KR102592625B1 - 샌드박스 기술 기반 콘텐츠 보안 시스템 - Google Patents
샌드박스 기술 기반 콘텐츠 보안 시스템 Download PDFInfo
- Publication number
- KR102592625B1 KR102592625B1 KR1020210174774A KR20210174774A KR102592625B1 KR 102592625 B1 KR102592625 B1 KR 102592625B1 KR 1020210174774 A KR1020210174774 A KR 1020210174774A KR 20210174774 A KR20210174774 A KR 20210174774A KR 102592625 B1 KR102592625 B1 KR 102592625B1
- Authority
- KR
- South Korea
- Prior art keywords
- content
- sandbox
- security
- digital content
- sandbox environment
- Prior art date
Links
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 143
- 238000005516 engineering process Methods 0.000 title claims abstract description 60
- 230000009471 action Effects 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 abstract description 12
- 230000006870 function Effects 0.000 description 17
- 238000000034 method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 208000001528 Coronaviridae Infections Diseases 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 샌드박스 기술 기반 콘텐츠 보안 시스템에 관한 것으로서, 샌드박스 기술을 적용하여, 공유되는 콘텐츠에 대해서 별도의 프로그램 설치 없이 외부의 접근을 차단하면서 불법 유출을 방지할 수 있는 기술에 관한 것이다.
Description
본 발명은 샌드박스 기술 기반 콘텐츠 보안 시스템에 관한 것으로, 더욱 상세하게는 공유되는 디지털 콘텐츠의 불법적인 유출을 방지할 수 있는 샌드박스 기술 기반 콘텐츠 보안 시스템에 관한 것이다.
신종 코로나 바이러스 감염증 사태가 장기화되면서, 많은 기업, 학교 및 가정 등에서 비대면 서비스(일 예를 들자면 화상회의 서비스 등)의 사용이 증가하고 있으며, 이에 비례하여 부작용 역시 속출되고 있다.
일 예를 들자면, 화상회의 서비스를 이용할 경우, 문서 또는, 이미지 등 디지털 콘텐츠에 대한 공유가 이루어지는 것이 일반적이다. 그렇지만, 내부 기밀 정보 등이 포함된 중요 콘텐츠일 경우, 불법적인 우회 접근(초대받지 않은 사용자의 접속 등), 복사, 인쇄, 내용 변경, 캡쳐 등의 방법으로 이를 악의적인 목적으로 유출할 수 있기 때문에, 유출 방지를 위한 콘텐츠 보안 기술이 요구된다.
종래의 콘텐츠 보안 기술로는 콘텐츠 자체에 열람용 비밀번호 설정 및 암호화 기술, 별도의 전용 에이전트 설치를 통한 콘텐츠 서버에 접속하여 해당 콘텐츠를 열람하는 기술, 콘텐츠 파일 내부에 열람 제한, 출력 제한 등의 보안 정책을 적용하는 기술이 있다.
콘텐츠용 비밀번호를 이용하는 기술은 비밀번호가 노출될 경우, 권한없는 사용자의 열람, 복제, 변경이 용이한 문제점이 있으며, 전용 에이전트를 이용하는 기술은 별도의 설치 프로그램이 반드시 요구되고 서버에 접속하기 위한 네트워크 환경이 조성되어야 하는 번거로움이 있다. 또한, 콘텐츠 내부의 보안 정책을 적용하는 기술은 파일 자체의 무결성이 위배되고 악성 프로그램에 의해 외부에서 우회 실행 및 사용자 단말기가 감염되는 등 악용될 가능성이 매우 높은 문제점이 있다.
국내공개특허 제10-2019-0033800호("화상 회의용 데이터의 보안 관리 장치 및 방법")에서는 화상 회의용 데이터를 안전하게 저장 및 관리하고, 보안 정책 및 권한 정보를 기반으로 화상 회의용 데이터를 안전하게 공유하는 기술을 개시하고 있다.
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 디지털 콘텐츠를 공유받은 사용자의 로컬 환경에서, 외부 프로그램의 접근을 차단하면서 불법적인 행위 차단하여 보안 기능을 제공할 수 있는 샌드박스 기술 기반 콘텐츠 보안 시스템을 제공하는 것이다.
본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에 있어서, 디지털 콘텐츠의 유출을 방지하기 위한 보안 서비스를 제공하는 보안 서버를 포함하는 보안 시스템에 있어서, 보안 서비스를 통해서 디지털 콘텐츠를 전송하고자 하는 제공자로부터 원하는 디지털 콘텐츠를 입력받는 콘텐츠 입력부(100), 입력받은 상기 디지털 콘텐츠를 암호화하고, 암호화한 디지털 콘텐츠를 포함하여 샌드박스 기반 보안 콘텐츠를 생성하는 보안 콘텐츠 생성부(200) 및 보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자에게 생성한 보안 콘텐츠를 제공하는 콘텐츠 제공부(300)를 포함하되, 상기 보안 콘텐츠는 보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자가 상기 보안 콘텐츠를 열람하고자 하는 단말 수단의 제한된 보호 영역 내에서 샌드박스 환경을 조성하여, 상기 디지털 콘텐츠의 열람이 이루어지도록 설정되는 것이 바람직하다.
더 나아가, 상기 보안 콘텐츠 생성부(200)는 제한된 보호 영역을 확보하여 제한된 보호 영역 내에서 샌드박스 환경을 조성하는 모듈과, 입력받은 상기 디지털 콘텐츠를 암호화하여 저장하는 모듈과, 암호화한 디지털 콘텐츠를 복호화하는 모듈과, 열람되는 상기 디지털 콘텐츠의 유출 행위를 차단하는 모듈을 포함하여, 상기 보안 콘텐츠를 생성하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자가 상기 콘텐츠 제공부(300)에 의해 제공받은 상기 보안 콘텐츠를 열람하기 위한 실행 동작을 수행할 경우, 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 제한된 보호 영역 내에서 콘텐츠 샌드박스 환경을 조성한 후, 콘텐츠 샌드박스 환경에서, 암호화된 디지털 콘텐츠를 복호화하여, 복호화한 디지털 콘텐츠를 적재하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 제한된 보호 영역 내에서 실행 샌드박스 환경을 조성한 후, 실행 샌드박스 환경에서, 상기 디지털 콘텐츠와 연계된 열람 프로그램을 실행하여, 적재된 복호화된 디지털 콘텐츠를 입력하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 제한된 보호 영역 내에서 열람 샌드박스 환경을 조성한 후, 열람 샌드박스 환경에서, 상기 실행 샌드박스 환경에서의 출력 화면을 미러링받아 출력하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 실행 샌드박스 환경에서, 백그라운드를 통해 출력되도록 상기 열람 프로그램을 실행하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 상기 실행 샌드박스 환경으로 전송하여 동기화를 수행하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 기설정된 행위 정보 외에 모든 행위에 대해서, 상기 실행 샌드박스 환경으로의 전송을 거부하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 기설정된 행위 정보에 대해서, 상기 실행 샌드박스 환경으로의 전송을 거부하는 것이 바람직하다.
더 나아가, 상기 샌드박스 기술 기반 콘텐츠 보안 시스템은 사용자가 상기 보안 콘텐츠의 열람을 종료하기 위한 실행 동작을 수행할 경우, 상기 모듈에 의해서,
상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 조성한 상기 콘텐츠 샌드박스 환경, 열람 샌드박스 환경 및 실행 샌드박스 환경의 삭제를 수행하는 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 샌드박스 기술 기반 콘텐츠 보안 시스템은 디지털 콘텐츠를 공유받은 사용자의 단말 수단을 통한 로컬 환경(하드 디스크 등)에서, 외부 프로그램의 접근을 차단하면서 디지털 콘텐츠의 열람이 이루어지며, 이에 대한 불법적인 행위 차단하여, 콘텐츠 보안 기능을 제공할 수 있는 장점이 있다.
상세하게는, 적어도 3개의 독립된 샌드박스 환경을 조성하여, 콘텐츠 데이터의 복호화와 파일 적재, 백그라운드 프로그램 실행, 자료유출 방지 기능이 적용된 사용자 미러링 기반 콘텐츠 열람 기술을 적용함으로써, 별도의 프로그램 설치 없이 외부의 접근을 차단하면서 디지털 콘텐츠 데이터를 공유하면서도 불법 유출을 방지할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에서 적용된 샌드박스 기술 유무에 따른 사용자의 단말 수단 내 영역을 나타낸 예시도이다.
도 3은 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에서, 보안 콘텐츠의 생성 및 이의 열람 과정을 상세하게 나타낸 예시도이다.
도 2는 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에서 적용된 샌드박스 기술 유무에 따른 사용자의 단말 수단 내 영역을 나타낸 예시도이다.
도 3은 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에서, 보안 콘텐츠의 생성 및 이의 열람 과정을 상세하게 나타낸 예시도이다.
이하 첨부한 도면들을 참조하여 본 발명의 샌드박스 기술 기반 콘텐츠 보안 시스템을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은, 샌드박스 기술 기반으로 보안 콘텐츠를 생성하여, 보안 콘텐츠를 실행할 경우, 샌드박스 기술에 의해 내부 메모리에 샌드박스 환경이 조성되어 외부 프로그램의 접근을 차단하면서 동작이 실행되어, 공유하고자 하는 디지털 콘텐츠의 불법 유출을 방지할 수 있는 기술에 관한 것이다.
여기서, 샌드박스 기술이란, 미국 가정집에서 아이들이 다른 곳에서 놀지 못하게 별도로 공간을 마련해 준 곳을 의미로 시작되었으며, 안전하게 놀 수 있는 곳이라는 용어와 의미를 그대로 갖고 온 기술이다. 통상적으로 샌드박스 기술은 외부로부터 받은 파일을 바로 실행하지 않고 보호된 영역에서 실행시켜봄으로써 외부로부터 들어온 파일이 내부 시스템에 악영향을 주는 것을 미연에 방지하는 기술이다.
본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은 이를 역 이용하여, 보호된 영역에서만 파일 실행이 가능하도록 함으로써, 외부 프로그램의 접근 또는, 발생되는 이벤트에 의한 파일 손상을 차단함으로써, 공유하고자 하는 디지털 콘텐츠의 불법 유출을 방지할 수 있다.
즉, 별도의 프로그램 설치 없이, 보안 콘텐츠를 공유받은 사용자의 단말 수단 환경에서 외부 프로그램의 접근을 차단하면서, 불법 열람, 내용 변경, 불법 화면 캡처, 인쇄, 복사 등과 같은 이벤트를 감지 및 이를 차단함으로써, 공유하고자 하는 디지털 콘텐츠의 보안 기능을 제공할 수 있는 기술에 관한 것이다.
본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은 간략하게 말하자면, 콘텐츠 제공자로부터 입력받은 원본 콘텐츠를 암호화하고 암호화한 콘텐츠와, 샌드박스 생성 모듈 및 자료 유출 방지 모듈을 결합하여 단일 보안 콘텐츠로 생성한 후, 이를 콘텐츠 사용자에게 전달하게 된다. 콘텐츠 사용자는 전달받은 단일 보안 콘텐츠를 실행할 경우, 별도의 프로그램 설치 없이 콘텐츠에 탑재된 샌드박스 모듈이 실행되어 총 3개의 독립된 샌드박스가 순차적으로 생성 및 실행되어, 외부의 모든 접근을 차단하고 각 샌드박스들이 실행되는 기간 동안 각각의 샌드박스들 사이의 접근 만을 허용하면서 콘텐츠가 출력되기 때문에, 해당 콘텐츠에 대한 보안 기능을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템을 나타낸 구성 예시도이며, 도 2는 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템에 의한 세부 동작을 나타낸 예시도이다. 도 1 및 도 2를 참조로 하여 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은 도 1에 도시된 바와 같이, 콘텐츠 입력부(100), 보안 콘텐츠 생성부(200) 및 콘텐츠 제공부(300)를 포함하여 구성되는 것이 바람직하다. 각 구성들은 디지털 콘텐츠의 유출을 방지하기 위한 보안 서비스를 제공하는 보안 서버에서 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에 각각 또는 통합 포함되어 동작을 수행하는 것이 바람직하다.
각 구성에 대해서 자세히 알아보자면,
상기 콘텐츠 입력부(100)는 보안 서비스를 통해서 디지털 콘텐츠 데이터를 전송(또는, 공유)하고자 하는 제공자로부터 원하는 디지털 콘텐츠 데이터를 입력받게 된다.
즉, 화상회의 서비스가 보안 서비스를 제공하고 있을 경우, 화상회의 서비스에 접속하고 있는 접속자들 중 디지털 콘텐츠 데이터를 공유하고자 하는 접속자로부터 원하는 디지털 콘텐츠 데이터를 입력받게 된다.
상기 보안 콘텐츠 생성부(200)는 상기 콘텐츠 입력부(100)를 통해서 입력받은 상기 디지털 콘텐츠 데이터를 암호화하고, 암호화한 디지털 콘텐츠 데이터를 포함하여 샌드박스 기반 보안 콘텐츠 데이터를 생성하게 된다.
상술한 바와 같이, 일반적으로 샌드박스는 보호된 영역 내에서 프로그램을 동작시키는 것으로, 외부 요인에 의해 악영향이 미치는 방지하는 보안 모델(보안 소프트웨어)이다. 즉, 외부로부터 받은 프로그램을 보호된 영역 안에 가두고 나서 동작을 시키게 되며, 보호된 영역은 다른 파일이나 프로세스로부터 격리되어 내부에서 외부를 조작하는 것이 금지되게 된다. 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은 이러한 샌드박스의 기술적 특징을 역 이용하여, 하드 디스크의 특정 영역에 샌드박스 영역을 조성하고, 해당 영역 내에만 콘텐츠 데이터가 실행될 수 있도록 상기 보안 콘텐츠 데이터를 생성하는 것이 바람직하다. 이에 따라, 상기 보안 콘텐츠 데이터의 실행을 통해서 샌드박스 영역의 외부에서 내부를 조작하는 것이 차단되기 때문에, 샌드박스 영역의 내부에서 실행되고 있는 콘텐츠 내용에 대한 보안 기능을 제공할 수 있다.
도 2를 통해서 샌드박스 적용 유무에 따른 하드 디스크의 리소스 상태를 비교할 수 있다.
샌드박스가 적용되지 않을 경우, 콘텐츠 데이터는 하드 디스크의 비워진 공간에 분리되어 적재된다. 이 때, 외부 어플리케이션에서 해당 공간의 데이터에 대한 직접적인 접근이 가능하기 때문에, 데이터의 훼손이 발생할 수 있다. 이에 반해서, 샌드박스가 적용될 경우, 콘텐츠 데이터가 하드 디스크 내 적재 공간을 독립적으로 구성하고, 해당 공간에서에 대한 외부의 접근을 차단하게 된다. 또한, 허용된 어플리케이션에 대해서만 접근이 가능하도록 구성함으로써, 영역 내 데이터를 보호할 수 있다.
이러한 동작을 수행하게 위하여, 상기 보안 콘텐츠 생성부(200)는 보안 서비스를 통해서 디지털 콘텐츠 데이터를 전송받고자 하는 사용자가 상기 보안 콘텐츠를 제공받아, 이를 열람하고자 할 경우, 사용자가 소지하고 있는 단말 수단의 하드 디스크 내 제한된 보호 영역인 샌드박스 환경을 조성하고, 상기 디지털 콘텐츠 데이터의 열람이 이루어지도록 설정되는 상기 보안 콘텐츠 데이터를 생성하는 것이 바람직하다.
이에 따라, 상기 보안 콘텐츠 생성부(200)는 사용자의 단말 수단의 하드 디스크에서 제한된 보호 영역을 확보하여 제한된 보호 영역 내에서 샌드박스 환경을 조성하는 모듈과, 입력받은 상기 디지털 콘텐츠 데이터를 암호화하여 저장하는 모듈과, 암호화한 디지털 콘텐츠 데이터를 복호화하는 모듈과, 열람되는 상기 디지털 콘텐츠 데이터의 유출 행위를 차단하는 모듈을 포함하여, 상기 보안 콘텐츠 데이터를 생성하는 것이 바람직하다. 이러한 상기 보안 콘텐츠 데이터에 의한 세부 실행 과정은 자세히 후술하도록 한다.
상기 콘텐츠 제공부(300)는 보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자에게 상기 보안 콘텐츠 생성부(200)에서 생성한 상기 보안 콘텐트를 제공하게 된다. 이를 위해 제공자와 사용자는 보안 서버를 통해서 보안 서비스에 접속하고 있게 되며, 일 예를 들자면, 화상회의 서비스가 보안 서비스를 제공하고 있을 경우, 화상회의 서비스에 접속하고 있는 접속자들 중 디지털 콘텐츠를 공유하고자 하는 접속자를 제공자에 해당하고, 화상회의 서비스를 접속하고 있는 나머지 접속자들이 사용자에 해당한다.
도 3은 상기 보안 콘텐츠 데이터에 의한 세부 실행 과정을 나타낸 예시도로서, 보안 서비스를 통해서 디지털 콘텐츠 데이터를 전송받고자 하는 사용자가 상기 콘텐츠 제공부(300)에 의해 상기 보안 콘텐츠 데이터를 제공받은 후, 이를 열람하기 위한 실행 동작을 할 경우, 도 3과 같은 동작들이 수행되게 된다.
상세하게는, 보안 서비스를 통해서 디지털 콘텐츠 데이터를 전송받고자 하는 사용자가 제공받은 상기 보안 콘텐츠 데이터를 열람하기 위한 실행 동작을 수행할 경우, 상기 보안 콘텐츠 데이터에 포함되어 있는 샌드박스 환경을 조성하는 모듈(샌드박스 모듈)에서, 가장 먼저 콘텐츠 샌드박스 환경을 조성하게 된다.
즉, 해당하는 사용자의 단말 수단의 하드 디스크에서 제한된 보호 영역을 확보하여 제한된 보호 영역 내에 콘텐츠 샌드박스 환경을 조성하는 동작이 수행되게 된다.
이 후, 조성된 콘텐츠 샌드박스 환경에서, 복호화 모듈에 의해 암호화된 디지털 콘텐츠 데이터에 대한 복호화가 수행되고, 복호화된 디지털 콘텐츠 데이터(원본 디지털 콘텐츠 데이터에 해당)가 콘텐츠 샌드박스 환경에 적재되게 된다.
상술한 동작을 수행한 후, 상기 보안 콘텐츠 데이터에 포함되어 있는 샌드박스 환경을 조성하는 모듈(샌드박스 모듈)에서, 실행 샌드박스(프로그램 실행 샌드박스) 환경을 조성하게 된다. 이 역시도, 해당하는 사용자의 단말 수단의 하드 디스크에서 제한된 보호 영역을 확보하여 제한된 보호 영역 내에 조성하는 것이 바람직하다.
이 후, 조성된 실행 샌드박스 환경에서, 상기 디지털 콘텐츠 데이터를 열람하기 위해 미리 설정된 연계 프로그램(일 예를 들자면, PDF reader 등)을 실행하여, 콘텐츠 샌드박스 환경에 적재되어 있는 복호화된 디지털 콘텐츠 데이터를 불러오는 게 바람직하다. 이 때, 조성된 샌드박스 환경들은 상술한 바와 같이, 상호 간의 접근이 허용된다.
조성된 실행 샌드박스 환경에서 프로그램을 통해서 출력되는 디지털 콘텐츠 데이터는 해당하는 사용자의 단말 수단의 비공개 백그라운드로 실행되도록 설정되어, 사용자에게 실행 샌드박스 환경을 통해 열람되고 있는 디지털 콘텐츠 데이터가 출력되지 않는 것이 바람직하다.
즉, 현재 동작까지는 디지털 콘텐츠 데이터의 열람 동작이 수행되고 있지만, 사용자가 이에 대한 출력 화면 등을 제공받을 수는 없다.
상술한 동작을 수행한 후, 상기 보안 콘텐츠 데이터에 포함되어 있는 샌드박스 환경을 조성하는 모듈(샌드박스 모듈)에서, 열람 샌드박스(열람용 샌드박스) 환경을 조성하게 된다. 이 역시도, 해당하는 사용자의 단말 수단의 하드 디스크에서 제한된 보호 영역을 확보하여 제한된 보호 영역 내에 조성하는 것이 바람직하다.
열람 샌드박스 환경은 사용자에게 출력 화면 등을 제공하기 위한 구성이다. 그렇지만, 이에 대한 또 한번의 보안 기능을 수행하기 위해서, 열람 샌드박스 환경에서는 직접직으로 디지털 콘텐츠 데이터의 출력이 수행되는 것이 아니라, 실행 샌드박스 환경에서 단말 수단의 비공개 백그라운드로 실행되고 있는 디지털 콘텐츠 데이터를 미러링 기능을 통해 전송받게 된다. 즉, 조성된 열람 샌드박스 환경에서, 실행 샌드박스 환경에서의 출력 화면을 미러링받아 실제 사용자가 확인할 수 있는 출력 화면 등으로 제공받게 된다.
이러한 기술적 특징으로 인해, 사용자가 제공되는 출력 화면 등에 입력 수단을 통해 정보를 입력하더라도, 미러링받아 출력되기 때문에 입력 정보가 곧바로 적용될 수 없다. 즉, 조성된 열람 샌드박스 환경에서 상기 디지털 콘텐츠 데이터가 미러링을 통해서 출력되는 과정에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 상기 실행 샌드박스 환경으로 전송하여, 실시간으로 동기화를 수행하게 된다.
이를 통해서, 열람 샌드박스 환경에서 사용자가 입력한 입력 정보가 실행 샌드박스 환경으로 전송되어 이에 대한 동기화 수행을 통해서 디지털 콘텐츠 데이터에 적용되게 된다.
그렇지만, 모든 입력 정보에 대한 동기화를 수행할 할 경우, 디지털 콘텐츠 데이터에 대한 제대로 된 보안 기능을 제공할 수 없기 때문에, 상기 보안 콘텐츠 데이터에 포함되어 있는 유출 행위 차단 모듈(자료 유출 방지 모듈)에서, 열람 샌드박스 환경에서 동작을 수행하면서, 사용자가 입력한 입력 정보에 대한 분석을 수행하여 동기화 여부를 판단하게 된다.
상세하게는, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 미리 설정된 행위 정보 외에 모든 행위에 대해서, 실행 샌드박스 환경으로의 전송을 차단하여, 동기화가 이루어지는 것을 방지할 수 있다.
일 예를 들자면, 사용자가 동작을 수행할 수 있는 미리 설정된 행위 정보로 읽기 기능만 설정할 경우, 디지털 콘텐츠 데이터의 페이지를 변경하는 등 읽기 기능 외에 다른 정보(인쇄, 복사, 편집 등)가 입력될 경우, 차단 동작이 수행되게 된다.
물론, 보안 서비스를 제공하는 보안 서버의 설정에 따라, 이와 반대로 사용자가 동작을 수행할 수 없는 행위 정보를 미리 설정할 수도 있다. 즉, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 미리 설정된 행위 정보에 해당할 경우, 실행 샌드박스 환경으로의 전송을 차단하여, 동기화가 이루어지는 것을 방지할 수 있다.
일 예를 들자면, 사용자가 동작을 수행할 수 없는 미리 설정된 행위 정보로 편집 기능을 설정할 경우, 디지털 콘텐츠 데이터에 대한 인쇄, 복사, 읽기 등 다른 기능이 입력 정보에 해당할 경우에는 실행 샌드박스 환경으로의 전송을 통해 동기화가 이루어지지만, 편집 기능이 입력될 경우에는 차단 동작이 수행되게 된다.
마지막으로, 상기 보안 콘텐츠 데이터는 사용자가 열람을 종료하기 위한 실행 동작을 수행할 경우, 조성한 콘텐츠 샌드박스 환경, 열람 샌드박스 환경 및 실행 샌드박스 환경의 삭제를 수행하는 것이 바람직하다. 이를 통해서, 상기 보안 콘텐츠 데이터와 연관되어 있는 모든 샌드박스 환경이 사용자의 단말 수단의 하드 디스크에서 삭제됨으로써, 사용자의 하드 디스크에는 열람된 디지털 콘텐츠 데이터 관련 내용이 존재하지 않게 된다.
이러한 본 발명의 일 실시예에 따른 샌드박스 기술 기반 콘텐츠 보안 시스템은 총 3개의 독립된 샌드박스 환경을 조성하여, 콘텐츠 데이터의 복호화와 파일 적재, 백그라운드 프로그램 실행, 자료유출 방지 기능이 적용된 사용자 미러링 기반 콘텐츠 열람 기술을 적용함으로써, 별도의 프로그램 설치 없이 외부의 접근을 차단하면서 디지털 콘텐츠 데이터를 공유하면서도 불법 유출을 방지할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 콘텐츠 입력부
200 : 보안 콘텐츠 생성부
300 : 콘텐츠 제공부
200 : 보안 콘텐츠 생성부
300 : 콘텐츠 제공부
Claims (10)
- 디지털 콘텐츠의 유출을 방지하기 위한 보안 서비스를 제공하는 보안 서버를 포함하는 샌드박스 기술 기반 콘텐츠 보안 시스템에 있어서,
상기 보안 서버에 의한 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에서, 보안 서비스를 통해서 디지털 콘텐츠를 전송하고자 하는 제공자로부터 원하는 디지털 콘텐츠를 입력받는 콘텐츠 입력부(100);
상기 연산처리수단에서, 입력받은 상기 디지털 콘텐츠를 암호화하고, 암호화한 디지털 콘텐츠를 포함하여 샌드박스 기반 보안 콘텐츠를 생성하는 보안 콘텐츠 생성부(200); 및
상기 연산처리수단에서, 보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자에게 생성한 보안 콘텐츠를 제공하는 콘텐츠 제공부(300);
를 포함하되,
상기 보안 콘텐츠 생성부(200)는
제한된 보호 영역을 확보하여 제한된 보호 영역 내에서 샌드박스 환경을 조성하는 모듈과, 입력받은 상기 디지털 콘텐츠를 암호화하여 저장하는 모듈과, 암호화한 디지털 콘텐츠를 복호화하는 모듈과, 열람되는 상기 디지털 콘텐츠의 유출 행위를 차단하는 모듈을 포함하여, 상기 보안 콘텐츠를 생성하며,
상기 보안 콘텐츠는
보안 서비스를 통해서 디지털 콘텐츠를 전송받은 사용자가 소지하고 있으며, 전송받은 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 제한된 보호 영역에서의 샌드박스 환경을 조성하고, 샌드박스 환경에서 상기 디지털 콘텐츠의 열람이 이루어지도록 실행되고,
보안 서비스를 통해서 디지털 콘텐츠를 전송받고자 하는 사용자가 상기 콘텐츠 제공부(300)에 의해 상기 보안 콘텐츠를 제공받은 후, 제공받은 상기 보안 콘텐츠를 열람하기 위한 실행 동작을 수행할 경우,
상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서,
제한된 보호 영역 내에서 콘텐츠 샌드박스 환경을 조성하고,
조성한 콘텐츠 샌드박스 환경에서, 암호화된 디지털 콘텐츠의 복호화를 수행하고, 복호화된 디지털 콘텐츠를 적재하고,
제한된 보호 영역 내에서 실행 샌드박스 환경을 조성하고,
조성한 실행 샌드박스 환경에서, 상기 디지털 콘텐츠와 연계된 열람 프로그램을 실행하여, 상기 콘텐츠 샌드박스 환경에 적재되어 있는 복호화된 디지털 콘텐츠를 입력하되, 상기 실행 샌드박스 환경에서, 상기 열람 프로그램은 해당하는 단말수단의 비공개 백그라운드로 실행되도록 설정되며,
제한된 보호 영역 내에서 열람 샌드박스 환경을 조성하고,
조성한 열람 샌드박스 환경에서, 비공개 백그라운드로 실행되고 있는 실행 샌드박스 환경에서의 출력 화면을 미러링받아 사용자가 확인할 수 있는 출력 화면으로 출력하는, 샌드박스 기술 기반 콘텐츠 보안 시스템.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 제 1항에 있어서,
상기 샌드박스 기술 기반 콘텐츠 보안 시스템은
상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 상기 실행 샌드박스 환경으로 전송하여 동기화를 수행하는, 샌드박스 기술 기반 콘텐츠 보안 시스템.
- 제 7항에 있어서,
상기 샌드박스 기술 기반 콘텐츠 보안 시스템은
상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 기설정된 행위 정보 외에 모든 행위에 대해서, 상기 실행 샌드박스 환경으로의 전송을 거부하는, 샌드박스 기술 기반 콘텐츠 보안 시스템.
- 제 7항에 있어서,
상기 샌드박스 기술 기반 콘텐츠 보안 시스템은
상기 모듈에 의해서, 상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 열람 샌드박스 환경에서, 사용자로부터 입력에 의해 이벤트 발생 시, 입력 정보를 분석하여 기설정된 행위 정보에 대해서, 상기 실행 샌드박스 환경으로의 전송을 거부하는, 샌드박스 기술 기반 콘텐츠 보안 시스템.
- 제 1항에 있어서,
상기 샌드박스 기술 기반 콘텐츠 보안 시스템은
사용자가 상기 보안 콘텐츠의 열람을 종료하기 위한 실행 동작을 수행할 경우, 상기 모듈에 의해서,
상기 보안 콘텐츠를 열람하고자 하는 단말 수단에서, 조성한 상기 콘텐츠 샌드박스 환경, 열람 샌드박스 환경 및 실행 샌드박스 환경의 삭제를 수행하는, 샌드박스 기술 기반 콘텐츠 보안 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210174774A KR102592625B1 (ko) | 2021-12-08 | 2021-12-08 | 샌드박스 기술 기반 콘텐츠 보안 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210174774A KR102592625B1 (ko) | 2021-12-08 | 2021-12-08 | 샌드박스 기술 기반 콘텐츠 보안 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230086295A KR20230086295A (ko) | 2023-06-15 |
| KR102592625B1 true KR102592625B1 (ko) | 2023-10-24 |
Family
ID=86763661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210174774A KR102592625B1 (ko) | 2021-12-08 | 2021-12-08 | 샌드박스 기술 기반 콘텐츠 보안 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102592625B1 (ko) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101952628B1 (ko) * | 2017-06-02 | 2019-02-27 | (주) 위너다임 | 샌드박스가 적용된 실행 가능한 보안 컨테이너를 이용한 콘텐츠 보안유통방법 |
| KR20190033800A (ko) | 2017-09-22 | 2019-04-01 | 한국전자통신연구원 | 화상 회의용 데이터의 보안 관리 장치 및 방법 |
-
2021
- 2021-12-08 KR KR1020210174774A patent/KR102592625B1/ko active IP Right Grant
Non-Patent Citations (1)
| Title |
|---|
| Young Lee and SangGeun Hahn, "State of the Art of Anti-Screen Capture Protection Techniques"(2021.05.)* |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230086295A (ko) | 2023-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11704389B2 (en) | Controlling access to digital assets | |
| US8352735B2 (en) | Method and system for encrypted file access | |
| CN109923548A (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
| US7529946B2 (en) | Enabling bits sealed to an enforceably-isolated environment | |
| US20050066165A1 (en) | Method and system for protecting confidential information | |
| CN101944168B (zh) | 电子文件权限控管系统 | |
| CN104680079A (zh) | 一种电子文档安全管理系统及方法 | |
| US8776258B2 (en) | Providing access rights to portions of a software application | |
| KR20010088917A (ko) | 디지털 정보 보안 방법 및 그 시스템 | |
| CN102667792B (zh) | 用于访问安全的文件服务器的文件的方法和装置 | |
| CN105303074A (zh) | 一种保护Web应用程序安全的方法 | |
| Pramanik et al. | Security policies to mitigate insider threat in the document control domain | |
| CN112948870A (zh) | 一种基于大数据的电子文档安全管理方法及管理系统 | |
| Yu et al. | Enterprise digital rights management: Solutions against information theft by insiders | |
| KR102592625B1 (ko) | 샌드박스 기술 기반 콘텐츠 보안 시스템 | |
| KR102554875B1 (ko) | 원격 업무 환경 제공 장치 및 방법 | |
| US20220086000A1 (en) | Cryptographic systems | |
| CN116686316A (zh) | 加密文件控制 | |
| CN112269986A (zh) | 进程管理方法、装置及存储介质 | |
| Levin et al. | Trusted emergency management | |
| KR100901014B1 (ko) | 가상 환경상에서의 응용 프로그램 실행 장치 및 방법 | |
| US20220358219A1 (en) | Secure cloud computing architecture and security method | |
| Arai et al. | A proposal for an effective information flow control model for sharing and protecting sensitive information | |
| TWI783189B (zh) | 位元鎖磁碟管理系統 | |
| Skoularidou et al. | Security architectures for network clients |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |