KR101532250B1 - 정보 보호 장치 및 방법 - Google Patents

정보 보호 장치 및 방법 Download PDF

Info

Publication number
KR101532250B1
KR101532250B1 KR1020130061015A KR20130061015A KR101532250B1 KR 101532250 B1 KR101532250 B1 KR 101532250B1 KR 1020130061015 A KR1020130061015 A KR 1020130061015A KR 20130061015 A KR20130061015 A KR 20130061015A KR 101532250 B1 KR101532250 B1 KR 101532250B1
Authority
KR
South Korea
Prior art keywords
log
file
interface
access
log file
Prior art date
Application number
KR1020130061015A
Other languages
English (en)
Other versions
KR20130090853A (ko
Inventor
김종만
이중희
Original Assignee
소테리아 시큐리티 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소테리아 시큐리티 인코퍼레이티드 filed Critical 소테리아 시큐리티 인코퍼레이티드
Priority to KR1020130061015A priority Critical patent/KR101532250B1/ko
Publication of KR20130090853A publication Critical patent/KR20130090853A/ko
Application granted granted Critical
Publication of KR101532250B1 publication Critical patent/KR101532250B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 정보 보호 장치 및 방법에 관한 것으로서, 자체 파일 시스템을 구비하여 로그 파일 관리에 대한 인터페이스를 제공하고 호스트 시스템과는 별도의 하드웨어로 구성되어 호스트 시스템으로부터 전달받은 로그 정보를 저장하고 관리하는 정보 보호 장치 및 방법에 관한 것이다.
본 발명의 실시예에 따른 정보 보호 장치는 제 1 인터페이스에 연결된 호스트 시스템이 지원하는 통신 프로토콜을 이용하여 상기 호스트 시스템에 대한 로그 데이터를 수신하도록 상기 제 1 인터페이스를 제어하는 제 1 인터페이스 제어부와, 상기 제 1 인터페이스를 경유하여 상기 호스트 시스템으로부터 수신된 로그 데이터를 파일 형식으로 저장하는 저장부 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 파일 관리부를 포함한다.

Description

정보 보호 장치 및 방법{Apparatus and method for protecting log information}
본 발명은 정보 보호 장치 및 방법에 관한 것으로서, 더욱 상세하게는 자체 파일 시스템을 구비하여 로그 파일 관리에 대한 인터페이스를 제공하고 호스트 시스템과는 별도의 하드웨어로 구성되어 호스트 시스템으로부터 전달받은 로그 정보를 저장하고 관리하는 정보 보호 장치 및 방법에 관한 것이다.
웹 서버, 메일 서버 및 데이터베이스 서버 등에 의하여 생성된 로그 파일은 네트워크를 통하여 시스템에 접근한 외부 침입자를 추적하거나 어떠한 공격이 수행되었는지 그리고, 잠재적인 위협을 판단하는데 이용될 수 있다.
외부 침입자는 이러한 사항을 인지하고 있기 때문에 자신들의 추적을 회피하기 위하여 가능하다면 로그 파일을 제거하려고 한다. 따라서, 만일 로그 파일의 제거를 방지한다면 이는 외부 침입자에게 심각한 위협이 될 수 있다.
그러나, 일반적으로 호스트 시스템에 접속한 외부 침입자는 운영 체계에 대한 제어 권한도 가지고 있기 때문에 호스트 시스템에 저장된 로그 파일의 제거를 방지하는 것은 용이하지 않다. 예를 들어, 로그 파일 제거 방지 소프트웨어를 구비하고 있다고 하더라도 외부 침입자는 운영 체계가 제공하는 파일 시스템을 이용하여 로그 파일 제거 방지 소프트웨어를 회피하여 로그 파일에 접근할 수 있는 것이다.
따라서, 호스트 시스템에 접속한 외부 침입자로부터 로그 파일을 안전하게 보호할 수 있는 발명의 등장이 요구된다.
대한민국 등록특허공보 제10-0991191호 (2010.11.10)
본 발명은 자체 파일 시스템을 구비하여 로그 파일 관리에 대한 인터페이스를 제공하고 호스트 시스템과는 별도의 하드웨어로 구성되어 호스트 시스템으로부터 전달받은 로그 정보를 저장하고 관리하는데 그 목적이 있다.
본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 정보 보호 장치는 제 1 인터페이스에 연결된 호스트 시스템이 지원하는 통신 프로토콜을 이용하여 상기 호스트 시스템에 대한 로그 데이터를 수신하도록 상기 제 1 인터페이스를 제어하는 제 1 인터페이스 제어부와, 상기 제 1 인터페이스를 경유하여 상기 호스트 시스템으로부터 수신된 로그 데이터를 파일 형식으로 저장하는 저장부 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 파일 관리부를 포함한다.
본 발명의 다른 실시예에 따른 정보 보호 장치는 로그 데이터를 생성하는 데이터 생성부와, 상기 생성된 로그 데이터를 파일 형식으로 저장하는 저장부 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 파일 관리부를 포함하는데, 상기 데이터 생성부, 상기 저장부 및 상기 파일 관리부는 하이퍼바이저의 제어에 따라 동작을 수행한다.
본 발명의 또 다른 실시예에 따른 정보 보호 장치는 로그 데이터를 생성하는 데이터 생성부와 상기 생성된 로그 데이터를 파일 형식으로 저장하는 저장부 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 파일 관리부를 포함하는데, 상기 저장부는 한 번의 쓰기만을 허용한다.
본 발명의 실시예에 따른 정보 보호 방법은 제 1 인터페이스에 연결된 호스트 시스템이 지원하는 통신 프로토콜을 이용하여 상기 호스트 시스템에 대한 로그 데이터를 수신하도록 상기 제 1 인터페이스를 제어하는 단계와, 상기 제 1 인터페이스를 경유하여 상기 호스트 시스템으로부터 수신된 로그 데이터를 파일 형식으로 저장부에 저장하는 단계 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 단계를 포함한다.
본 발명의 다른 실시예에 따른 정보 보호 방법은 로그 데이터를 생성하는 단계와, 상기 생성된 로그 데이터를 파일 형식으로 저장하는 단계 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 단계를 포함하는데, 상기 로그 데이터를 생성하는 단계, 상기 저장하는 단계 및 상기 결정하는 단계는 하이퍼바이저의 제어에 따른 동작이다.
본 발명의 또 다른 실시예에 따른 정보 보호 방법은 로그 데이터를 생성하는 단계와, 상기 생성된 로그 데이터를 파일 형식으로 저장부에 저장하는 단계 및 상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 단계를 포함하는데, 상기 저장부는 한 번의 쓰기만을 허용하는 저장 매체이다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
상기한 바와 같은 본 발명의 정보 보호 장치 및 방법에 따르면 자체 파일 시스템을 구비하여 로그 파일 관리에 대한 인터페이스를 제공하고 호스트 시스템과는 별도의 하드웨어로 구성되어 호스트 시스템으로부터 전달받은 로그 정보를 저장하고 관리함으로써 호스트 시스템에 접속한 외부 침입자로부터 로그 파일을 안전하게 보호하는 장점이 있다.
도 1은 본 발명의 실시예에 따른 정보 보호 시스템을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 정보 보호 장치와 호스트 시스템간의 동작 관계를 나타낸 개념도이다.
도 3은 본 발명의 실시예에 따른 정보 보호 장치를 나타낸 블록도이다.
도 4는 본 발명의 실시예에 따른 정보 보호 장치의 자체 파일 시스템이 입력된 명령에 따라 동작하는 것을 나타낸 도면이다.
도 5는 본 발명의 실시예에 따른 정보 보호 장치의 동작 모드를 나타낸 도면이다.
도 6은 본 발명의 다른 실시예에 따른 정보 보호 장치를 나타낸 블록도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 실시예에 따른 정보 보호 시스템을 나타낸 도면으로서, 정보 보호 시스템(10)은 정보 보호 장치(300) 및 호스트 시스템(200)을 포함하여 구성된다.
본 발명에서 호스트 시스템(200)은 네트워크에 연결되어 자신에게 접속한 기기에게 서비스를 제공하는 장치로 이해될 수 있다. 예를 들어, 웹 서버, 메일 서버 및 데이터베이스 서버 등과 같이 네트워크를 이용하여 특정 서비스 또는 복수의 서비스를 복합적으로 제공하는 장치가 호스트 시스템(200)의 역할을 수행할 수 있는 것이다.
호스트 시스템(200)의 형태로는 일반 가정용 또는 사무용 컴퓨터와 같이 하나의 장소에 고정된 컴퓨터일 수 있으며, 랩탑, 태블릿 PC(Tablet PC), PDA(Personal Digital Assistant) 및 스마트폰과 같은 휴대용 이동 단말기일 수도 있다. 이와 같은 장치들은 네트워크를 통하여 다른 기기들에게 어떠한 정보를 제공할 수 있는 것으로서, 결국 네트워크에 접속하여 또 다른 기기와 데이터를 송수신하는 장치는 모두 호스트 시스템(200)의 역할을 수행할 수 있는 것으로 이해될 수 있다.
이와 같이, 호스트 시스템(200)은 네트워크상에 자신을 노출시켜 자신에게 접속한 기기에게 자신이 지원하는 서비스를 제공하게 되는데, 일부 악의의 사용자는 단순히 서비스를 제공받기 보다는 호스트 시스템(200)에 숨겨진 정보를 열람하려고 하거나 호스트 시스템(200) 자체에 피해를 주려고 할 수 있다.
예를 들어, 악의의 사용자(이하, 침입자라 한다)는 호스트 시스템(200)의 운영 체계(Operating System)을 제어하여 저장 공간에 저장된 비밀 자료를 무단으로 열람하거나 바이러스와 같은 악성 프로그램을 호스트 시스템(200)에 설치할 수 있는 것이다.
이와 같은 침입자 소유의 침입자 단말기(100)의 공격을 방지하기 위하여 다양한 수단이 호스트 시스템(200)에 구비될 수 있으며, 침입자 단말기(100)에 대한 정보 및 공격에 대한 정보를 수집하기 위하여 로그 파일이 유지될 수 있다.
여기서, 침입자 단말기(100)에 대한 정보는 침입자 단말기(100)의 IP 주소, MAC 주소 및 지역 등을 포함할 수 있으며, 공격에 대한 정보는 공격의 종류, 공격 시간, 접속 개시 시간 및 접속 종료 시간 등을 포함할 수 있다. 그러나, 로그 파일에 포함되는 정보는 이에 한정되지 않고 다양한 정보가 포함될 수도 있다.
침입자 단말기(100)에 대한 정보가 로그 파일에 포함되어 있다는 사실은 침입자에게 커다란 부담이 되지 않을 수 없다. 이로 인하여, 침입자는 로그 파일에 대한 편집을 수행하고자 할 수 있다. 예를 들어, 침입자는 로그 파일에서 자신의 침입 사실과 관련된 부분을 수정 또는 삭제하거나 로그 파일 전체를 수정 또는 삭제할 수도 있는 것이다.
로그 파일은 파일의 형태를 가지고 있기 때문에 호스트 시스템(200)의 운영 체계가 제공하는 파일 시스템에 의하여 관리될 수 있다. 따라서, 만일 침입자 단말기(100)를 통하여 호스트 시스템(200)에 접속한 침입자가 호스트 시스템(200)의 운영 체계를 제어할 수 있는 권한을 부여 받은 경우 로그 파일에 대한 편집이 가능할 수도 있다.
이를 방지하기 위하여, 본 발명의 실시예에 따른 정보 보호 장치(300)는 호스트 시스템(200)에 연결된 상태로 호스트 시스템(200)의 로그 파일을 저장할 수 있다. 즉, 로그 파일은 호스트 시스템(200)에 저장되어 있는 것이 아니라 정보 보호 장치(300)에 저장되는 것이다.
정보 보호 장치(300)는 호스트 시스템(200)에 물리적으로 연결되어 있는 장치로서, 자체적인 파일 시스템(이하, 정보 보호 파일 시스템이라 한다)(302)을 가지고 있다. 정보 보호 파일 시스템(302)은 호스트 시스템(200)의 파일 시스템과는 상이한 것으로서 그 인터페이스는 호스트 시스템(200)의 파일 시스템과 동일할 수 있다.
따라서, 호스트 시스템(200)의 운영 체계에 대한 제어 권한을 가지고 있는 침입자는 호스트 시스템(200)의 파일 시스템이 제공하는 인터페이스를 이용하여 로그 파일에 대한 편집을 수행하고자 하겠지만, 실제로 편집 명령은 정보 보호 파일 시스템(302)으로 전달되고 정보 보호 파일 시스템(302)은 침입자 단말기(100)에 의하여 발생된 편집 명령을 거부하기 때문에 로그 파일에 대한 편집은 수행되지 않게 된다.
이에 대한 설명은 도 2에 도시되어 있는데, 도 2는 본 발명의 실시예에 따른 정보 보호 장치(300)와 호스트 시스템(200)간의 동작 관계를 나타낸 개념도를 나타내고 있다.
정보 보호 장치(300)에는 로그 파일 저장 수단(301)과 정보 보호 파일 시스템(302)이 구비되어 있는데, 정보 보호 파일 시스템(302)의 작업 명령은 호스트 시스템(200)의 파일 시스템의 작업 명령에 의하여 호출된다.
예를 들어, 호스트 시스템(200)의 파일 시스템에서 읽기 명령이 발생한 경우 이는 정보 보호 파일 시스템(302)으로 전달되어 정보 보호 파일 시스템(302)의 읽기 명령이 발생하게 되는 것이다. 읽기 명령이 발생함에 따라 정보 보호 파일 시스템(302)은 대상 파일에 대한 읽기 작업을 수행하여 호스트 시스템(200)으로 전달하게 된다.
로그 파일 저장 수단(301)은 로그 파일을 저장하는 역할을 수행하는데, 이는 정보 보호 장치(300)의 내부에 구비될 수 있으며, 외부에 구비될 수도 있다. 즉, 정보 보호 장치(300)에 구비된 DRAM 등이 로그 파일 저장 수단(301)의 역할을 수행할 수 있으며, 외부 저장 장치가 로그 파일 저장 수단(301)의 역할을 수행할 수도 있는 것이다. 이를 위하여 정보 보호 장치(300)는 외부 저장 장치와 데이터 송수신을 수행할 수 있는 통신 수단을 별도로 구비할 수 있다.
본 발명에 따르면 로그 파일 저장 수단(301)이 정보 보호 장치(300)의 내부 또는 외부에 구비되어 있는 지와 무관하게 로그 파일 저장 수단(301)은 호스트 시스템(200)과 직접적으로 물리적 연결이 되어있지 않으며, 이에 따라 침입자가 호스트 시스템(200)의 운영 체계에 대한 제어 권한을 가지고 있다고 하더라도 로그 파일 저장 수단(301)에 저장되어 있는 로그 파일의 편집은 용이하지 않게 된다.
한편, 정보 보호 장치(300)는 사운드 카드 및 네트워크 카드와 같은 카드의 형태로 구현될 수 있다. 즉, 호스트 시스템(200)에 구비된 카드 슬롯에 정보 보호 장치(300)를 삽입함으로써 정보 보호 장치(300)와 호스트 시스템(200)간의 연결이 수행되는 것이다.
이와 같이, 정보 보호 장치(300)는 호스트 시스템(200)에게 있어서 자신에게 연결된 부가적인 장치인 것으로서 호스트 시스템(200)에는 정보 보호 장치(300)를 제어할 수 있는 장치 드라이버가 설치되어 있는 것이 바람직하다.
도 3은 본 발명의 실시예에 따른 정보 보호 장치를 나타낸 블록도로서, 정보 보호 장치(300)는 제 1 인터페이스(311), 제 2 인터페이스(312), 제 3 인터페이스(313), 제 1 인터페이스 제어부(321), 제 2 인터페이스 제어부(322), 제 3 인터페이스 제어부(323), 메인 저장부(330), 메인 제어부(340), 감지부(350), 정보 저장부(360) 및 파일 관리부(370)를 포함하여 구성된다.
제 1 인터페이스(311)는 호스트 시스템(200)에 연결되어 데이터를 송수신하는 역할을 수행한다. 전술한 바와 같이, 정보 보호 장치(300)는 카드의 형태로 구현될 수 있는데, 호스트 시스템(200)에 구비된 슬롯에 결합되는 적어도 하나 이상의 핀이 제 1 인터페이스(311)의 역할을 수행할 수 있다.
제 1 인터페이스 제어부(321)는 제 1 인터페이스(311)에 연결된 호스트 시스템(200)이 지원하는 통신 프로토콜을 이용하여 호스트 시스템(200)에 대한 로그 데이터를 수신하도록 제 1 인터페이스(311)를 제어하는 역할을 수행한다.
본 발명에서 로그 데이터는 호스트 시스템(200)의 자원을 이용한 것에 대한 기록으로 이해될 수 있다. 예를 들어, 호스트 시스템(200)은 네트워크 자원, 연산 자원 또는 메모리 자원 등을 관리하는데, 이러한 자원에 접근하여 이용한 모든 이력이 로그 데이터로서 생성될 수 있는 것이다. 또한, 자원의 이용뿐만 아니라 호스트 시스템(200)에서 발생하는 정기적 또는 비정기적 이벤트 등이 로그 데이터로 생성될 수도 있음은 물론이다.
제 1 인터페이스 제어부(321)는 PCI(Peripheral Component Interconnect), SATA(Serial AT Attachment), SCSI(Small Computer System Interface) 및 DRAM(Dynamic Random Access Memory) 메모리 버스 중 적어도 하나의 통신 프로토콜로 로그 데이터의 송수신이 수행되도록 상기 제 1 인터페이스(311)를 제어할 수 있으며, 위에 열거한 통신 프로토콜 이외에 호스트 시스템(200)이 지원하는 별도의 방식으로 로그 데이터의 송수신이 수행되도록 제 1 인터페이스(311)를 제어할 수도 있다.
결국, 제 1 인터페이스 제어부(321)는 호스트 시스템(200)에 물리적으로 직접 접속되어 있는 제 1 인터페이스(311)를 제어하여 호스트 시스템(200)으로부터 로그 데이터를 수신하거나 기타 제어 명령을 수신하도록 하는 것으로 이해될 수 있다.
제 2 인터페이스(312)는 제 1 인터페이스(311)와는 물리적으로 분리되어 로그 파일의 갱신에 이용되는 로그 데이터를 수신하는 역할을 수행하며, 제 2 인터페이스 제어부(322)는 LAN(Local Area Network), UART(Universal Asynchronous Receiver/Transmitter) 또는 USB(Universal Serial Bus) 중 적어도 하나의 통신 프로토콜로 로그 데이터를 수신하도록 제 2 인터페이스(312)를 제어하는 역할을 수행한다.
호스트 시스템(200)의 관리자는 자신이 직접 로그 파일에 대한 편집을 수행할 수 있는데, 이 때 관리자는 제 2 인터페이스(312)를 통하여 로그 데이터 및 접근 명령을 입력할 수 있다.
제 3 인터페이스(313)는 제 1 인터페이스(311)와는 물리적으로 분리되어 로그 파일을 저장하는 외부 저장 장치(미도시)와 로그 데이터의 송수신을 수행하는 역할을 수행하며, 제 3 인터페이스 제어부(323)는 SATA(Serial AT Attachment) 및 SCSI(Small Computer System Interface) 중 적어도 하나의 통신 프로토콜로 로그 데이터를 송수신하도록 상기 제 3 인터페이스(313)를 제어하는 역할을 수행한다.
제 1 인터페이스(311)를 통하여 호스트 시스템(200)으로부터 수신된 로그 데이터는 파일의 형태로 정보 저장부(360)에 저장되는데, 정보 저장부(360)는 정보 보호 장치(300)에 내장되어 구현된 것이기 때문에 그 용량이 제한된다. 예를 들어, 정보 저장부(360)는 플래시 메모리(Flash Memory), PRAM(Phase-change Random Access Memory) 또는 STT-RAM(Spin Torque Transfer Random Access Memory)과 같은 비휘발성 메모리가 이용되어 구현될 수 있는데, 이러한 비휘발성 메모리는 일단 설치된 상태에서 그 용량의 확장은 실질적으로 불가능한 것이다.
이와 같은 정보 저장부(360)의 저장 용량에 대한 제약을 보완하기 위하여 외부 저장 장치가 이용될 수 있는데, 제 3 인터페이스(313)는 외부 저장 장치에 연결되어 외부 저장 장치로 로그 데이터를 송신하는 역할을 수행한다.
이에 따라, 정보 저장부(360)의 저장 공간이 부족한 경우 또는 별도로 관리자가 설정한 경우 로그 데이터는 정보 저장부(360)가 아니라 외부 저장 장치로 전달되어 파일의 형태로 저장될 수 있게 된다.
외부 저장 장치는 하드 디스크 드라이브(HDD; Hard Disk Drive)와 같은 저장 수단만으로 구성된 것일 수 있으며, 저장 수단과 함께 운영 체계를 구비한 것일 수도 있다. 예를 들어, 일반 사무용 컴퓨터 또는 스마트폰이 외부 저장 장치의 역할을 수행할 수 있는 것이다.
이와 같이, 운영 체계가 구비된 장치가 외부 저장 장치의 역할을 수행한다고 하더라도 외부 저장 장치는 호스트 시스템(200)과 직접적으로 연결되어 있지 않기 때문에 침입자는 외부 저장 장치에 대한 제어 권한을 가질 수 없으므로 외부 저장 장치에 저장된 로그 파일에 대한 편집을 수행할 수 없게 된다.
파일 관리부(370)는 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 로그 파일로의 접근 여부를 결정할 수 있다. 여기서, 접근 명령은 로그 파일에 대한 읽기 명령, 쓰기 명령, 수정 명령 또는 삭제 명령일 수 있다.
전술한 정보 보호 파일 시스템(302)은 파일 관리부(370)에 의하여 실행되어 관리될 수 있는데, 정보 저장부(360)에 저장된 로그 파일에 대한 접근 명령이 수신된 경우 파일 관리부(370)는 우선 해당 접근 명령이 수신된 인터페이스를 확인한다. 즉, 제 1 인터페이스(311) 및 제 2 인터페이스(312) 중 어떠한 인터페이스를 통하여 접근 명령이 수신되었는지 확인하는 것이다.
그리하여, 제 2 인터페이스(312)를 통하여 접근 명령이 수신된 경우 파일 관리부(370)는 수신된 접근 명령에 따라 정보 저장부(360)에 저장된 로그 파일로의 접근을 허용한다. 즉, 제 2 인터페이스(312)를 통하여 접근 명령이 수신된 경우 어떠한 보안 절차 없이도 정보 저장부(360)에 저장된 로그 파일로 접근하여 열람 또는 편집이 수행될 수 있는 것이다.
한편, 제 1 인터페이스(311)를 통하여 접근 명령이 수신된 경우 파일 관리부(370)는 접근 명령의 종류에 따라 로그 파일로의 접근 여부를 판단한다.
즉, 파일 관리부(370)는 접근 명령이 읽기 명령 또는 쓰기 명령인 경우 로그 파일로의 접근을 허용하고, 접근 명령이 수정 명령 또는 삭제 명령인 경우 로그 파일로의 접근을 방지하는 것이다.
도 4는 본 발명의 실시예에 따른 정보 보호 장치의 자체 파일 시스템이 입력된 명령에 따라 동작하는 것을 나타낸 도면이다.
도 4에 도시된 바와 같이 읽기 명령(410)이 수신된 경우 정보 보호 파일 시스템(302)은 읽기 명령(410)에 따라 정보 저장부(360) 또는 외부 저장 장치와 같은 로그 파일 저장 수단(301)에서 로그 파일을 추출하여 출력할 수 있다. 또한, 쓰기 명령(420)이 수신된 경우 정보 보호 파일 시스템(302)는 쓰기 명령(420)에 따라 정보 저장부(360) 또는 외부 저장 장치에 로그 파일을 생성하거나 기존에 저장되어 있던 로그 파일을 갱신할 수 있다.
이에 따라, 호스트 시스템(200)에 접속한 사용자는 읽기 명령(410)을 이용하여 로그 파일에 대한 열람을 수행할 수 있으며, 호스트 시스템(200)은 쓰기 명령(420)을 이용하여 로그 파일을 저장할 수 있게 된다. 다시 말해, 읽기 명령(410) 또는 쓰기 명령(420)이 수신된 경우 정보 보호 파일 시스템(302)은 어떠한 부수적인 절차 없이 로그 파일에 대한 접근을 허용하는 것이다.
한편, 수정 명령(430) 또는 삭제 명령(440)이 수신된 경우 정보 보호 파일 시스템(302)는 인터페이스의 종류에 따라 로그 파일 저장 수단(301)으로의 접근 여부를 결정할 수 있다. 즉, 제 2 인터페이스(312)를 통하여 수정 명령(430) 또는 삭제 명령(440)이 수신된 경우 로그 파일 저장 수단(301)으로의 접근을 허용하고, 제 1 인터페이스(311)을 통하여 수정 명령(430) 또는 삭제 명령(440)이 수신된 경우 로그 파일 저장 수단(301)으로의 접근을 허용하지 않는 것이다.
이와 같이, 제 1 인터페이스(311)을 통하여 수정 명령(430) 또는 삭제 명령(440)이 수신된 경우 로그 파일 저장 수단(301)으로의 접근이 허용되지 않음에 따라 침입자에 의한 로그 파일의 무단 편집이 원천적으로 차단되며, 침입자에 의한 무단 편집 시도 이력도 로그 파일에 저장된다.
외부 저장 장치의 저장 용량이 정보 저장부(360)보다 크다고 하더라도 그 용량에도 제한이 있을 수 밖에 없다. 따라서, 정보 저장부(360)뿐만 아니라 외부 저장 장치의 저장 공간을 확보하지 않는 경우 기존의 로그 파일을 갱신할 수 없거나 새로운 로그 파일을 생성할 수 없을 수도 있다.
이를 방지하기 위하여, 본 발명의 실시예에 따른 파일 관리부(370)는 정보 저장부(360) 또는 외부 저장 장치의 저장 공간을 확보하기 위하여 각 저장 수단(301)에 저장된 데이터를 정리할 수 있다.
예를 들어, 파일 관리부(370)는 정보 저장부(360) 또는 외부 저장 장치에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제할 수 있다.
여기서, 파일 크기가 사전에 설정된 임계치를 초과한다는 것은 갱신된 로그 파일의 크기가 사전에 설정된 임계치를 초과하는 것으로 이해될 수 있다. 하나의 로그 파일이 생성되면 이후에도 갱신을 위한 로그 데이터가 계속적으로 발생하고 이에 따라 로그 파일의 갱신되는데, 이렇게 갱신된 로그 파일은 새로운 데이터가 추가됨에 따라 그 크기가 커지게 된다.
이 때, 그 크기가 사전에 설정된 임계치를 초과한다는 것은 해당 로그 파일이 오래된 데이터를 포함하고 있다는 것을 의미하므로 파일 관리부(370)는 이를 삭제할 수 있는 것이다. 한편, 로그 파일의 갱신으로 인하여 그 크기가 커진 경우 새로운 데이터를 포함하고 있는 것일 수도 있는데, 이를 위하여 일정 기간만큼의 새로운 데이터는 새로운 로그 파일의 형태로 지속적으로 유지될 수도 있다.
이와 같이 저장 공간의 확보를 위하여 저장 수단에 저장된 로그 파일을 삭제한다는 것은 침입자들에게도 알려진 사실이다. 따라서, 침입자들은 이와 같은 사실을 이용하여 로그 파일의 삭제를 유도할 수도 있다. 예를 들어, 침입자들은 불필요한 로그 파일이 다량으로 생산되도록 함으로써 사전에 저장되어 있던 로그 파일이 자동으로 삭제되도록 하는 것이다.
이와 같은 문제점을 방지하기 위하여, 파일 관리부(370)는 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는 경우 로그 파일의 삭제를 보류할 수 있다.
즉, 파일 관리부(370)는 로그 파일의 생성 또는 갱신 이벤트가 발생하는 경우 이를 지속적으로 감시하여 만일 그 회수가 사전에 설정된 임계치를 초과하는 경우 침입자에 의하여 의도적으로 로그 파일의 생성 또는 갱신이 발생된 것으로 판단하여 로그 파일을 삭제하지 않는 것으로서, 이와 같은 감시는 감지부(350)에 의하여 수행될 수 있다.
또한, 감지부(350)는 로그 파일에 대한 생성 또는 갱신에 대한 감시뿐만 아니라 로그 파일 저장 수단(301)에 저장된 로그 파일에 대한 의심스러운 이벤트라면 어떠한 것이라도 감시할 수 있다. 예를 들어, 저장된 로그 파일에 대한 열람 명령이 지나치게 많이 발생한 경우 감지부(350)는 이를 감지하여 관리자에게 통보할 수 있는 것이다.
한편, 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과한다는 것은 침입자에 의한 공격을 받고 있는 것으로 간주될 수 있기 때문에 메인 제어부(340)는 제 1 인터페이스(311)를 통하여 호스트 시스템(200)에게 경보 메시지를 송신할 수 있고, 이에 따라 호스트 시스템(200)은 네트워크 접속을 차단할 수 있다.
또한, 메인 제어부(340)는 제 1 인터페이스(311), 제 2 인터페이스(312), 제 3 인터페이스(313), 제 1 인터페이스 제어부(321), 제 2 인터페이스 제어부(322), 제 3 인터페이스 제어부(323), 메인 저장부(330), 감지부(350), 정보 저장부(360) 및 파일 관리부(370)에 대한 전반적인 제어를 수행한다.
한편, 본원발명에서 파일 관리부(370)는 하이퍼바이저(hypervisor)의 제어에 따라 동작할 수 있다. 하이퍼바이저는 중앙 처리 장치(CPU; Central Processing Unit)와 운영 체계 사이에 존재하는 소프트웨어로서, 파일 관리부(370)가 운영 체계에 의한 제어를 받는 경우보다 하이퍼바이저에 의한 제어를 받는 경우가 더욱 안전하다.
즉, 운영 체계에 대한 제어 권한을 가지고 있는 침입자라고 하더라도 파일 관리부(370)에 의한 동작을 제어할 수는 없는 것이다.
따라서, 메인 제어부(340)가 하이퍼바이저에 포함되어 있거나 하이퍼바이저와 동일한 경우 파일 관리부(370)는 메인 제어부(340)의 제어를 받지만, 메인 제어부(340)가 하이퍼바이저에 포함되어 있지 않거나 하이퍼바이저와 상이한 경우 파일 관리부(370)는 하이퍼바이저만에 의한 제어를 받는 한편, 메인 제어부(340)에 의한 제어를 받지 않을 수도 있다.
메인 저장부(330)는 제 1 인터페이스(311), 제 2 인터페이스(312), 제 3 인터페이스(313)를 통하여 송수신되는 데이터를 임시로 저장하는 역할을 수행하며, 전술한 다양한 임계치를 저장하는 역할을 수행한다.
이상은 정보 저장부(360) 및 외부 저장 장치가 비휘발성 메모리 또는 하드 디스크 드라이브와 같이 수 차례의 쓰기 및 수정이 반복 가능한 저장 매체를 예로 들었으나, 웜(WORM; Write Once Read Many) 디바이스, 일회용 컴팩트 디스크(CD; Compact Disc) 또는 일회용 DVD(Digital Versatile Disc)와 같이 한 번의 쓰기만을 허용하는 저장 매체가 정보 저장부(360) 또는 외부 저장 장치의 역할을 수행할 수도 있다.
이러한 경우 일단 저장된 로그 파일에 대한 수정을 위한 접근이 원천적으로 봉쇄되기 때문에 보다 안전하게 로그 파일을 유지할 수 있게 된다.
도 5는 본 발명의 실시예에 따른 정보 보호 장치의 동작 모드를 나타낸 도면이다.
정보 보호 장치(300)의 동작 모드(500)는 저장 경로 모드(510), 복제 모드(520) 및 체크섬 모드(530)를 포함할 수 있는데, 정보 보호 장치(300)는 이 중 하나의 모드로 동작할 수 있다.
저장 경로 모드(510)는 호스트 시스템(200)의 로그 파일이 호스트 시스템(200)이 아닌 정보 보호 장치(300)에 저장되도록 하는 모드를 의미하는 것으로서, 이에 대해서는 전술하였으므로 자세한 설명은 생략하기로 한다.
복제 모드(520)는 호스트 시스템(200)의 로그 파일은 여전히 호스트 시스템(200)에 저장되고 정보 보호 장치(300)는 호스트 시스템(200)에 저장된 로그 파일의 복사본을 저장하는 모드를 의미한다. 한편, 복제 모드(520)라고 하더라도 정보 보호 장치(300)에 저장된 로그 파일은 저장 경로 모드(510)와 동일하게 관리될 수 있다.
체크섬 모드(530)는 로그 파일은 호스트 시스템(200)에 저장되고, 로그 파일에 대한 체크섬만이 정보 보호 장치(300)에 저장되는 모드를 의미한다. 이에 따라 정보 보호 장치(300)에 구비된 로그 파일 저장 수단(301)에 대한 저장 공간에 대한 제약은 상당부분 완화될 수 있게 된다.
그러나, 체크섬 모드(530)의 경우 호스트 시스템(200)에 저장되어 있는 로그 파일을 직접적으로 보호할 수 없기 때문에 호스트 시스템(200) 또는 정보 보호 장치(300)는 체크섬을 이용하여 저장된 로그 파일에 어떠한 문제가 발생된 것으로 판단하는 경우 관리자에게 알람을 제공하는 것이 바람직하다.
도 6은 본 발명의 다른 실시예에 따른 정보 보호 장치를 나타낸 블록도이다.
전술한 도 3의 정보 보호 장치(300)는 그 구성요소 중 일부가 하이퍼바이저의 제어에 따라 동작을 수행할 수 있다. 한편, 도 6에 도시된 정보 보호 장치(600)는 그 구성요소(610, 620, 630, 640, 650, 660) 모두가 하이퍼바이저의 제어에 따라 동작을 수행할 수 있다.
이에 따른 정보 보호 장치(600)는 데이터 생성부(610), 메인 저장부(620), 메인 제어부(630), 감지부(640), 정보 저장부(650) 및 파일 관리부(660)를 포함하여 구성되는데, 예를 들어 정보 보호 장치(600)는 호스트 시스템(200)의 일부로서 그 역할을 수행하는 것으로 이해될 수 있다.
따라서, 도 3의 정보 보호 장치(300)의 경우 호스트 시스템(200)에 의하여 생성된 로그 데이터를 수신하여 로그 파일로 생성하고 저장하였으나, 도 6의 정보 보호 장치(600)는 직접 로그 데이터를 생성하여 로그 파일로 생성하고 저장할 수 있다.
즉, 데이터 생성부(610)가 로그 데이터를 생성하면, 정보 저장부(650)는 생성된 로그 데이터를 파일의 형태로 저장하고, 파일 관리부(660)는 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 로그 파일로의 접근 여부를 결정하는 것이다.
또한, 메인 저장부(620)는 데이터 생성부(610)에 의하여 생성되는 데이터를 임시로 저장하는 역할을 수행하며, 다양한 임계치를 저장하는 역할을 수행한다.
그리고, 파일 관리부(660)는 정보 저장부(650)에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제할 수 있다. 다만, 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는 경우 파일 관리부(660)는 로그 파일의 삭제를 보류할 수 있다.
이 때, 감지부(640)는 로그 파일에 대한 생성 또는 갱신에 대한 감시를 수행할 수 있으며, 메인 제어부(630)는 데이터 생성부(610), 메인 저장부(620), 감지부(640), 정보 저장부(650) 및 파일 관리부(660)에 대한 전반적인 제어를 수행한다.
이와 같이, 데이터 생성부(610)를 제외한 메인 저장부(620), 메인 제어부(630), 감지부(640), 정보 저장부(650) 및 파일 관리부(660)의 동작은 도 3에 도시된 정보 보호 장치(300)의 메인 저장부(330), 메인 제어부(340), 감지부(350), 정보 저장부(360) 및 파일 관리부(370)의 동작과 유사하거나 동일한 것으로 이해될 수 있다.
이상은 도 6의 정보 보호 장치(600)에 포함되어 있는 각 구성요소가 하이퍼바이저의 제어에 따라 동작하는 것으로 기재하였으나, 모두 운영 체계에 의하여 동작을 수행하고 다만, 정보 저장부(650)가 한 번의 쓰기만을 허용하는 저장 매체인 것으로 구현될 수도 있다.
즉, 웜(WORM; Write Once Read Many) 디바이스, 일회용 컴팩트 디스크(CD; Compact Disc) 또는 일회용 DVD(Digital Versatile Disc)와 같이 한 번의 쓰기만을 허용하는 저장 매체가 정보 저장부(650)의 역할을 수행하는 것이다.
이러한 경우 정보 보호 장치(600)를 도 3의 정보 보호 장치(300)와 같이 호스트 시스템(200)과는 다른 별도의 하드웨어로 구현하거나, 전술한 바와 같이 각 구성요소가 하이퍼바이저의 제어에 따라 동작이 수행되도록 하지 않더라도 일단 생성된 로그 파일이 무단으로 편집되는 것은 원천적으로 방지될 수 있게 된다.
이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
311: 제 1 인터페이스 312: 제 2 인터페이스
313: 제 3 인터페이스 321: 제 1 인터페이스 제어부
322: 제 2 인터페이스 제어부 323: 제 3 인터페이스 제어부
330: 메인 저장부 340: 메인 제어부
350: 감지부 360: 정보 저장부
370: 파일 관리부

Claims (34)

  1. 호스트 시스템이 지원하는 통신 프로토콜을 이용하여 상기 호스트 시스템에 대한 로그 데이터를 수신하는 제 1 인터페이스;
    상기 제 1 인터페이스를 경유하여 상기 호스트 시스템으로부터 수신된 로그 데이터를 파일 형식으로 저장하는 저장부;
    상기 제 1 인터페이스와는 물리적으로 분리되어 구성된 제 2 인터페이스; 및
    상기 수신된 로그 데이터로 구성된 로그 파일에 대한 접근 명령이 상기 제 1 인터페이스를 통하여 수신된 경우 상기 로그 파일 내 기존 로그 데이터를 손상시키지 않는 제 1 접근만을 허용하고,
    상기 제 1 접근이 허용되는 접근 명령과 다른 접근 명령이, 상기 제 2 인터페이스를 통하여 수신된 경우에만 상기 로그 파일 내 기존 로그 데이터를 손상시키는 제 2 접근을 허용하는 파일 관리부를 포함하는 정보 보호 장치.
  2. 제 1항에 있어서,
    PCI(Peripheral Component Interconnect), SATA(Serial AT Attachment), SCSI(Small Computer System Interface) 및 DRAM(Dynamic Random Access Memory) 메모리 버스 중 적어도 하나의 통신 프로토콜로 로그 데이터의 송수신이 수행되도록 상기 제 1 인터페이스를 제어하는 제 1 인터페이스 제어부를 더 포함하는 정보 보호 장치.
  3. 삭제
  4. 제 1항에 있어서,
    LAN(Local Area Network), UART(Universal Asynchronous Receiver/Transmitter) 또는 USB(Universal Serial Bus) 중 적어도 하나의 통신 프로토콜로 로그 데이터를 수신하도록 상기 제 2 인터페이스를 제어하는 제 2 인터페이스 제어부를 더 포함하는 정보 보호 장치.
  5. 제 1항에 있어서,
    상기 제 1 인터페이스와는 물리적으로 분리되어 상기 로그 파일을 저장하는 외부 저장 장치와 로그 데이터의 송수신을 수행하는 제 3 인터페이스를 더 포함하는 정보 보호 장치.
  6. 제 5항에 있어서,
    SATA(Serial AT Attachment) 및 SCSI(Small Computer System Interface) 중 적어도 하나의 통신 프로토콜로 로그 데이터를 송수신하도록 상기 제 3 인터페이스를 제어하는 제 3 인터페이스 제어부를 더 포함하는 정보 보호 장치.
  7. 제 5항에 있어서,
    상기 파일 관리부는 상기 저장부 또는 상기 외부 저장 장치에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제하는데, 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는 경우 로그 파일의 삭제를 보류하는 정보 보호 장치.
  8. 제 7항에 있어서,
    상기 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는지 여부를 감지하는 감지부를 더 포함하는 정보 보호 장치.
  9. 삭제
  10. 제 1항에 있어서,
    상기 파일 관리부는 하이퍼바이저(hypervisor)의 제어에 따라 동작을 수행하는 정보 보호 장치.
  11. 로그 데이터를 생성하는 데이터 생성부;
    상기 생성된 로그 데이터를 파일 형식으로 저장하는 저장부; 및
    상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 파일 관리부를 포함하는데,
    상기 데이터 생성부, 상기 저장부 및 상기 파일 관리부는 하이퍼바이저의 제어에 따라 동작을 수행하고,
    상기 파일 관리부는 상기 저장부에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제하는데, 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는 경우 로그 파일의 삭제를 보류하는 정보 보호 장치.
  12. 삭제
  13. 제 11항에 있어서,
    상기 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는지 여부를 감지하는 감지부를 더 포함하는 정보 보호 장치.
  14. 제 11항에 있어서,
    상기 파일 관리부는 상기 접근 명령이 읽기 명령 또는 쓰기 명령인 경우 상기 로그 파일로의 접근을 허용하고, 상기 접근 명령이 수정 명령 또는 삭제 명령인 경우 상기 로그 파일로의 접근을 방지하는 정보 보호 장치.
  15. 삭제
  16. 삭제
  17. 제 1 인터페이스가 호스트 시스템이 지원하는 통신 프로토콜을 이용하여 상기 호스트 시스템에 대한 로그 데이터를 수신하는 단계;
    상기 제 1 인터페이스를 경유하여 상기 호스트 시스템으로부터 수신된 로그 데이터를 파일 형식으로 저장부에 저장하는 단계; 및
    상기 수신된 로그 데이터로 구성된 로그 파일에 대한 접근 명령이 상기 제 1 인터페이스를 통하여 수신된 경우 상기 로그 파일 내 기존 로그 데이터를 손상시키지 않는 제 1 접근만을 허용하고,
    상기 제 1 접근이 허용되는 접근 명령과 다른 접근 명령이, 상기 제 1 인터페이스와는 물리적으로 분리되어 구성된 제 2 인터페이스를 통하여 수신된 경우에만 상기 로그 파일 내 기존 로그 데이터를 손상시키는 제 2 접근을 허용하는 단계를 포함하는 정보 보호 방법.
  18. 제 17항에 있어서,
    PCI(Peripheral Component Interconnect), SATA(Serial AT Attachment), SCSI(Small Computer System Interface) 및 DRAM(Dynamic Random Access Memory) 메모리 버스 중 적어도 하나의 통신 프로토콜로 로그 데이터의 송수신이 수행되도록 상기 제 1 인터페이스를 제어하는 단계를 더 포함하는 정보 보호 방법.
  19. 제 17항에 있어서,
    LAN(Local Area Network), UART(Universal Asynchronous Receiver/Transmitter) 또는 USB(Universal Serial Bus) 중 적어도 하나의 통신 프로토콜로 로그 데이터를 수신하도록 상기 제 2 인터페이스를 제어하는 단계를 더 포함하는 정보 보호 방법.
  20. 제 17항에 있어서,
    상기 제 1 인터페이스와는 물리적으로 분리된 제 3 인터페이스가 SATA(Serial AT Attachment) 및 SCSI(Small Computer System Interface) 중 적어도 하나의 통신 프로토콜로 상기 로그 파일을 저장하는 외부 저장 장치와 로그 데이터의 송수신을 수행하도록 상기 제 3 인터페이스를 제어하는 단계를 더 포함하는 정보 보호 방법.
  21. 제 20항에 있어서,
    상기 저장부 또는 상기 외부 저장 장치에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제하는 단계를 더 포함하는 정보 보호 방법.
  22. 제 21항에 있어서,
    일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는지 여부를 감지하는 단계; 및
    상기 감지 결과에 따라 로그 파일의 삭제를 보류하는 단계를 더 포함하는 정보 보호 방법.
  23. 삭제
  24. 제 17항에 있어서,
    상기 로그 파일로의 접근 여부를 결정하는 단계는 하이퍼바이저(hypervisor)의 제어에 따라 수행되는 정보 보호 방법.
  25. 로그 데이터를 생성하는 단계;
    상기 생성된 로그 데이터를 파일 형식으로 저장하는 단계; 및
    상기 파일 형식으로 저장된 로그 파일에 대한 접근 명령의 종류에 따라 상기 로그 파일로의 접근 여부를 결정하는 단계를 포함하고,
    저장부에 저장된 로그 파일의 저장 경과 시간 또는 파일 크기가 사전에 설정된 임계치를 초과하는 경우 해당 로그 파일을 삭제하는 단계를 더 포함하되,
    일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는 경우 로그 파일의 삭제가 보류되고,
    상기 로그 데이터를 생성하는 단계, 상기 저장하는 단계 및 상기 결정하는 단계는 하이퍼바이저의 제어에 따른 동작인 정보 보호 방법.
  26. 삭제
  27. 제 25항에 있어서,
    상기 일정 기간 동안 새롭게 생성되는 로그 파일의 개수 또는 로그 파일의 갱신 회수가 사전에 설정된 임계치를 초과하는지 여부를 감지하는 단계를 더 포함하는 정보 보호 방법.
  28. 제 25항에 있어서,
    상기 로그 파일로의 접근 여부를 결정하는 단계는 상기 접근 명령이 읽기 명령 또는 쓰기 명령인 경우 상기 로그 파일로의 접근을 허용하고, 상기 접근 명령이 수정 명령 또는 삭제 명령인 경우 상기 로그 파일로의 접근을 방지하는 단계를 포함하는 정보 보호 방법.
  29. 삭제
  30. 삭제
  31. 제 1항에 있어서,
    상기 제 1 접근에 대응하는 접근 명령은 읽기 명령 또는 쓰기 명령을 포함하고,
    상기 제 2 접근에 대응하는 접근 명령은 수정 명령 또는 삭제 명령을 포함하는 정보 보호 장치.
  32. 제 31항에 있어서,
    상기 제 2 인터페이스를 통하여 상기 제 1 접근이 수신된 경우 상기 파일 관리부는 상기 제 1 접근을 허용하는 정보 보호 장치.
  33. 제 17항에 있어서,
    상기 제 1 접근에 대응하는 접근 명령은 읽기 명령 또는 쓰기 명령을 포함하고,
    상기 제 2 접근에 대응하는 접근 명령은 수정 명령 또는 삭제 명령을 포함하는 정보 보호 방법.
  34. 제 33항에 있어서,
    상기 제 2 인터페이스를 통하여 상기 제 1 접근이 수신된 경우 상기 제 1 접근을 허용하는 단계를 더 포함하는 정보 보호 방법.
KR1020130061015A 2013-05-29 2013-05-29 정보 보호 장치 및 방법 KR101532250B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130061015A KR101532250B1 (ko) 2013-05-29 2013-05-29 정보 보호 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130061015A KR101532250B1 (ko) 2013-05-29 2013-05-29 정보 보호 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130090853A KR20130090853A (ko) 2013-08-14
KR101532250B1 true KR101532250B1 (ko) 2015-07-06

Family

ID=49216286

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130061015A KR101532250B1 (ko) 2013-05-29 2013-05-29 정보 보호 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101532250B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116301579B (zh) * 2022-12-06 2024-01-12 无锡市海鹰加科海洋技术有限责任公司 对于自容式测量设备的文件存取系统及其存取方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052116A (ko) * 2001-12-20 2003-06-26 강현선 로그 데이터 기록장치 및 기록방법
JP2011028606A (ja) * 2009-07-28 2011-02-10 Kyocera Mita Corp ログ情報記憶制御装置、電子機器およびログ情報記憶制御方法
JP2012146271A (ja) * 2011-01-14 2012-08-02 Nippon Telegr & Teleph Corp <Ntt> ログ管理システム、ログ管理方法、ログ管理装置及びログ管理プログラム
KR20120111616A (ko) * 2011-04-01 2012-10-10 엘에스산전 주식회사 Plc 데이터 로그모듈 및 이의 데이터 저장 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052116A (ko) * 2001-12-20 2003-06-26 강현선 로그 데이터 기록장치 및 기록방법
JP2011028606A (ja) * 2009-07-28 2011-02-10 Kyocera Mita Corp ログ情報記憶制御装置、電子機器およびログ情報記憶制御方法
JP2012146271A (ja) * 2011-01-14 2012-08-02 Nippon Telegr & Teleph Corp <Ntt> ログ管理システム、ログ管理方法、ログ管理装置及びログ管理プログラム
KR20120111616A (ko) * 2011-04-01 2012-10-10 엘에스산전 주식회사 Plc 데이터 로그모듈 및 이의 데이터 저장 방법

Also Published As

Publication number Publication date
KR20130090853A (ko) 2013-08-14

Similar Documents

Publication Publication Date Title
JP4868614B2 (ja) ストレージ・デバイスによるデータ保護のための装置、システム、およびコンピュータ・プログラム
US20080083037A1 (en) Data loss and theft protection method
US9053321B2 (en) Antivirus system and method for removable media devices
JP6785967B2 (ja) フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
TWI711940B (zh) 用於資料儲存設備的安全快照管理的裝置、系統、及方法
KR101476222B1 (ko) 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
JP2009098719A (ja) 格納データ暗号化機能内蔵ストレージ装置の暗号鍵をバックアップ及びリストアする計算機システム
EP3627368B1 (en) Auxiliary memory having independent recovery area, and device applied with same
WO2020011121A1 (zh) 数据处理方法和存储设备
US9881154B2 (en) Hardware-assisted log protection devices and systems
US20150074820A1 (en) Security enhancement apparatus
US8307175B2 (en) Data recovery and overwrite independent of operating system
JP5334739B2 (ja) ログ監視プログラム、ログ監視システム
US20180239912A1 (en) Data security method and local device with switch(es)
RU84594U1 (ru) Накопитель с защитой от несанкционированного доступа к памяти
US20060015939A1 (en) Method and system to protect a file system from viral infections
US20150074824A1 (en) Secure data storage apparatus and secure io apparatus
KR101532250B1 (ko) 정보 보호 장치 및 방법
JP5310075B2 (ja) ログ収集システム、情報処理装置、ログ収集方法およびプログラム
US20200409573A1 (en) System for providing hybrid worm disk
CN108984114A (zh) 数据处理方法和固态硬盘
US20030131112A1 (en) Computer firewall system
KR102106689B1 (ko) 사용자 데이터 보호를 제공하는 데이터 가용성 ssd 아키텍처
US11720677B2 (en) Attached storage device for enhanced data and program protection
KR20240002326A (ko) 파일서버 내의 데이터를 멀웨어로부터 보호하는 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
G15R Request for early opening
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180307

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190618

Year of fee payment: 5