KR102554875B1 - 원격 업무 환경 제공 장치 및 방법 - Google Patents

원격 업무 환경 제공 장치 및 방법 Download PDF

Info

Publication number
KR102554875B1
KR102554875B1 KR1020210094867A KR20210094867A KR102554875B1 KR 102554875 B1 KR102554875 B1 KR 102554875B1 KR 1020210094867 A KR1020210094867 A KR 1020210094867A KR 20210094867 A KR20210094867 A KR 20210094867A KR 102554875 B1 KR102554875 B1 KR 102554875B1
Authority
KR
South Korea
Prior art keywords
user terminal
network
user
work environment
authentication
Prior art date
Application number
KR1020210094867A
Other languages
English (en)
Other versions
KR20220042042A (ko
Inventor
임각수
김성진
강정환
한승훈
김병준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US17/467,793 priority Critical patent/US20220103524A1/en
Publication of KR20220042042A publication Critical patent/KR20220042042A/ko
Application granted granted Critical
Publication of KR102554875B1 publication Critical patent/KR102554875B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

원격 업무 환경 제공 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치는 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하고, 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하고, 상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하고, 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공한다.

Description

원격 업무 환경 제공 장치 및 방법 {APPARATUS AND METHOD FOR CONNECTING NETWORK FOR PROVIDING REMOTE WORK ENVIRONMENT}
본 발명은 안전한 원격업무환경 구축을 위한 원격 보안, 원격 업무 환경 제공, 사용자 인증 및 원격 업무 환경 제공 기술에 관한 것이다.
원격업무는 기관이나 기업 등이 사무실이라고 부르는 물리적으로 지정해 놓은 업무공간 이외의 장소에서 원격 업무 환경 제공을 이용한 업무환경을 구축하고 업무를 수행함을 의미한다. 원격업무환경 구축에서는 업무수행에 필요한 자료 및 업무시스템을 활용하기 위해 네트워크를 통한 업무망 접속이 필수적이다. 그렇기에 원격업무환경을 구축할 때에 대표적으로 활용하는 네트워크 기술이 VPN(Virtual Private Network)이다. VPN은 가상사설망이란 뜻으로 인터넷과 같은 공중망(Public Network)을 전용선 사설망으로 구축한 것처럼 사용할 수 있도록 지원하는 기술이다. 업무공간 영역에 VPN 장비를 구축하고 업무공간 밖의 인증된 사용자에게만 원격 업무 환경 제공을 허용하여, 업무공간 영역 밖에서도 업무공간 내 업무시스템을 활용할 수 있도록 환경을 구성할 수 있다. VPN 클라이언트가 설치된 단말과 업무영역의 VPN 장비 사이의 통신 구간은 암호화되어 데이터를 보호한다.
현재 원격업무환경은 사용자가 업무공간 영역 외 원격지에서 VPN 연결을 통해 업무시스템에 접속하고 업무를 수행하는 환경으로 구축되어 있다. 하지만 현재 일반적인 원격업무환경의 원격 업무 환경 제공 과정은 망혼용 보안 위협에 노출되어 있다. 망혼용이란 하나의 업무용 PC나 노트북 등 단말에서 인터넷 사용도 가능하고 업무망 사용도 가능함을 의미한다. 인터넷망 단말과 업무용 단말을 구분하여 업무시스템을 보호하는 망분리 개념과는 상반되는 환경이며, 인터넷을 통한 업무망으로의 악성코드 전파 등 업무망 보안에 매우 취약한 환경이다. 현재 원격업무환경은 사용자가 단말을 부팅, 운영체제 로그온 후 VPN 클라이언트를 실행시켜 업무망에 접속하게 된다. 이때 사용자가 운영체제 로그인 후 VPN 클라이언트 실행 전까지 단말은 인터넷이 가능한 환경이 된다. 이와 같은 시점에서 사용자가 인터넷 사용 중 악성코드에 감염된 후 업무망에 접속하게 되면, 업무망으로의 악성코드 전파가 이루어질 수 있다. 그러므로 원격업무환경에서는 VPN을 통한 업무망 접속만 유지하고 사용자가 임의로 인터넷에 접속할 수 없도록 하는 기술 등 원격업무 단말의 네트워크 제어를 통한 보안 위협 대책이 필요하다.
원격업무환경에서의 다른 보안 위협으로는 단말 분실에 의한 데이터 유출이 존재한다. 원격업무는 물리적 보안이 갖추어진 업무전용공간이 아닌, 사용자 개인이 선택하는 임의의 장소가 업무공간이 되기 때문에 단말의 도난이나 탈취, 사용자 부주의에 의한 분실 등이 발생할 가능성이 있다. 분실된 단말 내 업무 데이터 유출 가능성과, 분실된 단말을 이용한 비인가자의 업무망 접속 등 단말 분실에는 다양한 보안 위협이 존재한다. 그렇기에 원격업무환경에서는 사용자 인증, 단말 관리, 데이터 유출 방지 등을 위한 보안기술이 필요하다.
한편, 한국등록특허 제 10-2251579 호“원격 제어 지원 방법 및 장치”는 보안을 유지하면서 유연하게 원격 제어 권한을 설정할 수 있는 원격 제어 지원 방법 및 장치에 관하여 개시하고 있다.
본 발명은 업무 환경에 알맞은 정책을 유지하면서 보안성이 향상된 원격업무환경을 구축하기 위해 사용자 단말과의 원격 업무 환경 제공을 지원하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치는 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하고, 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하고, 상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하고, 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 VPN 인증이 성공하면 상기 사용자 단말의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 원격 업무 환경 제공 장치의 원격 업무 환경 제공 방법에 있어서, 사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하는 단계; 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하는 단계; 상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하는 단계 및 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공하는 단계를 포함한다.
이 때, 상기 원격 업무 환경 제공 방법은 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용하는 단계를 더 포함할 수 있다.
이 때, 상기 네트워크 운영 정책을 적용하는 단계는 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 상기 네트워크 운영 정책을 적용하는 단계는 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
이 때, 상기 네트워크 운영 정책을 적용하는 단계는 상기 VPN 인증이 성공하면 상기 사용자 단말의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
본 발명은 업무 환경에 알맞은 정책을 유지하면서 보안성이 향상된 원격업무환경을 구축하기 위해 사용자 단말과의 원격 업무 환경 제공을 지원할 수 있다.
도 1은 본 발명의 일실시예에 따른 원격 업무 환경 제공 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 사용자 단말의 운영체제의 기능들과 부팅 후 상태를 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치를 나타낸 블록도이다.
도 4는 도 3에 도시된 중앙 관리부의 일 예를 세부적으로 나타낸 블록도이다.
도 5는 본 발명의 일실시예에 따른 중앙 관리 기능을 이용한 사용자 단말의 보안성 확보 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법을 나타낸 동작흐름도이다.
도 7은 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법을 나타낸 시퀀스 다이어그램이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 원격 업무 환경 제공 시스템을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 원격 업무 환경 제공 시스템은 사용자 단말(10) 및 원격 업무 환경 제공 장치(100)를 포함한다.
사용자 단말(10)은 원격 업무 환경 제공 장치(100)를 통해 업무 영역에 접근 하고 원격 업무 환경을 제공 받을 수 있다.
원격 업무 환경 제공 장치(100)는 안전한 네트워크 연결을 위한 VPN 장비, 사용자 및 단말 관리를 위한 중앙관리 서버 및 원격 업무 시스템 서버를 포함할 수 있다.
사용자 단말(10)은 사용자가 원격지에서 업무를 수행하기 위해 활용하는 PC, 노트북 및 스마트 기기 등에 상응할 수 있다
이 때, 사용자 단말(10)은 설치된 원격업무 단말 운영체제를 이용하여 업무 영역과의 연결 및 업무를 수행할 수 있다.
원격업무 단말 운영체제는 원격 업무 환경 제공 장치(100)를 통해 원격업무환경의 보안성 확보를 위해 단말 부팅 후 VPN 인증, 사용자 인증, 사용자 데이터 영역 복호화, 단말 정책 적용의 기능을 수행할 수 있다.
업무영역은 기관이나 기업 등이 물리적으로 지정한 업무 장소 및 업무시스템을 위해 구축한 내부 업무망이며, 사용자 단말은 원격업무 수행을 위해 VPN을 이용한 네트워크 접속이 필요하다.
VPN 인증 기능은 업무영역의 VPN 장비와 연동하여 업무망으로의 안전한 네트워크 연결을 수립할 수 있고, 사용자 인증, 사용자 데이터 영역 복호화, 단말 정책 적용 기능은 업무망 내 중앙관리 서버와 연동하여 원격업무환경의 보안성을 확보할 수 있다.
도 2는 본 발명의 일실시예에 따른 사용자 단말의 운영체제의 기능들과 부팅 후 상태를 나타낸 도면이다.
도 2를 참조하면 사용자 단말(10)이 부팅 후 각 기능들의 상태를 나타낸 것을 알 수 있다.
사용자 단말(10)에 전원이 입력되면, 운영체제 로그온 전 단계까지 부팅을 진행할 수 있다.
이 때, 사용자 단말(10)은 네트워크 설정 및 VPN 클라이언트 구동만 가능하고, 운영체제 로그온 전이기 때문에 단말의 다른 기능들은 이용할 수 없다.
이 때, 사용자 단말(10)의 디스크 내 사용자 데이터 영역은 사전에 암호화되어있어 접근이 불가능하고, 사용자 인증 및 단말 정책 설정 등도 원격 업무 환경 제고 장치(100)와의 연결이 필요하기에 사용 불가능하다.
이와 같이, 원격업무환경에서의 사용자 단말은(10)은 부팅후 원격 업무 환경 제고 장치(100)와 연결 전까지는 단말의 기능이 제한되고, VPN 인증을 통한 업무영역 내 중앙관리 서버 접속 및 사용자 인증 성공 시에만 원격 업무가 수행 가능하도록 단말 기능들이 활성화될 수 있다.
도 3은 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치를 나타낸 블록도이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치(100)는 VPN 관리부(110), 중앙 관리부(120) 및 원격 업무 환경 제공부(130)를 포함한다. 도 4는 도 3에 도시된 중앙 관리부의 일 예를 세부적으로 나타낸 블록도이다.
업무망은 기관이나 기업 등이 자체적으로 구축한 폐쇄망으로 구축되어있고, 사용자 단말(10)은 VPN 인증을 통한 인증 후에만 네트워크를 통해 업무망에 접근할 수 있다.
VPN 관리부(110)는 사용자 단말(10)의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행할 수 있다.
이 때, VPN 관리부(110)는 상기 VPN 인증이 성공하면 상기 사용자 단말(10)의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, VPN 관리부(110)는 VPN 인증 절차를 사용자 단말(10)의 운영체제 로그온 전에 수행하고, VPN 인증이 이루어지지 않으면 사용자는 사용자 단말(10)의 운영체제에 로그온 할 수 없기 때문에 사용자 단말 자체를 사용할 수 없다.
중앙 관리부(120)는 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하고, 상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하고, 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
도 4를 참조하면, 중앙 관리부(120)는 사용자 관리부(121), 단말 관리부(122) 및 정책 관리부(123)를 포함할 수 있다.
사용자 관리부(121)는 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행할 수 있다.
이 때, 사용자 관리부(121)는 기관이나 기업 등에서 제공하는 원격업무를 통해 자신들의 업무 시스템에 접속하고자 하는 사용자 정보를 관리할 수 있다.
이 때, 사용자 관리부(121)는 ID, 비밀번호 및 개인정보 등에 상응하는 사용자 정보를 사용자 단말(10)에게 사전에 발급하여 인증 수단으로 활용될 수 있다.
이 때, 사용자 관리부(121)는 사전에 등록한 ID, 비밀번호를 통해 사용자 단말(10)의 사용자 인증 로그온을 요청을 수신하고, 기관이나 기업 등의 사용자 인증 결과를 사용자 단말(10)에게 송신할 수 있다.
이 때, 사용자 관리부(121)는 VPN 인증된 사용자 단말(10)에 대해서면 VPN 연결을 통해 사용자 인증을 진행하고, VPN 인증과 사용자 인증이 모두 성공인 경우에만 사용자가 사용자 단말(10)에 설치된 운영체제에 로그온할 수 있다.
이 때, 사용자 관리부(121)는 운영체제 로그온을 위한 사용자 계정과 비밀번호를 이용하여 사전에 등록된 사용자 정보와 비교하는 과정을 수행하고, 사용자 인증 결과를 사용자 단말(10)의 운영체제에 회신할 수 있다.
사용자 인증 결과를 수신한 사용자 단말(10)의 운영체제는 사용자 인증 성공 시 운영체제 로그온을 하여 사용자가 단말을 사용할 수 있도록 원격 업무 환경을 제공할 수 있다.
사용자 인증 실패 시 사용자 단말(10)의 운영체제는 운영체제 로그온이 되지 않아 사용자는 단말을 사용할 수 없게 된다.
사용자 단말(10)은 VPN 인증을 통해 업무망으로의 네트워크 연결이 보장되고, 사용자 인증에 성공했을 경우만 사용자가 사용자 단말(10)을 사용할 수 있도록 기능이 제한될 수 있다.
사용자 단말(10)은 제한된 기능을 통해 업무망에만 접속할 수 있도록 강제할 수 있으며, 이를 통해 원격업무의 보안성을 확보할 수 있다.
즉, 중앙 관리부(120)는 VPN 인증과 사용자 인증을 연계하여, 원격지의 사용자 단말(10)의 안전한 네트워크가 보장되지 않으면 단말 자체를 사용할 수 없도록 보안성을 높일 수 있다.
또한, 단말 관리부(122)는 상기 업무망에 접속된 사용자 단말(10)의 암호화된 사용자 데이터 영역을 복호화할 수 있다.
단말 관리부(122)는 사용자 단말(10)이 사용자 인증에 성공하면, 사용자 단말 내 디스크에 암호화된 사용자 데이터 영역에 접근할 수 있도록, 사용자 데이터 영역을 복호화할 수 있다.
사용자 단말(10)의 원격업무 단말 운영체제는 부팅 후 사용자 로그온 전까지 사용자 데이터 영역을 암호화하여 관리한다.
암호화된 사용자 데이터 영역은 원격업무환경에서 보안성을 확보할 수 있고, 원격업무용 단말의 분실에 의한 업무 데이터 유출을 방지할 수 있다.
사용자 데이터 영역은 사용자 단말(10)에 설치 시부터 암호화되어 있을 수 있다.
이 때, 사용자 데이터 영역에는 원격 업무에 필요한 데이터가 저장될 수 있다.
이 때, 단말 관리부(122)는 VPN 인증과 사용자 인증을 통한 사용자 단말(10)의 운영체제 로그온 시, 사용자 데이터 영역을 복호화할 수 있다.
VPN 인증 없이는 단말의 데이터가 암호화되어 있기 때문에, 사용자나 공격자는 사용자 단말(10) 내 데이터에 대한 접근이 불가능하다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
이 때, 사용자가 사용자 단말(10)의 운영체제를 로그아웃을 하거나 사용자 단말(10)을 종료할 경우, 사용자 단말(10)은 다시 사용자 데이터 영역을 암호화하여 사용자 데이터 영역에 저장된 데이터를 안전하게 보호할 수 있다.
이 때, 단말 관리부(122)는 사용자 단말(10)에게 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고, 사용자 단말(10)은 수신한 특정 값을 이용하여 디스크 내 사용자 데이터 영역을 복호화할 수 있다.
이 때, 단말 관리부(122)는 VPN 인증 및 사용자 인증 시에만 사용자 데이터 영역을 복호화하여 자료유출을 방지할 수 있고, 사용자 로그아웃 시 자동으로 데이터 영역을 암호화하여 단말 분실에 의한 단말 내 자료유출을 원천적으로 차단할 수 있다.
이 때, 단말 관리부(122)는 VPN 인증 및 사용자 인증 단계 수행 후에만 사용자 데이터 영역을 복호화 하기 때문에, 사용자 인증된 본인 이외의 다른 사용자는 사용자 데이터 영역에 접근이 불가능하다.
또한, 정책 관리부(123)는 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
이 때, 정책 관리부(123)는 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 정책 관리부(123)는 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
네트워크 운영정책은 원격업무환경을 제공하는 기관이나 기업 등의 보안정책을 기준으로, 사용자가 사용하는 단말의 기능 중 일부를 제한하거나 제어하는 기능을 포함할 수 있다.
이 때, 정책 관리부(123)는 사용자 인증 성공 시, 사용자 단말(10)의 운영체제에 네트워크 운영정책을 전송하여 운영체제의 기능을 통제할 수 있다.
이 때, 정책 관리부(123)는 사용자 단말(10)이 사용하는 원격업무 단말 운영체제의 네트워크 설정 변경 금지, USB 메모리의 사용 금지, CD/DVD 사용금지, 블루투스 사용 금지, 스크린캡처 금지 등 매체 제어 기능들의 정책을 적용할 수 있다.
이 때, 정책 관리부(123)는 관리자가 설정한 정책 파일을 사용자 인증된 사용자 단말(10)에게 송신하고, 사용자 단말(10)은 수신한 정책 파일을 적용하여 네트워크 운영정책을 운영체제에 적용할 수 있다.
정책이 적용된 사용자 단말(10)은 기관이나 기업 등의 보안 기준을 준수하며 업무를 수행할 수 있도록 지원하며, 사용자 임의의 네트워크 설정 편집 등을 통한 인터넷 접속 등을 차단하여 보안성을 유지하도록 지원할 수 있다.
단말 통제의 목적은 원격업무를 위한 단말사용 시 기관이나 기업 등의 보안정책을 준수하고, 사용자가 임의로 네트워크 설정을 변경하여 VPN 연결이 종료되는 상황 등 원격업무를 위한 안전한 네트워크 연결을 유지할 수 있다.
원격 업무 환경 제공부(130)는 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공할 수 있다.
도 5는 본 발명의 일실시예에 따른 중앙 관리 기능을 이용한 사용자 단말의 보안성 확보 과정을 나타낸 도면이다.
도 5를 참조하면, 중앙 관리부(120)의 중앙 관리 기능은 사용자 관리 기능,단말 관리 기능 및 정책 관리 기능을 포함할 수 있다.
사용자 인증 기능은 원격업무를 수행하는 사용자가 VPN 인증 후 업무망에 접근이 가능하도록 사용자 단말에 대한 사용자 인증을 수행할 수 있다.
사용자 인증 기능은 운영체제 로그온을 위한 사용자 계정과 비밀번호를 이용하여 사전에 등록된 사용자 정보와 비교하는 과정을 수행하고, 사용자 인증 결과를 사용자 단말(10)의 운영체제에 회신할 수 있다.
사용자 인증 결과를 수신한 사용자 단말(10)의 운영체제는 사용자 인증 성공 시 운영체제 로그온을 하여 사용자가 단말을 사용할 수 있도록 원격 업무 환경을 제공할 수 있다.
사용자 인증 실패 시 사용자 단말(10)의 운영체제는 운영체제 로그온이 되지 않아 사용자는 단말을 사용할 수 없게 된다.
사용자 단말(10)은 VPN 인증을 통해 업무망으로의 네트워크 연결이 보장되고, 사용자 인증에 성공했을 경우만 사용자가 사용자 단말(10)을 사용할 수 있도록 기능이 제한될 수 있다.
사용자 단말(10)은 제한된 기능을 통해 업무망에만 접속할 수 있도록 강제할 수 있으며, 이를 통해 원격업무의 보안성을 확보할 수 있다.
단말 관리 기능은 사용자 단말(10)에게 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고, 사용자 단말(10)은 수신한 특정 값을 이용하여 디스크 내 사용자 데이터 영역을 복호화할 수 있다.
사용자 데이터가 저장되는 사용자 데이터 영역은 사전에 암호화가 되어있고, 사용자 인증에 성공하면 해당 영역을 사용자가 사용할 수 있도록, 복호화될 수 있다.
단말 관리 기능은 VPN 인증 및 사용자 인증 시에만 사용자 데이터 영역을 복호화하여 자료유출을 방지할 수 있고, 사용자 로그아웃 시 자동으로 데이터 영역을 암호화하여 단말 분실에 의한 단말 내 자료유출을 원천적으로 차단할 수 있다.
이 때, 단말 관리 기능은 VPN 인증 및 사용자 인증 단계 수행 후에만 사용자 데이터 영역을 복호화 하기 때문에, 사용자 인증된 본인 이외의 다른 사용자는 사용자 데이터 영역에 접근이 불가능하다.
정책 관리 기능은 사용자 단말(10)이 사용하는 원격업무 단말 운영체제의 네트워크 설정 변경 금지, USB 메모리의 사용 금지, CD/DVD 사용금지, 블루투스 사용 금지, 스크린캡처 금지 등 매체 제어 기능들의 정책을 적용할 수 있다.
이 때, 정책 관리 기능은 관리자가 설정한 정책 파일을 사용자 인증된 사용자 단말(10)에게 송신하고, 사용자 단말(10)은 수신한 정책 파일을 적용하여 네트워크 운영정책을 운영체제에 적용할 수 있다.
정책이 적용된 사용자 단말(10)은 기관이나 기업 등의 보안 기준을 준수하며 업무를 수행할 수 있도록 지원하며, 사용자 임의의 네트워크 설정 편집 등을 통한 인터넷 접속 등을 차단하여 보안성을 유지하도록 지원할 수 있다.
도 6은 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법을 나타낸 동작흐름도이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 먼저 네트워크 설정을 수행할 수 있다(S210).
즉, 단계(S210)는 사용자 단말(10)이 전원이 입력되면 운영체제 내 네트워크 설정 기능을 이용하여 인터넷과 연결할 수 있다.
이 때, 단계(S210)는 사용자 단말(10)이 원격 업무 환경을 제공 받기 위해, 원격 업무 환경 제공 장치(100)에게 인터넷을 통해 업무망에 대한 접속을 요청할 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 VPN 인증을 수행할 수 있다(S220).
즉, 단계(S220)는 사용자 단말(10)의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행할 수 있다.
이 때, 단계(S220)는 상기 VPN 인증이 성공하면 상기 사용자 단말(10)의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, 단계(S220)는 VPN 인증 절차를 사용자 단말(10)의 운영체제 로그온 전에 수행할 수 있다. 사용자 단말(10)의 VPN 인증이 이루어지지 않으면 사용자는 사용자 단말(10)의 운영체제에 로그온 할 수 없기 때문에 사용자 단말 자체를 사용할 수 없다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 사용자 인증을 수행할 수 있다(S230).
즉, 단계(S230)는 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행할 수 있다.
이 때, 단계(S230)는 기관이나 기업 등에서 제공하는 원격업무를 통해 자신들의 업무 시스템에 접속하고자 하는 사용자 정보를 관리할 수 있다.
이 때, 단계(S230)는 ID, 비밀번호 및 개인정보 등에 상응하는 사용자 정보를 사용자 단말(10)에게 사전에 발급하여 인증 수단으로 활용될 수 있다.
이 때, 단계(S230)는 사전에 등록한 ID, 비밀번호를 통해 사용자 단말(10)의 사용자 인증 로그온을 요청을 수신하고, 기관이나 기업 등의 사용자 인증 결과를 사용자 단말(10)에게 송신할 수 있다.
이 때, 단계(S230)는 VPN 인증된 사용자 단말(10)에 대해서면 VPN 연결을 통해 사용자 인증을 진행하고, VPN 인증과 사용자 인증이 모두 성공인 경우에만 사용자가 사용자 단말(10)에 설치된 운영체제에 로그온할 수 있다.
이 때, 단계(S230)는 운영체제 로그온을 위한 사용자 계정과 비밀번호를 이용하여 사전에 등록된 사용자 정보와 비교하는 과정을 수행하고, 사용자 인증 결과를 사용자 단말(10)의 운영체제에 회신할 수 있다.
이 때, 단계(S230)는 사용자 인증 결과를 수신한 사용자 단말(10)의 운영체제는 사용자 인증 성공 시 운영체제 로그온을 하여 사용자가 단말을 사용할 수 있도록 원격 업무 환경을 제공할 수 있다.
이 때, 단계(S230)는 사용자 인증 실패 시 사용자 단말(10)의 운영체제는 운영체제 로그온이 되지 않아 사용자는 단말을 사용할 수 없게 된다.
즉, 단계(S230)는 VPN 인증과 사용자 인증을 연계하여, 원격지의 사용자 단말(10)의 안전한 네트워크가 보장되지 않으면 단말 자체를 사용할 수 없도록 보안성을 높일 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 사용자 데이터 영역을 복호화할 수 있다(S240).
즉, 단계(S240)는 상기 업무망에 접속된 사용자 단말(10)의 암호화된 사용자 데이터 영역을 복호화할 수 있다.
이 때, 단계(S240)는 사용자 단말(10)이 사용자 인증에 성공하면, 사용자 단말 내 디스크에 암호화된 사용자 데이터 영역에 접근할 수 있도록, 사용자 데이터 영역을 복호화할 수 있다.
사용자 단말(10)의 원격업무 단말 운영체제는 부팅 후 사용자 로그온 전까지 사용자 데이터 영역을 암호화하여 관리한다.
암호화된 사용자 데이터 영역은 원격업무환경에서 보안성을 확보할 수 있고, 원격업무용 단말의 분실에 의한 업무 데이터 유출을 방지할 수 있다.
사용자 데이터 영역은 사용자 단말(10)에 설치 시부터 암호화되어 있을 수 있다.
이 때, 사용자 데이터 영역에는 원격 업무에 필요한 데이터가 저장될 수 있다.
이 때, 단계(S240)는 VPN 인증과 사용자 인증을 통한 사용자 단말(10)의 운영체제 로그온 시, 사용자 데이터 영역을 복호화할 수 있다.
VPN 인증 없이는 단말의 데이터가 암호화되어 있기 때문에, 사용자나 공격자는 사용자 단말(10) 내 데이터에 대한 접근이 불가능하다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
이 때, 단계(S240)는 사용자가 사용자 단말(10)의 운영체제를 로그아웃을 하거나 사용자 단말(10)을 종료할 경우, 사용자 단말(10)은 다시 사용자 데이터 영역을 암호화하여 사용자 데이터 영역에 저장된 데이터를 안전하게 보호할 수 있다.
이 때, 단계(S240)는 사용자 단말(10)에게 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고, 사용자 단말(10)은 수신한 특정 값을 이용하여 디스크 내 사용자 데이터 영역을 복호화할 수 있다.
이 때, 단계(S240)는 VPN 인증 및 사용자 인증 시에만 사용자 데이터 영역을 복호화하여 자료유출을 방지할 수 있고, 사용자 로그아웃 시 자동으로 데이터 영역을 암호화하여 단말 분실에 의한 단말 내 자료유출을 원천적으로 차단할 수 있다.
이 때, 단계(S240)는 VPN 인증 및 사용자 인증 단계 수행 후에만 사용자 데이터 영역을 복호화 하기 때문에, 사용자 인증된 본인 이외의 다른 사용자는 사용자 데이터 영역에 접근이 불가능하다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 단말 정책을 설정할 수 있다(S250).
즉, 단계(S250)는 정책 관리부(123)는 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
이 때, 단계(S250)는 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 단계(S250)는 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
네트워크 운영정책은 원격업무환경을 제공하는 기관이나 기업 등의 보안정책을 기준으로, 사용자가 사용하는 단말의 기능 중 일부를 제한하거나 제어하는 기능을 포함할 수 있다.
이 때, 단계(S250)는 사용자 인증 성공 시, 사용자 단말(10)의 운영체제에 네트워크 운영정책을 전송하여 운영체제의 기능을 통제할 수 있다.
이 때, 단계(S250)는 사용자 단말(10)이 사용하는 원격업무 단말 운영체제의 네트워크 설정 변경 금지, USB 메모리의 사용 금지, CD/DVD 사용금지, 블루투스 사용 금지, 스크린캡처 금지 등 매체 제어 기능들의 정책을 적용할 수 있다.
이 때, 단계(S250)는 관리자가 설정한 정책 파일을 사용자 인증된 사용자 단말(10)에게 송신하고, 사용자 단말(10)은 수신한 정책 파일을 적용하여 네트워크 운영정책을 운영체제에 적용할 수 있다.
정책이 적용된 사용자 단말(10)은 기관이나 기업 등의 보안 기준을 준수하며 업무를 수행할 수 있도록 지원하며, 사용자 임의의 네트워크 설정 편집 등을 통한 인터넷 접속 등을 차단하여 보안성을 유지하도록 지원할 수 있다.
단말 통제의 목적은 원격업무를 위한 단말사용 시 기관이나 기업 등의 보안정책을 준수하고, 사용자가 임의로 네트워크 설정을 변경하여 VPN 연결이 종료되는 상황 등 원격업무를 위한 안전한 네트워크 연결을 유지할 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 원격 업무 환경을 제공할 수 있다(S260).
즉, 단계(S260)는 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공할 수 있다.
도 7은 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법을 나타낸 시퀀스 다이어그램이다.
종래 원격업무환경 단말의 업무수행은 망혼용 보안 위협에 대해 부팅이 완료되면 운영체제 로그온을 하고, 운영체제 내 네트워크 설정 기능을 이용하여 단말을 인터넷과 연결한다. 이 시점에서 사용자가 VPN 클라이언트를 이용하여 VPN 터널링을 수행하지 않으면, 일반적으로 가정이나 PC방 등에서 이용하는 인터넷이 가능한 단말과 동일한 환경을 갖게 된다. 사용자 임의로 인터넷 사이트에 접속하여 단말을 자유롭게 이용할 수 있고, 인터넷 사용 중 단말이 악성코드에 감염될 수 있다. 추후 동일 단말을 이용해 VPN을 통한 업무망에 접속하게 되면 인터넷의 악성코드가 업무영역으로 전파될 가능성이 존재한다. 이처럼 동일한 단말을 이용해 인터넷 접속과 업무망 접속을 수행하는 행위를 망혼용이라 칭하고, 업무망 관점에서는 커다란 보안 위협이기에 대책이 필요하다.
이를 위해, 도 7과 도시된 바와 같이, 사용자의 운영체제 로그인 전에, VPN 인증을 통해 인터넷 접속을 차단하고, VPN 인증과 사용자 인증된 사용자 단말(10)에게 원격 업무 환경을 제공하여 망혼용으로 인한 보안 위협에 대한 대책을 마련할 수 있다.
도 7을 참조하면, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 먼저 네트워크 설정을 수행할 수 있다(S310).
즉, 단계(S310)는 사용자 단말(10)이 전원이 입력되면 운영체제 내 네트워크 설정 기능을 이용하여 인터넷과 연결할 수 있다.
이 때, 단계(S310)는 사용자 단말(10)이 원격 업무 환경을 제공 받기 위해, 원격 업무 환경 제공 장치(100)에게 인터넷을 통해 업무망에 대한 접속을 요청할 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 VPN 인증을 수행할 수 있다(S320).
즉, 단계(S320)는 사용자 단말(10)의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행할 수 있다.
이 때, 단계(S320)는 상기 VPN 인증이 성공하면 상기 사용자 단말(10)의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, 단계(S320)는 VPN 인증 절차를 사용자 단말(10)의 운영체제 로그온 전에 수행할 수 있다. 사용자 단말(10)의 VPN 인증이 이루어지지 않으면 사용자는 사용자 단말(10)의 운영체제에 로그온 할 수 없기 때문에 사용자 단말 자체를 사용할 수 없다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 사용자 인증을 수행할 수 있다(S330).
즉, 단계(S330)는 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행할 수 있다.
이 때, 단계(S330)는 기관이나 기업 등에서 제공하는 원격업무를 통해 자신들의 업무 시스템에 접속하고자 하는 사용자 정보를 관리할 수 있다.
이 때, 단계(S330)는 ID, 비밀번호 및 개인정보 등에 상응하는 사용자 정보를 사용자 단말(10)에게 사전에 발급하여 인증 수단으로 활용될 수 있다.
이 때, 단계(S330)는 사전에 등록한 ID, 비밀번호를 통해 사용자 단말(10)의 사용자 인증 로그온을 요청을 수신하고, 기관이나 기업 등의 사용자 인증 결과를 사용자 단말(10)에게 송신할 수 있다.
이 때, 단계(S330)는 VPN 인증된 사용자 단말(10)에 대해서면 VPN 연결을 통해 사용자 인증을 진행하고, VPN 인증과 사용자 인증이 모두 성공인 경우에만 사용자가 사용자 단말(10)에 설치된 운영체제에 로그온할 수 있다.
이 때, 단계(S330)는 운영체제 로그온을 위한 사용자 계정과 비밀번호를 이용하여 사전에 등록된 사용자 정보와 비교하는 과정을 수행하고, 사용자 인증 결과를 사용자 단말(10)의 운영체제에 회신할 수 있다.
이 때, 단계(S330)는 사용자 인증 결과를 수신한 사용자 단말(10)의 운영체제는 사용자 인증 성공 시 운영체제 로그온을 하여 사용자가 단말을 사용할 수 있도록 원격 업무 환경을 제공할 수 있다.
이 때, 단계(S330)는 사용자 인증 실패 시 사용자 단말(10)의 운영체제는 운영체제 로그온이 되지 않아 사용자는 단말을 사용할 수 없게 된다.
즉, 단계(S330)는 VPN 인증과 사용자 인증을 연계하여, 원격지의 사용자 단말(10)의 안전한 네트워크가 보장되지 않으면 단말 자체를 사용할 수 없도록 보안성을 높일 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 사용자 데이터 영역을 복호화할 수 있다(S340).
즉, 단계(S340)는 상기 업무망에 접속된 사용자 단말(10)의 암호화된 사용자 데이터 영역을 복호화할 수 있다.
이 때, 단계(S340)는 사용자 단말(10)이 사용자 인증에 성공하면, 사용자 단말 내 디스크에 암호화된 사용자 데이터 영역에 접근할 수 있도록, 사용자 데이터 영역을 복호화할 수 있다.
사용자 단말(10)의 원격업무 단말 운영체제는 부팅 후 사용자 로그온 전까지 사용자 데이터 영역을 암호화하여 관리한다.
암호화된 사용자 데이터 영역은 원격업무환경에서 보안성을 확보할 수 있고, 원격업무용 단말의 분실에 의한 업무 데이터 유출을 방지할 수 있다.
사용자 데이터 영역은 사용자 단말(10)에 설치 시부터 암호화되어 있을 수 있다.
이 때, 사용자 데이터 영역에는 원격 업무에 필요한 데이터가 저장될 수 있다.
이 때, 단계(S340)는 VPN 인증과 사용자 인증을 통한 사용자 단말(10)의 운영체제 로그온 시, 사용자 데이터 영역을 복호화할 수 있다.
VPN 인증 없이는 단말의 데이터가 암호화되어 있기 때문에, 사용자나 공격자는 사용자 단말(10) 내 데이터에 대한 접근이 불가능하다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
이 때, 단계(S340)는 사용자가 사용자 단말(10)의 운영체제를 로그아웃을 하거나 사용자 단말(10)을 종료할 경우, 사용자 단말(10)은 다시 사용자 데이터 영역을 암호화하여 사용자 데이터 영역에 저장된 데이터를 안전하게 보호할 수 있다.
이 때, 단계(S340)는 사용자 단말(10)에게 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고, 사용자 단말(10)은 수신한 특정 값을 이용하여 디스크 내 사용자 데이터 영역을 복호화할 수 있다.
이 때, 단계(S340)는 VPN 인증 및 사용자 인증 시에만 사용자 데이터 영역을 복호화하여 자료유출을 방지할 수 있고, 사용자 로그아웃 시 자동으로 데이터 영역을 암호화하여 단말 분실에 의한 단말 내 자료유출을 원천적으로 차단할 수 있다.
이 때, 단계(S340)는 VPN 인증 및 사용자 인증 단계 수행 후에만 사용자 데이터 영역을 복호화 하기 때문에, 사용자 인증된 본인 이외의 다른 사용자는 사용자 데이터 영역에 접근이 불가능하다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 단말 정책을 설정할 수 있다(S350).
즉, 단계(S350)는 정책 관리부(123)는 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
이 때, 단계(S350)는 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 단계(S350)는 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
네트워크 운영정책은 원격업무환경을 제공하는 기관이나 기업 등의 보안정책을 기준으로, 사용자가 사용하는 단말의 기능 중 일부를 제한하거나 제어하는 기능을 포함할 수 있다.
이 때, 단계(S350)는 사용자 인증 성공 시, 사용자 단말(10)의 운영체제에 네트워크 운영정책을 전송하여 운영체제의 기능을 통제할 수 있다.
이 때, 단계(S350)는 사용자 단말(10)이 사용하는 원격업무 단말 운영체제의 네트워크 설정 변경 금지, USB 메모리의 사용 금지, CD/DVD 사용금지, 블루투스 사용 금지, 스크린캡처 금지 등 매체 제어 기능들의 정책을 적용할 수 있다.
이 때, 단계(S350)는 관리자가 설정한 정책 파일을 사용자 인증된 사용자 단말(10)에게 송신하고, 사용자 단말(10)은 수신한 정책 파일을 적용하여 네트워크 운영정책을 운영체제에 적용할 수 있다.
정책이 적용된 사용자 단말(10)은 기관이나 기업 등의 보안 기준을 준수하며 업무를 수행할 수 있도록 지원하며, 사용자 임의의 네트워크 설정 편집 등을 통한 인터넷 접속 등을 차단하여 보안성을 유지하도록 지원할 수 있다.
단말 통제의 목적은 원격업무를 위한 단말사용 시 기관이나 기업 등의 보안정책을 준수하고, 사용자가 임의로 네트워크 설정을 변경하여 VPN 연결이 종료되는 상황 등 원격업무를 위한 안전한 네트워크 연결을 유지할 수 있다.
또한, 본 발명의 일실시예에 따른 원격 업무 환경 제공 방법은 원격 업무 환경을 제공할 수 있다(S360).
즉, 단계(S360)는 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공할 수 있다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 8을 참조하면, 본 발명의 일실시예에 따른 사용자 단말(10) 및 원격 업무 환경 제공 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 8에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
본 발명의 일실시예에 따른 원격 업무 환경 제공 장치는 하나 이상의 프로세서(1110); 및 상기 하나 이상의 프로세서(1110)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1130)를 포함하고, 상기 적어도 하나 이상의 프로그램은 사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하고, 상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하고, 상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하고, 상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 VPN 인증이 성공하면 상기 사용자 단말의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정할 수 있다.
이 때, 상기 사용자 데이터 영역은 상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화될 수 있다.
이상에서와 같이 본 발명의 일실시예에 따른 원격 업무 환경 제공 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (12)

  1. 하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고,
    상기 적어도 하나 이상의 프로그램은
    사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하고,
    상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하고,
    상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하고,
    상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공하고,
    상기 적어도 하나 이상의 프로그램은
    상기 VPN 인증과 상기 사용자 인증이 성공하여 상기 업무망에 상기 사용자 단말이 접속되면,
    상기 사용자 단말에게 상기 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고,
    상기 사용자 단말은
    상기 특정 값을 이용하여 디스크 내의 상기 사용자 데이터 영역을 복호화하고,
    상기 사용자 데이터 영역은
    상기 사용자 단말의 디스크 내의 원격 업무에 필요한 데이터가 저장된 일부 영역에 상응하고,
    상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화되는 것을 특징으로 하는 원격 업무 환경 제공 장치.
  2. 청구항 1에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용하는 것을 특징으로 하는 원격 업무 환경 제공 장치.
  3. 청구항 2에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정하는 것을 특징으로 하는 원격 업무 환경 제공 장치.
  4. 청구항 3에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한하는 것을 특징으로 하는 원격 업무 환경 제공 장치.
  5. 청구항 3에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 VPN 인증이 성공하면 상기 사용자 단말의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정하는 것을 특징으로 하는 원격 업무 환경 제공 장치.
  6. 삭제
  7. 원격 업무 환경 제공 장치의 원격 업무 환경 제공 방법에 있어서,
    사용자 단말의 업무망에 대한 원격 접속 요청에 대해 VPN(Virtual Private Network) 인증을 수행하는 단계;
    상기 VPN 인증된 사용자 단말을 상기 업무망에 접속시키기 위한 사용자 인증을 수행하는 단계;
    상기 업무망에 접속된 사용자 단말의 암호화된 사용자 데이터 영역을 복호화하는 단계; 및
    상기 업무망을 통해 상기 사용자 데이터 영역을 기반으로 상기 사용자 단말에게 원격 업무 환경을 제공하는 단계;
    를 포함하고,
    상기 복호화하는 단계는
    상기 VPN 인증과 상기 사용자 인증이 성공하여 상기 업무망에 상기 사용자 단말이 접속되면,
    상기 사용자 단말에게 상기 사용자 데이터 영역을 복호화하기 위한 특정 값을 송신하고,
    상기 사용자 단말이, 상기 특정 값을 이용하여 디스크 내의 상기 사용자 데이터 영역을 복호화하고,
    상기 사용자 데이터 영역은
    상기 사용자 단말의 디스크 내의 원격 업무에 필요한 데이터가 저장된 일부 영역에 상응하고,
    상기 사용자 단말이 상기 업무망에 접속이 유지되고 있는 동안에만 복호화되어 상기 사용자 단말의 운영체제를 통해 접근이 가능하고, 상기 업무망에 대한 접속이 해제되면 암호화되는 것을 특징으로 하는 원격 업무 환경 제공 방법.
  8. 청구항 7에 있어서,
    상기 원격 업무 환경 제공 방법은
    상기 사용자 단말의 운영체제에 네트워크 운영 정책을 적용하는 단계를 더 포함하는 것을 특징으로 하는 원격 업무 환경 제공 방법.
  9. 청구항 8에 있어서,
    상기 네트워크 운영 정책을 적용하는 단계는
    상기 네트워크 운영정책을 이용하여 상기 사용자 단말을 제어하기 위한 보안 관련 기능을 설정하는 것을 특징으로 하는 원격 업무 환경 제공 방법.
  10. 청구항 9에 있어서,
    상기 네트워크 운영 정책을 적용하는 단계는
    상기 네트워크 운영정책에 기반하여 네트워크 설정 변경, USB 데이터 입출력 및 스크린 캡쳐 기능 중 적어도 하나를 제한하는 것을 특징으로 하는 원격 업무 환경 제공 방법.
  11. 청구항 9에 있어서,
    상기 네트워크 운영 정책을 적용하는 단계는
    상기 VPN 인증이 성공하면 상기 사용자 단말의 업무망에 대한 접속을 유지하고, 상기 네트워크 운영정책에 기반하여 네트워크 설정 변경을 제한하도록 설정하고, 상기 사용자 단말의 외부 인터넷 연결을 차단하도록 설정하는 것을 특징으로 하는 원격 업무 환경 제공 방법.
  12. 삭제
KR1020210094867A 2020-09-25 2021-07-20 원격 업무 환경 제공 장치 및 방법 KR102554875B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/467,793 US20220103524A1 (en) 2020-09-25 2021-09-07 Apparatus and method for providing remote work environment

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200125152 2020-09-25
KR1020200125152 2020-09-25

Publications (2)

Publication Number Publication Date
KR20220042042A KR20220042042A (ko) 2022-04-04
KR102554875B1 true KR102554875B1 (ko) 2023-07-14

Family

ID=81182623

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210094867A KR102554875B1 (ko) 2020-09-25 2021-07-20 원격 업무 환경 제공 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102554875B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102619805B1 (ko) * 2023-07-26 2023-12-29 한창해 가상 데스크탑 환경 접속을 위한 가상사설망 통합 인증방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100834270B1 (ko) * 2005-10-06 2008-05-30 주식회사 케이티프리텔 이동통신 기반의 가상사설망 서비스 제공 방법 및 시스템과이를 위한 이동단말기
KR101373542B1 (ko) * 2012-08-06 2014-03-12 (주)소만사 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템
KR20180072996A (ko) * 2016-12-22 2018-07-02 에스케이인포섹(주) 리눅스 os 환경에서의 원격 보안 관리 툴 및 방법
KR20190009497A (ko) * 2017-07-19 2019-01-29 (주)비알티시스템 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법

Also Published As

Publication number Publication date
KR20220042042A (ko) 2022-04-04

Similar Documents

Publication Publication Date Title
US10645091B2 (en) Methods and systems for a portable data locker
AU2008341026B2 (en) System and method for securing data
US8261320B1 (en) Systems and methods for securely managing access to data
JP4089171B2 (ja) 計算機システム
EP2495681B1 (en) Remote pre-boot authentication
US8204233B2 (en) Administration of data encryption in enterprise computer systems
WO2021164166A1 (zh) 一种业务数据保护方法、装置、设备及可读存储介质
RU2631136C2 (ru) Способ защищенного доступа и устройство защищенного доступа прикладной программы
KR20080071528A (ko) 저장 장치 데이터 암호화와 데이터 액세스를 위한 방법 및시스템
CN103003822A (zh) 对平台资源的域认证控制
US11841931B2 (en) Systems and methods for dynamically enforcing digital rights management via embedded browser
JP2021022393A (ja) フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
RU2628925C1 (ru) Система и способ защищенной передачи аудиоданных от микрофона к процессам
US20080162948A1 (en) Digital Information Storage System, Digital Information Security System, Method for Storing Digital Information and Method for Service Digital Information
CN112329050A (zh) 一种文件安全管理终端及系统
KR20230110287A (ko) 하드웨어 보안 모듈들의 원격 관리
RU2546585C2 (ru) Система и способ предоставления прав доступа приложениям к файлам компьютера
Salah et al. Analyzing the security of Windows 7 and Linux for cloud computing
KR102554875B1 (ko) 원격 업무 환경 제공 장치 및 방법
JP5154646B2 (ja) 不正使用防止制御のシステム及び方法
US7934099B2 (en) Device and method for generating digital signatures
US20220103524A1 (en) Apparatus and method for providing remote work environment
US20220092193A1 (en) Encrypted file control
JP2006092081A (ja) 不特定者または多数者が利用するパソコンの安全な起動利用方法及びそのような利用を実現する記録媒体
CN116127501A (zh) 基于用户私有容器的用户私有数据保护方法、系统及介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right