KR20150034528A - 보안 통제 장치 및 이의 작동 방법 - Google Patents
보안 통제 장치 및 이의 작동 방법 Download PDFInfo
- Publication number
- KR20150034528A KR20150034528A KR20130114723A KR20130114723A KR20150034528A KR 20150034528 A KR20150034528 A KR 20150034528A KR 20130114723 A KR20130114723 A KR 20130114723A KR 20130114723 A KR20130114723 A KR 20130114723A KR 20150034528 A KR20150034528 A KR 20150034528A
- Authority
- KR
- South Korea
- Prior art keywords
- change
- developer
- group
- data
- processing unit
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012545 processing Methods 0.000 claims abstract description 41
- 238000011161 development Methods 0.000 claims description 27
- 238000012423 maintenance Methods 0.000 claims description 26
- 238000007792 addition Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 4
- 230000018109 developmental process Effects 0.000 description 26
- 238000007726 management method Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000013459 approach Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/106—Enforcing content protection by specific content processing
- G06F21/1066—Hiding content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 시스템에 대한 은닉 처리를 이용한 보안 통제 장치 및 이의 작동 방법에 관한 것이다. 이를 위해, 본 발명의 보안 통제 장치는, 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라 적어도 하나의 개발자 그룹들로 그룹화하는 그룹 관리부; 및 적어도 하나의 개발자 그룹들에게 접근 목적에 상응하는 파일 시스템으로 재구성하여, 적어도 하나의 개발자 그룹들 각각에 대해 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보들을 은닉시키는 은닉 처리부를 포함하는 것을 특징으로 한다.
Description
본 발명은 보안 통제 장치 및 이의 작동 방법에 관한 것이고, 보다 상세하게, 시스템에 대한 은닉 처리를 이용한 보안 통제 장치 및 이의 작동 방법에 관한 것이다.
현재 IT 분야에서 보안 분야에 대한 중요성이 대두되고 있다. 또한, 개발 및 유지보수 업무를 회사 내에서 자체적으로 해결하지 못하는 회사들의 경우, 이들 업무를 외부 업체에 위탁하는 경우가 많이 존재한다. 하지만, 이러한 외부 업체를 통한 관리는 기술 유출이나 또는 정보 유출과 같은 많은 문제점을 야기하고 있다.
그리고, 소수의 시스템 관리자가 여러 시스템들에 저장된 정보들 예를 들어, 데이터, 시스템 설정 값, 중요 파일의 위치 등을 기억하고 관리하는 것은 실질적으로 어렵다. 또한, 이들 관리자가 외부 업체의 개발자들의 모든 요구 사항에 대해 하나하나 대응하는 것도 어려운 실정이다. 이러한 점에 인해, 외부업체 개발자에게 파일 시스템을 전체 공개할 경우, 이미 개발되어 동작중인 서비스의 핵심 코드 및 중요 데이터가 유출될 수 있다는 문제점을 갖는다.
위에서 언급한 기술 및 정보 유출을 막기 위해, 관련 데이터들을 다른 위치로 백업한 후, 삭제하거나 암호화하는 방법이 존재할 수 있다. 하지만, 파일 시스템에 흩어져있는 자료들을 찾고, 이를 암호화하는 것은 현실적으로 불가능에 가깝기에, 이러한 방법은 적합하지 않다.
또한, 현재 다양한 보안 프로그램들이 개발되어 상용화되고 있지만, 이들 프로그램은 비용이 많이 든다는 단점이 있고, 사용 및 환경 설정이 어렵다는 단점을 갖고 있다. 뿐만 아니라, 이들 프로그램들은 파일이 아닌 프로세스 단위로 관리를 수행한다는 점에서, 시스템 관리자가 시스템 상의 모든 프로세스를 인지하여야 한다. 하지만. 시스템 상의 복잡하고 다양한 프로세스를 시스템 관리자가 모두 인지하는 것 또한 현실적으로 어렵다. 그리고, 이들 보안 프로그램들의 대부분은 시스템을 운용할 때 발생하는 보안 문제를 다룬다. 즉, 이들 보안 프로그램들은 시스템 운용 전에 일어나는 시스템 정기 점검, 유지 보수 및 신규 서비스 개발과 같은 외부 요인에 의해 발생하는 보안 문제에 대응할 수 없다는 문제점을 갖는다.
이에 관련하여, 발명의 명칭이 "네트워크 접근 제어 시스템 및 방법"인 한국공개특허 제2013-0028323호가 존재한다.
본 발명은 관리자의 특별한 세팅 없이, 시스템에 대한 외부 개발자 또는 점검자의 접근 목적에 상응하는 필요 정보만을 제공하여 내부 시스템의 정보 유출을 막을 수 있는 보안 통제 장치 및 이의 작동 방법을 제공하는데 그 목적이 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 보안 통제 장치는, 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라 복수의 개발자들을 적어도 하나의 개발자 그룹들로 그룹화하는 그룹 관리부; 및 개발자 그룹들에게 접근 목적에 상응하는 파일 시스템으로 재구성하여, 개발자 그룹들 각각에 대해 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보들을 은닉시키는 은닉 처리부를 포함하는 것을 특징으로 한다.
또한, 본 발명의 보안 통제 장치는 적어도 하나의 개발자 그룹에 의해 시스템 상에 추가, 삭제 및 변경 중 적어도 하나에 대한 작업 이력을 저장하는 이력 관리부를 더 포함할 수 있다.
또한, 은닉 처리부는, 작업 이력을 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재할 때, 저장부에 저장된 데이터 테이블을 갱신할 수 있다.
또한, 본 발명의 보안 통제 장치는 작업 이력을 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재할 때, 변경 사항을 관리자에게 통보하는 보안 설정부를 더 포함할 수 있다.
또한, 은닉 처리부는, 시스템 상에 변경 사항이 존재할 때, 변경 사항을 근거로 시스템에 대한 파일 시스템의 재구성을 수행할 수 있다.
또한, 은닉 처리부는, 시스템 상에 변경 사항이 존재할 때, 변경 사항과 변경 사항이 존재하기 이전의 데이터를 별도로 저장할 수 있다.
또한, 은닉 처리부는, 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재하더라도, 변경 사항에 관계 없는 다른 개발자들에게는 변경 사항이 적용되기 전의 정보들만 제공할 수 있다.
또한, 접근 목적은 신규 개발, 유지 보수 및 정기 점검 중 적어도 하나일 수 있다.
또한, 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 등급 설정부를 더 포함할 수 있다.
또한, 은닉 처리부는, 등급 설정부에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 개발자 그룹들에 제공할 수 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 보안 통제 장치의 작동 방법은그룹 관리부에 의해, 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라 복수의 개발자들을 적어도 하나의 개발자 그룹들로 그룹화하는 단계; 및 은닉 처리부에 의해, 개발자 그룹들에게 접근 목적에 상응하는 파일 시스템으로 재구성하여, 개발자 그룹들 각각에 대해 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보들을 은닉시키는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 보안 통제 장치의 작동 방법은 이력 관리부에 의해, 적어도 하나의 개발자 그룹에 의해 시스템 상에 추가, 삭제 및 변경 중 적어도 하나에 대한 작업 이력을 저장하는 단계를 더 포함할 수 있다.
또한, 작업 이력을 저장하는 단계는, 작업 이력을 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재할 때, 저장부에 저장된 데이터 테이블을 갱신할 수 있다.
또한, 보안 설정부에 의해, 작업 이력을 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재할 때, 변경 사항을 관리자에게 통보하는 단계를 더 포함할 수 있다.
또한, 그 외의 정보들을 은닉시키는 단계는, 시스템 상에 변경 사항이 존재할 때, 변경 사항을 근거로 시스템에 대한 파일 시스템의 재구성을 수행할 수 있다.
또한, 그 외의 정보들을 은닉시키는 단계는, 시스템 상에 변경 사항이 존재할 때, 변경 사항과 변경 사항이 존재하기 이전의 데이터를 별도로 저장할 수 있다.
또한, 그 외의 정보들을 은닉시키는 단계는, 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재하더라도, 변경 사항에 관계 없는 다른 개발자들에게는 변경 사항이 적용되기 전의 정보들만 제공할 수 있다.
또한, 개발자 그룹들로 그룹화하는 단계 이전에, 등급 설정부에 의해 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 단계를 더 포함할 수 있다.
또한, 그 외의 정보들을 은닉시키는 단계는, 복수의 등급들로 분류하는 단계에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 개발자 그룹들에 제공할 수 있다.
본 발명의 보안 통제 장치 및 이의 작동 방법에 따르면, 관리자에게 특별한 세팅을 요청하지 않고도, 시스템에 접근하는 외부 개발자 또는 점검자의 접근 목적에 상응하는 필요 정보만을 제공하여, 시스템의 정보 유출을 막을 수 있는 효과가 있다.
또한, 본 발명의 보안 통제 장치 및 이의 작동 방법에 따르면, 시스템 간 연계 기능을 제공하여, 시스템 마다 계정을 추가적으로 만들어 배포할 필요 없이 하나의 시스템에서 통합 관리가 가능하고, 하나의 포인트 관리를 통해 작업자 그룹들에 대한 원활한 모니터링이 가능하며, 작업자 그룹에서 시스템의 우회를 통한 유출을 원천적으로 막을 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 보안 통제 시스템의 블록도이다.
도 2는 본 발명의 일 실시예에 따른 보안 통제 장치의 블록도이다.
도 3은 본 발명의 일 실시예에 따른 보안 통제 장치에 포함된 은닉 처리부에 대한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 대한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 파일 시스템을 재구성하는 단계에 대한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 데이터 테이블을 갱신하는 단계에 대한 흐름도이다.
도 7은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 1 시나리오에 대한 도면이다.
도 8은 도 7의 제 1 시나리오에 따라 생성되는 테이블이다.
도 9 및 도 10은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 2 시나리오에 대한 도면이다.
도 11은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 3 시나리오에 대한 도면이다.
도 12는 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 4 시나리오에 대한 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 통제 장치의 블록도이다.
도 3은 본 발명의 일 실시예에 따른 보안 통제 장치에 포함된 은닉 처리부에 대한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 대한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 파일 시스템을 재구성하는 단계에 대한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 데이터 테이블을 갱신하는 단계에 대한 흐름도이다.
도 7은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 1 시나리오에 대한 도면이다.
도 8은 도 7의 제 1 시나리오에 따라 생성되는 테이블이다.
도 9 및 도 10은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 2 시나리오에 대한 도면이다.
도 11은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 3 시나리오에 대한 도면이다.
도 12는 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 4 시나리오에 대한 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 도 1을 참조로, 본 발명의 실시예에 따른 보안 통제 시스템(1000)에 대하여 설명하도록 한다. 도 1은 본 발명의 일 실시예에 따른 보안 통제 시스템의 블록도이다. 도 1에 도시된 바와 같이, 보안 통제 시스템(1000)은 외부 개발자 그룹, 즉, 다수의 개발자 그룹들(11 내지 13)과 시스템(20) 간의 보안 통제를 수행하는 기능을 한다. 이러한 보안 통제 시스템(1000)은 다수의 개발자 그룹들 즉, 제 1 개발자 그룹 (11) 내지 제 N 개발자 그룹(13)과 시스템(20) 사이에 보안 통제 장치(100)를 통해 시스템 상의 정보를 액세스 시킬 수 있다. 여기서, 보안 통제 장치(100)는 다수의 개발자 그룹들의 시스템 접근 목적에 따라, 중요 정보를 은닉하고, 파일 시스템을 재구성하는 기능을 한다. 즉, 보안 통제 장치(100)를 통해, 제 1 개발자 그룹(11) 내지 제 N 개발자 그룹(13) 각각은 그룹 각각에 필요한 필요 정보를 액세스 할 수 있고, 접근 목적에 관련 없는 정보에 대한 접근은 차단된다. 여기서, 접근 목적은 예를 들어, 신규 개발, 유지 보수 및 정기 점검을 포함할 수 있다.
또한, 본 발명에 따른 보안 통제 장치(100)는 이력 저장 기능을 이용하여, 시스템(20) 상에서 발생하는 모든 변경 사항을 모니터링할 수 있다. 여기서, 이력 저장 기능은 예를 들어, 오픈 소스로 배포되는 예를 들어, SVN(Subversion) 및 CVS(Concurrent Versions System)와 같은 형상 관리 프로그램을 통해 수행될 수 있다. 그 후, 보안 통제 장치(100)는 모니터링을 통해 검출된 변경 이력 로그 파일을 분석하여, 이를 접근 목적별로 생성된 데이터 테이블에 저장할 수 있다. 이렇게 저장된 은닉 데이터 테이블과, 이하에서 언급되는 은닉 처리 알고리즘을 통해 다수의 개발자 그룹들(11 내지 13)에 맞춤형 파일 시스템을 제공할 수 있다.
이하, 도 2를 참조로, 도 1에서 언급된 보안 통제 장치(100)를 더 서술한다. 도 2는 본 발명의 일 실시예에 따른 보안 통제 장치(100)의 블록도이다. 본 발명의 일 실시예에 따른 보안 통제 장치(100)는 등급 설정부(110), 보안 설정부(120), 그룹 관리부(130), 은닉 처리부(140), 저장부(150) 및 이력 관리부(160)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따른 보안 통제 장치(100)에 포함된 각 구성들에 대한 서술은 이하에서 이루어진다. 도면에서, 개발자 그룹들은 2개만이 도시되어 있으나, 이는 본 발명의 이해를 돕기 위해 단순화된 것임이 이해되어야 한다. 또한, 제 1 개발자 그룹(11)은 접근 목적이 신규 개발인 그룹으로 가정된다. 또한, 제 2 개발자 그룹(12)은 접근 목적이 유지 보수인 그룹으로 가정된다.
등급 설정부(110)는 도 1에 도시된 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 기능을 한다. 즉, 등급 설정부(110)는 기설정된 등급 분류 기준에 따라, 시스템 상의 데이터 들을 분류할 수 있다. 여기서, 등급들에 대한 개수는 특정 개수로 제한되지 않고, 설정에 따라 가변될 수 있다는 것이 이해되어야 한다.
보안 설정부(120)는 보안 관련 설정 예를 들어, 등급 설정부(110)에서 설정된 등급별 공개 여부 및 접속이 허용된 외부 시스템의 통신 정보 등을 관리하는 기능을 한다. 구체적으로, 보안 설정부(120)는 해당 시스템에 대한 보안 정책을 모니터링하는 기능을 하고, 예를 들어, 네트워크의 방화벽 설정, 계정 관리, 공유 권한, 사용자 그룹 설정 및 IIS 서비스 구동 항목에 대한 점검을 수행할 수 있다. 또한, 보안 설정부(120)는 이하에서 언급되는 작업 이력은 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재한다고 감지할 때, 변경 사항을 관리자에게 통보하는 기능을 한다.
그룹 관리부(130)는 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라 적어도 하나의 개발자 그룹들로 그룹화하는 기능을 한다. 여기서, 접근 목적은 도 1을 참조로 언급한 것처럼, 신규 개발, 유지 보수 및 정기 점검 중 적어도 하나일 수 있다. 이러한 그룹 관리부(130)의 분류를 통해, 본 발명의 보안 통제 장치(100)는 복수의 개발자들에 대해 접근 목적 별 은닉 처리가 가능해 진다.
은닉 처리부(140)는 적어도 하나의 개발자 그룹들에게 접근 목적에 상응하는 파일 시스템으로 재구성하는 기능을 한다. 또한, 은닉 처리부(140)는 적어도 하나의 개발자 그룹들 각각에 대해 접근 목적에 상응하는 필요 정보들을 공개하고, 그 외의 정보들을 은닉시키는 기능을 한다. 즉, 은닉 처리부(140)는 이렇게 적어도 하나의 개발자 그룹 각각에 대해 접근 목적에 상응하는 정보들 및 파일 시스템을 제공하고 그 외의 정보들은 은닉시켜, 앞서 언급한 보안 문제를 해소할 수 있다. 또한, 은닉 처리부(140)는 등급 설정부(110)에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 적어도 하나의 개발자 그룹들에 제공할 수 있다.
또한, 은닉 처리부(140)는 후술되는 이력 관리부(160)에서 생성된 작업 이력을 근거로, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재하는지 감지할 수 있다. 여기서, 적어도 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재한다고 판단할 때, 저장부(150)에 저장된 데이터 테이블을 갱신할 수 있다. 또한, 데이터 테이블의 갱신은 접근 목적별로 수행될 수 있고, 해당 그룹 별로 수행될 수 있다. 여기서, 저장부(150)는 은닉 알고리즘에 의해 은닉된 파일 및 폴더 정보, 그리고 파일 시스템 및 데이터 테이블을 저장하는 기능을 한다.
은닉 처리부(140)는 시스템 상에 변경 사항이 존재할 때, 즉, 데이터 테이블을 갱신할 때, 변경 사항과 변경 사항이 존재하기 이전의 데이터를 별도로 저장할 수 있다. 구체적으로, 은닉 처리부(140)는 하나의 개발자 그룹에 의해 시스템 상에 변경 사항이 존재하더라도, 변경 사항에 관계 없는 다른 개발자들에게는 변경 사항이 적용되기 전의 정보들만 제공할 수 있다. 이를 통해, 관리자 또는 해당 개발자 그룹은 차후의 관리가 용이해진다. 즉, 해당 개발자 그룹은 차후에 문제가 발생하더라도 언제든지 해당 과거 시점으로의 롤백이 가능하고, 관리자는 다른 개발자 그룹으로의 정보 공개 시, 변경 사항이 발생하기 전의 정보만을 공개할 수 있는 장점이 있다.
또한, 은닉 처리부(140)는 시스템 상에 변경 사항이 존재할 때, 변경 사항을 근거로 상기 시스템에 대한 파일 시스템의 재구성을 수행할 수 있다.
이력 관리부(160)는 적어도 하나의 개발자 그룹에 의해 시스템 상에 추가, 삭제 및 변경 중 적어도 하나에 대한 작업 이력을 저장하는 기능을 한다. 여기서, 이력 관리부(160)는 도 1을 참조로 언급한 형상 관리 프로그램을 이용하여 상기 기능을 수행할 수 있다. 또한, 이력 관리부(160)는 이러한 변경 사항에 대해 버전 별로 저장할 수 있다. 이를 통해, 관리자 또는 적어도 하나의 개발자 그룹 각각은 차후에 추가적인 작업을 수행하더라도 언제든지 변경사항이 발생한 시점으로 롤백을 수행할 수 있다. 또한, 이력 관리부(160)에 저장된 작업 이력을 근거로, 앞서 언급한 은닉 처리부(140)에서 시스템 상에 변경 사항이 존재하는지에 대한 판단이 가능하다.
상술한 본 발명의 보안 통제 장치(100)를 통해, 접근 목적이 신규 개발인 제 1 개발자 그룹(11)은 제 2 개발자 그룹(12)에서 변경되는 정보 및 데이터로의 접근이 불가능하다. 즉, 유지 보수를 수행하는 제 2 개발자 그룹(12)에서 데이터 및 정보의 변경을 수행하더라도, 본 발명의 보안 통제 장치(100)는 제 1 개발자 그룹에 해당 정보를 은닉 시키거나 또는 변경이 수행되기 이전의 데이터로 롤백된 정보 및 파일 시스템을 공개하기 때문이다. 또한, 다른 예시로서, 접근 목적이 신규 개발인 제 3 개발자 그룹이 더 존재한다고 가정하자. 이 경우도, 앞선 예시와 마찬가지로, 서로의 그룹들간의 데이터는 은닉되거나 롤백된 데이터만이 공개되므로, 보안 문제가 해결될 수 있다.
이하, 도 3을 참조로, 도 2에서 언급한 은닉 처리부(140)를 더 서술한다. 도 3은 본 발명의 일 실시예에 따른 보안 통제 장치에 포함된 은닉 처리부(140)에 대한 블록도이다. 본 발명의 보안 통제 장치에 포함된 은닉 처리부(140)는 데이터 테이블 갱신부(141), 파일 시스템 재구성부(142) 및 서비스 제공부(143)를 포함하여 구성된다. 이들 각 구성에 대한 서술은 이하에서 이루어진다.
데이터 테이블 갱신부(141)는 접근 목적에 대해 신규 개발 및 유지 보수 내역에 대한 작업 이력을 호출하여, 각 접근 목적에 따라 테이블 생성 또는 변경 이력을 저장하는 기능을 한다.
이를 위해, 데이터 테이블 갱신부(141)는 먼저, 신규 개발 및 유지 보수 내역에 대한 분석을 수행한다. 그 후, 데이터 테이블 갱신부(141)는 분석 결과를 근거로, 시스템에 대한 변경이 존재하는지 확인한다. 확인 결과, 변경 사항이 검출되면, 보안 통제 정책에 대한 은닉 테이블의 갱신을 준비한다. 반대로, 변경 사항이 존재하지 않는다면, 이러한 확인 과정을 반복적으로 수행하게 된다. 또한, 보안 통제 정책은 도 2에서 등급 설정부 및 보안 설정부를 통해 설정된 사항, 예를 들어, 시스템의 데이터에 대한 등급 설정과 등급별 데이터에 대한 공개 여부 등이 포함된다. 이러한 사항을 고려하여, 저장부에 저장된 데이터 테이블을 갱신할 수 있다. 여기서, 데이터 테이블은 크게 시스템 테이블과 접근 그룹 테이블로 분류될 수 있다. 시스템 테이블은 시스템 설정 및 보안 설정 관련 파일의 위치 정보, 설치 SDK 파일 정보 및 설치 파일 시스템 구성 정보를 포함한다. 즉, 시스템 테이블은 파일 시스템을 재구성 할 때, 시스템 개발 및 유지 보수에 필요한 파일 및 폴더가 은닉되지 않도록 관련 정보를 제공하는 기능을 한다. 또한, 접근 그룹 테이블은 앞서 도 2를 참조로 언급한 복수의 개발자 그룹들 각각에 대한 작업 정보 테이블을 나타낸다.
파일 시스템 재구성부(142)는 데이터 테이블 갱신부(141)를 통해 은닉 대상 파일 및 폴더를 확인하여, 해당 파일이 포함된 폴더 전체를 은닉할 수 있다. 또한, 파일 시스템 재구성부(142)는 시스템에 변경 사항이 존재한다고 판단될 때, 파일 시스템에 대한 재구성을 수행할 수 있다. 여기서, 파일 시스템 재구성부(142)는 폴더 전체에 대한 은닉 시, 해당 폴더에 대한 시스템 설정 파일의 포함 여부와, 하위 폴더에 은닉 대상 파일 및 폴더가 포함되었는지 확인 후, 재구성을 수행한다. 여기서, 시스템 설정 파일은 예를 들어, 시스템 신규 개발 및 유지 보수에 필요한 설정 파일을 나타낸다.
서비스 제공부(143)는 앞서 언급한 데이터 테이블 갱신부(141) 및 파일 시스템 재구성부(142)를 이용하여 설정된 결과를 근거로, 다수의 개발자 그룹에 서비스를 제공하는 기능을 한다. 즉, 신규 개발을 수행하는 개발자 그룹에는 신규 개발에 상응하는 필요 정보를, 유지 보수를 수행하는 개발자 그룹에는 유지 보수에 상응하는 필요 정보를 서비스하는 기능을 한다.
이하, 도 4를 참조로, 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법을 더 서술한다. 도 4는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 대한 흐름도이다. 이하의 서술에서, 도 2를 참조로 언급한 것과 중복되는 사항은 명세서의 명료함을 위해 생략된다.
먼저, 등급 설정부에 의해, 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 단계(S410)가 수행된다. 여기서 중요도는 앞서 도 2를 참조로 언급한 기설정된 등급 분류 기준에 따라 분류된다. 예를 들어, 데이터들은 4개의 등급으로 분류될 수 있다. 일 예시로서, 데이터들은 제 1 등급인 중요 데이터, 제 2 등급인 소스 프로그램, 제 3 등급인 보안 설정 파일 및 제 4 등급인 공통 설정 파일로 분류될 수 있다. 여기서, 등급의 개수 및 등급 분류 기준은 사용자 또는 관리자에 의해 다양하게 변경될 수 있고, 이에 한정되지 않는다.
그 후, 그룹 관리부에 의해, 복수의 개발자들의 접근 목적에 따라 그룹화를 수행하는 단계(S420)가 수행된다. 앞서 언급한 것처럼, 접근 목적은 신규 개발, 유지 보수 및 정기 점검 중 적어도 하나일 수 있다. 이러한 접근 목적에 따라, 복수의 개발자들에 대한 그룹화가 수행된다. S420 단계는 이러한 그룹화를 통해, 접근 목적이 신규 개발인 그룹, 접근 목적이 유지 보수인 그룹, 그리고 접근 목적이 정기 점검인 그룹이 별도로 구분될 수 있어서, 각 접근 목적에 따른 필요 정보를 제공하는 것을 용이하게 한다. 물론, 각 접근 목적에 다른 필요 정보 외의 정보의 은닉 또한, 용이해진다.
그 후, 은닉 처리부에 의해, 파일 시스템을 재구성하는 단계(S430)가 수행된다. 여기서, 구체적으로, S430 단계는 복수의 그룹들 각각의 접근 목적에 따라, 필요 정보를 제공하고 그외의 정보를 은닉하는 기능을 한다. 또한, S430 단계는 S410 단계에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 적어도 하나의 개발자 그룹들에 제공할 수 있다.
그 후, 은닉 처리부에 의해, 적어도 하나의 개발자 그룹들에게 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보는 은닉하여 제공하지 않는 단계(S440)가 수행된다.
그 후, 은닉 처리부에 의해, 이력 관리부에 저장된 작업 이력을 확인하는 단계(S450)가 수행된다.
S450 단계에서 확인된 작업 이력을 근거로, 은닉 처리부에 의해, 시스템 상에서 적어도 하나의 개발자 그룹들에 의한 변경 사항이 존재하는지 판단하는 단계(S460)가 수행된다. S460 단계에서의 판단 결과, 변경 사항이 존재한다고 판단되면 제어는 S470 단계로 전달된다. 그렇지 않다면 제어는 S450 단계로 되돌아가서, 상기 단계를 다시 수행한다.
S470 단계는, 은닉 처리부에 의해, 변경 사항이 있는 작업 이력을 근거로, 데이터 테이블을 갱신하는 단계이다. 여기서 데이터 테이블은 시스템 테이블과 접근 그룹 테이블로 분류될 수 있다. 이들 그룹에 대한 설명은 도 3을 참조로 이루어졌으므로, 여기서 추가적인 서술은 생략된다.
그 후, 보안 설정부에 의해, 관리자에게 변경 사항이 존재한다고 통보하는 단계(S480)가 수행된다. S480 단계에서 수행되는 통보 방식은 예를 들어, SMS, MMS, E-Mail, 알람 등 다양한 방식을 통해 이루어질 수 있고, 이들 방식으로 제한되지 않는다는 것이 이해되어야 한다.
그 후, 사용자에 의해 종료 요청을 수신하였는지 판단하는 단계(S490)가 수행된다. S490 단계에서, 사용자에 의해 종료 요청을 수신하였으면 제어는 종료 블록으로 전달된다. 그렇지 않다면, 제어는 S430 단계로 전달되어, 상술한 단계들을 반복 수행한다.
이하, 도 5를 참조로 도 4의 S430 단계를 더 서술한다. 도 5는 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 파일 시스템을 재구성하는 단계에 대한 흐름도이다. 이하의 서술에서, 도 3의 은닉 처리부에 대한 서술과 중복되는 사항은 명세서의 명료함을 위해 생략된다.
먼저, 시스템에 접근하는 개발자 그룹의 접근 목적이 신규 개발인지 판단하는 단계(S501)가 수행된다. S501 단계에서의 판단 결과, 접근 목적이 신규 개발이 맞다고 판단되면 제어는 S502 단계로 전달된다. 그렇지 않다면 제어는 S508 단계로 전달된다.
S502 단계는 파일 시스템 구성에 필요한 정보 외의 다른 데이터 테이블과, 상위 등급의 보안 등급 데이터를 은닉하는 단계이다. 즉, S502 단계는 신규 개발을 수행하는 개발자 그룹에게 필요한 정보만을 공개하기 위해 수행되는 단계로서, 도 2를 참조로 언급된 기설정된 허용 등급 내의 데이터만 제공된다. 예를 들어, 시스템 상의 데이터가 4개의 등급 즉, 제 1 등급 내지 제 4 등급으로 분류되어있다고 가정하자. 여기서, 보안 통제 장치에 포함된 보안 설정부에 의해, 본 신규 개발을 수행하는 개발자 그룹에 제 3 등급 및 제 4 등급의 데이터만이 제공된다면, 제 3 등급 및 제 4 등급보다 상위 등급의 데이터 즉, 제 1 등급 및 제 2 등급의 데이터는 은닉된다. 그 후, 제어는 S503 단계로 전달된다.
S508 단계는 S501 단계에서, 접근 목적이 신규 개발이 아니라고 판단될 때 수행되는 단계로서, 시스템에 대한 접근 목적이 유지 보수인지 판단하는 단계이다. S508 단계에서의 판단 결과, 접근 목적이 유지 보수인 것으로 판단되면 제어는 S509 단계로 전달된다. 그렇지 않다면 파일 시스템의 재구성은 종료되고, 제어는 S440 단계로 전달되어 도 4를 참조로 언급한 단계들이 수행된다.
S509 단계는 데이터 테이블, 구체적으로 데이터 테이블에 포함된 접근 그룹 테이블을 참조로, 서비스 관련 파일 및 폴더의 은닉을 수행한다. 여기서, 접근 그룹 테이블에 대한 설명은 앞서 도 3을 참조로 이루어졌으므로, 명세서의 명료함을 위해 이에 대한 추가적인 서술은 생략한다. 그 후, 제어는 S503 단계로 전달된다.
S503 단계는, 은닉 대상 폴더가 다른 서비스를 위한 코드 및 데이터를 포함하는지 판단하는 단계이다. S503 단계에서의 판단 결과, 은닉 대상 폴더가 다른 서비스를 위한 코드 및 데이터를 포함한다고 판단되면, 제어는 S504 단계로 전달된다. 그렇지 않다면 제어는 S510 단계로 전달된다.
S504 단계는 해당 파일을 은닉하는 단계이고, S505 단계는 보안 관련 설정 파일을 은닉하는 단계이다. S505 단계에서, 은닉되는 보안 관련 설정 파일은 사용자의 설정에 따라 변경될 수 있다는 것이 이해되어야 한다. 예를 들어, 제 1 등급이 중요 데이터, 제 2 등급이 소스 프로그램, 제 3 등급이 보안 설정 파일 및 제 4 등급이 공통 설정 파일이라고 가정하자. 이 경우, 현재는 제 3 등급의 보안 설정 파일에 대한 처리를 수행하나, 이 등급에 대한 설정은 관리자의 설정에 따라 가변될 수 있다. 이러한 은닉 과정이 완료되면 제어는 S506 단계로 전달된다.
S510 단계는 은닉 대상 파일이 하위 폴더에 존재하는지 판단하는 단계이다. S510 단계에서의 판단 결과, 은닉 대상 파일이 하위 폴더에 존재한다고 판단되면 제어는 S511 단계로 전달된다. 그렇지 않다면, 제어는 S512 단계로 전달된다.
S511 단계는 해당 하위 폴더를 제외한 모든 파일 및 폴더를 은닉시키는 단계이다. S512 단계는 해당 폴더 전체에 대해 은닉을 수행하는 단계이다. S510 단계에서 각 경우에 대해 수행되는 S511 단계 및 S512 단계가 완료되면 제어는 S505 단계로 전달되어, 상술한 보안 설정 파일에 대한 은닉 처리를 수행하게 된다.
S506 단계는 은닉 대상 폴더가 시스템 설정 파일 및 시스템 폴더를 포함하는지 판단하는 단계이다. S506 단계에서의 판단 결과, 은닉 대상 폴더가 시스템 설정 파일 및 시스템 폴더를 포함한다고 판단되면, 제어는 S507 단계로 전달된다. 그렇지 않다면 제어는 S513 단계로 전달된다.
S507 단계는 해당 파일만 은닉시키는 단계이다. 그 후, 제어는 S440 단계로 전달된다.
S513 단계는 은닉 대상 파일이 하위 폴더에 존재하는지 판단하는 단계이다. S514 단계는 해당 하위 폴더를 제외한 모든 파일 및 폴더를 은닉시키는 단계이다. S515 단계는 해당 폴더 전체에 대해 은닉을 수행하는 단계이다. S513 단계에서 각 경우에 대해 수행되는 S514 단계 및 S515 단계가 완료되면 제어는 S440 단계로 전달되어, 도 4를 참조로 언급한 과정들을 수행하게 된다.
이하, 도 6을 참조로, 도 4의 S470 단계를 보다 구체적으로 서술한다. 도 6은 본 발명의 일 실시예에 따른 보안 통제 장치의 작동 방법에 포함된 데이터 테이블을 갱신하는 단계에 대한 흐름도이다. 이하의 서술에서, 도 3의 은닉 처리부에 대한 서술과 중복되는 사항은 명세서의 명료함을 위해 생략된다.
먼저, 이력 관리부로부터의 작업 이력을 근거로, 신규 개발 이력 및 유지 보수 내역을 분석하는 단계(S610)가 수행된다.
그 후, 보안 통제 정책에 의한 데이터 테이블의 갱신을 준비하는 단계(S620)가 수행된다.
그 후, 핵심 코드 및 중요 데이터가 생성 및 추가되었는지 판단하는 단계(S630)가 수행된다. S630 단계에서의 판단 결과, 핵심 코드 및 중요 데이터가 생성 및 추가 되었다고 판단되면, 제어는 S640 단계로 전달되어 접근 그룹 테이블에 대한 갱신이 수행된다. 그렇지 않다면, 제어는 S660 단계로 전달되어, 시스템 보안 테이블에 대한 갱신이 수행된다. 여기서, 시스템 보안 테이블은 도 3을 참조로 언급한 것처럼, 시스템 보안 관련 설정 변경 내용을 저장 및 관리하는 테이블을 나타낸다. 그 후, 제어는 S650 단계로 전달된다.
S650 단계는 보안 설정부를 통해, 그룹별 테이블에 대한 보안 등급의 갱신을 수행하는 단계이다. 그 후, 제어는 S480 단계로 전달된다.
이하, 도 7 내지 도 12를 참조로, 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 시나리오를 서술한다. 도 7 내지 도 12를 참조로 서술되는 시나리오는 다음과 같다. 먼저, 초기 시스템에 A 서비스를 개발하는 제 1 시나리오, 신규 B 서비스를 추가 개발하는 제 2 시나리오, A 서비스에 대한 유지 보수를 수행하는 제 3 시나리오 그리고 A 서비스와 B 서비스 간의 연계를 나타내는 제 4 시나리오가 존재한다. 도 7은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 1 시나리오에 대한 도면이다. 도 8은 도 7의 제 1 시나리오에 따라 생성되는 테이블이다.
제 1 시나리오는 초기 시스템에 A 서비스를 개발하는 과정을 나타낸다. 도 7 및 도 8을 참조하면 이는 더 분명해진다. 도 7에서, 도면 부호 71은 A 서비스 개발하기 전의 파일 시스템 구조, 도면 부호 72는 A 서비스 개발 도중의 파일 시스템 구조, 그리고 도면 부호 73은 서비스 개발 완료가 완료된 서비스 개발 구조를 나타낸다. 도면에서, O는 시스템 파일을, O은 변경된 시스템 파일을, A는 서비스 파일을, 그리고 O 및 A 뒤의 숫자는 보안 등급을 나타낸다. 또한, 도 8에서, 도면 부호 81은 도 7의 파일 시스템(71)에 대응하는 데이터 테이블을, 도면 부호 82는 도 7의 파일 시스템(72)에 대응하는 데이터 테이블을, 그리고 도면 부호 83 및 84는 도 7의 파일 시스템(73)에 대응하는 데이터 테이블을 나타낸다. 또한, 도 8에서, 도면 부호 TO는 시스템 테이블을, 도면 부호 TA는 접근 그룹 테이블을 나타낸다. 본 예시에서, 도 7 및 도 8에 도시된 시스템 구조 및 데이터 테이블은 단지 명세서의 이해를 돕기 위해 도시된 것이고, 이에 대한 형태만으로 제한되지 않는다.
도 7의 시스템 구조(72) 및 도 8의 데이터 테이블(82)을 참조하면, A 서비스에 대해 제 2 등급으로 2개의 폴더, 그리고 제 1 등급으로 1개의 폴더가 2012년 5월 25일 자로 생성되었다. 또한, 도 7의 시스템 구조(73) 및 도 8의 데이터 테이블(83 및 84)을 참조하면, 데이터 테이블 즉, 시스템 테이블(71)에 대해, 제 3 등급 및 제 4 등급에 해당하는 폴더가 각각 2012년 6월 30일 자로, 하나씩 수정되었다는 것을 알 수 있다. 이러한 수정을 수행한 주체는 A 서비스 그룹이므로, 이러한 A 개발자 그룹에 대응하는 접근 그룹 테이블에도 이러한 사항이 함께 기록된다. 즉, 시스템 테이블(TO)에서 관리되는 시스템 파일이 A 서비스 설정을 위해 변경될 경우, 이러한 사항은 시스템 테이블(T0) 및 접근 그룹 테이블(TA)에서 각각 저장하게 된다. 이를 통해, A 서비스의 코드 및 알고리즘(파일 및 폴더)를 제외시킬 경우, 시스템 설정 값도 A 서비스 이전 상태로 되돌릴 수 있다.또한, A 개발자 그룹에 의해 제 2 등급에 상응하는 폴더가 하나 더 추가되었다는 것을 알 수 있다.
도 9 및 도 10은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 2 시나리오에 대한 도면이다. 위에서 언급한 바와 같이, 제 2 시나리오는 신규 B 서비스를 추가로 개발하는 시나리오를 나타낸다. 구체적으로, 도 9는 A 서비스가 개발 완료된 시스템에, 추가로 신규 B 서비스를 개발할 경우의 B 서비스 개발자에게 제공되는 파일 시스템의 생성 과정을 나타낸다. 본 예시에서, B 개발자 그룹에게는 제 4 등급의 데이터만이 제공된다고 가정한다.
도 9를 참조하면, 먼저, A 개발자 그룹에 의해 변경된 사항을 제외시켜, 파일 시스템(92)이 생성된다. 그 후, 앞서 가정된 보안 정책을 근거로, 제 1 등급 내지 제 3 등급에 대한 데이터의 은닉 과정이 수행된다. 그 후, 시스템 테이블(T0, 도 8 참조)을 참조하여 A 개발자 그룹에 의해 변경된 사항을 롤백 시킨다. 이런 과정을 거쳐 파일 시스템(93)이 최종적으로 생성된다.
도 10을 참조하면, 본 발명의 보안 통제 장치에 의해 B 개발자 그룹에게 제공되는, 즉 도 9에서 최종적으로 생성된 파일 시스템(101)이 도시된다. 그 후, B 개발자 그룹에 의해 개발 완료된 후의 파일 시스템(102)이 도시된다. 도 10에서, O는 시스템 파일을, O"은 변경된 시스템 파일을, B는 서비스 파일을, 그리고 O 및 B 뒤의 숫자는 보안 등급을 나타낸다. 즉, B 개발자 그룹에 의해, 제 4 등급에 해당하는 시스템 파일 중 하나가 수정되었고, 제 1 등급에 해당하는 B 그룹 폴더가 하나, 제 2 등급에 해당하는 B 그룹 폴더 2개가 추가되었다. 이렇게 B 작업자 그룹은 B 그룹에서 수정한 최종본인 파일 시스템(102)에 대한 정보만을 알지만, 실제 시스템에서는 A 서비스와 B 서비스가 모두 적용된 파일 시스템(103)에 대한 정보를 갖게 된다.
도 11은 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 3 시나리오에 대한 도면이다. 여기서, 제 3 시나리오는 A 서비스에 대한 유지 보수 과정을 나타낸다. 본 예시에서도, 유지 보수를 수행하는 작업자 그룹에게 제 4 등급에 해당하는 데이터만 공개된다고 가정된다. A 서비스를 유지 보수할 경우, 도 10에서 도시된 제 2 시나리오와 마찬가지로, 유지보수를 수행하는 작업자 그룹에 B 서비스에 대응하는 코드 및 알고리즘과 중요 데이터를 접근 그룹 테이블(TB)을 이용하여 제외시켜야 한다. 즉, 실제 파일 시스템(111)에서 먼저, 데이터 테이블, 구체적으로, 접근 그룹 테이블(TB)을 이용하여, B 서비스에 해당하는 서비스 코드 및 데이터를 은닉시켜 파일 시스템(112)를 생성한다. 그 후, 시스템 파일에 대해 변경된 O4'" 폴더를 접근 그룹 테이블(TA)을 이용하여 롤백시키고, 시스템 데이터에서 제 4 등급에 해당하는 데이터만을 공개하고 그 외 시스템 데이터는 은닉시킨다. 이렇게 A 서비스에 대한 유지 보수를 수행하는 작업자 그룹에 제공되는 파일 시스템(113)이 최종적으로 생성된다.
도 12는 본 발명의 보안 통제 장치를 이용하여 보안 통제를 수행하는 제 4 시나리오에 대한 도면이다. 제 4 시나리오는 시스템간의 연계에 대한 시나리오를 나타낸다. 즉, 제 4 시나리오는 하나의 시스템에 여러 서비스의 개발이 이뤄질 경우, 시스템 간의 연계에 대한 시나리오를 나타낸다. 이를 위해, 본 발명의 보안 통제 장치는 도 12에 도시된 것처럼, 2개의 시스템을 하나의 파일 시스템으로 재구성하여, 개발자 그룹에 제공할 수 있다. 이를 통해, 여러 개의 시스템이 하나의 파일 시스템으로 관리될 수 있기에, 작업자 그룹에 대한 작업 수행이 더 용이하게 이뤄질 수 있다. 또한, 하나의 포인트로 관리하는 특징에 기인하여, 작업자 그룹이 작업한 모든 이력에 대해 모니터링이 가능하고, 시스템의 우회를 통해 데이터를 유출하는 시도 또한, 원천적으로 차단할 수 있다.
도 12에서, 도면 부호 121은 T 서비스에 대한 파일 시스템을 나타낸다. 또한, 도 12에서, 도면 부호 122는 A 서비스에 대한 파일 시스템을 나타낸다. 또한, 도 12에서, 파일 시스템(121)은 ESB 서버에서, 그리고 파일 시스템(122)은 Application 서버에서 생성되는 것으로 가정된다. 도 12에서의 T 서비스에 대한 파일 시스템(121)과 A 서비스에 대한 파일 시스템(122)은 본 발명의 보안 통제 장치에 의해 시스템에 접근하는 개발자 그룹들의 접근 목적에 따라 재구성된 파일 시스템을 나타낸다. 이러한 재구성 과정에 대해서는 앞선 도면들을 참조로 상세히 언급하였으므로, 명세서의 간소화를 위해 추가적인 서술은 생략한다.
이렇게, 각 파일 시스템(121, 122)의 재구성이 완료되면, 시스템 연계를 위해 이들의 루트 이름을 변경하는 과정이 수행된다. 본 예시에서는 편의를 위해 루트 이름을 호스트 네임으로 변경하였으나, 이들 루트 이름은 다양하게 변경될 수 있다. 이렇게, 루트 이름의 변경이 완료되면 각 파일 시스템(121, 122)의 머지(merge) 과정이 수행되어, 최종적으로 파일 시스템(123)이 생성된다. 도 12에서, 도면 부호 123a는 T 서비스에 대한 파일 시스템을, 도면 부호 123b는 A 서비스에 대한 파일 시스템을 나타낸다.
본 발명에 따른 보안 통제 장치 및 이의 작동 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 모든 형태의 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 원리들의 교시들은 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다. 또한, 소프트웨어는 프로그램 저장부 상에서 실재로 구현되는 응용 프로그램으로서 구현될 수 있다. 응용 프로그램은 임의의 적절한 아키텍쳐를 포함하는 머신에 업로드되고 머신에 의해 실행될 수 있다. 바람직하게는, 머신은 하나 이상의 중앙 처리 장치들(CPU), 컴퓨터 프로세서, 랜덤 액세스 메모리(RAM), 및 입/출력(I/O) 인터페이스들과 같은 하드웨어를 갖는 컴퓨터 플랫폼 상에 구현될 수 있다. 또한, 컴퓨터 플랫폼은 운영 체제 및 마이크로 명령 코드를 포함할 수 있다. 여기서 설명된 다양한 프로세스들 및 기능들은 마이크로 명령 코드의 일부 또는 응용 프로그램의 일부, 또는 이들의 임의의 조합일 수 있고, 이들은 CPU를 포함하는 다양한 처리 장치에 의해 실행될 수 있다. 추가로, 추가 데이터 저장부 및 프린터와 같은 다양한 다른 주변 장치들이 컴퓨터 플랫폼에 접속될 수 있다.
첨부 도면들에서 도시된 구성 시스템 컴포넌트들 및 방법들의 일부가 바람직하게는 소프트웨어로 구현되므로, 시스템 컴포넌트들 또는 프로세스 기능 블록들 사이의 실제 접속들은 본 발명의 원리들이 프로그래밍되는 방식에 따라 달라질 수 있다는 점이 추가로 이해되어야 한다. 여기서의 교시들이 주어지면, 관련 기술분야의 당업자는 본 발명의 원리들의 이들 및 유사한 구현예들 또는 구성들을 참작할 수 있을 것이다.
100 : 보안 통제 장치 110 : 등급 설정부
120 : 보안 설정부 130 : 그룹 관리부
140 : 은닉 처리부 150 : 저장부
160 : 이력 관리부
120 : 보안 설정부 130 : 그룹 관리부
140 : 은닉 처리부 150 : 저장부
160 : 이력 관리부
Claims (19)
- 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라, 상기 복수의 개발자들을 적어도 하나의 개발자 그룹들로 그룹화하는 그룹 관리부; 및
상기 개발자 그룹들에게 상기 접근 목적에 상응하는 파일 시스템으로 재구성하여, 상기 개발자 그룹들 각각에 대해 상기 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보들을 은닉시키는 은닉 처리부를 포함하는 것을 특징으로 하는, 보안 통제 장치. - 제1항에 있어서,
상기 개발자 그룹에 의해 상기 시스템 상에 추가, 삭제 및 변경 중 적어도 하나에 대한 작업 이력을 저장하는 이력 관리부를 더 포함하는 것을 특징으로 하는, 보안 통제 장치. - 제2항에 있어서.
상기 은닉 처리부는,
상기 작업 이력을 근거로, 상기 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재할 때, 저장부에 저장된 데이터 테이블을 갱신하는 것을 특징으로 하는, 보안 통제 장치. - 제2항에 있어서.
상기 작업 이력을 근거로, 상기 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항을 관리자에게 통보하는 보안 설정부를 더 포함하는 것을 특징으로 하는, 보안 통제 장치. - 제1항에 있어서,
상기 은닉 처리부는,
상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항을 근거로 상기 시스템에 대한 파일 시스템의 재구성을 수행하는 것을 특징으로 하는, 보안 통제 장치. - 제1항에 있어서,
상기 은닉 처리부는,
상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항과 상기 변경 사항이 존재하기 이전의 데이터를 별도로 저장하는 것을 특징으로 하는, 보안 통제 장치. - 제6항에 있어서,
상기 은닉 처리부는,
하나의 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재하더라도, 상기 변경 사항에 관계 없는 다른 개발자들에게는 상기 변경 사항이 적용되기 전의 정보들만 제공하는 것을 특징으로 하는, 보안 통제 장치. - 제1항에 있어서,
상기 접근 목적은 신규 개발, 유지 보수 및 정기 점검 중 적어도 하나인 것을 특징으로 하는, 보안 통제 장치. - 제1항에 있어서,
상기 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 등급 설정부를 더 포함하는 것을 특징으로 하는, 보안 통제 장치. - 제9항에 있어서,
상기 은닉 처리부는,
상기 등급 설정부에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 상기 개발자 그룹들에 제공하는 것을 특징으로 하는, 보안 통제 장치. - 그룹 관리부에 의해, 시스템에 접근하는 복수의 개발자들의 접근 목적에 따라, 상기 복수의 개발자들을 적어도 하나의 개발자 그룹들로 그룹화하는 단계; 및
은닉 처리부에 의해, 상기 개발자 그룹들에게 상기 접근 목적에 상응하는 파일 시스템으로 재구성하여, 상기 개발자 그룹들 각각에 대해 상기 접근 목적에 상응하는 필요 정보들을 제공하고, 그 외의 정보들을 은닉시키는 단계를 포함하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제11항에 있어서,
이력 관리부에 의해, 상기 개발자 그룹에 의해 상기 시스템 상에 추가, 삭제 및 변경 중 적어도 하나에 대한 작업 이력을 저장하는 단계를 더 포함하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제12항에 있어서.
상기 작업 이력을 저장하는 단계는,
상기 작업 이력을 근거로, 상기 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재할 때, 저장부에 저장된 데이터 테이블을 갱신하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제12항에 있어서.
보안 설정부에 의해, 상기 작업 이력을 근거로, 상기 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항을 관리자에게 통보하는 단계를 더 포함하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제11항에 있어서,
상기 그 외의 정보들을 은닉시키는 단계는,
상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항을 근거로 상기 시스템에 대한 파일 시스템의 재구성을 수행하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제11항에 있어서,
상기 그 외의 정보들을 은닉시키는 단계는,
상기 시스템 상에 변경 사항이 존재할 때, 상기 변경 사항과 상기 변경 사항이 존재하기 이전의 데이터를 별도로 저장하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제16항에 있어서,
상기 그 외의 정보들을 은닉시키는 단계는,
하나의 개발자 그룹에 의해 상기 시스템 상에 변경 사항이 존재하더라도, 상기 변경 사항에 관계 없는 다른 개발자들에게는 상기 변경 사항이 적용되기 전의 정보들만 제공하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제11항에 있어서,
상기 개발자 그룹들로 그룹화하는 단계 이전에, 등급 설정부에 의해 상기 시스템 상의 데이터들에 대해 중요도에 따라 복수의 등급들로 분류하는 단계를 더 포함하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법. - 제18항에 있어서,
상기 그 외의 정보들을 은닉시키는 단계는,
상기 복수의 등급들로 분류하는 단계에서 분류된 등급별 데이터에 대해 기설정된 공개 레벨에 상응하는 데이터를 상기 개발자 그룹들에 제공하는 것을 특징으로 하는, 보안 통제 장치의 작동 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130114723A KR102101041B1 (ko) | 2013-09-26 | 2013-09-26 | 보안 통제 장치 및 이의 작동 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130114723A KR102101041B1 (ko) | 2013-09-26 | 2013-09-26 | 보안 통제 장치 및 이의 작동 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150034528A true KR20150034528A (ko) | 2015-04-03 |
| KR102101041B1 KR102101041B1 (ko) | 2020-04-16 |
Family
ID=53031322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130114723A KR102101041B1 (ko) | 2013-09-26 | 2013-09-26 | 보안 통제 장치 및 이의 작동 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102101041B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020024930A (ko) * | 2000-09-27 | 2002-04-03 | 이계철 | 실시간 프로젝트 관리가 병행되는 소프트웨어 개발관리용자동적 작업할당 시스템 및 그 방법 |
| KR20090128818A (ko) * | 2008-06-11 | 2009-12-16 | 브레인즈스퀘어(주) | 보안 영역 관리 시스템 및 그 관리 방법 |
-
2013
- 2013-09-26 KR KR1020130114723A patent/KR102101041B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020024930A (ko) * | 2000-09-27 | 2002-04-03 | 이계철 | 실시간 프로젝트 관리가 병행되는 소프트웨어 개발관리용자동적 작업할당 시스템 및 그 방법 |
| KR20090128818A (ko) * | 2008-06-11 | 2009-12-16 | 브레인즈스퀘어(주) | 보안 영역 관리 시스템 및 그 관리 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102101041B1 (ko) | 2020-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11652852B2 (en) | Intrusion detection and mitigation in data processing | |
| US10664592B2 (en) | Method and system to securely run applications using containers | |
| US20190332494A1 (en) | Compliance as a service for multi-cloud backup systems | |
| US11750652B2 (en) | Generating false data for suspicious users | |
| Esparrachiari et al. | Tracking and Controlling Microservice Dependencies: Dependency management is a crucial part of system and software design. | |
| US20160056993A1 (en) | Tenant-Specific Log for Events Related to a Cloud-Based Service | |
| US10204021B2 (en) | Recovery of an infected and quarantined file in a primary storage controller from a secondary storage controller | |
| US20200044911A1 (en) | Automatic generation of threat remediation steps by crowd sourcing security solutions | |
| KR20150137530A (ko) | 멀티 클라우드 배포 관리 시스템 및 방법 | |
| US11726896B2 (en) | Application monitoring using workload metadata | |
| US11716354B2 (en) | Determination of compliance with security technical implementation guide standards | |
| US10394793B1 (en) | Method and system for governed replay for compliance applications | |
| CN114641771A (zh) | 基于虚拟机内容的集群安全性 | |
| US9513948B2 (en) | Automated virtual machine provisioning based on defect state | |
| Schmieders et al. | Runtime model-based privacy checks of big data cloud services | |
| US9612927B1 (en) | Managing server processes with proxy files | |
| EP4276665A1 (en) | Analyzing scripts to create and enforce security policies in dynamic development pipelines | |
| US10169603B2 (en) | Real-time data leakage prevention and reporting | |
| US11113096B2 (en) | Permissions for a cloud environment application programming interface | |
| US20230088318A1 (en) | Remotely healing crashed processes | |
| KR102101041B1 (ko) | 보안 통제 장치 및 이의 작동 방법 | |
| US11061725B2 (en) | Managing a set of computing resources | |
| CN115485677A (zh) | 在分布式数据存储环境中的安全数据复制 | |
| US20240289450A1 (en) | Automated threat modeling using application relationships | |
| US9992305B2 (en) | Cloud models based on network definition data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |