KR101382222B1 - 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 - Google Patents

파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 Download PDF

Info

Publication number
KR101382222B1
KR101382222B1 KR1020120113638A KR20120113638A KR101382222B1 KR 101382222 B1 KR101382222 B1 KR 101382222B1 KR 1020120113638 A KR1020120113638 A KR 1020120113638A KR 20120113638 A KR20120113638 A KR 20120113638A KR 101382222 B1 KR101382222 B1 KR 101382222B1
Authority
KR
South Korea
Prior art keywords
information
file
copy
general
management program
Prior art date
Application number
KR1020120113638A
Other languages
English (en)
Inventor
류승태
백승태
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020120113638A priority Critical patent/KR101382222B1/ko
Priority to US14/051,000 priority patent/US20140108755A1/en
Application granted granted Critical
Publication of KR101382222B1 publication Critical patent/KR101382222B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0614Improving the reliability of storage systems
    • G06F3/0619Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/065Replication mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode

Abstract

본 발명은 모바일 정보유출방지 시스템 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 모바일에 구비된 정보유출방지 시스템은, 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소; 상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소; 상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램; 상기 관리 프로그램의 명령에 따라 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및 응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진을 포함하는 것을 특징으로 한다.

Description

파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법{System and Method for Mobile Data Loss Prevention which uses File system Virtualization}
본 발명은 정보유출방지에 관한 것으로서, 더 구체적으로는 모바일 환경에서 정보유출을 방지할 수 있는 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법에 관한 것이다.
최근, 대기업, 증권, 보험사 등을 시작으로 스마트폰을 업무에 활용하는 사례가 늘고 있다. 이른바, 스마트 오피스(Smart Office), 스마트 워크(Work)가 시작되어, 스마트폰 사용자는 언제 어디서나 사내 망에 접속하여 사내 정보를 열람할 수 있다.
그런데, 이 같은 스마트 오피스나, 스마트 워크는 업무 효율을 증가시키는 반면, 스마트폰에서 사내 망으로 접근시에 사내 정보가 유출될 위험이 커지는 문제가 있다.
더욱이, 사내 정보는 대부분 중요 정보이며, 핵심 정보일 가능성도 커, 업무용으로 사용되는 모바일 환경에 정보유출방지 대책을 적용하는 것이 시급하다.
더욱이, 최근에는 정부에서도 정보통신망법과 개인정보보호법 등을 통해 개인정보 보호 및 관리를 단속하고 있어, 회사라는 닫힌 공간은 물론, 열린 공간에서의 정보 유출에 대한 대비도 필요한 실정이다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 물리적 디스크 영역을 가상화하여 보안 모드에서 사용할 수 있는 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법을 제공하는 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일면에 따른 모바일에 구비된 정보유출방지 시스템은, 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소; 상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소; 상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램; 상기 관리 프로그램의 명령에 따라 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및 응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진을 포함하는 것을 특징으로 한다.
본 발명의 다른 면에 따른 일반 모드와 보안 모드에서 접근 가능한 일반 저장소와 상기 일반 모드에서 접근 불가하며 상기 보안 모드에서 접근 가능한 암호화된 가상 저장소를 포함하는 정보유출방지 시스템의 파일 복사 방법은, 상기 보안 모드에서, 관리 프로그램을 포함하는 응용 프로그램으로부터, 상기 가상 저장소에서 상기 일반 저장소로의 복사 작업이 요청되면, 상기 복사 작업을 요청한 사용자에게 인증을 요청하는 단계; 상기 사용자가 인증되면, 상기 복사 작업에 대응하는 복사 대상 파일을 분석하고, 분석 내용을 송신하여 상기 복사 작업에 대한 승인을 요청하는 단계; 및 상기 서버로부터 상기 복사 작업에 대한 책임자의 승인을 통지받으면, 상기 가상 저장소의 상기 복사 대상 파일을 상기 일반 저장소로 복사하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 파일 시스템 가상 영역에 저장된 개인정보 및 기밀정보 중 적어도 하나가 포함된 파일을 외부 반출하기 위해 일반 저장소로 복사하려할 때, 승인을 거치므로, 인가된 사용자에 의한 안전한 복사 작업을 보장할 수 있고, 비인가된 사용자에 의한 파일 유출을 원천 차단할 수 있다.
도 1은 본 발명의 모바일 정보유출방지 시스템 및 그의 보안 모드 데이터 흐름을 도시한 구성도.
도 2는 본 발명의 콘텐츠 분석 부시스템을 도시한 구성도.
도 3은 본 발명의 관리 프로그램 또는 콘텐츠 분석 부시스템에 의한 파일 복사 기능을 도시한 도면.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이제 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 모바일 정보유출방지 시스템 및 그의 보안 모드 데이터 흐름을 도시한 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 모바일 정보유출방지 시스템(10)은 일반 저장소(400), 가상 저장소(500), FUSE(300), VFS 엔진(100) 및 관리 프로그램(200)을 포함한다. 이때, 모바일 정보유출방지 시스템(10)은 스마트폰, 스마트 패드 등의 휴대 정보 단말에 구비될 수 있다.
일반 저장소(400)는 메모리의 일 저장 영역으로서, 일반 모드 및 보안 모드에서 읽기/쓰기 가능하며, 승인되지 않은 개인정보 및 기밀정보의 저장은 제한된다. 여기서, 개인정보는 주민번호, 카드번호, 계좌번호 등일 수 있으며, 기밀정보는 회사에서 보안이 필요한 것으로 지정된 중요정보일 수 있다. 이때, 일반 저장소(400)는 보안 모드에서 편집될 때 책임자의 승인을 거칠 수 있다.
가상 저장소(500)는 일반 저장소(400)와 구별되는 메모리의 다른 저장 영역으로서, 보안 모드에서 읽기/쓰기 가능하고 일반 모드에서는 접근 불가하다.
관리 프로그램(200)은 사내 망에 접속하지 않은 일반 모드에서, 실행되는 앱애플리케이션(응용 프로그램; Application)의 파일 입출력 경로를 일반 저장소(400)로 지정하고, 가상 저장소(500)에 대한 접근을 제한한다.
관리 프로그램(200)은 사내 망에 접속하여 사용자 인증에 성공하면, 일반 모드에서 보안 모드로 전환되어, 실행되는 애플리케이션의 파일 입출력 경로를 일차적으로는 가상 저장소(500)로 지정한다. 이때, 관리 프로그램(200)은 보안 모드에서, 가상 저장소(500)에 저장된 파일을 가상 저장소(500) 내에서만 편집 가능하도록 제어하고, 일반 저장소(400)로 이동 또는 복사를 원할 경우, 책임자의 승인을 거쳐 이동 또는 복사할 수 있다.
FUSE(300)는 관리 프로그램(200)의 명령에 따라, 실제로 가상 파일 시스템의 파일 처리를 가로채, 파일 처리가 가상 저장소(500)를 기반으로 이루어지도록 하며, bindFS, UnionFS 및 CryptoFS를 포함한다.
FUSE(300)는 bindFS 및 UnionFS를 이용하여 관리 프로그램(200)을 포함하는 애플리케이션의 파일 입출력(IO)을 중간에서 가로채 데이터 저장 경로를 변경하여, 보안 모드에서 파일 입출력이 가상 저장소(500)를 기반으로 이루어지도록 한다.
FUSE(300)는 가상 저장소(500)에 대해 파일을 입출력할 때 기설정된 키 기반으로 암호화하여 가상 저장소(500)로 입력하고, 암호화 해제하여 가상 저장소(500)로부터 출력한다.
이때, FUSE(300)는 커널 계층의 파일 시스템 접근 제어의 브리지(Bridge) 기능을 하며, 리눅스(Linux) 커널 2.6.15부터 기본으로 탑재되어, 맥 운영체제(MAC OS), 윈도우 및 솔라리스 등의 운영체제에서 사용 가능하다.
VFS 엔진(100)은 관리 프로그램(200)을 포함하는 애플리케이션으로부터 파일 처리를 지시받으면, 파일 시스템에 접근하여 일반 저장소(400) 기반으로 파일을 처리한다.
VFS 엔진(100)은 보안 모드에서 응용 계층에서 동작하는 관리 프로그램(200)을 포함하는 애플리케이션과 커널 계층의 FUSE(300) 간의 통신에 있어서 브리지 기능을 한다. 즉, 보안 모드에서 운영체제의 커널 환경은 가상 머신(Virtual Machine) 위에서 구동되므로, 관리 프로그램(200)을 포함하는 애플리케이션은 권한 상의 제한이 있는 커널 환경에 직접 접근할 수 없어, 응용 계층과 커널 계층을 이어주는 브리지인 VFS 엔진(100)을 필요로 한다.
요약하면, 본 발명은 스마트 단말기 플랫폼(예컨대, 안드로이드) 안에 존재하는 파일 시스템(ext3, ext4, yaff2 등)을 가상화하여, 사용자 애플리케이션이 물리적 디스크 영역과 구분해 가상화된 디스크 영역을 사용하도록 함에 따라 정보유출을 방지할 수 있다.
한편, 전술한 예에서는 관리 프로그램(200)이 보안 모드에서 실행되는 애플리케이션의 파일 입출력 경로를 1차적으로 가상 저장소(500)로만 지정하는 경우를 예로 들어 설명하였다.
그러나, 관리 프로그램(200)는 가상 저장소(500) 내 파일은 1차적으로 가상 저장소(500) 내에서만 편집되도록 하고, 일반 저장소(400) 내 파일들은 1차적으로 일반 저장소(400) 내에서 편집되도록 할 수 있다. 다만, 이 경우 관리 프로그램(200)은 보안 모드에서 일반 저장소(400) 내 파일이 편집되면, 개인정보 및 기밀정보가 포함되는지 여부를 확인하고, 해당 정보가 포함되면, 가상 저장소(500)로 이동시키도록 제어할 수도 있다.
이하, 도 2를 참조하여 본 발명의 실시예에 따른 콘텐츠 분석 부시스템(CAS; Contents Analysis Subsystem)에 대하여 설명한다. 도 2는 본 발명의 실시예에 따른 콘텐츠 분석 부시스템을 도시한 구성도이다. 도 2의 콘텐츠 분석 부시스템(200')은 도 1의 관리 프로그램(200)에 포함될 수 있다.
도 2에 도시된 바와 같이, 콘텐츠 분석 부시스템(200')은 제어부(210), 추출부(220) 및 패턴 분석부(230)를 포함한다. 이때, 제어부(210), 파일내용 추출부(220) 및 패턴 분석부(230) 중 적어도 하나의 구성요소는 두 개로 분리될 수 있으며, 그중 복수 개의 구성요소는 하나로 합쳐질 수도 있다.
제어부(210)는 보안 모드에서, 사용자의 조작에 따라 애플리케이션에 의해 가상 저장소(500)에서 일반 저장소(400)로 복사하려는 복사 대상 파일이 선택되면, 제1 인증키에 기반한 사용자 인증을 수행한다. 여기서, 제어부(210)는 사용자에게 인증키를 입력할 것을 요청하고, 사용자에 입력된 인증키와 기설정된 제1 인증키를 비교하여 인증하면 사용자를 인증할 수 있다.
제어부(210)는 사용자 인증에 성공하면, 추출부(220) 및 패턴 분석부(230)를 통해 복사 대상 파일을 분석하고, 분석된 내용 및 제2 인증키를 전송하여 관리 서버(20)에 복사 작업에 대한 승인을 요청한다. 여기서, 제1 인증키는 제2 인증키와 동일할 수 있다. 이때, 제어부(210)는 분석된 내용 및 제2 인증키 이외에 복사 대상 파일에 대한 정보도 추가로 전송할 수 있다.
제어부(210)는 관리 서버(20)로부터 복사 작업에 대해 승인을 받으면, 복사 대상 파일을 가상 저장소(500)에서 일반 저장소(400)로 복사한다.
추출부(220)는 보안 모드에서, 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지 여부를 분석하고, 적어도 하나의 정보에 대응하는 글자를 추출한다. 여기서, 개인정보는 주민번호, 카드번호, 계좌번호 등일 수 있으며, 복사 대상 파일은 "*.doc", "*. xls", "*. ppt" 등과 같은 문서파일일 수 있다.
추출부(220)는 자바 기반의 Apach POI 라이브러리를 사용하여 바이너리 파일인 복사 대상 파일로부터 개인정보 및 기밀정보 중 적어도 하나의 정보에 해당하는 글자(text)를 추출한다. 여기서, Apach POI 라이브러리는 Java 프로그래밍에서 문서의 텍스트 추출시 사용되는 라이브러리로서, Apach(http://poi.apache.org/)에서 오픈 소스(Open Source)로 제공하는 POI(Poor Obfuscation Implementation)이며, 바이너리 파일을 읽어 이미지나, 표 등을 제거하고 순수 텍스트(문자)만을 추출하는 기능을 제공한다.
패턴 분석부(230)는 추출된 개인정보 및 기밀정보 중 적어도 하나에서 사전 정의된 패턴이 존재하는지를 분석한다. 이때, 패턴 분석부(230)는 자바에서 제공되는 문자열 비교 함수인 Regex 함수를 사용하여 문자열 비교를 통한 패턴 매칭 처리를 수행한다. 이때, 패턴 분석부(230)는 자바에서 제공하는 라이브러리를 사용할 수 있다.
패턴 분석부(230)는 패턴 매칭 결과를 이용하여 추출된 개인정보 및 기밀정보의 형태를 파악한다.
이와 같이, 콘텐츠 분석 부시스템(200')은 복사 대상 바이너리 파일에서 개인정보 및 기밀정보 중 적어도 하나에 해당하는 정보 글자를 추출하고, 문자열 비교를 통해 패턴 매칭을 처리하고, 관리 서버(20)에 승인을 요청하고, 승인되면 복사 대상 파일을 복사할 수 있다.
이하, 도 3을 참조하여 본 발명의 실시예에 따른 파일 복사 기능의 수행 과정에 대하여 설명한다. 도 3은 본 발명의 실시예에 따른 관리 프로그램 또는 콘텐츠 분석 부시스템에 의한 파일 복사 기능을 도시한 도면이다.
도 3을 참조하면, 관리 프로그램(200)은 사용자가 복사 대상 파일을 선택하면(S310), 사용자에게 사용자 인증을 요청한다.
관리 프로그램(200)은 사용자가 인증키를 입력하면, 기설정된 제1 인증키인지를 확인하고, 기설정된 제1 인증키와 일치하면, 사용자를 인증한다(S320).
관리 프로그램(200)은 사용자 인증이 완료되면, 복사 대상 파일의 내용을 분석한다(S330). 이때, 관리 프로그램(200)은 복사 대상 파일의 내용에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지 여부를 확인하고, 개인정보 및 기밀정보 중 적어도 하나의 패턴을 분석하여 개인정보 및 기밀정보 중 적어도 하나의 형태(Type)를 확인한다.
관리 프로그램(200)은 HTTP 프로토콜을 이용하여 분석된 내용과 제2 인증키를 포함하는 승인요청 메시지를 관리 서버(20)에 전송하여 복사 작업에 대한 승인을 요청한다(S340). 여기서, 분석된 내용은 개인정보 및 기밀정보 중 적어도 하나의 포함 여부 및 그 형태일 수 있으며, 제2 인증키는 제1 인증키와 동일할 수도 있다.
관리 서버(20)는 승인요청 메시지를 데이터베이스에 저장하고, 기설정된 책임자에게 승인을 요청하고, 승인 여부를 확인한다(S350). 이때, 관리 서버(20)는 승인자, 개인정보보호 책임자 등에 문자, 화면 출력 등의 방식으로 승인을 요청한다.
관리 서버(20)는 복사 작업에 대한 승인 여부를 나타내는 승인/반려 통지를 단말기로 전달한다(S360). 이때, 관리 서버(20)는 책임자에 의해 복사 작업이 승인되면, 승인을 통지하며, 반려되면 반려를 통지한다. 여기서, 단말기는 도 1의 정보유출방지 시스템(10)을 포함한다.
관리 프로그램(200)은 승인/반려 통지로부터 복사 작업에 대한 승인을 확인하면, 파일을 복사한다(S370). 이때, 관리 프로그램(200)은 승인/반려 통지로부터 복사 작업에 대한 반려를 확인하면, 사용자에게 복사 작업의 반려를 알린다.
이와 같이, 본 발명은 사내 네트워크에 접속하려는 사용자들을 사용자 인증을 통해 엄격히 구분하고 제한할 수 있으며, 스마트폰을 이용한 업무는 가상 보안 환경에서 수행되도록 하며, 가상 보안 환경에 저장되어 있는 파일에 대한 일반 환경으로의 복사가 필요한 경우에는 개인정보, 기밀정보가 포함된 파일인지를 확인하고, 사전 정의된 프로세스에 따라 개인정보, 기밀정보에 해당하는 데이터를 분석, 추출하여 기록을 남기고, 해당 기록에 대하여 승인자 또는 사내 개인정보 보호 책임자의 승인을 거침에 따라 개인정보나 기밀정보의 악의적인 유출을 방지할 수 있다.
또한, 본 발명은 파일 복사, 분실 또는 악의적 사용자의 사용자 계정 획득에 의해 사용자 단말이 장악되어도, 파일 시스템 가상 영역에 저장된 개인정보 및 기밀정보가 포함된 파일을 외부로 반출하기 위해 일반 저장소의 물리적 디스크로 복사하려할 때, 승인을 요청하므로, 책임자에 의해 비인가 사용자의 승인요청을 탐지할 수 있어, 인가된 사용자에 의한 안전한 복사 작업을 보장할 수 있고, 비인가된 사용자에 의한 파일 유출을 원천 차단할 수 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.

Claims (8)

  1. 일반 모드 및 보안 모드에서 접근 가능한 일반 저장소;
    상기 일반 모드에서는 접근 불가하며, 상기 보안 모드에서 접근 가능하며 암호화된 가상 저장소;
    상기 일반 모드에서는 상기 일반 저장소를 읽기/쓰기 영역으로 지정하고, 상기 보안 모드에서는 상기 일반 저장소 및 상기 가상 저장소를 읽기/쓰기 영역으로 지정하는 관리 프로그램;
    상기 관리 프로그램의 명령에 따라, 상기 보안 모드에서 상기 관리 프로그램을 포함하는 응용 프로그램의 파일 입출력을 가로채, 그 경로를 상기 가상 저장소로 재설정하는 FUSE; 및
    응용 계층의 상기 응용 프로그램과 커널 계층 상의 상기 FUSE 간의 브릿지 기능을 하는 VFS 엔진
    을 포함하는 모바일 정보유출방지 시스템.
  2. 제1항에 있어서, 상기 관리 프로그램은,
    상기 보안 모드에서 상기 가상 저장소에서 상기 일반 저장소로의 복사하려는 파일이 있으면, 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지를 확인하고, 상기 적어도 하나의 정보가 포함되면 추출하는 추출부;
    추출된 상기 적어도 하나의 정보와 사전 정의된 패턴을 비교하여 상기 적어도 하나의 정보의 유형을 파악하는 패턴 분석부;
    상기 적어도 하나의 정보의 포함 여부 및 상기 적어도 하나의 정보의 유형을 포함하는 분석 내용과 인증키를 이용하여 책임자에 상기 복사 대상 파일에 대한 복사 작업에 대한 승인을 요청하는 제어부
    를 포함하는 것인 모바일 정보유출방지 시스템.
  3. 제2항에 있어서, 상기 추출부는,
    자바 기반 Apach POI 라이브러리를 사용하여 상기 적어도 하나의 정보에 대응하는 텍스트를 추출하는 것인 모바일 정보유출방지 시스템.
  4. 제2항에 있어서, 상기 패턴 분석부는,
    자바 기반 문자열 비교 함수를 이용하여 상기 적어도 하나의 정보와 상기 사전 정의된 패턴을 비교하는 패턴 매칭 처리를 통해 상기 적어도 하나의 정보의 유형을 파악하는 것인 모바일 정보유출방지 시스템.
  5. 일반 모드와 보안 모드에서 접근 가능한 일반 저장소와 상기 일반 모드에서 접근 불가하며 상기 보안 모드에서 접근 가능한 암호화된 가상 저장소를 포함하는 모바일 정보유출방지 시스템의 파일 복사 방법에 관한 것으로서,
    상기 보안 모드에서, 관리 프로그램을 포함하는 응용 프로그램으로부터, 상기 가상 저장소에서 상기 일반 저장소로의 복사 작업이 요청되면, 상기 복사 작업을 요청한 사용자에게 인증을 요청하는 단계;
    상기 사용자가 인증되면, 상기 복사 작업에 대응하는 복사 대상 파일을 분석하고, 분석 내용을 관리 서버로 송신하여 상기 복사 작업에 대한 승인을 요청하는 단계; 및
    상기 관리 서버로부터 상기 복사 작업에 대한 책임자의 승인을 통지받으면, 상기 가상 저장소의 상기 복사 대상 파일을 상기 일반 저장소로 복사하는 단계
    를 포함하는 파일 복사 방법.
  6. 제5항에 있어서, 상기 분석하고, 상기 승인을 요청하는 단계는,
    상기 복사 대상 파일에 개인정보 및 기밀정보 중 적어도 하나의 정보가 포함되는지를 확인하는 단계;
    상기 적어도 하나의 정보가 포함되면, 상기 적어도 하나의 정보를 추출하는 단계;
    상기 적어도 하나의 정보와 기설정된 패턴을 비교하여 상기 적어도 하나의 정보의 유형을 확인하는 단계; 및
    상기 적어도 하나의 정보의 포함 여부 및 상기 적어도 하나의 정보의 유형 중 적어도 하나를 포함하는 상기 분석 내용을 인증키와 함께 송신하여 상기 승인을 요청하는 단계
    를 포함하는 것인 파일 복사 방법.
  7. 제5항에 있어서, 상기 인증을 요청하는 단계는,
    상기 사용자에게 인증키를 입력할 것을 요청하는 단계;
    상기 사용자에 의해 입력된 인증키와 기설정된 인증키를 비교하는 단계; 및
    상기 입력된 인증키와 상기 기설정된 인증키가 일치하면, 상기 사용자를 인증하는 단계
    를 포함하는 것인 파일 복사 방법.
  8. 제5항에 있어서,
    상기 관리 서버로부터 상기 복사 작업에 대한 상기 책임자의 반려를 통지받으면, 상기 사용자에게 상기 복사 작업의 반려를 알리는 단계
    를 더 포함하는 파일 복사 방법.
KR1020120113638A 2012-10-12 2012-10-12 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법 KR101382222B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120113638A KR101382222B1 (ko) 2012-10-12 2012-10-12 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법
US14/051,000 US20140108755A1 (en) 2012-10-12 2013-10-10 Mobile data loss prevention system and method using file system virtualization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120113638A KR101382222B1 (ko) 2012-10-12 2012-10-12 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101382222B1 true KR101382222B1 (ko) 2014-04-07

Family

ID=50476527

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120113638A KR101382222B1 (ko) 2012-10-12 2012-10-12 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법

Country Status (2)

Country Link
US (1) US20140108755A1 (ko)
KR (1) KR101382222B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107657180A (zh) * 2016-07-26 2018-02-02 阿里巴巴集团控股有限公司 一种信息处理客户端、服务器及方法

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9015353B2 (en) 2013-03-14 2015-04-21 DSSD, Inc. Method and system for hybrid direct input/output (I/O) with a storage device
US9519759B2 (en) * 2014-04-16 2016-12-13 Bank Of America Corporation Secure access to programming data
US9430674B2 (en) 2014-04-16 2016-08-30 Bank Of America Corporation Secure data access
CN105100178B (zh) * 2014-05-23 2019-12-20 中兴通讯股份有限公司 一种自适应重定向加速处理方法及装置
US10235463B1 (en) * 2014-12-19 2019-03-19 EMC IP Holding Company LLC Restore request and data assembly processes
US10095710B1 (en) 2014-12-19 2018-10-09 EMC IP Holding Company LLC Presenting cloud based storage as a virtual synthetic
US10120765B1 (en) 2014-12-19 2018-11-06 EMC IP Holding Company LLC Restore process using incremental inversion
US10095707B1 (en) 2014-12-19 2018-10-09 EMC IP Holding Company LLC Nearline cloud storage based on FUSE framework
US9753814B1 (en) 2014-12-19 2017-09-05 EMC IP Holding Company LLC Application level support for selectively accessing files in cloud-based storage
CN106302609B (zh) * 2015-06-08 2020-02-28 阿里巴巴集团控股有限公司 一种访问方法及装置
US10817609B2 (en) 2015-09-30 2020-10-27 Nvidia Corporation Secure reconfiguration of hardware device operating features
CN106484615B (zh) * 2016-09-29 2019-05-03 青岛海信移动通信技术股份有限公司 记录日志的方法和装置
US11301144B2 (en) 2016-12-28 2022-04-12 Amazon Technologies, Inc. Data storage system
US10484015B2 (en) 2016-12-28 2019-11-19 Amazon Technologies, Inc. Data storage system with enforced fencing
US10514847B2 (en) 2016-12-28 2019-12-24 Amazon Technologies, Inc. Data storage system with multiple durability levels
US11169723B2 (en) 2019-06-28 2021-11-09 Amazon Technologies, Inc. Data storage system with metadata check-pointing
US11182096B1 (en) 2020-05-18 2021-11-23 Amazon Technologies, Inc. Data storage system with configurable durability
US11681443B1 (en) 2020-08-28 2023-06-20 Amazon Technologies, Inc. Durable data storage with snapshot storage space optimization

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080006929A (ko) * 2006-07-14 2008-01-17 삼성전자주식회사 휴대용 단말기에서 데이터 유출 방지 방법 및 장치
KR20100009062A (ko) * 2008-07-17 2010-01-27 삼성전자주식회사 데이터 보안을 위한 파일 시스템 구성 방법 및 장치, 그에의해 만들어진 데이터 보안 영역에 접근하는 방법 및 장치,그에 따른 데이터 저장 장치
KR20110034351A (ko) * 2009-09-28 2011-04-05 주식회사 잉카인터넷 보안 유에스비 메모리를 통한 정보 유출 방지시스템 및 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6032224A (en) * 1996-12-03 2000-02-29 Emc Corporation Hierarchical performance system for managing a plurality of storage units with different access speeds
US8214394B2 (en) * 2006-03-01 2012-07-03 Oracle International Corporation Propagating user identities in a secure federated search system
JP4895731B2 (ja) * 2006-09-05 2012-03-14 株式会社リコー 情報処理装置、周辺装置、およびプログラム
US20110213971A1 (en) * 2010-03-01 2011-09-01 Nokia Corporation Method and apparatus for providing rights management at file system level
JP5631322B2 (ja) * 2010-03-15 2014-11-26 パナソニック株式会社 情報処理端末、機密情報アクセス制御方法、プログラム、記録媒体、及び集積回路
JP2012014529A (ja) * 2010-07-01 2012-01-19 Toshiba Corp 記憶装置および情報処理装置
US8577823B1 (en) * 2011-06-01 2013-11-05 Omar M. A. Gadir Taxonomy system for enterprise data management and analysis

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080006929A (ko) * 2006-07-14 2008-01-17 삼성전자주식회사 휴대용 단말기에서 데이터 유출 방지 방법 및 장치
KR20100009062A (ko) * 2008-07-17 2010-01-27 삼성전자주식회사 데이터 보안을 위한 파일 시스템 구성 방법 및 장치, 그에의해 만들어진 데이터 보안 영역에 접근하는 방법 및 장치,그에 따른 데이터 저장 장치
KR20110034351A (ko) * 2009-09-28 2011-04-05 주식회사 잉카인터넷 보안 유에스비 메모리를 통한 정보 유출 방지시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107657180A (zh) * 2016-07-26 2018-02-02 阿里巴巴集团控股有限公司 一种信息处理客户端、服务器及方法

Also Published As

Publication number Publication date
US20140108755A1 (en) 2014-04-17

Similar Documents

Publication Publication Date Title
KR101382222B1 (ko) 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법
US11704384B2 (en) Secure document sharing
EP1946238B1 (en) Operating system independent data management
RU2637878C2 (ru) Аутентификация процессов и разрешения на ресурсы
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
US10289860B2 (en) Method and apparatus for access control of application program for secure storage area
US20170185790A1 (en) Dynamic management of protected file access
US9516031B2 (en) Assignment of security contexts to define access permissions for file system objects
US10210337B2 (en) Information rights management using discrete data containerization
CN104318176A (zh) 用于终端的数据管理方法、数据管理装置和终端
CN113468576B (zh) 一种基于角色的数据安全访问方法及装置
US11295027B2 (en) System and method for protecting electronic documents containing confidential information from unauthorized access
US20170187527A1 (en) Obtaining A Decryption Key From a Mobile Device
US11190356B2 (en) Secure policy ingestion into trusted execution environments
US20220326863A1 (en) Data storage apparatus with variable computer file system
KR101349762B1 (ko) 개인정보를 보호하고 관리하는 방법
JP6729013B2 (ja) 情報処理システム、情報処理装置及びプログラム
KR101265533B1 (ko) 폴더 액세스 제어 장치 및 방법
KR20130079004A (ko) 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법
CN104866761B (zh) 一种高安全性安卓智能终端
KR20160102915A (ko) 모바일 가상화 기반의 스마트워크용 보안 플랫폼 관리 장치
EP3935538A1 (en) Secure policy ingestion into trusted execution environments
CN104751069A (zh) 数据安全存取方法及其系统
KR102656375B1 (ko) 공유 콘텐츠 보안 향상을 위한 디지털 권한 관리 시스템 및 그 동작 방법
KR101309592B1 (ko) 개인 정보 보호 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190329

Year of fee payment: 6