KR101382222B1 - 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 - Google Patents
파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 Download PDFInfo
- Publication number
- KR101382222B1 KR101382222B1 KR1020120113638A KR20120113638A KR101382222B1 KR 101382222 B1 KR101382222 B1 KR 101382222B1 KR 1020120113638 A KR1020120113638 A KR 1020120113638A KR 20120113638 A KR20120113638 A KR 20120113638A KR 101382222 B1 KR101382222 B1 KR 101382222B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- file
- copy
- general
- management program
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000002265 prevention Effects 0.000 title claims abstract description 16
- 230000006870 function Effects 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims 2
- 238000007726 management method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0614—Improving the reliability of storage systems
- G06F3/0619—Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
Abstract
본 발명은 모바일 정보유출방지 시스템 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 모바일에 구비된 정보유출방지 시스템은, 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소; 상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소; 상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램; 상기 관리 프로그램의 명령에 따라 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및 응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진을 포함하는 것을 특징으로 한다.
Description
본 발명은 정보유출방지에 관한 것으로서, 더 구체적으로는 모바일 환경에서 정보유출을 방지할 수 있는 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법에 관한 것이다.
최근, 대기업, 증권, 보험사 등을 시작으로 스마트폰을 업무에 활용하는 사례가 늘고 있다. 이른바, 스마트 오피스(Smart Office), 스마트 워크(Work)가 시작되어, 스마트폰 사용자는 언제 어디서나 사내 망에 접속하여 사내 정보를 열람할 수 있다.
그런데, 이 같은 스마트 오피스나, 스마트 워크는 업무 효율을 증가시키는 반면, 스마트폰에서 사내 망으로 접근시에 사내 정보가 유출될 위험이 커지는 문제가 있다.
더욱이, 사내 정보는 대부분 중요 정보이며, 핵심 정보일 가능성도 커, 업무용으로 사용되는 모바일 환경에 정보유출방지 대책을 적용하는 것이 시급하다.
더욱이, 최근에는 정부에서도 정보통신망법과 개인정보보호법 등을 통해 개인정보 보호 및 관리를 단속하고 있어, 회사라는 닫힌 공간은 물론, 열린 공간에서의 정보 유출에 대한 대비도 필요한 실정이다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 물리적 디스크 영역을 가상화하여 보안 모드에서 사용할 수 있는 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법을 제공하는 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일면에 따른 모바일에 구비된 정보유출방지 시스템은, 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소; 상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소; 상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램; 상기 관리 프로그램의 명령에 따라 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및 응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진을 포함하는 것을 특징으로 한다.
본 발명의 다른 면에 따른 일반 모드와 보안 모드에서 접근 가능한 일반 저장소와 상기 일반 모드에서 접근 불가하며 상기 보안 모드에서 접근 가능한 암호화된 가상 저장소를 포함하는 정보유출방지 시스템의 파일 복사 방법은, 상기 보안 모드에서, 관리 프로그램을 포함하는 응용 프로그램으로부터, 상기 가상 저장소에서 상기 일반 저장소로의 복사 작업이 요청되면, 상기 복사 작업을 요청한 사용자에게 인증을 요청하는 단계; 상기 사용자가 인증되면, 상기 복사 작업에 대응하는 복사 대상 파일을 분석하고, 분석 내용을 송신하여 상기 복사 작업에 대한 승인을 요청하는 단계; 및 상기 서버로부터 상기 복사 작업에 대한 책임자의 승인을 통지받으면, 상기 가상 저장소의 상기 복사 대상 파일을 상기 일반 저장소로 복사하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 파일 시스템 가상 영역에 저장된 개인정보 및 기밀정보 중 적어도 하나가 포함된 파일을 외부 반출하기 위해 일반 저장소로 복사하려할 때, 승인을 거치므로, 인가된 사용자에 의한 안전한 복사 작업을 보장할 수 있고, 비인가된 사용자에 의한 파일 유출을 원천 차단할 수 있다.
도 1은 본 발명의 모바일 정보유출방지 시스템 및 그의 보안 모드 데이터 흐름을 도시한 구성도.
도 2는 본 발명의 콘텐츠 분석 부시스템을 도시한 구성도.
도 3은 본 발명의 관리 프로그램 또는 콘텐츠 분석 부시스템에 의한 파일 복사 기능을 도시한 도면.
도 2는 본 발명의 콘텐츠 분석 부시스템을 도시한 구성도.
도 3은 본 발명의 관리 프로그램 또는 콘텐츠 분석 부시스템에 의한 파일 복사 기능을 도시한 도면.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이제 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 모바일 정보유출방지 시스템 및 그의 보안 모드 데이터 흐름을 도시한 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 모바일 정보유출방지 시스템(10)은 일반 저장소(400), 가상 저장소(500), FUSE(300), VFS 엔진(100) 및 관리 프로그램(200)을 포함한다. 이때, 모바일 정보유출방지 시스템(10)은 스마트폰, 스마트 패드 등의 휴대 정보 단말에 구비될 수 있다.
일반 저장소(400)는 메모리의 일 저장 영역으로서, 일반 모드 및 보안 모드에서 읽기/쓰기 가능하며, 승인되지 않은 개인정보 및 기밀정보의 저장은 제한된다. 여기서, 개인정보는 주민번호, 카드번호, 계좌번호 등일 수 있으며, 기밀정보는 회사에서 보안이 필요한 것으로 지정된 중요정보일 수 있다. 이때, 일반 저장소(400)는 보안 모드에서 편집될 때 책임자의 승인을 거칠 수 있다.
가상 저장소(500)는 일반 저장소(400)와 구별되는 메모리의 다른 저장 영역으로서, 보안 모드에서 읽기/쓰기 가능하고 일반 모드에서는 접근 불가하다.
관리 프로그램(200)은 사내 망에 접속하지 않은 일반 모드에서, 실행되는 앱애플리케이션(응용 프로그램; Application)의 파일 입출력 경로를 일반 저장소(400)로 지정하고, 가상 저장소(500)에 대한 접근을 제한한다.
관리 프로그램(200)은 사내 망에 접속하여 사용자 인증에 성공하면, 일반 모드에서 보안 모드로 전환되어, 실행되는 애플리케이션의 파일 입출력 경로를 일차적으로는 가상 저장소(500)로 지정한다. 이때, 관리 프로그램(200)은 보안 모드에서, 가상 저장소(500)에 저장된 파일을 가상 저장소(500) 내에서만 편집 가능하도록 제어하고, 일반 저장소(400)로 이동 또는 복사를 원할 경우, 책임자의 승인을 거쳐 이동 또는 복사할 수 있다.
FUSE(300)는 관리 프로그램(200)의 명령에 따라, 실제로 가상 파일 시스템의 파일 처리를 가로채, 파일 처리가 가상 저장소(500)를 기반으로 이루어지도록 하며, bindFS, UnionFS 및 CryptoFS를 포함한다.
FUSE(300)는 bindFS 및 UnionFS를 이용하여 관리 프로그램(200)을 포함하는 애플리케이션의 파일 입출력(IO)을 중간에서 가로채 데이터 저장 경로를 변경하여, 보안 모드에서 파일 입출력이 가상 저장소(500)를 기반으로 이루어지도록 한다.
FUSE(300)는 가상 저장소(500)에 대해 파일을 입출력할 때 기설정된 키 기반으로 암호화하여 가상 저장소(500)로 입력하고, 암호화 해제하여 가상 저장소(500)로부터 출력한다.
이때, FUSE(300)는 커널 계층의 파일 시스템 접근 제어의 브리지(Bridge) 기능을 하며, 리눅스(Linux) 커널 2.6.15부터 기본으로 탑재되어, 맥 운영체제(MAC OS), 윈도우 및 솔라리스 등의 운영체제에서 사용 가능하다.
VFS 엔진(100)은 관리 프로그램(200)을 포함하는 애플리케이션으로부터 파일 처리를 지시받으면, 파일 시스템에 접근하여 일반 저장소(400) 기반으로 파일을 처리한다.
VFS 엔진(100)은 보안 모드에서 응용 계층에서 동작하는 관리 프로그램(200)을 포함하는 애플리케이션과 커널 계층의 FUSE(300) 간의 통신에 있어서 브리지 기능을 한다. 즉, 보안 모드에서 운영체제의 커널 환경은 가상 머신(Virtual Machine) 위에서 구동되므로, 관리 프로그램(200)을 포함하는 애플리케이션은 권한 상의 제한이 있는 커널 환경에 직접 접근할 수 없어, 응용 계층과 커널 계층을 이어주는 브리지인 VFS 엔진(100)을 필요로 한다.
요약하면, 본 발명은 스마트 단말기 플랫폼(예컨대, 안드로이드) 안에 존재하는 파일 시스템(ext3, ext4, yaff2 등)을 가상화하여, 사용자 애플리케이션이 물리적 디스크 영역과 구분해 가상화된 디스크 영역을 사용하도록 함에 따라 정보유출을 방지할 수 있다.
한편, 전술한 예에서는 관리 프로그램(200)이 보안 모드에서 실행되는 애플리케이션의 파일 입출력 경로를 1차적으로 가상 저장소(500)로만 지정하는 경우를 예로 들어 설명하였다.
그러나, 관리 프로그램(200)는 가상 저장소(500) 내 파일은 1차적으로 가상 저장소(500) 내에서만 편집되도록 하고, 일반 저장소(400) 내 파일들은 1차적으로 일반 저장소(400) 내에서 편집되도록 할 수 있다. 다만, 이 경우 관리 프로그램(200)은 보안 모드에서 일반 저장소(400) 내 파일이 편집되면, 개인정보 및 기밀정보가 포함되는지 여부를 확인하고, 해당 정보가 포함되면, 가상 저장소(500)로 이동시키도록 제어할 수도 있다.
이하, 도 2를 참조하여 본 발명의 실시예에 따른 콘텐츠 분석 부시스템(CAS; Contents Analysis Subsystem)에 대하여 설명한다. 도 2는 본 발명의 실시예에 따른 콘텐츠 분석 부시스템을 도시한 구성도이다. 도 2의 콘텐츠 분석 부시스템(200')은 도 1의 관리 프로그램(200)에 포함될 수 있다.
도 2에 도시된 바와 같이, 콘텐츠 분석 부시스템(200')은 제어부(210), 추출부(220) 및 패턴 분석부(230)를 포함한다. 이때, 제어부(210), 파일내용 추출부(220) 및 패턴 분석부(230) 중 적어도 하나의 구성요소는 두 개로 분리될 수 있으며, 그중 복수 개의 구성요소는 하나로 합쳐질 수도 있다.
제어부(210)는 보안 모드에서, 사용자의 조작에 따라 애플리케이션에 의해 가상 저장소(500)에서 일반 저장소(400)로 복사하려는 복사 대상 파일이 선택되면, 제1 인증키에 기반한 사용자 인증을 수행한다. 여기서, 제어부(210)는 사용자에게 인증키를 입력할 것을 요청하고, 사용자에 입력된 인증키와 기설정된 제1 인증키를 비교하여 인증하면 사용자를 인증할 수 있다.
제어부(210)는 사용자 인증에 성공하면, 추출부(220) 및 패턴 분석부(230)를 통해 복사 대상 파일을 분석하고, 분석된 내용 및 제2 인증키를 전송하여 관리 서버(20)에 복사 작업에 대한 승인을 요청한다. 여기서, 제1 인증키는 제2 인증키와 동일할 수 있다. 이때, 제어부(210)는 분석된 내용 및 제2 인증키 이외에 복사 대상 파일에 대한 정보도 추가로 전송할 수 있다.
제어부(210)는 관리 서버(20)로부터 복사 작업에 대해 승인을 받으면, 복사 대상 파일을 가상 저장소(500)에서 일반 저장소(400)로 복사한다.
추출부(220)는 보안 모드에서, 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지 여부를 분석하고, 적어도 하나의 정보에 대응하는 글자를 추출한다. 여기서, 개인정보는 주민번호, 카드번호, 계좌번호 등일 수 있으며, 복사 대상 파일은 "*.doc", "*. xls", "*. ppt" 등과 같은 문서파일일 수 있다.
추출부(220)는 자바 기반의 Apach POI 라이브러리를 사용하여 바이너리 파일인 복사 대상 파일로부터 개인정보 및 기밀정보 중 적어도 하나의 정보에 해당하는 글자(text)를 추출한다. 여기서, Apach POI 라이브러리는 Java 프로그래밍에서 문서의 텍스트 추출시 사용되는 라이브러리로서, Apach(http://poi.apache.org/)에서 오픈 소스(Open Source)로 제공하는 POI(Poor Obfuscation Implementation)이며, 바이너리 파일을 읽어 이미지나, 표 등을 제거하고 순수 텍스트(문자)만을 추출하는 기능을 제공한다.
패턴 분석부(230)는 추출된 개인정보 및 기밀정보 중 적어도 하나에서 사전 정의된 패턴이 존재하는지를 분석한다. 이때, 패턴 분석부(230)는 자바에서 제공되는 문자열 비교 함수인 Regex 함수를 사용하여 문자열 비교를 통한 패턴 매칭 처리를 수행한다. 이때, 패턴 분석부(230)는 자바에서 제공하는 라이브러리를 사용할 수 있다.
패턴 분석부(230)는 패턴 매칭 결과를 이용하여 추출된 개인정보 및 기밀정보의 형태를 파악한다.
이와 같이, 콘텐츠 분석 부시스템(200')은 복사 대상 바이너리 파일에서 개인정보 및 기밀정보 중 적어도 하나에 해당하는 정보 글자를 추출하고, 문자열 비교를 통해 패턴 매칭을 처리하고, 관리 서버(20)에 승인을 요청하고, 승인되면 복사 대상 파일을 복사할 수 있다.
이하, 도 3을 참조하여 본 발명의 실시예에 따른 파일 복사 기능의 수행 과정에 대하여 설명한다. 도 3은 본 발명의 실시예에 따른 관리 프로그램 또는 콘텐츠 분석 부시스템에 의한 파일 복사 기능을 도시한 도면이다.
도 3을 참조하면, 관리 프로그램(200)은 사용자가 복사 대상 파일을 선택하면(S310), 사용자에게 사용자 인증을 요청한다.
관리 프로그램(200)은 사용자가 인증키를 입력하면, 기설정된 제1 인증키인지를 확인하고, 기설정된 제1 인증키와 일치하면, 사용자를 인증한다(S320).
관리 프로그램(200)은 사용자 인증이 완료되면, 복사 대상 파일의 내용을 분석한다(S330). 이때, 관리 프로그램(200)은 복사 대상 파일의 내용에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지 여부를 확인하고, 개인정보 및 기밀정보 중 적어도 하나의 패턴을 분석하여 개인정보 및 기밀정보 중 적어도 하나의 형태(Type)를 확인한다.
관리 프로그램(200)은 HTTP 프로토콜을 이용하여 분석된 내용과 제2 인증키를 포함하는 승인요청 메시지를 관리 서버(20)에 전송하여 복사 작업에 대한 승인을 요청한다(S340). 여기서, 분석된 내용은 개인정보 및 기밀정보 중 적어도 하나의 포함 여부 및 그 형태일 수 있으며, 제2 인증키는 제1 인증키와 동일할 수도 있다.
관리 서버(20)는 승인요청 메시지를 데이터베이스에 저장하고, 기설정된 책임자에게 승인을 요청하고, 승인 여부를 확인한다(S350). 이때, 관리 서버(20)는 승인자, 개인정보보호 책임자 등에 문자, 화면 출력 등의 방식으로 승인을 요청한다.
관리 서버(20)는 복사 작업에 대한 승인 여부를 나타내는 승인/반려 통지를 단말기로 전달한다(S360). 이때, 관리 서버(20)는 책임자에 의해 복사 작업이 승인되면, 승인을 통지하며, 반려되면 반려를 통지한다. 여기서, 단말기는 도 1의 정보유출방지 시스템(10)을 포함한다.
관리 프로그램(200)은 승인/반려 통지로부터 복사 작업에 대한 승인을 확인하면, 파일을 복사한다(S370). 이때, 관리 프로그램(200)은 승인/반려 통지로부터 복사 작업에 대한 반려를 확인하면, 사용자에게 복사 작업의 반려를 알린다.
이와 같이, 본 발명은 사내 네트워크에 접속하려는 사용자들을 사용자 인증을 통해 엄격히 구분하고 제한할 수 있으며, 스마트폰을 이용한 업무는 가상 보안 환경에서 수행되도록 하며, 가상 보안 환경에 저장되어 있는 파일에 대한 일반 환경으로의 복사가 필요한 경우에는 개인정보, 기밀정보가 포함된 파일인지를 확인하고, 사전 정의된 프로세스에 따라 개인정보, 기밀정보에 해당하는 데이터를 분석, 추출하여 기록을 남기고, 해당 기록에 대하여 승인자 또는 사내 개인정보 보호 책임자의 승인을 거침에 따라 개인정보나 기밀정보의 악의적인 유출을 방지할 수 있다.
또한, 본 발명은 파일 복사, 분실 또는 악의적 사용자의 사용자 계정 획득에 의해 사용자 단말이 장악되어도, 파일 시스템 가상 영역에 저장된 개인정보 및 기밀정보가 포함된 파일을 외부로 반출하기 위해 일반 저장소의 물리적 디스크로 복사하려할 때, 승인을 요청하므로, 책임자에 의해 비인가 사용자의 승인요청을 탐지할 수 있어, 인가된 사용자에 의한 안전한 복사 작업을 보장할 수 있고, 비인가된 사용자에 의한 파일 유출을 원천 차단할 수 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.
Claims (8)
- 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소;
상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소;
상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램;
상기 관리 프로그램의 명령에 따라, 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및
응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진
을 포함하는 모바일 정보유출방지 시스템. - 제1항에 있어서, 상기 관리 프로그램은,
상기 보안 모드에서 상기 가상 저장소에서 상기 일반 저장소로의 복사하려는 파일이 있으면, 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지를 확인하고, 상기 적어도 하나의 정보가 포함되면 추출하는 추출부;
추출된 상기 적어도 하나의 정보와 사전 정의된 패턴을 비교하여 상기 적어도 하나의 정보의 유형을 파악하는 패턴 분석부;
상기 적어도 하나의 정보의 포함 여부 및 상기 적어도 하나의 정보의 유형을 포함하는 분석 내용과 인증키를 이용하여 책임자에 상기 복사 대상 파일에 대한 복사 작업에 대한 승인을 요청하는 제어부
를 포함하는 것인 모바일 정보유출방지 시스템. - 제2항에 있어서, 상기 추출부는,
자바 기반 Apach POI 라이브러리를 사용하여 상기 적어도 하나의 정보에 대응하는 텍스트를 추출하는 것인 모바일 정보유출방지 시스템. - 제2항에 있어서, 상기 패턴 분석부는,
자바 기반 문자열 비교 함수를 이용하여 상기 적어도 하나의 정보와 상기 사전 정의된 패턴을 비교하는 패턴 매칭 처리를 통해 상기 적어도 하나의 정보의 유형을 파악하는 것인 모바일 정보유출방지 시스템. - 일반 모드와 보안 모드에서 접근 가능한 일반 저장소와 상기 일반 모드에서 접근 불가하며 상기 보안 모드에서 접근 가능한 암호화된 가상 저장소를 포함하는 모바일 정보유출방지 시스템의 파일 복사 방법에 관한 것으로서,
상기 보안 모드에서, 관리 프로그램을 포함하는 응용 프로그램으로부터, 상기 가상 저장소에서 상기 일반 저장소로의 복사 작업이 요청되면, 상기 복사 작업을 요청한 사용자에게 인증을 요청하는 단계;
상기 사용자가 인증되면, 상기 복사 작업에 대응하는 복사 대상 파일을 분석하고, 분석 내용을 관리 서버로 송신하여 상기 복사 작업에 대한 승인을 요청하는 단계; 및
상기 관리 서버로부터 상기 복사 작업에 대한 책임자의 승인을 통지받으면, 상기 가상 저장소의 상기 복사 대상 파일을 상기 일반 저장소로 복사하는 단계
를 포함하는 파일 복사 방법. - 제5항에 있어서, 상기 분석하고, 상기 승인을 요청하는 단계는,
상기 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지를 확인하는 단계;
상기 적어도 하나의 정보가 포함되면, 상기 적어도 하나의 정보를 추출하는 단계;
상기 적어도 하나의 정보와 기설정된 패턴을 비교하여 상기 적어도 하나의 정보의 유형을 확인하는 단계; 및
상기 적어도 하나의 정보의 포함 여부 및 상기 적어도 하나의 정보의 유형 중 적어도 하나를 포함하는 상기 분석 내용을 인증키와 함께 송신하여 상기 승인을 요청하는 단계
를 포함하는 것인 파일 복사 방법. - 제5항에 있어서, 상기 인증을 요청하는 단계는,
상기 사용자에게 인증키를 입력할 것을 요청하는 단계;
상기 사용자에 의해 입력된 인증키와 기설정된 인증키를 비교하는 단계; 및
상기 입력된 인증키와 상기 기설정된 인증키가 일치하면, 상기 사용자를 인증하는 단계
를 포함하는 것인 파일 복사 방법. - 제5항에 있어서,
상기 관리 서버로부터 상기 복사 작업에 대한 상기 책임자의 반려를 통지받으면, 상기 사용자에게 상기 복사 작업의 반려를 알리는 단계
를 더 포함하는 파일 복사 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120113638A KR101382222B1 (ko) | 2012-10-12 | 2012-10-12 | 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 |
US14/051,000 US20140108755A1 (en) | 2012-10-12 | 2013-10-10 | Mobile data loss prevention system and method using file system virtualization |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120113638A KR101382222B1 (ko) | 2012-10-12 | 2012-10-12 | 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101382222B1 true KR101382222B1 (ko) | 2014-04-07 |
Family
ID=50476527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120113638A KR101382222B1 (ko) | 2012-10-12 | 2012-10-12 | 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20140108755A1 (ko) |
KR (1) | KR101382222B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107657180A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种信息处理客户端、服务器及方法 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9015353B2 (en) | 2013-03-14 | 2015-04-21 | DSSD, Inc. | Method and system for hybrid direct input/output (I/O) with a storage device |
US9519759B2 (en) * | 2014-04-16 | 2016-12-13 | Bank Of America Corporation | Secure access to programming data |
US9430674B2 (en) | 2014-04-16 | 2016-08-30 | Bank Of America Corporation | Secure data access |
CN105100178B (zh) * | 2014-05-23 | 2019-12-20 | 中兴通讯股份有限公司 | 一种自适应重定向加速处理方法及装置 |
US10235463B1 (en) * | 2014-12-19 | 2019-03-19 | EMC IP Holding Company LLC | Restore request and data assembly processes |
US10095710B1 (en) | 2014-12-19 | 2018-10-09 | EMC IP Holding Company LLC | Presenting cloud based storage as a virtual synthetic |
US10120765B1 (en) | 2014-12-19 | 2018-11-06 | EMC IP Holding Company LLC | Restore process using incremental inversion |
US10095707B1 (en) | 2014-12-19 | 2018-10-09 | EMC IP Holding Company LLC | Nearline cloud storage based on FUSE framework |
US9753814B1 (en) | 2014-12-19 | 2017-09-05 | EMC IP Holding Company LLC | Application level support for selectively accessing files in cloud-based storage |
CN106302609B (zh) * | 2015-06-08 | 2020-02-28 | 阿里巴巴集团控股有限公司 | 一种访问方法及装置 |
US10817609B2 (en) | 2015-09-30 | 2020-10-27 | Nvidia Corporation | Secure reconfiguration of hardware device operating features |
CN106484615B (zh) * | 2016-09-29 | 2019-05-03 | 青岛海信移动通信技术股份有限公司 | 记录日志的方法和装置 |
US11301144B2 (en) | 2016-12-28 | 2022-04-12 | Amazon Technologies, Inc. | Data storage system |
US10484015B2 (en) | 2016-12-28 | 2019-11-19 | Amazon Technologies, Inc. | Data storage system with enforced fencing |
US10514847B2 (en) | 2016-12-28 | 2019-12-24 | Amazon Technologies, Inc. | Data storage system with multiple durability levels |
US11169723B2 (en) | 2019-06-28 | 2021-11-09 | Amazon Technologies, Inc. | Data storage system with metadata check-pointing |
US11182096B1 (en) | 2020-05-18 | 2021-11-23 | Amazon Technologies, Inc. | Data storage system with configurable durability |
US11681443B1 (en) | 2020-08-28 | 2023-06-20 | Amazon Technologies, Inc. | Durable data storage with snapshot storage space optimization |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080006929A (ko) * | 2006-07-14 | 2008-01-17 | 삼성전자주식회사 | 휴대용 단말기에서 데이터 유출 방지 방법 및 장치 |
KR20100009062A (ko) * | 2008-07-17 | 2010-01-27 | 삼성전자주식회사 | 데이터 보안을 위한 파일 시스템 구성 방법 및 장치, 그에의해 만들어진 데이터 보안 영역에 접근하는 방법 및 장치,그에 따른 데이터 저장 장치 |
KR20110034351A (ko) * | 2009-09-28 | 2011-04-05 | 주식회사 잉카인터넷 | 보안 유에스비 메모리를 통한 정보 유출 방지시스템 및 방법 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6032224A (en) * | 1996-12-03 | 2000-02-29 | Emc Corporation | Hierarchical performance system for managing a plurality of storage units with different access speeds |
US8214394B2 (en) * | 2006-03-01 | 2012-07-03 | Oracle International Corporation | Propagating user identities in a secure federated search system |
JP4895731B2 (ja) * | 2006-09-05 | 2012-03-14 | 株式会社リコー | 情報処理装置、周辺装置、およびプログラム |
US20110213971A1 (en) * | 2010-03-01 | 2011-09-01 | Nokia Corporation | Method and apparatus for providing rights management at file system level |
JP5631322B2 (ja) * | 2010-03-15 | 2014-11-26 | パナソニック株式会社 | 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路 |
JP2012014529A (ja) * | 2010-07-01 | 2012-01-19 | Toshiba Corp | 記憶装置および情報処理装置 |
US8577823B1 (en) * | 2011-06-01 | 2013-11-05 | Omar M. A. Gadir | Taxonomy system for enterprise data management and analysis |
-
2012
- 2012-10-12 KR KR1020120113638A patent/KR101382222B1/ko active IP Right Grant
-
2013
- 2013-10-10 US US14/051,000 patent/US20140108755A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080006929A (ko) * | 2006-07-14 | 2008-01-17 | 삼성전자주식회사 | 휴대용 단말기에서 데이터 유출 방지 방법 및 장치 |
KR20100009062A (ko) * | 2008-07-17 | 2010-01-27 | 삼성전자주식회사 | 데이터 보안을 위한 파일 시스템 구성 방법 및 장치, 그에의해 만들어진 데이터 보안 영역에 접근하는 방법 및 장치,그에 따른 데이터 저장 장치 |
KR20110034351A (ko) * | 2009-09-28 | 2011-04-05 | 주식회사 잉카인터넷 | 보안 유에스비 메모리를 통한 정보 유출 방지시스템 및 방법 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107657180A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种信息处理客户端、服务器及方法 |
Also Published As
Publication number | Publication date |
---|---|
US20140108755A1 (en) | 2014-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101382222B1 (ko) | 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 | |
US11704384B2 (en) | Secure document sharing | |
EP1946238B1 (en) | Operating system independent data management | |
RU2637878C2 (ru) | Аутентификация процессов и разрешения на ресурсы | |
US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
US10289860B2 (en) | Method and apparatus for access control of application program for secure storage area | |
US20170185790A1 (en) | Dynamic management of protected file access | |
US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
US10210337B2 (en) | Information rights management using discrete data containerization | |
CN104318176A (zh) | 用于终端的数据管理方法、数据管理装置和终端 | |
CN113468576B (zh) | 一种基于角色的数据安全访问方法及装置 | |
US11295027B2 (en) | System and method for protecting electronic documents containing confidential information from unauthorized access | |
US20170187527A1 (en) | Obtaining A Decryption Key From a Mobile Device | |
US11190356B2 (en) | Secure policy ingestion into trusted execution environments | |
US20220326863A1 (en) | Data storage apparatus with variable computer file system | |
KR101349762B1 (ko) | 개인정보를 보호하고 관리하는 방법 | |
JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
KR101265533B1 (ko) | 폴더 액세스 제어 장치 및 방법 | |
KR20130079004A (ko) | 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법 | |
CN104866761B (zh) | 一种高安全性安卓智能终端 | |
KR20160102915A (ko) | 모바일 가상화 기반의 스마트워크용 보안 플랫폼 관리 장치 | |
EP3935538A1 (en) | Secure policy ingestion into trusted execution environments | |
CN104751069A (zh) | 数据安全存取方法及其系统 | |
KR102656375B1 (ko) | 공유 콘텐츠 보안 향상을 위한 디지털 권한 관리 시스템 및 그 동작 방법 | |
KR101309592B1 (ko) | 개인 정보 보호 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190329 Year of fee payment: 6 |