KR20090065876A - Method and apparatus useful for preventing sensitive information from flowing out in personal computer - Google Patents

Method and apparatus useful for preventing sensitive information from flowing out in personal computer Download PDF

Info

Publication number
KR20090065876A
KR20090065876A KR1020070133405A KR20070133405A KR20090065876A KR 20090065876 A KR20090065876 A KR 20090065876A KR 1020070133405 A KR1020070133405 A KR 1020070133405A KR 20070133405 A KR20070133405 A KR 20070133405A KR 20090065876 A KR20090065876 A KR 20090065876A
Authority
KR
South Korea
Prior art keywords
information
protection information
protection
user interface
interface unit
Prior art date
Application number
KR1020070133405A
Other languages
Korean (ko)
Other versions
KR100981301B1 (en
Inventor
안개일
배근태
한민호
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070133405A priority Critical patent/KR100981301B1/en
Publication of KR20090065876A publication Critical patent/KR20090065876A/en
Application granted granted Critical
Publication of KR100981301B1 publication Critical patent/KR100981301B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

A method and an apparatus useful for preventing sensitive information from flowing out to the outside in a personal computer are provided to supply user's convenience by enabling a user to edit a protection information file through a general information file. An apparatus for preventing the external leakage of protection information includes a user interface unit(10), at least one external communication connection unit(30) and a protection information leakage preventing unit(20). According to a user authentication mode through a user interface unit, the user of the protection leakage preventing unit is allowed. When the user interface unit senses at least one kind of protection information from the used and stored information, the protection leakage preventing unit blocks the access to the connection unit of at least one external communication unit.

Description

개인용 컴퓨터에서 보호정보의 외부유출을 실용적으로 방지하는 방법 및 그 장치{Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer}Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer}

본 발명은 보호정보의 외부유출을 방지하는 방법 및 그 장치에 관한 것으로,특히, 개인용 컴퓨터에서 사용자가 중요하게 다루는 보호정보가 외부로 유출되는 것을 방지하는 보호정보의 외부유출을 방지하는 방법 및 그 장치에 관한 것이다.The present invention relates to a method and an apparatus for preventing the leakage of protection information, and more particularly, to a method for preventing the leakage of protection information to prevent the leakage of protection information important to the user in a personal computer to the outside and its Relates to a device.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-023-01, 과제명: 복합단말용 침해방지 기술개발(Development of the threat containment for all-in-one mobile devices on convergence networks)].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Information and Communication and the Ministry of Information and Telecommunications Research and Development. (Development of the threat containment for all-in-one mobile devices on convergence networks)].

일반적으로 정보화 시대가 도래하여 취급하는 정보량이 증가함에 따라, 복수 개의 컴퓨터를 하나의 네트워크로 연결하여 사용하는 네트워크 시스템의 보급이 대중화되었다. 이에 따라, 사용자가 네트워크에 연결된 본인의 컴퓨터를 조작하여 다른 사용자의 컴퓨터에 접속하거나 복수의 사용자가 하나의 컴퓨터를 공유하여 네트워크 내에서 정보를 송수신 할 수 있게 되었다. As generally the amount of information handled by an information age arrival increases, the spread of the network system has been popularized to connect the plurality of computers by a network. Accordingly, a user can operate his / her computer connected to a network to access another user's computer, or a plurality of users can share one computer to transmit and receive information within a network.

한편, 사람들이 사용하는 컴퓨터에는 많은 보호정보(예를 들어, 보호정보란 주소록, 일기, 사진, 이메일과 같은 개인정보와 논문, 특허, 신용카드번호, 비밀번호와 같은 기밀정보 등)가 저장되게 되는데, 이러한 컴퓨터에 저장되어 있는 보호정보가 악의적인 내외부의 공격자에 의해서 네트워크 등을 통해 외부에 무단으로 유출될 경우에는 경제적 또는 사회적으로 큰 손실을 입을 우려가 많았다.On the other hand, a computer used by people stores a lot of protection information (for example, personal information such as address book, diary, photos, e-mail and confidential information such as papers, patents, credit card numbers, passwords, etc.) In addition, if the protected information stored in such a computer is leaked to the outside through a network by malicious attackers, both inside and outside, there is a great possibility of economic or social loss.

그래서, 종래의 개인용 컴퓨터는 비인가자의 보호정보에 대한 접근을 통제하기 위한 수단으로써 사용자 로그인시에 사용자 ID와 비밀번호 기반의 인증 방법 등을 사용하고 있으나, 이러한 인증 방법은 사용자 ID와 비밀번호가 다른 사람에게 노출될 가능성이 많았다. 또한, 개인용 컴퓨터의 보안을 위해 보안 프로그램(예를 들어, 방화벽 및 바이러스 탐지 프로그램 등)을 구비하더라도 이러한 보안 프로그램이 새로운 유형의 모든 침입을 전부 탐지할 수 없기 때문에 외부 침입자에 의한 해킹을 완벽하게 방어할 수는 없었다. 예를 들어, 해킹 방법 중의 하나인 피싱(Phishing) 공격은 사용자가 직접 외부의 공격 서버에 접속하게 만들기 때문에 사용자 자신도 모르게 보호정보가 외부로 유출 될 수 있었다. Therefore, the conventional personal computer uses a user ID and a password-based authentication method at the time of user login as a means for controlling access to the protection information of unauthorized persons, but such authentication method is used for different user IDs and passwords. There was a lot of exposure. In addition, even if you have security programs (such as firewalls and virus detection programs) for the security of your personal computer, these security programs will not be able to detect all new types of intrusions, so you will be completely protected from hacking by external intruders. I could not. For example, a phishing attack, one of the hacking methods, allows a user to directly access an external attack server, so that protection information may be leaked to the outside without the user's knowledge.

따라서, 최근에는 네트워크 통신 단계에서 보호정보의 시그니처를 기반으로 하여 보호정보 유출을 차단하려는 방법들도 제안되고 있다.Therefore, recently, methods for preventing the leakage of protected information based on the signature of the protected information in the network communication step have been proposed.

도 1은 종래에 따른 보호정보의 외부 유출 경로를 도시한 예시도이다. 1 is an exemplary diagram illustrating an external leakage path of protection information according to the related art.

도 1에 도시된 바와 같이, 사용자가 논문 및 특허와 같은 보호정보 문서를 작성할 시에, 이전에 작성한 문서나 그림 같은 일반정보-A(104)를 부분 복사하여 보호정보(105)를 완성하거나 하나의 보호정보(105)를 완성할 때 새로운 버전의 보 호정보 파일들을 생성할 경우도 있다. 또한, 내외부의 악의적 공격자(101, 192)가 개인용 컴퓨터내의 보호정보(105)를 암호화 또는 압축 등의 방법을 사용하여 보호정보(105) 자체를 일반정보-B(106)로 변경할 수도 있다. 이러한 경우에는 종래의 기술인 시그니처 기반의 보호정보 유출 차단 벙법은 변형된 형태의 보호정보가 유출되는 것을 탐지할 수 없는 문제가 있다. As shown in FIG. 1, when the user creates a protection information document such as a paper or a patent, the protection information 105 may be completed by partially copying the general information-A 104 such as a previously created document or a picture. When the protection information 105 is completed, a new version of the protection information files may be generated. In addition, the inside and outside malicious attackers 101 and 192 may change the protection information 105 itself into general information-B 106 using a method such as encryption or compression of the protection information 105 in the personal computer. In this case, the conventional signature-based protection information leakage prevention method has a problem in that it is not possible to detect that a modified form of protection information is leaked.

또 다른 종래 기술로써, 모든 보호정보를 암호화해서 지정된 공유 시스템에 저장해 두고, 권한 있는 사용자에게만 접근과 수정만을 허용하는 DRM (Digital Rights Management) 방법이 사용되고 있다.As another conventional technology, a DRM (Digital Rights Management) method that encrypts and stores all protected information in a designated shared system and permits only authorized users to access and modify them.

그러나, DRM은 내외부 공격자(101, 102)가 보호정보 소유자의 암호를 아는 경우에는 보호정보의 외부 유출을 막을 수 없을 뿐만 아니라 사용자에게 미리 지정된 보호정보의 수정만을 허용하기 때문에 사용자 입장에서는 매우 불편하다는 문제가 있었다.However, DRM is very inconvenient from the user's point of view because the internal and external attackers (101, 102) know the password of the owner of the protected information and can not only prevent the leakage of the protected information. There was a problem.

따라서, 종래의 보호정보 보호 방법은 지정된 보호정보 파일에 대한 수정만을 지원하기 때문에 사용자 입장에서는 매우 불편할 뿐만 아니라 보호정보를 변경하여 외부로 전송하는 경우나 보호정보가 포함될 가능성이 있는 일반정보는 보호할 수 없고, 사용자 인증 정보가 노출 되거나 피싱 등의 해킹 공격을 당한 경우에는 개인용 컴퓨터에 저장된 보호정보가 자신도 모르게 외부로 무단 유출되는 문제점이 있었다.Therefore, since the conventional protection information protection method only supports modification to the designated protection information file, it is very inconvenient for the user, and the general information that may be protected or included when the protection information is changed and transmitted to the outside may not be protected. If the user authentication information is exposed or subjected to a hacking attack such as phishing, there is a problem that the protection information stored in the personal computer is leaked to the outside without any knowledge.

상기와 같은 문제점을 해결하기 위하여 본 발명은 사용자 인증을 통해 권한을 가진 사용자가 접근할 때에 보호정보 뿐만 아니라 그것과 관계된 일반정보도 무단으로 외부 유출이 되지 않도록 보호정보를 관리하고 외부와의 접속을 제어하는 보호정보의 외부유출을 방지하는 방법 및 그 장치를 제공하는데 있다. In order to solve the above problems, the present invention manages protection information and prevents access to outside information without unauthorized leakage of not only protection information but also general information related thereto when an authorized user approaches through user authentication. The present invention provides a method and an apparatus for preventing the leakage of protected information to be controlled.

본 발명의 바람직한 실시예에 따른 보호정보의 외부 유출을 방지하는 장치는 보호정보의 외부 유출을 방지하는 장치에 있어서, 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 제공하는 사용자 인터페이스부; 상기 사용자 인터페이스부를 통한 저장된 정보의 외부 통신을 제공하는 적어도 하나의 외부통신 접속부; 및 상기 사용자 인터페이스부를 통한 사용자 인증 모드에 따라 저장된 정보의 사용을 허용하되, 상기 사용자 인터페이스부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 상기 적어도 하나의 외부통신접속부로의 접근을 차단하도록 제어하는 보호정보 유출방지부;를 포함하는 것을 특징으로 한다.A device for preventing the leakage of protection information according to a preferred embodiment of the present invention is a device for preventing the leakage of protection information, the user interface for providing access to the stored information including the protection information by the user authentication part; At least one external communication connection unit for providing external communication of the stored information through the user interface unit; And allowing use of the stored information according to a user authentication mode through the user interface unit, and controlling to block access to the at least one external communication connection unit when detecting at least one protection information among stored information used by the user interface unit. Protection information leakage prevention unit; characterized in that it comprises a.

본 발명은 보호정보를 구분하는 식별자를 포함하는 보호정보 테이블;을 더 포함하고, 상기 보호정보 유출방지부는 상기 보호정보테이블을 이용하여 사용되는 보호정보를 감지하되, 상기 사용자 인터페이스부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 사용이 활성화된 모든 일반정보를 보호정보 테이블 내에 보호정보로 구분하는 것이 바람직하다.The present invention further includes a protection information table including an identifier for distinguishing protection information, wherein the protection information leakage prevention unit detects protection information used by using the protection information table, and stored information used by the user interface unit. It is preferable to classify all general information activated for use when detecting at least one protection information among the protection information in the protection information table.

본 발명은 사용자 인증 모드에 따라 외부통신 접속부로의 접근 허용 여부를 포함하는 외부 접속제어 정책을 포함하는 보호정보 테이블;을 더 포함하고, 상기 사용자 인터페이스부를 통한 보호정보 사용시 적어도 하나의 외부통신 접속부의 각각으로의 접근을 상기 외부 접속제어 정책에 따라 제어하는 것이 바람직하다.The present invention may further include a protection information table including an external access control policy including whether to allow access to an external communication access unit according to a user authentication mode, and at least one external communication access unit when using protection information through the user interface unit. It is preferable to control each access in accordance with the external access control policy.

본 발명의 보호정보 테이블은, 상기 식별자에 보호정보 파일 이름 및 보호정보가 저장된 디렉토리 이름 중에서 하나 이상을 포함하는 것이 바람직하다.The protection information table of the present invention preferably includes at least one of a protection information file name and a directory name in which the protection information is stored in the identifier.

본 발명의 보호정보 유출방지부는, 상기 보호정보의 암호화/복호화를 제공하는 암복호화부;를 더 포함하고, 상기 사용자 인터페이스부로부터 보호정보의 요청시 상기 암복호화부를 통해 암호화 및 복호화 하는 것이 바람직하다.The protection information leakage prevention unit of the present invention further includes an encryption / decryption unit that provides encryption / decryption of the protection information, and preferably encrypts and decrypts through the encryption / decryption unit when requesting protection information from the user interface unit. .

본 발명의 사용자 인터페이스부는, 상기 사용자 인증에 상기 보호정보 테이블을 조작할 수 있는 관리모드 및 저장된 정보의 사용을 허용하는 일반모드 중에서 어느 하나를 포함하는 것이 바람직하다.The user interface unit of the present invention preferably includes any one of a management mode capable of operating the protection information table and a general mode allowing use of the stored information for the user authentication.

본 발명의 사용자 인터페이스부를 통한 저장된 정보 사용시 활성화된 모든 정보를 임시 저장하여 제공하는 캐쉬 메모리;를 더 포함하고, 상기 보호정보 유출방지부는 상기 사용자 인터페이스부를 통한 보호정보 사용이 모두 종료되면, 상기 캐쉬 메모리 상의 모든 정보를 삭제하는 것이 바람직하다.The cache memory for temporarily storing and providing all the information activated when using the stored information through the user interface of the present invention; The protection information leakage prevention unit, when all the use of the protection information through the user interface unit, the cache memory It is desirable to delete all information on the image.

본 발명의 일실시예에 따른 보호정보의 외부 유출을 방지하는 방법은 보호정보의 외부 유출을 방지하는 방법에 있어서, 사용자 인터페이스부로부터 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 요청받는 제 1 단계; 및 상기 사용자 인터페이스부를 통해 접근 요청된 정보의 보호정보 유무를 판단해서 상기 사용자 인증에 따라 저장된 정보의 사용을 허용하되, 상기 인터페이스 부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 외부 통신을 제공 하는 외부통신 접속부로의 접근을 차단하도록 제어하는 제 2 단계;를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method of preventing an external leakage of protection information, the method of preventing an external leakage of protection information, the access from the user interface to the stored information including the protection information by the user authentication The first step being requested; And determining whether there is protection information of the information requested to be accessed through the user interface unit to allow use of the stored information according to the user authentication, and providing external communication when sensing at least one protection information among the stored information used by the interface unit. And a second step of controlling to block access to an external communication connection unit.

본 발명의 제 2 단계는, 상기 제 1 단계의 사용자 인증에 따라 보호정보를 구분하는 식별자를 포함하는 보호정보테이블을 통해 사용되는 보호정보를 감지하되, 상기 사용자 인터페이스 부를 통해 사용되는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 사용이 활성화된 모든 일반정보를 보호정보 테이블 내에 보호정보로 구분하는 제 2-1 단계;를 더 포함하는 것이 바람직하다.The second step of the present invention, while detecting the protection information used through the protection information table including an identifier for distinguishing the protection information according to the user authentication of the first step, at least from the stored information used through the user interface unit Preferably, the method further includes a step 2-1 of dividing all general information activated for use in detecting one protection information into protection information in the protection information table.

본 발명의 제 2 단계는, 상기 사용자 인터페이스부를 통한 보호정보 사용시 사용자 인증에 따라 상기 적어도 하나의 외부통신 접속부로의 접근 허용 여부를 포함하는 외부 접속제어 정책을 포함하는 보호정보테이블을 이용하여 적어도 하나의 외부통신 접속부의 각각으로의 접근을 제어하는 제 2-2 단계;를 더 포함하는 것이 바람직하다.The second step of the present invention may include at least one of using a protection information table including an external access control policy including whether to allow access to the at least one external communication connection unit according to user authentication when using the protection information through the user interface unit. Step 2-2 of controlling access to each of the external communication connection of the; preferably further comprises.

본 발명의 제 2 단계는, 상기 사용자 인터페이스부의 사용자 인증에 의한 사용자의 요청에 따라 보호정보의 사용을 제공하는 제 2-3 단계;를 더 포함하는 것이 바람직하다.The second step of the present invention may further include a second to third step of providing use of the protection information according to a user's request by user authentication of the user interface unit.

본 발명의 제 2 단계는, 상기 사용자 인터페이스부를 통해 사용되는 저장된 정보 중에서 적어도 하나의 보호정보가 감지되지 않을 때, 외부통신 접속부를 통한 외부 통신을 허용하는 단계;를 더 포함하는 것이 바람직하다.The second step of the present invention may further include allowing external communication through the external communication connection unit when at least one protection information is not detected from the stored information used through the user interface unit.

본 발명의 제 2-3 단계는, 사용자가 보호정보 파일의 읽기를 요청하면 저장된 해당 파일을 복호화한 후에 제공하는 파일 복호화 단계; 및 상기 사용자가 보호 정보 파일의 쓰기를 요청하면 해당 파일을 암호화한 후에 저장하는 파일 암호화 단계;를 더 포함하는 것이 바람직하다.Step 2-3 of the present invention, if the user requests to read the protection information file decrypting the file provided after decrypting the stored file; And encrypting and storing the file after encrypting the file when the user requests writing of the protection information file.

본 발명의 제 2-3 단계는, 사용자 인터페이스부를 통해 사용된 보호정보 파일이 모두 닫이면, 캐쉬 메모리에 저장된 모든 데이터를 삭제하는 단계;를 더 포함하는 것이 바람직하다.Step 2-3 of the present invention, if all the protection information files used through the user interface unit is closed, the step of deleting all the data stored in the cache memory; preferably further comprises a.

본 발명의 사용자 인증은, 보호정보 테이블을 조작할 수 있는 관리모드 및 저장된 정보의 사용을 허용하는 일반모드 중에서 어느 하나를 포함하는 것이 바람직하다.The user authentication of the present invention preferably includes any one of a management mode capable of manipulating the protection information table and a general mode allowing use of stored information.

본 발명의 다른 실시예에 따른 개인용 컴퓨터에서 보호정보의 외부 유출을 방지하는 방법은 개인용 컴퓨터에서 보호정보의 외부 유출을 방지하는 방법에 있어서, 사용자 인터페이스부의 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 요청받는 제 1 단계; 및 사용자가 사용자 인터페이스부를 통해 보호정보 파일을 접근하고 있는 동안, 활성화된 또는 활성화하려는 모든 일반정보 파일의 속성을 보호정보 파일로 변경함으로써, 보호정보 파일의 편집에 사용될 가능성이 있는 모든 일반정보 파일의 보안 수준을 보호정보 파일의 보안수준과 동일하게 제공해 주는 제 2 단계;를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method for preventing an external leakage of protection information in a personal computer, the method for preventing an external leakage of protection information in a personal computer, the method including storing the protection information by user authentication of a user interface unit. A first step of requesting access to information; And all the general information files that are likely to be used for editing the protection information file by changing the properties of all the general information files that are activated or to be activated to the protection information file while the user is accessing the protection information file through the user interface. And a second step of providing a security level equal to the security level of the protection information file.

본 발명의 제 2 단계는, 사용자가 사용자 인터페이스부를 통해 보호정보 파일을 접근하고 있는 동안, 활성화된 또는 활성화하려는 모든 일반정보 파일의 속성을 보호정보 파일로 변경하는 단계; 및 상기 제 1 단계의 사용자 인증을 근거로 외부접근제어 정책에 따라 외부로의 데이터 송신을 제어하는 단계;를 포함하는 것이 바람직하다.The second step of the present invention includes the steps of: changing the attributes of all general information files that are activated or to be activated into protection information files while the user is accessing the protection information file through the user interface unit; And controlling data transmission to the outside according to an external access control policy based on the user authentication of the first step.

본 발명의 사용자 인증은 상기 저장된 정보의 보안 수준을 변경할 수 있는 관리모드 및 상기 저장된 정보의 사용을 위한 일반모드를 포함하는 것이 바람직하다.The user authentication of the present invention preferably includes a management mode that can change the security level of the stored information and a general mode for use of the stored information.

본 발명의 보호정보는 암호화되어 저장되는 것이 바람직하다.The protection information of the present invention is preferably stored encrypted.

이상으로 살펴본 바와 같이, 본 발명에 따른 보호정보 유출 방지 방법 및 그 장치는 일반 사용자가 일반정보 파일을 사용하여 보호정보 파일을 편집하는 것을 허용하기 때문에 사용자 편리성을 제공할 수 있는 효과가 있다.As described above, the method and apparatus for preventing leakage of protection information according to the present invention have an effect of providing user convenience since the general user allows editing of the protection information file using the general information file.

또한, 본 발명에 따르면 보호정보 접근동안 활성화된 모든 일반정보 파일의 속성을 보호정보로 변경하고 동시에 외부로의 보호정보 전송을 외부접근 제어 정책에 따라서 원천차단하므로 보호정보가 외부로 유출되는 것을 실용적으로 방지할 수 있는 탁월한 효과가 있다.In addition, according to the present invention, since the properties of all general information files activated during access to protected information are changed to protected information, and at the same time, the transmission of the protected information to the outside is blocked according to the external access control policy. There is an excellent effect that can be prevented.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 보호정보 유출을 방지하는 장치를 상세히 설명하면 다음과 같다. 본 발명이 적용되는 개인용 컴퓨터는 외부와 네트워크로 접속되어 구성되는 것이 일반적이며, 소규모 또는 대규모의 정보 저장 장치를 포함하여 구성되는 것을 기본으로 설명한다.Hereinafter, an apparatus for preventing leakage of protection information according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings. A personal computer to which the present invention is applied is generally configured to be connected to the outside by a network and will be described based on a configuration including a small or large information storage device.

도 2는 본 발명에 따른 보호정보의 외부 유출 방지를 위한 장치의 구성을 도시한 블록도이다.2 is a block diagram showing the configuration of an apparatus for preventing the leakage of external protection information according to the present invention.

본 발명에 따른 개인용 컴퓨터에서 보호정보의 외부 유출 방지를 위한 장치는 사용자 인터페이스부(10), 보호정보 유출방지부(20), 외부통신 접속부(30), 보호정보 테이블(40), 파일저장부(50)로 구성된다.In the personal computer according to the present invention, the device for preventing the leakage of external protection information is the user interface unit 10, the protection information leakage prevention unit 20, the external communication connection unit 30, the protection information table 40, the file storage unit It consists of 50.

사용자 인터페이스부(10)는 사용자 인증을 통해 개인용 컴퓨터, 정보 저장 서버 등을 사용할 수 있도록 사용자의 사용 접속을 제공하는 인터페이스 역할을 수행하고, 하기 보호정보 테이블(40) 또는 설정 등을 변경할 수 있는 관리모드와 저장된 정보만을 사용할 수 있는 일반모드 등의 사용자 인증을 제공한다.The user interface unit 10 serves as an interface for providing a user access to use a personal computer, an information storage server, and the like through user authentication, and manages to change the following protection information table 40 or settings. It provides user authentication such as general mode which can use only mode and stored information.

여기서, 사용자 인터페이스부(10)는 사용자가 관리모드를 위한 ID와 패스워드와 같은 인증방법을 통하여 인증시 관리모드로 동작하여 보호정보 테이블(40)을 관리할 수 있는 권한을 갖게 된다. 또, 사용자 인터페이스부(10)는 사용자가 일반모드를 위한 ID와 패스워드와 같은 인증방법을 통하여 접속시 일반모드로 동작하여 개인용 컴퓨터의 자원(예, 파일, USB, 프린터, 랜)을 접근할 수 있는 권한을 부여 받을 수 있다. Here, the user interface unit 10 has the authority to manage the protection information table 40 by operating in the management mode at the time of authentication through an authentication method such as ID and password for the management mode. In addition, the user interface unit 10 can access the personal computer resources (eg, files, USB, printer, LAN) by operating in the normal mode when the user is connected through an authentication method such as ID and password for the normal mode. Can be granted.

보호정보 유출방지부(20)는 저장된 보호정보의 사용 및 외부로의 유출을 방지하는 역할을 수행한다. 즉, 저정된 보호정보와 그와 연관된 일반정보를 보호하기 위하여 파일의 암호화 및 복호화를 사용하고 하기 보호정보 테이블의 변경 및 외부통신 접속부를 제어하게 된다. 다시 말해서, 보호정보 유출 방지부(20)는 파일 저장부(50)에 저장된 보호정보 파일이 외부통신 접속부(30)로 무단 유출되는 것을 방지하기 위하여, 보호정보 파일과 연관된 일반정보 파일의 속성을 보호정보로 변경 (즉, 보호정보 테이블(40)에 등록)하고 보호정보 파일을 암/복호화하며, 또한, 사 용자 인터페이스부(10)가 보호정보를 접근하고 있는 동안 외부접근 제어정책에 따라서 외부통신 접속부(30)을 제어할 수 있다.The protection information leakage prevention unit 20 serves to prevent the use of the stored protection information and leakage to the outside. That is, in order to protect the stored protection information and general information related thereto, the encryption and decryption of the file are used, and the following modification of the protection information table and the external communication connection unit are controlled. In other words, the protection information leakage prevention unit 20 may change the attributes of the general information file associated with the protection information file in order to prevent the protection information file stored in the file storage unit 50 from being leaked to the external communication connection unit 30. Change to the protection information (ie, register in the protection information table 40), encrypt / decrypt the protection information file, and further, in accordance with the external access control policy while the user interface unit 10 is accessing the protection information. The communication connection unit 30 can be controlled.

또한, 본 발명은 보호정보 유출방지부(20)가 사용자 인터페이스부(10)를 통한 정보의 사용시 사용 요청한 정보들을 임시 저장하여 제공하도록 하는 캐쉬 메모리(미도시)를 더 포함 할 수 있다.In addition, the present invention may further include a cache memory (not shown) for the protection information leakage prevention unit 20 to temporarily store and provide the information requested to use when using the information through the user interface unit 10.

보호정보 테이블(40)은 보호정보 및 일반정보를 구별하는 식별자 및 사용자 인터페이스부(10)를 통한 사용자에게 외부통신접속부(30)로의 접근 허용정도를 설정하는 외부정책을 저장하는 외부 접속제어 정책을 포함한다. 보호정보테이블(40)은 사용자 인터페이스부(10)를 통해서 사용자가 관리모드로 접속했을 때는 변경가능하도록 할 수 있다.The protection information table 40 includes an identifier for distinguishing protection information from general information and an external access control policy for storing an external policy for setting a degree of access to the external communication connection unit 30 to the user through the user interface unit 10. Include. The protection information table 40 can be changed when the user connects to the management mode through the user interface unit 10.

여기서, 보호정보 테이블(40)은 상술한 바와 같이 보호정보 및 일반정보를 저장하는 파일저장부(50)에 저장된 정보 중에서 일반정보와 구별하기 위한 보호정보 파일의 식별자 및 외부 접속 제어 정책을 저장하고 있다. Here, the protection information table 40 stores the identifier of the protection information file for distinguishing the general information from the information stored in the file storage unit 50 for storing the protection information and the general information and the external access control policy as described above, have.

여기서, 보호정보 파일의 식별자는 파일 이름 또는 디렉토리 이름으로 나타낼 수 있으며, 외부 접속 제어 정책은 보호정보가 활성화될(즉, 사용자가 접근할) 동안 수행할 외부 접속에 관한 제어 정책이다. 예를 들어, 일반모드(12)로 동작하는 사용자에 대한 외부 접속 제어 정책으로써 프린터를 제외한 모든 외부 접속장치 차단 이라는 정책을 설정할 수 있다.Here, the identifier of the protection information file may be represented by a file name or a directory name, and the external access control policy is a control policy regarding an external access to be performed while protection information is activated (that is, accessed by a user). For example, as an external access control policy for a user operating in the normal mode 12, a policy called blocking all external access devices except for a printer may be set.

외부통신 접속부(30)는 사용자 인터페이스부(10)에게 외부와의 데이터 통신을 제공한다. 즉, 외부통신 접속부(30)는 개인용 컴퓨터의 저장된 정보를 외부로 출력할 수 있는 다수의 외부장치(예를 들어, 프린터, USB, 인터넷 접속 모뎀, 랜 등)를 포함 할 수 있다.The external communication connection unit 30 provides the user interface unit 10 with data communication with the outside. That is, the external communication connection unit 30 may include a plurality of external devices (eg, a printer, a USB, an Internet access modem, a LAN, etc.) capable of outputting the stored information of the personal computer to the outside.

도 3은 본 발명에 따른 보호정보 외부유출을 방지하는 장치의 동작흐름을 도시한 흐름도이다. 도 3에 도시된 바와 같이, 본 발명에 따른 보호정보 유출을 방지하는 장치는 사용자 인터페이스부(10)의 사용자 인증 상태에 따라 동작을 달리 할 수 있다. 즉, 사용자가 사용자 인터페이스부(10)의 접속에 사용하는 ID 및 패스워드의 종류에 따라 사용자 인증 중에서 관리모드(11) 또는 일반모드(12)로 동작할 수 있다. 3 is a flowchart illustrating the operation of the apparatus for preventing the leakage of protection information according to the present invention. As shown in FIG. 3, the apparatus for preventing the leakage of protection information according to the present invention may operate differently according to the user authentication state of the user interface unit 10. That is, the user may operate in the management mode 11 or the general mode 12 among user authentications according to the type of ID and password used by the user to access the user interface unit 10.

보호정보 유출방지부(20)가 일반모드로 동작하는 사용자로부터 파일 접근 요청을 수신하면, 즉, 사용자 인터페이스부(10)가 일반모드로 동작하여 저장된 정보의 사용을 요청하면 그 파일이 보호정보인지를 판단하기 위하여 보호정보 테이블(40)을 검색한다. 만약, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)에서 요청한 정보가 보호정보 파일이면, 현재 활성화된(현재 열려있는) 모든 일반정보 파일을 보호정보 테이블(40)에 등록한다. If the protection information leakage prevention unit 20 receives a file access request from the user operating in the normal mode, that is, if the user interface unit 10 operates in the normal mode and requests the use of the stored information, the file is protected information. The protection information table 40 is searched to determine. If the protection information leakage preventing unit 20 requests the information requested by the user interface unit 10 to be a protection information file, all the general information files currently activated (currently open) are registered in the protection information table 40.

여기서, 보호정보유출 방지부(20)는 사용자 인터페이스부(10)가 요청한 파일이 일반정보 파일이더라도 현재 활성화된 보호정보 파일이 있으면, 예를 들어, 캐쉬 메모리 상에 로딩되거나 변경된 보호정보 파일이 있을 때, 요청한 일반정보 파일을 보호정보 테이블(40)에 등록한다. 즉, 본 발명에 따른 보호정보 유출을 방지하는 장치는 사용자가 일반정보 파일을 사용하여 보호정보 파일을 자유롭게 편집할 수 있도록 사용자 편리성을 제공하며, 또한 보호정보를 접근하는 동안 활성화된 모든 일반정보 파일의 속성을 보호정보로 변경함으로써, 중요한 일반정보 파일이 외부로 유출되는 것을 원천 봉쇄할 수 있다.Here, even if the file requested by the user interface unit 10 is a general information file, the protection information leakage prevention unit 20 may have a protection information file loaded or changed on the cache memory. When requested, the requested general information file is registered in the protection information table 40. That is, the device for preventing the leakage of protected information according to the present invention provides a user convenience so that a user can freely edit the protected information file using the general information file, and also all general information activated while accessing the protected information. By changing the attributes of the file to protected information, it is possible to block the leakage of important general information files to the outside.

또한, 보호정보 유출방지부(20)는 일반모드로 동작하는 사용자가 보호정보를 접근할 동안 상술한 바와 같이 사용자 인터페이스부(10)를 관리모드(11)로 동작하는 사용자가 사전에 등록한 보호정보 테이블 상의 외부접근제어정책에 따라서 하나 이상의 외부통신 접속부(30)를 통해 외부로 향하는 모든 데이터(보호정보 및 일반정보)의 전송을 차단할 수 있다. In addition, the protection information leakage prevention unit 20 is the protection information registered in advance by the user operating the user interface unit 10 in the management mode 11 as described above, while the user operating in the normal mode to access the protection information. According to the external access control policy on the table, it is possible to block transmission of all data (protection information and general information) to the outside through the one or more external communication connection unit 30.

즉, 본 발명은 사용자 인터페이스부(10)의 사용자 인증을 통해 접속한 보호정보를 접근할 권한이 있는 사용자이더라도, 외부접근제어 정책이 허용하지 않는다면 외부로 데이터를 전송할 수 없다. 예를 들어, 보호정보 테이블(40) 상의 외부접근제어 정책이 프린터를 제외한 모든 외부 접속장치 차단이라면, 보호정보 유출방지부(20)는 보호정보가 프린터를 제외한 다른 외부 인터페이스로 전송되는 것을 금지한다.That is, the present invention cannot transmit data to the outside even if the user who has the authority to access the protection information accessed through user authentication of the user interface unit 10 does not allow the external access control policy. For example, if the external access control policy on the protection information table 40 is blocking all external access devices except the printer, the protection information leakage preventing unit 20 prohibits the protection information from being transmitted to other external interfaces except the printer. .

또한, 본 발명에 따른 보호정보 유출 방지부(20)는 사용자 인터페이스부(11)의 일반모드로 동작하는 사용자가 보호정보 파일 읽기를 요청으면, 파일 저장부(50)에서 그 파일을 읽은 후 복호화하여 사용자 인터페이스부(10)에게 제공하며, 만약, 인터페이스부(10)를 통한 일반모드(12)의 사용자가 보호정보 파일의 쓰기를 요청했으면 그 보호파일을 암호화한 후 파일 저장부(50)에 저장한다. 또한, 사용자 인터페이스부(10)의 일반모드(12)로 동작하는 사용자가 보호정보 파일 닫기를 요구 하거나 더 이상 활성화된 보호정보 파일이 없으면, 현재 시스템 캐쉬 메모리(미도시)에 저장된 모든 데이터를 삭제할 수 있다.In addition, the protection information leakage prevention unit 20 according to the present invention, when a user operating in the normal mode of the user interface unit 11 requests to read the protection information file, the file storage unit 50 reads the file and then decrypts it. If the user of the normal mode 12 through the interface unit 10 to write the protection information file, the protection file is encrypted and then stored in the file storage unit 50. Save it. In addition, if the user operating in the normal mode 12 of the user interface unit 10 requires the protection information file to be closed or there is no more protection information file activated, all data currently stored in the system cache memory (not shown) will be deleted. Can be.

즉, 본 발명에 따른 보호정보 유출을 방지하는 장치는 시스템 캐쉬 메모리에 캐쉬되어 있는 보호정보를 복사하여 외부로 전송하는 것을 원천 봉쇄한다.That is, the apparatus for preventing the leakage of protection information according to the present invention blocks the source of copying the protection information cached in the system cache memory and transmitting it to the outside.

또한, 본 발명에 따른 보호정보 유출방지부(20)는 일반모드(12)로 동작하는 사용자가 일반정보 파일을 접근할 때, 현재 활성화된 보호정보 파일이 존재하지 않는다면 사용자가 외부로 파일을 전송하는 것을 허용하게 된다.In addition, when the user operating in the normal mode 12 accesses the general information file, the protection information leakage prevention unit 20 according to the present invention transmits the file to the outside if the currently active protection information file does not exist. To allow them to do so.

또, 본 발명은 관리모드(12)로 접속한 사용자가 사용자 인터페이스부(10)를 통해 보호정보 파일을 명시적으로 등록하고 관리할 수 있다.In addition, according to the present invention, a user who accesses the management mode 12 may explicitly register and manage the protection information file through the user interface unit 10.

이때, 본 발명은 관리모드(12)로 접속한 사용자는 사용자 인터페이스부(10)를 통해 보호정보로 접근할 동안 실행될 외부접근제어 정책을 등록 및 변경할 수도 있다.In this case, the present invention may register and change an external access control policy to be executed while the user connected to the management mode 12 accesses the protection information through the user interface unit 10.

도 4는 본 발명에 따른 보호정보 테이블의 내부 데이터 구조의 사용 일례이다. 도 4 에 도시된 바와 같이, 본 발명에 따른 보호정보 테이블(40)은 보호정보 파일 식별자(42) 및 외부접속 제어정책(44)을 포함하여 구성될 수 있다.4 is an example of use of the internal data structure of the protection information table according to the present invention. As shown in FIG. 4, the protection information table 40 according to the present invention may include a protection information file identifier 42 and an external access control policy 44.

보호정보 파일 식별자(42)는 보호정보의 폴더 위치, 파일명, 파일용량, 변경일자 등을 포함할 수 있으며, 본 발명의 보호정보유출방지부(20)가 사용자의 사용자 인터페이스부(10)를 통해 사용되는 정보를 일반정보와 구분할 때 보호정보의 파일 식별자(42)를 이용하게 된다.The protection information file identifier 42 may include a folder location of the protection information, a file name, a file capacity, a change date, and the like. The protection information leakage prevention unit 20 of the present invention may be provided through a user interface unit 10 of the user. When distinguishing the information used from the general information, the file identifier 42 of the protection information is used.

외부접속 제어정책(44)은 상술한 바와 같이 인터페이스부(10)의 사용자 인증 종류 즉, 관리모드(11), 일반모드(12)에 따라 사용자 인터페이스부(10)가 하나 이상의 외부통신접속부(30)를 이용(접속)할 수 있는 범위를 정할 수 있다. 예를 들어, 사용자 인터페이스부(10)가 일반모드(12)일 때, A 등급은 프린터만 사용, B 등급은 USB만 사용, C등급은 LAN만 사용하도록 한정할 수 있고, 사용자 인터페이스부(10)가 관리모드(11)일 때, D등급은 모든 인터페이스 사용 가능하게 설정할 수 있는 것이다.As described above, the external access control policy 44 may include one or more external communication connection units 30 in which the user interface unit 10 is configured according to the user authentication type of the interface unit 10, that is, the management mode 11 and the general mode 12. You can determine the range that you can use (connect). For example, when the user interface unit 10 is in the normal mode 12, A class can be limited to use only the printer, B class is USB only, C class can be limited to use only the LAN, the user interface unit 10 When is in the management mode (11), class D can be set to enable all interfaces.

이처럼, 본 발명은 보호정보 테이블의 보호정보파일 식별자 및 외부접속 제어정책을 통해 보호정보가 유출될 수 있는 외부통신접속부(30)를 부분적으로 제한함으로써 오류 또는 과부하를 방지할 수 있게 된다.As such, the present invention can prevent errors or overload by partially limiting the external communication connection unit 30 through which the protection information can be leaked through the protection information file identifier of the protection information table and the external access control policy.

이하, 도면을 참조하여 본 발명에 따른 보호정보 유출을 방지하는 방법을 설명한다. 설명에 있어서 도 1 내지 도 4와 동일한 참조 부호는 동일한 기능을 수행하는 것을 지칭한다.Hereinafter, a method of preventing leakage of protection information according to the present invention will be described with reference to the drawings. In the description, the same reference numerals as in FIGS. 1 to 4 refer to performing the same function.

도 5는 본 발명에 따른 보호정보 유출을 방지하는 방법을 도시한 순서도이다.도 5를 참조하면, 본 발명에 따른 보호정보 유출을 방지하는 방법은 사용자 인터페이스부(10)의 사용자 인증 모드에 따라 동작을 달리 할 수 있다. 즉, 사용자가 사용자 인터페이스부(10) 접속에 사용하는 ID 및 패스워드의 종류에 따라 사용자 인증 중에서 상술한 바와 같이 관리모드(11) 또는 일반모드(12)로 동작할 수 있다. 5 is a flowchart illustrating a method of preventing the leakage of protected information according to the present invention. Referring to FIG. 5, a method of preventing the leakage of protected information according to the present invention is based on a user authentication mode of the user interface unit 10. You can do it differently. That is, the user may operate in the management mode 11 or the normal mode 12 as described above among the user authentications according to the type of ID and password that the user uses to access the user interface unit 10.

우선, 사용자 인터페이스부(10)가 일반모드일 때를 기준으로 설명하도록 한 다. 즉, 사용자가 일반모드로 사용자 인증을 거쳐 접속할 때의 보호정보의 유출을 방지하는 방법을 기본으로 설명한다.First, the description will be made based on when the user interface 10 is in the normal mode. That is, a method of preventing leakage of protection information when a user connects through a user authentication in a normal mode will be described.

먼저, 사용자가 사용자 인터페이스부(10)의 사용자 인증을 통해 일반모드로 접속하여 보호정보 유출방지부(20)가 일반모드로 동작하는 사용자로부터 파일 접근 요청을 수신한다(S10).First, the user accesses in the normal mode through user authentication of the user interface unit 10 so that the protection information leakage prevention unit 20 receives a file access request from the user operating in the normal mode (S10).

이어, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)가 요청한 해당 정보 파일이 보호정보 파일인지를 판단한다(S20). Subsequently, the protection information leakage prevention unit 20 determines whether the corresponding information file requested by the user interface unit 10 is a protection information file (S20).

여기서, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)가 요청한 해당 정보 파일이 보호정보 파일인지를 판단하기 위하여 기설정된 보호정보 테이블(40)을 검색하여 판단할 수 있다.Here, the protection information leakage prevention unit 20 may search and determine the preset protection information table 40 to determine whether the corresponding information file requested by the user interface unit 10 is a protection information file.

만약, 단계 S20에서, 보호정보 유출방지부(20)는 요청된 정보 파일이 보호정보 파일이면, 사용자 인터페이스부(10)에 의해 사용되거나 현재 활성화된 모든 일반정보 파일을 보호정보 파일로 구분하는 식별자를 지정하여 보호정보 테이블(40)에 등록한다(S21).If, in step S20, the protection information leakage prevention unit 20 is a requested information file is a protection information file, an identifier for dividing all general information files used or currently activated by the user interface unit 10 into protection information files. Designate and register in the protection information table 40 (S21).

이어, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)가 일반모드로 보호정보를 접근할 동안 상술한 바와 같이 사용자 인터페이스부(10)를 관리모드(11)로 동작하는 사용자가 사전에 등록한 보호정보 테이블 상의 외부접근제어정책에 따라서 하나 이상의 외부통신 접속부(30)를 통해 외부로 향하는 모든 데이터(보호정보 및 일반정보)의 전송을 차단할 수 있다(S30). 예를 들어, 보호정보 테이블(40) 상의 외부접근제어 정책이 프린터를 제외한 모든 외부 접속장치 차단이라면, 보호 정보 유출방지부(20)는 보호정보가 프린터를 제외한 다른 외부 인터페이스로 전송되는 것을 금지한다.Subsequently, the protection information leakage prevention unit 20 may allow the user who operates the user interface unit 10 to the management mode 11 in advance as described above while the user interface unit 10 accesses the protection information to the general mode. According to the external access control policy on the registered protection information table, it is possible to block transmission of all data (protection information and general information) to the outside through at least one external communication connection unit 30 (S30). For example, if the external access control policy on the protection information table 40 is blocking all external access devices except the printer, the protection information leakage preventing unit 20 prohibits the transmission of the protection information to other external interfaces except the printer. .

이어, 보호정보 유출 방지부(20)는 사용자 인터페이스부(11)로부터 요청된 보호정보 파일의 사용요구를 판단해서(S40) 그에 따라 해당 보호파일을 제공하게 된다(S50). Subsequently, the protection information leakage prevention unit 20 determines the use request of the protection information file requested from the user interface unit 11 (S40), and provides the protection file accordingly (S50).

한편, 단계 S40에서 사용자 인터페이스부(11)가 보호정보 파일의 읽기를 요청하면, 보호정보 유출방지부(20)는 파일 저장부(50)에서 그 파일을 읽은 후 복호화한 후 사용자 인터페이스부(10)를 통해 사용자에게 제공할 수 있다(S41). 또, 단계 S40에서 사용자가 보호정보 파일의 쓰기를 요청했으면 보호정보 유출방지부(20)는 그 보호파일을 암호화한 후 파일 저장부(50)에 저장할 수 있다(S42). 또한, 사용자 인터페이스부(11)의 일반모드(12)로 동작하는 사용자가 보호정보 파일 닫기를 요구하거나 더 이상 활성화된 보호정보 파일이 없으면, 현재 시스템 캐쉬 메모리(미도시)에 저장된 모든 데이터를 삭제할 수 있다. On the other hand, when the user interface unit 11 requests to read the protection information file in step S40, the protection information leakage prevention unit 20 reads the file from the file storage unit 50 and decrypts the user interface unit 10 It can be provided to the user through the (S41). In addition, if the user requests the write of the protection information file in step S40, the protection information leakage prevention unit 20 may encrypt the protection file and store it in the file storage unit 50 (S42). In addition, if a user operating in the normal mode 12 of the user interface 11 requests the closing of the protection information file or there is no more protection information file activated, all data currently stored in the system cache memory (not shown) is deleted. Can be.

즉, 본 발명에 따른 보호정보 유출을 방지하는 방법은 시스템 캐쉬 메모리에 캐쉬되어 있는 보호정보를 복사하여 외부로 전송하는 것을 원천 봉쇄한다.That is, the method for preventing the leakage of protection information according to the present invention prevents copying of protection information cached in the system cache memory and transmits it to the outside.

또한, 단계 S20에서, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)를 통한 사용자가 요청한 정보 파일이 일반정보 파일이더라도 사용자 인터페이스부(10)에 의해 사용되거나 현재 활성화된 보호정보 파일이 있는지를 판단해서(S23), 사용자 인터페이스부(10)에 의해 사용되거나 현재 활성화된 보호정보 파일이 감지되면, 보호정보 유출방지부(20)는 요청한 일반정보 파일을 보호정보 파일 로 구분하는 식별자를 지정하여 보호정보 테이블(40)에 등록할 수 있다(S22). In addition, in step S20, the protection information leakage prevention unit 20, even if the information file requested by the user through the user interface unit 10 is a general information file, the protection information file used or currently activated by the user interface unit 10 In operation S23, when the protection information file used or currently activated by the user interface unit 10 is detected, the protection information leakage prevention unit 20 identifies an identifier that divides the requested general information file into a protection information file. It can be designated and registered in the protection information table 40 (S22).

만약, 단계 S23에서 보호정보 유출방지부(20)는 사용자 인터페이스부(10)가 일반정보 파일을 접근할 때, 사용자 인터페이스부(10)에 의해 사용되거나 현재 활성화된 보호정보 파일이 감지되지 않으면, 사용자 인터페이스부(10)가 외부 통신 접속부(30)를 통해 정보 파일을 전송하는 것을 허용하게 된다(S44).If, at step S23, the protection information leakage prevention unit 20 accesses the general information file by the user interface unit 10, if the protection information file used or currently activated by the user interface unit 10 is not detected, The user interface unit 10 allows the information file to be transmitted through the external communication connection unit 30 (S44).

또한, 사용자 인터페이스부(10)가 관리모드로 접속하는 경우, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)의 관리모드(12)로 접속한 사용자가 보호정보 테이블 상의 보호정보 식별자를 명시적으로 등록하고 관리할 수 있도록 제공 할 수 있다.In addition, when the user interface 10 is connected in the management mode, the protection information leakage prevention unit 20 is connected to the management mode 12 of the user interface unit 10 by the user connected to the protection information identifier on the protection information table It can be provided so that it can be registered and managed explicitly.

또, 사용자 인터페이스부(10)가 관리모드로 접속하는 경우, 보호정보 유출방지부(20)는 사용자 인터페이스부(10)의 관리모드(12)로 접속한 사용자가 보호정보 테이블 상의 보호정보 접근 동안 실행될 외부접근제어 정책을 사용자가 등록할 수도 있도록 제공 할 수 있다.In addition, when the user interface unit 10 is connected in the management mode, the protection information leakage prevention unit 20 is connected to the management mode 12 of the user interface unit 10 while the user accesses the protection information on the protection information table. You can also provide the user with an external access control policy to be executed.

상술한 바와 같이, 본 발명에 따른 보호정보 유출을 방지하는 방법은, 사용자가 사용자 인증을 통해 접속한 보호정보를 접근할 권한이 있는 사용자이더라도, 보호정보를 사용하거나 변경할 경우에는 사용한 모든 정보를 보호정보로 지정함으로써 외부접근제어 정책이 허용하지 않는다면 외부로 데이터를 전송할 수 없기 때문에 개인용 컴퓨터 내의 보호정보를 효과적으로 보호할 수 있다.As described above, the method for preventing the leakage of protected information according to the present invention protects all the information used when using or changing the protected information, even if the user is authorized to access the protected information through user authentication. By specifying the information, data cannot be transmitted to the outside unless the external access control policy permits, thereby effectively protecting the protected information in the personal computer.

또한, 본 발명에 따른 보호정보 유출을 방지하는 방법은 사용자가 일반정보 파일을 사용하여 보호정보 파일을 자유롭게 편집할 수 있도록 사용자 편리성을 제공하며, 또한 보호정보를 접근하는 동안 활성화된 모든 일반정보 파일의 속성을 보호정보로 변경함으로써, 중요한 일반정보 파일이 외부로 유출되는 것을 원천 봉쇄할 수 있다.In addition, the method for preventing the leakage of protected information according to the present invention provides a user convenience so that a user can freely edit the protected information file using a general information file, and also all general information activated while accessing the protected information. By changing the attributes of the file to protected information, it is possible to block the leakage of important general information files to the outside.

이상에서 살펴본 바와 같은 실시예에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술사상을 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.While the technical idea of the embodiment as described above has been described with the accompanying drawings, it is intended to illustrate the best embodiment of the present invention by way of example and not to limit the invention. In addition, it will be apparent to those skilled in the art that various modifications and variations can be made without departing from the spirit of the present invention.

도 1은 본 발명에 따른 보호정보의 외부유출 경로를 도시한 예시도.1 is an exemplary diagram showing an external leakage path of protection information according to the present invention.

도 2는 본 발명에 따른 보호정보의 외부유출 방지를 위한 장치의 구성을 도시한 블록도.2 is a block diagram showing the configuration of a device for preventing the leakage of external protection information according to the present invention.

도 3은 본 발명에 따른 보호정보의 외부유출을 방지하는 장치의 동작흐름을 도시한 흐름도.3 is a flow chart showing the operation of the device for preventing the leakage of protection information according to the present invention.

도 4는 본 발명에 따른 보호정보 테이블의 내부 데이터 구조의 사용 일례.4 is an example of use of an internal data structure of a protection information table according to the present invention;

도 5는 본 발명에 따른 보호정보 유출을 방지하는 방법을 도시한 순서도.5 is a flowchart illustrating a method of preventing the leakage of protected information according to the present invention.

<도면의 주요 부분에 대한 설명>Description of the main parts of the drawing

10 : 사용자 인터페이스부 20 : 보호정보 유출방지부10: user interface unit 20: protection information leakage prevention unit

30 : 외부통신 접속부 40 : 보호정보 테이블30: external communication connection 40: protection information table

50 : 파일 저장부50: file storage unit

Claims (19)

보호정보의 외부 유출을 방지하는 장치에 있어서, In the device for preventing the leakage of protection information, 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 제공하는 사용자 인터페이스부;A user interface unit providing access to the stored information including the protection information by user authentication; 상기 사용자 인터페이스부를 통한 저장된 정보의 외부 통신을 제공하는 적어도 하나의 외부통신 접속부; 및At least one external communication connection unit for providing external communication of the stored information through the user interface unit; And 상기 사용자 인터페이스부를 통한 사용자 인증 모드에 따라 저장된 정보의 사용을 허용하되, 상기 사용자 인터페이스부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 상기 적어도 하나의 외부통신접속부로의 접근을 차단하도록 제어하는 보호정보 유출방지부;를 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 장치.Allows use of the stored information according to a user authentication mode through the user interface unit, and controls to block access to the at least one external communication connection unit when detecting at least one protected information from the stored information used by the user interface unit. Information leakage prevention unit; Apparatus for preventing the leakage of external protection information, characterized in that it comprises a. 제 1 항에 있어서,The method of claim 1, 상기 보호정보를 구분하는 식별자를 포함하는 보호정보 테이블;을 더 포함하고,And a protection information table including an identifier for identifying the protection information. 상기 보호정보 유출방지부는 상기 보호정보테이블을 이용하여 사용되는 보호정보를 감지하되, 상기 사용자 인터페이스부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 사용이 활성화된 모든 일반정보를 보호정보 테이블 내에 보호정보로 구분하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 장 치.The protection information leakage prevention unit detects protection information used by using the protection information table, and protects all general information activated in use when detecting at least one protection information among stored information used by the user interface unit in the protection information table. A device that prevents external leakage of protected information, characterized by dividing it into information. 제 1 항에 있어서,The method of claim 1, 상기 사용자 인증 모드에 따라 외부통신 접속부로의 접근 허용 여부를 포함하는 외부 접속제어 정책을 포함하는 보호정보 테이블;을 더 포함하고,And a protection information table including an external access control policy including whether to allow access to an external communication access unit according to the user authentication mode. 상기 사용자 인터페이스부를 통한 보호정보 사용시 적어도 하나의 외부통신 접속부의 각각으로의 접근을 상기 외부 접속제어 정책에 따라 제어하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 장치.And controlling access to at least one external communication connection unit according to the external access control policy when using the protection information through the user interface unit. 제 2 항에 있어서,The method of claim 2, 상기 보호정보 테이블은,The protection information table, 상기 식별자에 보호정보 파일 이름 및 보호정보가 저장된 디렉토리 이름 중에서 하나 이상을 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 장치.And at least one of a protection information file name and a directory name in which the protection information is stored in the identifier. 제 1 항 내지 제 3 항 중 어느 한항에 있어서,The method according to any one of claims 1 to 3, 상기 보호정보 유출방지부는,The protection information leakage prevention unit, 상기 보호정보의 암호화/복호화를 제공하는 암복호화부;를 더 포함하고,And an encryption and decryption unit that provides encryption / decryption of the protection information. 상기 사용자 인터페이스부로부터 보호정보의 요청시 상기 암복호화부를 통해 암호화 및 복호화 하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 장치.And encrypting and decrypting the protection information through the encryption / decryption unit when the protection information is requested from the user interface unit. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 사용자 인터페이스부는,The user interface unit, 상기 사용자 인증에 상기 보호정보 테이블을 조작할 수 있는 관리모드 및 저장된 정보의 사용을 허용하는 일반모드 중에서 어느 하나를 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 장치.And a management mode for manipulating the protection information table for the user authentication and a general mode for allowing use of the stored information. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 사용자 인터페이스부를 통한 저장된 정보 사용시 활성화된 모든 정보를 임시 저장하여 제공하는 캐쉬 메모리;를 더 포함하고, And a cache memory configured to temporarily store and provide all information activated when the stored information is used through the user interface unit. 상기 보호정보 유출방지부는 상기 사용자 인터페이스부를 통한 보호정보 사용이 모두 종료되면, 상기 캐쉬 메모리 상의 모든 정보를 삭제하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 장치.The protection information leakage prevention unit, when all the use of the protection information through the user interface unit, to prevent the external leakage of the protection information, characterized in that for deleting all the information on the cache memory. 보호정보의 외부 유출을 방지하는 방법에 있어서, In the method of preventing the leakage of external protection information, 사용자 인터페이스부로부터 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 요청받는 제 1 단계; 및A first step of requesting access to the stored information including the protection information by user authentication from a user interface unit; And 상기 사용자 인터페이스부를 통해 접근 요청된 정보의 보호정보 유무를 판단해서 상기 사용자 인증에 따라 저장된 정보의 사용을 허용하되, 상기 인터페이스 부가 사용하는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 외부 통신을 제 공하는 외부통신 접속부로의 접근을 차단하도록 제어하는 제 2 단계;를 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 방법.Determining the presence or absence of protection information of the information requested to access through the user interface unit allows the use of the stored information according to the user authentication, and provides external communication when detecting at least one protection information from the stored information used by the interface unit And a second step of controlling to block access to an external communication connection unit. 제 8 항에 있어서,The method of claim 8, 상기 제 2 단계는,The second step, 상기 제 1 단계의 사용자 인증에 따라 보호정보를 구분하는 식별자를 포함하는 보호정보테이블을 통해 사용되는 보호정보를 감지하되, 상기 사용자 인터페이스 부를 통해 사용되는 저장된 정보 중에서 적어도 하나의 보호정보 감지시 사용이 활성화된 모든 일반정보를 보호정보 테이블 내에 보호정보로 구분하는 제 2-1 단계;를 더 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 방법.Detects protection information used through a protection information table including an identifier for distinguishing protection information according to the user authentication of the first step, and is used when detecting at least one protection information among stored information used through the user interface unit. And a step 2-1 of dividing all activated general information into protected information in the protected information table. 제 8 항에 있어서,The method of claim 8, 상기 제 2 단계는,The second step, 상기 사용자 인터페이스부를 통한 보호정보 사용시 사용자 인증에 따라 상기 적어도 하나의 외부통신 접속부로의 접근 허용 여부를 포함하는 외부 접속제어 정책을 포함하는 보호정보테이블을 이용하여 적어도 하나의 외부통신 접속부의 각각으로의 접근을 제어하는 제 2-2 단계;를 더 포함하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 방법.When using the protection information through the user interface unit to each of the at least one external communication connection using a protection information table including an external access control policy including whether to allow access to the at least one external communication connection in accordance with user authentication Step 2-2 of controlling access; The method of preventing the external leakage of protected information further comprising. 제 8 항에 있어서,The method of claim 8, 상기 제 2 단계는,The second step, 상기 사용자 인터페이스부의 사용자 인증에 의한 사용자의 요청에 따라 보호정보의 사용을 제공하는 제 2-3 단계;를 더 포함하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 방법.And providing the use of the protected information in response to a user's request by the user authentication of the user interface unit. 제 8 항에 있어서,The method of claim 8, 상기 제 2 단계는,The second step, 상기 사용자 인터페이스부를 통해 사용되는 저장된 정보 중에서 적어도 하나의 보호정보가 감지되지 않을 때, 외부통신 접속부를 통한 외부 통신을 허용하는 단계;를 더 포함하는 것을 특징으로하는 보호정보의 외부 유출을 방지하는 방법.Allowing external communication through an external communication connection unit when at least one protection information is not detected from the stored information used through the user interface unit. . 제 11 항에 있어서,The method of claim 11, 상기 제 2-3 단계는,The second step is, 사용자가 보호정보 파일의 읽기를 요청하면 저장된 해당 파일을 복호화한 후에 제공하는 파일 복호화 단계; 및 A file decryption step of providing a decrypted corresponding file when the user requests reading of the protection information file; And 상기 사용자가 보호정보 파일의 쓰기를 요청하면 해당 파일을 암호화한 후에 저장하는 파일 암호화 단계;를 더 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 방법.And a file encryption step of encrypting and storing the corresponding file when the user requests writing of the protection information file. 제 11 항에 있어서,The method of claim 11, 상기 제 2-3 단계는,The second step is, 사용자 인터페이스부를 통해 사용된 보호정보 파일이 모두 닫이면, 캐쉬 메모리에 저장된 모든 데이터를 삭제하는 단계;를 더 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 방법.And deleting all data stored in the cache memory when all of the protection information files used through the user interface unit are closed. 제 8 항 내지 제 11 항 중 어느 한 항에 있어서,The method according to any one of claims 8 to 11, 상기 사용자 인증은,The user authentication is, 보호정보 테이블을 조작할 수 있는 관리모드 및 저장된 정보의 사용을 허용하는 일반모드 중에서 어느 하나를 포함하는 것을 특징으로 하는 보호정보의 외부 유출을 방지하는 방법.And a management mode capable of manipulating the protection information table, and a general mode allowing use of the stored information. 개인용 컴퓨터에서 보호정보의 외부 유출을 방지하는 방법에 있어서,In a method for preventing the leakage of protected information in a personal computer, 사용자 인터페이스부의 사용자 인증에 의한 상기 보호정보를 포함하는 저장된 정보로의 접근을 요청받는 제 1 단계; 및A first step of requesting access to the stored information including the protection information by user authentication of a user interface unit; And 사용자가 사용자 인터페이스부를 통해 보호정보 파일을 접근하고 있는 동안, 활성화된 또는 활성화하려는 모든 일반정보 파일의 속성을 보호정보 파일로 변경함으로써, 보호정보 파일의 편집에 사용될 가능성이 있는 모든 일반정보 파일의 보안 수준을 보호정보 파일의 보안수준과 동일하게 제공해 주는 제 2 단계;를 포함하는 것을 특징으로 하는 개인용 컴퓨터에서 보호정보의 유출을 방지하는 방법.While the user is accessing the protection file via the user interface, the security of all general information files that are likely to be used for editing the protection information file by changing the attributes of all active information files to be activated or activated. And a second step of providing a level equal to the security level of the protection information file. 제 16 항에 있어서,The method of claim 16, 상기 제 2 단계는,The second step, 사용자가 사용자 인터페이스부를 통해 보호정보 파일을 접근하고 있는 동안, 활성화된 또는 활성화하려는 모든 일반정보 파일의 속성을 보호정보 파일로 변경하는 단계; 및While the user is accessing the protection information file through the user interface unit, changing the attributes of all general information files that are activated or to be activated to the protection information file; And 상기 제 1 단계의 사용자 인증을 근거로 외부접근제어 정책에 따라 외부로의 데이터 송신을 제어하는 단계;를 포함하는 것을 특징으로 하는 개인용 컴퓨터에서 보호정보의 외부 유출을 방지하는 방법.And controlling data transmission to the outside in accordance with an external access control policy based on the user authentication of the first step. 제 16 항에 있어서,The method of claim 16, 상기 사용자 인증은 상기 저장된 정보의 보안 수준을 변경할 수 있는 관리모드 및 상기 저장된 정보의 사용을 위한 일반모드를 포함하는 것을 특징으로 하는 개인용 컴퓨터에서 보호정보의 유출을 방지하는 방법.The user authentication includes a management mode for changing the security level of the stored information and a general mode for use of the stored information. 제 16 항에 있어서,The method of claim 16, 상기 보호정보는 암호화되어 저장되는 것을 특징으로 하는 개인용 컴퓨터에서 보호정보의 유출을 방지하는 방법.The protection information is encrypted and stored in a personal computer, characterized in that for preventing the leakage of protection information.
KR1020070133405A 2007-12-18 2007-12-18 Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer KR100981301B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070133405A KR100981301B1 (en) 2007-12-18 2007-12-18 Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070133405A KR100981301B1 (en) 2007-12-18 2007-12-18 Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer

Publications (2)

Publication Number Publication Date
KR20090065876A true KR20090065876A (en) 2009-06-23
KR100981301B1 KR100981301B1 (en) 2010-09-10

Family

ID=40994073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070133405A KR100981301B1 (en) 2007-12-18 2007-12-18 Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer

Country Status (1)

Country Link
KR (1) KR100981301B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110827003A (en) * 2019-11-11 2020-02-21 北京网聘咨询有限公司 Virtualization technology-based server and recruitment client integration method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010044823A (en) * 2001-03-29 2001-06-05 이종우 Method and System for Protecting Data Requiring User's Authentication at Computer
KR20040009394A (en) * 2002-07-23 2004-01-31 신동현 Information secure system with PKI technology
KR100708453B1 (en) * 2004-12-14 2007-04-18 (주)온소프텔 security service method of data

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110827003A (en) * 2019-11-11 2020-02-21 北京网聘咨询有限公司 Virtualization technology-based server and recruitment client integration method
CN110827003B (en) * 2019-11-11 2022-03-29 北京网聘咨询有限公司 Virtualization technology-based server and recruitment client integration method

Also Published As

Publication number Publication date
KR100981301B1 (en) 2010-09-10

Similar Documents

Publication Publication Date Title
US11057355B2 (en) Protecting documents using policies and encryption
US11528142B2 (en) Methods, systems and computer program products for data protection by policing processes accessing encrypted data
US6889210B1 (en) Method and system for managing security tiers
US10268827B2 (en) Method and system for securing data
JP5270694B2 (en) Client computer, server computer thereof, method and computer program for protecting confidential file
USRE41546E1 (en) Method and system for managing security tiers
US20030221115A1 (en) Data protection system
WO2007008807A2 (en) Secure local storage of files
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
CN104102595A (en) High security removable storage device
KR100440037B1 (en) Document security system
JP5601840B2 (en) Information leak prevention device to network
JP4471129B2 (en) Document management system, document management method, document management server, work terminal, and program
KR100981301B1 (en) Method and Apparatus Useful for Preventing Sensitive Information from Flowing Out in Personal Computer
JP2005165900A (en) Information leak prevention system
KR100547556B1 (en) Secure kernel system supporting encrypted file system
TWI745784B (en) Disc security system
JP4801777B2 (en) Authentication processing system, authentication processing method, and program
EP2881887B1 (en) System and method of applying access rules to files transmitted between computers
KR20040009394A (en) Information secure system with PKI technology
Weippl Security and trust in mobile multimedia
KR20140093401A (en) Security Method for Computer Network
JP2008234135A (en) Management device for electronic file, management method for electronic file and management program for electronic file

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130829

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140827

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150827

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160826

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170828

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190820

Year of fee payment: 10