KR102488337B1 - 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 - Google Patents

디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 Download PDF

Info

Publication number
KR102488337B1
KR102488337B1 KR1020180024063A KR20180024063A KR102488337B1 KR 102488337 B1 KR102488337 B1 KR 102488337B1 KR 1020180024063 A KR1020180024063 A KR 1020180024063A KR 20180024063 A KR20180024063 A KR 20180024063A KR 102488337 B1 KR102488337 B1 KR 102488337B1
Authority
KR
South Korea
Prior art keywords
abnormal behavior
analyzing
computer
grade
predetermined
Prior art date
Application number
KR1020180024063A
Other languages
English (en)
Other versions
KR20190102937A (ko
Inventor
최운영
Original Assignee
한국디지털포렌식센터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국디지털포렌식센터 주식회사 filed Critical 한국디지털포렌식센터 주식회사
Priority to KR1020180024063A priority Critical patent/KR102488337B1/ko
Publication of KR20190102937A publication Critical patent/KR20190102937A/ko
Application granted granted Critical
Publication of KR102488337B1 publication Critical patent/KR102488337B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하고, 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하여, 결정된 등급관련 정보를 외부로 전송하는 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치가 개시되어 있다.

Description

디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치{Method and apparatus for managing digital information using digital forensic}
본 발명은 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치에 관한 것으로, 더욱 상세하게는 디지털포렌식 일련의 과정에서 발생되고 활용되는 증거물 등 디지털포렌식 조사지원 정보를 축척 및 관리하여 법적 증거능력을 보장하고, 상호 공유를 통하여 디지털포렌식 조사활동을 지원하는 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치에 관한 것이다.
디지털포렌식(digital forensic)은 PC나 노트북, 휴대폰 등 각종 저장매체 또는 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법을 의미한다. 구체적으로, 디지털포렌식은 범죄수사에서 적용되고 있는 과학적 증거 수집 및 분석기법의 일종으로, 각종 디지털 데이터 및 통화기록, 이메일 접속기록 등의 정보를 수집ㆍ분석하여 DNAㆍ지문ㆍ핏자국 등 범행과 관련된 증거를 확보하는 수사기법을 의미한다.
최근에는 클라우드, BYOD, 스마트워크 등 업무의 형태가 다양해지면서 정보유출 위험은 더욱 높아만 가고 있는 실정이다. 업무 편의성이 증대된만큼 관리가 늘어나고, 관리가 되지 않은 보안 취약점도 함께 증가하고 잇다. 업무를 위한 데이터의 이동 경계가 사라지면서 특정 포인트만 보호하는 기존의 방식으로는 데이터를 안전하게 보호할 수 없으며, 유출 경로조차 모르고 있는 실정이다.
따라서, 기업의 영업 비밀을 단순히 보호하는 수동적인 관리 방식에서 벗어나 사전에 영업비밀 유출행위를 미연에 예방할 수 있는 능동적인 사전 유출 탐지 및 예방 시스템에 필요한 시점이다.
이러한 문제점을 해결하기 위하여, 본 발명은 디지털포렌식을 이용하여 사전에 유출행위를 탐지하여 대응함으로써 디지털 정보를 관리하는 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따라, 디지털포렌식을 이용한 디지털정보 관리 방법은 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계; 상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 단계; 및 상기 결정된 등급관련 정보를 외부로 전송하는 단계를 포함한다.
상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계를 포함할 수 있다.
상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 및 디지털포렌식 회피 용어 검색 웹기록 분석하는 단계 중 적어도 하나를 포함할 수 있다.
상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 단계를 포함할 수 있다.
디지털포렌식을 이용한 디지털정보 관리 방법은 상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따라, 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 이상행위 검출분석부; 상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 제어부; 및 상기 결정된 등급관련 정보를 외부로 전송하는 이상행위 정보제공부를 포함한다.
본 발명에 의하면, 영업비밀 및 기술 유출에 관하여 사전에 탐지 및 예방을 함으로써, 산업기반 또는 국가 핵심기술을 타 경쟁업체 또는 해외로 유출되는 것을 방지할 수 있는 효과가 있다.
또한, 퇴사자 또는 퇴사 예정자의 컴퓨터를 관리함으로써, 영업비밀 및 기술 유출에 관한 법적 증거자료를 사전에 확보할 수 있는 장점이 있다.
나아가, 범죄와 관련된 보험사기, 회계부정 및 기업내부 비위행위를 사전에 탐지할 수 있어, 모든 기업의 인프라에 활용과 확대가 가능하다.
도 1은 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 방법에 관한 흐름도를 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 장치에 관한 블록다이어그램을 나타내는 도면이다.
첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 방법에 관한 흐름도를 나타내는 도면이다.
도 1을 참조하면, 단계 110에서, 디지털포렌식을 이용한 디지털정보 관리 방법을 수행하는 장치(이하, '장치'라고 칭함)는 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석한다.
본 발명의 일 실시예에 따라, 장치는 소정의 기간(예를 들어, 사용자의 퇴사 시점부터 6개월 이전의 기간)을 정하여 이상행위를 검출하여 분석할 수도 있다.
본 발명의 일 실시예에 따라, 소정의 기간을 정하여 이상행위를 검출 및 분석하는 방법은 문서 삭제/복사/이동 기록 데이터 분석, 운영프로그램 삭제 추가설치 데이터 분석, 비인가 외장장치 접속 종류 데이터 분석, 인가/비인가 외장장치 접속 횟수 데이터 분석, 영업비밀유출,법적책임,삭제방법 등 디지털포렌식 회피 용어 검색 웹기록 분석 기술 등이 있다.
문서 삭제/복사/이동 기록 데이터 분석 기술은 MFT(마스터 파일 테이블) 엔트리와 Bitmap(볼륨 비트맵)을 인식한 후, 객체의 상태에 따라 삭제된 파일, 덮어쓰기 등의 파일의 접근, 생성, 수정 상태를 확인하고 특정 날짜의 파일 상태(예를 들어, 대량 삭제, 덮어 쓰기, 특정 장소로의 이동)를 확인하여 컴퓨터에서의 행위를 파악하고 분석한다.
MFT(마스터 파일 테이블)는 NFTS 볼륨 상의 모든 파일에 대하여 적어도 한 개의 엔트리를 가지고 있으며, 파일 크기, 작성 일자, 사용 권한, 데이터 내용 등, 파일에 관한 모든 정보를 저장하고 관리하며, MFT 엔트리는 NTFS 볼륨에 저장된 객체의 목록과 그 객체와 연관된 특정 속성 및 그러한 객체의 "부모-자녀" 관계를 제공한다.
Bitmap은 NTFS 볼륨 내의 클러스터 상태를 제공하며, FAT 파일 시스템과 마찬가지로 2개의 영역을 통해 객체의 상태를 결정한다.
운영프로그램 삭제 추가설치 데이터 분석 기술은 소프트웨어의 레지스트리, 예를 들어, HKEY_LOCAL_MACHINE\System Registry hive, 정보를 분석하여 현재 운영체제에 설치되었거나 삭제된 프로그램의 목록을 분석한다.
비인가 외장장치 접속 종류 데이터 분석 기술은 로그파일, 레지스트리 파일 등을 분석하여 외장저장장치 종류, 접속 날짜, 시리얼 번호 등을 분석한다.
SETUPAPI.DEV.LOG 파일에서는 장치의 설치와 삭제를 기록하기 위해 사용되며, 장치가 언제 설치되었는지와 제거되어졌는지 확인될 수 있다. Windows System EventLog 파일에는 이동형 USB 장치의 설치가 기록된다. HKEY_LOCAL_MACHINE\System Registry hive 레지스트리에는 USB 장치와 관련있는 많은 데이터가 저장된다. Enum\USB, Enum\USBSTOR, Enum\STORAGE에서는 장치 VID, PID를 포함한 subkey가 확인된다.
인가/비인가 외장장치 접속 횟수 데이터 분석 기술은 인가된 시리얼 넘버와 시스템의 로그파일, 레지스트리 파일에 접속한 시리얼 넘버를 비교하여 인가/비인가 외장저장장치의 접속 여부 및 접속 날짜 등을 분석한다.
영업비밀유출, 법적책임, 삭제방법 등 디지털포렌식 회피 용어 검색 웹기록 분석 기술은 웹 브라우저(예를 들어, Internet Explorer, Mozilla(Netscape, Firefox), Opera, Chrome, Safari 등등)에서는 Index.dat 파일을 사용해서 브라우저 사용에 관련된 정보를 저장하는데, 이를 쿠키, 히스토리, 임시 인터넷 파일 폴더에서 확인할 수 있여, 이를 분석하여 접속 사이트, 검색어, 방문날짜, 방문 횟수 등을 분석한다.
본 발명의 다른 실시예에 따라, 장치는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석할 수도 있다.
본 발명의 다른 실시예에 따라, 실시간으로 이상행위를 검출 및 분석하는 방법은 사용자 정보유출 이상행위 분석(User Behavior Analytics), 보안 문서 이상행위 탐지 및 추적(Security Document Detection and Trace), 엔드 포인트 침해 탐지 분석(End point Detection) 등이 있다.
사용자 정보유출 이상행위 분석 기술은 망 내의 모든 사용자의 엔드 포인트 단에서 발생하는 비정상 행위를 보안 위반 패턴 분석과 보안 위반 행동 분석을 통하여 정보 유출 이상행위를 사전에 검출하여 분석하는 기술입니다. 사용자 정보유출 이상행위 분석 기술의 종류로는 보안문서 및 외부장치 이동행위 패턴 분석, 보안문서 출력행위 패턴분석, 보안문서에 비정상 접근행위 분석, 미등록 어플리케이션 실행행위 탐지 및 차단, 의심스러운 네트워크로의 접속행위 분석, 내부 및 외부망 동시 접속행위 탐지, 비인가 단말장치 연결행위 탐지 기술 등이 있다.
보안 문서 이상행위 탐지 및 추적 기술은 최초 문서 생성 시 내부 보안규정에 따라 자동 분류된 보안 문서의 문서 식별 정보가 관리 서버에 등록된 이후에는 엔드 포인트 단에서 발생하는 모든 프로세스의 행동을 모니터링하여 취약점을 감시하고 파일 저장 및 접근 경로인 입출력단 감시와 정보 유출의 통로가 되는 네트워크 및 외부 장치를 실시간으로 감시하여 등록된 보안 문서의 비정상 유통 행위를 탐지한다. 보안 문서 이상행위로는 보안 문서 메일 첨부 행위, 보안 문서 USB 저장 행위, 보안 문서 인쇄 행위, 보안 문서 압축/임베딩 행위, 보안 문서 삭제 행위 등이 있다.
보안 문서는 정책에 따라 소정의 기준, 예를 들어, 자연어 보안 문구, 개인정보 패턴 문구 또는 보안 문서 확장자 등을 이용하여 미리 설정되어 있어야 한다.
엔드 포인트 침해 탐지 분석 기술은 엔드 포인트에서 실행되는 프로세스의 비정상 행위를 정밀하게 탐지하고 분석하여 대응을 하는 기능으로 각종 사이버 공격이나 변종 악성코드에 대응할 수 있는 기술이다.
단계 120, 장치는 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여한다. 지정된 기준에 따라 위험 등급을 미리 결정되고, 장치는 각각의 컴퓨터에 분석된 이상행위에 따라 위험 등급을 결정한다.
단계 130에서, 장치는 부여된 등급관련 정보를 외부로 전송한다. 장치는 부여된 등급을 시각적인 수단(예를 들어, 챠트 등)을 이용하여 디스플레이하거나, 부여된 등급을 관리자에게 송신할 수도 있다. 또는, 장치는 사용자의 정보 유출 행위 등의 이상 행위의 현황을 대쉬 보드를 통하여 제공할 수도 있으며, 이상행위를 해당 행위 별로 추적하여 해당 행위에 대한 로그 감사 자료를 제공할 수도 있다.
본 발명의 일 실시예에 따라, 장치는 부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송할 수도 있다.
단계 140에서, 등급이 미리 설정된 임계치를 초과하는 경우, 임계치를 초과한 컴퓨터의 동작을 차단할 수도 있다. 본 단계는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 경우를 위한 것으로, 이상행위가 위험하다고 판단되는 경우, 해당 컴퓨터의 프로세서를 정지시킬 수 있으며, 경우에 따라 역으로 추적할 수도 있다.
도 2는 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 장치에 관한 블록다이어그램을 나타내는 도면이다.
도 2를 참조하면, 디지털포렌식을 이용한 디지털정보 관리 장치(200)는 이상행위 검출분석부(210), 제어부(220), 이상행위 정보제공부(230), 차단부(240) 및 저장부(250)를 포함한다.
이상행위 검출분석부(210)는 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석한다.
본 발명의 일 실시예에 따라, 이상행위 검출분석부(210)는 소정의 기간(예를 들어, 사용자의 퇴사 시점부터 6개월 이전의 기간)을 정하여 이상행위를 검출하여 분석할 수도 있다.
본 발명의 일 실시예에 따라, 이상행위 검출분석부(210)는 소정의 기간을 정하여 문서 삭제/복사/이동 기록 데이터를 분석하고, 운영프로그램 삭제 추가설치 데이터를 분석하고, 비인가 외장장치 접속 종류 데이터를 분석하고, 인가/비인가 외장장치 접속 횟수 데이터를 분석하고, 영업비밀유출, 법적 책임, 삭제 방법 등 디지털포렌식 회피 용어 검색 웹기록을 분석할 수 있다.
이상행위 검출분석부(210)는 MFT(마스터 파일 테이블) 엔트리와 Bitmap(볼륨 비트맵)을 인식한 후, 객체의 상태에 따라 삭제된 파일, 덮어쓰기 등의 파일의 접근, 생성, 수정 상태를 확인하고 특정 날짜의 파일 상태(예를 들어, 대량 삭제, 덮어 쓰기, 특정 장소로의 이동)를 확인하여 컴퓨터에서의 행위를 파악하고 분석한다.
MFT(마스터 파일 테이블)는 NFTS 볼륨 상의 모든 파일에 대하여 적어도 한 개의 엔트리를 가지고 있으며, 파일 크기, 작성 일자, 사용 권한, 데이터 내용 등, 파일에 관한 모든 정보를 저장하고 관리하며, MFT 엔트리는 NTFS 볼륨에 저장된 객체의 목록과 그 객체와 연관된 특정 속성 및 그러한 객체의 "부모-자녀" 관계를 제공한다.
Bitmap은 NTFS 볼륨 내의 클러스터 상태를 제공하며, FAT 파일 시스템과 마찬가지로 2개의 영역을 통해 객체의 상태를 결정한다.
이상행위 검출분석부(210)는 소프트웨어의 레지스트리, 예를 들어, HKEY_LOCAL_MACHINE\System Registry hive, 정보를 분석하여 현재 운영체제에 설치되었거나 삭제된 프로그램의 목록을 분석한다.
이상행위 검출분석부(210)는 로그파일, 레지스트리 파일 등을 분석하여 외장저장장치 종류, 접속 날짜, 시리얼 번호 등을 분석한다.
SETUPAPI.DEV.LOG 파일에서는 장치의 설치와 삭제를 기록하기 위해 사용되며, 장치가 언제 설치되었는지와 제거되어졌는지 확인될 수 있다. Windows System EventLog 파일에는 이동형 USB 장치의 설치가 기록된다. HKEY_LOCAL_MACHINE\System Registry hive 레지스트리에는 USB 장치와 관련있는 많은 데이터가 저장된다. Enum\USB, Enum\USBSTOR, Enum\STORAGE에서는 장치 VID, PID를 포함한 subkey가확인된다.
이상행위 검출분석부(210)는 인가/비인가 외장장치 접속 횟수 데이터 분석 기술은 인가된 시리얼 넘버와 시스템의 로그파일, 레지스트리 파일에 접속한 시리얼 넘버를 비교하여 인가/비인가 외장저장장치의 접속 여부 및 접속 날짜 등을 분석한다.
이상행위 검출분석부(210)는 웹 브라우저(예를 들어, Internet Explorer, Mozilla(Netscape, Firefox), Opera, Chrome, Safari 등등)에서는 Index.dat 파일을 사용해서 브라우저 사용에 관련된 정보를 저장하는데, 이를 쿠키, 히스토리, 임시 인터넷 파일 폴더에서 확인할 수 있여, 이를 분석하여 접속 사이트, 검색어, 방문날짜, 방문 횟수 등을 분석한다.
본 발명의 다른 실시예에 따라, 이상행위 검출분석부(210)는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석할 수도 있다.
본 발명의 다른 실시예에 따라, 이상행위 검출분석부(210)는 사용자 정보유출 이상행위 분석(User Behavior Analytics), 보안 문서 이상행위 탐지 및 추적(Security Document Detection and Trace), 엔드 포인트 침해 탐지 분석(End point Detection) 등을 할 수가 있다.
이상행위 검출분석부(210)는 사용자 정보유출 이상행위 분석 기술은 망 내의 모든 사용자의 엔드 포인트 단에서 발생하는 비정상 행위를 보안 위반 패턴 분석과 보안 위반 행동 분석을 통하여 정보 유출 이상행위를 사전에 검출하여 분석할 수 있다. 사용자 정보유출 이상행위 분석 기술의 종류로는 보안문서 및 외부장치 이동행위 패턴 분석, 보안문서 출력행위 패턴분석, 보안문서에 비정상 접근행위 분석, 미등록 어플리케이션 실행행위 탐지 및 차단, 의심스러운 네트워크로의 접속행위 분석, 내부 및 외부망 동시 접속행위 탐지, 비인가 단말장치 연결행위 탐지 기술 등이 있다.
또한, 이상행위 검출분석부(210)는 최초 문서 생성 시 내부 보안규정에 따라 자동 분류된 보안 문서의 문서 식별 정보가 관리 서버에 등록된 이후에는 엔드 포인트 단에서 발생하는 모든 프로세스의 행동을 모니터링하여 취약점을 감시하고 파일 저장 및 접근 경로인 입출력단 감시와 정보 유출의 통로가 되는 네트워크 및 외부 장치를 실시간으로 감시하여 등록된 보안 문서의 비정상 유통 행위를 탐지할 수 있다. 보안 문서 이상행위로는 보안 문서 메일 첨부 행위, 보안 문서 USB 저장 행위, 보안 문서 인쇄 행위, 보안 문서 압축/임베딩 행위, 보안 문서 삭제 행위 등이 있다.
보안 문서는 정책에 따라 소정의 기준, 예를 들어, 자연어 보안 문구, 개인정보 패턴 문구 또는 보안 문서 확장자 등을 이용하여 미리 설정되어 있어야 한다.
또한, 이상행위 검출분석부(210)는 엔드 포인트에서 실행되는 프로세스의 비정상 행위를 정밀하게 탐지하고 분석하여 대응을 하는 기능으로 각종 사이버 공격이나 변종 악성코드에 대응할 수 있다.
제어부(220)는 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여한다. 지정된 기준에 따라 위험 등급을 미리 결정되고, 제어부(220)는 각각의 컴퓨터에 분석된 이상행위에 따라 위험 등급을 결정한다.
이상행위 정보제공부(230)는 부여된 등급관련 정보를 외부로 전송한다. 이상행위 정보제공부(230)는 부여된 등급을 시각적인 수단(예를 들어, 챠트 등)을 이용하여 디스플레이하거나, 부여된 등급을 관리자에게 송신할 수도 있다. 또는, 이상행위 정보제공부(230)는 사용자의 정보 유출 행위 등의 이상 행위의 현황을 대쉬 보드를 통하여 제공할 수도 있으며, 이상행위를 해당 행위 별로 추적하여 해당 행위에 대한 로그 감사 자료를 제공할 수도 있다.
본 발명의 일 실시예에 따라, 이상행위 정보제공부(230)는 부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송할 수도 있다.
차단부(240)는 등급이 미리 설정된 임계치를 초과하는 경우, 임계치를 초과한 컴퓨터의 동작을 차단할 수도 있다. 이는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 경우를 위한 것으로, 이상행위가 위험하다고 판단되는 경우, 해당 컴퓨터의 프로세서를 정지시킬 수 있으며, 경우에 따라 역으로 추적할 수도 있다.
이상 행위 분석 결과 및 각각의 프로세스들은 저장부(250)에 저장된다.
이상 설명한 바와 같은 디지털포렌식을 이용한 디지털정보 관리 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 매체를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 디스크 관리 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
200: 디지털포렌식을 이용한 디지털정보 관리 장치
210: 이상행위 검출분석부 220: 제어부
230: 이상행위 정보제공부 240: 차단부
250: 저장부

Claims (10)

  1. 디지털포렌식을 이용한 디지털 관리 방법을 수행하는 장치에 의하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계;
    상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 단계; 및
    상기 결정된 등급관련 정보를 외부로 전송하는 단계를 포함하되,
    상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는,
    소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계를 포함하고,
    상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는,
    실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 단계; 및
    상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 단계를 포함하며,
    상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는,
    상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 및 디지털포렌식 회피 용어 검색 웹기록 분석하는 단계 중 적어도 하나를 포함하고,
    상기 디지털 관리 방법을 수행하는 장치는,
    분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여하고, 지정된 기준에 따라 위험 등급을 미리 결정하며,
    부여된 등급 관련 정보를 외부로 전송하며, 상기 결정된 등급을 시각적인 수단을 이용하여 디스플레이하고, 부여된 등급을 관리자에게 송신하며,
    상기 이상행위를 해당 행위별로 추적하여 상기 해당 행위에 대한 로그 감사 자료를 제공하고,
    부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 이상행위 검출분석부;
    상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 제어부;
    상기 결정된 등급관련 정보를 외부로 전송하는 이상행위 정보제공부; 및
    상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 차단부를 포함하되,
    상기 이상행위 검출분석부는,
    소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하며,
    상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 또는 디지털포렌식 회피 용어 검색 웹기록 분석하고,
    실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석며,
    상기 제어부는,
    분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여하고, 지정된 기준에 따라 위험 등급이 미리 결정되어, 각각의 컴퓨터에 분석된 이상행위에 따라 위험 등급을 결정하고,
    상기 이상행위 정보제공부는,
    부여된 등급관련 정보를 외부로 전송하며, 부여된 정보를 시각적인 수단을 이용하여 디스플레이 하거나, 부여된 등급을 관리자에게 송신하며,
    사용자의 정보 유출 행위의 이상행위의 현황을 대쉬 보드를 통해 제공하며, 이상행위를 해당 행위별로 추적하여 해당 행위에 대한 로그 감사 자료를 제공하고,
    부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
KR1020180024063A 2018-02-27 2018-02-27 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 KR102488337B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180024063A KR102488337B1 (ko) 2018-02-27 2018-02-27 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180024063A KR102488337B1 (ko) 2018-02-27 2018-02-27 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20190102937A KR20190102937A (ko) 2019-09-04
KR102488337B1 true KR102488337B1 (ko) 2023-01-13

Family

ID=67950413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180024063A KR102488337B1 (ko) 2018-02-27 2018-02-27 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR102488337B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256507B1 (ko) * 2012-11-13 2013-04-19 국방과학연구소 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110110431A (ko) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 정보보안 장치 및 방법
KR20120065819A (ko) * 2010-12-13 2012-06-21 한국전자통신연구원 사용자 행위 분석을 위한 디지털 포렌식 장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256507B1 (ko) * 2012-11-13 2013-04-19 국방과학연구소 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20190102937A (ko) 2019-09-04

Similar Documents

Publication Publication Date Title
US11599660B2 (en) Dynamic policy based on user experience
US10154066B1 (en) Context-aware compromise assessment
CN103632080B (zh) 一种基于USBKey的移动数据应用安全保护方法
CN108683652A (zh) 一种基于行为权限的处理网络攻击行为的方法及装置
CN101667232B (zh) 基于可信计算的终端可信保障系统与方法
RU2581559C2 (ru) Система и способ применения политик безопасности к накопителю в сети
US10482240B2 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
KR101080953B1 (ko) 실시간 웹쉘 탐지 및 방어 시스템 및 방법
US10262139B2 (en) System and method for detection and prevention of data breach and ransomware attacks
KR101731312B1 (ko) 사용자 단말의 애플리케이션에 대한 권한변경 탐지 방법, 장치 및 컴퓨터 판독가능 기록매체
KR100853721B1 (ko) 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
JP5293151B2 (ja) コンテンツ保護装置及びコンテンツ保護プログラム
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
KR102222008B1 (ko) 데이터 위변조 방지를 위한 접근제어 기술 기반 측정장비 원격 감시 시스템(tms)
CN110365642B (zh) 监控信息操作的方法、装置、计算机设备及存储介质
KR102488337B1 (ko) 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치
KR101040765B1 (ko) 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks
CN114239034A (zh) 一种保护敏感资源的日志记录系统及事故取证方法
Hakkoymaz Classifying database users for intrusion prediction and detection in data security
KR102182397B1 (ko) 웹 서비스 보호 및 자동 복구 방법 및 그 시스템
KR20180135601A (ko) 컴퓨터 시스템의 랜섬웨어 실시간 탐지 와 차단 방법 및 그 장치
KR102221726B1 (ko) Edr 단말 장치 및 방법
US20200259855A1 (en) Information processing apparatus, information processing system, security assessment method, and security assessment program
KR101278317B1 (ko) 내용 기반 검색을 통한 파일 관리 장치 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant