KR20060116382A - 컴퓨터 시스템의 보안 설정 방법 및 장치 - Google Patents

컴퓨터 시스템의 보안 설정 방법 및 장치 Download PDF

Info

Publication number
KR20060116382A
KR20060116382A KR1020050038596A KR20050038596A KR20060116382A KR 20060116382 A KR20060116382 A KR 20060116382A KR 1020050038596 A KR1020050038596 A KR 1020050038596A KR 20050038596 A KR20050038596 A KR 20050038596A KR 20060116382 A KR20060116382 A KR 20060116382A
Authority
KR
South Korea
Prior art keywords
execution
user
setting
security
option
Prior art date
Application number
KR1020050038596A
Other languages
English (en)
Other versions
KR101249176B1 (ko
Inventor
송정근
김승기
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020050038596A priority Critical patent/KR101249176B1/ko
Publication of KR20060116382A publication Critical patent/KR20060116382A/ko
Application granted granted Critical
Publication of KR101249176B1 publication Critical patent/KR101249176B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 컴퓨터 시스템의 보안 설정 방법 및 장치에 관한 것으로, 더욱 상세하게는 데이터 실행 방지 기능이 제공되는 컴퓨터에 있어서 권한이 있는 사용자에 의해 특정 프로그램에 대한 데이터 실행 방지 기능을 선택적으로 불활성화하도록 하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법 및 장치에 관한 것이다. 본 발명의 방법 및 장치에 의하면 데이터 실행 방지 기능이 설정된 컴퓨터 시스템에서 인터넷 뱅킹 및 개인 보안 관련 프로그램의 타인에 의한 접근을 BIOS 셋업 시큐러티(BIOS setup security)에서 인증하여, 정당한 권한을 가진 사용자에 의한 컴퓨터의 정상적인 사용을 방해하지 않으면서 높은 수준의 보안 기능을 제공할 수 있다.
컴퓨터 시스템, 데이터 실행 방지, 수퍼바이저 패스워드, 웹 브라우저

Description

컴퓨터 시스템의 보안 설정 방법 및 장치{METHOD AND APPARATUS FOR SETTING SECURITY OF A COMPUTER SYSTEM}
도 1은 일반적인 컴퓨터의 구성을 나타낸 블록도,
도 2는 종래의 방법에 의한 바이오스 셋업 화면의 일례를 나타낸 개략도,
도 3은 본 발명의 일시예에 의한 컴퓨터 시스템의 보안 설정 방법 실행시의 바이오스 셋업 메뉴를 도시한 도면,
도 4는 본 발명의 일실시예에 의한 컴퓨터 보안 설정 방법을 나타낸 흐름도,
도 5a-c는 본 발명의 컴퓨터 시스템 보안 설정 방법 실행시의 BIOS 셋업 화면의 일례를 나타낸 도면이다.
*도면의 주요 부분에 대한 부호의 설명*
100 : 중앙처리장치 101 : 비디오 컨트롤러
102 : 노스 브리지 103 : 메인 메모리
104 : I/O 컨트롤러 105 : 사우스 브리지
106 : 하드디스크(HDD) 107 : 키보드 컨트롤러
본 발명은 컴퓨터 시스템의 보안 설정 방법 및 장치에 관한 것으로, 더욱 상세하게는 데이터 실행 방지 기능이 제공되는 컴퓨터에 있어서 권한이 있는 사용자에 의해 특정 프로그램에 대한 데이터 실행 방지 기능을 선택적으로 불활성화하도록 하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법 및 장치에 관한 것이다.
현재 대부분의 일상 생활은 유무선 네트워크에 연결된 컴퓨터 시스템에 의해 이루어진다. 문서 작성과 같은 컴퓨터 고유의 업무 이외에 이메일 송수신, 증권거래, 세금납부, 인터넷 뱅킹 및 전자상거래 등도 모두 컴퓨터 시스템을 통해서 이루어지고 있다.
그러나 컴퓨터 및 네트워크는 개방적인 구조를 가지고 있어 각종 컴퓨터 바이러스, 웜, 트로이목마 및 다양한 형태의 악의적인 트래픽들에 의해 노출되어 있어 항상 보안이 문제가 되고 있다. 또한 컴퓨터를 이용한 인터넷 뱅킹이나 온라인 쇼핑 등의 작업이 활발해짐에 따라 타인의 정보를 취득하기 위한 해킹 기술 또한 고도화되고 있는 실정이다. 컴퓨터 시스템 및 네트워크의 보안망을 노린 개인정보 유출이나 금융사고 등의 경우에는 개인의 사적인 정보가 누출될 뿐만 아니라 온라인으로 금전적인 손해를 입힐 수도 있다는 점에서 심각한 위협이 되고 있다.
따라서 CPU 제조사, 운영체제(OS) 제작사, 네트워크 장비 제조사, 메인보드 칩셋 제조사들 모두 자사의 제품에 보안기능을 추가한 제품을 선보이고 있다. 보안 기능들의 예로는 방화벽, 바이러스 방지 및 탐지 시스템, OS/애플리케이션 패치, 가상 사설망 (Virtual Private Network : VPN), 침입 탐지 시스템(Intrusion Detection System : IDS) 등을 들 수 있다.
그러나 이러한 각각의 보안 솔루션은 저마다 취약점을 갖고 있어, 결국 기존의 보안 시스템의 조합만으로는 갈수록 고도화되고 복잡해지는 공격에 대처할 수 없다. 따라서 보다 근본적인 해결책이 강구되어야 한다.
보다 근본적인 보안 방법의 하나로 운영체제와 기타 프로그램만 사용해야 하는 메모리 위치에서 악의적인 코드를 실행하여 공격하는 바이러스 및 기타 보안 위험으로부터의 손상을 막기 위해, 데이터 실행 방지 (DEP: Data Execution Prevention) 기능을 이용하는 방법이 제안되었다. 데이터 실행 방지 기능은 악의적인 코드가 시스템에서 실행되는 것을 막기 위해 메모리를 추가로 확인하는 하드웨어 및 소프트웨어 기술이다.
데이터 실행 방지 기능은 데이터 페이지에서 코드가 실행되는 것을 막는 장점을 가진다. 정상적인 프로그램이라면 코드영역에서만 자신을 실행하며 불필요하게 데이터 영역까지 침범하여 자신을 실행시키지 않는다. 데이터 실행 방지 기능은 메모리의 코드 영역과 데이터 영역 중에서 데이터 영역에서 실행되는 코드는 불법(악의적인 프로그램)으로 간주하여 사전에 차단한다.
하드웨어 적용 DEP는 데이터 페이지에서 실행되는 코드를 검색하고 예외가 나타날 경우 예외를 발생시키고, 소프트웨어 적용 DEP는 악의적인 코드가 윈도우즈(Windows)의 예외 처리 메커니즘을 이용하는 것을 방지하는 데 유리하다.
데이터 실행 방지 기능은, 이러한 기능을 코어에서 지원하는 CPU들의 기능을 사용해, 실행 가능 코드가 포함되어 있는 것이 명백한 때 이외에는 어플리케이션내의 모든 메모리 영역을 "실행 불가능 영역"으로 마킹한다. 프로그램이 보호된 위치에서 코드를 실행하려고 하면 DEP가 해당 프로그램을 닫고 이를 알린다. 이러한 기능으로, 마킹되고 있는 메모리 영역에, 웜이나 바이러스 코드가 공격을 시작해도, 윈도우즈(Windows) 자체의 컴포넌트가 그러한 위험한 코드를 실행하지 않는다.
데이터 실행 방지 기능은 응용 프로그램별로 DEP를 해제하거나 설정할 수 없도록 되어 있어, 악의적인 코드가 아닌 경우에도 실행된다. 인터넷 뱅킹 등의 사용시 데이터 실행 방지 기능으로 인해 응용 프로그램이 실패했다는 내용의 대화 상자가 나타나면서 웹브라우저가 강제로 종료되는 경우가 발생한다. 따라서 데이터 실행 방지 기능이 설정되어 있는 경우 권한이 있는 정당한 사용자 조차도 원하는 프로그램을 사용할 수 없게 되는 문제점이 발생한다.
본 발명은 상술한 종래 기술의 문제점을 극복하기 위한 것으로, 본 발명의 하나의 목적은 데이터 실행 방지 기능을 구비하는 컴퓨터 시스템에서 컴퓨터 시스템의 보안 수준을 변경설정하는 방법을 제공하는 것이다.
본 발명의 다른 목적은 온라인 뱅킹 및 개인 보안 관련 프로그램의 타인에 의한 접근을 BIOS 셋업 보안 설정에서 인증할 수 있도록 되어 있는 데이터 실행 방지 기능을 이용하는 컴퓨터 시스템의 보안 설정 장치를 제공하는 것이다.
상술한 목적을 달성하기 위한 본 발명의 하나의 양상은
데이터 실행 방지 기능을 구비하는 컴퓨터 시스템에서 컴퓨터의 보안 수준을 설정함에 있어서,
데이터 실행 방지 기능을 사용자 모드로 세팅하는 단계;
실행여부 표시 비트 설정 옵션을 활성화(enable) 상태로 세팅하는 단계;
권한 있는 사용자에 의한 액세스인지 인증하는 단계;
권한 있는 사용자로 인증되는 경우, 실행여부 표시 비트 설정 옵션 변경을 인에이블(enable)하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법에 관계한다.
본 발명에서 사용자 모드란 사용자에 의해 선택되지 않은 모든 프로그램 및 서비스에 대해서 데이터 실행 방지 기능을 적용하는 모드를 나타낸다.
본 발명의 방법에 의한 컴퓨터 시스템의 보안 수준 변경시 사용자 인증 단계는 바이오스 셋업 옵션의 보안 옵션 설정 단계에서 행하는 것이 바람직하다.
본 발명의 방법에서는 실행여부 표시 비트 설정 옵션을 디스에이블로 변환할 경우, 데이터 실행 방지 기능의 실행을 정지시킨다.
본 발명의 방법은 인증 단계에서 권한이 없는 사용자로 확인되는 경우에, 실행여부 표시 비트 설정 옵션을 사용자가 선택할 수 없도록 불활성화(inactivate)시키는 단계를 포함할 수 있다.
본 발명의 방법에서 사용자 인증 단계는 사용자에 의해 수퍼바이저 패스워드(supervisor password)를 입력받는 단계와 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드의 일치 여부를 판단하는 단계를 포함할 수 있다.
본 발명에서 데이터 실행 방지 기능은 메모리 영역의 실행 허용 여부를 검사하여 실행이 허용된 메모리 영역에 저장된 코드만을 실행하는 기능이다.
상술한 목적을 달성하기 본 발명의 다른 양상은
데이터 실행 방지 기능을 갖는 BIOS 루틴을 구비하는 시스템 프로세서를 포함하는 컴퓨터 시스템의 보안 설정 장치로서, 상기 장치가 데이터 실행 방지 기능이 사용자 모드로 세팅되어 있고 실행여부 표시 비트 설정 옵션이 활성화(enable) 상태로 세팅된 상태에서, 실행여부 표시 비트 설정 옵션을 변경하고자 하는 사용자가 권한이 있는 사용자인지 판단하여 권한이 있는 사용자인 경우에 실행여부 표시 비트 설정 옵션의 변경을 인에이블할 수 있도록 허용하는 제어부를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 장치를 특징으로 한다.
이하에서 첨부 도면을 참고하여 본 발명에 관하여 더욱 상세하게 설명한다.
본 발명에 관해서 상세하게 설명하기 이전에 본 발명에서 사용되는 몇 가지 용어의 정의를 설명하면 다음과 같다.
먼저 본 발명에서 "실행여부 표시 비트"라 함은 컴퓨터의 운영체제의 메모리의 페이지 테이블에 각 페이지에 저장된 코드를 실행해도 되는지의 여부를 표시하는 표식을 의미한다. 이러한 실행여부 표시 비트는 각 업체마다 이름이 상이한데, 예를 들어 인텔사에서는 이러한 비트를 Execute Disable Bit라 한다.
본 발명에서 "수퍼바이저 패스워드(supervisor password)"라 함은 컴퓨터 시스템의 BIOS 특징 셋엇(BIOS featrues setup)의 보안 옵션(Security Option) 항목과 관련되어 암호를 지정하기 위한 패스워드를 의미한다. 바이오스 셋업 과정에서 암호를 지정하면 컴퓨터를 부팅하거나 CMOS 셋업 화면으로 들어가려고 시도할 경우에 암호를 확인한다.
도 1은 본 발명의 일실시예에 따른 컴퓨터 시스템의 보안 설정 방법이 적용될 수 있는 컴퓨터 시스템의 개략도이다.
일반적으로 컴퓨터 시스템은 씨피유(CPU)(100), 비디오 컨트롤러(Video Controller)(101), 메인 메모리(Main Memory)(103), 메모리(103)를 제어하는 노스 브리지(North Bridge)(102), 컴퓨터와 주변기기 사이의 데이터 입출력을 제어하는 입출력 컨트롤러(I/O Controller)(104), 주변장치의 입출력 기능을 관리하는 레지스터의 집합체인 사우스 브리지(South bridge)(105), 하드 디스크(HDD)(106), 및 키보드 컨트롤러(Keyboard Controller)(107)를 포함한다.
노스 브리지(North Bridge)(102)는 CPU, 메모리, 그래픽카드 등 비교적 속도가 빠른 기기를 제어한다. 노스 브리지(102)가 제어하는 장치로는 메모리 콘트롤러, 호스트 브리지, AGP 콘트롤러 등이 있다. 노스 브릿지(102)와 사우스 브릿지(105)는 PCI 버스로 연결되어 있다.
사우스 브리지(South Bridge)(105)는 하드디스크, 키보드, 마우스 등의 느린 기기를 제어한다. 사우스 브릿지(105)는 PCI, IDE, USB 등 주변장치의 데이터 흐름을 제어하거나 전원관리를 담당한다.
이상의 구성을 갖는 컴퓨터의 부팅과정과 바이소스 셋업 과정에 대해서 설명한다. 컴퓨터에 전원이 인가되면 부트-업 과정은 컴퓨터 시스템의 ROM-BIOS에 들어 있는 시동 프로그램에 의해서 시행된다. ROM-BIOS는 컴퓨터 시스템의 메인 보드에 장착되어 있는 ROM에 저장되어 있는 프로그램으로 컴퓨터 시스템의 부팅과 기본 입출력 시스템을 낮은 수준으로 제어하는 프로그램이다.
ROM은 BIOS 메모리에 저장된 BIOS 루틴을 실행하는데 필요한 정보를 포함한다. BIOS 메모리는 BIOS 루틴 및 보안 기능 구현을 위한 루틴을 포함한다. BIOS 루틴이 완전하게 실행되지 않으면 컴퓨터의 운영체제에 접근할 수 없다.
바이오스 셋업 소프트웨어에는 AwardBIOS, PhoneixBIOS, AMIBIOS 등의 여러 가지 종류가 있다. 각각의 BIOS 셋업 소프트웨어 마다 BIOS 셋업 과정으로 들어가는 방법이 상이하다. 어워드 바이오스의 경우에는 컴퓨터를 켜고 DEL키를 눌러 바이오스 셋업으로 들어가고, 피닉스 바이오스의 경우에는 F2 키를 눌러야 바이오스 셋업으로 들어가게 된다.
데이터 실행 방지 기능이 제공되는 컴퓨터는 실행여부 표시 비트 기능(Execute Disable Bit capability)을 제공한다. 실행여부 표시 비트 기능은 메모리 영역의 실행 허용 여부를 검사하여 실행이 허용된 메모리 영역에 저장된 코드만을 실행하는 기능이다. 지정한 데이터 페이지에서 코드를 실행하려고 하면 예외가 즉시 발생하여 코드 실행을 막기 때문에, 공격자가 코드를 사용하여 데이터 버퍼를 오버런한 다음 코드를 실행하는 것을 방지할 수 있다. 따라서 운영체제와 기타 프로그램만 사용해야 하는 메모리 위치에서 악의적인 코드를 실행하여 공격하는 바이러스 및 기타 보안 위험으로부터의 손상을 막아 줄 수 있다.
대부분의 운영체제(Operatign System)는 메모리를 페이지 단위로 나누어 관리한다. 그리고 페이지들을 관리하기 위해 각 페이지의 위치를 저장한 테이블을 가지고 있다. 실행여부 표시 비트는 페이지 테이블에 각 페이지에 저장된 코드를 실행해도 되는지의 여부를 표시하는 실행여부 표시 비트를 추가한다.
운영체제가 실행여부 표시 비트를 사용하도록 설정되면, 메모리의 전체 영역은 CPU가 실행하지 못하도록 실행여부 표시 비트가 설정된다. 운영체제의 부팅 이후, 정상적으로 메모리에 로딩된 프로그램의 실행 코드가 저장된 부분은 실행여부 표시 비트가 해제된다.
데이터 실행 방지 기능이 설정되어 있는 경우에, CPU는 메모리에서 데이터를 읽어서 실행하기 이전에, 페이지 테이블에서 실행여부 표시 비트가 설정되어 있는지를 검사한다. 만약 실행여부 표시 비트가 설정된 페이지에서 데이터를 읽어 실행을 시도하면, CPU는 이를 감지하고 코드의 실행을 금지시킨다. 그 이후 CPU는 코드를 실행하는 대신, 운영체제에 실행여부 표시 비트가 설정된 페이지의 코드를 실행하려고 했다는 사실을 통보한다. 이 사실을 통보 받은 운영체제는 실행여부 표시 비트가 설정된 페이지를 실행시키려 시도한 프로그램의 수행을 중단시키고, 사용자에게 통보한다.
상기와 같은 데이터 실행 방지 (DEP) 기능이 제공되는 컴퓨터 시스템에서는 데이터 실행 방지 기능과 관련하여 두 가지 옵션이 제공된다. 하나의 옵션은 "필수적인 윈도우즈 프로그램 및 서비스에 대해서만 데이터 실행 방지 기능을 턴온하는 것("커널 모드")이고, 다른 하나의 옵션은 데이터 실행 방지(DEP) 기능을 사용자가 직접 선택한 항목을 제외한 모든 프로그램 및 서비스에 대해 사용하는 것이다("사용자 모드").
이러한 데이터 실행 방지 기능에 관련된 설정 변경은 바이오스 셋업 과정에서 행할 수 있다. 도 2는 종래의 방법에 의한 바이오스 셋업 화면의 일례를 나타낸 개략도이다. 도 2에 예시된 바와 같이, 데이터 실행 방지 기능이 제공되는 컴퓨터에서 실행 여부 표시 비트 옵션의 선택은 Acvanced 항목 밑에 놓여 있고, 수퍼 바이저 패스워드와는 무관하게 설정되도록 되어 있다.
본 발명은 데이터 실행 방지 기능이 설정된 컴퓨터 시스템에서 인터넷 뱅킹 및 개인 보안 관련 프로그램의 타인에 의한 접근을 BIOS 셋업 시큐러티(BIOS setup security)에서 인증될 수 있게 하는 것을 특징으로 한다. 본 발명의 방법에 의한 컴퓨터의 보안 설정 방법은 바이오스 (BIOS) 셋업 옵션의 보안 옵션 설정 단계에서 행할 수 있다. 도 3을 참고하면, 종래와 다르게 데이터 실행 방지 기능 설정 옵션이 보안 옵션 설정에서 함께 이루어진다.
도 4는 본 발명의 일실시예에 의한 컴퓨터 보안 설정 방법을 나타낸 흐름도이다.
본 발명의 방법에서는 컴퓨터의 보안 수준을 높이기 위해 사용자 모드, 즉 데이터 실행 방지(DEP)를 사용자가 직접 선택한 항목을 제외한 모든 프로그램 및 서비스에 대해 사용하는 모드로 설정한다(S10). 이러한 설정을 사용하면 DEP가 전체 시스템을 보호하게 되어, 모든 프로세스가 항상 DEP가 적용된 상태로 실행된다. 즉, 메모리 영역의 실행 허용 여부를 검사하여 실행이 허용된 메모리 영역에 저장된 코드만을 실행하게 된다.
이와 같이 데이터 실행 방지 기능이 설정되면 실행 여부 표시 비트 설정 옵션을 인에이블 상태(Enable)로 세팅한다 (S20). 예를 들어, Sonoma 플래트폼에 BIOS 셋업 상 Advanced 아래에 디폴트로 실행 여부 표시 비트 옵션을 인에이블 상태로 지정되어 있게 한다.
이어서 본 발명의 방법에서는 데이터 실행 방지 기능 설정을 변경하려고 하는 사용자가 권한이 있는 사용자인지 인증한다(S30). 인증 단계(S30)에서는 사용자에 의해 수퍼바이저 패스워드(supervisor password)를 입력받고, 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드의 일치 여부를 판단한다.
사용자에 의해 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드가 서로 일치하여 권한 있는 사용자로 인증된 경우, 실행여부 표시 비 트 설정 옵션 변경을 인에이블한다 (S40).
실행여부 표시 비트 옵션 변경을 인에이블하게 되면, 사용자는 실행여부 표시 비트 설정 옵션을 디스에이블 상태로 설정하여 데이터 실행 방지 기능의 실행을 정지시킬 수 있다(S50). 실제에 있어서 실행 여부 표시 비트 옵션을 BIOS 셋업상 수퍼바이저 패스워드 항목 밑에 사용자가 선택할 수 없게 인에이블시켜 두고, 패스워드가 일치하는 경우에 [Disabled]로 변환가능하게 한다. 이렇게 되면 프로그램이 DEP 보호에서 제외되어, 사용자는 DEP 기능으로 인해 인터넷 뱅킹 등의 작업시 웹브라우저가 갑자기 종료되는 등의 불편 없이 원활하게 작업을 진행할 수 있다.
한편, 사용자 인증 단계(S30)에서 판단시 사용자에 의해 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드가 서로 일치하지 않는 경우에는 권한이 없는 사용자로 판단된다. 이 경우에는 실행여부 표시 비트 설정 옵션을 사용자가 선택할 수 없도록 불활성화(inactivate)시킨다(S50). 따라서 권한이 없는 사용자는 임의로 컴퓨터의 보안 관련 DEP 설정을 변경할 수 없게 된다.
도 5a-c는 본 발명의 컴퓨터 시스템 보안 설정 방법의 실행시의 BIOS 셋업 화면을 도시한 도면이다. 도 5a는 바이오스 보안 설정 단계의 바이오스 셋업 화면을 나타낸다. 본 발명의 방법에서는 DEP 기능이 디폴트로 사용자 모드로 설정되어 있고, 실행여부 표시 비트(예컨대, Execute-Disable Bit Capability)는 활성화되어 있다. 수퍼바이저 패스워드가 설정되어 있지 않은 경우에는, 도 5a에 도시된 바와 같이, 실행여부 표시 비트 기능은 사용자가 변경할 수 없게 불활성화(inactive)되어 있다.
한편, 수퍼바이저 패스워드를 설정해 놓은 상태에서는, 도 5b에 도시된 바와 같이, 수퍼바이저 패스워드에 의해 사용자를 인증한다. 사용자에 의해 입력된 수퍼바이저 패스워드와 컴퓨터 시스템의 메모리에 저장되어 있는 패스워드가 일치할 경우, 실행여부 표시 비트를 선택해서 디스에이블시킬 수 있다(도 5c). 사용자가 권한 있는 사용자로 인증을 받아서 실행여부 표시 비트를 디스에이블시키면 DEP 기능의 적용은 제한된다.
본 발명의 다른 양상은 BIOS 메모리 내에 프로그래밍 루틴(programming routine)으로 저장된 보안 설정 기능을 갖는 컴퓨터 시스템의 보안 설정 장치에 관계한다. 본 발명의 일실시예에 의한 컴퓨터 시스템의 보안 설정 장치는 데이터 실행 방지 기능을 갖는 BIOS 루틴을 구비하고, 실행여부 표시 비트 설정 옵션을 변경하고자 하는 사용자가 권한이 있는 사용자인 경우에 실행여부 표시 비트 설정 옵션의 변경을 인에이블하는 제어부를 포함하는 것을 특징으로 한다. 상기 제어부는 사용자에 의해 수퍼바이저 패스워드 (supervisor password)를 입력받고, 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드의 일치 여부를 판단한다.
상기 제어부는 사용자가 정당한 권한이 있는 것으로 승인되는 경우에는, 실행여부 표시 비트 설정 옵션을 디스에이블로 설정하여 데이터 실행 방지 기능에 의한 보호를 해제시킨다. 한편, 상기 제어부는 권한이 없는 사용자에 의해 액세스 되는 경우에, 실행여부 표시 비트 설정 옵션을 불활성화(inactivate)시킨다.
본 발명의 컴퓨터 시스템의 보안 설정 장치의 제어부에서 보안 설정 기능을 갖는 바이오스 루틴의 실행 과정을 설명하면 다음과 같다.
먼저 사용자가 부트-업 명령(boot-up command)을 실행시킨다. 이어서 POST(Power-On Self Test) 루틴이 실행되어 시스템의 모든 부분의 정상 여부를 테스트한다. POST 과정이 끝난 후, 바이오스는 마더보드에 장착된 각 칩셋과 컴퓨터에 연결된 여러 종류의 장치들에 대해서 초기화를 시작한다. POST 과정과 초기화 과정이 완료되고 나면, 운영체제를 메모리에 올리는 과정이 진행된다. 이런 모든 과정을 마치게 되면 운영체제는 시스템을 점검한후 사용자의 명령을 기다린다. 그후로는 바이오스는 컴퓨터가 작동하는데 필요한 여러 루틴들을 제공하는데, 이것은 사용자의 호출에 의해서 사용할 수 있다.
사용자가 데이터 실행 방지 기능에 관한 설정을 변경하고자 하는 경우에는, 보안 모드(security mode)(31)를 선택하여야 한다. 보안 모드 아래에는 여러 가지 서브 메뉴 아이템들이 있다(도 3 참조). 수퍼바이저 패스워드 메뉴 아이템이 선택되면 사용자는 패스워드를 입력할 수 있다. 사용자에 의해 입력된 수퍼바이저 패스워드는 바이오스 메모리에 저장된다. 본 발명에서는 보안 모드 아래에 수퍼바이저 서브 메뉴 아이템이 있고 그 아래에 실행여부 표시 비트 메뉴 아이템이 존재한다. 따라서 사용자가 보안 모드에서 수퍼바이저 패스워드를 입력하면, 이러한 패스워드가 바이오스 메모리에 저장된 패스워드와 일치하는지 판단한다. 일치할 경우, 실행여부 표시 비트 옵션의 변경을 인에이블하고, 일치하지 않을 경우에는 실행여부 표시 비트 옵션의 변경을 디스에이블한다.
이상에서 본 발명의 구체적인 실시예를 예로 들어 설명하였으나, 이들은 단지 설명의 목적을 위한 것으로 본 발명의 보호 범위를 제한하고자 하는 것은 아니다. 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양한 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 자명하다. 예를 들어, 본 발명에서 컴퓨터는 데스크탑 컴퓨터에 한정되지 않고 포켓-PC, 랩탑 컴퓨터, 노트북 컴퓨터 등 모든 형태의 컴퓨터 및 마이크로 프로세서를 탑재하는 모든 컴퓨터 응용 기기들(예컨대, 개인휴대단말기, 셋탑박스 등)을 포함할 수 있다. 또한 사용장 인증 과정은 수퍼바이저 패스워드를 이용하는 것 이외에 지문인식, 홍채 인식 등의 수단도 이용될 수 있다.
본 발명은 데이터 실행 방지 기능이 설정된 컴퓨터 시스템에서 인터넷 뱅킹 및 개인 보안 관련 프로그램의 타인에 의한 접근을 BIOS 셋업 시큐러티(BIOS setup security)에서 인증될 수 있도록 함으로써, 정당한 권한을 가진 사용자에 의한 컴퓨터의 정상적인 사용을 방해하지 않으면서 높은 수준의 보안 기능을 제공할 수 있다.

Claims (11)

  1. 데이터 실행 방지 기능을 구비하는 컴퓨터 시스템에서 컴퓨터의 보안 수준을 설정함에 있어서,
    데이터 실행 방지 기능을 사용자 모드로 세팅하는 단계;
    실행여부 표시 비트 설정 옵션을 활성화(enable) 상태로 세팅하는 단계;
    권한 있는 사용자에 의한 액세스인지 인증하는 단계;
    권한 있는 사용자로 인증되는 경우, 실행여부 표시 비트 설정 옵션 변경을 인에이블하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  2. 제 1항에 있어서, 상기 방법이 실행여부 표시 비트 설정 옵션을 디스에이블상태로 설정하여 데이터 실행 방지 기능의 실행을 정지시키는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  3. 제 1항에 있어서, 상기 방법이 인증 단계에서 권한이 없는 사용자로 확인되는 경우에, 실행여부 표시 비트 설정 옵션을 사용자가 선택할 수 없도록 불활성화(inactivate)시키는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  4. 제 1항에 있어서, 상기 인증 단계가
    사용자에 의해 수퍼바이저 패스워드(supervisor password)를 입력받는 단계; 및
    입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드의 일치 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  5. 제 1 항에 있어서, 상기 데이터 실행 방지 기능이 메모리 영역의 실행 허용 여부를 검사하여 실행이 허용된 메모리 영역에 저장된 코드만을 실행하는 기능임을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  6. 제 1항에 있어서, 상기 사용자 모드가 사용자에 의해 선택되지 않은 모든 프로그램 및 서비스에 대해서 데이터 실행 방지 기능을 적용하는 모드임을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  7. 제 1항에 있어서, 상기 수퍼바이저 패스워드 확인 단계를 바이오스 셋업 옵션의 보안 옵션 설정 단계에서 행하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 방법.
  8. 데이터 실행 방지 기능을 갖는 BIOS 루틴을 구비하는 시스템 프로세서를 포함하는 컴퓨터 시스템의 보안 설정 장치로서, 상기 장치가 데이터 실행 방지 기능이 사용자 모드로 세팅되어 있고 실행여부 표시 비트 설정 옵션이 활성화(enable) 상태로 세팅된 상태에서, 실행여부 표시 비트 설정 옵션을 변경하고자 하는 사용자가 권한이 있는 사용자인지 판단하여 권한이 있는 사용자인 경우에 실행여부 표시 비트 설정 옵션의 변경을 인에이블할 수 있도록 허용하는 제어부를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 장치.
  9. 제 8항에 있어서, 상기 제어부가 실행여부 표시 비트 설정 옵션을 디스에이블로 설정하여 데이터 실행 방지 기능의 실행을 정지시키도록 되어 있는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 장치.
  10. 제 8항에 있어서, 상기 제어부가 권한이 없는 사용자에 의해 액세스 되는 경우에, 실행여부 표시 비트 설정 옵션을 불활성화(inactivate)시키는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 장치.
  11. 제 8항에 있어서, 상기 제어부가 사용자에 의해 수퍼바이저 패스워드 (supervisor password)를 입력받고, 입력된 수퍼바이저 패스워드와 컴퓨터 시스템 메모리에 저장된 패스워드의 일치 여부를 판단하도록 되어 있는 것을 특징으로 하는 컴퓨터 시스템의 보안 설정 장치.
KR1020050038596A 2005-05-09 2005-05-09 컴퓨터 시스템의 보안 설정 방법 및 장치 KR101249176B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050038596A KR101249176B1 (ko) 2005-05-09 2005-05-09 컴퓨터 시스템의 보안 설정 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050038596A KR101249176B1 (ko) 2005-05-09 2005-05-09 컴퓨터 시스템의 보안 설정 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20060116382A true KR20060116382A (ko) 2006-11-15
KR101249176B1 KR101249176B1 (ko) 2013-04-03

Family

ID=37653344

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050038596A KR101249176B1 (ko) 2005-05-09 2005-05-09 컴퓨터 시스템의 보안 설정 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101249176B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838513B1 (ko) * 2007-05-30 2008-06-17 주식회사 아이오셀 단일 영역을 갖는 기록매체의 활성화 방법 및 상기 방법을실행하기 위한 프로그램을 저장한 기록매체, 상기프로그램을 네트웍을 통해 다운로드 하기 위한 시스템
CN112287358A (zh) * 2020-11-12 2021-01-29 瑞芯微电子股份有限公司 一种芯片安全防御方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100621613B1 (ko) * 1999-07-16 2006-09-06 삼성전자주식회사 보안 기능을 갖는 컴퓨터 시스템
KR20050032903A (ko) * 2003-10-02 2005-04-08 주식회사 삼보컴퓨터 암호 처리 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838513B1 (ko) * 2007-05-30 2008-06-17 주식회사 아이오셀 단일 영역을 갖는 기록매체의 활성화 방법 및 상기 방법을실행하기 위한 프로그램을 저장한 기록매체, 상기프로그램을 네트웍을 통해 다운로드 하기 위한 시스템
CN112287358A (zh) * 2020-11-12 2021-01-29 瑞芯微电子股份有限公司 一种芯片安全防御方法和系统

Also Published As

Publication number Publication date
KR101249176B1 (ko) 2013-04-03

Similar Documents

Publication Publication Date Title
US7107460B2 (en) Method and system for securing enablement access to a data security device
TWI470471B (zh) 保護作業系統資源
US11599650B2 (en) Secure computing system
US7917741B2 (en) Enhancing security of a system via access by an embedded controller to a secure storage device
US9898739B2 (en) System and method for ensuring safety of online transactions
EP2973171B1 (en) Context based switching to a secure operating system environment
TWI475388B (zh) 保護代理及特權模式
JP6096301B2 (ja) ファームウェアにおける盗難防止
US7900252B2 (en) Method and apparatus for managing shared passwords on a multi-user computer
CN102667794B (zh) 用于保护操作系统免于非授权修改的方法和系统
US20090288161A1 (en) Method for establishing a trusted running environment in the computer
US20180225463A1 (en) Secure computing system
Duflot et al. Using CPU system management mode to circumvent operating system security functions
US20040103317A1 (en) Method and apparatus for protecting secure credentials on an untrusted computer platform
US20080256536A1 (en) Portable secured computing environment for performing online confidential transactions in untrusted computers
KR20150038574A (ko) 타겟 디바이스의 능동 모니터링, 메모리 보호 및 무결성 검증을 위한 방법, 시스템 및 컴퓨터 판독 가능 매체
JP6370098B2 (ja) 情報処理装置、情報処理監視方法、プログラム、及び記録媒体
CN102184357B (zh) 一种可携带式可信赖私有信息处理系统
CN102184358B (zh) Usb嵌入式可信赖私有信息处理装置及系统
JP4754299B2 (ja) 情報処理装置
Böck et al. Firewire-based physical security attacks on windows 7, efs and bitlocker
CN101071459A (zh) 计算机系统的安全防护设置方法及其设备
KR101249176B1 (ko) 컴퓨터 시스템의 보안 설정 방법 및 장치
KR20120062969A (ko) 데스크탑 가상화를 위한 보안 장치 및 방법
Khalid et al. Hardware-Assisted Isolation Technologies: Security Architecture and Vulnerability Analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180223

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200224

Year of fee payment: 8