럼 위변조되는 경우에도 상기 악성파일이 호스트에 마운트되는 것을 방지할 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 사용환경을 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 개략적인 구성을 나타내는 도면이다.
도 3은 본 발명의 실시 예에 따른 이동식 저장매체 보안방법을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 4는 본 발명의 실시 예에 따라 이동식 저장매체 보안시스템이 마운트 전에 이동식 저장매체에 저장된 파일을 인식하는 방식을 설명하기 위한 도면이다.
도 5는 본 발명의 실시 예에 따라 이동식 저장매체에 저장된 파일들 중에서 선택파일이 선택되는 경우를 설명하기 위한 도면이다.
도 6은 본 발명의 실시 예에 따라 호스트에 마운트되는 장치의 일 예를 설명하기 위한 도면이다.
도 1은 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 사용환경을 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 개략적인 구성을 나타내는 도면이다.
도 3은 본 발명의 실시 예에 따른 이동식 저장매체 보안방법을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 4는 본 발명의 실시 예에 따라 이동식 저장매체 보안시스템이 마운트 전에 이동식 저장매체에 저장된 파일을 인식하는 방식을 설명하기 위한 도면이다.
도 5는 본 발명의 실시 예에 따라 이동식 저장매체에 저장된 파일들 중에서 선택파일이 선택되는 경우를 설명하기 위한 도면이다.
도 6은 본 발명의 실시 예에 따라 호스트에 마운트되는 장치의 일 예를 설명하기 위한 도면이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 사용환경을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템(100)은 소정의 호스트(10)에 설치되어 본 발명의 기술적 사상을 구현할 수 있다. 상기 호스트(10)는 소정의 이동식 저장매체(200)와 연결될 수 있다. 상기 이동식 저장매체(200)는 호스트(10)에 연결되는 경우, 상기 호스트(10)가 연결을 인지할 수 있는 모든 형태의 데이터 저장매체를 포함하는 의미로 정의될 수 있다. 본 명세서에서는 설명의 편의를 위해 상기 이동식 저장매체(200)가 USB 저장매체인 경우를 일 예로 설명하기로 하지만, 본 발명의 권리범위가 이에 한정되지는 않는다.
상기 호스트(10)는 상기 이동식 저장매체(200)가 연결되면, 상기 이동식 저장매체(200)가 연결되었음을 인지할 수 있다. 이동식 저장매체(200)가 연결되었는지 여부의 인지는 상기 호스트(10)에 구비된 소정의 인터페이스 및 상기 인터페이스를 구동하는 소프트웨어에 의해 수행될 수 있다. 상기 인터페이스는 예컨대, USB(Universal Serical Bus) 인터페이스일 수 있지만 이에 한정되지는 않는다. 또한, 상기 소프트웨어는 상기 USB 인터페이스를 구동하기 위한 디바이스 드라이버일 수 있다.
다른 실시 예에 의하면, 상기 이동식 저장매체 보안시스템(100)에 상기 이동식 저장매체(200)의 연결을 인지하기 위한 소정의 구성이 포함되어 상기 호스트(10)에 설치될 수도 있다. 어떠한 경우든, 상기 이동식 저장매체(200)은 상기 호스트(10)에 이동식 저장매체(200)가 연결되면, 직접 또는 상기 호스트(10)를 통해 상기 이동식 저장매체(200)가 연결되었음을 인지할 수 있다.
그러면, 상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200) 자체가 상기 호스트(10)에 마운트되는 것이 아니라, 상기 이동식 저장매체(200)에 저장된 파일들 중 적어도 일부의 선택파일만 마운트되도록 상기 호스트(10)를 제어할 수 있다. 상기 선택파일만 마운트된다고 함은, 상기 선택파일만 존재하는 소정의 장치(드라이브)가 상기 호스트(10)에 마운트되는 것을 의미할 수 있다. 또한, 상기 선택파일만 존재한다고 함은, 상기 선택파일 및 상기 선택파일에 상응하는 파일정보(예컨대, 디렉토리 정보 등) 및/또는 상기 선택파일을 위한 파일 시스템이 존재하는 것을 포함하는 의미일 수 있다. 따라서, 상기 선택파일 외에 일체의 다른 데이터가 존재하지 않는다는 것을 의미하는 것은 아님을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
상기 이동식 저장매체 보안시스템(100)이 상기 선택파일만을 상기 호스트(10)에 마운트하기 위해서는, 상기 이동식 저장매체(200)를 상기 호스트(10)에 마운트시키지 않은 상태에서 상기 이동식 저장매체(200)에 저장된 적어도 하나의 파일을 인식할 수 있을 필요가 있다. 이러한 기술적 사상은 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되지 않은 상태에서 상기 이동식 저장매체 보안시스템(100)이 상기 이동식 저장매체(200)의 소정의 영역을 직접 억세스(direct access) 함으로써 가능할 수 있다. 직접 억세스라 함은, 상기 이동식 저장매체(200)이 상기 호스트(10)에 설치된 OS로 상기 이동식 저장매체(200)의 접근을 요청하는 것이 아니라, 상기 이동식 저장매체 보안시스템(100)이 직접 상기 이동식 저장매체(200)로 접근을 수행하는 경우를 의미할 수 있다.
결국, 상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200)에 저장된 로 데이터(raw data)를 직접 억세스함으로써, 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되지 않은 상태에서도 상기 이동식 저장매체(200)의 소정의 영역을 직접 억세스함으로써 상기 이동식 저장매체(200)에 저장된 상기 적어도 하나의 파일을 인식할 수 있다.
한편, 상기 적어도 하나의 파일을 인식한다고 함은, 상기 적어도 하나의 파일 자체를 읽을 수 있음을 의미하는 것은 아닐 수 있다. 즉, 본 발명의 기술적 사상에 의하면 상기 이동식 저장매체(200)에 저장된 파일이 어떠한 것이 있는지만 알면 족하므로, 상기 적어도 하나의 파일을 인식한다고 함은 상기 적어도 하나의 파일이 상기 이동식 저장매체(200)에 존재하는지 여부를 판단하는 것을 의미할 수 있다. 즉, 상기 이동식 저장매체(200)에 저장된 적어도 하나의 파일을 인식한다고 함은, 상기 이동식 저장매체(200)에 어떠한 파일이 존재하는지를 인식하는 것을 의미할 수 있으며, 이를 위해 상기 이동식 저장매체 보안시스템(100)은 상기 적어도 하나의 파일의 파일명 등과 같이 상기 적어도 하나의 파일 각각을 식별할 수 있는 식별정보를 인식하는 것을 의미할 수 있다. 이처럼 상기 적어도 하나의 파일 각각을 식별할 수 있는 식별정보를 본 명세서에서는 파일정보라고 정의하기로 한다.
상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200)의 소정의 영역을 직접 억세스 하여 상기 적어도 하나의 파일의 파일정보를 인식할 수 있다. 이때 상기 이동식 저장매체 보안시스템(100)이 억세스 하는 상기 소정의 영역은 상기 이동식 저장매체(200)가 어떠한 파일 시스템으로 포맷되었는지에 따라 다를 수 있다. 필요한 경우, 상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200)의 파일 시스템이 어떠한 파일 시스템인지를 판단하고, 판단결과에 따라 직접 억세스할 영역을 적응적으로 선택할 수도 있다. 어떠한 경우든, 상기 이동식 저장매체 보안시스템(100)이 억세스하는 상기 소정의 영역은 상기 이동식 저장매체(200)에 저장된 상기 적어도 하나의 파일의 파일정보가 저장된 영역을 포함할 수 있다.
이처럼 상기 이동식 저장매체 보안시스템(100)에 상기 적어도 하나의 파일이 인식되면, 상기 이동식 저장매체 보안시스템(100)은 마운트될 선택파일을 특정할 수 있다. 상기 선택파일은 상기 호스트(10)를 사용하는 사용자(또는 관리자)에 의해 특정될 수도 있고, 상기 이동식 저장매체 보안시스템(100)에 저장된 소정의 정보에 기초하여 자동으로 특정될 수도 있다. 이처럼 상기 선택파일을 특정하기 위한 정보는 상기 호스트(10)에 마운트될 수 있도록 미리 인가된 파일에 대한 정보를 포함하는 정보일 수 있다. 즉, 상기 호스트(10)에 마운트될 수 있는 파일의 리스트를 포함하는 매니페스트(manifest) 정보가 상기 이동식 저장매체 보안시스템(100)에 미리 저장될 수 있다. 상기 매니페스트 정보는 상기 이동식 저장매체 보안시스템(100)의 개발 또는 배포주체에 의해 미리 상기 이동식 저장매체 보안시스템(100)에 저장되어 있을 수 있다. 또한, 상기 매니페스트 정보를 업데이트 하기 위한 소정의 파일의 파일정보가 상기 매니페스트 정보에 포함되어 있을 수 있다. 따라서, 상기 매니페스트 정보를 업데이트 하기 위한 파일은 상기 호스트(10)에 마운트될 수 있도록 상기 이동식 저장매체 보안시스템(100)이 구현될 수 있다.
한편, 이처럼 상기 선택파일이 특정되면, 상기 이동식 저장매체 보안시스템(100)은 상기 선택파일이 포함된 소정의 장치를 상기 호스트(10)에 마운트시킬 수 있다. 그러면, 상기 호스트(10)는 상기 선택파일에만 접근가능하며, 상기 이동식 저장매체(200)에 저장되어 있지만 상기 선택파일에 포함되지 않는 파일은 상기 장치에 포함되지 않으므로 상기 호스트(10)에 어떠한 영향도 미치지 않을 수 있다. 상기 장치는 본 발명의 기술적 사상에 따라 생성되는 소정의 가상(virtual) 드라이브일 수 있다. 따라서, 상기 호스트(10)에 상기 이동식 저장매체(200)가 연결되면, 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되는 것이 아니라, 미리 인가된 안전한 파일 즉, 선택파일만 포함하는 가상 드라이브가 마운트됨으로써 상기 호스트(10)는 안전하게 보호될 수 있다. 다른 실시 예에 의하면, 상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200)의 데이터 저장상태를 소정의 방식으로 변경한 후 상기 이동식 저장매체(200)의 일부만을 마운트할 수도 있다. 후자의 경우에는 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되지 않은 상태에서 상기 이동식 저장매체(200)의 데이터 저장상태를 변경하여야 하므로, 보다 많은 시간 및 자원이 소모될 수는 있다. 하지만, 이러한 방식에 의해서도 선택파일만 마운트되도록 하는 본 발명의 기술적 사상은 구현될 수 있다.
상기 호스트(10)는 이동식 저장매체(200)가 연결될 수 있는 모든 형태의 데이터 프로세싱 장치를 포함하는 의미로 정의될 수 있다. 상기 호스트(10)는 사용자의 데스크 탑, 노트북, 타블렛, 모바일 단말기 등일 수도 있고, 소정의 웹 서비스를 제공하는 웹 서버 등일 수도 있다. 또는, 상기 호스트(10)는 위부 네트워크와는 단절되는 독립적인 데이터 프로세싱 장치 또는 독립적인 네트워크를 구축하는 데이터 프로세싱 장치일 수도 있다. 예컨대, 전력제어 시스템, 원자력 발전소의 제어시스템, SCADA 등과 같은 국가기반망 등에 포함된 시스템 등으로 구현될 수도 있다.
전술한 바와 같은 이동식 저장매체 보안시스템(100)을 통한 보안방법을 개략적으로 요약하면 도 3과 같을 수 있다.
도 3은 본 발명의 실시 예에 따른 이동식 저장매체 보안방법을 설명하기 위한 개략적인 플로우 챠트를 나타낸다.
도 3을 참조하면, 호스트(10)에 이동식 저장매체(200)가 연결되면(S100), 상기 이동식 저장매체 보안시스템(100)은 상기 이동식 저장매체(200)에 저장된 파일의 파일정보를 판독할 수 있다(S110).
그러면, 상기 이동식 저장매체 보안시스템(100)에 의해 상기 이동식 저장매체(200)에 저장된 파일 중 적어도 일부가 선택될 수 있다. 즉, 상기 선택파일이 특정될 수 있다(S120).
선택파일이 특정되면, 상기 선택파일을 상기 호스트(10)에 마운트시키기 위한 장치 즉, 마운트 대상이 특정될 수 있다(S130). 예컨대, 후술할 바와 같이 상기 선택파일을 포함하는 가상 드라이브가 생성되거나, 상기 이동식 저장매체(200)에 상기 선택파일만을 포함하는 새로운 파티션이 생성될 수 있다.
그러면, 상기 이동식 저장매체 보안시스템(100)은 상기 마운트 대상 즉, 상기 선택파일만을 포함하는 장치를 상기 호스트(10)에 마운트(S140)시킴으로써, 선택파일 외에는 상기 이동식 저장매체(200)에 어떠한 파일 또는 코드가 저장되어 있더라도 상기 호스트(10)에 영향을 미치지 않도록 할 수 있다.
이하에서는 도 2 내지 도 6을 참조하여, 보다 구체적으로 본 발명의 기술적 사상을 설명하기로 한다.
도 2는 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템의 개략적인 구성을 나타내는 도면이다.
도 2를 참조하면, 본 발명의 실시 예에 따른 이동식 저장매체 보안시스템(100)은 제어부(110) 및 파일 매니저 모듈(120)을 포함할 수 있다. 상기 제어부(110)는 선택모듈(111), 인증모듈(112), 및/또는 마운트모듈(113)을 포함할 수 있다.
상기 제어부(110)는 본 발명의 기술적 사상을 구현하기 위해 상기 이동식 저장매체 보안시스템(100)에 포함된 구성들(예컨대, 선택모듈(111), 인증모듈(112), 마운트모듈(113), 파일 매니저 모듈(120) 등)의 기능 및/또는 리소스를 제어할 수 있다. 상기 제어부(110)는 예컨대, 상기 이동식 저장매체 보안시스템(100)에 포함된 CPU(또는 프로세서), 및 상기 제어부(110)의 동작을 구현하기 위해 정의되는 소정의 소프트웨어 코드의 유기적 결합에 의해 구현될 수 있다.
본 명세서에서 '~부' 또는 '모듈'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '부' 또는 '모듈'은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
구현 예에 따라, 상기 이동식 저장매체 보안시스템(100)은 어느 하나의 물리적 장치가 아니라, 복수의 물리적 장치에 분산되어 설치될 수도 있다. 즉, 상기 호스트(10)는 반드시 하나의 물리적 장치로 구현될 필요는 없다. 상기 호스트(10)는 복수의 물리적 장치가 유무선 네트워크를 통해 유기적으로 결합되어 구현되는 시스템일 수 있으며, 상기 이동식 저장매체 보안시스템(100)은 상기 복수의 물리적 장치에 중복되어 또는 분산되어 설치될 수도 있다.
상기 파일 매니저 모듈(120)은 상기 이동식 저장매체(200)에 저장된 상기 적어도 하나의 파일을 인식할 수 있다. 이를 위해 상기 파일 매니저 모듈(120)은 상기 이동식 저장매체(200)가 상기 호스트(10)에 연결되면, 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되지 않은 상태에서 상기 적어도 하나의 파일의 파일정보를 판독할 수 있다. 상기 파일 매니저 모듈(120)은 상기 호스트(10)에 설치되어 있는 소정의 장치(예컨대, 디바이스 드라이버 등)으로부터 상기 이동식 저장매체(200)가 연결되었음을 통보받을 수 있다.
만약, 상기 호스트(10)가, 상기 이동식 저장매체(200)가 연결되면 자동으로 상기 이동식 저장매체(200)를 마운트하도록 구현된 경우라면, 상기 제어부(110)는 상기 호스트(10)에서 상기 이동식 저장매체(200)를 마운트하는 구성(예컨대, 스토리지 드라이버 등)을 제어하여 자동으로 상기 이동식 저장매체(200)가 마운트되지 않도록 구현될 수 있다. 또는, 본 발명의 기술적 사상을 구현하기 위해 상기 이동식 저장매체 보안시스템(100)에 상기 이동식 저장매체(200)를 마운트하는 구성(예컨대, 스토리지 드라이버 등)가 포함되어 상기 호스트(10)에 설치될 수도 있다.
어떠한 경우든, 상기 파일 매니저 모듈(120)은 상기 이동식 저장매체(200)가 상기 호스트(10)에 마운트되지 않은 상태에서 상기 적어도 하나의 파일의 파일정보를 판독할 수 있으며, 이를 위해 상기 파일 매니저 모듈(120)은 상기 파일정보가 저장된 영역을 직접 억세스(direct access)할 수 있다. 즉, 상기 호스트(10)의 OS를 통하지 않고, 상기 영역을 억세스할 수 있다. 상기 파일 매니저 모듈(120)이 상기 영역을 직접 억세스하는 방식은 예컨대, 상기 이동식 저장매체(200)의 물리적 드라이브를 파일 오픈(file open) 등을 통해 직접 억세스하고, 그 중에 상기 영역의 정보를 추출할 수 있다. 구현 예에 따라서는 상기 영역만을 선택적으로 오픈할 수도 있다. 또는, 물리적 드라이브를 직접 억세스할 수 있는 공지의 솔루션(또는 애플리케이션 등)을 이용하여 상기 영역에 저장된 파일정보에 접근할 수도 있다. 상기 영역에 저장된 파일정보를 직접 억세스하기 위한 다양한 실시 예가 가능할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
한편, 상기 파일정보가 저장된 영역은 상기 이동식 저장매체(200)가 어떠한 파일 시스템을 이용하는지에 따라 다를 수 있다. 본 명세서에서는 설명의 편의를 위해 상기 이동식 저장매체(200)가 USB 저장매체이고, 상기 이동식 저장매체(200)는 FAT 파일 시스템으로 포맷된 경우를 일 예로 설명한다. 하지만, 상기 이동식 저장매체(200)의 파일 시스템의 종류에 따라 미리 상기 파일정보가 저장되는 영역이 정의될 수 있으며, 상기 파일정보가 저장되는 영역을 직접 억세스함으로써 본 발명의 기술적 사상이 구현될 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
상기 이동식 저장매체(200)가 FAT 시스템을 이용하는 경우의 일 예는 도 4에 도시된다.
도 4는 본 발명의 실시 예에 따라 이동식 저장매체 보안시스템이 마운트 전에 이동식 저장매체에 저장된 파일을 인식하는 방식을 설명하기 위한 도면이다.
도 4를 참조하면, 상기 이동식 저장매체(200)는 FAT 시스템으로 포맷된 경우일 수 있다. 그러면, 상기 이동식 저장매체(200)는 적어도 하나의 파티션(예컨대, Partition1, Partiotion2)으로 구분되어 있을 수 있으며, 각각의 파티션은 FAT 파일 시스템으로 포맷되어 있을 수 있다.
상기 FAT 파일 시스템은 예약된 영역(Reserved Area), FAT 영역(FAT Area), 및 데이터 영역(Data Area)를 포함할 수 있다. 한편, 상기 데이터 영역은 다시 디렉토리 영역과 파일 영역으로 구분될 수 있다. 구현 예에 따라서, 상기 디렉토리 영역은 고정된 루트 디렉토리 영역을 포함할 수도 있으며(예컨대, FAT 16의 경우), 그렇지 않을 수도 있다. 대부분은 상기 FAT 영역 바로 다음에 루트 디렉토리 영역이 존재할 수 있다. 상기 디렉토리 영역은 고정되어 있을 수도 있으며, 데이터 영역의 임의의 클러스트에 존재할 수도 있다.
따라서, 상기 파일 매니저 모듈(120)은 상기 FAT 영역에 저장된 FAT(File Allocation Table)을 참조하여, 상기 디렉토리가 존재하는 영역을 특정하고, 상기 디렉토리가 존재하는 영역을 판독함으로써 상기 이동식 저장매체(200)에 저장된 적어도 하나의 파일의 파일정보를 판독할 수 있다. 상기 디렉토리에는 상기 적어도 하나의 파일 각각의 파일명, 파일속성(예컨대, 읽기/쓰기 속성, 숨김속성 등), 생성시간, 파일 사이즈 등이 정의되어 있을 수 있다. 따라서, 상기 디렉토리에 정의된 정보들 중 적어도 하나가 상기 파일정보에 포함될 수 있다. 그러므로, 상기 파일 매니저 모듈(120)은 상기 디렉토리에 저장된 정보만 판독하여도 상기 이동식 저장매체(200)에 저장된 적어도 하나의 파일의 파일정보를 획득할 수 있다.
다시 도 2를 참조하면, 이처럼 상기 이동식 저장매체(200)에 저장된 적어도 하나의 파일의 파일정보가 획득되면, 상기 제어부(110)는 상기 적어도 하나의 파일 중에서 선택되는 선택파일만을 상기 호스트(10)에 마운트시킬 수 있다.
이를 위해 상기 제어부(110)는 상기 선택모듈(111)을 포함할 수 있다. 상기 선택모듈(111)은 전술한 바와 같이 상기 호스트(10)의 사용자(또는 관리자)로부터 상기 선택파일을 선택받을 수 있다. 또는 미리 저장된 소정의 매니페스트 정보에 기초하여 자동으로 상기 선택파일을 선택할 수도 있다. 상기 매니페스트 정보는 상기 호스트(10)에 마운트될 수 있는 파일 즉, 인가된 파일에 대한 정보를 포함할 수 있다.
이러한 일 예는 도 5에 도시된다.
도 5는 본 발명의 실시 예에 따라 이동식 저장매체에 저장된 파일들 중에서 선택파일이 선택되는 경우를 설명하기 위한 도면이다.
먼저 도 5a를 참조하면, 상기 선택모듈(111)은 상기 파일 매니저 모듈(120)에 의해 인식된 상기 적어도 하나의 파일의 파일정보에 기초하여 도 5a와 같이 상기 적어도 하나의 파일의 파일정보(예컨대, 파일명)를 디스플레이할 수 있다. 상기 선택모듈(111)은 도 5a에 도시된 바와 같이 상기 적어도 하나의 파일의 파일정보를 단순히 리스트업할 수도 있고, 상기 이동식 저장매체(200)에 저장된 디렉토리 구조에 상응하도록 소정의 트리 구조(예컨대, Windows®의 탐색기에서 제공하는 UI 등)로 상기 파일정보를 제공할 수도 있다. 그리고, 사용자가 상기 적어도 하나의 파일을 각각 선택할 수 있는 소정의 UI들(예컨대, 체크박스)이 더 제공될 수 있다.
그러면, 사용자에 의해 상기 적어도 하나의 파일 중 적어도 일부가 선택될 수 있다. 그리고 선택된 파일에 대한 정보는 상기 선택모듈(111)로 수신될 수 있다. 그러면, 상기 선택모듈(111)은 선택된 파일들을 마운트할 대상으로 특정할 수 있다.
도 5a의 경우에는, 상기 이동식 저장매체(200)에 적어도 4 개의 파일(예컨대, A.txt, B.exe, ABC 폴더에 존재하는 C.exe 및 D.exe)이 존재하며, 이 중에서 제2 및 제3파일(B.exe 및 C.exe)만 선택된 경우를 나타낸다.
도 5b를 참조하면, 상기 선택모듈(111)은 미리 상기 매니페스트 정보를 저장할 수 있다. 상기 매니페스트 정보에는 상기 호스트(10)에 마운트될 수 있는 파일에 대한 정보가 포함될 수도 있다. 구현 예에 따라서는, 소정의 인증정보가 상기 매니페스트 정보에 더 포함될 수 있다. 상기 인증정보는 예컨대, 체크섬(checksum), 디지털 핑거프린트(fingerprint) 등과 같이 상기 인가된 파일이 위변조되었는지를 판단하기 위해 사용될 수 있는 모든 형태의 정보를 포함하는 의미로 정의될 수 있다. 구현 예에 따라, 상기 매니페스트 정보는 소정의 방식으로 암호화되어 상기 선택모듈(111)에 저장될 수 있으며, 상기 선택모듈(111)에 저장된 상기 매니페스트 정보는 미리 설정된 조건이 만족되어야지만 복호화될 수도 있다. 예컨대, 사용자가 소정의 인증키를 입력하는 경우이거나, 복호화 키를 갖는 소정의 시스템이 상기 호스트(10)에 연결되어야 하는 경우일 수 있다. 따라서, 상기 매니페스트 정보 자체가 악의적 공격에 의해 위변조되는 경우를 방지할 수 있다.
예컨대, 상기 매니페스트 정보에 상기 제2파일(B.exe) 및 제3파일(C.exe)에 대한 정보만 포함된 경우라면, 상기 선택모듈(111)은 상기 적어도 하나의 파일(예컨대, A.txt, B.exe, C.exe, 및 D.exe) 중에서 상기 매니페스트 정보에 상응하는 파일(B.exe 및 C.exe)만을 마운트할 대상으로 특정할 수 있다.
이처럼 마운트할 대상 즉, 상기 선택파일이 특정되면, 상기 마운트모듈(113)은 상기 선택파일을 포함하는 소정의 장치를 마운트할 수 있다. 구현 예에 따라서는, 상기 제어부(110)에 포함된 인증모듈(112)이 상기 선택파일을 인증하고, 인증이된 선택파일만을 상기 장치에 포함시켜 상기 호스트(10)에 마운트할 수도 있다.
상기 인증모듈(112)은 예컨대, 상기 매니페스트 정보에 포함된 인증정보를 이용하여 상기 선택파일을 인증할 수 있다. 상기 인증정보를 이용한 인증을 위해서는 필요한 경우, 상기 선택파일의 파일 전부 또는 일부를 직접 억세스를 통해 읽어올 수도 있다. 파일의 위변조를 판단할 수 있는 다양한 방식이 상기 선택파일의 인증에 사용될 수 있으며, 일 예로서 체크섬, CRC 체크, 핑커프린트 방식 등이 이용될 수 있다. 그리고 상기의 인증방식을 위한 체크섬 정보 또는 핑거프린트 정보 등의 인증정보가 상기 매니페스트 정보에 포함될 수도 있다. 구현 예에 따라서는 상기 인증정보는 상기 매니페스트 정보와는 별도로 상기 인증모듈(112)에 저장될 수도 있다.
이처럼 인증이 성공한 선택파일은 소정의 장치에 포함되어 상기 호스트(10)에 마운트될 수 있다. 일 예에 의하면, 상기 장치는 상기 제어부(110)에 포함된 마운트모듈(113)에 의해 생성되는 가상 드라이브일 수도 있다. 또는, 상기 장치는 상기 이동식 저장매체(200)의 적어도 일부일 수도 있다.
이러한 일 예는 도 6에 도시된다.
도 6은 본 발명의 실시 예에 따라 호스트에 마운트되는 장치의 일 예를 설명하기 위한 도면이다.
먼저, 도 6a는 가상 드라이브가 마운트되는 경우를 나타내는데, 상기 마운트모듈(113)은 상기 선택모듈(111)로부터 선택파일에 대한 정보를 수신하고, 이에 따라 상기 선택파일만을 상기 가상 드라이브에 포함시켜 상기 호스트(10)에 마운트할 수 있다. 이를 위해 상기 마운트모듈(113)은 상기 가상 드라이브에 상응하는 파일을 생성하고, 생성된 파일을 상기 호스트(10)에 하나의 드라이브로 인식할 수 있도록 마운트할 수 있다. 상기 마운트모듈(113)에 의해 생성되는 파일은 복수 개일 수도 있음은 물론이다. 상기 가상 드라이브는 상기 호스트(10)의 파일 시스템 또는 상기 이동식 저장매체(200)의 파일 시스템과 동일한 파일 시스템으로 구현될 수 있다.
상기 선택파일은 직접 억세스 방식으로 상기 이동식 저장매체(200)로부터 상기 이동식 저장매체 보안시스템(100)에 미리 수신될 수 있다. 상기 선택파일은 상기 인증모듈(112)의 인증시에 미리 수신될 수도 있으며, 상기 마운트모듈(113)에 의해 수신될 수도 있다.
결국, 상기 이동식 저장매체(200)가 상기 호스트(10)에 연결되면, 결과적으로 안전한 그리고 허용된 파일만이 상기 가상 드라이브를 통해 상기 호스트(10)에 마운트되므로 상기 호스트(10)는 안전하게 보호될 수 있다.
한편, 도 6b를 참조하면, 상기 마운트모듈(113)은 상기 이동식 저장매체(200)의 적어도 일부를 마운트할 수도 있다. 이때 상기 마운트모듈(113)은 상기 선택모듈(111)에 의해 선택된 파일만 존재하는 소정의 영역(파티션)을 상기 이동식 저장매체(200)에 생성할 수 있다. 구현 예에 의하면, 상기 마운트모듈(113)은 상기 선택파일을 제외한 모든 데이터를 직접 억세스를 통해 삭제한 후, 선택파일이 존재하는 파티션만 선택적으로 상기 호스트(10)에 마운트할 수 있다. 또는, 상기 선택파일만 존재하는 소정의 파티션을 새롭게 생성하고, 생성된 파티션만을 상기 호스트(10)에 마운트할 수도 있다.
선택파일을 제외한 모든 데이터를 삭제하기 위해서는 직접 억세스를 통해 선택파일이 저장된 영역 이외의 영역을 더미(dummy) 데이터로 라이트(write)하는 동작을 수행할 수도 있다.
이처럼, 상기 이동식 저장매체(200) 중 선택파일만 존재하는 일부 영역만을 마운트하는 경우에는, 상기 이동식 저장매체(200)의 데이터 저장상태가 변경되며, 이동식 저장매체(200)가 대용량 매체인 경우에는 파티션의 생성 또는 데이터의 삭제 등에 오랜 시간이 걸릴 수도 있는 문제점이 있다. 그렇지만, 종래의 안티 바이러스 등을 통한 검사를 수행하는 것에 비해서는 뛰어난 보안 효과는 여전히 존재할 수 있다.
본 발명의 기술적 사상과 함께, 상기 이동식 저장매체(200)가 인가된 이동식 저장매체(200)인지 여부를 판단하는 기술적 사상이 더 적용되어 상기 호스트(10)를 보호할 수도 있다. 이를 위해서는 인가된 이동식 저장매체(200)를 식별하기 위한 정보가 상기 이동식 저장매체 보안시스템(100)에 미리 저장되어 있을 수도 있다. 예컨대, 이동식 저장매체(200)의 식별정보가 상기 이동식 저장매체 보안시스템(100)에 미리 저장될 수도 있으며, 다양한 방식으로 인가된 이동식 저장매체(200)를 통해서만 본 발명의 기술적 사상이 구현되도록 할 수도 있다.
상기 이동식 저장매체(200)는 모든 형태의 모바일 저장매체일 수 있다. 구현 예에 따라서는, 상기 이동식 저장매체(200)는 특정 호스트에 사용되도록 하기 위한 고유의 하드웨어 칩을 포함할 수도 있다. 상기 하드웨어 칩은 상기 이동식 저장매체(200)가 상기 특정 호스트에 사용될 수 있음을 인증하는 역할을 수행하는 칩일 수 있다. 물론, 구현 예에 따라서는 상기 하드웨어 칩을 포함하는 소정의 커넥터를 통해 상기 이동식 저장매체(200)가 소정의 호스트에 연결될 수도 있다.
본 발명의 실시 예에 따른 이동식 저장매체 보안방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
Claims (17)
- 호스트에 설치되는 이동식 저장매체 보안시스템에 있어서,
상기 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하기 위한 파일 매니저 모듈; 및
상기 파일 매니저 모듈에 의해 인식된 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택파일만을 상기 호스트에 마운트(mount)하기 위한 제어부를 포함하되,
상기 파일 매니저 모듈은,
상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일 각각에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 개별 파일 단위로 인식하는 것을 특징으로 하며,
상기 제어부는,
상기 선택파일을 포함하는 가상 드라이브를 생성하고, 생성된 가상 드라이브를 상기 호스트에 마운트시키기 위한 마운트 모듈을 포함하는 이동식 저장매체 보안시스템.
- 삭제
- 삭제
- 제1항에 있어서, 상기 제어부는,
상기 파일 매니저 모듈에 의해 인식된 상기 적어도 하나의 파일의 파일정보를 상기 호스트에 디스플레이하고, 디스플레이된 정보에 기초하여 입력되는 사용자 입력신호에 기초하여 상기 선택파일을 선택하기 위한 선택모듈을 포함하는 이동식 저장매체 보안시스템.
- 제1항에 있어서, 상기 제어부는,
상기 호스트에 마운트될 수 있는 인가된 파일에 대한 정보를 미리 저장하며, 저장된 상기 인가된 파일에 대한 정보에 상응하도록 상기 선택파일을 선택하기 위한 선택모듈을 포함하는 이동식 저장매체 보안시스템.
- 제5항에 있어서, 상기 인가된 파일에 대한 정보는,
상기 인가된 파일의 인증정보를 포함하며,
상기 제어부는,
상기 선택파일이 상기 인증정보에 상응하는 경우에만 상기 선택파일을 마운트시키기 위한 인증모듈을 더 포함하는 이동식 저장매체 보안시스템.
- 삭제
- 호스트에 설치되는 이동식 저장매체 보안시스템에 있어서,
상기 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하기 위한 파일 매니저 모듈;
미리 저장된 인가된 파일에 대한 정보에 기초하여 상기 적어도 하나의 파일 중 선택파일을 선택하기 위한 선택모듈;
상기 선택모듈에 의해 선택된 상기 선택파일이 미리 저장된 인증정보에 상응하는지를 판단하기 위한 인증모듈; 및
상기 인증모듈에 의해 인증된 상기 선택파일을 가상 드라이브에 포함시켜 상기 호스트에 마운트(mount)하기 위한 마운트모듈을 포함하되,
상기 파일 매니저 모듈은,
상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일 각각에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 개별 파일 단위로 인식하는 것을 특징으로 하는 이동식 저장매체 보안시스템.
- 호스트에 이동식 저장매체가 연결되면, 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계; 및
상기 이동식 저장매체 보안시스템이 인식된 상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택파일만을 상기 호스트에 마운트하는 단계를 포함하되,
상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계는,
상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일 각각에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 개별 파일 단위로 인식하는 단계를 포함하며,
상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는,
상기 이동식 저장매체 보안시스템이 상기 선택파일을 포함하는 가상 드라이브를 생성하는 단계; 및
생성된 가상 드라이브를 상기 호스트에 마운트하는 단계를 포함하는 이동식 저장매체 보안방법.
- 삭제
- 삭제
- 제9항에 있어서, 상기 이동식 저장매체 보안방법은,
상기 이동식 저장매체 보안시스템이 인식된 상기 적어도 하나의 파일의 파일정보를 상기 호스트에 디스플레이하는 단계; 및
디스플레이된 정보에 기초하여 입력되는 사용자 입력신호를 수신하는 단계를 더 포함하며,
상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는,
상기 사용자 입력신호에 기초하여 선택된 상기 선택파일만을 상기 호스트에 마운트하는 단계를 포함하는 이동식 저장매체 보안방법.
- 제9항에 있어서, 상기 이동식 저장매체 보안방법은,
상기 이동식 저장매체 보안시스템이 상기 호스트에 마운트될 수 있는 인가된 파일에 대한 정보를 저장하는 단계를 더 포함하며,
상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는,
저장된 상기 인가된 파일에 대한 정보에 상응하는 상기 선택파일만을 상기 호스트에 마운트하는 단계를 포함하는 이동식 저장매체 보안방법.
- 제13항에 있어서, 상기 인가된 파일에 대한 정보는,
상기 인가된 파일의 인증정보를 포함하며,
상기 적어도 하나의 파일 중 소정의 방식으로 선택된 선택 파일만 상기 호스트에 마운트하는 단계는,
상기 선택파일이 상기 인증정보에 상응하는지 판단하는 단계를 더 포함하며,
상기 이동식 저장매체 보안시스템은 판단결과 상응하는 경우에만 상기 선택파일을 마운트시키는 이동식 저장매체 보안방법.
- 삭제
- 호스트에 이동식 저장매체가 연결되면, 상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계;
상기 이동식 저장매체 보안시스템이 미리 저장된 인가된 파일에 대한 정보에 기초하여 상기 적어도 하나의 파일 중 마운트 될 선택파일을 선택하는 단계;
상기 이동식 저장매체 보안시스템이 선택된 상기 선택파일이 미리 저장된 인증정보에 상응하는지를 인증하는 단계;
인증결과 상기 선택파일이 인증되면, 인증된 상기 선택파일을 가상 드라이브에 포함시켜 상기 호스트에 마운트(mount)하는 단계를 포함하되,
상기 이동식 저장매체 보안시스템이 상기 이동식 저장매체에 저장된 적어도 하나의 파일을 인식하는 단계는,
상기 이동식 저장매체가 상기 호스트에 마운트 되지 않은 상태에서, 상기 이동식 저장매체에 저장된 상기 적어도 하나의 파일 각각에 상응하는 파일정보를 판독하여 상기 적어도 하나의 파일을 개별 파일 단위로 인식하는 단계를 포함하는 이동식 저장매체 보안방법.
- 제9항 또는 제16항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120092857A KR101349807B1 (ko) | 2012-08-24 | 2012-08-24 | 이동식 저장매체 보안시스템 및 그 방법 |
US14/423,700 US20150302211A1 (en) | 2012-08-24 | 2013-08-23 | Removable storage medium security system and method thereof |
PCT/KR2013/007600 WO2014030978A1 (ko) | 2012-08-24 | 2013-08-23 | 이동식 저장매체 보안시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120092857A KR101349807B1 (ko) | 2012-08-24 | 2012-08-24 | 이동식 저장매체 보안시스템 및 그 방법 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130117917A Division KR20140026315A (ko) | 2013-10-02 | 2013-10-02 | 이동식 저장매체 보안시스템 및 그 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101349807B1 true KR101349807B1 (ko) | 2014-01-09 |
Family
ID=50145156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120092857A KR101349807B1 (ko) | 2012-08-24 | 2012-08-24 | 이동식 저장매체 보안시스템 및 그 방법 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20150302211A1 (ko) |
KR (1) | KR101349807B1 (ko) |
WO (1) | WO2014030978A1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11132448B2 (en) * | 2018-08-01 | 2021-09-28 | Dell Products L.P. | Encryption using wavelet transformation |
WO2021035429A1 (en) | 2019-08-23 | 2021-03-04 | Siemens Aktiengesellschaft | Method and system for security management on a mobile storage device |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000020624A (ja) | 1998-07-06 | 2000-01-21 | Ntt Data Corp | 情報管理方式 |
JP2008009659A (ja) | 2006-06-28 | 2008-01-17 | Nec Corp | デバイス接続方法とホスト機器およびデバイス機器接続用プログラム |
KR100990973B1 (ko) | 2007-11-14 | 2010-11-19 | 한국전력공사 | 이동형 데이터 저장 장치의 로우 영역을 이용하여 보안 기능을 구현한 데이터 처리 장치 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100758219B1 (ko) * | 2005-08-08 | 2007-09-12 | (주)이월리서치 | 유에스비 장치의 동작을 통제하는 방법 |
-
2012
- 2012-08-24 KR KR1020120092857A patent/KR101349807B1/ko active IP Right Grant
-
2013
- 2013-08-23 WO PCT/KR2013/007600 patent/WO2014030978A1/ko active Application Filing
- 2013-08-23 US US14/423,700 patent/US20150302211A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000020624A (ja) | 1998-07-06 | 2000-01-21 | Ntt Data Corp | 情報管理方式 |
JP2008009659A (ja) | 2006-06-28 | 2008-01-17 | Nec Corp | デバイス接続方法とホスト機器およびデバイス機器接続用プログラム |
KR100990973B1 (ko) | 2007-11-14 | 2010-11-19 | 한국전력공사 | 이동형 데이터 저장 장치의 로우 영역을 이용하여 보안 기능을 구현한 데이터 처리 장치 |
Also Published As
Publication number | Publication date |
---|---|
WO2014030978A1 (ko) | 2014-02-27 |
US20150302211A1 (en) | 2015-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109923548B (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
EP3103056B1 (en) | Methods and apparatus for protecting operating system data | |
US8281410B1 (en) | Methods and systems for providing resource-access information | |
JP2011503689A (ja) | 分離型の読み取り専用領域及び読み書き領域を有するコンピュータ記憶デバイス、リムーバブル媒体コンポーネント、システム管理インタフェース、及び、ネットワークインタフェース | |
JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
US8856918B1 (en) | Host validation mechanism for preserving integrity of portable storage data | |
CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
EP3627368A1 (en) | Auxiliary memory having independent recovery area, and device applied with same | |
US11914710B2 (en) | System and method for application tamper discovery | |
US20150074820A1 (en) | Security enhancement apparatus | |
Zhao et al. | TEE-aided write protection against privileged data tampering | |
US20170279819A1 (en) | Systems and methods for obtaining information about security threats on endpoint devices | |
EP4006758B1 (en) | Data storage apparatus with variable computer file system | |
KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
Sun et al. | Analysis and prevention of information security of USB | |
KR101290852B1 (ko) | 가상 머신을 이용한 데이터 유출 방지 장치 및 방법 | |
JP2005085026A (ja) | アクセス制御装置ならびにそのプログラム | |
KR20140026315A (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
US20150047044A1 (en) | System and methods for protecting and using digital data | |
Dar | A novel approach to restrict the access of malicious applications in android | |
US10339328B1 (en) | Securing stored computer files from modification | |
KR101482903B1 (ko) | 데이터 유출 방지 방법, 서버 장치, 및 클라이언트 장치 | |
KR102239902B1 (ko) | 보조기억장치에서의 파일시스템 보호장치 및 방법 | |
JP2023516517A (ja) | データ保護システム | |
KR101415403B1 (ko) | 공유 가능한 보안공간 제공시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
A107 | Divisional application of patent | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20171228 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20191223 Year of fee payment: 7 |