KR20100072987A - Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템 - Google Patents

Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템 Download PDF

Info

Publication number
KR20100072987A
KR20100072987A KR1020080131560A KR20080131560A KR20100072987A KR 20100072987 A KR20100072987 A KR 20100072987A KR 1020080131560 A KR1020080131560 A KR 1020080131560A KR 20080131560 A KR20080131560 A KR 20080131560A KR 20100072987 A KR20100072987 A KR 20100072987A
Authority
KR
South Korea
Prior art keywords
data
usb
usb memory
memory
usb host
Prior art date
Application number
KR1020080131560A
Other languages
English (en)
Other versions
KR101122697B1 (ko
Inventor
강동호
백광호
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080131560A priority Critical patent/KR101122697B1/ko
Publication of KR20100072987A publication Critical patent/KR20100072987A/ko
Application granted granted Critical
Publication of KR101122697B1 publication Critical patent/KR101122697B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/122File system administration, e.g. details of archiving or snapshots using management policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것으로, USB 호스트를 지원하는 시스템 또는 단말내에 저장된 기밀 또는 개인 중요 정보가 USB 메모리에 불법적으로 유출되는 것을 방지하기 위하여 유출 방지 데이터에 대한 특징적 키워드를 기반으로 USB 메모리에 저장되는 데이터를 분석하여 차단하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것이다. 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및 USB 호스트가, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계; 를 포함하는 것을 특징으로 한다.
USB 보안, 데이터유출방지

Description

USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템{Method and system to prevent Data leakage using Content Inspection based USB Memory Device}
본 발명은 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것으로, USB 호스트를 지원하는 시스템 또는 단말내에 저장된 기밀 또는 개인 중요 정보가 USB 메모리에 불법적으로 유출되는 것을 방지하기 위하여 유출 방지 데이터에 대한 특징적 키워드를 기반으로 USB 메모리에 저장되는 데이터를 분석하여 차단하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-023-02, 과제명: 복합단말용 침해방지 기술개발].
일반적으로, 기업의 정보 또는 개인 정보의 무분별한 유출은 사회적으로 문제가 되고 있다. 이러한 중요 정보를 담은 문서 또는 데이터 등을 통한 정보 유출은 파급효과가 크기 때문에 막대한 경제적인 손실을 발생시키게 된다.
최근, 이러한 기업의 기밀 정보 유출과 개인 정보 유출 피해가 급증함에 따라 중요 정보를 포함하는 데이터 유출 방지를 위한 다양한 기술들이 소개되고 있다. 이 데이터 유출 방지 기술의 한 분야인 USB 저장 장치에 대한 임의 복제 방지 기술도 등장하고 있다.
종래의 USB 메모리는 USB(Universal Serial Bus) 인터페이스를 구비한 플래시 메모리로 구성된다. 이러한 구성으로 인해 USB 메모리는 저장용량이 크면서도 휴대가 간편할 뿐만 아니라 컴퓨터 또는 휴대 단말 등과 연결이 용이한 장점을 갖고 있기 때문에 여러 분야에 사용되고 있다. 그러나, USB 메모리는 보안 기능이 매우 취약한 편이기 때문에 상술한 데이터 유출 방지 기술을 접목시키는 노력이 이루어 짖고 있다.
그러나, 종래의 USB 메모리에 대한 데이터 유출 방지 기술은 데이터 자체를 암호화하는 기술이나 ID 인증 방식 등의 접근제어 기술 등이 주류를 이루고 있다. 그래서, 해커에 의한 물리적 해킹, 메모리의 덤프나 복사 등의 수단을 통해 USB 플래시 메모리에 저장된 데이터를 액세스하는 것이 가능하다. 그리고 접근이 허가된 내부 사용자의 불법적 정보 유출을 방지하는 데에는 한계가 있다.
또, 종래의 USB 저장 장치에 대한 정보 유출 기술은 대부분 정보 시스템 또는 단말 내부에서 정보 유출 방지 기능이 운용되기 때문에 정보 시스템 자체의 성능 저하를 유발시키고 있다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 USB 메모리로 복제되는 데이터에 대하여 USB 메모리 내부에서 내용기반 분석을 실시하여 기밀 또는 개인 중요 정보 존재여부를 판단하여 복사를 제한하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템을 제공하는 데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및 USB 호스트가, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계; 를 포함하는 것을 특징으로 한다.
또, 보안 키워드 데이터는, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것이 바람직하다.
또한, 내부 데이터로의 접근허용 여부를 판단하는 단계는, USB 호스트가, 물리적으로 접속된 USB 메모리로부터 USB 식별정보를 전송받아서 접속 요청을 받는 단계; 및 USB 호스트가, USB 식별정보를 근거로 USB 메모리를 인증할 수 있을 경우 해당 USB 메모리의 접근을 허용하는 단계; 를 포함하는 것이 바람직하다.
한편, 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 메모리가, 접속한 USB 호스트로 USB 식별정보를 전송하여 USB 호스트의 내부 데이터로의 접근을 요청하는 단계; USB 메모리가, 접속한 USB 호스트로부터 내부 데이터로의 접근이 허용될 경우, 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송받아 저장하는 단계; USB 메모리가, USB 호스트로부터 데이터 수신시 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하는 단계; 및 USB 메모리가, 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터의 저장을 차단하고, 판단 결과에 따라 수신된 데이터가 중요 정보가 아닐 경우에는 해당 데이터를 저장하도록 하는 단계; 를 포함하는 것을 특징으로 한다.
또, 보안 키워드 데이터는, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것이 바람직하다.
또한, 내용 분석을 통해 중요 정보 여부를 판단하는 단계는, USB 메모리가, USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하는 단계; 및 USB 메모리가, 비교 결과에 따라 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 단계; 를 포함하는 것이 바람직하다.
본 발명의 실시예에 따른 USB 호스트는 접속된 USB 메모리로부터의 USB 식별정보를 근거로 내부 데이터로의 접근허용 여부를 판단하고, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 보안 관리 수단; 및 접속된 USB 메모리와 데이터를 주고받기 위한 물리적 인터페이스를 제공하는 USB 호스트 콘트롤러; 를 포함하는 것을 특징으로 한다.
또, 본 발명의 실시에에 따른 USB 메모리는 USB 호스트와 데이터를 주고받기 위한 물리적 인터페이스를 제공하고, 접속한 USB 호스트로 USB 식별정보를 전송하여 내부 데이터로의 접근을 요청하는 USB 메모리 콘트롤러; USB 메모리 콘트롤러를 통해 처리되는 데이터를 저장하는 메모리; 및 USB 호스트로부터 내부 데이터로의 접근이 허용될 경우, USB 메모리 콘트롤러를 통해 수신된 데이터를 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하고, 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터를 메모리로의 저장을 차단하는 것을 특징으로 하는보안 처리 수단; 을 포함하는 것을 특징으로 한다.
또, 보안 처리 수단의 보안 키워드 데이터는, USB 호스트로부터 내부 데이터로의 접근이 허용될 경우 수신되되, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성된 것이 바람직하다.
또한, 보안 처리 수단은, USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하여 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 것이 바람직하다.
본 발명에 따르면, USB 메모리에 저장될 데이터에 대한 내용 분석을 통해 저장을 제한함으로써 중요 데이터의 유출 시도를 원천적으로 차단할 수 있는 효과가 있는 것이다.
또, 본 발명은 USB 메모리 내부에서 정보 보안을 하드웨어적으로 적용함으로 써 정보 시스템의 성능저하를 방지할 수 있는 탁월한 효과가 있는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 일실시예를 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 정보 유출 방지 방법이 적용되는 전체 시스템의 구성을 도시한 예시도이고, 도 2는 도 1에 도시된 USB 호스트의 내부 구성을 도시한 블록도이고, 도 3은 도 1에 도시된 USB 메모리의 내부 구성을 도시한 블록도이고, 도 4는 도 3에 도시된 보안 처리 수단의 내부 구성을 도시한 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 시스템은 USB 호스트(10)와 USB 메모리(100)를 포함하여 구성된다.
USB 호스트(10)는 USB(Universal Serial Bus)로 정의된 인터페이스를 지원하는 컴퓨터 또는 단말로서 내부에 데이터를 저장하는 데이터베이스(미도시)를 포함하게 된다. USB 메모리(100)는 USB(Universal Serial Bus)로 정의된 인터페이스를 지원하는 휴대 저장수단으로서 내부에 데이터를 저장하는 메모리 소자(예컨대, FLASH MEMORY 등)를 포함하게 된다.
여기서, USB 호스트(10)와 USB 메모리(100)는 USB로 정의된 인터페이스를 매개로 물리적으로 접속하게 되면, USB 호스트(10)는 USB 메모리(100)로부터의 하드 웨어적 정보를 근거로 연결설정 여부를 판단하게 된다. USB 메모리(100)는 중요정보 판단 절차, 즉 내용분석을 위한 보안 키워드 데이터를 전달받고 USB 호스트(10)로부터의 연결설정을 허가받게 된다. 그에 따라 USB 메모리(100)는 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스가 가능하게 된다. 이때, USB 메모리(100)는 USB 호스트(10)로부터 수신되는 데이터를 내부에서 내용분석을 기반으로 중요도 여부를 판단하여 중요한 데이터의 경우 저장을 제한하게 된다. 이러한 방식으로 USB 호스트(10)와 USB 메모리(100) 간에 데이터 교환(50a, 50b)하게 된다. 즉, 연결설정이 완료되면 USB 호스트(10)와 USB 메모리(100) 간의 규약에 의해 상호간에 패킷을 주고 받게 되는 것이다.
도 2에 도시된 바와 같이, 본 발명에 따른 USB 호스트(10)는 보안 관리 수단(20), USB 호스트 콘트롤러(30)를 포함하여 구성된다.
보안 관리 수단(20)은 USB 메모리(100)의 접근 여부를 관리한다. 보안 관리 수단(20)은 USB 메모리(100)가 물리적으로 연결되면 USB 메모리(100)로부터 USB식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 입력받는다. 보안 관리 수단(20)은 USB 메모리(100)로부터의 USB식별정보를 근거로 접근허용 여부를 결정하게 된다. 보안 관리 수단(20)은 사전에 접근 허용된 USB 메모리(100)에 대한 리스트, 즉 USB 식별정보를 미리 저장하고 있게 된다. 예컨대, USB 메모리(100)가 USB 호스트(10)에 물리적으로 연결시 USB 메모리(100)는 자신의 하 드웨어 정보를 전송하게 된다. 이때, 보안 관리수단은 USB 메모리(100)의 하드웨어 정보가 기저장된 USB식별정보에 존재하는 지 여부에 따라 접근 허용을 판단하게 된다. 이러한 보안 관리 수단(20)은 소프트웨어 또는 칩의 형태로 구현될 수 있다.
또, 보안 관리 수단(20)은 접근 허용된 USB 메모리(100)로 보안 키워드 데이터를 제공한다. 보안 관리 수단(20)은 상술한 방식에 따라 물리적으로 접속된 USB 메모리(100)에 대한 접근을 허용하게 되면 중요 정보 검출을 위한 보안 키워드 데이터를 전송하게 된다. 그래서, USB 호스트(10)와 USB 메모리(100)는 연결설정이 완료되면 규약에 의해 상호간에 패킷을 주고 받게 된다.
여기서, 보안 키워드 데이터는 사전에 USB 호스트(10) 내부에 저장된 데이터 중 기밀 또는 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 미리 저장하게 된다.
USB 호스트 콘트롤러(30)는 USB 메모리(100)와 데이터를 주고받기 위한 물리적 인터페이스를 제공한다. 예를 들어, USB 호스트 콘트롤러(30)는 USB 메모리(100)로 USB로 정의된 버스 및 접속 드라이버 등을 제공하고 그에 따라 데이터를 송수신할 수 있도록 하게 된다. 이러한 USB를 통해 데이터 통신을 처리하는 USB 호스트 콘트롤러는 공지된 사항이므로 상세한 설명은 생략한다.
도 3에 도시된 바와 같이, 본 발명에 따른 USB 메모리(100)는 USB 메모리 콘트롤러(110), 보안 관리 수단(20), 메모리를 포함하여 구성된다.
USB 메모리 콘트롤러(110)는 USB 호스트(10)와 데이터를 주고받기 위한 물리적 인터페이스를 제공한다. 예를 들어, USB 메모리 콘트롤러(110)는 USB로 정의된 버스에 접속하여, USB 호스트(10)와 데이터를 교환하게 된다. 이러한 USB를 통해 데이터 통신을 처리하는 USB 메모리 콘트롤러(110)는 공지된 사항이므로 상세한 설명은 생략한다.
또, USB 메모리 콘트롤러(110)는 USB 호스트(10)에 물리적으로 접속시 USB 식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 전송하여 접속을 알리게 된다. 그래서, USB 호스트(10)와의 연결설정이 완료되면 상술한 방식으로 데이터를 교환하게 된다. 예를 들어, USB 호스트(10)에서 USB 식별정보를 근거로 내부 데이터로의 접근을 허가하면 USB 메모리 콘트롤러(110)는 USB 호스트(10) 내의 데이터베이스 등에 저장된 데이터로 엑세스하게 된다.
메모리(130)는 USB 메모리 콘트롤러(110)를 통해 처리되는 데이터를 저장하는 저장소자이다. 바람직하게는 메모리(130)는 플래시 메모리를 채용하게 된다. 여기서, 본 발명에서는 하술된 보안 처리 수단(120)을 경유하여 처리된 데이터만 메모리에 저장되게 된다. 이외 USB 메모리(100)에 적용되는 저장용 메모리의 구성은 공지된 사항이므로 상세한 설명은 생략한다.
보안 처리 수단(120)은 USB 호스트(10)로부터 수신되는 데이터에 대한 중요 정보 여부를 판단하여 하술된 메모리로의 저장을 제어하는 역할을 수행한다. 보안 처리 수단(120)은 USB 호스트(10)로부터 USB 메모리 콘트롤러(110)를 통해 수신한 데이터를 내용 분석 기반으로 처리하여 중요 정보 여부를 판단한다. 그래서, 보안 처리 수단(120)은 USB 호스트(10)로부터의 수신된 데이터가 중요 정보이면 메모리로의 저장을 차단하게 된다. 즉, 보안 처리 수단(120)은 전송되는 데이터가 중요 정보일 경우 메모리에 저장되는 것을 방지함으로써 중요 정보의 유출을 차단하게 된다. 이러한 보안 처리 수단(120)은 보안칩의 형태로 구현되는 것이 바람직하다. 또, 보안 처리 수단(120)은 USB 호스트(10)로부터의 수신된 데이터에 중요 정보가 포함되어 있지 않은 경우에는 메모리에 저장되도록 하게 된다.
또, 보안 처리 수단(120)은 접속한 USB 호스트(10)로부터 전송되는 보안 키워드 데이터를 수신하여 미리 저장하게 된다. 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결 설정시 전송되는 보안 키워드 데이터를 수신하면 내부에 저장한 후, USB 호스트(10)로부터 전송되는 데이터를 미리 저장된 보안 키워드 데이터를 기준으로 중요 정보 여부를 판단하게 되는 것이다. 따라서, USB 호스트(10)와의 올바른 연결설정이 이루어 지지 않는다면 보안 키워드 데이터를 수신받지 못하기 때문에 USB 호스트(10)로부터 수신되는 데이터의 복제가 불가능하게 된다.
도 4를 참조하여 USB 메모리(100)의 보안 처리 수단(120)을 보다 상세히 설명하면, 보안 처리 수단(120)은 제어부(300), 보안 처리부(330), 키워드 저장부(320)를 포함하여 구성된다.
제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 메모리 콘트롤러(110)를 통해 전달되는 데이터를 메모리에 저장시키기 전에 보안 처리를 관리하는 역할을 수행한다. 제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 메모 리 콘트롤러(110)를 통해 전달되는 보안 키워드 데이터를 수신 받아 키워드 저장부(320)에 수록하게 된다.
제어부(300)는 USB 메모리 콘트롤러(110)를 통해 전달되는 USB 호스트(10)로부터의 데이터를 보안 처리부(330)로 전달하여 내용 분석을 진행하도록 하게 된다. 즉, USB 호스트(10)와의 연결설정이 완료되면 USB 호스트(10)는 필요시 데이터를 상술한 메모리에 저장하려고 시도하게 된다. 그러면 제어부(300)는 해당 데이터를 보안 처리부(330)로 전달하여 중요 정보 포함 여부를 판단하도록 하게 된다.
보안 처리부(330)는 실질적으로 보안 처리를 진행하는 역할을 수행한다. 보안 처리부(330)는 제어부(300)를 통해 전달되는 USB 호스트(10)로부터의 데이터를 수신받고, 검사를 위한 해당 데이터의 순차검색을 통해 키워드 저장부(320)에 저장된 보안 키워드 데이터와 동일한 문자열이 있는지를 비교한다. 그래서, 보안 처리부(330)는 동일한 문자열이 있을 경우 기밀 또는 개인 중요 정보로 판단하여 메모리에 해당 데이터를 전달하지 않는다. 만약 동일한 문자열이 존재하지 않는다면 해당 데이터를 메모리(130)에 저장하도록 허용한다.
또, 제어부(300)는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터만 보안 처리부(330)로 전달한다. 즉, 제어부(300)는 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 보안 처리부(330)로 전달함으로써 속도 향상을 꾀하게 된다. 이때, USB 호스트(10)로부터 전달되는 데이터는 USB 메모리 컨트롤러(110)를 통해 데이터의 신호를 변환하여 제어부(300)에 보내진다. 상술한 바와 같이, 보안 처리부(330)는 제어부(300)로부터 전달되는 실질적인 내용 분석을 진행할 데이터의 순차검색을 통해 키워드 저장부(320)에 저장된 보안 키워드 리스트와 동일한 문자열이 있는지를 비교한다. 그래서, 보안 처리부(330)는 동일한 문자열이 있을 경우 기밀 또는 개인 중요 정보로 판단하여 메모리(130)에 해당 데이터를 전달하지 않는다. 만약 동일한 문자열이 존재하지 않는다면 해당 데이터를 메모리(130)에 저장하도록 허용한다.
도 5는 본 발명에 따른 USB 메모리(100)에 보안 키워드 데이터를 전달하는 형식을 도시한 예시도이다.
도 5를 참조하면, USB 호스트(10)와 USB 메모리(100) 간에 데이터 통신시 송수신되는 데이터의 형태는 USB 호스트(10)와 USB 메모리(100)간에 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜잭션, 어드레스 트랜잭션 등을 포함하는 토큰 패킷(51, Token Packet), 실질적인 데이터를 전송하는 데이터 패킷(52, Data Packet), USB 호스트(10)와 USB 메모리(100)간에 수신 여부를 알리는 ACK를 포함하는 핸드쉐이크 패킷(53, H/S Packet)을 포함하게 된다. 그래서, USB 호스트(10)는 보안 키워드 데이터(54)를 셋업 트랜잭션의 데이터 패킷(52)에 실어 전송한다. 즉, USB 호스트(10) 시스템은 하나의 보안 키워드 데이터(54)를 전달할 경우, 토큰 패킷(51)과 데이터 패킷(52)을 순차적으로 USB 메모리(100)에 전송하고, 전송이 완료되면 USB 메모리(100)는 응답으로 핸드쉐이크 패킷(53)을 호스트 측에 전송하는 방식으로 데이터의 송수신이 이루어 지게 된다.
따라서, 보안 처리 수단(120)의 제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 콘트롤러를 통해 전달되는 보안 키워드 데이터(54)를 수신 받아 키워드 저장부(320)에 수록하게 된다.
도 6은 USB 호스트(10) 내의 정보가 USB 메모리(100)로 전달될 때 데이터의 포맷 형태를 도시한 예시도이다.
도 6를 참조하면, USB 호스트(10)와 USB 메모리(100) 간에 전달되는 데이터 포맷 형태를 알 수 있다. 이를 살펴보면, USB 호스트(10)의 데이터가 USB 메모리(100)로 전달될 때 USB 데이터의 일반적인 형식(57)을 보여주고 있다. USB 메모리(100)에 전달되는 데이터는 USB 벌크 데이터 패킷(59)에 실어 전달되기 때문에 USB 메모리(100)에서는 USB 벌크 데이터 패킷(59)의 데이터 영역(58)에 대해서 분석을 수행한다. 이러한 USB 호스트(10)와 USB 메모리(100) 간의 송수신되는 데이터 형식은 공지된 것으로 상세한 설명은 생략한다.
따라서, 보안 처리 수단(120)의 제어부(300)는 USB 호스트(10)로부터 전송되는 USB 벌크 데이터 패킷(59)에 전달되는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터영역(58)의 데이터만을 보안 처리부(330)로 전달한다. 즉, 제어부(300)는 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 보안 처리부(330)로 전달함으로써 속도 향상을 꾀하게 된다.
이하, 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법을 설명하면 다음과 같다.
도 7 및 도 8은 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법의 순서를 도시한 예시도이다.
도 7을 참조하면, 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법은 UBS 호스트(10)와 USB 메모리(100)와의 물리적 접속이 되면서 개시된다(S10) 여기서, USB 호스트(10)와 USB 메모리(100)는 USB로 정의된 인터페이스를 매개로 물리적으로 접속하게 되면, USB 호스트(10)의 USB 보안 관리 수단(20)은 USB 메모리(100)로부터 USB식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 입력받는다.
다음, USB 호스트(10)의 USB 보안 관리 수단(20)은 USB 메모리(100)의 접근 허용 여부를 판단하게 된다(S20). 즉, 보안 관리 수단(20)은 사전에 접근 허용된 USB 메모리(100)에 대한 리스트, 즉 미리 저장된 USB 식별정보를 읽어들인다. 그래서, 보안 관리 수단(20)은 USB 메모리(100)의 USB 식별정보가 기저장된 USB 식별정보에 존재하는지 여부를 검색하여 인증을 실시한다. 여기서, USB 메모리(100)는 USB 호스트(10)로부터의 연결설정을 허가받게 되면 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스가 가능해 지게 된다.
이때, USB 호스트(10)의 보안 관리 수단(20)은 판단 결과가 USB 메모리(100)에 대한 접근 허용일 경우 접근 허용된 USB 메모리(100)로 보안 키워드 데이터를 제공한다(S30). 즉, 보안 관리 수단(20)은 접속된 USB 메모리(100)에 대한 접근을 허용하게 되면 중요 정보 검출을 위한 보안 키워드 데이터를 전송하게 된다. 그래서, USB 호스트(10)와 USB 메모리(100)는 연결설정이 완료되면 규약에 의해 상호간에 패킷을 주고 받게 된다. 여기서, 보안 키워드 데이터는 사전에 USB 호스트(10) 내부에 저장된 데이터 중 기밀 또는 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 미리 저장하게 된다.
만약, USB 호스트(10)의 보안 관리 수단(20)은 판단 결과가 USB 메모리(100)에 대한 접근 불가일 경우 해당 USB 메모리(100)로부터의 접근을 차단하게 된다(S40). 물론, 접근 차단된 USB 메모리(100)는 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스도 차단된다.
한편, 도 8을 참조하면, USB 메모리(100)는 USB 호스트(10)와의 연결설정이 완료되면 USB 호스트(10)로부터 데이터를 수신하게 된다(S50). 여기서, USB 메모리(100)는 USB 호스트(10)에 물리적으로 접속시 전송한 USB 식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)에 의해서 USB 호스트(10)와의 연결설정이 완료되면 상술한 방식으로 데이터를 교환할 수 있는 상태에 놓이게 된다.
이어, USB 메모리(100)의 보안 처리 수단(120)은 USB 호스트(10)로부터 데이터를 수신하게 되면 기설정된 보안 키워드 데이터를 검색하여 읽어들인다(S60). 여 기서, USB 메모리(100)의 보안 처리 수단(120)은 접속한 USB 호스트(10)로부터 전송되는 보안 키워드 데이터를 수신하여 미리 저장하고 있게 된다.
다음, USB 메모리(100)의 보안 처리 수단(120)은 USB 호스트(10)로부터 USB 메모리 콘트롤러(110)를 통해 수신한 데이터를 보안 키워드 데이터를 근거로 내용 분석 기반으로 분석하고(S70), 그 분석 결과에 따라 수신된 데이터에 대한 중요 정보 여부를 판단한다(S80). 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결 설정시 전송되는 보안 키워드 데이터를 수신하면 내부에 저장한 후, USB 호스트(10)로부터 전송되는 데이터를 미리 저장된 보안 키워드 데이터를 기준으로 중요 정보 여부를 판단하게 되는 것이다. 따라서, USB 호스트(10)와의 올바른 연결설정이 이루어 지지 않는다면 보안 키워드 데이터를 수신 받지 못하기 때문에 USB 호스트(10)로부터 수신되는 데이터의 복제가 불가능하게 된다.
여기서, 보안 처리 수단(120)은 도 6에 도시된 바와 같은 USB 호스트(10)로부터 전송되는 USB 벌크 데이터 패킷(59)에 전달되는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터영역(58)의 데이터만을 추출하여 내용분석을 실시할 수 있다. 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 내용 분석을 진행함으로써 속도 향상을 꾀하게 된다.
이때, USB 메모리(100)의 보안 처리 수단(120)은 내용 분석에 따른 분석 결과가 USB 호스트(10)로부터의 수신된 데이터가 중요 정보이면 메모리로(130)의 저장을 차단하게 된다(S90). 즉, 보안 처리 수단(120)은 전송되는 데이터가 중요 정 보일 경우 메모리(130)에 저장되는 것을 방지함으로써 중요 정보의 유출을 차단하게 된다.
만약, USB 메모리(100)의 보안 처리 수단(120)은 내용 분석에 따른 분석 결과가 USB 호스트(10)로부터의 수신된 데이터에 중요 정보가 포함되어 있지 않은 경우에는 메모리(130)에 저장되도록 하게 된다(S100).
이러한 방식으로 USB 메모리(100)에 저장될 데이터에 대한 내용 분석을 통해 저장을 제한함으로써 중요 데이터의 유출 시도를 원천적으로 차단할 수 있는 효과가 있는 것이다.
또, 본 발명은 USB 메모리(100) 내부에서 정보 보안을 하드웨어적으로 적용함으로써 정보 시스템의 성능저하를 방지할 수 있는 탁월한 효과가 있는 것이다.
이상에서 살펴본 바와 같은 에 대한 기술사상을 첨부도면과 함께 서술하였만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술사상을 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
도 1은 본 발명의 실시예에 따른 정보 유출 방지 방법이 적용되는 전체 시스템의 구성을 도시한 예시도.
도 2는 도 1에 도시된 USB 호스트의 내부 구성을 도시한 블록도.
도 3은 도 1에 도시된 USB 메모리의 내부 구성을 도시한 블록도.
도 4는 도 3에 도시된 보안 처리 수단의 내부 구성을 도시한 블록도.
도 5는 본 발명에 따른 USB 메모리에 보안 키워드 데이터를 전달하는 형식을 도시한 예시도.
도 6은 USB 호스트 내의 정보가 USB 메모리로 전달될 때 데이터의 포맷 형태를 도시한 예시도.
도 7 및 도 8은 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법의 흐름을 도시한 순서도.
*도면의 주요부분에 대한 설명*
10 : USB 호스트 20 : 보안 관리 수단
30 : USB 호스트 콘트롤러
100 : USB 메모리 110 : USB 메모리 콘트롤러
120 : 보안 처리 수단 130 : 메모리
300 : 제어부 320 : 키워드 저장부
330 : 보안 처리부

Claims (10)

  1. 데이터 유출 방지 방법에 있어서,
    USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 상기 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및
    USB 호스트가, 상기 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 상기 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계;
    를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  2. 청구항 1에 있어서,
    상기 보안 키워드 데이터는,
    상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  3. 청구항 1에 있어서,
    상기 내부 데이터로의 접근허용 여부를 판단하는 단계는,
    USB 호스트가, 물리적으로 접속된 USB 메모리로부터 USB 식별정보를 전송받아서 접속 요청을 받는 단계; 및
    USB 호스트가, 상기 USB 식별정보를 근거로 USB 메모리를 인증하면 해당 USB 메모리의 접근을 허용하는 단계;
    를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  4. 데이터 유출 방지 방법에 있어서,
    USB 메모리가, 접속한 USB 호스트로 USB 식별정보를 전송하여 상기 USB 호스트의 내부 데이터로의 접근을 요청하는 단계;
    USB 메모리가, 접속한 USB 호스트로부터 상기 내부 데이터로의 접근이 허용될 경우, 상기 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송받아 저장하는 단계;
    USB 메모리가, 상기 USB 호스트로부터 데이터 수신시 상기 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하는 단계; 및
    USB 메모리가, 상기 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터의 저장을 차단하고, 상기 판단 결과에 따라 수신된 데이터가 중요 정보가 아닐 경우에는 해당 데이터를 저장하도록 하는 단계;
    를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  5. 청구항 4에 있어서,
    상기 보안 키워드 데이터는,
    상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  6. 청구항 4에 있어서,
    상기 내용 분석을 통해 중요 정보 여부를 판단하는 단계는,
    USB 메모리가, 상기 USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하는 단계; 및
    USB 메모리가, 상기 비교 결과에 따라 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 단계;
    를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.
  7. 접속된 USB 메모리로부터의 USB 식별정보를 근거로 내부 데이터로의 접근허용 여부를 판단하고, 상기 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 상기 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 보안 관리 수단; 및
    상기 접속된 USB 메모리와 데이터를 주고받기 위한 물리적 인터페이스를 제공하는 USB 호스트 콘트롤러;
    를 포함하는 것을 특징으로 하는 USB 호스트.
  8. USB 호스트와 데이터를 주고받기 위한 물리적 인터페이스를 제공하고, 접속한 USB 호스트로 USB 식별정보를 전송하여 내부 데이터로의 접근을 요청하는 USB 메모리 콘트롤러;
    상기 USB 메모리 콘트롤러를 통해 처리되는 데이터를 저장하는 메모리; 및
    상기 USB 호스트로부터 상기 USB 호스트의 내부 데이터로의 접근이 허용될 경우, 상기 USB 메모리 콘트롤러를 통해 수신된 데이터를 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하고, 상기 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터를 상기 메모리로의 저장을 차단하는 것을 특징으로 하는보안 처리 수단;
    을 포함하는 것을 특징으로 하는 USB 메모리.
  9. 청구항 8에 있어서,
    상기 보안 처리 수단의 보안 키워드 데이터는,
    상기 USB 호스트로부터 상기 USB 호스트의 내부 데이터로의 접근이 허용될 경우 수신되되, 상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성된 것을 특징으로 하는 USB 메모리.
  10. 청구항 8에 있어서,
    상기 보안 처리 수단은,
    상기 USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하여 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 것을 특징으로 하는 USB 메모리.
KR1020080131560A 2008-12-22 2008-12-22 Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템 KR101122697B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131560A KR101122697B1 (ko) 2008-12-22 2008-12-22 Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131560A KR101122697B1 (ko) 2008-12-22 2008-12-22 Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20100072987A true KR20100072987A (ko) 2010-07-01
KR101122697B1 KR101122697B1 (ko) 2012-03-09

Family

ID=42636052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131560A KR101122697B1 (ko) 2008-12-22 2008-12-22 Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR101122697B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101290852B1 (ko) * 2011-04-12 2013-08-23 (주)누스코 가상 머신을 이용한 데이터 유출 방지 장치 및 방법
CN111797440A (zh) * 2019-04-07 2020-10-20 新唐科技股份有限公司 安全装置、方法及其系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101460297B1 (ko) 2013-04-11 2014-11-13 한국전자통신연구원 자료 유출 방지를 위한 이동 저장매체 제어 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1276033B1 (de) * 2001-07-10 2012-03-14 Trident Microsystems (Far East) Ltd. Speichereinrichtung mit Datenschutz in einem Prozessor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101290852B1 (ko) * 2011-04-12 2013-08-23 (주)누스코 가상 머신을 이용한 데이터 유출 방지 장치 및 방법
CN111797440A (zh) * 2019-04-07 2020-10-20 新唐科技股份有限公司 安全装置、方法及其系统
CN111797440B (zh) * 2019-04-07 2023-05-19 新唐科技股份有限公司 安全装置、方法及其系统

Also Published As

Publication number Publication date
KR101122697B1 (ko) 2012-03-09

Similar Documents

Publication Publication Date Title
CN101026455B (zh) 安全处理器
JP5704518B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
JP2007174633A (ja) トークンデバイス及びセキュアメモリデバイスのためのバインディング鍵をセキュアに取得するためのコンピュータ実施方法、および、トークンデバイスとセキュアメモリデバイスとをセキュアにバインドするシステム
CN106657152A (zh) 一种鉴权方法及服务器、访问控制装置
KR20090068535A (ko) 휴대 단말기의 민감 정보 유출을 탐지 및 차단하는 장치 및방법
JP6096376B2 (ja) アクセス制御方法、装置、プログラム、及び記録媒体
US20080126802A1 (en) Inter-system binding method and application based on hardware security unit
MX2010014464A (es) Sistema y metodo para el manejo seguro de memoria.
US20090064273A1 (en) Methods and systems for secure data entry and maintenance
WO2018001365A1 (zh) 一种基于移动终端的软件下载方法及系统
CN106488394A (zh) 一种设备连接的方法及装置
CN101159553A (zh) 用于本地刀片服务器安全的方法和系统
WO2019134494A1 (zh) 验证信息处理方法、通信设备、业务平台及存储介质
CN106657551A (zh) 一种防止移动终端解锁的方法及系统
KR101122697B1 (ko) Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템
US11829492B1 (en) System and method for hardware-based register protection mechanism
US20080080717A1 (en) Information processing apparatus, control method therefor and program
JP2001118042A (ja) カード監視方法
CN111885057A (zh) 消息中间件访问方法、装置、设备及存储介质
WO2002084512A1 (en) Method and system for restricting access from external
CN106878233B (zh) 安全数据的读取方法、安全服务器、终端及系统
US8755521B2 (en) Security method and system for media playback devices
US20140033266A1 (en) Method and apparatus for providing concealed software execution environment based on virtualization
KR100901279B1 (ko) 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템.
KR20150072007A (ko) 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150126

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161216

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180213

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190221

Year of fee payment: 8