KR102522217B1 - 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치 - Google Patents

보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치 Download PDF

Info

Publication number
KR102522217B1
KR102522217B1 KR1020210116329A KR20210116329A KR102522217B1 KR 102522217 B1 KR102522217 B1 KR 102522217B1 KR 1020210116329 A KR1020210116329 A KR 1020210116329A KR 20210116329 A KR20210116329 A KR 20210116329A KR 102522217 B1 KR102522217 B1 KR 102522217B1
Authority
KR
South Korea
Prior art keywords
storage area
secure storage
data
area
backup
Prior art date
Application number
KR1020210116329A
Other languages
English (en)
Other versions
KR20230033401A (ko
Inventor
김성원
김정희
황인철
Original Assignee
주식회사 시큐웨어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐웨어 filed Critical 주식회사 시큐웨어
Priority to KR1020210116329A priority Critical patent/KR102522217B1/ko
Publication of KR20230033401A publication Critical patent/KR20230033401A/ko
Application granted granted Critical
Publication of KR102522217B1 publication Critical patent/KR102522217B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Automation & Control Theory (AREA)
  • Bioethics (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

보안 저장 영역에 대한 백업 기능을 구비한 복원 장치가 개시된다. 본 장치는 일반 어플리케이션의 접근이 제한될 수 있는 보안 저장 영역 및 보안 저장 영역의 데이터를 변경하려는 하나 이상의 오퍼레이션이 실행되는 경우, 오퍼레이션 각각에 대해 실행 전으로 보안 저장 영역의 데이터를 복원하기 위한 데이터 청크가 저장된 백업 영역을 포함하는 하나 이상의 저장부 및 보안 저장 영역에 대한 접근 모드를 활성 모드 또는 비활성 모드로 설정하고, 활성 모드에서만 데이터 청크를 타임 순으로 생성하여 백업 영역에 저장하는 하나 이상의 프로세서를 포함할 수 있다. 이에 따라, 장치 사용 안정성이 향상될 수 있다.

Description

보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치{APPARATUS TO BACK UP DATA IN SECURE STORAGE AND TO RESTORE BASED ON THE BACKUP DATA COMPRISING TIME INFORMATION}
본 발명은 저장소 내 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원 프로세스를 수행하는 장치에 관한 것이다.
이하에서 기술되는 내용은 본 발명의 실시 예와 관련되는 배경 정보를 제공할 목적으로 기재된 것일 뿐이고, 기술되는 내용들이 당연하게 종래기술을 구성하는 것은 아니다.
인터넷의 보급 및 대중화와 무선통신 기술의 발전으로 등장한 다양한 모바일 스마트 장치들의 대중화를 통해 일상에서 개인이나 기업이 생성하는 데이터의 양이 급속히 증가하고 있다.
그리고, 개인 및 기업에 의해 생성되는 데이터의 양이 증가함에 따라 대용량 저장장치 및 클라우드 저장소와 같은 다양한 데이터 저장장치 및 어플리케이션 서비스들이 등장하고 있으며 개인 및 기업은 비교적 저렴한 가격에 다양한 데이터 저장장치와 어플리케이션 서비스들을 사용할 수 있는 시대가 되었다.
그러나, 이러한 다양한 대용량 저장장치의 보급과 클라우드를 포함하는 데이터의 저장에 관한 어플리케이션 서비스들이 대중적으로 보급되고 있지만, 실제 데이터를 생성하는 시점과 그 데이터가 최종적으로 상기한 여러 형태의 어플리케이션 서비스의 저장공간으로 이동되기 전까지는 여전히 개인용 컴퓨터에 부착된 데이터 저장장치를 사용하고 있으며, 특히 정보보안의 중요성이 대두되면서 인터넷의 연결이 필요로 하는 대중적인 어플리케이션 서비스에 자유롭게 접속할 수 없도록 하는 폐쇄적인 환경과 이와 유사한 기업의 업무환경에서도 여전히 개인용 컴퓨터에 부착된 대용량 저장장치 또는 해당 컴퓨터에 근거리 통신망을 이용하여 연결된 원격 데이터 저장장치에 보다 많은 데이터들이 지속적으로 저장되고 있다.
증가하는 데이터 중에는 정보보안의 관점에서 안전하게 보호해야 할 데이터가 상대적으로 많이 존재할 가능성이 크며 특히 컴퓨터 및 인터넷 기술의 발전과 함께 성장하고 있는 악성코드 및 컴퓨터 바이러스 등에 의한 악의적인 데이터의 유출 및 파손 등의 위협에서 이를 안전하게 보호해야 할 필요성 또한 매우 높아지고 있다.
이러한 문제점으로 컴퓨터에는 다양한 보안 시스템들이 적용되고 있다. 이러한 보안 시스템들로는 컴퓨터의 부팅 시 아이디/암호를 입력하는 로그인 방식의 보안 시스템과, 선행 기술에 개시된 것과 같이 컴퓨터의 저장장치 전체 또는 저장장치의 일부 영역을 암호화하거나 선택된 특정 파일만을 암호화 하고, 특정 인증절차를 통해서만 상기 일부 영역 또는 파일을 사용할 수 있도록 하는 암호화 방식의 저장장치 보안 시스템 등이 있다.
그러나 대부분의 저장장치 보안 시스템은 아이디 및 비밀번호, 또는 비밀번호의 입력만으로 암호화된 보안 영역을 사용할 수 있도록 구성되어 있어 보안성이 떨어지는 문제점이 있고 암호화된 보안 영역을 정상적인 인증과정을 통해 활성화 한 이후 실제 사용하는 단계에서 발생할 수 있는 랜섬웨어 등과 같은 APT 공격에 매우 취약하며 이러한 취약점으로 인해 암호화 된 보안 영역에 저장했던 중요한 데이터가 손실되거나 부정한 사용자에 의해 외부로 손쉽게 유출되는 사고가 빈번하게 발생하고 있다.
또한, 암호화된 보안영역의 특성상, 저장하는 데이터의 암호화와 같이 데이터의 보호에만 기능의 초점이 맞춰져 있기 때문에 해당 보안영역이 존재하고 있는 물리적인 저장장치의 손상 등으로 인한 비상시에 대비하기 위해서는 사용자가 개별적으로 또 다른 보안영역이 구비된 저장장치를 준비하거나 또는 보안성이 제공되지 않는 일반적인 저장 장치 또는 어플리케이션 서비스로 직접 보안영역의 데이터를 백업해야 하는 등의 번거로움이 존재하여 궁극적으로 보안영역에 안전하게 데이터를 저장하고자 했던 본연의 목적이 훼손되는 피해들이 자주 발생하고 있다.
이에, 데이터의 보안을 고려하여 저장하는 방법과 데이터 백업 및 복원하는 방법이 필요하다.
한편, 전술한 선행기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
대한민국 공개특허공보 제10-2015-0144312호 (공개일 : 2015.12.24)
상술한 바와 같은 문제점을 해결하기 위한 본 발명이 해결하고자 하는 일 과제는 저장 장치 내 보안 저장 영역의 데이터를 백업하고 백업된 데이터에 기초하여 복원 프로세스를 수행하는 방법을 제공하는 데에 있다.
본 발명의 또 다른 과제는, 회사 등에서 구성원들의 업무 수행 과정에서 생성되는 업무 파일은 보안 저장 영역에서만 열람, 생성, 편집, 삭제되도록 하면서, 업무 이외의 개인적인 문서는 동일 단말기에서 동일한 응용 프로그램을 이용하여 비보안 영역에서 자유롭게 열람, 생성, 편집할 수 있도록 하는 방법 및 장치를 제공하고자 한다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 실시 예에 따른 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치는 일반 어플리케이션의 접근이 제한될 수 있는 보안 저장 영역 및 상기 보안 저장 영역의 데이터를 변경하려는 하나 이상의 오퍼레이션이 실행되는 경우, 오퍼레이션 각각에 대해 실행 전으로 상기 보안 저장 영역의 데이터를 복원하기 위한 데이터 청크가 저장된 백업 영역을 포함하는 하나 이상의 저장부; 및 상기 보안 저장 영역에 대한 접근 모드를 활성 모드 또는 비활성 모드로 설정하고, 상기 활성 모드에서만 상기 데이터 청크를 타임 순으로 생성하여 상기 백업 영역에 저장하는 하나 이상의 프로세서를 포함할 수 있다.
상기 프로세서는 상기 보안 저장 영역에 접근하기 위한 암호키의 입력 여부에 기초하여, 상기 보안 저장 영역에 접근하려는 일반 어플리케이션에 접근 권한을 부여할 수 있다.
상기 프로세서는 상기 보안 저장 영역에 손상이 가해지거나 상기 접근 모드가 비활성 모드인 경우에도, 상기 백업 영역에 위치한 데이터 청크에 기초하여, 기 설정된 시점으로 상기 보안 저장 영역의 데이터를 복원할 수 있다.
여기서, 상기 데이터 청크 각각은 오퍼레이션 실행 타임, 상기 보안 저장 영역의 기록 위치, 데이터 사이즈 및 유효성 체크를 위한 정보를 포함할 수 있다.
상기 프로세서는 상기 일반 어플리케이션이 상기 보안 저장 영역에 쓰기(W) 오퍼레이션을 실행하는 중에, 상기 설정 모드가 비활성 모드로 변경되는 경우, 스택(Stack)을 이용하여 오퍼레이션 실행 전으로 상기 보안 저장 영역의 데이터를 복원하고, 상기 일반 어플리케이션의 접근을 차단할 수 있다.
상기 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치는 디스플레이를 더 포함할 수 있으며, 상기 프로세서는 일반 어플리케이션이 상기 보안 저장 영역에 쓰기(W) 오퍼레이션을 수행하는 경우, 쓰기(W) 오퍼레이션의 진행 상태 정보, 백업 진행 상태 정보를 상기 디스플레이를 통해 출력할 수 있다.
상기 보안 저장 영역 및 상기 백업 영역은 서로 다른 저장부에 위치할 수 있다. 상기 프로세서는 상기 보안 저장 영역이 위치한 저장부가 손상되더라도 상기 백업 영역을 이용하여, 상기 보안 저장 영역을 별도의 저장부에서 복원할 수 있다.
상기 프로세서는 상기 활성화 모드에서, 소정 타임 구간 동안 오퍼레이션이 실행되지 않는 경우, 비활성 모드로 상기 접근 모드를 변경할 수 있다.
본 발명의 일 실시 예에 따르면, 보안 저장 영역의 데이터를 저장한 저장 장치의 손상에도 해당 데이터가 완벽하게 복원됨으로써, 시스템이 안정적으로 운영될 수 있다.
본 발명의 일 실시 예에 따르면, 업무상 생성하는 문서와 개인적으로 생성하는 문서에 대한 분리가 가능하며, 구성원들의 업무 수행 과정에서 생성되는 업무 파일은 보안 저장 영역에서만 열람, 생성, 편집, 삭제되도록 하면서, 업무 이외의 개인적인 문서는 동일 단말기에서 동일한 응용 프로그램을 이용하여 비보안 영역에서 자유롭게 열람, 생성, 편집할 수 있는 효과가 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시 예에 따른 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치를 개략적으로 설명하기 위한 도면,
도 2는 본 발명의 일 실시 예에 따른 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치의 저장부의 구조를 설명하기 위한 도면, 그리고,
도 3은 본 발명의 일 실시 예에 따른 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치의 구성을 나타내는 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시 예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다.
설명에 앞서 본 명세서에서 사용하는 용어의 의미를 간략히 설명한다. 그렇지만 용어의 설명은 본 명세서의 이해를 돕기 위한 것이므로, 명시적으로 본 발명을 한정하는 사항으로 기재하지 않은 경우에 본 발명의 기술적 사상을 한정하는 의미로 사용하는 것이 아님을 주의해야 한다.
도 1은 본 발명의 일 실시 예에 따른 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치(이하, '백업 기능을 구비한 복원 장치'로 지칭함, 100)를 개략적으로 설명하기 위한 도면이다.
도 1을 참고하면, 백업 기능을 구비한 복원 장치(100)는 보안 저장 영역(SA)을 구비한 저장부(130)를 구비하며, 보안 저장 영역(SA)에 위치한 데이터를 백업할 수 있으며, 타임 머신과 같이 타임 기반으로 백업된 데이터를 복원할 수 있는데, 백업 기능을 구비한 복원 장치(100)는 PC(Personal Computer), 서버, 워크 스테이션, 스마트폰, 태블릿 PC, 디지털 사이니지 등을 포함할 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
백업 기능을 구비한 복원 장치(100)는 소프트웨어 계층 구조 상으로 커널 레이어(KEL) 및 어플리케이션 레이어(APL)을 포함할 수 있다. 커널 레이어(KEL)는 운영 체제(Operating System, POS)가 주로 컨트롤하는 영역이며, 어플리케이션 레이어(APL)는 사용자 프로그램 레벨에서 다양한 어플리케이션(가령, 인터넷 브라우저, 게임 프로그램, 탐색 프로그램, 쉘 프로그램 등)이 실행되는 레이어일 수 있다. 여기서, 운영 체제는 윈도우즈, 리눅스(LINUX), 맥(MAC), 유닉스, 안드로이드 또는 iOS 일 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
어플리케이션 레이어(APL)의 보안 어플리케이션(SAP)은 운영 시스템(POS)을 통하거나 자체적인 권한을 부여받아 보안 저장 영역(SA)에 접근할 수 있다.
백업 기능을 구비한 복원 장치(100)는 저장부(130)를 포함할 수 있는데, 저장부(130)는 하나 이상의 하드 디스크, SSD(Solid State Disk), 외장형 저장 장치 등을 포함할 수 있으며, 선택적 실시 예로, 외부 클라우드에 배치될 수도 있다.
저장부(130)는 보안 저장 영역(SA) 및 백업 영역(BA)을 포함할 수 있다. 보안 저장 영역(SA)은 일반 어플리케이션의 접근이 제한될 수 있는 영역으로, 접근 모드에 기초하여 관리될 수 있다. 접근 모드는 활성 모드, 비활성 모드 및 복원 모드 중 하나일 수 있으나, 실시 예가 이에 한정되는 것은 아니다. 백업 영역(BA)은 보안 저장 영역(SA)의 데이터 변경를 시간순으로 저장할 수 있으며, 추후에 백업 기능을 구비한 복원 장치(100)는 백업 영역(BA)의 데이터에 기초하여 보안 저장 영역(SA)의 데이터를 복원할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 백업 기능을 구비한 복원 장치(100)의 저장부(130)의 구조를 설명하기 위한 도면이다.
저장부(130)는 저장 위치에 따라 다양한 데이터를 저장할 수 있는데, 보안 저장 영역(SA)을 포함하는 제1 영역(131A) 및 백업 영역(BA)의 데이터인 데이터 청크 리스트(BAD) 및 데이터 청크 리스트(BAD)에 대응하는 인덱스(BAI)를 포함하는 제2 영역(BA)을 포함할 수 있다.
제1 영역(131A)은 일반 영역(1311) 및 보안 저장 영역(SA)을 포함할 수 있는데, 일반 영역(1311)은 일반 디스크 영역으로 다양한 어플리케이션 및 커널 프로그램이 접근할 수 있는 영역일 수 있다.
보안 저장 영역(SA)은 복수의 암호 영역(SA1~SAN)을 포함할 수 있는데, 일 예로, 제1 암호 영역(SA1)은 암호키 영역(1312) 및 암호키에 의해 암호화된 데이터가 저장된 보안 데이터 영역(1313)을 포함할 수 있다. 복수의 암호 영역(SA1~SAN)의 각 암호키 영역은 일반 어플리케이션 별로 요청에 의해 생성될 수 있다. 선택적 실시 예로, 복수의 암호 영역(SA1~SAN)의 각 암호키 영역은 동일한 암호키를 저장할 수 있다. 선택적 실시 예로, 복수의 암호 영역(SA1~SAN)은 보안 어플리케이션에 의해 생성될 수도 있다.
제1 암호 영역(SA1)은 복수의 부분 암호 영역(1312a~1312n)을 포함할 수 있는데, 복수의 부분 암호 영역(1312a~1312n) 중 대표적인 제1 부분 암호 영역(1312a)은 제1 암호키 영역(1312a1) 및 제1 암호키로 암호화된 데이터 영역(1312a2)을 포함할 수 있다.
여기서, 복수의 암호키 영역(1312a1~1312n1)은 각 어플리케이션의 각 사용자에 매핑될 수 있으며, 각 사용자는 암호키 영역(1312a1~1312n1)의 암호키를 커널 레이어(KEL)의 운영 시스템(POS)에 제공하면, 운영 시스템(POS)은 해당 어플리케이션에 암호키로 암호화된 데이터 영역에 접근을 허용할 수 있다.
가령, 제1 사용자가 제1 암호키 영역에 저장된 제1 암호키를 생성한 경우, 제1 사용자는 제1 암호키 영역(1312a1)의 제1 암호키를 커널 레이어(KEL)의 운영 시스템(POS)에 제공하면, 운영 시스템(POS)은 해당 어플리케이션에 암호키로 암호화된 데이터 영역에 접근을 허용할 수 있다.
저장부(130)는 백업 영역(BA)을 포함할 수 있는데, 백업 영역(BA)은 데이터 청크 리스트(BAD) 및 데이터 청크 리스트(BAD)에서 데이터를 신속하게 검색하기 위한 인덱스(BAI)를 저장할 수 있다. 여기서, 인덱스(BAI)는 Linked List, 트리 기반의 알고리즘으로 구현될 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
데이터 청크 리스트(BAD)는 제1 데이터 청크(BAD1) 내지 제N 데이터 청크(BADN)를 포함할 수 있으며, 오퍼레이션에 따라 시간순으로 데이터 청크들을 저장할 수 있다.
여기서, 데이터 청크들(BAD1~BADN) 각각은 오퍼레이션 실행 타임, 상기 보안 저장 영역의 기록 위치, 데이터 사이즈 및 유효성 체크를 위한 정보 및 각 오퍼레이션 전의 해당 위치의 데이터 등을 포함할 수 있으나, 실시 예가 이에 국한되는 것은 아니다.
데이터 인덱스(BAI, 색인)는 제1 데이터 청크(BAD1) 내지 제N 데이터 처크(BADN)를 신속하게 검색하기 위한 인덱스이며, 특정 어플리케이션의 요청에 따라 생성된 데이터 청크를 신속하게 검색할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 백업 기능을 구비한 복원 장치(100)의 구성들을 나타내는 블록도이다.
백업 기능을 구비한 복원 장치(100)는 입력부(110), 디스플레이(120), 저장부(130) 및 하나 이상의 프로세서(190)를 포함할 수 있다. 다만, 상술한 구성들은 백업 기능을 구비한 복원 장치(100)를 구현하는데 필수적인 구성요소들은 아니므로, 백업 기능을 구비한 복원 장치(100)는 상술한 구성들보다 더 적은 또는 더 많은 구성들을 포함할 수 있다.
입력부(110)는 다양한 정보를 입력받기 위한 모듈이며, 가령, 카메라, 키보드, 터치 모듈, 마이크 등을 포함할 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
디스플레이(120)는 출력부의 일종으로 다양한 정보를 화면 상에 출력할 수 있다. 디스플레이(120)는 백라이트를 구비한 형태로 구현될 수 있으며, 백라이트 없이 자발광 소자를 이용하여 구현될 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
저장부(130)는 하드 디스크, 솔리드 스테이트 디스크(SSD), 외장형 저장 장치 및 각종 메모리 등을 포함하여 다양한 형태의 저장소를 망라하는 모듈이며, 저장부(130)는 인공 지능, 머신 러닝 또는 인공 신경망을 이용하여 연산을 수행하는데 필요한 정보를 저장할 수 있다. 저장부(130)는 다양한 학습 모델을 저장할 수 있는데, 상기 학습 모델들은 학습 데이터가 아닌 새로운 입력 데이터에 대하여 결과 값을 추론해 내는데 사용될 수 있고, 추론된 값은 어떠한 동작을 수행하기 위한 판단의 기초로 이용될 수 있다.
상기 학습 모델들은 레이블(Label) 정보에 기초하여, 학습이 수행될 수 있으며, 학습 정확도를 높이기 위해, 손실 함수가 목표의 값을 갖도록, 다양한 역전파(Backpropagation) 알고리즘이 적용될 수 있다.
프로세서(190)는 하나 이상의 프로세서로 구현될 수 있다. 프로세서(190)는
백업 기능을 구비한 복원 장치(100)의 구성들을 컨트롤하는 모듈이며, 프로세서(190)는 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다. 이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로써, 마이크로프로세서(microprocessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라하여 포함할 수 있으나, 본 발명의 범위가 이에 한정되는 것은 아니다. 프로세서(190)는 인공 지능 연산을 수행하기 위한 러닝 프로세서를 별도로 구비하거나, 자체적으로 러닝 프로세서를 구비할 수 있다.
프로세서(190)는 보안 저장 영역(SA)의 물리 디스크 상에서 상대적인 위치가 변할 수도 있으므로, 보안 저장 영역(SA)의 선두 소정 일부 영역을 예약 영역으로 설정하고, 예약 영역의 일부를 저장부(130)에 저장할 수 있다.
저장부(130)는 일반 어플리케이션의 접근이 제한될 수 있는 보안 저장 영역(SA) 및 보안 저장 영역(SA)의 데이터를 변경하려는 하나 이상의 오퍼레이션이 실행되는 경우, 오퍼레이션 각각에 대해 실행 전으로 보안 저장 영역(SA)의 데이터를 복원하기 위한 데이터 청크(BAD)가 저장된 백업 영역(BA)을 포함할 수 있다.
프로세서(190)는 보안 저장 영역(SA)에 대한 접근 모드를 활성 모드 또는 비활성 모드로 설정하고, 활성 모드에서만 상기 데이터 청크를 타임 순으로 생성하여 상기 백업 영역에 저장할 수 있다.
활성 모드는 일반 어플리케이션의 보안 저장 영역(SA)의 접근(특히, 쓰기 오퍼레이션 관련)을 허용하는 모드이며, 정확한 암호화키 입력되면, 암호화키에 대응하는 영역에 보안 데이터를 저장할 수 있다.
비활성 모드는 일반 어플리케이션의 보안 저장 영역(SA)의 접근을 허용하지 않는 모드이며, 특별한 어플리케이션(가령, 보안 어플리케이션) 또는 특별한 권한을 가진 프로그램만 해당 영역에 접근할 수 있다. 일반 어플리케이션의 경우, 보안 저장 영역(SA)의 암호키를 이용하여 특정 영역에 접근하는 권한을 가진 경우에도, 비활성 모드에서는 해당 영역에 접근이 허용되지 않을 수 있다. 이에 따라, 일반 어플리케이션이 보안 저장 영역(SA)에 대해 존재 여부 자체를 알 수 없게 됨으로써, 정보 보호가 안정적으로 수행될 수 있다.
프로세서(190)는 보안 저장 영역(SA)에 접근하기 위한 암호키의 입력 여부에 기초하여, 보안 저장 영역(SA)에 접근하려는 일반 어플리케이션에 접근 권한을 부여할 수 있다.
여기서, 암호키는 컴퓨터 시간에 기초한 랜덤 GUID, 대상 저장 영역의 일련 번호, 생성할 부분 보안 저장 영역의 사이즈 등을 포함할 수 있으며, 해쉬 처리하여 일정 크기로 생성될 수 있으나, 실시 예가 이에 한정되는 것은 아니다.
프로세서(190)는 보안 저장 영역(SA)에 손상이 가해지가나 접근 모드가 비활성 모드인 경우에도, 백업 영역에 위치한 데이터 청크(BAD)에 기초하여, 기 설정된 시점으로 보안 저장 영역(SA)의 데이터를 복원할 수 있다.
선택적 또는 부가적 실시 예로, 프로세서(190)는 접근 모드를 복원 모드로 설정할 수 있는데, 복원 모드에서 특정 과거 시점으로 보안 저장 영역(SA)의 데이터를 복원할 수 있다. 실시 예에서, 프로세서(190)는 특정 그룹의 어플리케이션이 수행한 오퍼레이션만 과거 시점으로 복원시킬 수 있다. 이는, 특정 해킹 프로그램의 침입에 대해서, 특정 해킹 프로그램이 접근한 데이터만 원상태로 복원하기 위함이다. 이를 위해, 데이터 청크(BAD)는 특정 프로그램의 식별 번호도 저장할 수 있다. 이 경우, 프로세서(190)는 데이터 인덱스(BAI, 색인)에서 특정 해킹 프로그램의 식별 번호에 기초하여, 해당 특정 해킹 프로그램의 오퍼레이션을 모두 제거할 수 있다.
프로세서(190)는 일반 어플리케이션이 보안 저장 영역(SA)에 쓰기(W) 오퍼레이션을 실행하는 중에, 설정 모드가 비활성 모드로 변경되는 경우, 스택(Stack)을 이용하여 오퍼레이션 실행 전으로 보안 저장 영역의 데이터를 복원하고, 일반 어플리케이션의 접근을 차단할 수 있다. 이때, 프로세서(190)는 일반 어플리케이션이 수행하려고 했던 오퍼레이션을 임시 저장소에 저장하였다가, 설정 모드가 활성 모드로 변경되는 경우, 임시 저장소에 저장된 오퍼레이션을 재차 시도할 수 있다. 실시 예에서, 오퍼레이션을 재차 시도하기 전에, 사용자의 의사를 묻는 팝업 창을 디스플레이(120)에 디스플레이할 수 있다.
프로세서(190)는 일반 어플리케이션이 보안 저장 영역(SA)에 쓰기(W) 오퍼레이션을 수행하는 경우, 쓰기(W) 오퍼레이션의 진행 상태 정보, 백업 진행 상태 정보를 디스플레이(120)를 통해 출력할 수 있다.
실시 예에서, 프로세서(190)는 소정 시점의 저장소의 데이터에 대해서 이미지 기반으로 데이터를 저장할 수도 있다. 이 경우, 데이터 청크(BAD)를 이용하지 않더라도 특정 시점의 저장부(130)의 저장 상태를 그대로 복원시킬 수 있다.
실시 예에서, 보안 저장 영역(SA) 및 백업 영역(BA)은 서로 다른 저장부에 위치할 수 있다. 이런 경우, 프로세서(190)는 보안 저장 영역(SA)이 위치한 저장부가 손상되더라도 백업 영역(BA)을 이용하여, 보안 저장 영역(SA)을 별도의 저장부(130)에서 복원할 수 이쑈다.
실시 예에서, 프로세서(190)는 활성화 모드에서, 소정 타임 구간 동안 오퍼레이션이 실행되지 않는 경우, 비활성 모드로 상기 접근 모드를 변경할 수 있다.
선택적 또는 부가적 실시 예에서, 프로세서(190)는 일반 어플리케이션이 암호키를 수회에 걸쳐 잘못 입력한 경우, 접근 모드를 비활성 모드로 변경할 수 있다.
선택적 또는 부가적 실시 예에서, 프로세서(190)는 일반 어플리케이션마다 일반 어플리케이션을 사용하는 권한을 지닌 사용자를 매칭할 수 있으며, 프로세서(190)는 카메라를 이용하여 사용자를 촬영한 후, 매칭된 사용자가 아닐 경우, 자동으로 비활성 모드로 접근 모드를 변경하여, 보안 저장 영역(SA)에 대한 접근을 차단할 수 있다.
실시 예에서, 프로세서(190)는 저장부(190)의 백업 영역(BA)에 접근하려는 각종 프로그램 및 스레드 등을 제한할 수 있다. 프로세서(190)는 백업 영역(BA)에 접근이 가능한 프로세스, 스레드만 해당 영역에 접근하게 할 수 있다.
상술한, 백업 영역(BA)에 보안 저장 영역(SA)의 데이터 청크를 저장하는 프로세스(또는 스레드)는 활성화 모드에서 보안 저장 영역(SA)에 데이터를 저장하는 일반 어플리케이션(프로세스 또는 스레드)와 병렬적으로 수행될 수 있다. 이에 따라, 백업 영역(BA)의 운영이 효과적으로 수행될 수 있다.
선택적 실시 예로, 프로세서(190)는 데이터 청크(BAD)의 처리 과정에서 일정 지연 시간을 기준으로 삼아 타임 구간 별로 인덱스의 키를 결정할 수 있으며, 해당 인덱스의 키가 이용됨으로써, 복원 시점에 대한 가이드가 수행될 수 있다.
실시 예에서, 프로세서(190)는 보안 저장 영역(SA)이 활성화 된 이후의 운영 시스템(POS) 상의 탐색기 또는 쉘 프로그램에 개별적인 마운트 지점 또는 드라이브로 할당되어 사용하거나, 운영 시스템(POS) 상의 탐색기 또는 쉘 프로그램에는 여전히 노출되지 않고 별도의 응용 프로그램에 의해서만 식별하여 사용할 수 있다.
이상에서 전술한 본 발명의 일 실시 예에 따른 방법은, 하드웨어인 컴퓨터와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다. 여기서, 컴퓨터는 앞에서 설명한 백업 기능을 구비한 복원 장치(100)일 수 있다.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, Python, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
본 발명의 실시 예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시 예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
100 : 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치

Claims (7)

  1. 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치로서,
    일반 어플리케이션의 접근이 제한될 수 있는 보안 저장 영역 및 상기 보안 저장 영역의 데이터를 변경하려는 하나 이상의 오퍼레이션이 실행되는 경우, 오퍼레이션 각각에 대해 실행 전으로 상기 보안 저장 영역의 데이터를 복원하기 위한 데이터 청크가 저장된 백업 영역을 포함하는 하나 이상의 저장부; 및
    상기 보안 저장 영역에 대한 접근 모드를 활성 모드 또는 비활성 모드로 설정하고, 상기 활성 모드에서만 상기 데이터 청크를 타임 순으로 생성하여 상기 백업 영역에 저장하는 하나 이상의 프로세서를 포함하며,
    상기 프로세서는,
    상기 보안 저장 영역에 접근하기 위한 암호키의 입력 여부에 기초하여, 상기 보안 저장 영역에 접근하려는 일반 어플리케이션에 접근 권한을 부여하고,
    상기 프로세서는,
    상기 보안 저장 영역에 손상이 가해지거나 상기 접근 모드가 비활성 모드인 경우에도, 상기 백업 영역에 위치한 데이터 청크에 기초하여, 기 설정된 시점으로 상기 보안 저장 영역의 데이터를 복원하며,
    상기 데이터 청크 각각은,
    오퍼레이션 실행 타임, 상기 보안 저장 영역의 기록 위치, 데이터 사이즈 및 유효성 체크를 위한 정보를 포함하고,
    상기 프로세서는,
    상기 일반 어플리케이션이 상기 보안 저장 영역에 쓰기(W) 오퍼레이션을 실행하는 중에, 상기 설정 모드가 비활성 모드로 변경되는 경우, 스택(Stack)을 이용하여 오퍼레이션 실행 전으로 상기 보안 저장 영역의 데이터를 복원하고, 상기 일반 어플리케이션의 접근을 차단하도록 구성되는, 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    디스플레이를 더 포함하며,
    상기 프로세서는,
    일반 어플리케이션이 상기 보안 저장 영역에 쓰기(W) 오퍼레이션을 수행하는 경우, 쓰기(W) 오퍼레이션의 진행 상태 정보, 백업 진행 상태 정보를 상기 디스플레이를 통해 출력하도록 구성되는, 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치.
  6. 제5항에 있어서,
    상기 보안 저장 영역 및 상기 백업 영역은 서로 다른 저장부에 위치하며,
    상기 프로세서는,
    상기 보안 저장 영역이 위치한 저장부가 손상되더라도 상기 백업 영역을 이용하여, 상기 보안 저장 영역을 별도의 저장부에서 복원하도록 구성되는, 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치.
  7. 제6항에 있어서,
    상기 프로세서는,
    상기 활성 모드에서, 소정 타임 구간 동안 오퍼레이션이 실행되지 않는 경우, 비활성 모드로 상기 접근 모드를 변경하도록 구성되는, 보안 저장 영역에 대한 백업 기능을 구비한 복원 장치.
KR1020210116329A 2021-09-01 2021-09-01 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치 KR102522217B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210116329A KR102522217B1 (ko) 2021-09-01 2021-09-01 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210116329A KR102522217B1 (ko) 2021-09-01 2021-09-01 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치

Publications (2)

Publication Number Publication Date
KR20230033401A KR20230033401A (ko) 2023-03-08
KR102522217B1 true KR102522217B1 (ko) 2023-04-17

Family

ID=85507891

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210116329A KR102522217B1 (ko) 2021-09-01 2021-09-01 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치

Country Status (1)

Country Link
KR (1) KR102522217B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120136827A1 (en) * 2010-11-29 2012-05-31 Computer Associates Think, Inc. Periodic data replication

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10289860B2 (en) 2014-04-15 2019-05-14 Namusoft Co., Ltd. Method and apparatus for access control of application program for secure storage area
KR102291719B1 (ko) * 2015-03-18 2021-08-23 삼성전자주식회사 애플리케이션 보호 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120136827A1 (en) * 2010-11-29 2012-05-31 Computer Associates Think, Inc. Periodic data replication

Also Published As

Publication number Publication date
KR20230033401A (ko) 2023-03-08

Similar Documents

Publication Publication Date Title
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
US9852289B1 (en) Systems and methods for protecting files from malicious encryption attempts
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
US8429745B1 (en) Systems and methods for data loss prevention on mobile computing systems
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
US9077747B1 (en) Systems and methods for responding to security breaches
AU2007252841B2 (en) Method and system for defending security application in a user's computer
US8281410B1 (en) Methods and systems for providing resource-access information
US20190332765A1 (en) File processing method and system, and data processing method
EP3622431B1 (en) Crypto-ransomware compromise detection
EP4006763A1 (en) Single-use authentication methods for accessing encrypted data
US11601281B2 (en) Managing user profiles securely in a user environment
EP2006792A2 (en) Encryption and decryption methods and a PLC system using said methods
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
WO2009158305A1 (en) Systems and methods for controlling access to data through application virtualization layers
JP6511161B2 (ja) データファイルの保護
US11113152B1 (en) Systems and methods for managing file backup
US10318272B1 (en) Systems and methods for managing application updates
US8108935B1 (en) Methods and systems for protecting active copies of data
CN110402440B (zh) 分段密钥认证系统
CN109214204A (zh) 数据处理方法和存储设备
CN111709054B (zh) 隐私空间信息访问控制方法、装置和计算机设备
US10192056B1 (en) Systems and methods for authenticating whole disk encryption systems
US20210294910A1 (en) Systems and methods for protecting a folder from unauthorized file modification
KR102522217B1 (ko) 보안 저장 영역의 데이터를 백업하고 시간 정보를 포함하는 백업된 데이터에 기초하여 복원을 수행하는 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant