KR101999130B1 - 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법 - Google Patents

엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법 Download PDF

Info

Publication number
KR101999130B1
KR101999130B1 KR1020170160608A KR20170160608A KR101999130B1 KR 101999130 B1 KR101999130 B1 KR 101999130B1 KR 1020170160608 A KR1020170160608 A KR 1020170160608A KR 20170160608 A KR20170160608 A KR 20170160608A KR 101999130 B1 KR101999130 B1 KR 101999130B1
Authority
KR
South Korea
Prior art keywords
file
server
detection technique
confidential information
inspection
Prior art date
Application number
KR1020170160608A
Other languages
English (en)
Other versions
KR20190061831A (ko
Inventor
이상진
심제현
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020170160608A priority Critical patent/KR101999130B1/ko
Publication of KR20190061831A publication Critical patent/KR20190061831A/ko
Application granted granted Critical
Publication of KR101999130B1 publication Critical patent/KR101999130B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 따른 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템은, 단말에 설치되어 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하고, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 엔드포인트 에이전트; 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 파일 수신 서버; 및 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 분석 서버를 포함하는 것을 특징으로 한다.

Description

엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법{System and method of detecting confidential information based on 2-tier for endpoint DLP}
본 발명은 엔드포인트 DLP(Data Loss Prevention) 기술에 관한 것으로, 보다 상세하게는 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법에 관한 것이다.
본 특허출원은 2017년도 과학기술정보통신부에서 시행한 정보통신·방송 연구개발사업 '글로벌 SaaS 육성 프로젝트(GSIP) 산업혁신형 SaaS 개발지원'으로 수행한 것이다.
최근 기밀 정보 유출을 방지하기 위하여 엔드포인트(endpoint) DLP(Data Loss Prevention)가 주목받고 있다. 엔드포인트 DLP는 기업이나 조직 내의 PC 혹은 서버 등의 단말(endpoint)에서 기밀 정보가 불법적으로 외부로 유출되는 것을 막는 시스템을 말한다. 이러한 기밀 정보의 유출을 막기 위해서는 우선 기업이나 조직 내의 단말에 어떠한 기밀 정보가 저장되어 있는지를 검출하는 기능이 필요하다.
기밀 정보를 검출하는 대표적인 기법으로 정규 표현식을 이용한 문자열 찾기 기법이 있다. 이 기법은 워드, 엑셀, PDF 파일 등과 같은 텍스트 기반 파일에서 텍스트 문자열을 추출하고, 추출된 텍스트 문자열에서 미리 정의된 단어를 찾는 방법을 통하여 기밀 정보 여부를 판단한다. 이러한 단순 문자열 찾기 방식의 탐지 기법은 기밀 정보를 나타내는 소수의 텍스트 단어를 미리 정의해야 하며, 텍스트 기반 파일에 대해서만 적용할 수 있다는 제약이 있다.
이에 최근 들어 기밀 정보 검출을 위한 다양한 고도의 탐지 기법들이 제시되고 있다. 예를 들어, OCR(Optical character recognition; 광학 문자 인식) 기법을 이용하여 이미지 파일에서 텍스트를 추출할 수 있다. 혹은 폼 탐지(Form Recognition) 기법을 이용하여, 스캔한 이미지 문서 중에서 고객 정보가 기입된 특정 폼 문서를 검출할 수 있다. 매우 많은(예컨대 백만명이 넘는) 고객의 고유 식별 정보를 키워드로 등록하여 빠른 검출을 가능하게 하는 해시 기반 문자열 찾기 기법이 있다. 혹은 기밀 정보를 의미하는 단어를 추출하는 것이 아니라, 기밀 문서들 자체를 등록하여, 문서와 문서 간의 유사도를 비교하여 기밀 정보를 검출하는 문서 유사도 기반의 검출 기법이 있다.
하지만, 이러한 고도의 탐지 기법은 대용량의 메모리 혹은 고속의 CPU 등의 대규모 컴퓨팅 리소스를 필요로 한다는 제약이 있다. PC 혹은 서버 등의 단말 자체에서 이러한 대규모 리소스를 사용하는 것은 현실적으로 매우 어렵다. PC의 경우 개인적인 용도로 사용하는 장비이기 때문에 기본적으로 메모리와 CPU 성능이 뛰어난 경우가 많지 않다. 서버의 경우 메모리와 CPU 성능이 뛰어나기는 하지만, 서버가 원래 제공하는 서비스로 인해 여유 메모리 혹은 여유 CPU 자원이 부족하다. 따라서 이러한 엔드포인트의 특성으로 인해 엔드포인트에서 이러한 고도의 탐지 기법으로 파일을 직접 검사하는 것은 어려운 문제가 있다.
본 발명이 이루고자 하는 기술적 과제는 엔드포인트에서 사용하기 어려운 고도의 탐지 기법의 경우 파일을 분석 서버로 전송하여 분석 서버에서 고도의 탐지 기법으로 검사할 수 있도록 하는 2계층 기반의 기밀 정보 검출 시스템 및 방법을 제공하는 데 있다.
또한 본 발명이 이루고자 하는 기술적 과제는 이러한 2계층 기반의 기밀 정보 검출 시스템 및 방법을 운용함에 있어서 기업이나 조직 내에 많은 수의 단말이 존재함으로 인해 분석 서버로 일시에 많은 파일이 전송되거나 분석 서버에서 처리해야 할 파일들이 너무 많아져서 성능에 문제가 발생할 수 있으므로, 이를 효과적으로 방지하여 안정적으로 검사가 수행될 수 있도록 하는 2계층 기반의 기밀 정보 검출 시스템 및 방법을 제공하는 데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템은, 단말에 설치되어 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하고, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 엔드포인트 에이전트; 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 파일 수신 서버; 및 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 분석 서버를 포함하는 것을 특징으로 한다.
상기 엔드포인트 에이전트는, 상기 제2 탐지 기법이 텍스트 기반의 탐지 기법인 경우 검사 대상 파일을 상기 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 상기 파일 수신 서버로 전송할 수 있다.
상기 엔드포인트 에이전트는, 상기 분석 서버에서 상기 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 상기 파일 수신 서버로 전송하고자 할 경우, 이전에 상기 검사 대상 파일을 상기 파일 수신 서버로 전송한 적이 있고 현재 검사 대상 파일의 파일 크기, 최종 수정일 및 검사할 탐지 기법이 이전에 전송한 때와 동일하면 상기 검사 대상 파일 없이 상기 검사 대상 파일의 경로 정보를 전송할 수 있다.
상기 기밀 정보 검출 시스템은, 상기 분석 서버의 검사 결과를 저장하는 검사 결과 저장부를 더 포함하고, 상기 파일 수신 서버는 상기 파일 저장 장치에 검사 대상 파일 정보로서 검사 대상 파일 없이 상기 엔드포인트 에이전트로부터 수신된 경로 정보를 저장하고, 상기 분석 서버는 검사하고자 하는 검사 대상 파일 정보에 검사 대상 파일 없이 경로 정보가 포함된 경우 상기 검사 결과 저장부로부터 상기 경로 정보에 해당하는 검사 대상 파일의 기존 검사 결과를 획득하여 현재 검사 결과로서 상기 검사 결과 저장부에 저장할 수 있다.
상기 엔드포인트 에이전트는, 검사 대상 파일의 전송을 위해 상기 파일 수신 서버로 대기시간을 요청하고, 상기 파일 수신 서버는 상기 대기시간 요청에 응답하여 상기 엔드포인트 에이전트로 대기시간을 산출하여 통지하고, 상기 엔드포인트 에이전트는 상기 파일 수신 서버로부터 통지된 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송할 수 있다.
상기 엔드포인트 에이전트는 전송하고자 하는 검사 대상 파일들을 파일 큐에 적재하고, 상기 파일 큐에 적재된 검사 대상 파일들을 미리 설정된 최대 개수 이하만큼 및 미리 설정된 최대 전송 시간 이하 동안 상기 파일 수신 서버로 전송할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 방법은, 단말에 설치된 엔드포인트 에이전트가, 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하는 단계; 상기 엔드포인트 에이전트가, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 단계; 상기 파일 수신 서버가, 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 단계; 및 분석 서버가, 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 단계를 포함하는 것을 특징으로 한다.
상기 기밀 정보 검출 방법은, 상기 엔드포인트 에이전트가, 상기 제2 탐지 기법이 텍스트 기반의 탐지 기법인 경우 검사 대상 파일을 상기 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계를 더 포함할 수 있다.
상기 기밀 정보 검출 방법은, 상기 엔드포인트 에이전트가 상기 분석 서버에서 상기 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 상기 파일 수신 서버로 전송하고자 할 경우, 이전에 상기 검사 대상 파일을 상기 파일 수신 서버로 전송한 적이 있고 현재 검사 대상 파일의 파일 크기, 최종 수정일 및 검사할 탐지 기법이 이전에 전송한 때와 동일하면 상기 검사 대상 파일 없이 상기 검사 대상 파일의 경로 정보를 전송하는 단계를 더 포함할 수 있다.
상기 기밀 정보 검출 방법은 상기 분석 서버의 검사 결과를 저장하는 단계; 상기 파일 수신 서버는 상기 파일 저장 장치에 검사 대상 파일 정보로서 검사 대상 파일 없이 상기 엔드포인트 에이전트로부터 수신된 경로 정보를 저장하는 단계; 및 상기 분석 서버는 검사하고자 하는 검사 대상 파일 정보에 검사 대상 파일 없이 경로 정보가 포함된 경우 상기 경로 정보에 해당하는 검사 대상 파일의 기존에 저장된 검사 결과를 획득하여 현재 검사 결과로서 저장하는 단계를 더 포함할 수 있다.
상기 전송하는 단계는, 상기 엔드포인트 에이전트는, 검사 대상 파일의 전송을 위해 상기 파일 수신 서버로 대기시간을 요청하는 단계; 상기 파일 수신 서버는 상기 대기시간 요청에 응답하여 상기 엔드포인트 에이전트로 대기시간을 산출하여 통지하는 단계; 및 상기 엔드포인트 에이전트는 상기 파일 수신 서버로부터 통지된 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계를 포함할 수 있다.
상기 전송하는 단계는, 상기 대기시간을 요청하는 단계 이전에 상기 엔드포인트 에이전트가 전송하고자 하는 검사 대상 파일들을 파일 큐에 적재하는 단계를 더 포함하고, 상기 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계는, 상기 파일 큐에 적재된 검사 대상 파일들을 미리 설정된 최대 개수 이하만큼 및 미리 설정된 최대 전송 시간 이하 동안 상기 파일 수신 서버로 전송할 수 있다. 하는 것을 특징으로 하는 기밀 정보 검출 방법.
상기된 본 발명에 의하면, 엔드포인트에서 사용하기 어려운 고도의 탐지 기법의 경우 파일을 분석 서버로 전송하여 분석 서버에서 고도의 탐지 기법으로 검사할 수 있도록 하는 2계층 기반의 기밀 정보 검출 시스템 및 방법을 제공한다.
또한 상기된 본 발명에 의하면, 이러한 2계층 기반의 기밀 정보 검출 시스템 및 방법을 운용함에 있어서 기업이나 조직 내에 많은 수의 단말이 존재함으로 인해 분석 서버로 일시에 많은 파일이 전송되거나 분석 서버에서 처리해야 할 파일들이 너무 많아져서 성능에 문제가 발생하는 것을 효과적으로 방지하여 안정적으로 검사가 수행될 수 있도록 할 수 있다.
도 1은 본 발명의 일 실시예에 따른, 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템의 구성을 나타낸다.
도 2는 본 발명의 일 실시예에 따른 2계층 기반의 기밀 정보 검출 방법에서 엔드포인트 에이전트(120)의 구체적인 동작을 나타내는 흐름도이다.
도 3은 도 2의 260단계, 즉 엔드포인트 에이전트(120)가 파일 수신 서버(140)로 검사 대상 파일을 전송하는 과정을 구체적으로 나타낸 흐름도이다.
도 4는 엔드포인트 에이전트(120)의 파일 전송 쓰레드를 나타낸다.
도 5는 엔드포인트 에이전트(120)와 파일 수신 서버(140) 간의 전송 로드 조절(load balancing) 과정을 나타낸다.
도 6은 본 발명의 일 실시예에 따른 2계층 기반의 기밀 정보 검출 방법에서 분석 서버(160)의 검사 과정을 나타내는 흐름도이다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른, 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템의 구성을 나타낸다.
본 실시예에 따른 기밀 정보 검출 시스템은 정책 서버(110), 엔드포인트 에이전트(120), 에이전트 검사 결과 수신 서버(130), 파일 수신 서버(140), 파일 저장 장치(150), 분석 서버(160), 검사 결과 저장부(170)를 포함할 수 있다.
정책 서버(110)는 엔드포인트 에이전트(120) 및 분석 서버(160)에서 기밀 정보 검출을 위해 파일을 검사할 검사 정책을 관리하고, 검사 정책을 엔드포인트 에이전트(120)에 제공하며, 검사 정책 또는 관리자의 요청에 따라 엔드포인트 에이전트(120)로 검사 시작 명령을 전송한다. 검사 정책은 예를 들어, 에이전트 검사 결과 수신 서버(130) 및 파일 수신 서버(140)에 대한 접속 정보, 엔드포인트 에이전트(120)에서 검사할 파일의 속성 정보, 분석 서버(160)에서 검사할 파일의 속성 정보, 파일의 속성에 따라 엔드포인트 에이전트(120) 및/또는 분석 서버(160)가 적용할 탐지 기법, 기타 검사 관련 정보 등을 포함할 수 있다.
엔드포인트 에이전트(120)는 PC나 서버 등의 단말들 각각에 설치되며, 정책 서버(110)로부터 상기 검사 정책을 수신한다. 엔드포인트 에이전트(120)는 정책 서버(110)로부터 수신한 검사 시작 명령에 따라 단말에 저장된 파일에 기밀 정보가 있는지를 검사하고, 분석 서버(160)가 검사할 수 있도록 파일을 파일 수신 서버(140)로 전송한다.
엔드포인트 에이전트(120)가 검사할(또는 분석 서버(160)로 전송하여 검사할) 검사 대상 파일은 검사 정책에 의해 정해지는데, 검사 대상 파일은 해당 단말에 저장된 모든 파일일 수 있다. 검사 정책은 검사 대상에서 제외할 파일의 정보를 정의할 수 있는데, 예컨대 특정 디렉토리 경로, 특정 파일 이름, 파일 크기, 파일 생성일, 파일 최종 수정일, 파일 확장자 등의 속성에 의해 특정 파일들을 검사 대상에서 제외할 수 있다. 혹은 검사 정책은 검사 대상 파일의 정보를 정의할 수도 있는데, 예컨대 특정 디렉토리 경로, 특정 파일 이름, 파일 크기, 파일 생성일, 파일 최종 수정일, 파일 확장자 등의 속성에 의해 검사 대상 파일을 지정할 수도 있다.
엔드포인트 에이전트(120)는 제1 탐지 기법으로 파일을 검사하며, 제1 탐지 기법은 예컨대 정규 표현식을 이용한 문자열 찾기 기법을 포함할 수 있다. 엔드포인트 에이전트(120)는 검사 결과를 에이전트 검사 결과 수신 서버(130)로 전송하며, 에이전트 검사 결과 수신 서버(130)는 검사 결과를 해당 파일의 인덱스와 함께 검사 결과 저장부(170)에 저장한다. 여기서 파일의 인덱스는 엔드포인트 에이전트(120)의 식별자 및 해당 파일의 경로 정보를 포함할 수 있다.
엔드포인트 에이전트(120)는 검사 대상 파일을 분석 서버(160)에서 제2 탐지 기법으로 검사할 수 있도록 파일 수신 서버(140)로 전송한다. 그러면 파일 수신 서버(140)는 엔드포인트 에이전트(120)로부터 전송되는 검사 대상 파일을 파일 저장 장치(150)에 저장하고, 분석 서버(160)는 파일 저장 장치(150)로부터 검사 대상 파일을 가져와 검사 대상 파일에 기밀 정보가 있는지를 제2 탐지 기법으로 검사한다. 여기서 제2 탐지 기법은 이른바 고도의 탐지 기법인 OCR 기법, 폼 탐지 기법, 해시 기반 문자열 찾기 기법, 문서 유사도 기반의 검출 기법 등을 포함할 수 있다.
분석 서버(160)는 검사 결과를 해당 파일의 인덱스와 함께 검사 결과 저장부(170)에 저장한다. 이때 해당 검사 대상 파일에 대하여 엔드포인트 에이전트(120)의 검사 결과가 있는 경우, 엔드포인트 에이전트(120)의 검사 결과와 분석 서버(160)의 검사 결과가 병합되어 저장될 수 있다.
한편 검사 결과 저장부(170)는 검사 결과를 빠르게 검색할 수 있도록 검색 엔진을 제공하고, 검출 결과를 검색할 수 있는 검색 서버가 더 구비될 수 있다. 따라서 기업이나 조직의 보안 관리자는 검색 서버와 검색 엔진을 통하여 기밀 정보 검출 결과를 빠르게 검색할 수 있다.
본 발명의 실시예에서 엔드포인트 에이전트(120)는 검사 정책에 따라 검사 대상 파일을 선택적으로 파일 수신 서버(140)로 전송할 수 있다. 예컨대 엔드포인트 에이전트(120)는 검사 정책에 의해 특정 디렉토리 경로, 특정 파일 이름, 파일 크기, 파일 생성일, 파일 최종 수정일, 파일 확장자 등의 속성을 지니는 파일들만을 파일 수신 서버로 전송하여, 해당 파일들만이 분석 서버(160)에서 검사되도록 할 수 있다.
또한 본 발명의 실시예에서 엔드포인트 에이전트(120)는, 분석 서버(160)에서 검사할 제2 탐지 기법이 텍스트 기반의 탐지 기법(예컨대 해시 기반 문자열 찾기 기법 또는 문서 유사도 기반의 검출 기법 등)인 검사 대상 파일의 경우, 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 파일 수신 서버(140)로 전송하고, 만일 기밀 정보가 검출되지 않았다면 해당 검사 대상 파일을 전송하지 않을 수 있다. 텍스트 기반의 탐지 기법이 적용되는 검사 대상 파일의 경우 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출되지 않았다면 기밀 정보가 있을 가능성이 희박한 경우이고, 기밀 정보가 검출되었다면 해시 기반 문자열 찾기 기법 또는 문서 유사도 기반의 검출 기법 등으로 그것이 진정한 기밀 정보인지 보다 면밀히 검사할 필요가 있다. 따라서 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 파일 수신 서버(140)로 전송함으로써, 파일 수신 서버(140)로 전송되는 데이터의 양과 분석 서버(160)의 로드를 줄일 수 있다.
도 2는 본 발명의 일 실시예에 따른 2계층 기반의 기밀 정보 검출 방법에서 엔드포인트 에이전트(120)의 구체적인 동작을 나타내는 흐름도이다.
210단계에서, 파일이 검사 대상 파일인지 확인하고, 검사 대상 파일인 경우 220단계에서, 분석 서버(160)에서 검사할 제2 탐지 기법이 해시 기반 문자열 찾기 기법 또는 문서 유사도 기반의 검출 기법 등의 텍스트 기반의 탐지 기법인지 판단한다. 텍스트 기반의 탐지 기법인 경우, 230단계에서 검사 대상 파일을 제1 탐지 기법으로 검사한다. 제1 탐지 기법 역시 정규 표현식을 이용한 문자열 찾기 기법과 같은 텍스트 기반의 탐지 기법에 해당한다. 검사 결과 240단계에서 기밀 정보가 검출되었으면, 250단계에서 에이전트 검사 결과 수신 서버(130)로 검사 결과를 전송한다.
상기 220단계에서, 분석 서버(160)에서 검사할 제2 탐지 기법이 텍스트 기반의 탐지 기법이 아니거나(예컨대 OCR 기법, 폼 탐지 기법 등), 상기 240단계에서 기밀 정보가 검출된 경우, 260단계에서 파일 수신 서버(140)로 검사 대상 파일 정보 및 검사 요청을 전송한다. 따라서 260단계에서 파일 수신 서버(140)로 전송되는 검사 대상은, 해당 파일에 적용할 제2 탐지 기법이 텍스트 기반의 탐지 기법인 경우 제1 탐지 기법을 통하여 기밀 정보가 검출된 파일 또는 적용할 제2 탐지 기법이 텍스트 기반의 탐지 기법이 아닌(따라서 엔드포인트 에이전트(120)가 검사하지 않은) 파일이 된다.
엔드포인트 에이전트(120)가 전송하는 검사 대상 파일 정보에는 전형적으로, 검사 대상 파일과, 엔드포인트 에이전트(120)의 식별자 및 해당 검사 대상 파일의 경로 정보가 포함될 수 있다. 경우에 따라서는 검사 대상 파일 정보에서 검사 대상 파일 자체는 제외될 수 있는데, 이에 관해서는 도 3을 참조하여 후술하기로 한다.
다음으로 270단계에서 엔드포인트 에이전트(120)는 검사 대상 파일의 파일 전송 이력 및 해당 검사 관련 정보를 저장한다. 이때 파일 전송 이력에는 파일 경로, 파일명, 파일 크기, 최종 수정일 등이 포함될 수 있고, 검사 관련 정보에는 분석 서버(160)에서 적용할 탐지 기법 등이 포함될 수 있다.
도 3은 도 2의 260단계, 즉 엔드포인트 에이전트(120)가 파일 수신 서버(140)로 검사 대상 파일을 전송하는 과정을 구체적으로 나타낸 흐름도이다.
310단계에서, 검사 대상 파일에 대하여 파일 전송 이력(도 2의 270단계 참조)이 있는지, 즉 해당 검사 대상 파일을 이전에 파일 수신 서버(140)로 전송한 적이 있는지 판단한다. 파일 전송 이력에 해당 검사 대상 파일과 동일한 경로의 동일한 파일명이 존재하는 경우가 이전에 전송한 적이 있는 경우에 해당할 것이다.
310단계에서, 해당 검사 대상 파일을 이전에 파일 수신 서버(140)로 전송한 적이 없는 경우, 즉 최초 전송인 경우 320단계에서 해당 검사 대상 파일을 포함하는 검사 대상 파일 정보 및 어떤 탐지 기법을 사용해야 하며 해당 탐지 기법에서 사용되는 추가 파라미터 등의 검사 관련 정보를 포함하는 검사 요청을 파일 수신 서버(140)로 전송한다. 그러면 파일 수신 서버(140)는 검사 장치에 엔드포인트 에이전트(120)로부터 전송된 검사 대상 파일 정보 및 검사 요청을 저장한다.
310단계에서, 해당 검사 대상 파일을 이전에 파일 수신 서버(140)로 전송한 적이 있는 경우, 330단계에서, 현재 검사 대상 파일의 파일 크기, 최종 수정일 및 분석 서버(160)에서 적용할 탐지 기법이 이전에 전송한 때와 동일한지, 즉 파일 전송 이력 및 검사 관련 정보에 나타난 파일 크기, 최종 수정일 및 탐지 기법과 동일한지 판단한다.
330단계에서 만일 동일하지 않다면, 예컨대 파일 크기가 달라졌거나, 최종 수정일이 달라졌거나, 적용할 탐지 기법이 상이하다면, 320단계에서, 해당 검사 대상 파일을 포함하는 검사 대상 파일 정보 및 검사 요청을 파일 수신 서버(140)로 전송함으로써 분석 서버(160)에서 검사가 수행될 수 있도록 한다.
330단계에서 만일 동일하다면, 340단계에서, 파일 수신 서버(140)로 검사 대상 파일 자체는 전송하지 않고, 검사 대상 파일을 제외한 검사 대상 파일 정보, 즉 엔드포인트 에이전트(120)의 식별자 및 해당 검사 대상 파일의 경로 정보만을 포함하는 검사 대상 파일 정보와 검사 요청을 전송한다. 그러면 파일 수신 서버(140)는 파일 저장 장치(150)에 검사 대상 파일을 제외한 엔드포인트 에이전트(120)의 식별자 및 해당 검사 대상 파일의 경로 정보만을 포함하는 검사 대상 파일 정보와 검사 요청을 저장한다.
현재 검사 대상 파일을 이전에 파일 수신 서버(140)로 전송한 적이 있고 파일 크기, 최종 수정일 및 적용할 탐지 기법이 이전에 전송한 때와 동일하다면, 분석 서버(160)가 실제로 다시 검사하는 것은 결국 중복 검사를 하는 것이 된다. 따라서 본 발명의 실시예에서는 이러한 경우 검사 대상 파일을 굳이 다시 전송하지 않고 저용량의 검사 대상 파일 정보만을 전송하여 분석 서버(160)가 이를 가지고 이전에 수행된 검사 결과를 다시 활용할 수 있도록 함으로써, 파일 수신 서버(140)로 전송되는 데이터의 양과 분석 서버(160)의 로드를 줄일 수 있다.
또한 본 발명의 실시예에 의하면, 엔드포인트 에이전트(120)와 파일 수신 서버(140) 간의 전송 로드 조절(load balancing)을 통하여 다수의 엔드포인트 에이전트(120)들이 파일 수신 서버(140)로 파일을 안정적으로 전송할 수 있도록 한다.
이를 위하여, 우선 엔드포인트 에이전트(120)는 전송할 검사 대상 파일 정보 및 검사 요청을 자신이 관리하는 업로드 파일 큐에 저장한다. 도 4는 엔드포인트 에이전트(120)의 파일 전송 쓰레드를 나타낸다. 엔드포인트 에이전트(120)의 파일 전송 쓰레드는 전송할 검사 대상 파일 정보 및 검사 요청을 업로드 파일 큐에 적재하고, 검사 대상 파일 정보 및 검사 요청을 업로드 파일 큐에서 하나씩 꺼내어 파일 수신 서버(140)로 전송한다.
도 5는 엔드포인트 에이전트(120)와 파일 수신 서버(140) 간의 전송 로드 조절(load balancing) 과정을 나타낸다.
엔드포인트 에이전트(120)는, 업로드 파일 큐에 전송해야 할 파일이 있는 경우, 510단계에서 파일 수신 서버(140)로 대기시간을 요청함으로써 파일 수신 서버(140)로의 접속을 시도한다. 이때 엔드포인트 에이전트(120)는 파일 수신 서버(140)로 자신의 식별자를 함께 전송한다.
파일 수신 서버(140)는 일정 수의 엔드포인트 에이전트(120)들로부터 동시에 파일을 수신할 수 있는 동시 접속 큐를 가진다. 대기시간 요청을 받은 파일 수신 서버(140)는 520단계에서 동시 접속 큐의 상태를 확인하여 대기시간을 산출하고, 530단계에서 엔드포인트 에이전트(120)로 대기시간을 통지한다. 이때 만일 동시 접속 큐의 크기보다 현재 파일을 전송하는 엔드포인트 에이전트(120)의 수가 적다면, 대기시간은 0으로 산출되어 엔드포인트 에이전트(120)로 통지된다. 파일 수신 서버(140)는 대기시간을 0으로 통지한 경우 동시 접속 큐의 상태를 갱신한다.
540단계에서, 엔드포인트 에이전트(120)는 통지된 대기시간이 0이 아니면 해당 대기시간만큼 대기한 후 다시 대기시간을 요청한다. 통지된 대기시간이 0이면, 550단계에서 엔드포인트 에이전트(120)는 업로드 파일 큐에 적재된 검사 대상 파일 정보를 파일 수신 서버(140)로 전송하기 시작한다. 엔드포인트 에이전트(120)는 파일 전송을 시작하면, 검사 대상 파일들을 미리 설정된 최대 전송 개수 이하만큼 및 미리 설정된 최대 전송 시간 이하 동안(570단계) 파일 수신 서버(140)로 전송할 수 있다. 엔드포인트 에이전트(120)는 업로드 파일 큐에 전송할 파일이 많이 쌓여 있더라도 최대 전송 개수와 최대 전송 시간의 제약에 의해 정해진 개수 또는 정해진 시간 동안만 파일을 파일 수신 서버(140)로 전송하게 된다.
560단계에서, 파일 수신 서버(140)는 엔드포인트 에이전트(140)로부터 전송되는 검사 대상 파일 정보들을 파일 저장 장치(150)에 저장한다. 파일 저장 장치(150)는 분산 파일 시스템으로서 여러 대의 서버가 공유하여 파일의 읽기 및 쓰기가 가능할 수 있다.
파일 전송이 종료되면 580단계에서 엔드포인트 에이전트(120)는 파일 수신 서버(140)로 전송 종료를 통지한다. 전송 종료를 통지받은 파일 수신 서버(140)는 590단계에서 동시 접속 큐의 현재 접속 에이전트 수를 감소시킨다. 또한 파일 수신 서버(140)는 주기적으로 더미(dummy) 접속을 제거하여, 동시 접속 큐에 불필요한 접속이 남아 있지 않도록 할 수 있다.
대규모의 기업이나 조직의 경우, 여러 대의 파일 수신 서버(140)가 구비될 수 있다. 파일 수신 서버(140)가 여러 대일 경우, 정책 서버(110)는 각 엔드포인트 에이전트(120)가 어느 파일 수신 서버(140)에 접속해야 하는지 해당 접속 정보를 제공할 수 있다.
앞서 설명한 바와 같이 본 발명의 실시예에서는 분석 서버(160)에서 이미 검사된 적이 있는 검사 대상 파일의 경우 엔드포인트 에이전트(120)가 검사 대상 파일 자체를 굳이 다시 전송하지 않고 저용량의 검사 대상 파일 정보만을 전송하여 분석 서버(160)가 이전에 수행된 검사 결과를 다시 활용할 수 있도록 한다. 도 6은 이를 위한 분석 서버(160)의 검사 과정을 나타내는 흐름도이다.
610단계에서, 분석 서버(160)는 주기적으로 파일 저장 장치(150)에서 검사 대상 파일 정보를 가져온다.
620단계에서 검사 대상 파일 정보에 검사 대상 파일이 포함되어 있다면, 630단계로 진행하여 분석 서버(160)는 해당 검사 대상 파일을 주어진 검사 관련 정보에 따라 제2 탐지 기법으로 검사하고, 670단계에서 검사 결과를 검사 결과 저장부(170)에 저장한다.
620단계에서 검사 대상 파일 정보에 검사 대상 파일이 포함되어 있지 않다면(이 경우는 이전에 엔드포인트 에이전트(120)로부터 검사 대상 파일이 전송된 경우로서, 검사 대상 파일 정보는 엔드포인트 에이전트(120)의 식별자와 해당 검사 대상 파일의 경로 정보만을 포함한다), 640단계로 진행하여 분석 서버(160)는 이전에 수신된 검사 요청에 따른 검사가 완료되었는지 확인한다.
640단계에서, 이전 검사 요청에 따른 검사가 완료되지 않은 경우, 650단계에서 분석 서버(160)는 다음 검사 주기에 해당 검사 대상 파일 정보를 처리할 수 있도록 검사 대상 파일 정보를 보관한다.
640단계에서, 이전 검사 요청에 따른 검사가 완료되어 검사 결과가 검사 결과 저장부(170)에 저장된 경우, 분석 서버(160)는 검사 결과 저장부(170)에서 검사 대상 파일 정보에 포함된 엔드포인트 에이전트(120)의 식별자와 검사 대상 파일의 경로 정보에 해당하는 검사 대상 파일의 기존 검사 결과를 획득한다.
그리고 670단계에서, 획득된 기존 검사 결과를 현재 검사 결과로서 검사 결과 저장부(170)에 저장한다.
본 발명의 실시예들에 따른 장치는 프로세서, 프로그램 데이터를 저장하고 실행하는 메모리, 디스크 드라이브와 같은 영구 저장부(permanent storage), 외부 장치와 통신하는 통신 포트, 터치 패널, 키(key), 버튼 등과 같은 사용자 인터페이스 장치 등을 포함할 수 있다. 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 상기 프로세서상에서 실행 가능한 컴퓨터가 읽을 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체 상에 저장될 수 있다. 여기서 컴퓨터가 읽을 수 있는 기록 매체로 마그네틱 저장 매체(예컨대, ROM(read-only memory), RAM(random-access memory), 플로피 디스크, 하드 디스크 등) 및 광학적 판독 매체(예컨대, 시디롬(CD-ROM), 디브이디(DVD: Digital Versatile Disc)) 등이 있다. 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템들에 분산되어, 분산 방식으로 컴퓨터가 판독 가능한 코드가 저장되고 실행될 수 있다. 매체는 컴퓨터에 의해 판독가능하며, 메모리에 저장되고, 프로세서에서 실행될 수 있다.
본 발명의 실시예들은 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들은 특정 기능들을 실행하는 다양한 개수의 하드웨어 또는/및 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 실시예는 하나 이상의 마이크로프로세서들의 제어 또는 다른 제어 장치들에 의해서 다양한 기능들을 실행할 수 있는, 메모리, 프로세싱, 로직(logic), 룩 업 테이블(look-up table) 등과 같은 집적 회로 구성들을 채용할 수 있다. 본 발명에의 구성 요소들이 소프트웨어 프로그래밍 또는 소프트웨어 요소들로 실행될 수 있는 것과 유사하게, 실시예는 데이터 구조, 프로세스들, 루틴들 또는 다른 프로그래밍 구성들의 조합으로 구현되는 다양한 알고리즘을 포함하여, C, C++, 자바(Java), 어셈블러(assembler) 등과 같은 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능적인 측면들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 실시예는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다. "매커니즘", "요소", "수단", "구성"과 같은 용어는 넓게 사용될 수 있으며, 기계적이고 물리적인 구성들로서 한정되는 것은 아니다. 상기 용어는 프로세서 등과 연계하여 소프트웨어의 일련의 처리들(routines)의 의미를 포함할 수 있다.
실시예에서 설명하는 특정 실행들은 일 실시예들로서, 어떠한 방법으로도 실시 예의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어 시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, "필수적인", "중요하게" 등과 같이 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (12)

  1. 삭제
  2. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템으로서,
    단말에 설치되어 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하고, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 엔드포인트 에이전트;
    상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 파일 수신 서버; 및
    상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 분석 서버를 포함하고,
    상기 엔드포인트 에이전트는, 상기 제2 탐지 기법이 텍스트 기반의 탐지 기법인 경우 검사 대상 파일을 상기 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 상기 파일 수신 서버로 전송하는 것을 특징으로 하는 기밀 정보 검출 시스템.
  3. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템으로서,
    단말에 설치되어 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하고, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 엔드포인트 에이전트;
    상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 파일 수신 서버; 및
    상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 분석 서버를 포함하고,
    상기 엔드포인트 에이전트는, 상기 분석 서버에서 상기 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 상기 파일 수신 서버로 전송하고자 할 경우,
    이전에 상기 검사 대상 파일을 상기 파일 수신 서버로 전송한 적이 있고 현재 검사 대상 파일의 파일 크기, 최종 수정일 및 검사할 탐지 기법이 이전에 전송한 때와 동일하면 상기 검사 대상 파일 없이 상기 검사 대상 파일의 경로 정보를 전송하는 것을 특징으로 하는 기밀 정보 검출 시스템.
  4. 제3항에 있어서,
    상기 분석 서버의 검사 결과를 저장하는 검사 결과 저장부를 더 포함하고,
    상기 파일 수신 서버는 상기 파일 저장 장치에 검사 대상 파일 정보로서 검사 대상 파일 없이 상기 엔드포인트 에이전트로부터 수신된 경로 정보를 저장하고,
    상기 분석 서버는 검사하고자 하는 검사 대상 파일 정보에 검사 대상 파일 없이 경로 정보가 포함된 경우 상기 검사 결과 저장부로부터 상기 경로 정보에 해당하는 검사 대상 파일의 기존 검사 결과를 획득하여 현재 검사 결과로서 상기 검사 결과 저장부에 저장하는 것을 특징으로 하는 기밀 정보 검출 시스템.
  5. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 시스템으로서,
    단말에 설치되어 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하고, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 엔드포인트 에이전트;
    상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 파일 수신 서버; 및
    상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 분석 서버를 포함하고,
    상기 엔드포인트 에이전트는, 검사 대상 파일의 전송을 위해 상기 파일 수신 서버로 대기시간을 요청하고,
    상기 파일 수신 서버는 상기 대기시간 요청에 응답하여 상기 엔드포인트 에이전트로 대기시간을 산출하여 통지하고,
    상기 엔드포인트 에이전트는 상기 파일 수신 서버로부터 통지된 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송하는 것을 특징으로 하는 기밀 정보 검출 시스템.
  6. 제5항에 있어서,
    상기 엔드포인트 에이전트는 전송하고자 하는 검사 대상 파일들을 파일 큐에 적재하고, 상기 파일 큐에 적재된 검사 대상 파일들을 미리 설정된 최대 개수 이하만큼 및 미리 설정된 최대 전송 시간 이하 동안 상기 파일 수신 서버로 전송하는 것을 특징으로 하는 기밀 정보 검출 시스템.
  7. 삭제
  8. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 방법으로서,
    단말에 설치된 엔드포인트 에이전트가, 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하는 단계;
    상기 엔드포인트 에이전트가, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 단계;
    상기 파일 수신 서버가, 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 단계; 및
    분석 서버가, 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 단계를 포함하고,
    상기 엔드포인트 에이전트가, 상기 제2 탐지 기법이 텍스트 기반의 탐지 기법인 경우 검사 대상 파일을 상기 제1 탐지 기법으로 검사한 결과 기밀 정보가 검출된 경우에 한하여 해당 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 기밀 정보 검출 방법.
  9. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 방법으로서,
    단말에 설치된 엔드포인트 에이전트가, 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하는 단계;
    상기 엔드포인트 에이전트가, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 단계;
    상기 파일 수신 서버가, 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 단계; 및
    분석 서버가, 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 단계를 포함하고,
    상기 엔드포인트 에이전트가 상기 분석 서버에서 상기 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 상기 파일 수신 서버로 전송하고자 할 경우,
    이전에 상기 검사 대상 파일을 상기 파일 수신 서버로 전송한 적이 있고 현재 검사 대상 파일의 파일 크기, 최종 수정일 및 검사할 탐지 기법이 이전에 전송한 때와 동일하면 상기 검사 대상 파일 없이 상기 검사 대상 파일의 경로 정보를 전송하는 단계를 더 포함하는 것을 특징으로 하는 기밀 정보 검출 방법.
  10. 제9항에 있어서,
    상기 분석 서버의 검사 결과를 저장하는 단계;
    상기 파일 수신 서버는 상기 파일 저장 장치에 검사 대상 파일 정보로서 검사 대상 파일 없이 상기 엔드포인트 에이전트로부터 수신된 경로 정보를 저장하는 단계; 및
    상기 분석 서버는 검사하고자 하는 검사 대상 파일 정보에 검사 대상 파일 없이 경로 정보가 포함된 경우 상기 경로 정보에 해당하는 검사 대상 파일의 기존에 저장된 검사 결과를 획득하여 현재 검사 결과로서 저장하는 단계를 더 포함하는 것을 특징으로 하는 기밀 정보 검출 방법.
  11. 엔드포인트 DLP를 위한 2계층 기반의 기밀 정보 검출 방법으로서,
    단말에 설치된 엔드포인트 에이전트가, 검사 대상 파일에 기밀 정보가 있는지를 제1 탐지 기법으로 검사하는 단계;
    상기 엔드포인트 에이전트가, 분석 서버에서 제2 탐지 기법으로 검사할 수 있도록 검사 대상 파일을 파일 수신 서버로 전송하는 단계;
    상기 파일 수신 서버가, 상기 엔드포인트 에이전트로부터 전송되는 검사 대상 파일을 파일 저장 장치에 저장하는 단계; 및
    분석 서버가, 상기 파일 저장 장치에 저장된 검사 대상 파일에 기밀 정보가 있는지를 상기 제2 탐지 기법으로 검사하는 단계를 포함하고,
    상기 전송하는 단계는,
    상기 엔드포인트 에이전트는, 검사 대상 파일의 전송을 위해 상기 파일 수신 서버로 대기시간을 요청하는 단계;
    상기 파일 수신 서버는 상기 대기시간 요청에 응답하여 상기 엔드포인트 에이전트로 대기시간을 산출하여 통지하는 단계; 및
    상기 엔드포인트 에이전트는 상기 파일 수신 서버로부터 통지된 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계를 포함하는 것을 특징으로 하는 기밀 정보 검출 방법.
  12. 제11항에 있어서,
    상기 전송하는 단계는, 상기 대기시간을 요청하는 단계 이전에 상기 엔드포인트 에이전트가 전송하고자 하는 검사 대상 파일들을 파일 큐에 적재하는 단계를 더 포함하고,
    상기 대기시간에 따라 검사 대상 파일을 상기 파일 수신 서버로 전송하는 단계는, 상기 파일 큐에 적재된 검사 대상 파일들을 미리 설정된 최대 개수 이하만큼 및 미리 설정된 최대 전송 시간 이하 동안 상기 파일 수신 서버로 전송하는 것을 특징으로 하는 기밀 정보 검출 방법.
KR1020170160608A 2017-11-28 2017-11-28 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법 KR101999130B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170160608A KR101999130B1 (ko) 2017-11-28 2017-11-28 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170160608A KR101999130B1 (ko) 2017-11-28 2017-11-28 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20190061831A KR20190061831A (ko) 2019-06-05
KR101999130B1 true KR101999130B1 (ko) 2019-07-11

Family

ID=66845415

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170160608A KR101999130B1 (ko) 2017-11-28 2017-11-28 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101999130B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102619522B1 (ko) * 2021-11-26 2023-12-29 주식회사 스파이스웨어 인공지능 기반의 기밀정보 유출 탐지 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110219450A1 (en) * 2010-03-08 2011-09-08 Raytheon Company System And Method For Malware Detection
KR101482868B1 (ko) 2013-07-24 2015-01-15 닉스테크 주식회사 Dlp 성능 향상을 위한 분산 인덱싱 시스템
JP5833146B2 (ja) 2012-02-09 2015-12-16 株式会社日立製作所 機密データ漏えい防止装置および方法
US9805204B1 (en) 2015-08-25 2017-10-31 Symantec Corporation Systems and methods for determining that files found on client devices comprise sensitive information

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100882349B1 (ko) * 2006-09-29 2009-02-12 한국전자통신연구원 기밀문서 유출 방지 방법 및 장치
KR101602480B1 (ko) * 2014-09-04 2016-03-15 숭실대학교산학협력단 불법 사이트 차단 시스템 및 방법, 이를 수행하기 위한 기록매체

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110219450A1 (en) * 2010-03-08 2011-09-08 Raytheon Company System And Method For Malware Detection
JP5833146B2 (ja) 2012-02-09 2015-12-16 株式会社日立製作所 機密データ漏えい防止装置および方法
KR101482868B1 (ko) 2013-07-24 2015-01-15 닉스테크 주식회사 Dlp 성능 향상을 위한 분산 인덱싱 시스템
US9805204B1 (en) 2015-08-25 2017-10-31 Symantec Corporation Systems and methods for determining that files found on client devices comprise sensitive information

Also Published As

Publication number Publication date
KR20190061831A (ko) 2019-06-05

Similar Documents

Publication Publication Date Title
KR101724307B1 (ko) 악성코드를 검출하는 방법 및 시스템
CN101288261B (zh) 用于检测对等网络软件的系统和方法
JP2009512063A (ja) ソフトウェア・アドイン・コンポーネントの発見、資格認定、および起動すること
CN102414677A (zh) 包括自动分类规则的数据分类流水线
US9514176B2 (en) Database update notification method
CN112887341A (zh) 一种外部威胁监控方法
CN114003794A (zh) 资产收集方法、装置、电子设备和介质
KR20160145018A (ko) 입력 데이터의 조건부 저장 기법
KR101999130B1 (ko) 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법
US9398041B2 (en) Identifying stored vulnerabilities in a web service
US10789067B2 (en) System and method for identifying open source usage
CN109145220B (zh) 数据处理方法、装置及电子设备
CN115812198A (zh) 利用多协议数据访问的一致实体标记
CN112579858A (zh) 一种数据爬取方法及装置
KR100977150B1 (ko) 웹 사이트 점검 방법 및 그 시스템
CN111723373A (zh) 复合式二进制文档的漏洞利用文件检测方法及装置
US20230359463A1 (en) Active testing techniques for identifying vulnerabilities in computing interfaces using dependency resolution
CN110347941B (zh) 用于标识网页数据片段的未知属性的系统和方法
KR20100049514A (ko) 웹 사이트 점검 방법 및 그 시스템
US20050108194A1 (en) System for verifying a state of an environment
US20230359924A1 (en) Techniques for actively identifying parameters of computing interfaces based on requests and for active testing using such parameters
KR102623432B1 (ko) 악성코드 메타 정보 수집 장치 및 방법
US20230334158A1 (en) Data processing systems and methods for automatically detecting target data transfers and target data processing
JP7131200B2 (ja) データ処理装置、データ処理プログラム、データ処理方法、及びデータ処理システム
US9185090B1 (en) Method and apparatus for simplified, policy-driven authorizations

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right