KR20090038980A - 네트워크 공유폴더 접근 제어 장치 및 방법 - Google Patents

네트워크 공유폴더 접근 제어 장치 및 방법 Download PDF

Info

Publication number
KR20090038980A
KR20090038980A KR1020070104329A KR20070104329A KR20090038980A KR 20090038980 A KR20090038980 A KR 20090038980A KR 1020070104329 A KR1020070104329 A KR 1020070104329A KR 20070104329 A KR20070104329 A KR 20070104329A KR 20090038980 A KR20090038980 A KR 20090038980A
Authority
KR
South Korea
Prior art keywords
access
folder
file
network
determining whether
Prior art date
Application number
KR1020070104329A
Other languages
English (en)
Other versions
KR100985073B1 (ko
Inventor
김성현
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020070104329A priority Critical patent/KR100985073B1/ko
Publication of KR20090038980A publication Critical patent/KR20090038980A/ko
Application granted granted Critical
Publication of KR100985073B1 publication Critical patent/KR100985073B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 공유폴더 접근 제어 장치 및 방법에 관한 것이다. 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치는 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 네트워크 접근 감지부의 판정 결과 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부와, 접근 제어부의 판정 결과에 따라 네트워크 공유 폴더에 대한 접근을 허용하거나 차단하는 처리부를 포함하는 것을 특징으로 한다.
파일시스템, 필터, 공유폴더, 접근, 네트워크

Description

네트워크 공유폴더 접근 제어 장치 및 방법{APPARATUS FOR CONTROLLING ACCESS TO SHARED FOLDERS ON COMPUTER NETWORKS AND METHOD THEREOF}
본 발명은 네트워크(network) 공유폴더 접근 제어장치 및 방법에 관한 것으로, 특히 네트워크로 다수의 PC(personal computer)가 연결되는 환경에서 외부 네트워크로부터 사용자 PC 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서, 네트워크를 통한 외부 PC의 공유폴더 접근 요청이 공유폴더내에 폴더 또는 파일 생성 등과 같은 파일 동작을 위한 접근 인 경우 파일 시스템 필터(file system filter)를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 공유폴더내 접근을 효과적으로 제어하는 네트워크 공유 폴더 접근 제어 장치 및 방법에 관한 것이다.
통상적으로, 다수의 PC가 네트워크로 연결되는 환경에서 보안상의 이유로 외부 PC로부터의 접근을 제어하기 위한 각 사용자 PC내 네트워크 공유폴더 제어 장치는 대부분 네트워크 필터를 이용하여 구현되어 있다.
이때 네트워크 필터에서 네트워크 공유폴더 제어를 하려면 모든 네트워크 패킷(packet)을 일일이 감시하면서 네트워크 공유폴더에 대한 패킷인지 검사해야 하고 네트워크 공유폴더에 대한 패킷이라면 접근 제어 대상인지 아닌지 판단하기 위한 비교 데이터를 추출하기 위해서 특정 단위로 패킷을 재 조합하는 과정을 포함해야 한다.
그러나, 위와 같이 종래 네트워크 필터에서 네트워크로 연결된 다수의 PC로부터의 접근을 제어하기 위해 네트워크 패킷을 모두 감시하고 재 조합하는 과정은 많은 컴퓨터 연산이 수반되는 작업으로서 컴퓨터의 성능을 저하시키는 문제점이 있었다.
따라서 본 발명은 종래 네트워크 필터를 이용하는 네트워크 공유폴더 제어시 네트워크 필터에서 네트워크로부터 접근하는 모든 패킷을 감시하고 재 조합하는 과정을 통해 발생되는 사용자 PC의 성능 상 부담을 해결하며, 컴퓨터 연산을 많이 차지하는 네트워크 패킷 처리부를 제거함으로써 컴퓨터의 성능을 향상시키기 위해 안출된 것으로, 네트워크를 통한 외부 PC로부터의 접근 요청이 사용자 PC의 공유폴더 또는 공유 폴더내 파일의 생성 등의 파일 동작을 위한 접근 인 경우 파일시스템 필터를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 네트워크로부터의 공유폴더내 접근을 효과적으로 제어하여 시스템의 성능을 향상시킬 수 있는 네트워크 공유 폴더 접근 제어 장치 및 방법을 제공함에 있다.
상술한 본 발명은 네트워크 공유폴더 접근 제어장치로서, 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 네트워크 접근 감지부의 판정 결과 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부와, 접근 제어부의 판정 결과에 따라 네트워크 공유 폴더에 대한 접근을 허용하거나 차단하는 처리부를 포함하는 것을 특징으로 한다.
또한, 본 발명은 네트워크 공유폴더 접근 제어 방법으로서, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계와, 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계, 및 접근 허용 여부 판정 결과에 따라 폴더 또는 파일에 대한 접근을 허용하거나 차단하는 단계를 포함하는 것을 특징으로 한다.
본 발명에서는 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용하여 외부 네트워크로부터의 폴더나 파일에 대한 접근 및 조작을 효과적으로 제어함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하고 컴퓨터 시스템의 성능을 향상시키는 이점이 있다.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 구체적인 핵심 기술요지를 살펴보면, 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하여 컴퓨터 시스템의 성능을 향상시키는 기술을 통해 본 발명에서 이루고자 하는 바를 쉽게 달성할 수 있다.
도 1은 본 발명에 따른 네트워크 공유폴더 제어 장치의 개략적인 블록도를 도시한 것으로, LAN(local area network)(100) 등의 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 사용자 PC 시스템(100)의 파일저장장치(106)내 네트워크 공유폴더(108)와 그 안에 포함하고 있는 파일들에 접근하려고 하는 경우를 예를 들어 설명하기로 한다. 이때, 본 발명의 네트워크 공유폴더 접근 제어 장치(102)는 컴퓨터 시스템(10) 내부에 설치되어 있어서 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더(108)에 접근하기 전에 접근 제어를 실시하도록 구성하는 것이 바람직하다.
이하, 위 도 1을 참조하여 네트워크 공유폴더 제어 장치의 동작을 상세히 살펴보도록 한다. 본 발명의 실시 예에 따른 네트워크 공유폴더 제어 장치는 사용자 PC 시스템(100) 내부에서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더에 접근하기 전에 먼저 접근을 제어하기 위해 모든 네트워크(110)로 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터 접근되는 모든 파일 동작을 파일시스템 필터를 이용하여 감시하는 방법을 사용한다. 실제로 본 발명에서는 사용자 PC 시스템(100)에서 발생하는 모든 파일 동작을 감시하기 때문에 사용자가 공유해 놓은 네트워크 공유폴더(108) 뿐만 아니라 사용자가 공유하지 않고 기본적으로 설정되어 있는 관리목적 공유폴더에 대한 접근도 감시하고 그 외에 사용자 PC 시스템(100)에서 사용 가능한 모든 폴더/파일에 대한 접근을 감시한다.
즉, 네트워크 공유폴더 접근 제어장치(102)는 모든 폴더나 파일 동작을 감시하면서 네트워크 공유폴더(108)나 공유폴더가 포함하는 파일에 대한 접근 요청에 대해서는 제어를 수행하여 허용된 접근에 대해서는 파일시스템(104)으로 전달하여 파일저장장치(106)에 존재하는 폴더나 파일을 사용할 수 있게 하고 차단된 접근에 대해서는 파일시스템(106)으로 전달하지 않고 오류를 반환하는 방법을 사용한다.
도 2는 상기 도 1에 도시된 네트워크 공유폴더 접근 제어장치(102)의 상세 블록도를 도시한 것으로, 이하, 위 도 2를 참조하여 네트워크 공유폴더 접근 제어장치 각 구성요소의 동작을 보다 상세히 설명하기로 한다.
먼저 네트워크 접근 감지부(200)는 파일시스템 필터를 통해 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)로부터 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 위한 접근 요청이 있는지 여부를 감지한다.
이때, 네트워크 접근 감지부(200)는, 예를 들어 파일시스템 필터를 통해 네트워크 공유폴더(108)에 대한 폴더 또는 파일 동작을 실행중인 내부 자원 또는 외 부 PC들로부터 생성된 프로세스(process)의 쓰레드(thread)에서 보안 속성을 검사하여, 상기 프로세스가 접근할 수 있는 객체(object)들의 접근 권한 정보를 저장하고 있는 액세스 토큰(access token)을 구한 후, 액세스 토큰 정보로부터 자신을 생성한 소스 모듈(source module)의 이름을 확인하여 폴더 또는 파일에 대한 접근이 사용자의 PC 내부 자원에 의한 것인지 또는 네트워크에 연결된 외부 PC에 의한 것인지 여부를 판단하게 된다.
즉, 예를 들어 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 네트워크에 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터의 상기 공유폴더에 대한 폴더 또는 파일 동작 접근인 것을 판단하게 된다. 쓰레드의 보안특성을 이용한 네트워크 접근 감지는 일 실시 예에 불과하며, 본 발명의 권리범위는 이에 한정되지 않는다.
접근 제어부(202)는 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 PC로부터의 접근일 경우 그 접근의 허용 여부를 소정의 기준에 따라 판정한다. 이 때 접근 허용 여부를 판정하는 기준은 미리 설정된 보안 정책이 될 수도 있고 사용자로부터 허용 여부를 입력받을 수도 있다.
이때 접근 제어부(202)는 네트워크상의 외부 PC들로부터의 접근에 대해 허용 또는 차단시키는 제어를 수행함에 있어서, 사용자에 의해 미리 설정된 보안 정책에 의해 판단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 미리 설정된 보안 정책과 비교 하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용을 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법을 사용할 수 있다.
한편, 다른 실시 예에서는 사용자에게 네트워크로 연결된 외부 PC로부터 네트워크 공유폴더 또는 공유폴더내의 파일에 대한 접근요청이 있음을 알리고 사용자로부터 접근 차단 여부에 대한 승인을 받을 수 있다.
또한, 다른 실시예에서는 접근 제어부가 네트워크상 외부 PC들로부터의 폴더 또는 파일에 대한 접근이 네트워크 공유폴더(108)내 폴더 또는 파일 동작 요청인지 여부를 판정하고 이에 해당할 경우에만 폴더 또는 파일에 대한 접근의 허용 여부를 판정할 수도 있다(공유폴더에 대한 접근 여부를 판정하는 주체가 네트워크 접근 감지부인지 접근 제어부인지 확인 바람).
이상 언급된 접근 제어부(202)에서의 접근 제어 방법에 대해서는 후술되는 도 3 및 도 4의 설명에서 상세히 설명하기로 한다.
접근 차단 처리부(204)는 접근 제어부(202)에 의해 접근 차단으로 판단된 외부 PC들에 대해서는 네트워크 공유폴더(108)로의 폴더 또는 파일 동작을 차단시키고 오류값을 반환한다. 접근 허용 처리부(206)는 접근 제어부(204)에 의해 접근 허용으로 판단된 외부 PC들에 대해 파일시스템(104)으로 하여금 네트워크 공유폴더(108)로의 정상적인 폴더 또는 파일 동작을 수행하게 한다.
도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어장치에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작 제어 흐름을 도시한 것이다. 이하 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 네트워크 접근 감지부(200)는 폴더나 파일 동작을 감시하는 상황에서 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는지 여부를 검사한다(S300).
상기 검사결과, 만일 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는 경우 네트워크 접근 감지부(200)는 상기 폴더 또는 파일에 대한 접근이 PC내부로부터의 접근인지 네트워크로부터의 접근인지 여부를 검사한다(S302).
이때, 네트워크 접근 감지부(200)에서 네트워크로부터 접근하는 폴더나 파일 동작을 판단하는 방법으로는 현재 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 실행중인 프로세스(process)의 쓰레드(thread)에서 보안 속성을 얻고 보안 속성으로부터 OS의 어떤 모듈에서 이 파일 동작 요청을 시작했는지 파악하는 방법이 있다.
즉, 위와 같은 보안 속성에는 이 프로세스가 접근할 수 있는 객체들의 접근권한을 저장하고 있는 액세스 토큰(access token) 이 포함되어 있는데 이 액세스 토큰의 정보를 OS에 문의하여 이것을 생성한 모듈의 정보를 얻어낼 수 있다. 이렇게 얻어낸 정보가 NT Lan Manager Security Support Provider 인 경우 네트워크에서 접근하여 요청한 파일 동작으로 판단한다. NT Lan Manager Security Support Provider 는 Windows OS 에서 네트워크로부터 접속하는 사용자들을 인증하고 네트워크 자원들을 접근하는 기능을 제공하는 OS 내부 모듈이다. 네트워크 상에 존재하는 외부 컴퓨터 시스템들이 네트워크를 통해서 현재 사용자 PC 시스템에 접근하려 면 현재 PC 시스템 내부의 NT Lan Manager Security Support Provider 가 생성한 액세스 토큰을 가지고 파일 동작을 실행해야 하므로 이것을 특징으로 네트워크로부터 요청된 파일 동작을 판단하는 방법으로 사용할 수 있다.
상기와 같은 방법을 이용한 검사결과, 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근이 아니라 PC 내부로부터의 접근인 경우 이는 접근 제어부(202)에서의 제어 대상이 아니므로 네트워크 접근 감지부(200)는 위 네트워크로부터 파일저장장치(106)내 공유폴더(108)에 대한 접근 제어를 접근 제어부(202)로 넘기게 된다.
한편, 다른 실시예에서는 네트워크 감지부의 판정 결과 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근인 경우 네트워크 접근 감지부는 접근 제어부로 하여금 폴더 또는 파일에 대한 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인지 여부를 검사하도록 할 수 있다(S304).
상기 검사결과, 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 아닌 경우 이를 접근 차단 처리부(204)로 제어를 넘겨 네트워크로부터의 접근을 차단시킬 수 있다(S306). 그러나, 상기 검사결과, 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인 경우 파일저장장치(106)내 공유폴더(108)에 대한 접근 허용 여부를 판정하게 된다.
접근 제어부(202)는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대해 미리 설정된 보안 정책에 따라 허용 여부를 판정한 후(S308), 허용되는 접근이 아닌 경우에는 접근 차단 처리부(204)를 통해 접근을 차단시키며(S306), 허용된 접근에 대해서는 접근 허용 처리부(206)를 통해 파일시스템(104)으로 제어를 넘김으로서 접근을 허용시키게 된다(S312).
도 4는 상기 도 2의 네트워크 공유폴더 접근 제어 장치(102)내 접근 제어부(202)에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작을 보다 상세히 설명하기 위한 상세 제어 흐름을 도시한 것이다. 이하 위 도 1, 도 2 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 네트워크 접근 감지부(200)로부터 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 감지되어, 이에 대한 제어가 접근 제어부(202)로 넘겨지는 경우, 접근 제어부(202)에서는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대한 허용 여부를 판정하게 됨은 상기 도 3에서 설명한 바와 같다.
따라서, 이하의 설명에서는 네트워크 공유폴더(106)내에 폴더 또는 파일 동작을 위한 네트워크로부터의 접근에 대해 접근 제어부(202)에서 어떤 기준에 따라 접근 허용 여부를 처리하는 동작에 대해 상세히 설명하기로 한다.
접근 제어부(202)에서는 상기 접근의 제어를 위한 판단 방법으로 크게 사용자가 미리 정해놓은 보안정책에 의해 판단하는 방법, 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 허용하거나 차단하는 방법을 사용할 수 있다. 이 때 미리 정해놓은 보안 정책으로 네트워크 공유폴더로의 접근을 모두 차단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용 중 특정 데이터가 포함되어 있는지 여부를 기준으로 허용하거나 차단하는 방법 등을 사용하게 된다.
즉, 접근 제어부(202)는 사용자에 의해 네트워크로부터 접근하는 모든 파일 사용 요청을 차단하라는 보안 정책이 설정된 경우라면(S324), 사용자 PC 시스템 내부에서 발생하는 파일 사용 요청은 정상적으로 허용해 주지만 네트워크상 외부 PC들로부터 접근하는 파일 사용 요청은 파일시스템 필터를 통해 차단하여 파일 사용을 할 수 없도록 한다(S326).
이에 따라, 네크워크 상에 존재하는 다른 외부 PC 시스템들이 네트워크 요청을 통해서 현재 사용자 PC 시스템에 새로운 파일을 만들려고 하는 것 등과 같은 시도를 모두 무력화할 수 있다. 보통 웜이나 바이러스가 네트워크 공유폴더에 자신의 복사본을 생성해서 유입되지만 이 방법을 사용할 경우 원천적으로 네트워크 공유폴더를 통한 불특정 파일의 유입을 막을 수 있는 효과가 있는 것이다.
다른 실시 예에서, 접근 제어부(202)는 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)의 접근을 허용하거나 차단하라는 정책이 설정된 경우라면(S306), 네트워크상 다른 외부 PC들이 네트워크 요청을 통해서 현재 사용자 PC 시스템의 파일을 사용하려고 할 때, 이 요청을 일단 보류시킨 후에 사용자에게 현재 요청된 파일이나 폴더의 이름을 PC 화 면상에 디스플레이하여 이것을 허용할지 차단할지를 사용자가 직접 선택하도록 한다(S308).
이에 따라, 사용자는 자신이 알고 있는 안전하다고 판단하는 파일이나 폴더 이름을 확인하면 허용을 선택하고 사용자가 모르는 불확실한 파일이나 폴더 이름 또는 새로운 이름이 보여졌을 경우에는 차단을 선택하게 된다.
그러면, 접근 제어부(202)는 상기 파일이나 폴더 이름의 접근에 대한 사용자의 승인 또는 불승인이 입력되는 경우(S310), 이 결과를 이전에 보류했던 파일 사용 요청에 적용하여 보류를 해제하면서 사용자 판단 결과에 따라 접근 허용 처리부(206)를 통해 상기 접근 요청을 허용하도록 제어하거나(S312), 접근 차단 처리부(204)를 통해 상기 접근 요청을 차단하여(S314) 사용자의 PC 시스템(100)을 보호하게 된다.
또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 폴더 또는 파일 이름을 검사한다(S318).
그런 후, 접근 제어부(202)는 상기 네트워크상 외부 PC들로부터 접근된 폴더 또는 파일 이름이 사용자 PC 시스템 보호를 위해 차단항목으로 설정된 폴더 또는 파일이름 항목에 포함되는지를 검사하여(S320), 차단항목에 포함되지 않은 폴더 또는 파일 동작에 대해서만 선택적으로 접근을 허용하고(S322), 차단항목에 포함된 폴더 또는 파일 동작은 접근을 차단시키게 된다(S314).
즉, 예를 들어 네트워크로부터 접근하는 파일이 exe 확장자를 가질 경우 접근을 차단하라는 정책을 작성할 수 있다. 이런 경우 네트워크로부터 현재 컴퓨터 시스템 내부의 공유폴더 C:\Shared 라는 폴더에 존재하는 noshare.exe 를 실행하려고 하거나 읽어가려고 하거나 변경하려고 하는 접근에 대해서는 해당 접근을 시도하는 폴더 또는 파일이름이 exe 확장자를 포함하므로 실행, 읽기, 변경 시도를 모두 차단하게 되며, 만약 share.txt 라는 파일을 접근하려고 하는 경우라면 exe 확장자를 가지지 않았으므로 네트워크로부터 접근하여 사용 요청을 하는 경우더라도 사용을 허용하게 된다. 또한, 다른 예로 파일이나 폴더 이름 중 일부를 사용하는 예를 들면, 네트워크로부터 접근하는 파일이나 폴더 이름이 share를 포함할 경우 파일 사용 요청을 차단하라는 정책을 작성할 수 있다. 이런 경우 C:\Shared 라는 폴더이름이 share를 포함하므로 이것에 대한 사용 요청은 항상 차단되고 noshare.exe 라는 파일 역시 이름에 share 를 포함하므로 이 파일이 사용자 PC 시스템(100) 내부의 어떤 폴더에 존재하던지 네크워크로부터 접근하여 사용 요청한 것은 차단된다.
또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 파일 내용에 따라 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 파일에 포함된 파일의 내용을 확인한다(S318).
예로써, 상기 보안정책은 파일의 시작위치 + 100 byte 위치에 abcd 라는 문 자열이 존재하는 파일은 악성코드이므로 모두 차단하라는 정책을 설정할 수 있는데, 파일 내용 확인에서는 위와 같은 파일에 특정 데이터의 존재를 확인하게 되는 것이다.
즉, 접근 제어부는 상기 네트워크로부터 접근되는 파일에 보안정책상 접근이 제한되는 상기와 같은 특정 데이터가 포함되어 있는지 여부를 검사한 후, 접근이 제한되는 특정 데이터가 포함되어 있지 않으면 접근을 허용하고, 접근이 제한되는 특정 데이터가 포함되어 있는 경우에는 접근을 차단시키게 된다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
도 1은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 시스템의 네트워크 구성도,
도 2는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 상세 블록 구성도,
도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치에서 외부 네트워크 PC로부터의 접근을 제어하는 전체 흐름도,
도 4는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 접근 제어부의 상세 동작을 보여주는 흐름도.
<도면의 주요 부호에 대한 간략한 설명>
102 : 네트워크 공유폴더 접근 제어 장치 104 : 파일시스템
106 : 파일 저장장치 108 : 네트워크 공유폴더
200 : 네트워크 접근 감지부 202 : 접근 제어부
204 : 차단처리부 206 : 허용 처리부

Claims (23)

  1. 네트워크 공유 폴더가 저장되어 있는 파일저장장치와,
    상기 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과,
    상기 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와,
    상기 네트워크 접근 감지부의 판정 결과 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부와,
    상기 접근 제어부의 판정 결과에 따라 상기 네트워크 공유 폴더에 대한 접근을 허용하거나 차단하는 처리부를 포함하는 네트워크 공유폴더 접근 제어 장치.
  2. 제 1 항에 있어서,
    상기 네트워크 접근 감지부는
    상기 네트워크 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.
  3. 제 1 항에 있어서,
    상기 네트워크 접근 감지부는,
    상기 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드에서 보안 속성을 검사하여, 상기 쓰레드가 접근할 수 있는 객체들의 접근 권한 정보를 저장하고 있는 액세스 토큰 정보로부터 자신을 생성한 소스 모듈의 이름을 확인하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.
  4. 제 3 항에 있어서,
    상기 네트워크 접근 감지부는,
    상기 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 것으로 판단하는 네트워크 공유폴더 접근 제어 장치.
  5. 제 1 항에 있어서,
    상기 접근 제어부는,
    미리 정해진 보안 정책에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.
  6. 제 5 항에 있어서,
    상기 보안 정책은,
    모든 네트워크 공유 폴더에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치.
  7. 제 5 항에 있어서,
    상기 보안 정책은,
    특정 네트워크 공유 폴더 또는 상기 특정 네트워크 공유 폴더 내의 특정 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치.
  8. 제 7 항에 있어서,
    상기 접근 차단되는 폴더 또는 파일은
    그 경로명에 특정 값을 포함하는 네트워크 공유폴더 접근 제어 장치.
  9. 제 5 항에 있어서,
    상기 보안 정책은,
    상기 접근된 파일이 특정 데이터를 포함하고 있는 경우 상기 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치.
  10. 제 1 항에 있어서,
    상기 접근 제어부는,
    사용자로부터 상기 폴더 또는 파일에 대한 접근의 허용 여부에 관한 정보를 입력받고, 상기 입력에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.
  11. 제 1 항에 있어서,
    상기 접근 제어부는,
    상기 폴더 또는 파일에 대한 접근이 상기 네트워크 공유 폴더에 대한 접근인 경우에만 그 접근 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.
  12. 파일저장장치 내에 저장된 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계와,
    상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계, 및
    상기 접근 허용 여부 판정 결과에 따라 상기 폴더 또는 파일에 대한 접근을 허용하거나 차단하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  13. 제 12 항에 있어서,
    상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는,
    상기 네트워크 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  14. 제 12 항에 있어서,
    상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는,
    상기 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드의 보안 속성을 검사하는 단계와,
    상기 쓰레드가 접근할 수 있는 객체들의 접근 권한 정보를 저장하고 있는 액세스 토큰 정보를 획득하는 단계와,
    상기 액세스 토큰 정보로부터 자신을 생성한 소스 모듈의 이름을 확인하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  15. 제 14 항에 있어서,
    상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는,
    상기 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 것으로 판단하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  16. 제 12 항에 있어서,
    상기 접근 허용 여부를 판정하는 단계는,
    미리 정해진 보안 정책에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  17. 제 16 항에 있어서,
    상기 보안 정책은,
    모든 네트워크 공유 폴더에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법.
  18. 제 16 항에 있어서,
    상기 보안 정책은,
    특정 네트워크 공유 폴더 또는 상기 특정 네트워크 공유 폴더 내의 특정 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법.
  19. 제 18 항에 있어서,
    상기 접근 차단되는 폴더 또는 파일은
    그 경로명에 특정 값을 포함하는 네트워크 공유폴더 접근 제어 방법.
  20. 제 16 항에 있어서,
    상기 보안 정책은,
    상기 접근된 파일의 내용이 특정 데이터를 포함하고 있는 경우 상기 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법.
  21. 제 12 항에 있어서,
    상기 접근 허용 여부를 판정하는 단계는,
    사용자로부터 상기 폴더 또는 파일에 대한 접근의 허용 여부에 관한 정보를 입력받고, 상기 입력에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  22. 제 12 항에 있어서,
    상기 접근 허용 여부를 판정하는 단계는,
    상기 폴더 또는 파일에 대한 접근이 네트워크 공유 폴더에 대한 접근인 경우 에만 상기 접근 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.
  23. 제 12 항 내지 제22항 중 어느 한 항에 의한 방법을 실행하기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.
KR1020070104329A 2007-10-17 2007-10-17 네트워크 공유폴더 접근 제어 장치 및 방법 KR100985073B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070104329A KR100985073B1 (ko) 2007-10-17 2007-10-17 네트워크 공유폴더 접근 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070104329A KR100985073B1 (ko) 2007-10-17 2007-10-17 네트워크 공유폴더 접근 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20090038980A true KR20090038980A (ko) 2009-04-22
KR100985073B1 KR100985073B1 (ko) 2010-10-04

Family

ID=40762924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070104329A KR100985073B1 (ko) 2007-10-17 2007-10-17 네트워크 공유폴더 접근 제어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100985073B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109643356A (zh) * 2016-08-08 2019-04-16 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
KR20210135751A (ko) * 2020-05-06 2021-11-16 원유준 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000058227A (ko) * 1999-06-08 2000-10-05 강달수 외부네트웍과 내부네트웍의 정보가 별도로 처리되는 보안시스템 및 그 제어방법
JP2004334521A (ja) 2003-05-07 2004-11-25 Hitachi Ltd アクセス制御システム
JP2006107373A (ja) 2004-10-08 2006-04-20 Canon Inc 文書管理装置、文書管理方法、プログラムおよび記憶媒体
KR20070030350A (ko) * 2005-09-13 2007-03-16 주식회사 팬택 이동통신 단말기간의 파일 공유 시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109643356A (zh) * 2016-08-08 2019-04-16 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
CN109643356B (zh) * 2016-08-08 2022-11-01 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
KR20210135751A (ko) * 2020-05-06 2021-11-16 원유준 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR100985073B1 (ko) 2010-10-04

Similar Documents

Publication Publication Date Title
US9094451B2 (en) System and method for reducing load on an operating system when executing antivirus operations
US11714884B1 (en) Systems and methods for establishing and managing computer network access privileges
JP4473256B2 (ja) アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム
KR101882871B1 (ko) 보안 웹 위젯 런타임 시스템을 위한 방법 및 장치
US8281410B1 (en) Methods and systems for providing resource-access information
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
JP2007316637A (ja) 個別アプリケーション・プログラム用のスクリーンセーバ
US8336097B2 (en) Apparatus and method for monitoring and protecting system resources from web browser
US20100132053A1 (en) Information processing device, information processing method and program
WO2018212474A1 (ko) 독립된 복원영역을 갖는 보조기억장치 및 이를 적용한 기기
US20180026986A1 (en) Data loss prevention system and data loss prevention method
KR100577344B1 (ko) 접근 통제 정책 설정시스템 및 그 방법
US20100070543A1 (en) System and method for determining true computer file type identity
JP2019532405A (ja) コンピューティングデバイス上の悪意のあるプロセスを検出するためのシステム及び方法
JP2006107505A (ja) アクセス認可のapi
US7487548B1 (en) Granular access control method and system
US11636219B2 (en) System, method, and apparatus for enhanced whitelisting
JP5069369B2 (ja) 統合されたアクセス認可
KR101227187B1 (ko) 보안영역 데이터의 반출 제어시스템과 그 제어방법
KR20140068940A (ko) 애플리케이션용 콘텐츠 핸들링 기법
KR100985073B1 (ko) 네트워크 공유폴더 접근 제어 장치 및 방법
JP5429906B2 (ja) 携帯端末、プログラム、及び制御方法。
EP2881883B1 (en) System and method for reducing load on an operating system when executing antivirus operations
JP2008152519A (ja) コンピュータ及びその基本ソフトウェア

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150929

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 10