KR102112315B1 - 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템 - Google Patents

디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템 Download PDF

Info

Publication number
KR102112315B1
KR102112315B1 KR1020180098364A KR20180098364A KR102112315B1 KR 102112315 B1 KR102112315 B1 KR 102112315B1 KR 1020180098364 A KR1020180098364 A KR 1020180098364A KR 20180098364 A KR20180098364 A KR 20180098364A KR 102112315 B1 KR102112315 B1 KR 102112315B1
Authority
KR
South Korea
Prior art keywords
data
random number
area
storage medium
input
Prior art date
Application number
KR1020180098364A
Other languages
English (en)
Other versions
KR20200022593A (ko
Inventor
최운영
Original Assignee
최운영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최운영 filed Critical 최운영
Priority to KR1020180098364A priority Critical patent/KR102112315B1/ko
Publication of KR20200022593A publication Critical patent/KR20200022593A/ko
Application granted granted Critical
Publication of KR102112315B1 publication Critical patent/KR102112315B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 사용자로부터 입력된 유저 입력들에 기초하여 수행되는 동작들 각각에 대응하는 복수의 데이터를 저장하는 저장 매체; 복수의 데이터 각각이 기설정된 기준에 부합하는지 여부를 판단하는 에이전트 유틸리티; 저장 매체의 일부 영역을 이용하여 판단 결과로서 기설정된 기준에 부합하는 데이터를 저장하는 보호 영역; 및 에이전트 유틸리티에 의해 저장된 데이터를 외부 서버에게 전송하는 통신부를 포함하고, 보호 영역은 사용자가 접근할 수 없는 영역으로서, 보호 영역은 저장 매체에 대한 정보를 나타내는 화면에 표시되지 않는 기술적 사상을 개시한다.

Description

디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템{System for Tracing Data Thieving by Using Assigned Area of Hard Disk Drive}
본 발명은 기업의 영업기밀 유출 방지에 관한 것으로서, 보다 자세하게는, 데이터 탈취 감지 장치의 하드디스크 드라이브 저장 공간 중 사용자(데이터 탈취자)가 접근할 수 없는 영역에 저장되는 각종 기록을 이용하여 상기 데이터 탈취 감지 장치를 통해 기업의 정보가 외부로 반출되었는지 여부를 판단하고 증거로 활용하는 장치에 관한 기술분야이다.
IT 분야 전문 시장조사기관 Technavio에 따르면, 전 세계 사이버보안 시장은 2016년 1,003억 6천만 달러 규모에서 5년간 연평균 12.9%로 성장해 2021년에는 1,839억 6천만 달러 규모에 이를 전망하고 있다.
특히, IT 분야의 최선두 자리를 지키고 있는 미국의 정보보호 시장 규모는 세계 약 1/3 이상으로 최고 수준을 유지하고 있으며, 특히 미국 정부의 투자도 적극적으로 이루어지고 있다.
미국 정부 중에서는 국방부(DoD), 국토안보부(DHS)에 보안 예산이 집중해 있으며, 미 통신산업협회(TIA)는 사이버보안에 투입되는 기업과 정부의 예산 규모를 합산할 경우, '17년 기준 약 635억 달러 수준이 될 것으로 추산되고 있다.
현재로서는 미국 정보보안 시장에서 가장 큰 비중을 차지하는 것은 네트워크 보안 부문이지만, 최근 클라우드 컴퓨팅 환경이 도래하면서 클라우드 보안이 유망 성장 분야로 부상하고 있기도 하다.
시장조사기관 Barnes & Co.의 조사에 따르면, 물리보안 시장 규모는 업체들의 매출 기준으로, 2017년 188억 8,690만 달러에 이르며 증가세를 보일 것으로 관측되고 있다.
이러한 정보 보안 시장에 있어서 정보 보안의 사전적 차단을 위한 기술뿐만 아니라, 최근에는 기술 정보 유출에 따른 사후적인 입증과 검증 그리고 소송에 대한 기술적 성장도 크게 진행되고 있는데, 그 대표적인 예가 바로 디지털 자취의 추적을 통해 기업 기밀의 유출에 대한 증거 및 입증 자료로 활용되는 디지털 포렌식 관련 기술이다.
디지털 포렌식 관련된 기술을 최근에 각광을 받는 분야이기도 하나, 다른 정보 보안 분야에 비해 최근에서야 비로소 크게 주목받는 분야에 해당되는바, 타 기술들에 비하여 기술적인 혁신의 시도는 상대적으로 특정 전문가를 중심으로 이루어지고 있는 것이 현실이다.
컴퓨터와 관련된 정보 보안의 선행 특허문헌으로는 "컴퓨터 시스템의 보안방법(공개번호 제10-2003-0068244호, 이하 특허문헌1이라 한다)"이 존재한다.
특허문헌1의 경우, 컴퓨터 시스템의 보안기능을 수행하는 방법에 관한 것으로서, 사용자별 패스워드가 기 등록저장되어 있으며, 또한 하드디스크의 데이터 저장영역이 사용자별 구분할당되어 있는 상태에서, 컴퓨터 시스템의 파워온시, 사용자의 패스워드 입력을 요청하는 제1단계; 입력된 패스워드와 기 등록저장되어져 있는 패스워드가 동일한 경우에는, 비휘발성 메모리에 기 저장된 하드디스크에 대한 분할정보 중 입력된 패스워드와 연계저장되어 있는 분할정보를 독출하는 제2단계; 및 독출된 정보로 하드디스크의 마스터 부트 섹터(Master Boot Sector)영역의 기록정보를 변경시키는 제3단계를 포함하는 기술적 사상을 개시한다.
또 다른 관련 기술을 소개하는 선행 특허문헌으로는 "하드디스크 드라이브의 분할 방법 및 이에 적합한하드디스크 드라이브(등록번호 제10-0532505호, 이하 특허문헌2라 한다.)"가 존재한다.
특허문헌2에 따른 하드디스크 드라이브의 분할 방법은 하드디스크 드라이브의 저장 공간을 분할하는 방법으로서, 각각이 마스터 부트 레코드 및 파일 얼로케이션 정보를 가지는 섹션들의 개수, 패스워드, 시작위치, 길이, 활성화 여부 등에 관한 정보를 가지는 섹션 테이블을 받아들이는 과정; 및 섹션 테이블을 하드디스크 드라이브만이 액세스할 수 있는 저장 공간에 저장하는 과정을 포함하며, 여기서, 하드디스크 드라이브는 섹션들 중에서 활성화된 섹션에만 액세스하는 것을 허용하는 것을 특징으로 한다.
마찬가지로 "사용자별 하드디스크 분할 기능을 가진 하드디스크 암복호화모듈(등록번호 제10-0915615호, 이하 특허문헌3이라 한다.)" 역시 관련된 선행 특허문헌으로서의 지위를 가진다.
특허문헌3은 사용자별로 하드디스크를 물리적으로 분할하여 하나의 컴퓨터를 여러 사람이 독립적으로 사용할 수 있도록 하는 사용자별 하드디스크 분할 기능을 가진 하드디스크 암복호화모듈에 관한 것으로서, 특허문헌3에 따른 발명의 암복호화 모듈은, 카드 리드/라이터와 연결하기 위한 카드 슬롯, 일련번호가 저장된 메모리, 카드 슬롯을 통해 연결된 카드 리드/라이터로부터 삽입된 카드의 설정 데이터(일련번호, 키값, 시작주소, 분할크기)를 가져와 내부 메모리에 저장함과 아울러 카드에 저장된 일련번호와 메모리에 저장된 일련번호를 비교하여 일치하면 동작을 허용하고, 일치하지 않으면 동작을 중지시키는 마이크로 콘트롤러, 및 마이크로 콘트롤러로부터 전달받은 설정 데이터의 시작주소와 분할크기로 하드디스크를 분할하고, 메인보드로부터 하드디스크로 라이트되는 데이터를 설정 데이터의 키값으로 암호화하여 분할된 하드디스크에 저장하고, 분할된 하드디스크로부터 리드되는 데이터를 설정 데이터의 키값으로 복호화하여 메인보드로 전달하는 주문형집적회로(ASIC)로 구성되어 하나의 컴퓨터를 여러사람이 공동으로 사용하는 경우에도 하드디스크를 사용자 수에 따라 물리적으로 완전히 분할하여 사용할 수 있으므로 사용자 간에 비밀과 보안을 유지할 수 있다.
마찬가지로 "포렌식 데이터 복원 방법 및 시스템(등록번호 제10-1484882호, 이하 특허문헌4라 한다.)" 역시 관련된 선행 특허문헌에 해당한다.
특허문헌4의 경우, 롤백 저널(Rollback Journal) 파일 및 WAL(Write Ahead Log) 파일에 대한 저널 구조 정보를 이용하여 롤백 저널 파일 및 WAL 파일에 대한 비할당 영역을 식별하여 수집하는 제1 수집부, DB 페이지의 구조 정보를 이용하여 DB 페이지에 대한 비할당 영역을 식별하여 수집하는 제2 수집부, DB 페이지의 미사용 영역을 데이터 종류 정보에 대응하는 매치 타입 데이터로 변환하는 변환부 및 스키마 타입(schema type), 스키마 네임(schema name), 루트 페이지 번호(root page number) 및 쿼리문(query statement)을 포함하는 스키마 테이블 정보로부터 매치 타입 리스트를 생성하고, 변환된 매치 타입 데이터를 생성된 매치 타입 리스트와 매칭하여 매칭된 매치 타입 데이터를 추출하는 복원부를 포함하는 포렌식 데이터 복원 방법 및 시스템을 개시한다.
그러나 이들 종래의 기술들은 단순히 물리적 공간을 할당하여 사용자간의 사용을 위한 저장 공간으로서의 기능으로만 활용하는 기술적 사상만을 개시하고 있을뿐, 데이터 보안을 위하여 사용자가 단말기의 사용 이력을 추적하기 위한 공간 분할의 개념과 이에 저장되는 데이터의 분할 암호화에 대한 기술적인 시도는 전무한 실정이다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 상기한 바와 같은 종래 문제점을 해결하기 위해 안출된 것으로서, 데이터 사용 로그 추적 시스템의 저장 매체를 이용하나 사용자에게는 접근 불가능한 보호 영역에 데이터를 저장하는 방식으로 보안성을 높이고자 한다.
또한, 본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 증거 인멸을 막기 위해 탈취 행위에 대응하여 생성되는 데이터를 복수의 하위 데이터로 분할하여 상기 보호 영역에 연속되지 않은 물리적 위치에 저장하고자 한다. 이를 수행하기 위해 데이터 탈취 감지 장치는 복수의 난수 생성부를 이용하고, 별도의 암호화부를 두어 보안성을 더욱 높이고자 한다.
나아가, 본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 사용자가 보호 영역의 존재를 알 수 없도록 상기 보호 영역에 할당되는 용량으로 인해 발생할 수 있는 저장 매체의 용량 과의 불일치를 해소하기 위해 상기 보호 영역의 용량 또는 상기 저장 매체의 용량을 일부 수정할 수 있다.
본 발명의 해결 과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 상기의 해결하고자 하는 과제를 위하여 다음과 같은 과제 해결 수단을 가진다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 사용자로부터 입력된 유저 입력들에 기초하여 수행되는 동작들 각각에 대응하는 복수의 데이터를 저장하는 저장 매체; 상기 복수의 데이터 각각이 기설정된 기준에 부합하는지 여부를 판단하는 에이전트 유틸리티; 상기 저장 매체의 일부 영역을 이용하여 상기 판단 결과로서 상기 기설정된 기준에 부합하는 데이터를 저장하는 보호 영역; 및 상기 에이전트 유틸리티에 의해 상기 저장된 데이터를 외부 서버에게 전송하는 통신부를 포함하고, 상기 보호 영역은 상기 사용자가 접근할 수 없는 영역으로서, 상기 보호 영역은 상기 저장 매체에 대한 정보를 나타내는 화면에 표시되지 않는 것을 특징으로 할 수 있다.
본 발명에 따르면, 상기 기설정된 기준에 부합하는 데이터에 대응하는 동작이 제1 유저 입력 및 제2 유저 입력의 조합에 의해 수행되는 것인 경우, 상기 데이터 탈취 감지 장치의 상기 에이전트 유틸리티는 상기 제1 유저 입력이 입력된 시점부터 기설정된 시간 동안 상기 제1 유저 입력과 상기 제2 유저 입력 사이에 다른 유저 입력이 있는지 여부를 고려하여 상기 제2 유저 입력이 입력되는지 여부를 감지하고, 상기 제2 유저 입력이 입력되는 경우에 상기 데이터를 저장한 후 소정의 시간 내에 상기 데이터를 상기 통신부를 통해 상기 외부 서버에 전송하는 것을 특징으로 할 수 있다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 상기 기설정된 기준에 부합하는 데이터를 복수의 하위 데이터로 분할하여 각각에 분할 ID를 부여하는 데이터 분할부; 및 상기 보호 영역에 대응하는 상기 저장 매체의 물리적 공간 상에 상기 분할된 하위 데이터를 저장할 위치를 결정하는 데이터 저장 위치 결정부를 더 포함하고, 상기 에이전트 유틸리티가 상기 데이터를 저장하는 동작은 상기 결정된 위치에 상기 분할된 하위 데이터를 저장하는 것을 특징으로 할 수 있다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 소정 시간마다 상이한 난수를 생성하는 제1 난수 생성부; 및 숫자 또는 문자를 입력값으로 하여 상기 입력값마다 상이한 난수를 생성하는 제2 난수 생성부를 더 포함하고, 상기 제1 난수 생성부는 상기 데이터의 분할 시점에 대응하여 제1 난수를 생성하고, 상기 생성된 제1 난수를 상기 분할된 하위 데이터 각각에 공통된 결합 ID로서 부여하고, 상기 제2 난수 생성부는 상기 분할된 하위 데이터 별로 각각의 분할 ID 및 결합 ID에 기초하여 제2 난수를 생성하고 부여하고, 상기 제2 난수는 상기 분할된 하위 데이터를 저장할 물리적 위치를 지정하는 숫자인 것을 특징으로 할 수 있다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 데이터를 암호화하는 암호화부를 더 포함하고, 상기 외부 서버에게 전송되는 데이터는 암호화된 데이터 또는 암호화된 복수의 하위 데이터 집합이고, 상기 제1 난수 생성부는, 상기 에이전트 유틸리티가 상기 외부 서버로부터 복호화 요청 및 제3 난수를 수신하는 경우, 상기 복호화 요청 시점에 대응하여 제4 난수를 생성하고, 상기 에이전트 유틸리티는, 상기 제3 난수 및 상기 제4 난수가 동일한 경우, 상기 암호화된 데이터 또는 암호화된 하위 데이터 각각을 복호화하는 정보를 상기 통신부를 통해 상기 외부 서버에게 전송하는 것을 특징으로 할 수 있다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 보호 영역에 데이터를 저장하는 상기 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 사용자가 접근할 수 없는 보호 영역을 이용하여 사용자가 알 수 없게끔 데이터를 저장할 수 있다. 만일, 상기 데이터를 저장하는 서비스가 보호 영역이 아닌 일반 영역에서 제공되는 경우, 능숙한 데이터 탈취자는 상기 서비스를 무력화하여 데이터를 용이하게 탈취할 수 있다. 하지만, 본 발명은 사용자가 접근할 수 없는 보호 영역을 이용하는 것으로 데이터 탈취자는 이와 같은 서비스가 제공되는지 여부를 알 수 없고, 이로 인해 증거를 확보하기가 용이할 수 있다. 나아가, 상기 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 보호 영역에 필연적으로 할당되는 용량으로 인해 생기는 저장 매체의 용량과의 불일치 문제로 인해 상기 보호 영역의 존재가 드러나는 것을 방지하기 위해 상기 보호 영역 또는 상기 저장 매체의 용량을 바꾸어 표시할 수 있다.
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 보안성을 높이기 위해 탈취 행위에 대응하여 생성되는 데이터를 분할하고 복수의 난수 생성부 및 암호화부를 두어 상기 보호 영역 상에 안전하게 분할 저장하여, 탈취자가 해당 위치를 알 수 없도록 할 수 있다.
본 발명의 효과는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템 및 상기 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템에서 사용자가 접근 불가한 보호 영역을 이용하여 데이터 탈취를 감지하는 서비스를 제공하는 시스템을 나타낸 도면이다.
도 2는 본 발명의 다양한 실시 예에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템의 일반 영역에 대한 정보를 나타낸 도면이다.
도 3은 본 발명의 다양한 실시 예에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템의 구성을 나타낸 도면이다.
도 4는 본 발명의 다양한 실시 예에 따른 데이터 분할부 및 데이터 저장 위치 결정부에서 수행되는 동작을 나타낸 도면이다
도 5는 본 발명의 다양한 실시 예에 따른, 제1 난수 생성부에서 시간대별로 생성하는 난수 테이블이다
본 발명에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
도 1은 본 발명의 일 실시예에 따른 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템 및 상기 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템에서 사용자가 접근 불가한 보호 영역을 이용하여 데이터 탈취를 감지하는 서비스를 제공하는 시스템을 나타낸 도면이다. 도 1을 참조하면, 상기 시스템은 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템(100), 네트워크(200), 및 외부 서버(300)를 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 통신 기능이 포함된 시스템일 수 있다. 예를 들면, 데이터 사용 로그 추적 시스템(100)은 데스크탑 PC(desktop personal computer), 랩탑 PC(laptop personal computer), 넷북 컴퓨터(netbook computer) 등을 포함할 수 있다. 나아가, 데이터 사용 로그 추적 시스템(100)은 스마트폰(smartphone), 스마트패드(smartpad), 태블릿 PC(tablet personal computer), 이동전화기(mobile phone) 등을 더 포함할 수 있다.
데이터 사용 로그 추적 시스템(100)은 저장 매체로서 하드 디스크 드라이브(hard disk drive; HDD), 또는 SSD(solid state drive) 중 적어도 하나를 포함할 수 있다. 본 발명의 다양한 실시 예에 따르면, 상기 저장 매체는 WindowsTM 또는 MacOSTM 등의 OS(Operating System) 및 사용자가 이용하기 위한 다양한 파일들을 저장할 수 있는 일반적인 저장 공간을 포함하는 동시에 사용자가 인식할 수 없는 저장 공간으로서 보호 영역을 포함할 수 있다. 예를 들어, 상기 보호 영역은 상기 저장 매체에 대한 정보를 나타내는 화면(ex. 내 컴퓨터, 탐색기, 장치 관리자, 디스크 관리자 등)에 표시되지 않을 수 있다. 상기 일반적인 저장 공간은 이하 일반 영역으로 표기하겠다.
본 발명의 다양한 실시 예에 따르면, 상기 보호 영역의 크기는 상기 저장 매체의 크기(LBA(Logical Block Area))의 10%로 설정될 수 있다. 다만, 본 발명의 다양한 실시 예에 따르면, 상기 일반 영역 중 데이터가 차지하는 비율에 기초하여 상기 보호 영역의 크기는 적응적으로 결정될 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 보호 영역은 ATA(Advanced Technology Attachment) 표준에 의한 HPA(Host Protected Area) 기능을 통해 설정될 수 있다. 상기 HPA 기능을 통해 설정된 상기 보호 영역은 PC의 바이오스(BIOS)의 영향을 받지 않는 공간일 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 보호 영역의 포맷은 SQlite 기반의 DB 파일시스템을 이용할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 보호 영역은 상기 저장 매체의 연속적인 특정 영역을 차지하도록 설정될 수도 있지만, 이에 한정되지 않고, 데이터 열화를 방지하기 위해 적어도 일부가 비연속적인 영역의 조합으로 설정될 수도 있다. 예를 들어, 상기 저장 매체가 HDD인 경우, 상기 보호 영역은 물리적으로 분리된 트랙, 섹터를 보호 영역으로 포함할 수 있다. 만일, 상기 저장 매체가 SSD인 경우, 상기 보호 영역은 물리적으로 분리된 블록, 페이지를 보호 영역으로 포함할 수 있다.
데이터 사용 로그 추적 시스템(100)은 기설정된 기준에 부합하는 데이터를 상기 보호 영역에 저장할 수 있다. 상기 기설정된 기준에 부합하는 데이터는 브라우저 방문 기록, 탐색기 검색 기록, 이동식 저장 매체 연결 기록, 및 데이터 사용 로그 추적 시스템(100)의 상기 일반 영역에 기저장된 파일의 복사, 이동, 또는 삭제에 대한 기록 등을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 브라우저 방문 기록은 Internet ExplorerTM, SafariTM, ChromeTM, FirefoxTM, 또는 OperaTM 등의 웹브라우저를 이용한 웹사이트 브라우징 기록뿐만 아니라 데이터 탈취 감지 장치(100)의 저장 매체에 저장된 폴더 등을 브라우징하는 기록을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 탐색기 검색 기록은 검색어 및 상기 검색어에 기초하여 검색된 결과로서 파일들 리스트를 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 일반 영역에 기저장된 파일의 복사, 이동, 또는 삭제에 대한 기록은, 예를 들어, 상기 파일의 이름, 상기 파일의 원주소, 복사본의 주소, 및 이동 후의 주소 등을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)이 보호 영역에 데이터를 저장하는 동작은 데이터 사용 로그 추적 시스템(100)의 종료를 요청하거나 로그오프를 요청하는 유저 입력이 있는 경우에 수행될 수 있다. 예를 들어, 데이터 사용 로그 추적 시스템(100)은 데이터 사용 로그 추적 시스템(100)의 종료 또는 로그오프가 요청에 의해 수행될 때 데이터 사용 로그 추적 시스템(100)이 동작하던 시간 동안의 로그 기록을 이용하여 해당 데이터를 상기 보호 영역에 저장할 수 있다.
상기 종료 요청 또는 로그오프 요청에 기초하여 데이터를 저장하는 동작은, 데이터 탈취자가 상기 로그 기록에 접근하여 기록을 삭제하는 경우 또는 데이터 사용 로그 추적 시스템(100)을 강제 종료하거나 전원 케이블을 뽑아버리는 경우에 원하는 목적을 달성하지 못할 수도 있다. 따라서, 본 발명의 다른 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)이 상기 보호 영역에 데이터를 저장하는 동작은 상기 기설정된 조건에 부합하는 데이터에 대응하는 유저 입력이 발생한 경우에 이를 감지하여 수행될 수 있다. 예를 들어, 유저 입력에 기초하여 상기 일반 영역에 기저장된 파일의 복사가 수행되는 경우, 데이터 사용 로그 추적 시스템(100)은 이를 감지하고 상기 파일의 이름, 상기 파일의 원주소, 및 복사본의 주소를 상기 보호 영역에 저장할 수 있다. 상기 감지 동작은 예를 들어, ctrl 키와 c 키의 동시 입력 후 ctrl 키와 v 키의 동시 입력, 드래그 앤 드랍, 또는 마우스 우클릭 후 복사 및 붙여넣기 동작 등을 포함할 수 있다. 본 발명의 다양한 실시 예에 따르면, 상기 ctrl 키와 c 키의 동시 입력과 상기 ctrl 키와 v 키의 동시 입력 사이에 다른 유저 입력이 포함되어도 무관할 수 있다. 다만, 상기 다른 유저 입력이 상기 ctrl 키와 c 키의 동시 입력을 취소하는 경우라면 이를 고려하여 상기 데이터는 상기 기설정된 기준에 부합하지 못한 것으로 볼 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)이 상기 보호 영역에 데이터를 저장하기 위해 유저 입력을 감지하는 동작은 상기 기설정된 조건에 부합하는 데이터에 대응하는 유저 입력의 적어도 일부가 발생한 경우에 수행될 수 있다. 예를 들어, 데이터 사용 로그 추적 시스템(100)은 ctrl 키와 c 키가 동시에 입력되는 경우에 ctrl 키와 v 키가 동시에 입력되는지 감지할 수 있고, 이 경우 해당 데이터를 상기 보호 영역에 저장할 수 있다. 다만, 본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 ctrl 키와 c 키가 동시에 입력되는 경우에 유저 입력의 감지를 시작하나, 해당 데이터를 상기 보호 영역에 저장하지 않을 수도 있다.
위 2가지 방식의 차이점을 설명하자면, 전자는 복사 후 붙여넣기가 이루어진 경우에 이를 감지하여 데이터 저장을 수행하는 반면, 후자는 붙여넣기가 이루어지기 전에 미리 감지를 시작하여 붙여넣기가 이루어지는지 확인 후 데이터 저장을 수행할 수 있다. 후자의 경우, 붙여넣기가 이루어지지 않은 경우라도 파일 복사의 시도가 있었음을 데이터로서 상기 보호 영역에 저장할 수 있다. 즉, 후자의 경우 더욱 많은 데이터를 수집할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 유저 입력을 감지하는 동작이 있는 경우, 다음과 같은 효과가 있을 수 있다. 데이터 사용 로그 추적 시스템(100)이 사용자로부터 상기 파일의 삭제를 요청하는 유저 입력을 수신한 경우, 데이터 사용 로그 추적 시스템(100)은 삭제된 파일의 이름, 원위치 등을 상기 보호 영역에 저장하는데 그치지 않고, 상기 보호 영역에 상기 파일을 복사한 후, 상기 일반 영역에서 상기 파일을 삭제할 수 있다. 상기 보호 영역에 상기 파일을 복사하는 동작은 상기 보호 영역의 남은 데이터 공간에 기초하여 수행되거나 수행되지 않을 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 유저 입력을 감지하는 동작은 다양할 수 있다. 예를 들어, 파일의 복사는 ctrl 키와 c키가 동시에 입력되는 경우뿐만 아니라 마우스 우클릭 또는 이에 대응하는 키보드의 메뉴키 "
Figure 112018083495439-pat00001
"가 입력되는 경우, 이 시점부터 감지를 시작할 수 있다. 또는, ctrl 키의 입력만으로도 데이터 사용 로그 추적 시스템(100)은 감지를 시작할 수 있다. 또는, 특정 파일 또는 파일들이 마우스 또는 키보드로 선택되는 경우, 예를 들어, 마우스의 드래그 동작이나 shift 키 또는 ctrl 키를 이용하여 복수의 파일들을 선택하는 동작이 있는 경우, 데이터 사용 로그 추적 시스템(100)은 감지를 시작할 수 있다.
본 발명의 다양한 실시 예에 따르면, 이동식 저장 매체는 USB 메모리뿐만 아니라, SD 카드, micro SD, CF 카드 등의 저장 매체를 더 포함할 수 있다. 또한, 상기 이동식 저장 매체의 연결 동작은 상기 이동식 저장 매체가 직접 연결되는 경우뿐만 아니라, 상기 이동식 저장 매체를 포함하는 스마트폰, 스마트패드, 또는 MP3 등의 데이터 탈취 감지 장치가 연결되는 경우를 더 포함할 수 있다. 본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 상기 이동식 저장 매체에 포함된 파일 또는 폴더들의 리스트 정보, 또는 상기 이동식 저장 매체가 이용중인 데이터 크기를 상기 보호 영역에 저장할 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 사용자가 DropboxTM 등의 데이터 업로드 프로그램이 실행되는지 여부를 감지할 수 있고, 나아가 naver mail, hanmail, 및 gmail 등의 웹브라우저, outlook 등의 메일 프로그램의 실행을 감지할 수 있다. 상기 감지를 통해 데이터 사용 로그 추적 시스템(100)은 데이터 사용 로그 추적 시스템(100)의 일반 영역에 기저장된 파일이 온라인 상에 업로딩되는지 여부를 판단할 수 있다.
데이터 탈취 감지 장치(100)는 상기 보호 영역에 저장된 데이터를 네트워크(200)를 통해 외부 서버(300)에 전송할 수 있다. 본 발명의 일 실시 예에 따르면, 네트워크(200)는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 통신 네트워크(telecommunications network), 예를 들면, 컴퓨터 네트워크(computer network)(예: LAN 또는 WAN), 인터넷(Internet), 또는 전화 망(telephone network) 등을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 외부 서버(300)는 상기 보호 영역에 데이터를 저장하는 서비스를 제공하는 데이터 사용 로그 추적 시스템(100)의 제조사 또는 상기 서비스를 제공하는 서비스 제공업체에서 운용하는 서버일 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 네트워크(200)를 통해 보호 영역(109)에 저장된 데이터를 외부 서버(300)에 전송할 수 있다. 상기 전송 동작은 외부 서버(300)의 요청에 대한 응답으로 수행될 수도 있고, 기설정된 주기를 가지고 정기적으로 수행될 수도 있다.
본 발명의 다양한 실시 예에 따르면, 외부 서버(300)는 데이터 사용 로그 추적 시스템(100)에게 네트워크(200)를 통해 데이터 저장 기준에 대한 정책을 전송할 수 있다. 상기 정책은 앞서 언급한 바와 같이, 데이터 사용 로그 추적 시스템(100)이 데이터를 상기 보호 영역에 저장할지 여부를 결정하는 기설정된 기준을 포함할 수 있다.
도 2는 본 발명의 다양한 실시 예에 따른 데이터 탈취 감지 장치의 일반 영역에 대한 정보를 나타낸 도면이다. 도 2를 참조하면 제1 영역(20)은 데이터 사용 로그 추적 시스템(100)의 저장 매체의 용량(크기)을 표시할 수 있다. 또한 제2 영역(22), 제3 영역(24), 및 제4 영역(26)은 상기 저장 매체의 세부 사용 내역일 수 있다.
도 2를 참조하면, 제1 영역(20)의 용량은 931.5GB이고, 제2 영역(22)은 100MB(=0.1GB)이고, 제3 영역(24)는 930.40GB이고, 제4 영역은 1.00GB임을 알 수 있다. 이를 통해, 제1 영역(20)의 용량은 제2 영역(22) 내지 제4 영역(26)의 용량의 합과 같음을 알 수 있다.
앞서 도 1에서 언급한 바와 같이, 상기 보호 영역의 크기는 상기 저장 매체의 크기(LBA(Logical Block Area))의 10%로 설정될 수 있다. 이를 고려하면, 상기 보호 영역의 용량은 약 93.15GB의 크기를 가질 수 있다. 다만, 상기 보호 영역에 93.15GB 만큼이 할당된다면 제3 영역(24)의 용량은 930.40GB 에서 93.15GB 만큼 제하여진 837.25GB가 될 수 있다.
앞서 도 1에서 언급한 바와 같이, 상기 보호 영역은 상기 저장 매체 중 사용자가 인식할 수 없는 저장 공간일 수 있다. 도 2에서, 만일 제3 영역(24)의 용량이 837.25GB가 된다면 제2 영역(22) 내지 제4 영역(26)의 용량의 합이 제1 영역(20)의 용량과 일치하지 않게 될 수 있다. 이 경우, 데이터 탈취자는 상기 보호 영역을 인식할 수 있게 되고 데이터 사용 로그 추적 시스템(100)의 정당한 사용자는 상기 데이터 탈취자의 탈취 행위에 대한 증거를 확보하기 어려울 수 있다.
따라서, 본 발명의 다양한 실시 예에 따르면, 데이터 사용 로그 추적 시스템(100)은 제1 영역(20)의 용량을 931.50GB에서 보호 영역의 크기인 93.15GB만큼 제하여진 838.15GB로 표기하거나, 제3 영역(24)의 용량을 상기 보호 영역이 존재하지 않는 것처럼 보이기 위해 930.40GB를 그대로 표기할 수 있다. 상기와 같은 용량 표기는 일관성을 가져야 하는 바, 데이터 사용 로그 추적 시스템(100)의 어느 측면에서도 상기와 같도록 저장 매체의 용량을 표기할 수 있다. 예를 들어, "내 컴퓨터"에서 상기 저장 매체의 용량을 확인한다면 931.50GB 또는 838.15GB가 표시될 수 있다.
도 3은 본 발명의 다양한 실시 예에 따른 데이터 사용 로그 추적 시스템의 구성을 나타낸 도면이다. 데이터 사용 로그 추적 시스템(100)은 에이전트 유틸리티(102), 데이터 분할부(104), 저장 위치 결정부(106), 제1 난수 생성부(108), 제2 난수 생성부(110), 암호화부(112), 통신부(114), 및 저장 매체(116)를 포함할 수 있고, 저장 매체(116)는 일반 영역(118) 및 보호 영역(119)을 포함할 수 있다. 다만, 도 3에 도시된 데이터 사용 로그 추적 시스템(100)의 구성은 본 발명의 하나의 구현 예에 불과하며, 여러 가지 변형이 가능하다. 예를 들어, 데이터 사용 로그 추적 시스템(100)은 사용자로부터 어떤 명령 내지 정보를 입력 받기 위한 인터페이스를 더 포함할 수 있다.
에이전트 유틸리티(102)는 유저 입력에 기초하여 수행되는 동작에 대응하는 데이터가 기설정된 기준에 부합하는지 여부를 판단할 수 있다. 예를 들어, 상기 유저 입력에 기초하여 수행되는 동작이 일반 영역(118)에 저장된 파일을 복사하여 다른 폴더에 붙여넣는 동작인 경우, 상기 파일의 복사 및 붙여넣기 동작에 대응하는 데이터가 일반 영역(118)에 기록될 수 있다. 예를 들어, 상기 데이터는 로그 데이터로서 상기 파일의 이름, 원위치 및 붙여넣어진 위치 등을 포함할 수 있다. 에이전트 유틸리티(102)는 상기 로그 데이터를 확인하여 기설정된 기준에 부합하는지 여부를 판단할 수 있다. 상기 기설정된 기준은 파일의 복사 기록을 포함할 수 있는 바, 이 경우, 에이전트 유틸리티(102)는 상기 로그 데이터를 보호 영역(119)에 저장할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 기설정된 기준에 부합하는 데이터는 브라우저 방문 기록, 탐색기 검색 기록, 이동식 저장 매체 연결 기록, 및 일반 영역(118)에 저장되어 있는 파일의 복사, 이동, 또는 삭제에 대한 기록 등을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 브라우저 방문 기록은 Internet ExplorerTM, SafariTM, ChromeTM, FirefoxTM, 또는 OperaTM 등의 웹브라우저를 이용한 웹사이트 브라우징 기록뿐만 아니라 일반 영역(118)에 저장된 폴더 등을 브라우징하는 기록을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 탐색기 검색 기록은 검색어 및 상기 검색어에 기초하여 검색된 결과로서 파일들 리스트를 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 일반 영역(118)에 기저장된 파일의 복사, 이동, 또는 삭제에 대한 기록은, 예를 들어, 상기 파일의 이름, 상기 파일의 원주소, 복사본의 주소, 및 이동 후의 주소 등을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)가 보호 영역(119)에 데이터를 저장하는 동작은 데이터 사용 로그 추적 시스템(100)의 종료를 요청하거나 로그오프를 요청하는 유저 입력이 있는 경우에 수행될 수 있다. 예를 들어, 데이터 탈취 감지 장치(100)의 종료 또는 로그오프가 상기 요청에 의해 수행될 때, 에이전트 유틸리티(102)는 데이터 사용 로그 추적 시스템(100)이 동작하던 시간 동안의 로그 데이터를 이용하여 해당 데이터를 보호 영역(119)에 저장할 수 있다.
상기 종료 요청 또는 로그오프 요청에 기초하여 데이터를 저장하는 동작은, 데이터 탈취자가 상기 로그 데이터에 접근하여 기록을 삭제하는 경우 또는 데이터 사용 로그 추적 시스템(100)을 강제 종료하거나 전원 케이블을 뽑아버리는 경우에 원하는 목적을 달성하지 못할 수도 있다. 따라서, 본 발명의 다른 실시 예에 따르면, 에이전트 유틸리티(102)가 보호 영역(119)에 데이터를 저장하는 동작은 상기 기설정된 조건에 부합하는 데이터에 대응하는 유저 입력이 발생한 경우에 이를 감지하여 수행될 수 있다. 예를 들어, 유저 입력에 기초하여 일반 영역(118)에 기저장된 파일의 복사가 수행되는 경우, 데이터 사용 로그 추적 시스템(100)은 이를 감지하고 상기 파일의 이름, 상기 파일의 원주소, 및 복사본의 주소를 보호 영역(119)에 저장할 수 있다. 상기 감지 동작은 예를 들어, ctrl 키와 c 키의 동시 입력 후 ctrl 키와 v 키의 동시 입력, 드래그 앤 드랍, 또는 마우스 우클릭 후 복사 및 붙여넣기 동작 등을 포함할 수 있다. 본 발명의 다양한 실시 예에 따르면, 상기 ctrl 키와 c 키의 동시 입력과 상기 ctrl 키와 v 키의 동시 입력 사이에 다른 유저 입력이 포함되어도 무관할 수 있다. 다만, 상기 다른 유저 입력이 상기 ctrl 키와 c 키의 동시 입력을 취소하는 경우라면 이를 고려하여 상기 데이터는 상기 기설정된 기준에 부합하지 못한 것으로 볼 수 있다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)가 보호 영역(119)에 데이터를 저장하기 위해 유저 입력을 감지하는 동작은 상기 기설정된 조건에 부합하는 데이터에 대응하는 유저 입력의 적어도 일부가 발생한 경우에 수행될 수 있다. 예를 들어, 에이전트 유틸리티(102)는 ctrl 키와 c 키가 동시에 입력되는 경우에 ctrl 키와 v 키가 동시에 입력되는지 감지할 수 있고, 이 경우 해당 데이터를 보호 영역(119)에 저장할 수 있다. 다만, 본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 ctrl 키와 c 키가 동시에 입력되는 경우에 유저 입력의 감지를 시작하나, 해당 데이터를 상기 보호 영역에 저장하지 않을 수도 있다
위 2가지 방식의 차이점을 설명하자면, 전자는 복사 후 붙여넣기가 이루어진 경우에 이를 감지하여 데이터 저장을 수행하는 반면, 후자는 붙여넣기가 이루어지기 전에 미리 감지를 시작하여 붙여넣기가 이루어지는지 확인 후 데이터 저장을 수행할 수 있다. 후자의 경우, 붙여넣기가 이루어지지 않은 경우라도 파일 복사의 시도가 있었음을 데이터로서 보호 영역(119)에 저장할 수 있다. 즉, 후자의 경우 더욱 많은 데이터를 수집할 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 유저 입력을 감지하는 동작이 있는 경우, 다음과 같은 효과가 있을 수 있다. 데이터 사용 로그 추적 시스템(100)이 사용자로부터 상기 파일의 삭제를 요청하는 유저 입력을 수신한 경우, 에이전트 유틸리티(102)는 삭제된 파일의 이름, 원위치 등을 보호 영역(119)에 저장하는데 그치지 않고, 보호 영역(119)에 상기 파일을 복사한 후, 일반 영역(118)에서 상기 파일을 삭제할 수 있다. 만일, 데이터 사용 로그 추적 시스템(100)의 종료 또는 로그오프 요청 후에 데이터를 보호 영역(119)에 저장하는 방식의 경우, 이미 상기 파일은 삭제된 후이기 때문에 보호 영역(119)에 복구될 수 없다. 본 발명의 다양한 실시 예에 따르면, 보호 영역(119)에 상기 파일을 복사하는 동작은 보호 영역(119)의 남은 데이터 공간을 고려하여 수행되거나 수행되지 않을 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 유저 입력을 감지하는 동작은 다양할 수 있다. 예를 들어, 파일의 복사는 ctrl 키와 c키가 동시에 입력되는 경우뿐만 아니라 마우스 우클릭 또는 이에 대응하는 키보드의 메뉴키 "
Figure 112018083495439-pat00002
"가 입력되는 경우, 이 시점부터 에이전트 유틸리티(102)는 감지를 시작할 수 있다. 또는, ctrl 키의 입력만으로도 에이전트 유틸리티(102)는 감지를 시작할 수 있다. 또는, 특정 파일 또는 파일들이 마우스 또는 키보드로 선택되는 경우, 예를 들어, 마우스의 드래그 동작이나 shift 키 또는 ctrl 키를 이용하여 복수의 파일들을 선택하는 동작이 있는 경우 만으로도 에이전트 유틸리티(102)는 감지를 시작할 수 있다.
본 발명의 다양한 실시 예에 따르면, 이동식 저장 매체는 USB 메모리뿐만 아니라, SD 카드, micro SD, CF 카드 등의 저장 매체를 더 포함할 수 있다. 또한, 상기 이동식 저장 매체의 연결 동작은 상기 이동식 저장 매체가 직접 연결되는 경우뿐만 아니라, 상기 이동식 저장 매체를 포함하는 스마트폰, 스마트패드, 또는 MP3 등의 전자 장치가 연결되는 경우를 더 포함할 수 있다. 본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 상기 이동식 저장 매체에 포함된 파일 또는 폴더들의 리스트 정보, 또는 상기 이동식 저장 매체가 이용중인 데이터 크기를 보호 영역(119)에 저장할 수 있다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 사용자가 DropboxTM 등의 데이터 업로드 프로그램이 실행되는지 여부를 감지할 수 있고, 나아가 naver mail, hanmail, 및 gmail 등의 웹브라우저, outlook 등의 메일 프로그램의 실행을 감지할 수 있다. 상기 감지를 통해 에이전트 유틸리티(102)는 일반 영역(118)에 기저장된 파일이 온라인 상에 업로딩되는지 여부를 판단할 수 있다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 저장 매체(116)의 저장 공간 크기 또는 일반 영역(118)의 저장 공간 크기를 다르게 표기할 수 있다. 보호 영역(119)이 존재하지 않는 것으로 보이기 위해 상기 동작을 수행할 수 있다. 상기와 같은 저장 공간 표기는 일관성을 가져야 하는 바, 데이터 탈취 감지 장치(100)의 어느 측면에서도 상기와 같도록 저장 매체(116) 또는 일반 영역(118)의 저장 공간을 표기할 수 있다.
데이터 분할부(104)는 기설정된 기준에 부합하는 데이터를 복수개의 하위 데이터로 분할할 수 있다. 이 경우, 데이터 분할부(104)는 하위 데이터 각각에 분할 ID를 부여할 수 있다. 예를 들어, 'aegvf' 라는 명칭의 데이터가 생성된 경우, 데이터 분할부(104)는 데이터 aegvf를 3개의 하위 데이터로 분할할 수 있고, 이 경우, 제1 하위 데이터 aegvf_1는 분할 ID=00, 제2 하위 데이터 aegvf _2는 분할 ID=01, 그리고 제3 하위 데이터 aegvf _3는 분할 ID=10이 부여될 수 있다. 상기 분할 ID는 상기 하위 데이터를 식별하는 정보이므로 서로 다른 값을 가져야 한다.
본 발명의 다양한 실시 예에 따르면, 데이터 분할부(104)는 상기 데이터 aegvf_1 내지 aegvf_3이 하나의 데이터로 결합될 것임을 표시하는 결합 ID를 상기 데이터 aegvf_1 내지 aegvf_3에 부여할 수 있다. 상기 결합 ID는 제1 난수 생성부(108)에서 상기 데이터의 분할 시점에 대응하여 생성된 난수일 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 분할부(104)는 기설정된 기준에 부합하는 데이터의 크기에 기초하여 상기 데이터를 몇 개의 하위 데이터로 분할할지 그 개수를 결정할 수 있다. 예를 들어, 데이터가 1MB인 경우의 하위 데이터 개수는 데이터가 512KB인 경우의 개수보다 많을 수 있다. 본 발명의 다양한 실시 예에 따르면, 데이터 분할부(104)는 저장 매체(116)의 기본 데이터 기록 단위에 기초하여 분할 개수를 결정할 수 있다. 상기 기본 데이터 기록 단위는 저장 매체(116)가 HDD인 경우에는 섹터, SSD인 경우에는 페이지가 될 수 있다. 예를 들어, 상기 기본 데이터 기록 단위가 16KB인 경우, 1MB 데이터는 16KB 크기의 하위 데이터 64개로 분할될 수 있다. 만일, 상기 데이터가 512KB인 경우에는, 512KB 데이터는 16KB 크기의 하위 데이터 32개로 분할될 수 있다.
본 발명의 다양한 실시 예에 따르면, 데이터 저장 위치 결정부(106)는 보호 영역(119)에 대응하는 저장 매체(116)의 물리적 공간 상에 상기 분할된 하위 데이터를 저장할 위치를 결정할 수 있다. 예를 들어, 저장 매체(116)가 HDD인 경우에는 복수의 하위 데이터 각각은 자신이 위치할 플래터, 실린더, 트랙, 및 섹터의 물리적 위치를 데이터 저장 위치 결정부(106)로부터 할당 받을 수 있다. 이와 유사하게, 저장 매체(116)가 SSD인 경우에는 복수의 하위 데이터 각각은 자신이 위치할 칩, 플레인, 블록, 및 페이지의 물리적 위치를 데이터 저장 위치 결정부(106)로부터 할당 받을 수 있다.
본 발명의 다양한 실시 예에 따르면, 상기 하위 데이터의 위치는 제2 난수 생성부(110)에서 생성된 난수에 대응하는 위치일 수 있다. 제2 난수 생성부(110)는 하위 데이터 각각의 분할 ID 및 결합 ID를 입력값으로 하여 상기 난수를 생성할 수 있다. 상기 하위 데이터 각각은 동일한 결합 ID를 가지고 있지만 서로 다른 분할 ID를 가지는 바, 상기 하위 데이터 각각의 물리적 위치는 다르게 부여될 수 있다.
암호화부(112)는 데이터를 암호화할 수 있다. 본 발명에 다양한 실시 예에 따르면 보호 영역(119)에 저장되는 데이터 또는 복수의 하위 데이터는 암호화부(112)에서 보안을 위해 암호화된 데이터일 수 있다.
에이전트 유틸리티(102)는 통신부(114)를 통해 보호 영역(119)에 저장된 데이터를 외부 서버(300)에 전송할 수 있다. 상기 전송 동작은 외부 서버(300)의 요청에 대한 응답으로 수행될 수도 있고, 기설정된 주기를 가지고 정기적으로 수행될 수도 있다. 본 발명의 일 실시 예에 따르면, 통신부(114)는 통신 네트워크(telecommunications network), 예를 들면, 컴퓨터 네트워크(computer network)(예: LAN 또는 WAN), 인터넷(Internet), 또는 전화 망(telephone network) 등을 이용하여 통신을 수행할 수 있다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 통신부(114)를 통해 외부 서버(300)에 암호화된 데이터 또는 암호화된 복수의 하위 데이터를 전송할 수 있다. 이 경우, 에이전트 유틸리티(102)는 통신부(114)를 통해 외부 서버(300)로부터 상기 데이터의 복호화 요청을 수신할 수 있다. 이 경우, 상기 복호화 요청은 외부 서버(300)에서 생성된 난수를 포함할 수 있다. 제1 난수 생성부(108)는 상기 복호화 요청 시점에 대응하는 난수를 생성할 수 있고, 에이전트 유틸리티(102)는 외부 서버(300)로부터 수신된 난수와 제1 난수 생성부(108)가 생성한 난수를 비교할 수 있다. 상기 두 난수가 서로 동일한 경우, 에이전트 유틸리티(102)는 상기 암호화된 데이터 또는 암호화된 복수의 하위 데이터 각각을 복호화하는 정보를 통신부(114)를 통해 외부 서버(300)에게 전송할 수 있다. 즉, 외부 서버(300)가 암호화된 데이터를 정상적으로 복호화하여 획득하려면, 제1 난수 생성부(108)와 외부 서버(300)에 포함된 난수 생성부는 서로 동일한 난수를 생성하는 구성이어야 한다.
본 발명의 다양한 실시 예에 따르면, 에이전트 유틸리티(102)는 통신부(114)를 통해 외부 서버(300)로부터 데이터 저장 기준에 대한 정책을 전송할 수 있다. 상기 정책은 에이전트 유틸리티(102)가 데이터를 보호 영역(119)에 저장할지 여부를 결정하는 기설정된 기준을 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 저장 매체(116)는 HDD 또는 SSD 중 적어도 하나일 수 있고, 일반 영역(118) 및 보호 영역(119)를 포함할 수 있다. 일반 영역(118)은 데이터 탈취 감지 장치(100)의 사용자가 접근 가능한 영역으로서 WindowsTM 또는 MacOSTM 등의 OS(Operating System) 및 사용자가 이용하기 위한 다양한 파일들을 저장할 수 있는 일반적인 저장 공간을 의미할 수 있다. 반면, 보호 영역(119)은 사용자가 접근할 수 없는 영역일 수 있다.
본 발명의 다양한 실시 예에 따르면, 보호 영역(119)의 크기는 저장 매체(116)의 크기(LBA(Logical Block Area))의 10%로 설정될 수 있다. 다만, 본 발명의 다양한 실시 예에 따르면, 일반 영역(118) 중 데이터가 차지하는 비율에 기초하여 보호 영역(119)의 크기는 적응적으로 결정될 수 있다.
본 발명의 다양한 실시 예에 따르면, 보호 영역(119)은 ATA(Advanced Technology Attachment) 표준에 의한 HPA(Host Protected Area) 기능을 통해 설정될 수 있다. 상기 HPA 기능을 통해 설정된 보호 영역(119)은 PC의 바이오스(BIOS)의 영향을 받지 않는 공간일 수 있다.
본 발명의 다양한 실시 예에 따르면, 보호 영역(119)의 포맷은 SQlite 기반의 DB 파일시스템을 이용할 수 있다.
본 발명의 다양한 실시 예에 따르면, 보호 영역(119)은 저장 매체(116)의 연속적인 특정 영역을 차지하도록 설정될 수도 있지만, 이에 한정되지 않고, 데이터 열화를 방지하기 위해 적어도 일부가 비연속적인 섹터, 클러스터, 또는 셀을 포함하는 분리된 영역의 조합으로 설정될 수도 있다. 예를 들어, 상기 저장 매체가 HDD인 경우, 상기 보호 영역은 물리적으로 분리된 트랙, 섹터를 보호 영역으로 포함할 수 있다. 만일, 상기 저장 매체가 SSD인 경우, 상기 보호 영역은 물리적으로 분리된 블록, 페이지를 보호 영역으로 포함할 수 있다.
저장 매체(116)는 데이터, 예를 들어, 데이터 사용 로그 추적 시스템(100)에서 수행되는 동작들에 대한 인스트럭션들(instructions)을 저장하고 있을 수 있다. 저장 매체(116)에 저장되는 데이터는 데이터 사용 로그 추적 시스템(100) 내부의 각 구성요소들 간에 입력 및 출력되는 데이터를 포함하고, 데이터 사용 로그 추적 시스템(100)과 데이터 사용 로그 추적 시스템(100) 외부의 구성요소들간에 입력 및 출력되는 데이터를 포함할 수 있다.
본 발명의 다양한 실시 예에 따르면, 저장 매체(116)는 내장 메모리 또는 외장 메모리를 포함할 수 있다. 상기 내장 메모리는, 예를 들어, 휘발성 메모리(예: DRAM(dynamic RAM), SRAM(static RAM), 또는 SDRAM(synchronous dynamic RAM) 등), 비-휘발성(non-volatile) 메모리 (예: OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), 마스크(mask) ROM, 플래시(flash) ROM, 플래시 메모리(예: 낸드플래시(NAND flash) 또는 노아플래시(NOR flash) 등), 하드 디스크 드라이브(hard disk drive; HDD), 또는 SSD(solid state drive) 중 적어도 하나를 포함할 수 있다. 상기 외장 메모리는, 예를 들어, 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD, Mini-SD, xD(extreme digital), MMC(MultiMediaCard), 또는 메모리 스틱(memory stick) 등을 더 포함할 수 있다. 상기 외장 메모리는 다양한 인터페이스(interface)를 통하여 데이터 사용 로그 추적 시스템(100)과 기능적으로 및/또는 물리적으로 연결될 수 있다.
당업자라면, 에이전트 유틸리티(102), 데이터 분할부(104), 저장 위치 결정부(106), 제1 난수 생성부(108), 제2 난수 생성부(110), 암호화부(112), 통신부(114), 저장 매체(116), 일반 영역(118), 및 보호 영역(119) 각각이 데이터 탈취 감지 장치(100)에 분리되어 구현되거나, 이 중 하나 이상이 통합되어 구현될 수 있음을 충분히 이해할 것이다.
본 발명에 따르면, 데이터 탈취자는 탈취자의 탈취 행위에 대응하는 데이터가 저장되고 있음을 인지할 수 없어, 본원의 실시 예와 같은 보안책을 무효화하여 데이터를 탈취하는 것을 방지할 수 있다. 또한, 이로 인해 증거 확보에 용이할 수 있다.
도 4는 본 발명의 다양한 실시 예에 따른 데이터 분할부 및 데이터 저장 위치 결정부에서 수행되는 동작을 나타낸 도면이다. 도 4를 참조하면 에이전트 유틸리티(102)는 사용자의 유저 입력에 기초하여 수행되는 동작에 대응하는 데이터(40)를 생성할 수 있다.
데이터(40)는 데이터 분할부(104)를 통해 복수개의 하위 데이터(41 내지 4n)로 분할될 수 있다. 데이터 분할부(104)는 제1 하위 데이터(41)에 ID1을 부여하고, 제2 하위 데이터(42)에 ID2를 부여하고, 제3 하위 데이터(43)에 ID3을 부여하고, 제n 하위 데이터(4n)에 IDN을 부여할 수 있다. 상기 ID1 내지 IDN은 본 발명을 설명하기 위한 것으로 각 하위 데이터에 부여되는 ID는 숫자, 문자, 및 특수기호를 포함하는 다양한 방식으로 생성 및 부여될 수 있다.
제1 난수 생성부(108)는 현재 시각 17:08:13에 대응하는 난수로서 '4687432'를 생성할수 있다. 상기 생성된 난수 '4687432'는 복수의 하위 데이터(41 내지 4n) 각각에 모두 동일한 결합 ID로서 부여될 수 있다. 상기 결합 ID는 추후 분할된 데이터가 다시 결합되기 위해 하나의 데이터로부터 분할된 것임을 표시하는 인덱스 역할을 할 수 있다.
제2 난수 생성부(110)는 제1 난수 생성부(108)에서 생성된 난수와 데이터 분할부(104)에서 부여한 ID를 결합하여 난수를 생성할 수 있다. 도 4를 참조하면 복수의 하위 데이터(41 내지 4n)의 ID가 모두 다름을 알 수 있고, 따라서 제2 난수 생성부(110)에서 생성한 난수들도 모두 다름을 알 수 있다. 예를 들어, 제1 하위 데이터(41)에 대응하여 생성된 난수는 '8494515'일 수 있다. 상기 난수 '8494515'는 제1 하위 데이터(41)에 부여되고, 데이터 저장 위치 결정부(106)난 상기 난수를 이용하여 제1 하위 데이터(41)가 저장된 물리적 위치를 결정할 수 있다. 도 4를 참조하면 상기 물리적 위치는 C8, Pl4, B94, Pa515일 수 있다. 이는 저장 매체(116)가 SSD인 것을 예로 들어 할당한 것으로, C8은 8번째 칩(Chip), 4번째 플래인(Plane), 94번째 블록(Block), 및 515번째 페이지(Page)를 나타내는 것일 수 있다. 도 4를 참조하면 제1 하위 데이터(41)와 유사하게 제2 하위 데이터(42) 내지 제n 하위 데이터(4n)는 모두 이와 같은 물리적 위치를 할당 받을 수 있다.
만일, 저장 매체(116)이 HDD라면 데이터 저장 위치 결정부(106)는 HDD의 구조에 대응하여 플래터(Platter), 실린더(Cylinder), 트랙(Track), 및 섹터(Sector)의 위치를 결정할 수 있다.
본 발명의 다양한 실시 예에 따르면, 제1 난수 생성부(108)에서는 소정의 시간마다 서로 다른 난수를 생성할 수 있다. 도 5는 본 발명의 다양한 실시 예에 따른, 제1 난수 생성부에서 시간대별로 생성하는 난수 테이블이다.
도 5를 참조하면, 제1 난수 생성부(108)는 17:08:00 시간부터 17:08:19 까지는 난수 4687432를 생성할 수 있다. 도 4에서 데이터 분할이 17:08:13에 수행되었기 때문에 제1 난수 생성부(108)는 상기 난수 4687432를 생성하여 상기 분할된 하위 데이터들에 부여하였다.
제1 난수 생성부(108)는 17:08:20 시간부터 17:08:39 까지는 난수 5613215를 생성할 수 있고, 17:08:40 시간부터 17:08:59 까지는 난수 1655135를 생성할 수 있고, 17:09:00 시간부터 17:09:19 까지는 난수 9974512를 생성할 수 있고, 17:09:20 시간부터 17:09:39 까지는 난수 4865135를 생성할 수 있다.
즉, 계속되는 사용자의 데이터 사용 로그 추적 시스템(100)의 사용에 있어서, 데이터를 생성시켜 분할되는 시간별로 서로 다른 난수가 생성되는 바, 데이터 사용 로그 추적 시스템(100)은 사용자의 탈취 행위별로 결합 ID를 생성하여 관리할 수 있다. 다만, 난수 생성부의 난수 발생 시간 간격이 너무 길면 서로 다른 탈취 행위에 동일한 난수가 부여되어 문제될 수 있는 바, 본 발명의 다양한 실시 예에 따르면 데이터 사용 로그 추적 시스템(100)은 제1 난수 생성부(108)와 같은 복수의 시간 기반 난수 생성부를 포함하여 동일 시간대에 여러 탈취 행위가 있는 경우 서로 다른 난수 생성부를 이용하여 서로 난수가 겹치지 않게 관리할 수 있다. 또는 난수 발생 시간 간격을 짧게 조절하여 해당 문제를 해소할 수 있다.
본 발명의 권리 범위는 특허청구범위에 기재된 사항에 의해 결정되며, 특허 청구범위에 사용된 괄호는 선택적 한정을 위해 기재된 것이 아니라, 명확한 구성요소를 위해 사용되었으며, 괄호 내의 기재도 필수적 구성요소로 해석되어야 한다.
100: 데이터 사용 로그 추적 시스템 200: 네트워크
300: 외부 서버 102: 에이전트 유틸리티
104: 데이터 분할부 106: 데이터 저장 위치 결정부
108: 제1 난수 생성부 110: 제2 난수 생성부
112: 암호화부 114: 통신부
116: 저장 매체 118: 일반 영역
119: 보호 영역

Claims (5)

  1. 사용자로부터 입력된 유저 입력들에 기초하여 수행되는 동작들 각각에 대응하는 복수의 데이터를 저장하는 저장 매체;
    상기 복수의 데이터 각각이 기설정된 기준에 부합하는지 여부를 판단하는 에이전트 유틸리티;
    상기 저장 매체의 일부 영역을 이용하여 상기 판단 결과로서 상기 기설정된 기준에 부합하는 데이터를 저장하며, 상기 사용자가 접근할 수 없는 영역으로서 상기 저장 매체에 대한 정보를 나타내는 화면에 표시되지 않는 보호 영역;
    상기 에이전트 유틸리티에 의해 상기 저장된 데이터를 외부 서버에게 전송하는 통신부;
    상기 기설정된 기준에 부합하는 데이터를 복수의 하위 데이터로 분할하여 각각에 분할 ID를 부여하는 데이터 분할부;
    상기 보호 영역에 대응하는 상기 저장 매체의 물리적 공간 상에 상기 분할된 하위 데이터를 저장할 위치를 결정하여, 상기 에이전트 유틸리티로 하여금 상기 데이터를 저장하는 동작을 결정된 상기 위치에 상기 분할된 하위 데이터를 저장하도록 하는 데이터 저장 위치 결정부;
    소정 시간마다 상이한 난수를 생성하여, 상기 데이터의 분할 시점에 대응하여 제1 난수를 생성하고, 상기 생성된 제1 난수를 상기 분할된 하위 데이터 각각에 공통된 결합 ID로서 부여하는 제1 난수 생성부;
    숫자 또는 문자를 입력값으로 하여 상기 입력값마다 상이한 난수를 생성하고, 상기 분할된 하위 데이터 별로 각각의 분할 ID 및 결합 ID에 기초하여 상기 분할된 하위 데이터를 저장할 물리적 위치를 지정하는 숫자인 제2 난수를 생성하고 부여하는 제2 난수 생성부; 및
    데이터를 암호화하는 암호화부를 포함하되,
    상기 외부 서버에게 전송되는 데이터는 암호화된 데이터 또는 암호화된 복수의 하위 데이터 집합이고,
    상기 제1 난수 생성부는, 상기 에이전트 유틸리티가 상기 외부 서버로부터 복호화 요청 및 제3 난수를 수신하는 경우, 상기 복호화 요청 시점에 대응하여 제4 난수를 생성하고,
    상기 에이전트 유틸리티는, 상기 제3 난수 및 상기 제4 난수가 동일한 경우, 상기 암호화된 데이터 또는 암호화된 하위 데이터 각각을 복호화하는 정보를 상기 통신부를 통해 상기 외부 서버에게 전송하는 것인, 데이터 탈취 감지 장치.
  2. 제1 항에 있어서,
    상기 기설정된 기준에 부합하는 데이터에 대응하는 동작이 제1 유저 입력 및 제2 유저 입력의 조합에 의해 수행되는 것인 경우,
    상기 에이전트 유틸리티는
    상기 제1 유저 입력이 입력된 시점부터 기설정된 시간 동안 상기 제1 유저 입력과 상기 제2 유저 입력 사이에 다른 유저 입력이 있는지 여부를 고려하여 상기 제2 유저 입력이 입력되는지 여부를 감지하고,
    상기 제2 유저 입력이 입력되는 경우에 상기 데이터를 저장한 후 소정의 시간 내에 상기 데이터를 상기 통신부를 통해 상기 외부 서버에 전송하는 것인, 데이터 탈취 감지 장치.
  3. 삭제
  4. 삭제
  5. 삭제
KR1020180098364A 2018-08-23 2018-08-23 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템 KR102112315B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180098364A KR102112315B1 (ko) 2018-08-23 2018-08-23 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180098364A KR102112315B1 (ko) 2018-08-23 2018-08-23 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템

Publications (2)

Publication Number Publication Date
KR20200022593A KR20200022593A (ko) 2020-03-04
KR102112315B1 true KR102112315B1 (ko) 2020-05-18

Family

ID=69783612

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180098364A KR102112315B1 (ko) 2018-08-23 2018-08-23 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템

Country Status (1)

Country Link
KR (1) KR102112315B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100915615B1 (ko) 2008-09-10 2009-09-03 (주)셀런에스엔 사용자별 하드디스크 분할 기능을 가진 하드디스크 암복호화모듈
KR101445708B1 (ko) * 2013-04-01 2014-10-01 주식회사 좋을 보안 시스템, 이를 위한 단말기 및 보안 방법
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101469803B1 (ko) * 2013-04-01 2014-12-05 주식회사 좋을 데이터 보안장치, 이를 구비하는 단말기 및 데이터 보안 방법과 컴퓨터로 읽을 수 있는 기록매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100915615B1 (ko) 2008-09-10 2009-09-03 (주)셀런에스엔 사용자별 하드디스크 분할 기능을 가진 하드디스크 암복호화모듈
KR101445708B1 (ko) * 2013-04-01 2014-10-01 주식회사 좋을 보안 시스템, 이를 위한 단말기 및 보안 방법
KR101743269B1 (ko) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Also Published As

Publication number Publication date
KR20200022593A (ko) 2020-03-04

Similar Documents

Publication Publication Date Title
US9262643B2 (en) Encrypting files within a cloud computing environment
US8977661B2 (en) System, method and computer readable medium for file management
US10452562B2 (en) File access method and related device
KR101506578B1 (ko) 데이터 보안을 위한 파일 시스템 구성 방법 및 장치, 그에의해 만들어진 데이터 보안 영역에 접근하는 방법 및 장치,그에 따른 데이터 저장 장치
US20140019497A1 (en) Modification of files within a cloud computing environment
CN107124271B (zh) 一种数据加密、解密方法和设备
US10635329B2 (en) Method and apparatus for performing transparent mass storage backups and snapshots
US8762431B2 (en) System and method for secure erase in copy-on-write file systems
US7945587B2 (en) Random allocation of media storage units
TW200307868A (en) Method for partitioning memory mass storage device and device thereof
US8380666B2 (en) File management device and storage device for managing mapping information between a first file system and a second file system
US11347717B2 (en) Generalized verification scheme for safe metadata modification
JP6511161B2 (ja) データファイルの保護
WO2015103794A1 (zh) 一种文件访问权限控制方法及装置
CN108804936A (zh) 一种基于分布式存储系统acl的权限管理方法及系统
CN104572762A (zh) 删除及恢复录像文件的方法和装置
CN111382126B (zh) 删除文件及阻碍文件恢复的系统和方法
CN102236609B (zh) 存储设备及其访问方法
Chen et al. A cross-layer plausibly deniable encryption system for mobile devices
KR102112315B1 (ko) 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템
US11132134B2 (en) Flexible over-provisioning of storage space within solid-state storage devices (SSDs)
Hermon et al. Ntfs: Introduction and analysis from forensics point of view
US20180088846A1 (en) Multi-user dynamic storage allocation and encryption
Lee et al. Password recovery using an evidence collection tool and countermeasures
EP3674876A1 (en) System and method of deletion of files and counteracting their restoration

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant