KR20090045992A - 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법 - Google Patents

개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법 Download PDF

Info

Publication number
KR20090045992A
KR20090045992A KR1020070111879A KR20070111879A KR20090045992A KR 20090045992 A KR20090045992 A KR 20090045992A KR 1020070111879 A KR1020070111879 A KR 1020070111879A KR 20070111879 A KR20070111879 A KR 20070111879A KR 20090045992 A KR20090045992 A KR 20090045992A
Authority
KR
South Korea
Prior art keywords
information
personal
rule
packet
leakage prevention
Prior art date
Application number
KR1020070111879A
Other languages
English (en)
Other versions
KR100929916B1 (ko
Inventor
정보흥
김영호
백광호
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070111879A priority Critical patent/KR100929916B1/ko
Priority to US12/168,989 priority patent/US20090119745A1/en
Publication of KR20090045992A publication Critical patent/KR20090045992A/ko
Application granted granted Critical
Publication of KR100929916B1 publication Critical patent/KR100929916B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템 및 방법이 개시되어 있다. 중요정보 외부유출 차단 시스템은 개인정보 유출방지 정책 정보를 입력받아 복수의 개인 정보 유출 방지 규칙들로 분해하여 각 모듈로 전송하는 개인 정보 관리기; 규칙 1에 해당하는 패킷을 감지하면, 접근 상황정보분석을 통해 상황 정보를 전송하는 상황 분석기; 상황 정보를 수신받아, 패킷 분석을 통해 외부로 전송되는 패킷을 감시하여, 규칙 2에 해당하는 패킷을 감지하면, 필터링 정보를 전송하는 패킷 분석기; 및 필터링 정보를 수신받아 규칙3에 해당하는 패킷에 대한 통과/차단을 결정하는 개인 정보 유출 방지기를 포함한다. 따라서, 단말기는 개인 정보 유출 방지 규칙들에 따라 접근 상황정보분석 및 패킷 분석 기능을 통해 파일과 프로세스의 중요정보의 외부유출을 차단할 수 있다.
상황분석, 동적패킷분석, 개인정보유출방지, 접근제어, 네트워크 보안

Description

개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템 및 방법{System and method for preventing private information leakage of users through access context analysis in personal terminal}
본 발명은 중요정보 외부유출 차단 시스템 및 방법에 관한 것으로, 특히 개인 단말기에서 개인 정보 유출 방지 규칙을 설정하고, 단말기 내의 자원(파일, 프로세스)에 대한 접근 상황분석과 네트워크기반의 패킷분석을 통해 단말기 내의 중요한 정보를 설정된 규칙에 따라 불법적으로 유출되는 것을 방지하는, 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템 및 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT 성장동력기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-023-01, 과제명:복합단말용 침해방지 기술개발(Development of the threat containment for all-in-one mobile devices on convergence networks)].
일반적으로, 정보 시스템은 내부 정보 자원을 보호하고 네트워크 보안을 강 화하기 위해 ARP 리다이렉트(ARP Redirect) 공격, ARP 스푸핑(ARP Spoofing) 공격을 탐지하여 차단할 필요가 있다.
도 1은 종래의 내부 정보 자원을 유출하는 탐지된 노드에 대하여 ARP 스푸핑에 의해 네트워크를 차단하는 시스템 구성도이다.
네트워크 관리자는 웹 클라이언트(10)를 사용하여 인터넷을 통해 서버(20)가 속한 네트워크에 정보 유출을 탐지하고 차단할 수 있다. ARP 스푸핑에 의해 정보유출을 탐지하는 서버(20)는 인터넷에 연결된 정보유출 노드(30)를 탐지하여, 해당 노드에 ARP 스푸핑을 한다.
정보유출 노드(30)는 ARP 패킷을 보내 서버(20)를 라우터로 인식하게 되고,모든 패킷을 서버(20)를 통해 전송한다. 서버(20)는 정보유출 노드(30)로부터 들어오는 패킷을 분석하여 정보가 절취된 지를 파악한 후, 차단이 설정된 노드인 경우, 차단시킬 노드의 IP에 대해 일정한 간격으로 프로그램을 종료시킬 때까지 ARP 리퀘스트(ARP Request) 패킷을 보내어 로컬의 IP 주소를 차단 노드의 라우터로 인식시켜 모든 패킷을 폐기시킨다.
최근, 정보통신 및 유비쿼터스 컴퓨팅 기술의 발전에 따라, 이동통신망과 휴대인터넷망 등의 네트워크의 다양한 멀티미디어 응용 서비스를 쉽고 편리하게 제공하는 이동통신 단말기, 개인 휴대용 단말기(PDA), 휴대용 멀티미디어 재생기(PMP:Portable Multimedia Player), 핸드헬드 PC 등의 개인 휴대 단말기의 보급이 급속도로 증가하고 있다. 개인 휴대 단말기들은 PC와 같은 호스트급 시스템에 비해 보안상 취약점을 가지고 있으며, 개인의 중용한 파일 정보를 쉽게 외부로 유 출될 수 있다. 개인 휴대 단말기의 사용자는 단말기 외부로 정보 유출을 방지하기 위해 비밀번호에 의한 시스템 보호 등의 단순한 방법에 의해 단말기의 정보 자원을 보호하고 있다.
하지만, 이러한 경우 개인 휴대 단말기의 정보보호는 다음과 같은 이유로 한계를 가진다.
첫째, 개인 휴대 단말기는 개인 사용자에 대한 정보의 중요도에 따른 분류 및 통제가 어렵다. 접근제어기능은 사용자와 자원(파일, 프로세스) 사이에 대한 접근권한만을 설정하고, 개인사용자의 정보들 중에서 외부로 유출되지 말아야 할 중요한 정보와, 외부로 유출되어도 괜찮은 정보를 구분하여 표현할 방법이 없다. 예를 들면, 개인 사용자 단말기의 파일 내용 중에서 "인증서 정보"가 포함되어 있는 파일은 외부 네트워크로 유출되면 안되는 경우, 그 파일의 외부 유출을 방지하도록 통제할 수 있는 방법이 없었다.
둘째, 개인 휴대 단말기는 동일한 자원에 접근할 수 있는 다수의 사용자에 대하여 세부적인 접근제어(Access Control)를 수행할 수 없었다. 즉, A, B 두 사용자는 F라는 파일에 모두 접근 가능하지만, A 사용자의 중요정보가 보관된 파일 F에 대하여 B라는 사용자가 F라는 파일을 외부로 유출하면 안되는 경우, 단말기는 A 사용자의 중요 정보가 보관된 파일 F를 다른 사용자가 외부로 유출하지 못하도록 제한하기 어려웠다.
셋째, 개인 휴대 단말기는 개인 사용자의 중요한 정보에 대한 세부적인 제어가 힘들다. 즉, A 사용자의 중요정보가 저장된 파일 F가 있다고 가정하고, 이 파일 정보를 10.1.1.1 호스트로 전송할 수 있고 10.1.1.2 호스트로의 전송을 차단하고 싶은 경우, 개인 휴대 단말기는 특정 파일의 외부 유출을 차단하도록 제어할 수 있는 방법이 없었다.
본 발명은 종래 기술의 문제점을 해결하기 위해 제안된 것으로, 개인 휴대 단말기에서 각 기능별 연동 방식 및 탐지 조건이 포함된 개인 정보 유출 방지 규칙을 설정하고, 사용자 단말기 내의 자원(파일, 프로세스)에 대한 접근 상황분석과 네트워크기반의 패킷분석을 통해 단말기 내의 개인 사용자의 중요한 정보가 설정된 규칙에 따라 네트워크 인터페이스를 통해 불법적으로 외부로 유출되는 것을 효과적으로 차단하기 위한, 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 목적을 달성하기 위하여, 본 발명은 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템으로서, 개인정보 유출방지 정책 정보를 입력받아 규칙 1, 규칙 2 및 규칙 3을 포함하는 복수의 개인 정보 유출 방지 규칙들로 분해하는 개인 정보 관리기; 개인 정보 관리기로부터 수신한 규칙 1에 해당하는 패킷을 감지하면, 접근 상황정보분석을 통해 상황 정보를 전송하는 상황 분석기; 상기 상황 분석기로부터 상기 상황 정보를 수신받아, 패킷 분석을 통해 외부로 전송되는 패킷을 감시하여, 상기 개인 정보 관리기로부터 수신한 규칙 2에 해당하는 패킷을 감지하면, 필터링 정보를 전송하는 패킷 분석기; 및 상기 패킷 분석기로부터 상기 필터링 정보를 수신받아 상기 개인 정보 관리기로부터 수신한 규칙3에 해당하는 패킷에 대한 차단을 결정하는 개인 정보 유출 방지기를 포함한다.
상기 상황 정보는, 사용자 정보, 접근한 파일 정보, 및 포트 정보 중 하나 이상을 포함하는 것을 특징으로 한다.
상기 패킷 분석기는, 패킷의 소스 포트(SP) 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는지를 판단하는 것을 특징으로 한다.
상기 패킷 분석기는, 패킷의 소스 포트 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는 경우, 패킷의 목적지 IP 주소 필드 값이 규칙 2에 설정된 목적지 IP 주소 값과 일치하면, 상기 필터링 정보를 상기 개인 정보 유출 방지기로 전송하는 것을 특징으로 한다.
상기 개인 정보 관리기는, 입력된 개인정보 유출방지 정책 정보를, 사용자 및 파일에 관련된 규칙 1, 목적지 IP 주소에 관련된 규칙 2, 및 사용자, 파일, 목적지 IP 주소에 관련된 규칙 3을 각각 상황 분석기, 패킷 분석기, 개인 정보 유출 방지기에 전송하는 것을 특징으로 한다.
상기 개인 정보 유출 방지기가 수신한 규칙 3은, 해당 개인 휴대 단말기내 자원에 대한 접근 제어 정보를 포함하는 것을 특징으로 한다.
상기 상황 분석기는, 해당 개인 휴대 단말기내 자원에 대한 접근을 시작하는 시점에 활성화되는 것을 특징으로 한다.
본 발명의 다른 목적을 달성하기 위하여, 본 발명은 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법으로서, (a) 개인 정보 관리기가 개인정보 유출방지 정책 정보를 입력 받아 규칙 1, 규칙 2 및 규칙 3을 포함하는 복수의 개인 정보 유출 방지 규칙들로 분해하여 상황 분석기, 패킷 분석기, 개인 정보 유출 방지기로 각각 전송하는 단계; (b) 상황 분석기가 규칙 1에 해당하는 패킷을 감지하면 패킷 분석기에 상황 정보를 전송하고 패킷 분석기를 활성화시키는 단계; (c) 패킷 분석기가 규칙 2에 해당하는 패킷을 감지하면 개인 정보 유출 방지기에 필터링 정보를 전송하고 개인 정보 유출 방지기를 활성화시키는 단계; (d) 개인 정보 유출 방지기가 규칙 3에 해당하는 패킷에 대해 차단시키는 단계를 포함한다.
상기 상황 정보는 포트 정보를 포함하고, 상기 단계 (c)는, 패킷의 소스 포트 필드 값이 상기 상황 정보에 포함된 포트 정보의 소스 포트 값과 일치하는 지를 판단하는 단계를 포함하는 것을 특징으로 한다.
상기 단계 (c)는, 패킷의 소스 포트 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는 경우, 패킷의 목적지 IP 주소 필드 값이 규칙 2에 설정된 목적지 IP 주소 값과 일치한다고 판단하면, 상기 필터링 정보를 상기 개인 정보 유출 방지기로 전송하는 단계를 포함하는 것을 특징으로 한다.
상기 규칙 3은, 해당 개인 휴대 단말기내 자원에 대한 접근 제어 정보를 포함하는 것을 특징으로 한다.
상기 단계 (b)는, 해당 개인 휴대 단말기내 자원에 대한 접근을 시작하는 시점에 활성화되는 것을 특징으로 한다.
이상에서 설명한 바와 같이, 개인 휴대 단말기에서 중요 정보 외부유출 차단 시스템은 관리자에 의해 설정된 탐지 조건이 포함된 개인 정보 유출 방지 정책에 따라 개인 정보 관리기에 의해 개인 정보 유출 방지 규칙들을 각각 상황분석기, 패킷분석기, 개인정보 유출방지기로 전송하고, 설정된 규칙에 따라 접근 상황분석(Context Analysis)과 패킷 분석을 통해 단말기 내 사용자의 중요 정보를 외부로 유출하는 것을 통과/차단(allow/drop) 시키고, 외부로 전송되는 모든 패킷을 검사하는 것이 아니라 최소한의 패킷에 대해서만 패킷을 검사하여 개인의 중요정보를 단말기 외부로 유출하려는 시도를 효과적으로 차단할 수 있다.
또한, 본 발명에 따른 중요 정보 외부유출 차단 시스템은 소프트웨어 기반으로 동작하며, 중요정보 유출 시점을 적시에 파악하여 최소한의 비용으로 차단하기 때문에 저전력으로 동작해야 하는 특성을 가지는 개인 휴대 단말기에서 개인의 중요정보가 외부로 유출되는 것을 방지한다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 2는 본 발명에 따른 개인 휴대 단말기에서 접근 상황분석 및 패킷 분석을 통한 개인 사용자의 중요정보 외부유출 차단 시스템 구성도이다.
개인 휴대 단말기에서 접근 상황분석을 통한 개인 사용자의 중요정보 외부유출 차단 시스템은 개인정보 관리기(Private Information Manager)(100), 상황분석기(Context Anaysis)(110), 패킷분석기(Packet Analysis)(120), 및 개인정보 유출방지기(Private Information Prevention)(130)로 구성된다.
상기 개인 휴대 단말기는 컴퓨터, 노트북, 이동통신 단말기, 개인 휴대용 단말기(PDA), 휴대용 멀티미디어 재생기(PMP), 핸드헬드 PC, 휴대인터넷 단말기를 포함한다.
개인 휴대 단말기에서 응용 프로그램을 통해 사용자가 설정한 개인 정보 유출 방지 정책(Policy)을 개인정보 관리기(100)로 전송하고, 개인 정보 관리기(100)는 규칙 1, 규칙 2, 규칙 3을 포함하는 개인정보 유출 방지 규칙들로 세분화하여 규칙 1, 규칙 2, 규칙 3을 각각 상황분석기(110), 패킷분석기(120), 및 개인정보 유출방지기(130)로 할당한다.
즉, 상기 개인정보 유출방지 정책은 단말기 내부의 안전한 저장소에 저장되며, 개별 사용자의 단말기 로그인(log-in) 과정 후, 개인정보 관리기(100)에 의해규칙 1, 규칙 2 및 규칙 3을 포함하는 복수의 개인 정보 유출 방지 규칙들로 정책들을 분해하여 세분화된 규칙 1, 규칙 2 및 규칙 3을 각각 상황분석기(110), 패킷분석기(120), 및 개인정보 유출방지기(130)로 적용하고, 사용자가 로그아웃(log-out)하면 각 모듈에서 개인정보 유출방지 정책의 적용을 해제한다.
이하에 설명하는 개인정보 유출 방지 정책은 본 발명의 일실시예로 설명하는 것이고, 이에 한정되는 것은 아니다. 예를 들면, 관리자에 의해 "Prevent the activity of User A, send file F to 120.xxx.xxx.100 host"로 설정된 개인정보 유출방지 정책은 응용 프로그램을 통해 "drop user=A to 129.xxx.xxx.100 (FileName=F)"의 텍스트 기반의 규칙(Rule)으로 변환되어 개인정보 관리기(100)로 전달된다.
상기 개인정보 관리기(100)는 응용 프로그램으로부터 사용자에 의해 설정된 개인 정보 유출 방지 정책 정보를 입력받아 사용자 및 파일에 관련된 규칙1("Alert user=A (FileName=F)"), 목적지 IP 주소에 관련된 규칙2("Alert -> 129.xxx.xxx.100"), 사용자, 파일, 목적지 IP 주소에 관련된 규칙 3("Deny user=A -> 129.xxx.xxx.100(FileName=F)")으로 분해한다.
상기 규칙 3은 해당 개인 휴대 단말기내 자원(파일, 프로세스)에 대한 접근 제어 정보를 포함한다.
사용자는 개인 정보 유출 방지를 위한 응용 프로그램을 사용하여 단말기내 자원(파일, 프로세스)에 대한 개인 정보 유출 방지 정책을 설정하고, 개인 정보 관리기(100)는 이를 세분화하여 개인 정보 유출 방지 규칙들(규칙1, 규칙2, 규칙3)을 설정한다.
개인 정보 관리기(100)는 이러한 개인 정보 유출 방지 규칙들(규칙1,규칙2,규칙3)을 상기 상황 분석기(110), 상기 패킷 분석기(120), 상기 개인 정보 유출 방지기(130)로 각각 할당한다. 즉, 상기 개인정보 관리기(100)는 개인 정보 유출 방 지 규칙들(규칙1, 규칙2, 규칙3)을 세분화하고, 상황분석기(110)로 규칙 1(Rule 1)을 전송하고, 패킷분석기(120)로 규칙 2(Rule 2)를 전송하며, 개인정보 유출방지기(130)로 규칙 3(Rule 3)을 각각 전송한다.
상황분석기(110)는 A 사용자의 활동을 감시하고 있다가 규칙 1에 따라 FileName이 F인 파일에 접근하게 되면(규칙 1에 해당하는 패킷을 감지하면), 접근 상황정보분석을 통해 상황 정보(Context Information)를 패킷분석기(120)로 전송한다.
패킷분석기(120)는 상황분석기(110)로부터 상황 정보를 수신받아 패킷 분석을 통해 외부로 전송되는 패킷을 감시하기 시작하여 이들 패킷중에서 패킷의 소스 포트(SP:Source Port) 필드 값이 상황 정보에 포함된 포트 정보의 소스 포트 값과 일치하는 경우, 패킷의 IP 주소 필드 값이 규칙 2(Rule 2)에 설정된 목적지 IP 주소(129.xxx.xxx.100) 값과 일치하는 패킷을 발견하게 되면, 필터링 정보(Filtering Information)를 상기 개인정보 유출방지기(130)로 전송한다.
개인정보 유출방지기(130)는 개인 정보 관리기(100)로부터 할당된 규칙 3(Rule 3)에 따라 해당하는 패킷에 대한 통과/차단(allow/drop)를 결정한다.
본 발명에 따른 개인 휴대 단말기에서 중요정보 외부유출 차단 시스템은 단말기 외부로 전송되는 패킷에 대한 검사를 항상 수행하는 것이 아니라 개별 사용자 단말기의 자원(파일, 프로세스)에 대한 접근(Access)을 시작하는 시점부터 접근이 끝나는 시점까지만 동적으로 수행된다.
도 3은 본 발명의 실시예에 따른 개인 휴대 단말기에서 설정된 개인 정보 유 출 차단 정책에 따라 개인 정보 유출 시도를 차단하는 과정을 설명한 개념도이다.
도 4는 본 발명에 따른 개인 휴대 단말기에서 접근 상황분석을 통한 개인 사용자의 중요정보 외부유출을 차단하는 방법을 설명한 흐름도이다.
개인 휴대 단말기는 사용자로부터 응용 프로그램을 통해 중요 정보 외부 유출 차단 서비스 아이디(ID)와 비밀번호로 로그인하여(S11), 사용자 인증을 확인한다(S12).
예를 들면, 단말기 사용자는 개인 정보 유출을 방지하기 위한 응용 프로그램을 사용하여 "Drop user = A -> 129.xxx.xxx.100(FileName=F;Content="A user's pin code=4562")와 같은 개인정보 유출방지 정책을 설정한다.
개인 정보 관리기(100)는 설정된 개인정보 유출방지 정책을 규칙 1("Alert user=A, FileName=F), 규칙 2("Alert->129.xxx.xxx.100"), 규칙 3("Drop (Content="A user's in code=4562"))로 분해하여, 분해된 규칙들(규칙1, 규칙2, 규칙3)을 각각 상황 분석기(110), 패킷분석기(120), 개인 정보 유출 방지기(130)로 할당한다(S13).
상황분석기(110)는 설정된 규칙1(Rule 1)에 따라 사용자 A의 활동을 감시하고 있다가 파일 F에 대한 접근이 발생하면(규칙 1에 해당하는 패킷을 감지하면), 접근 상황정보(Context information)를 메모리에 저장하고 패킷분석기(120)를 활성화시킨다(S14).
상황정보는 사용자 정보, 접근한 파일정보, 접근을 수행한 프로세스에 대한 정보(외부로 패킷을 전송하기 위해 열려진 포트(port) 정보)를 포함한다.
이후, 패킷분석기(120)는 설정된 규칙2(Rule 2)에 따라 외부로 전송되는 패킷을 모니터링하고 있다가 패킷의 SP(Source Port) 필드 값이 상황정보에 저장된 프로세스의 포트번호 3000 값과 일치하는 패킷을 검출하면, 패킷의 DA(Destination Address)필드 값이 규칙 2에 설정된 129.xxx.xxx.100(목적지 IP 주소) 인지를 검사하고 이 값이 일치하면, 필터링정보(filtering information)를 개인정보 유출방지기(130)로 전송하고 개인정보 유출방지기(130)를 활성화시킨다(S15).
최종적으로 개인정보 유출방지기(130)는 규칙3(Rule 3)에 해당하는 내용이 패킷의 데이터(Payload) 부분에 포함됐는지를 확인하여(S16), 규칙 3에 해당하는 패킷이 존재하면(S17) 해당 파일과 관련된 패킷을 차단(drop)한다(S18).
그러나, 개인정보 유출방지기(130)는 규칙3에 해당하는 패킷이 존재하지 않으면 해당 파일과 관련된 패킷을 통과(allow)시킨다(S19).
개인 휴대 단말기는 개별 사용자가 로그아웃(log-out)하면, 개인 정보 관리기(100), 상황 분석기(110), 패킷분석기(120), 개인 정보 유출 방지기(130)의 개인정보 유출 방지 정책의 각 모듈에 적용을 해제한다(S20).
이상에서 설명한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진자가 하기의 특허청구범위에 기재된 본 발명의 기술적 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 또는 변형하여 실시할 수 있다.
도 1은 종래의 내부 정보 자원을 유출이 탐지된 노드에 대하여 ARP 스푸핑에 의해 네트워크를 차단하는 시스템 구성도.
도 2는 본 발명에 따른 개인 휴대 단말기에서 접근 상황분석을 통한 개인 사용자의 중요정보 외부유출 차단 시스템 구성도.
도 3은 본 발명의 실시예에 따른 개인 휴대 단말기에서 설정된 개인 정보 유출 차단 정책에 따라 개인 정보 유출 시도를 차단하는 과정을 설명한 개념도.
도 4는 본 발명에 따른 개인 휴대 단말기에서 접근 상황분석을 통한 개인 사용자의 중요정보 외부유출을 차단하는 방법을 설명한 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100: 개인 정보 관리기 110: 상황 분석기
120: 패킷 분석기 130: 개인 정보 유출 방지기

Claims (12)

  1. 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템에 있어서,
    개인정보 유출방지 정책 정보를 입력받아 규칙 1, 규칙 2 및 규칙 3을 포함하는 복수의 개인 정보 유출 방지 규칙들로 분해하는 개인 정보 관리기;
    개인 정보 관리기로부터 수신한 규칙 1에 해당하는 패킷을 감지하면, 접근 상황정보분석을 통해 상황 정보를 전송하는 상황 분석기;
    상기 상황 분석기로부터 상기 상황 정보를 수신받아, 패킷 분석을 통해 외부로 전송되는 패킷을 감시하여, 상기 개인 정보 관리기로부터 수신한 규칙 2에 해당하는 패킷을 감지하면, 필터링 정보를 전송하는 패킷 분석기; 및
    상기 패킷 분석기로부터 상기 필터링 정보를 수신받아 상기 개인 정보 관리기로부터 수신한 규칙3에 해당하는 패킷에 대한 차단을 결정하는 개인 정보 유출 방지기;
    를 포함하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  2. 제 1 항에 있어서,
    상기 상황 정보는,
    사용자 정보, 접근한 파일 정보, 및 포트 정보 중 하나 이상을 포함하는 것 을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  3. 제 2 항에 있어서,
    상기 패킷 분석기는,
    패킷의 소스 포트(SP) 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는지를 판단하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  4. 제 3 항에 있어서,
    상기 패킷 분석기는,
    패킷의 소스 포트 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는 경우, 패킷의 목적지 IP 주소 필드 값이 규칙 2에 설정된 목적지 IP 주소 값과 일치하면, 상기 필터링 정보를 상기 개인 정보 유출 방지기로 전송하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  5. 제 1 항에 있어서,
    상기 개인 정보 관리기는,
    입력된 개인정보 유출방지 정책 정보를, 사용자 및 파일에 관련된 규칙 1, 목적지 IP 주소에 관련된 규칙 2, 및 사용자, 파일, 목적지 IP 주소에 관련된 규칙 3을 각각 상황 분석기, 패킷 분석기, 개인 정보 유출 방지기에 전송하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  6. 제 1 항에 있어서,
    상기 개인 정보 유출 방지기가 수신한 규칙 3은,
    해당 개인 휴대 단말기내 자원에 대한 접근 제어 정보를 포함하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  7. 제 1 항에 있어서,
    상기 상황 분석기는,
    해당 개인 휴대 단말기내 자원에 대한 접근을 시작하는 시점에 활성화되는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템.
  8. 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법에 있어서,
    (a) 개인 정보 관리기가 개인정보 유출방지 정책 정보를 입력 받아 규칙 1, 규칙 2 및 규칙 3을 포함하는 복수의 개인 정보 유출 방지 규칙들로 분해하여 상황 분석기, 패킷 분석기, 개인 정보 유출 방지기로 각각 전송하는 단계;
    (b) 상황 분석기가 규칙 1에 해당하는 패킷을 감지하면 패킷 분석기에 상황 정보를 전송하고 패킷 분석기를 활성화시키는 단계;
    (c) 패킷 분석기가 규칙 2에 해당하는 패킷을 감지하면 개인 정보 유출 방지기에 필터링 정보를 전송하고 개인 정보 유출 방지기를 활성화시키는 단계; 및
    (d) 개인 정보 유출 방지기가 규칙 3에 해당하는 패킷에 대해 차단시키는 단계를 포함하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법.
  9. 제 8 항에 있어서,
    상기 상황 정보는 포트 정보를 포함하고,
    상기 단계 (c)는, 패킷의 소스 포트 필드 값이 상기 상황 정보에 포함된 포트 정보의 소스 포트 값과 일치하는 지를 판단하는 단계를 포함하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법.
  10. 제 9 항에 있어서,
    상기 단계 (c)는, 패킷의 소스 포트 필드 값이 상기 상황정보에 포함된 포트 정보의 소스 포트 값과 일치하는 경우, 패킷의 목적지 IP 주소 필드 값이 규칙 2에 설정된 목적지 IP 주소 값과 일치한다고 판단하면, 상기 필터링 정보를 상기 개인 정보 유출 방지기로 전송하는 단계를 포함하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법.
  11. 제 8 항에 있어서,
    상기 규칙 3은, 해당 개인 휴대 단말기내 자원에 대한 접근 제어 정보를 포함하는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법.
  12. 제 8 항에 있어서,
    상기 단계 (b)는, 해당 개인 휴대 단말기내 자원에 대한 접근을 시작하는 시점에 활성화되는 것을 특징으로 하는 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 방법.
KR1020070111879A 2007-11-05 2007-11-05 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법 KR100929916B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070111879A KR100929916B1 (ko) 2007-11-05 2007-11-05 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법
US12/168,989 US20090119745A1 (en) 2007-11-05 2008-07-08 System and method for preventing private information from leaking out through access context analysis in personal mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070111879A KR100929916B1 (ko) 2007-11-05 2007-11-05 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20090045992A true KR20090045992A (ko) 2009-05-11
KR100929916B1 KR100929916B1 (ko) 2009-12-04

Family

ID=40589501

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070111879A KR100929916B1 (ko) 2007-11-05 2007-11-05 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법

Country Status (2)

Country Link
US (1) US20090119745A1 (ko)
KR (1) KR100929916B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101058060B1 (ko) * 2008-07-09 2011-08-19 한국전자통신연구원 개인정보를 공유하고자 하는 사용자에게 추천정보를제공하는 시스템 및 그 방법
WO2013012278A3 (ko) * 2011-07-20 2013-04-11 삼성전자 주식회사 통신 시스템에서 ip 어드레스를 이용한 디바이스 컨텍스트 관리 방법 및 장치
US8767773B2 (en) 2009-12-21 2014-07-01 Electronics And Telecommunications Research Institute System and method for preventing leak of personal information
KR20170109219A (ko) * 2017-09-15 2017-09-28 삼성전자주식회사 통신 시스템에서 ip 어드레스를 이용한 디바이스 컨텍스트 관리 방법 및 장치

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7849503B2 (en) * 2007-06-01 2010-12-07 Hewlett-Packard Development Company, L.P. Packet processing using distribution algorithms
US8560722B2 (en) 2011-03-18 2013-10-15 International Business Machines Corporation System and method to govern sensitive data exchange with mobile devices based on threshold sensitivity values
US9251367B2 (en) * 2011-03-25 2016-02-02 Nec Corporation Device, method and program for preventing information leakage
KR101172877B1 (ko) 2011-10-19 2012-08-10 인포섹(주) 모바일 단말기의 정보 유출을 차단하는 장치, 방법 및 프로그램 기록매체
CN102413221B (zh) * 2011-11-24 2014-03-12 中兴通讯股份有限公司 一种保护隐私信息的方法及移动终端
US20150020188A1 (en) * 2013-07-14 2015-01-15 Check Point Software Technologies Ltd. Network Host Provided Security System for Local Networks
US9779254B2 (en) * 2014-02-26 2017-10-03 International Business Machines Corporation Detection and prevention of sensitive information leaks
KR20180058408A (ko) * 2016-11-24 2018-06-01 주식회사 시큐센 보안 대상 파일 유출 방지 방법, 장치 및 컴퓨터-판독가능 매체
US10496842B1 (en) * 2018-07-16 2019-12-03 Didi Research America, Llc Multi-pronged file anomaly detection based on violation counts

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US7631184B2 (en) * 2002-05-14 2009-12-08 Nicholas Ryan System and method for imposing security on copies of secured items
KR100501125B1 (ko) * 2003-03-28 2005-07-18 에스케이 텔레콤주식회사 인터넷 컨텐츠의 권한 검증 시스템 및 그 방법
KR20060023630A (ko) * 2004-09-10 2006-03-15 주식회사 팬택 자원 공유 서비스 기능이 있는 이동통신 단말기, 그를이용한 자원 공유 시스템 및 자원 제공과 이용 방법
KR20060075137A (ko) * 2004-12-28 2006-07-04 전자부품연구원 유비쿼터스 환경에서의 개인정보 보호방법
JP4489676B2 (ja) * 2005-09-28 2010-06-23 富士通株式会社 通信システム
KR20060096986A (ko) * 2006-02-27 2006-09-13 노키아 코포레이션 개인 원격 방화벽

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101058060B1 (ko) * 2008-07-09 2011-08-19 한국전자통신연구원 개인정보를 공유하고자 하는 사용자에게 추천정보를제공하는 시스템 및 그 방법
US8767773B2 (en) 2009-12-21 2014-07-01 Electronics And Telecommunications Research Institute System and method for preventing leak of personal information
WO2013012278A3 (ko) * 2011-07-20 2013-04-11 삼성전자 주식회사 통신 시스템에서 ip 어드레스를 이용한 디바이스 컨텍스트 관리 방법 및 장치
US9602402B2 (en) 2011-07-20 2017-03-21 Samsung Electronics Co., Ltd. Method and apparatus for managing device context using an IP address in a communication system
US9948613B2 (en) 2011-07-20 2018-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing device context using an IP address in a communication system
US10237244B2 (en) 2011-07-20 2019-03-19 Samsung Electronics Co., Ltd. Method and apparatus for managing device context using an IP address in a communication system
KR20170109219A (ko) * 2017-09-15 2017-09-28 삼성전자주식회사 통신 시스템에서 ip 어드레스를 이용한 디바이스 컨텍스트 관리 방법 및 장치
KR101869253B1 (ko) * 2017-09-15 2018-07-20 삼성전자 주식회사 통신 시스템에서 ip 어드레스를 이용한 디바이스 컨텍스트 관리 방법 및 장치

Also Published As

Publication number Publication date
KR100929916B1 (ko) 2009-12-04
US20090119745A1 (en) 2009-05-07

Similar Documents

Publication Publication Date Title
KR100929916B1 (ko) 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법
US11997117B2 (en) Intrusion detection using a heartbeat
US11310264B2 (en) Using reputation to avoid false malware detections
US9654489B2 (en) Advanced persistent threat detection
CN101802837B (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
Modi et al. A survey of intrusion detection techniques in cloud
CN102106114B (zh) 分布式安全服务开通方法及其系统
US8893300B2 (en) Security systems and methods to reduce data leaks in enterprise networks
US6684329B1 (en) System and method for increasing the resiliency of firewall systems
US9374339B2 (en) Authentication of remote host via closed ports
US20070294759A1 (en) Wireless network control and protection system
KR100769221B1 (ko) 제로데이 공격 대응 시스템 및 방법
Alfaqih et al. Internet of things security based on devices architecture
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR20070003409A (ko) 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법
KR20230139984A (ko) 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템
WO2006103656A2 (en) Database security pre and post processor
Endsuleit et al. A security analysis on jade (-s) v. 3.2
Venter et al. Harmonising vulnerability categories
Sharma et al. Analysis of IDS Tools & Techniques
Gabrielson Who really did it? Controlling malicious insiders by merging biometric behavior with detection and automated responses
WO2022101934A1 (en) A system to protect data exfilteration through detection and validation and method thereof
Mohammed et al. Security issues in pervasive computing
Oginga et al. Demonstrating the Weaknesses of IDS and Firewall on Policy Violation in the Cloud
Schear The Design and Implementation of Glavlit: A Transparent Data Confinement System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121031

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131024

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee