KR101432721B1 - 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법 - Google Patents

용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법 Download PDF

Info

Publication number
KR101432721B1
KR101432721B1 KR1020130098865A KR20130098865A KR101432721B1 KR 101432721 B1 KR101432721 B1 KR 101432721B1 KR 1020130098865 A KR1020130098865 A KR 1020130098865A KR 20130098865 A KR20130098865 A KR 20130098865A KR 101432721 B1 KR101432721 B1 KR 101432721B1
Authority
KR
South Korea
Prior art keywords
virtual environment
virtual
computing device
environment
specific
Prior art date
Application number
KR1020130098865A
Other languages
English (en)
Inventor
김형정
권지웅
배기덕
곽동원
Original Assignee
주식회사 엑스엔시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스엔시스템즈 filed Critical 주식회사 엑스엔시스템즈
Priority to KR1020130098865A priority Critical patent/KR101432721B1/ko
Application granted granted Critical
Publication of KR101432721B1 publication Critical patent/KR101432721B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Abstract

용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법이 개시된다. 상기 용도별 가상환경을 제공하는 컴퓨팅 장치는 상기 컴퓨팅 장치에 설치되며 사용용도에 따라 선택적으로 활성화되는 복수의 가상환경-상기 복수의 가상환경은 서로 독립적임-에 대한 정보를 저장하는 가상환경부, 상기 컴퓨팅 장치의 메인 OS를 활성화하며, 상기 가상환경부에 저장된 상기 복수의 가상환경 중에서 어느 하나를 선택적으로 활성화하기 위한 제어부, 및 상기 복수의 가상환경 각각별로 상기 네트워크에 접속되었을 때의 보안정책-상기 보안정책은 미리 정의된 복수의 개별 보안정책 중에서 적어도 일부가 선택된 것임-을 저장하고, 상기 제어부에 의해 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 보안정책에 상응하도록 보안관리를 수행하는 네트워크 관리부를 포함한다.

Description

용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법{Computing apparatus providing virtual environment per purpose of use and method thereof}
본 발명은 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법에 관한 것으로서, 보다 상세하게는 하나의 컴퓨팅 장치가 사용자의 사용 용도별로 각각의 가상환경을 제공하고, 상기 가상환경별(즉, 용도별)로 적합한 보안정책을 제공함으로써 용도별로 독립적인 환경을 제공함과 동시에 사용용도에 따라 적합한 보안관리가 이루어질 수 있는 기술에 관한 것이다.
온라인 환경의 발달에 의해 온라인에 접속하는 컴퓨팅 장치(예컨대, 사용자 컴퓨터, 서버 등)에 대한 보안은 갈수록 증대되고 있다.
이러한 보안성의 증대를 위한 하나의 방식으로, 동일한 컴퓨팅 장치를 이용하여 용도별(예컨대, 사용자 또는 사용 애플리케이션이나 접속 대상 등)로 서로 다른 사용 환경을 제공하는 방식이 있다.
이러한 방식을 위한 종래의 기술 중 가장 보편적인 방식은 사용자 별로 미리 설정된 패스워드 등을 통해 사용자를 인증 하고, 사용자별로 서로 다른 사용 환경을 제공하는 방식이 있다. 이러한 방식은 간편하게 사용자별로 다른 사용 환경을 제공할 수 있다는 장점이 있지만, 사용자별로 상기 컴퓨팅 장치의 사용권한을 달리 부여하는 것에 그쳐서 동일한 하드웨어와 동일한 OS를 이용하게 되므로, 어느 한 사용자의 행위가 상기 컴퓨팅 장치 전체 즉, 타 사용자가 상기 컴퓨팅 장치를 사용할 때에도 영향을 미치게 된다. 즉, 사용환경을 달리 제공할 뿐 사용환경별로 독립적이지 못하게 되는 문제점이 있다. 사용환경이 서로 독립적이지 못한 경우에는 예컨대, 가정에서 아이들이 설치한 게임에 의해 설치되는 악성코드가 쇼핑, 뱅킹 등 상기 게임과는 무관한 업무를 할 때에도 영향을 미치게 된다.
이처럼 각각의 사용 환경별로 서로 독립적인 시스템 환경을 구축하기 위한 방식은 소위 가상환경을 이용하는 방식일 수 있다. 이처럼 가상환경을 이용하여 서로 독립적인 사용 환경을 제공하는 방식은 망 분리(또는 네트워크 분리)를 위해 많이 사용된다. 이러한 일 예는 한국공개특허(출원번호 10-2010-0020055, "가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법")에 개시된 바 있다. 이러한 방식을 개략적을 설명하면 도 1과 같을 수 있다.
도 1은 종래의 가상환경을 이용한 망 분리 방식을 설명하기 위한 도면이다.
도 1을 참조하면, 소정의 컴퓨팅 장치(10)는 기본환경(또는 메인환경, 11) 및 가상환경(12)을 제공할 수 있다. 상기 가상환경(12)은 상기 기본환경(11)에서 사용하는 OS 또는 자원과는 독립적으로 구분될 수 있으며, 사용자는 가상환경(12) 또는 기본환경(11) 중 어느 하나를 선택적으로 활성화(예컨대, 부팅)할 수 있다.
상기 망 분리장치(20)에 의해 상기 컴퓨팅 장치(10)는 상기 기본환경(11)이 활성화된 경우에는 미리 설정된 사내망(40)에만 접속될 수 있고, 상기 가상환경(12)이 활성화된 경우에는 외부망(30)에만 제어될 수 있다.
이러한 종래의 기술은 가상환경을 이용하여 서로 다른 사용 환경간에 독립성을 제공하긴 하지만, 망 분리가 필요없는 상황 즉, 동일한 망(예컨대, 외부망(인터넷))에 접속하는 경우에는 동일한 사용환경을 사용하여야 한다는 문제점이 있다.
한편, 이러한 가상환경을 이용하여 독립적인 사용환경을 제공하는 방식 이외에 컴퓨팅 장치에 보안성을 제공하기 위한 방식으로 별도의 보안장비(예컨대, UTM(Unified Threat Management))를 네트워크 경로상에 구축하는 방식이 있을 수 있다.
이러한 일 예는 도 2에 도시된다.
도 2는 종래의 UTM 장비를 통한 보안 방식을 개략적으로 설명하기 위한 도면이다.
도 2를 참조하면, 네트워크(30)와 적어도 하나의 컴퓨팅 장치(예컨대, 서버(50) 및 컴퓨터(60) 등) 사이에는 UTM 장치(40)가 구비될 수 있다. 상기 UTM 장치(40)는 복수의 보안 솔루션을 제공할 수 있다. 상기 복수의 보안 솔루션은 예컨대, IPS(Intrusion Prevention System), DNS(Domain Name Server) 검증, P2P 디텍팅 및 차단, AV(AntiVirus), AS(AntiSpam), VPN(Virtual Private Network) 제공, 웹 필터링, 방화벽(FireWall) 기능 등을 포함할 수 있다. 즉, 다양한 개별 보안 솔루션을 통합적으로 상기 적어도 하나의 컴퓨팅 장치(50, 60)에 제공하는 장치가 상기 UTM 장치(40)일 수 있다.
하지만, 이러한 UTM 장치(40)는 주로 특정 회사의 회사망이나 복수의 컴퓨팅 장치를 포함하는 그룹들과 네트워크(30) 사이에 설치되어 회사망 또는 그룹 전체를 보호하기 위한 용도로 주로 사용되어 와서, 개인 사용자들이 이용하는 컴퓨팅 장치(예컨대, 개인용 컴퓨터 등)에는 적용되는 경우가 많지 않았다.
또한, 개인용 컴퓨팅 장치를 위해 상기 UTM 장치(40)가 구비되는 경우라 하더라도, 상기 UTM 장치(40)는 복수의 컴퓨팅 장치들(50, 60)에 모두 동일한 보안 솔루션 즉, 보안 정책을 제공하게 된다. 따라서 상기 UTM 장치(40)와 연결되는 제1컴퓨팅 장치(50) 및 제2컴퓨팅 장치(60)에 모두 동일한 보안정책이 제공되게 되어, 각각의 컴퓨팅 장치의 특성(예컨대, 사용 용도, 필요한 보안 수준 등)에 커스터마이징(customizing)된 보안정책을 제공하지 못하여 특정 컴퓨팅 장치에는 과도한 보안정책이 적용되어 불필요한 오버헤드를 발생시키고, 다른 특정 컴퓨팅 장치에는 보다 높은 수준의 보안정책이 적용될 필요가 있음에도 적용되지 못하는 문제점이 있다.
더구나 전술한 바와 같이 어느 하나의 장치에도 용도별로 서로 독립적인 사용 환경을 제공할 필요가 있는 경우가 존재하는데, 이러한 경우에는 종래의 UTM 을 이용한 보안방식으로는 용도별로(즉, 사용환경 별로) 적합한(또는 커스터마이징된) 보안정책을 제공할 수가 없게 되는 문제점이 존재한다.
따라서 본 발명은 상술한 제문제점을 해결하기 위해 안출된 발명으로써, 어느 하나의 컴퓨팅 장치에 용도별로 복수의 독립적인 사용환경을 제공함으로써 어느 하나의 사용환경에서의 사용이 다른 사용환경에 영향을 미치지 않게 함과 동시에, 각 사용환경에 적합한 보안정책을 사용환경별로 용이하게 제공할 수 있는 장치 및 그 방법을 제공하는 것이다.
본 발명의 일 측면에 따르면, 용도별 가상환경을 제공하는 컴퓨팅 장치는 상기 컴퓨팅 장치에 설치되며 사용용도에 따라 선택적으로 활성화되는 복수의 가상환경-상기 복수의 가상환경은 서로 독립적임-에 대한 정보를 저장하는 가상환경부, 상기 컴퓨팅 장치의 메인 OS를 활성화하며, 상기 가상환경부에 저장된 상기 복수의 가상환경 중에서 어느 하나를 선택적으로 활성화하기 위한 제어부, 및 상기 복수의 가상환경 각각별로 상기 네트워크에 접속되었을 때의 보안정책-상기 보안정책은 미리 정의된 복수의 개별 보안정책 중에서 적어도 일부가 선택된 것임-을 저장하고, 상기 제어부에 의해 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 보안정책에 상응하도록 보안관리를 수행하는 네트워크 관리부를 포함한다.
상기 컴퓨팅 장치는 상기 복수의 가상환경 각각별로 상기 컴퓨팅 장치에 구비된 디바이스의 사용정책을 저장하고, 상기 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 사용정책에 상응하도록 디바이스의 사용관리를 수행하는 디바이스 관리부를 더 포함할 수 있다.
상기 가상환경부는 상기 복수의 가상환경 각각별로 초기환경에 대한 정보를 저장하며, 상기 제어부는 상기 복수의 가상환경 중 특정 가상환경에 대해 상기 특정 가상환경에 대응되는 초기환경에 대한 정보에 기초하여 상기 특정 가상환경을 초기화할 수 있는 것을 특징으로 할 수 있다.
상기 제어부는 상기 복수의 가상환경 중 특정 가상환경의 활성화 가능 조건에 대한 정보를 포함하는 스케줄링 정보를 저장하며, 상기 스케줄링 정보에 상응하는 범위 내에서만 상기 특정 가상환경을 활성화하도록 제어하는 것을 특징으로 할 수 있다.
상기 네트워크 관리부는 상기 복수의 가상환경에 공통적으로 적용되는 글로벌 보안정책을 더 저장하는 것을 특징으로 할 수 있다.
상기 제어부는 사용자로부터 추가 가상환경 생성요청을 수신하고, 수신에 응답하여 상기 추가 가상환경을 생성하여 상기 가상환경부에 저장할 수 있다.
상기 네트워크 관리부는 상기 추가 가상환경에 적용될 수 있는 복수의 개별 보안정책들을 사용자에게 제공하고, 제공된 상기 복수의 개별 보안정책 중에서 사용자에 의해 선택된 적어도 하나의 개별 보안정책을 상기 추가 가상환경의 보안정책으로 설정할 수 있다.
상기 복수의 가상환경 중 제1가상환경에 상응하는 보안정책은, DNS(Domain Name Server) 검증, 상기 제1가상환경에서 접속할 수 있는 화이트 리스트, 또는 상기 화이트 리스트 이외의 트래픽 허용 금지 중 적어도 하나를 포함하는 것을 특징으로 하거나, 상기 제1가상환경에서 접속할 수 있는 화이트 리스트 또는 소정의 유해 사이트 DB에 저장된 사이트 접속 금지 중 적어도 하나를 포함하는 것을 특징으로 하거나, 또는 특정 네트워크 시스템과 가상사설망(VPN)을 제공하고 상기 특정 네트워크 시스템 이외의 IP를 갖는 트래픽을 금지하는 정책을 포함하는 것을 특징으로 할 수 있다.
상기 기술적 과제를 해결하기 위한 네트워크에 접속될 수 있는 컴퓨팅 장치의 제공방법은 상기 컴퓨팅 장치가 사용용도에 따라 선택적으로 활성화되는 복수의 가상환경-상기 복수의 가상환경은 서로 독립적임-에 대한 정보를 저장하는 단계, 상기 컴퓨팅 장치가 저장된 상기 복수의 가상환경에 대한 정보에 기초하여 상기 복수의 가상환경 중에서 어느 하나를 선택적으로 활성화하는 단계, 및 상기 복수의 가상환경 중 특정 가상환경이 활성화된 경우 상기 특정 가상환경에 대응되도록 미리 설정된 보안정책-상기 보안정책은 미리 정의된 복수의 개별 보안정책 중에서 적어도 일부가 선택된 것임-에 상응하도록 보안관리를 수행하는 단계를 포함한다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 상기 복수의 가상환경 각각별로 상기 컴퓨팅 장치에 구비된 디바이스의 사용정책을 저장하는 단계, 및 상기 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 사용정책에 상응하도록 디바이스의 사용관리를 수행하는 단계를 더 포함할 수 있다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 상기 컴퓨팅 장치가 상기 복수의 가상환경 각각별로 초기환경에 대한 정보를 저장하는 단계 및 상기 컴퓨팅 장치가 상기 복수의 가상환경 중 특정 가상환경에 대해 상기 특정 가상환경에 대응되는 초기환경에 대한 정보에 기초하여 상기 특정 가상환경을 초기화하는 단계를 더 포함할 수 있다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 상기 컴퓨팅 장치가 상기 복수의 가상환경 중 특정 가상환경의 활성화 가능 조건에 대한 정보를 포함하는 스케줄링 정보를 저장하는 단계 및 상기 컴퓨팅 장치가 상기 스케줄링 정보에 상응하는 범위 내에서만 상기 특정 가상환경을 활성화하도록 제어하는 단계를 더 포함할 수 있다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 상기 컴퓨팅 장치가 사용자로부터 추가 가상환경 생성요청을 수신하는 단계 및 수신에 응답하여 상기 추가 가상환경을 생성하여 저장하는 단계를 더 포함할 수 있다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 상기 컴퓨팅 장치가 상기 추가 가상환경에 적용될 수 있는 복수의 개별 보안정책들을 사용자에게 제공하는 단계, 상기 컴퓨팅 장치가 제공된 상기 복수의 개별 보안정책 중에서 사용자에 의해 선택된 적어도 하나의 개별 보안정책을 상기 추가 가상환경의 보안정책으로 설정하는 단계를 더 포함할 수 있다.
상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 저장될 수 있다.
본 발명의 일 실시 예에 따르면, 소정의 컴퓨팅 장치의 용도(예컨대, 뱅킹, 쇼핑, 또는 게임 등)별로 서로 독립적인 사용 환경을 제공함으로써, 특정 사용환경에서 악성코드에 오염이 되는 경우라도 다른 사용환경에는 영향을 미치지 않을 수 있으므로 우수한 보안성을 제공할 수 있다.
또한, 네트워크 보안정책을 컴퓨팅 장치별로 별도로 설정할 수 있는 것에 그치지 않고, 동일한 컴퓨팅 장치에서도 사용환경 별로 해당 사용환경에 적합한 보안정책을 설정할 수 있어서, 획일적인 보안정책이 적용되었을 때의 과도한 보안정책으로 인한 오버헤드를 줄일 수 있고, 보안수준이 고도화될 것이 요구되는 특정 사용환경에 대해서는 상기 특정 사용환경만 개별적으로 고도의 보안수준을 적용할 수 있는 효과가 있다.
또한, 컴퓨팅 장치에 네트워크 상에서 주로 이용되는 복수의 사용용도(예컨대, 뱅킹, 쇼핑, 게임, 근무용 등)별로 사용환경 및 사용환경에 커스터마이징된 보안정책을 미리 설정해두고, 간편하게 사용환경을 선택만 하면 사용자의 용도에 적합한 사용환경이 제공될 수 있는 효과가 있다.
또한, 사용자가 필요한 경우, 용도별 사용환경의 추가 및/또는 삭제를 가능하게 하고, 특정 사용환경이 오염된 경우 해당 사용환경의 초기환경으로 복구할 수 있도록 함으로써 컴퓨팅 장치의 이용성 및 관리의 편의성을 제공할 수 있는 효과가 있다.
또한, 용도별로 사용환경이 제공되고 사용환경 별로 스케줄링을 할 수 있도록 함으로써, 간편하게 상기 컴퓨팅 장치를 미리 정해진 용도만 이용할 수 있도록 할 수 있는 효과도 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 종래의 가상환경을 이용한 망 분리 방식을 설명하기 위한 도면이다.
도 2는 종래의 UTM 장비를 통한 보안 방식을 개략적으로 설명하기 위한 도면이다.
도 3은 본 발명의 기술적 사상에 따른 컴퓨팅 장치를 개념적으로 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 컴퓨팅 장치의 개략적인 구성을 나타내는 도면이다.
도 5는 본 발명의 일 실시 예에 따라 가상환경별로 적합한 보안정책이 설정될 수 있는 일 예를 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 따라 가상환경별로 초기화를 수행할 수 있는 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시 예에 따라 가상환경별로 스케줄링을 수행할 수 있는 개념을 설명하기 위한 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에 있어서, 포함하다 또는 가지다 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. 반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시 예들을 중심으로 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 3은 본 발명의 기술적 사상에 따른 컴퓨팅 장치를 개념적으로 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명의 기술적 사상에 따른 컴퓨팅 장치(100)는 복수의 사용환경을 선택적으로 활성화(예컨대, 부팅)할 수 있다. 사용자는 상기 컴퓨팅 장치(100)를 부팅하거나 재사용할 때, 상기 컴퓨팅 장치(100)로부터 상기 복수의 사용환경에 대한 정보(예컨대, 사용환경의 이름 또는 용도 등)를 제공받고, 제공받은 정보에 기초하여 활성화할 사용환경을 선택할 수 있다.
상기 복수의 사용환경은 각각 가상환경(예컨대, 제1가상환경 내지 제N가상환경)으로 구현될 수 있다. 상기 복수의 사용환경은 각각 독립적인 OS로 구동되며, 가상화된 자원(예컨대, 서비스, 콤(COM, DCOM), 파일, 및/또는 레지스트리 등)을 이용하여 구동될 수 있다.
또한, 상기 복수의 사용환경 각각은 상기 컴퓨팅 장치(100)에 구비된 특정 하드웨어(예컨대, 하드 디스크, SSD 등의 저장장치)에 대해서는, 서로 독립적인 영역을 이용할 수도 있다. 예컨대, 상기 특정 하드웨어는 제1가상환경을 구동하기 영역과 제2가상환경을 구동하기 위한 영역이 분리될 수 있다. 따라서 특정 하드웨어에 대해서는 물리적으로 각각의 가상환경이 독립될 수 있다.
상기 복수의 가상환경은 상기 컴퓨팅 장치(100)의 사용용도에 따라 구분될 수 있다. 즉, 상기 복수의 가상환경은 용도별로 상기 컴퓨팅 장치(100)에 구비되는 사용환경일 수 있다. 상기 용도는 상기 컴퓨팅 장치(100)가 동일한 네트워크(예컨대, 인터넷 망)에 접속하더라도 상기 컴퓨팅 장치(100)가 접속하는 접속대상에 기초하여 구분될 수 있다. 예컨대, 상기 컴퓨팅 장치(100)가 접속하는 접속대상이 주로 온라인 쇼핑을 수행할 수 있는 네트워크 시스템인 경우, 상기 컴퓨팅 장치(100)는 쇼핑에 상응하는 가상환경을 제공할 수 있다. 이처럼 용도별로 사용환경(가상환경)이 제공된다고 함은, 상기 컴퓨팅 장치(100)가 접속하는 접속대상에 따라 구분될 수 있다. 구현 예에 따라서는, 상기 컴퓨팅 장치(100)는 사용자에 따라 구분될 수도 있다. 이러한 경우에도 상기 사용자가 주로 접속하는 접속대상의 특성에 따라 사용자별 가상환경의 특성이 구분될 수 있으므로, 본 발명에서는 설명의 편의를 위해 용도별로 가상환경이 제공된다고 함은 사용자별로 가상환경이 제공되는 경우를 포함하는 의미로 정의하기로 한다. 일 실시 예에 의하면, 상기 컴퓨팅 장치(100)는 가상환경별로 상응하는 접속대상(예컨대, URL 등)을 미리 정의할 수도 있다. 그리고 특정 가상환경이 활성화된 경우에는, 상기 특정 가상환경에 상응하는 접속대상에만 접속할 수 있도록 제어함으로써 활성화된 가상환경의 용도에 적합한 사용만을 하도록 할 수 있다.
상기 컴퓨팅 장치(100)는 가상환경별로 독립적인 OS 및 자원을 제공함으로써, 가상환경간에 독립성을 제공할 수 있다. 따라서 어느 하나의 가상환경에서 수행된 프로세스가 다른 가상환경에는 영향을 미치지 않을 수 있다.
본 명세서에서는 가상환경을 컴퓨팅 장치(100)에 활성화하는 구체적인 방법에 대해서는 이미 널리 공지된 기술이므로 본 발명의 특징을 명확하게 하기 위해 상세한 설명은 생략하도록 한다.
한편, 상기 컴퓨팅 장치(100)는 종래의 UTM 장치가 제공하는 다양한 보안 솔루션 중 적어도 일부를 자체적으로 수용할 수 있다. 즉, 상기 컴퓨팅 장치(100) 자체에서 기존의 UTM 장치에서 제공되는 보안 솔루션 또는 보안 기능 중 적어도 일부를 수행할 수 있다. 따라서 도 2에서 설명한 바와 같이 UTM 장치가 제공하는 보안정책(적어도 하나의 개별 보안 솔루션의 조합)이 상기 UTM 장치에 연결된 컴퓨팅 장치들 모두에게 공통적으로 적용되는 것에 비해, 본 발명의 기술적 사상에 의하면 컴퓨팅 장치(100)별로 개별적인 보안정책의 설정이 가능한 효과가 있다.
또한, 본 발명의 기술적 사상에 따르면 상기 컴퓨팅 장치(100)는 각각의 가상환경별로도 서로 다른 보안정책을 설정할 수 있도록 구현될 수 있다. 가상환경별로 서로 다른 보안정책은 상기 컴퓨팅 장치(100)가 제공할 수 있는 복수의 개별 보안정책들(개별 보안솔루션 또는 보안기능) 중에서 특정 가상환경에 적용되는 적어도 하나의 개별 보안정책이 선택될 수 있음으로 구현될 수 있다. 또한 가상환경별로 상기 복수의 개별 보안정책들 중에서 서로 다른 조합이 선택됨으로써, 가상환경별로 서로 다른 보안정책이 설정될 수 있다. 이러한 구체적인 일 예는 도 5에서 후술하도록 한다.
결국, 본 발명의 기술적 사상에 의하면, 용도별로 제공될 수 있는 가상환경은 상기 가상환경에서 상기 컴퓨팅 장치(100)가 접속되는 접속대상에 의해 구분될 수 있고, 동일한 컴퓨팅 장치(100)에서도 용도별로 서로 다른 보안정책이 설정될 수 있으므로, 동일한 컴퓨팅 장치(100)를 이용하는 경우라도 접속대상에 따라 적합한 보안정책이 적응적으로 적용되는 효과가 있다.
상기 컴퓨팅 장치(100)는 디폴트(default)로 복수 개의 용도별 가상환경을 제공할 수 있다. 예컨대, 쇼핑용 가상환경, 뱅킹용 가상환경, 게임용 가상환경, 또는 업무(근무)용 가상환경 등이 미리 상기 컴퓨팅 장치(100)에 기본적으로 제공될 수 있다. 사용자는 자신이 수행하고자 하는 태스크에 적합한 가상환경을 선택하고, 선택된 가상환경이 상기 컴퓨팅 장치(100)에서 활성화되면 상기 태스크를 수행할 수 있다.
이러한 기술적 사상을 구현하기 위한 상기 컴퓨팅 장치(100)의 개략적인 구성은 도 4에 도시된다.
도 4는 본 발명의 일 실시예에 따른 컴퓨팅 장치의 개략적인 구성을 나타내는 도면이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 컴퓨팅 장치(100)는 제어부(110), 가상환경부(120), 및 네트워크 관리부(130)를 포함할 수 있다. 상기 컴퓨팅 장치(100)는 디바이스 관리부(140)를 더 포함할 수 있다.
또한, 본 명세서에서 '~부'라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예를 들면, 상기 '~부'는 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 하나의 물리적인 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
상기 제어부(110)는 본 발명의 기술적 사상에 따른 상기 컴퓨팅 장치(100)에 구비된 다른 구성들(예컨대, 가상환경부(120), 네트워크 관리부(130), 및/또는 디바이스 관리부(140) 등)의 기능 및/또는 리소스를 제어할 수 있다.
상기 제어부(110)는 상기 가상환경부(120)에 저장된 정보에 기초하여 선택적으로 복수의 가상환경들 중 어느 하나를 활성화할 수 있다. 또한, 상기 제어부(110)는 상기 컴퓨팅 장치(100)의 메인 OS를 활성화할 수 있다.
상기 가상환경부(120)는 복수의 가상환경에 대한 정보를 저장할 수 있다. 상기 가상환경에 대한 정보는 해당 가상환경이 구동하는 OS 및 해당 가상환경에서 사용되는 가상화된 자원들에 대한 정보를 포함할 수 있다. 예컨대, 상기 가상환경부(120)는 제1가상환경 내지 제N가상환경(121 내지 125)에 대한 정보를 저장할 수 있다.
상기 네트워크 관리부(130)는 복수의 가상환경 각각에 상응하는 보안정책을 저장할 수 있다. 그리고 저장된 보안정책에 상응하도록 상기 컴퓨팅 장치(100)를 제어할 수 있다. 상기 네트워크 관리부(130)는 복수의 개별 보안정책들(개별 보안솔루션들) 각각에 상응하는 소프트웨어 코드를 포함할 수 있으며, 각각의 소프트웨어 코드는 상응하는 보안정책을 수행할 수 있다.
상기 네트워크 관리부(130)는 상기 복수의 개별 보안정책들 중에서 가상환경별로 적용할 적어도 하나의 개별 보안정책들에 대한 정보를 저장할 수 있다.
상기 네트워크 관리부(130)가 수행할 수 있는 개별 보안정책들의 일 예는 도 5에 도시된다.
도 5는 본 발명의 일 실시 예에 따라 가상환경별로 적합한 보안정책이 설정될 수 있는 일 예를 설명하기 위한 도면이다.
도 5를 참조하면, 상기 네트워크 관리부(130)가 제공하는 복수의 개별 보안정책들은 예컨대, 방화벽, IPS, AV, AS, VPN, 웹 필터링(URL 필터링), 해당 가상환경에서 접속할 수 있는 제한적인 접속대상들에 대한 리스트를 포함하는 화이트 리스트(White List), 및/또는 DDoS 탐지 및 차단 등의 개별 보안정책을 포함할 수 있다. 상기 네트워크 관리부(130)가 제공하는 이러한 복수의 개별 보안정책들은 종래에는 UTM 장비가 제공하는 보안기능들일 수 있다. 따라서 본 발명의 기술적 사상에 의하면 종래에 UTM 장비에 의해 제공되는 보안기능들이 개별 컴퓨팅 장치(100)에서 독자적으로 수행될 수 있으므로, 컴퓨팅 장치(100)별로 개별적인 보안정책들이 적용될 수 있는 효과가 있다. 또한, 이에 더하여 상기 컴퓨팅 장치(100)는 각각의 가상환경별로도 개별적인 보안정책들을 적용할 수 있다.
도 5에 도시된 일 예에서, 소정의 제1가상환경(121)은 방화벽, IPS, 및 AV가 보안정책으로 적용될 수 있으며, 제2가상환경(122)는 방화벽, IPS, AV, 및 VPN이 보안정책으로 적용될 수 있다. VPN이 적용된다고 함은 제2가상환경(122)에서는 특정 네트워크 시스템과 VPN 터널링을 형성할 수 있음을 의미할 수 있다. 또한 제3가상환경(123)은 방화벽, IPS, 및 웹 필터링이 보안정책으로 적용될 수도 있다.
이와 같은 방식으로 상기 네트워크 관리부(130)는 가상환경별로 개별적인 보안정책을 적용할 수 있다. 소정의 가상환경에 대해서는, 상기 컴퓨팅 장치(100)에서 디폴트로 적용될 보안정책이 미리 정해져있을 수 있다. 또한, 소정의 가상환경은 사용자에 의해 선택된 보안정책이 적용될 수도 있다.
또한, 일 실시 예에 의하면, 상기 네트워크 관리부(130)는 상기 복수의 가상환경들에 공통적으로 적용될 글로벌 보안정책에 대한 정보를 더 포함할 수도 있다. 사용자 또는 상기 네트워크 관리부(130)는 상기 글로벌 보안정책을 설정함에 따라, 개별적으로 일일이 복수의 가상환경에 적용될 개별 보안정책을 설정하지 않아도 되는 효과가 있다.
이처럼 상기 네트워크 관리부(130)에 의해 가상환경별로 용도에 맞는 즉, 필요한 개별 보안정책만이 적용됨으로써 과도한 보안정책에 따른 오버헤드를 줄일 수 있는 효과가 있다.
다시 도 4를 참조하면, 상기 디바이스 관리부(140)는 상기 복수의 가상환경 각각별로 상기 컴퓨팅 장치(100)에 구비된 디바이스의 사용정책을 저장할 수 있다. 상기 디바이스의 사용정책이라 함은, 가상환경별로 이용할 수 있는 디바이스에 대한 정보 및/또는 상기 디바이스의 제어정책을 의미할 수 있다. 그러면 상기 디바이스 관리부(140)는 활성화된 가상환경의 디바이스 사용정책에 상응하도록 디바이스의 사용관리를 수행할 수 있다. 예컨대, 제1가상환경에서는 상기 컴퓨팅 장치(100)에 구비된 특정 하드웨어(예컨대, USB 인터페이스, WiFi, NFC 등)를 사용하지 못하도록 사용정책이 설정될 수 있고, 제2가상환경에서는 상기 컴퓨팅 장치(100)에 구비된 특정 하드웨어는 일정 시간동안만 사용되거나 또는 미리 정해진 방식으로만 사용되도록 설정될 수도 있다.
이처럼 본 발명의 기술적 사상에 의하면, 상기 컴퓨팅 장치(100)의 네트워크 사용에 대한 보안정책뿐만 아니라, 각각의 가상환경에 적합한 디바이스의 제어까지 수행됨으로써 가상환경별로 물리적인 보안정책까지 설정하고 이에 따른 제어가 가능할 수 있는 효과가 있다.
한편, 상기 가상환경부(120)는 각각의 가상환경별 초기 환경에 대한 정보를 더 저장할 수 있다. 상기 초기환경에 대한 정보는 각각의 가상환경의 초기 OS 및 초기자원에 대한 정보를 포함할 수 있다.
그러면, 상기 제어부(110)는 특정 가상환경이 악성코드 등으로 오염된 경우 또는 사용자의 필요에 따라 가상환경별로 초기화를 수행할 수 있다. 상기 제어부(110)는 초기 OS 즉, 클린(clean) OS 및 초기자원만을 상기 가상환경의 새로운 OS 및 자원으로 재설정함으로써 가상환경별로 초기화를 수행할 수도 있다.
이러한 일 예는 도 6에 도시된다.
도 6은 본 발명의 일 실시 예에 따라 가상환경별로 초기화를 수행할 수 있는 방법을 설명하기 위한 도면이다.
도 6을 참조하면, 상기 제어부(110)는 각각의 가상환경별로 오염 여부를 탐지할 수 있다(S100). 오염여부라 함은, 미리 설정된 악성코드가 발견되거나, 특정 가상환경에서 수행되는 네트워크 동작이 미리 정해진 패턴에 상응하는 경우를 의미할 수 있다. 기타 특정 가상환경이 오염되었다고 판단할 수 있는 다양한 경우에 대한 정보가 미리 상기 제어부(110)에 저장될 수 있다.
상기 제어부(110)에 의해 특정 가상환경(예컨대, 제1가상환경)이 오염되었다고 판단되면, 상기 제어부(110)는 상기 특정 가상환경을 초기화할지를 판단할 수 있다(S110). 초기화 여부는 상기 제어부(110)에 의해 자동으로 선택될 수도 있고, 사용자의 확인 또는 요청에 의해 선택될 수도 있다.
상기 제어부(110)가 상기 특정 가상환경을 초기화하기로 결정한 경우, 상기 제어부(110)는 상기 가상환경부(120)에 저장된 상기 특정 가상환경이 초기환경 정보에 기초하여 상기 특정 가상환경을 초기화할 수 있다. 초기화한다고 함은 전술한 바와 같이 클린 OS로 상기 특정 가상환경의 OS를 재설정하는 경우를 의미하며, 구현 예에 따라 상기 특정 가상환경의 가상화된 자원도 초기 자원으로 교체될 수 있다.
한편, 상기 제어부(110)는 가상환경 자체에 대한 스케줄링을 수행할 수도 있다. 이를 위해 상기 제어부(110)는 복수의 가상환경들 중 특정 가상환경에 스케줄링 정보를 포함할 수 있으며, 스케줄링 정보에 기초하여 상기 특정 가상환경 자체의 활성화 여부를 제어할 수도 있다. 상기 스케줄링 정보에는 상기 특정 가상환경의 활성화 조건(예컨대, 시간)에 대한 정보를 포함할 수 있다.
이러한 일 예는 도 7을 참조하여 설명하도록 한다.
도 7은 본 발명의 일 실시 예에 따라 가상환경별로 스케줄링을 수행할 수 있는 개념을 설명하기 위한 도면이다.
도 7을 참조하면, 상기 제어부(110)는 소정의 가상환경(예컨대, 제2가상환경)을 활성화할 수 있다(S200). 그러면, 상기 제어부(110)는 상기 제어부(110)에 미리 설정된 상기 가상환경(예컨대, 제2가상환경)의 스케줄링 정보를 확인할 수 있다(S210). 예컨대, 상기 스케줄링 정보는 상기 가상환경(예컨대, 제2가상환경)이 활성화될 수 있는 시간, 기간 등에 대한 정보를 포함할 수 있다.
그러면, 상기 제어부(110)는 확인된 스케줄링 정보에 상응하는지 여부를 모니터링하고(S220), 상기 가상환경(예컨대, 제2가상환경)의 활성화(또는 활성화 유지)가 상기 스케줄링 정보에 상응하지 않는다고 판단한 경우, 상기 제2가상환경을 셧다운할 수 있다(S230).
물론, 구현 예에 따라서는 스케줄링 정보를 먼저 확인하고, 스케줄링 정보에 상응하는 경우 특정 가상환경(예컨대, 제2가상환경)을 활성화할 수도 있다.
이처럼 본 발명의 기술적 사상에 따르면, 용도별로 가상환경이 제공되고, 가상환경 자체에 대해 스케줄링을 수행할 수 있는 효과가 있다. 예컨대, 부모는 게임용 가상환경(예컨대, 제2가상환경)의 스케줄링 정보를 미리 상기 제어부(110)에 설정할 수 있다. 물론, 상기 제어부(110)는 가상환경별로 사용할 수 있는 사용자에 대한 정보를 인증할 수 있다. 이를 위해 가상환경별 인증정보가 미리 저장되어 있을 수 있다. 자녀는 게임용 가상환경(예컨대, 제2가상환경)을 인증을 통해 활성화할 수 있다. 예컨대, 스케줄링 정보가 상기 게임용 가상환경(예컨대, 제2가상환경)이 하루에 두 시간씩만 활성화되도록 설정된 경우, 자녀가 게임용 가상환경(예컨대, 제2가상환경)을 활성화하여 게임을 시작한 후 두 시간이 되면 상기 게임용 가상환경(예컨대, 제2가상환경) 자체가 셧다운될 수 있다. 이처럼 가상환경 자체를 스케줄링하는 경우, 종래에 개별적으로 접속대상(예컨대, 게임 사이트 등)별로 스케줄링을 하는 방식에 비해, 우회하여 접속대상에 접속하거나 다양한 트리깅(trigging) 기법을 통해 스케줄링에 상응하는 제어를 피할 수 있는 가능성 자체를 줄일 수 있는 효과가 있다.
한편, 상기 컴퓨팅 장치(100)는 미리 디폴트로 적어도 하나의 가상환경을 제공할 수 있다. 디폴트로 설정된 가상환경은 사용자가 주로 이용하는 용도들일 수 있다. 디폴트로 설정된 가상환경 각각에 적용될 개별 보안정책들 역시 미리 설정되어 있을 수 있다.
이러한 디폴트 가상환경 이외에도 사용자는 자신이 상기 컴퓨팅 장치(100)를 이용하는 양태 또는 사용패턴에 따라 새로운 가상환경을 설치할 수도 있다. 이를 위해 상기 제어부(110)는 사용자로부터 추가 가상환경 생성요청을 수신할 수 있다. 그러면 상기 제어부(110)는 수신에 응답하여 상기 추가 가상환경을 생성할 수 있다. 추가 가상환경을 생성한다고 함은, 상기 추가 가상환경에서 구동될 초기 OS 및 가상화된 자원을 설정하는 것을 의미할 수 있다.
그러면, 상기 네트워크 관리부(130)는 상기 추가 가상환경에 상응하는 보안정책을 설정할 수 있다. 이를 위해 상기 네트워크 관리부(130)는 상기 추가 가상환경에 적용될 수 있는 복수의 개별 보안정책들을 사용자에게 제공하고, 제공된 상기 복수의 개별 보안정책 중에서 사용자에 의해 선택된 적어도 하나의 개별 보안정책을 상기 추가 가상환경의 보안정책으로 설정할 수 있다.
물론, 상기 디바이스 관리부(140) 역시 사용자로부터 상기 추가 가상환경에 적용될 디바이스의 사용정책을 설정 받을 수 있다.
일 실시 예에 의하면, 상기 컴퓨팅 장치(100)는 뱅킹용 가상환경, 쇼핑용 가상환경, 자녀용 가상환경, 및/또는 (재택)근무용 가상환경 등을 포함할 수 있다. 뱅킹용 가상환경의 경우, 피싱 또는 파밍 방지를 위한 DNS(Domain Name Server) 검증, 상기 뱅킹용 가상환경에서 접속할 수 있는 화이트 리스트, 및/또는 상기 화이트 리스트 이외의 트래픽 허용 금지를 수행하는 개별 보안정책들이 상기 뱅킹용 가상환경의 보안정책에 포함될 수 있다.
쇼핑용 가상환경에는 피싱 또는 파밍 방지를 위한 DNS 검증이 보안정책에 포함될 수 있다.
자녀용 가상환경에는 접속할 수 있는 화이트 리스트 또는 소정의 유해 사이트 DB에 저장된 사이트 접속 금지를 수행하는 개별 보안정책이 보안정책으로 포함될 수 있다.
근무용 가상환경에는 특정 네트워크 시스템(예컨대, 회사 시스템)과 가상사설망(VPN)을 제공하고 상기 특정 네트워크 시스템 이외의 IP를 갖는 트래픽을 금지하는 개별 보안정책이 상기 근무용 가상환경의 보안정책에 포함될 수 있다.
이외에도 상기 컴퓨팅 장치(100)는 용도별 가상환경의 특성에 따라 다양하고 필요한 개별 보안정책을 선택적으로 해당 가상환경에 보안정책으로써 포함시킬 수 있다.
본 발명의 실시예에 따른 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은 컴퓨터가 읽을 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있으며, 본 발명의 실시예에 따른 제어 프로그램 및 대상 프로그램도 컴퓨터로 판독 가능한 기록 매체에 저장될 수 있다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
기록 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 읽을 수 있는 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타나며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (15)

  1. 네트워크에 접속될 수 있는 컴퓨팅 장치에 있어서,
    상기 컴퓨팅 장치에 설치되며 사용용도에 따라 선택적으로 활성화되는 복수의 가상환경-상기 복수의 가상환경은 서로 독립적임-에 대한 정보를 저장하는 가상환경부;
    상기 컴퓨팅 장치의 메인 OS를 활성화하며, 상기 가상환경부에 저장된 상기 복수의 가상환경 중에서 어느 하나를 선택적으로 활성화하기 위한 제어부;
    상기 복수의 가상환경 각각별로 상기 네트워크에 접속되었을 때의 보안정책-상기 보안정책은 미리 정의된 복수의 개별 보안정책 중에서 적어도 일부가 선택된 것임-을 저장하고, 상기 제어부에 의해 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 보안정책에 상응하도록 제어를 수행하는 네트워크 관리부를 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  2. 제1항에 있어서, 상기 컴퓨팅 장치는,
    상기 복수의 가상환경 각각별로 상기 컴퓨팅 장치에 구비된 디바이스의 사용정책을 저장하고, 상기 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 사용정책에 상응하도록 디바이스의 사용관리를 수행하는 디바이스 관리부를 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  3. 제1항에 있어서, 상기 가상환경부는,
    상기 복수의 가상환경 각각별로 초기환경에 대한 정보를 저장하며,
    상기 제어부는,
    상기 복수의 가상환경 중 특정 가상환경에 대해 상기 특정 가상환경에 대응되는 초기환경에 대한 정보에 기초하여 상기 특정 가상환경을 초기화할 수 있는 것을 특징으로 하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  4. 제1항에 있어서, 상기 제어부는,
    상기 복수의 가상환경 중 특정 가상환경의 활성화 가능 조건에 대한 정보를 포함하는 스케줄링 정보를 저장하며,
    상기 스케줄링 정보에 상응하는 범위 내에서만 상기 특정 가상환경을 활성화하도록 제어하는 것을 특징으로 하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  5. 제1항에 있어서, 상기 네트워크 관리부는,
    상기 복수의 가상환경에 공통적으로 적용되는 글로벌 보안정책을 더 저장하는 것을 특징으로 하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  6. 제1항에 있어서, 상기 제어부는,
    사용자로부터 추가 가상환경 생성요청을 수신하고,
    수신에 응답하여 상기 추가 가상환경을 생성하여 상기 가상환경부에 저장하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  7. 제6항에 있어서, 상기 네트워크 관리부는,
    상기 추가 가상환경에 적용될 수 있는 복수의 개별 보안정책들을 사용자에게 제공하고,
    제공된 상기 복수의 개별 보안정책 중에서 사용자에 의해 선택된 적어도 하나의 개별 보안정책을 상기 추가 가상환경의 보안정책으로 설정하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  8. 제1항에 있어서, 상기 복수의 가상환경 중 제1가상환경에 상응하는 보안정책은,
    DNS(Domain Name Server) 검증; 상기 제1가상환경에서 접속할 수 있는 화이트 리스트; 상기 화이트 리스트 이외의 트래픽 허용 금지; 소정의 유해 사이트 DB에 저장된 사이트 접속 금지; 방화벽; IPS; 특정 네트워크 시스템과 가상사설망(VPN)을 제공하고 상기 특정 네트워크 시스템 이외의 IP를 갖는 트래픽 금지; URL 필터 중에서 복수의 것을 선택적으로 포함하는 것을 특징으로 하는 용도별 가상환경을 제공하는 컴퓨팅 장치.
  9. 네트워크에 접속될 수 있는 컴퓨팅 장치의 제공방법에 있어서,
    상기 컴퓨팅 장치가 사용용도에 따라 선택적으로 활성화되는 복수의 가상환경-상기 복수의 가상환경은 서로 독립적임-에 대한 정보를 저장하는 단계;
    상기 컴퓨팅 장치가 저장된 상기 복수의 가상환경에 대한 정보에 기초하여 상기 복수의 가상환경 중에서 어느 하나를 선택적으로 활성화하는 단계; 및
    상기 복수의 가상환경 중 특정 가상환경이 활성화된 경우 상기 특정 가상환경에 대응되도록 미리 설정된 보안정책-상기 보안정책은 미리 정의된 복수의 개별 보안정책 중에서 적어도 일부가 선택된 것임-에 상응하도록 제어를 수행하는 단계를 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  10. 제9항에 있어서, 상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은,
    상기 복수의 가상환경 각각별로 상기 컴퓨팅 장치에 구비된 디바이스의 사용정책을 저장하는 단계; 및
    상기 특정 가상환경이 활성화된 경우 상기 특정 가상환경의 사용정책에 상응하도록 디바이스의 사용관리를 수행하는 단계를 더 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  11. 제9항에 있어서, 상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은,
    상기 컴퓨팅 장치가 상기 복수의 가상환경 각각별로 초기환경에 대한 정보를 저장하는 단계; 및
    상기 컴퓨팅 장치가 상기 복수의 가상환경 중 특정 가상환경에 대해 상기 특정 가상환경에 대응되는 초기환경에 대한 정보에 기초하여 상기 특정 가상환경을 초기화하는 단계를 더 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  12. 제9항에 있어서, 상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은,
    상기 컴퓨팅 장치가 상기 복수의 가상환경 중 특정 가상환경의 활성화 가능 조건에 대한 정보를 포함하는 스케줄링 정보를 저장하는 단계; 및
    상기 컴퓨팅 장치가 상기 스케줄링 정보에 상응하는 범위 내에서만 상기 특정 가상환경을 활성화하도록 제어하는 단계를 더 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  13. 제9항에 있어서, 상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은,
    상기 컴퓨팅 장치가 사용자로부터 추가 가상환경 생성요청을 수신하는 단계; 및
    수신에 응답하여 상기 추가 가상환경을 생성하여 저장하는 단계를 더 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  14. 제13항에 있어서, 상기 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법은,
    상기 컴퓨팅 장치가 상기 추가 가상환경에 적용될 수 있는 복수의 개별 보안정책들을 사용자에게 제공하는 단계;
    상기 컴퓨팅 장치가 제공된 상기 복수의 개별 보안정책 중에서 사용자에 의해 선택된 적어도 하나의 개별 보안정책을 상기 추가 가상환경의 보안정책으로 설정하는 단계를 더 포함하는 용도별 가상환경을 제공하는 컴퓨팅 장치 제공방법.
  15. 제9항 내지 제14항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독가능한 기록매체.
KR1020130098865A 2013-08-21 2013-08-21 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법 KR101432721B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130098865A KR101432721B1 (ko) 2013-08-21 2013-08-21 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130098865A KR101432721B1 (ko) 2013-08-21 2013-08-21 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법

Publications (1)

Publication Number Publication Date
KR101432721B1 true KR101432721B1 (ko) 2014-08-21

Family

ID=51751010

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130098865A KR101432721B1 (ko) 2013-08-21 2013-08-21 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법

Country Status (1)

Country Link
KR (1) KR101432721B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022177327A1 (ko) * 2021-02-19 2022-08-25 김덕우 가상컴퓨터 간 전환 가능한 구조를 갖는 컴퓨터 및 전환 방법
WO2023101376A1 (ko) * 2021-11-30 2023-06-08 충북대학교 산학협력단 슈퍼 메타버스의 운영 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050122343A (ko) * 2004-06-24 2005-12-29 엑서스테크놀러지 주식회사 네트워크 통합 관리 시스템
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
JP2012155746A (ja) 2002-03-29 2012-08-16 Intel Corp 安全な環境を初期化する命令を実行するシステムおよび方法
US20120254982A1 (en) 2011-03-29 2012-10-04 Mcafee, Inc. System and method for protecting and securing storage devices using below-operating system trapping

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012155746A (ja) 2002-03-29 2012-08-16 Intel Corp 安全な環境を初期化する命令を実行するシステムおよび方法
KR20050122343A (ko) * 2004-06-24 2005-12-29 엑서스테크놀러지 주식회사 네트워크 통합 관리 시스템
KR101059199B1 (ko) 2011-01-13 2011-08-25 주식회사 이글루시큐리티 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
US20120254982A1 (en) 2011-03-29 2012-10-04 Mcafee, Inc. System and method for protecting and securing storage devices using below-operating system trapping

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022177327A1 (ko) * 2021-02-19 2022-08-25 김덕우 가상컴퓨터 간 전환 가능한 구조를 갖는 컴퓨터 및 전환 방법
WO2023101376A1 (ko) * 2021-11-30 2023-06-08 충북대학교 산학협력단 슈퍼 메타버스의 운영 시스템

Similar Documents

Publication Publication Date Title
US11157616B2 (en) Mobile application management
US10685107B2 (en) Detection of malicious intent in privileged identity environments
US9699261B2 (en) Monitoring sessions with a session-specific transient agent
US9774568B2 (en) Computer security architecture and related computing method
US8881284B1 (en) Method and system for secure network access using a virtual machine
US10834133B2 (en) Mobile device security policy based on authorized scopes
US8539561B2 (en) Systems and methods to control device endpoint behavior using personae and policies
JP6374953B2 (ja) コンテキストによるモバイルデバイスのロック
US8281363B1 (en) Methods and systems for enforcing network access control in a virtual environment
CN112997153B (zh) 用于经由嵌入式浏览器跨不同的saas应用的一致的执行策略的系统和方法
CN109923522A (zh) 匿名容器
US20070101433A1 (en) Widget security
US20150040180A1 (en) Information firewall
US20220004623A1 (en) Managed isolated workspace on a user device
US10841280B2 (en) User device-based enterprise web filtering
EP3244337A1 (en) Application control
KR20150045488A (ko) 시스템 제어
US20180063088A1 (en) Hypervisor network profiles to facilitate vpn tunnel
US20130298187A1 (en) Managing virtual identities
Pham et al. Threat analysis of portable hack tools from USB storage devices and protection solutions
KR101432721B1 (ko) 용도별 가상환경을 제공하는 컴퓨팅 장치 및 그 제공방법
US20220229916A1 (en) Dynamic privilege management in a computer system
JP6994607B1 (ja) Saasアプリケーションのためのインテリセンスのためのシステムおよび方法
US11316857B2 (en) Automated creation of dynamic privileged access resources
Banga et al. Trustworthy computing for the cloud-mobile era: A leap forward in systems architecture

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 5