KR20140129715A - 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법 - Google Patents

클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR20140129715A
KR20140129715A KR1020130048339A KR20130048339A KR20140129715A KR 20140129715 A KR20140129715 A KR 20140129715A KR 1020130048339 A KR1020130048339 A KR 1020130048339A KR 20130048339 A KR20130048339 A KR 20130048339A KR 20140129715 A KR20140129715 A KR 20140129715A
Authority
KR
South Korea
Prior art keywords
file
file data
read
writing
cloud server
Prior art date
Application number
KR1020130048339A
Other languages
English (en)
Inventor
정영호
백종경
Original Assignee
킹스정보통신(주)
인텔렉추얼디스커버리 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 킹스정보통신(주), 인텔렉추얼디스커버리 주식회사 filed Critical 킹스정보통신(주)
Priority to KR1020130048339A priority Critical patent/KR20140129715A/ko
Priority to US14/266,419 priority patent/US20140325605A1/en
Publication of KR20140129715A publication Critical patent/KR20140129715A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법에 관한 것으로, 클라이언트 단말이 유/무선 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 인가된 사용자가 악의적인 목적으로 클라우드 서버의 스토리지(Storage)에 직접적으로 접근하여 저장 매체 등의 장치를 통해 파일 데이터가 외부로 유출되는 것을 미연에 방지할 수 있는 효과가 있다.

Description

클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법{SYSTEM FOR STORAGE SECURITY OF CLOUD SERVER IN CLOUD COMPUTING ENVIRONMENT AND METHOD THEREOF}
본 발명은 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 클라이언트 단말이 유/무선 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 인가된 사용자가 악의적인 목적으로 클라우드 서버의 스토리지(Storage)에 직접적으로 접근하여 저장 매체 등의 장치를 통해 파일 데이터가 외부로 유출되는 것을 미연에 방지할 수 있도록 한 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법에 관한 것이다.
일반적으로, 클라우드 컴퓨팅(Cloud Computing)이란, 인터넷 기반(클라우드)의 컴퓨팅(Computing) 기술을 의미한다. 클라우드 컴퓨팅은 컴퓨터 네트워크 구성도에서 인터넷을 구름으로 표현하는 것으로, 숨겨진 복잡한 인프라(Infra) 구조를 가지며 IT 관련된 기능들이 서비스 형태로 제공되는 컴퓨팅 스타일을 갖는다. 사용자들은 인터넷을 이용하여 클라우드 컴퓨팅으로부터 제공되는 서비스를 이용할 수 있다.
즉, 상기 클라우드 컴퓨팅이란 가상화 컴퓨팅, 유틸리티 컴퓨팅, 온디멘드 컴퓨팅 등과 같이 다양한 컴퓨팅 개념과 통신 기술이 혼합되어 적용된 것으로, 통상적으로 다수의 컴퓨터들로 구성되는 복수의 데이터센터를 가상화 기술로 통합하여 하나의 가상 컴퓨터 또는 서비스를 구현하고, 사용자가 이에 접속하여 각종 소프트웨어, 보안 솔루션 및 컴퓨팅 능력 등을 주문형 서비스(on-demand) 방식으로 제공하는 기술을 의미한다.
또한, 상기 클라우드 컴퓨팅이란 '인터넷을 통한 IT자원의 주문형 아웃소싱 서비스'로서, 개인용 컴퓨터나 기업의 서버에 개별적으로 저장하던 프로그램이나 문서를 인터넷 기반의 가상 서버 또는 스토리지(Storage)에 저장하고, 개인용 컴퓨터를 비롯한 다양한 단말을 이용하여 웹 브라우저 등의 클라우드 어플리케이션(Application)을 구동함으로써, 사용자가 원하는 작업을 수행할 수 있도록 하는 방식이다.
이때, 사용자들은 클라우드 어플리케이션, 스토리지, OS 및 보안 등의 컴퓨팅 자원을 원하는 시점에 원하는 만큼만 골라서 사용할 수 있고, 사용량에 기반하여 대가를 지불하면 된다.
아직 본격적인 클라우드 컴퓨팅이 이루어진 것은 아니지만, 구글(Google), 마이크로소프트(Microsoft) 및 IBM 등을 포함하는 대기업을 중심으로 클라우드 컴퓨팅 서비스, 서비스 플랫폼 기술 및 가상화 기술 등에 대한 연구가 활발히 진행되고 있다.
한편, 이러한 클라우드 컴퓨팅 환경에서 클라우드 서버로부터 파일 데이터를 내려 받을 때 인가된 사용자에 의해서만 파일을 다운(Down) 받도록 되어 있다. 그리고, 악의적인 사용으로 비인가된 사용자가 클라우드 서버의 스토리지에 접근하여 파일 데이터를 빼나가는 것에 대해서는 현재까지 막을 수 있는 방안이 없었으며, 이에 클라우드 서버의 스토리지에 저장된 파일 데이터에 대해서 파일 데이터가 외부로 나가는 것을 감시하고 차단할 수 있는 방안이 필요한 실정이다.
또한, 인가된 사용자가 악의적인 목적으로 클라우드 서버의 스토리지에 직접적으로 접근하여 저장 매체 등의 장치를 통해 파일 데이터를 유출하는 것에 대해서는 현재까지 감시할 수 있는 방안이 없었다. 따라서, 클라우드 서버의 스토리지에 저장된 파일 데이터의 유출에 대한 감시 기술이 필요한 실정이다.
한국특허등록 제10-1213984호
본 발명은 전술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 클라이언트 단말이 유/무선 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 인가된 사용자가 악의적인 목적으로 클라우드 서버의 스토리지(Storage)에 직접적으로 접근하여 저장 매체 등의 장치를 통해 파일 데이터가 외부로 유출되는 것을 미연에 방지할 수 있도록 한 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법을 제공하는데 있다.
전술한 목적을 달성하기 위하여 본 발명의 제1 측면은, 클라이언트 단말이 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 상기 클라우드 서버의 스토리지를 보안하기 위한 시스템으로서, 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치되며, 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시하는 파일 읽기 감시장치; 상기 파일 읽기 감시장치로부터 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터일 경우, 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장하는 파일 읽기 제어장치; 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치되며, 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시하는 파일 쓰기 감시장치; 및 상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 상기 파일 읽기 제어장치를 통해 저장된 파일 데이터의 정보가 동일할 경우 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 파일 쓰기 제어장치를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템을 제공하는 것이다.
여기서, 상기 파일 읽기 감시장치 또는 상기 파일 쓰기 감시장치는, 상기 클라우드 서버의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어 파일 데이터의 읽기 또는 쓰기를 감시함이 바람직하다.
바람직하게, 상기 파일 읽기 제어장치를 통해 추출된 파일 데이터의 정보는, 별도의 저장공간에 리스트(list) 형태로 저장되며, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어질 수 있다.
바람직하게, 상기 파일 읽기 감시장치는, IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터의 읽기를 감시하며, 상기 파일 쓰기 감시장치는, IRP_MJ_WRITE 함수를 등록하여 파일 데이터의 쓰기를 감시할 수 있다.
바람직하게, 상기 파일 쓰기 제어장치는, 상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우, 파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 상기 파일 읽기 제어장치를 통해 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시킬 수 있다.
본 발명의 제2 측면은, 클라이언트 단말이 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 상기 클라우드 서버의 스토리지를 보안하기 위한 방법으로서, (a) 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치된 파일 읽기 감시장치를 통해 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시하는 단계; (b) 상기 파일 읽기 감시장치와 연결된 파일 읽기 제어장치를 통해 상기 단계(a)에서 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터인지를 판단하는 단계; (c) 상기 단계(b)의 판단 결과, 상기 단계(a)에서 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터일 경우, 상기 파일 읽기 제어장치를 통해 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장하는 단계; (d) 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치된 파일 쓰기 감시장치를 통해 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시하는 단계; 및 (e) 상기 파일 쓰기 감시장치와 연결된 파일 쓰기 제어장치를 통해 상기 단계(d)에서 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 상기 단계(c)에서 저장된 파일 데이터의 정보가 동일할 경우, 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 단계를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법을 제공하는 것이다.
바람직하게, 상기 단계(a) 또는 단계(d)에서, 상기 파일 읽기 감시장치 또는 상기 파일 쓰기 감시장치는, 상기 클라우드 서버의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어, 파일 데이터의 읽기 또는 쓰기를 감시할 수 있다.
바람직하게, 상기 단계(c)에서, 상기 파일 읽기 제어장치를 통해 추출된 파일 데이터의 정보는, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어질 수 있다.
바람직하게, 상기 단계(a) 또는 단계(d)에서, 상기 파일 읽기 감시장치는, IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터들의 읽기를 감시하며, 상기 파일 쓰기 감시장치는, IRP_MJ_WRITE 함수를 등록하여 파일 데이터들의 쓰기를 감시할 수 있다.
바람직하게, 상기 단계(e)에서, 상기 파일 쓰기 제어장치는, 상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우, 파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 상기 단계(c)에서 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시킬 수 있다.
본 발명의 제3 측면은, 상술한 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법을 실행시키기 위한 프로그램을 기록한 기록매체를 제공하는 것이다.
본 발명에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법은 컴퓨터로 판독할 수 있는 기록매체에 컴퓨터로 판독할 수 있는 코드로 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체에는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 시디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피 디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있다.
이상에서 설명한 바와 같은 본 발명의 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법에 따르면, 클라이언트 단말이 유/무선 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 인가된 사용자가 악의적인 목적으로 클라우드 서버의 스토리지(Storage)에 직접적으로 접근하여 저장 매체 등의 장치를 통해 파일 데이터가 외부로 유출되는 것을 미연에 방지할 수 있는 이점이 있다.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템을 설명하기 위한 전체적인 블록 구성도이다.
도 2는 본 발명의 일 실시예에 적용된 클라우드 서버에서 파일 시스템의 커널 구조를 구체적으로 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 적용된 파일 쓰기 제어장치를 통해 파일 데이터의 정보 비교를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법을 설명하기 위한 전체적인 흐름도이다.
이하, 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다. "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
비록 제1, 제2 등이 다양한 소자, 구성요소 및/또는 섹션들을 서술하기 위해서 사용되나, 이들 소자, 구성요소 및/또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
또한, 본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템을 설명하기 위한 전체적인 블록 구성도이고, 도 2는 본 발명의 일 실시예에 적용된 클라우드 서버에서 파일 시스템의 커널 구조를 구체적으로 설명하기 위한 도면이며, 도 3은 본 발명의 일 실시예에 적용된 파일 쓰기 제어장치를 통해 파일 데이터의 정보 비교를 설명하기 위한 도면이다.
도 1 내지 도 3을 참조하면, 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템은, 클라이언트 단말(100)이 유/무선 통신망(10)을 통해 클라우드 서버(200)와 연결되는 클라우드 컴퓨팅 환경에서 클라우드 서버(200)의 스토리지(Storage)를 보안하기 위한 시스템으로서, 크게 파일 읽기 감시장치(210), 파일 읽기 제어장치(220), 파일 쓰기 감시장치(230) 및 파일 쓰기 제어장치(240) 등을 포함하여 이루어진다.
여기서, 클라이언트 단말(100)은 예컨대, 데스크탑 PC, 노트북 PC 등 컴퓨터(Computer)인 것이 일반적이지만, 이에 한정되는 것은 아니며, 유/무선 통신망(10)을 통해 클라우드 서버(200)에 접속하여 클라우드 컴퓨팅 서비스(Cloud Computing Service) 제공받을 수 있는 모든 종류의 유무선 통신 장치일 수 있다.
예를 들어, 클라이언트 단말(100)은 유/무선 통신망(10)을 통하여 클라우드 서버(200)와 통신할 수 있는 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA: Personal Digital Assistant), 스마트폰(Smart phone), 왑폰(WAP phone: Wireless application protocol phone), 모바일 게임기(mobile play-station) 등 클라우드 서버(200)에 접속하기 위한 사용자 인터페이스를 갖는 모든 유무선 가전/통신 장치를 포괄적으로 의미할 수 있다.
이때, 유/무선 통신망(10)은 유/무선 네트워크 또는 인터넷(Internet)으로 이루어질 수 있으며, 상기 인터넷은 TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service) 등을 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미하며, 클라이언트 단말(100)이 클라우드 서버(200)에 접속될 수 있게 하는 환경을 제공한다. 한편, 상기 인터넷은 유선 또는 무선 인터넷일 수도 있고, 이외에도 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어망 일 수도 있다.
그리고, 클라우드 서버(200)는 클라이언트 단말(100)의 요청에 응답해서 클라우드 컴퓨팅 서비스(Cloud Computing Service)를 제공하는 기능을 수행한다.
즉, 클라우드 서버(200)는 클라이언트 단말(100)에 클라우드 컴퓨팅 서비스를 제공하는 서버로서, 클라이언트 단말(100)이 요청하는 컴퓨팅 자원을 유/무선 통신망(10)을 통해 제공해준다. 클라우드 서버(200)는 클라이언트 단말(100)이 요청하는 디바이스(Device)를 이용하도록 하기 위한 컴퓨팅 서비스를 제공한다.
이러한 클라우드 서버(200)에는 예컨대, 어플리케이션 프로그램 파일, 게임 프로그램 파일, 텍스트 데이터 파일, 문서 파일, 그림 파일, 음악 파일, 동영상 파일 및 바코드 파일 등과 같은 대용량 데이터를 제공하는 사업자(콘텐츠 제공자)로부터 제공된 파일들을 저장하는 다수의 스토리지(Storage)를 구비한다.
특히, 본 발명의 일 실시예에 적용된 클라우드 서버(200)에는 스토리지(Storage)를 안전하게 보안하기 위하여, 파일 읽기 감시장치(210), 파일 읽기 제어장치(220), 파일 쓰기 감시장치(230) 및 파일 쓰기 제어장치(240) 등을 포함하여 이루어진다.
여기에서, 파일 읽기 감시장치(210)는 클라우드 서버(200)에 구비된 파일 시스템(File System)의 커널영역(Kernel Layer)에 설치되어 있으며, 클라우드 서버(200)의 스토리지(Storage)에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시하는 기능을 수행한다.
즉, 파일 읽기 감시장치(210)는 클라우드 서버(200)의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어 파일 데이터의 읽기를 감시한다.
또한, 파일 읽기 감시장치(210)는 예컨대, IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터의 읽기를 감시함이 바람직하다.
한편, 클라우드 서버(200)의 파일 시스템(File System)에서 커널영역(Kernel Layer)에는, 도 2에 도시된 바와 같이, 하드웨어(Hardware), 스토리지 드라이버 스택(Storage Driver Stack), 파일 시스템 드라이버(File System Driver), 필터 관리자 프레임(Filter Manager Frame), I/O 관리자(Manager) 레벨 등으로 구성되어 있다.
이때, 상기 필터 관리자 프레임(Filter Manager Frame) 레벨에서는 상기 파일 시스템 드라이버의 개발을 편리하게 해주고, 드라이버의 할당된 위치를 통해 로드 순서를 제어하는 기능을 비롯해 기존 필터 드라이버 모델이 가진 여러 문제를 해결하는 등의 기능을 갖추게 된다.
그리고, 상기 파일 시스템 드라이버 레벨에서는 파일 시스템에 대한 요청을 가로채고 이러한 요청을 원래 의도했던 대상에 도달하기 전에 차단하거나 변경하는 등의 작업을 할 수 있다.
파일 읽기 제어장치(220)는 파일 읽기 감시장치(210)와 연결되어 있으며, 파일 읽기 감시장치(210)로부터 읽기 감시된 파일 데이터가 기설정된 스토리지(Storage)의 보안영역(Secure Space)에 저장된 파일 데이터일 경우, 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장하는 기능을 수행한다.
이때, 파일 읽기 제어장치(220)를 통해 추출된 파일 데이터의 정보는 예컨대, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어짐이 바람직하다.
또한, 파일 읽기 제어장치(220)를 통해 추출된 파일 데이터의 정보는, 별도의 저장공간(예컨대, 메모리 또는 데이터베이스(DB) 등)에 리스트(list) 형태로 저장됨이 바람직하다.
파일 쓰기 감시장치(230)는 클라우드 서버(200)에 구비된 파일 시스템(File System)의 커널영역(Kernel Layer)에 설치되어 있으며, 클라우드 서버(200)의 스토리지(Storage)에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시하는 기능을 수행한다.
즉, 파일 쓰기 감시장치(230)는 클라우드 서버(200)의 파일 시스템(File System)에서 커널영역(Kernel Layer)에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어 파일 데이터의 쓰기를 감시한다.
또한, 파일 쓰기 감시장치(230)는 예컨대, IRP_MJ_WRITE 함수를 등록하여 파일 데이터의 쓰기를 감시함이 바람직하다.
그리고, 파일 쓰기 제어장치(240)는 파일 쓰기 감시장치(230)와 연결되어 있으며, 파일 쓰기 감시장치(230)로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 파일 읽기 제어장치(220)를 통해 저장된 파일 데이터의 정보가 동일할 경우 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 기능을 수행한다.
즉, 파일 쓰기 제어장치(240)는 파일 쓰기 감시장치(230)로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우, 파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 파일 읽기 제어장치(220)를 통해 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시킨다.
이하에는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법을 구체적으로 설명하기로 한다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법을 설명하기 위한 전체적인 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법은, 먼저, 클라우드 서버(200)에 구비된 파일 읽기 감시장치(210)를 통해 클라우드 서버(200)의 스토리지(Storage)에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시한다(S100).
이때, 상기 단계S100에서, 파일 읽기 감시장치(210)에서는 클라우드 서버(200)의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어, 파일 데이터의 읽기를 감시함이 바람직하다.
그리고, 상기 단계S100에서, 파일 읽기 감시장치(210)에서는 예컨대, IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터들의 읽기를 감시함이 바람직하다.
이후에, 파일 읽기 감시장치(210)와 연결된 파일 읽기 제어장치(220)를 통해 상기 단계S100에서 읽기 감시된 파일 데이터가 기설정된 스토리지(Storage)의 보안영역(Secure Space)에 저장된 파일 데이터인지를 판단한다(S200).
상기 단계S200의 판단 결과, 상기 단계S100에서 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터일 경우, 파일 읽기 제어장치(220)를 통해 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장한다(S300).
이때, 상기 단계S300에서, 파일 읽기 제어장치(220)를 통해 추출된 파일 데이터의 정보는 예컨대, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어짐이 바람직하다.
다음으로, 클라우드 서버(200)에 구비된 파일 쓰기 감시장치(230)를 통해 클라우드 서버(200)의 스토리지(Storage)에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시한다(S400).
이때, 상기 단계S400에서, 파일 쓰기 감시장치(230)에서는 클라우드 서버(200)의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어, 파일 데이터의 쓰기를 감시함이 바람직하다.
그리고, 상기 단계S400에서, 파일 쓰기 감시장치(230)는 예컨대, IRP_MJ_WRITE 함수를 등록하여 파일 데이터들의 쓰기를 감시함이 바람직하다.
이후에, 파일 쓰기 감시장치(230)와 연결된 파일 쓰기 제어장치(240)를 통해 상기 단계S400에서 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지 예컨대, 우선 감시 대상인지, 파일 데이터가 쓰여지는 파일의 위치가 어디인지 파악하여 하드디스크인지 USB 드라이브인지 네트워크 드라이브인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 상기 단계S300에서 저장된 파일 데이터의 정보가 동일할 경우, 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시킨다(S500).
즉, 상기 단계S500에서, 파일 쓰기 제어장치(240)는 파일 쓰기 감시장치(230)로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우, 파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 상기 단계S300에서 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시킨다.
한편, 본 발명의 일 실시예에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 시디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있다.
또한, 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
전술한 본 발명에 따른 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법에 대한 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 특허청구범위와 발명의 상세한 설명 및 첨부한 도면의 범위 안에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 본 발명에 속한다.
100 : 클라이언트 단말,
200 : 클라우드 서버,
210 : 파일 읽기 감시장치,
220 : 파일 읽기 제어장치,
230 : 파일 쓰기 감시장치,
240 : 파일 쓰기 제어장치

Claims (10)

  1. 클라이언트 단말이 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 상기 클라우드 서버의 스토리지를 보안하기 위한 시스템으로서,
    상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치되며, 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시하는 파일 읽기 감시장치;
    상기 파일 읽기 감시장치로부터 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터일 경우, 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장하는 파일 읽기 제어장치;
    상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치되며, 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시하는 파일 쓰기 감시장치; 및
    상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 상기 파일 읽기 제어장치를 통해 저장된 파일 데이터의 정보가 동일할 경우 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 파일 쓰기 제어장치를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템.
  2. 제1 항에 있어서,
    상기 파일 읽기 감시장치 또는 상기 파일 쓰기 감시장치는, 상기 클라우드 서버의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어 파일 데이터의 읽기 또는 쓰기를 감시하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템.
  3. 제1 항에 있어서,
    상기 파일 읽기 제어장치를 통해 추출된 파일 데이터의 정보는, 별도의 저장공간에 리스트(list) 형태로 저장되며, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어진 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템.
  4. 제1 항에 있어서, 상기 파일 읽기 감시장치는,
    IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터의 읽기를 감시하며,
    상기 파일 쓰기 감시장치는, IRP_MJ_WRITE 함수를 등록하여 파일 데이터의 쓰기를 감시하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템.
  5. 제1 항에 있어서,
    상기 파일 쓰기 제어장치는, 상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우,
    파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 상기 파일 읽기 제어장치를 통해 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템.
  6. 클라이언트 단말이 통신망을 통해 클라우드 서버와 연결되는 클라우드 컴퓨팅 환경에서 상기 클라우드 서버의 스토리지를 보안하기 위한 방법으로서,
    (a) 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치된 파일 읽기 감시장치를 통해 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 읽히는지를 감시하는 단계;
    (b) 상기 파일 읽기 감시장치와 연결된 파일 읽기 제어장치를 통해 상기 단계(a)에서 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터인지를 판단하는 단계;
    (c) 상기 단계(b)의 판단 결과, 상기 단계(a)에서 읽기 감시된 파일 데이터가 기설정된 스토리지의 보안영역에 저장된 파일 데이터일 경우, 상기 파일 읽기 제어장치를 통해 해당 읽기 감시된 파일 데이터의 정보를 추출 및 저장하는 단계;
    (d) 상기 클라우드 서버에 구비된 파일 시스템의 커널영역에 설치된 파일 쓰기 감시장치를 통해 상기 클라우드 서버의 스토리지에 저장된 파일 데이터들에 대해 어떠한 파일 데이터가 쓰여지는지를 감시하는 단계; 및
    (e) 상기 파일 쓰기 감시장치와 연결된 파일 쓰기 제어장치를 통해 상기 단계(d)에서 쓰기 감시된 파일 데이터가 기설정된 감시 대상인지를 확인한 후, 감시 대상에 해당하는 파일 데이터의 정보와 상기 단계(c)에서 저장된 파일 데이터의 정보가 동일할 경우, 기설정된 보안정책에 따라 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 단계를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법.
  7. 제6 항에 있어서,
    상기 단계(a) 또는 단계(d)에서, 상기 파일 읽기 감시장치 또는 상기 파일 쓰기 감시장치는, 상기 클라우드 서버의 파일 시스템에서 커널영역에 구비된 필터 관리자 프레임(Filter Manager Frame) 레벨에 연결되어, 파일 데이터의 읽기 또는 쓰기를 감시하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법.
  8. 제6 항에 있어서,
    상기 단계(c)에서, 상기 파일 읽기 제어장치를 통해 추출된 파일 데이터의 정보는, 해당 파일 데이터의 일부분, 파일의 경로, 드라이브 정보 및 프로세스 ID 중 적어도 어느 하나 정보로 이루어진 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법.
  9. 제6 항에 있어서,
    상기 단계(a) 또는 단계(d)에서, 상기 파일 읽기 감시장치는, IRP_MJ_READ 함수와 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 함수를 등록하여 파일 데이터들의 읽기를 감시하며,
    상기 파일 쓰기 감시장치는, IRP_MJ_WRITE 함수를 등록하여 파일 데이터들의 쓰기를 감시하는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법.
  10. 제6 항에 있어서,
    상기 단계(e)에서, 상기 파일 쓰기 제어장치는, 상기 파일 쓰기 감시장치로부터 쓰기 감시된 파일 데이터가 기설정된 감시 대상에 해당할 경우,
    파일 쓰기를 시도하는 파일 데이터의 내용 중에 동일한 프로세스에서 읽기 할 때 상기 단계(c)에서 저장된 읽혀진 파일 데이터와 동일한 부분이 있는 경우에는 해당 쓰기는 전에 읽기 시도한 파일 데이터를 복사하는 것으로 판단하여, 해당 파일 데이터의 목적지를 비교하여 해당 목적지가 외부일 경우나 기설정된 보안정책에 반하는 위치일 경우에는 해당 파일 데이터의 쓰기를 차단 또는 작업 대기시키는 것을 특징으로 하는 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 방법.
KR1020130048339A 2013-04-30 2013-04-30 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법 KR20140129715A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130048339A KR20140129715A (ko) 2013-04-30 2013-04-30 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법
US14/266,419 US20140325605A1 (en) 2013-04-30 2014-04-30 System for storage security of cloud server in cloud computing environment and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130048339A KR20140129715A (ko) 2013-04-30 2013-04-30 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20140129715A true KR20140129715A (ko) 2014-11-07

Family

ID=52454927

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130048339A KR20140129715A (ko) 2013-04-30 2013-04-30 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20140129715A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180124582A (ko) * 2017-05-12 2018-11-21 엔에이치엔엔터테인먼트 주식회사 모바일 클라우드 시스템 및 그 동작 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180124582A (ko) * 2017-05-12 2018-11-21 엔에이치엔엔터테인먼트 주식회사 모바일 클라우드 시스템 및 그 동작 방법
US11196809B2 (en) * 2017-05-12 2021-12-07 Nhn Entertainment Corporation Mobile cloud system and operating method of the same

Similar Documents

Publication Publication Date Title
US10404708B2 (en) System for secure file access
US20200228574A1 (en) Policy management for data migration
US11272030B2 (en) Dynamic runtime interface for device management
US8413139B2 (en) Programming model for application and data access and synchronization within virtual environments
US9225704B1 (en) Unified management of third-party accounts
US9998470B1 (en) Enhanced data leakage detection in cloud services
US11757937B2 (en) Enabling webapp security through containerization
US11580239B2 (en) Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine
US9830469B1 (en) Automated mechanism to secure customer data
US20210286890A1 (en) Systems and methods for dynamically applying information rights management policies to documents
US10891386B2 (en) Dynamically provisioning virtual machines
US20200257576A1 (en) Verifying transfer of detected sensitive data
US9602540B1 (en) Enforcing restrictions on third-party accounts
US9244705B1 (en) Intelligent micro-virtual machine scheduling
US11481508B2 (en) Data access monitoring and control
US11588681B2 (en) Migration of managed devices to utilize management platform features
CN110073335A (zh) 管理应用程序的共存和多个用户设备管理
US20220067195A1 (en) Controlling installation of unauthorized drivers on a computer system
US20160373421A1 (en) Virtual content repository
KR102393146B1 (ko) 다중 아이디 앱을 위한 정책 애플리케이션
KR20140129716A (ko) 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법
US20140325605A1 (en) System for storage security of cloud server in cloud computing environment and method thereof
WO2019035393A1 (ja) データ保護システム、データ保護方法及び記録媒体
KR20140129715A (ko) 클라우드 컴퓨팅 환경에서 클라우드 서버의 스토리지 보안 시스템 및 그 방법
KR20140129714A (ko) Vdi 환경에서 usb 장치를 이용한 클라우드 서버의 콘텐츠 유출 방지 장치 및 그 방법

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid