KR20180032999A - 영역 암호화 장치 및 방법 - Google Patents

영역 암호화 장치 및 방법 Download PDF

Info

Publication number
KR20180032999A
KR20180032999A KR1020160122422A KR20160122422A KR20180032999A KR 20180032999 A KR20180032999 A KR 20180032999A KR 1020160122422 A KR1020160122422 A KR 1020160122422A KR 20160122422 A KR20160122422 A KR 20160122422A KR 20180032999 A KR20180032999 A KR 20180032999A
Authority
KR
South Korea
Prior art keywords
file
area
encryption
event
access
Prior art date
Application number
KR1020160122422A
Other languages
English (en)
Inventor
훈 김
Original Assignee
키움증권 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 키움증권 주식회사 filed Critical 키움증권 주식회사
Priority to KR1020160122422A priority Critical patent/KR20180032999A/ko
Publication of KR20180032999A publication Critical patent/KR20180032999A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress

Abstract

DRM(Digital Right Management) 솔루션의 영역 암호화 방법에 있어서, 저장 공간 내에 일정 영역을 암호화 영역으로 설정하는 암호화 영역 설정 단계, 암호화 영역 내의 파일에 대한 이벤트를 감지하는 이벤트 감지 단계, 및 파일에 대한 이벤트 감지에 따라 사용자의 추가적인 조작 없이 파일을 암/복호화 하는 암/복호화 단계를 포함할 수 있다.

Description

영역 암호화 장치 및 방법{device and method for Region Encryption}
DRM 솔루션에 관한 것으로, 보다 상세하게는 저장 장치의 일정 영역에 저장되는 콘텐츠를 암호화 하는 방법 및 이를 위한 장치에 관한 것이다.
DRM(Digital Right Management)이란 디지털 저작권에 대한 올바른 권리를 행할 수 있도록 암호화를 통해 권한 없는 사용자의 이용을 제한하고, 데이터 유출을 사전에 방지하며, 사후에 감사를 할 수 있도록 하는 기술이다. DRM 기술에 의하여 디지털 컨텐츠는 생성에서 배포, 사용, 폐기에 이르는 전 과정에 걸쳐서 컨텐츠의 불법 배포나 불법 사용이 방지될 수 있도록 암호화 과정을 통해서 보호받게 된다. 또한, DRM은 암호 키를 가진 적법한 사용자만이 암호화된 컨텐츠를 복호화 하여 사용할 수 있도록 하며, 불법 유통되어도 키가 없으면 사용할 수 없도록 함으로써 컨텐츠를 보호한다.
2008. 04. 24 자 공개된 공개특허공보 제10-200-0035940호 에 따르면, 하나 이상의 DRM 시스템을 이용한 컨텐츠를 편리하게 이용할 수 있는 장치, 시스템 및 그 방법에 관한 것으로서, 암호화 되지 않은 원 컨텐츠를 제1 패키징 및 제2 패키징을 수행하여 암호화된 원 컨텐츠 및 더미 컨텐츠를 생성하는 DRM 제공 시스템을 개시한다. 그러나 이와 같이 컨텐츠 자체를 암호화 하는 방법은 대용량의 파일인 경우 복호화 하는데 다소 시간이 걸린다는 문제가 있다.
제안된 발명은 파일의 포맷과 상관 없이 모든 파일에 대한 암호화를 지원함을 목적으로 한다.
제안된 발명은 암호화 영역 내에서는 파일을 평문으로 저장하여 문서의 깨짐을 방지하고, 장치의 속도를 개선함을 목적으로 한다.
나아가, 제안된 발명은 암호화 영역을 사용하면서도 기존 업무환경을 그대로 유지하게 함을 목적으로 한다.
일 양상에 있어서, 영역 암호화 방법은 저장 공간 내에 일정 영역을 암호화 영역으로 설정하는 암호화 영역 설정 단계, 암호화 영역 내의 파일에 대한 이벤트를 감지하는 이벤트 감지 단계 및 파일에 대한 이벤트 감지에 따라 사용자의 추가적인 조작 없이 파일을 암/복호화 하는 암/복호화 단계를 포함한다.
일 양상에 있어서, 암/복호화 단계 이전에 암호화 영역 내의 파일에 대하여 이벤트를 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인하는 접근 권한 확인 단계를 포함한다.
일 양상에 있어서, 이벤트 감지 단계는 암호화 영역으로부터 파일을 반출하는 이벤트를 감지하는 반출감지 단계 및 암호화된 파일을 암호화 영역에서 오픈하는 이벤트를 감지하는 오픈감지 단계를 포함한다.
일 양상에 있어서, 암/복호화 단계는 암호화 영역으로부터 파일을 반출하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 파일을 암호화 하는 암호화 단계를 포함한다.
일 양상에 있어서, 암/복호화 단계는 암호화된 파일을 암호화 영역에서 오픈하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 파일을 복호화 하는 복호화 단계를 포함한다.
일 양상에 있어서, 암/복호화 단계 이전에 접근 권한의 승인이 없는 대상이 파일을 반출하는 이벤트를 발생시킨 경우 파일을 내부 반출 영역으로 이동시키는 단계를 포함한다.
또 다른 일 양상에 있어서, 영역 암호화 방법은 암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성하는 화이트 리스트 생성 단계, 화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인하는 접근 권한 설정 단계를 더 포함한다.
또 다른 일 양상에 있어서, 영역 암호화 방법은 암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교하는 해쉬 비교 단계를 포함한다.
일 양상에 있어서, 영역 암호화 장치는 저장 공간 내에 일정 영역을 암호화 영역으로 설정하는 암호화 영역 설정부, 암호화 영역 내의 파일에 대한 이벤트를 감지하는 이벤트 감지부, 암호화 영역 내의 파일에 대하여 이벤트를 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인하는 접근 권한 확인부 및 파일에 대한 이벤트 감지 및 접근 권한 확인 결과에 따라 사용자의 추가적인 조작 없이 파일을 암/복호화 하는 암/복호화부를 포함하는 접근 승인부를 포함한다.
또 다른 일 양상에 있어서, 영역 암호화 장치는 암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성하는 화이트 리스트 생성부, 화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인하는 접근 권한 설정부를 더 포함한다.
일 양상에 있어서, 접근 권한 확인부는 암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교하는 해쉬 비교부를 포함한다.
제안된 발명은 암호화 영역에 저장된 파일을 대상으로 하는 이벤트를 감지하여 해당 파일을 자동으로 암/복호화 함으로써, 사용자의 실수가 있거나 보안 솔루션을 우회하여 접근하는 경우에도 파일이 평문으로 유통되지 않도록 할 수 있다.
나아가, 제안된 발명은 암호화 영역에 접근 가능한 대상을 미리 설정하여, 악의적인 프로그램을 통한 암호화 영역에의 접근을 방지할 수 있다.
도 1은 일 실시 예에 따른 영역 암호화 방법의 흐름도이다.
도 2는 일 실시 예에 따른 영역 암호화 방법을 공간적으로 가시화 한 그림이다.
도 3은 또 다른 일 실시 예에 따른 영역 암호화 방법의 흐름도이다.
도 4는 또 다른 일 실시 예에 따른 영역 암호화 방법의 흐름도이다.
도 5는 일 실시 예에 따른 영역 암호화 장치의 구성을 도시한 블록도이다.
전술한, 그리고 추가적인 양상들은 첨부된 도면을 참조하여 설명하는 실시 예들을 통해 구체화된다. 각 실시 예들의 구성 요소들은 다른 언급이나 상호간에 모순이 없는 한 실시 예 내에서 다양한 조합이 가능한 것으로 이해된다. 나아가 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 그리고, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 명세서에서 기술한 부란, "하드웨어 또는 소프트웨어의 시스템을 변경이나 플러그인 가능하도록 구성한 블록"을 의미하는 것으로서, 즉 하드웨어나 소프트웨어에 있어 기능을 수행하는 하나의 단위 또는 블록을 의미한다
후술하는 영역 암호화 장치는 제안된 발명의 영역 암호화 방법이 적용되는 장치로서, 저장 공간을 포함한 컴퓨터, 핸드폰, 노트북 등의 장치를 말하며, 언급된 장치에 한정되지 않는다.
도 1은 일 실시 예에 따른 영역 암호화 방법의 흐름을 나타낸 흐름도이다. 도 1에 따르면, 영역 암호화 방법은 암호화 영역 설정 단계(S1), 이벤트 감지 단계(S2), 암/복호화 단계(S3)를 포함한다.
일 양상에 따르면, 암호화 영역 설정 단계(S1)는 저장 공간 내에 일정 영역을 암호화 영역으로 설정한다.
일 실시 예에 따르면, 암호화 영역을 통한 파일의 암호화를 위해서는 먼저 저장 공간에 암호화 영역을 설정하여야 한다. 예를 들어, 저장 공간은 컴퓨터의 하드디스크, 외장하드, 메모리카드, USB 등의 저장 매체 일 수 있다.
일 실시 예에 있어서, 암호화 영역은 위와 같은 저장 공간에서 폴더나, 드라이브일 수 있다. 일 실시 예에 따르면, 암호화 영역은 저장된 파일들을 평문으로 보관한다. 즉, 암호화 영역 내에서는 파일들이 암호화 되지 않고 평문 그대로 저장되어 있다. 후술하겠지만, 암호화 영역 내에서 평문으로 저장된 파일들은 암호화 영역에 대한 접근 권한 설정을 통해 보안이 유지될 수 있다.
일 실시 예에 따르면, 암호화 영역에 저장되는 파일은 파일의 종류에 무관하다. 즉, 제안된 발명의 영역 암호화 방법은 파일의 포맷 종류에 무관하게 암호화 영역에 저장된 파일에 모두 적용될 수 있다. 예를 들어, MS Office, hwp 등의 일반적인 문서 포맷뿐만 아니라, gul, pdf, txt 등, 파일 포맷에 상관없이 영역 암호화 방법이 적용될 수 있다.
또 다른 일 실시 예에 다르면, 영역 암호화 장치의 바탕화면을 포함하도록 암호화 영역을 설정할 수 있다. 즉, 바탕화면에 포함되는 모든 메모리 영역을 암호화 영역 일부로 설정할 수 있다. 이를 통해 제안된 발명을 실행하더라도 사용자의 업무 환경을 유지하게 할 수 있다. 나아가, 하나의 장치 외에도, 장치 간 연계된 폴더 등에도 암호화 영역을 설정할 수 있다. 즉, 암호화 영역의 크기나 범위는 제한된 것이 아니며, 사용자가 임의로 설정할 수 있다. 이를 통해 보안을 유지하면서도 업무 편의성을 개선할 수 있다.
일 양상에 따르면, 이벤트 감지 단계(S2)는 암호화 영역 내의 파일에 대한 이벤트를 감지한다. 일 실시 예에 있어서, 영역 암호화 장치에서는 암호화 영역에 저장된 파일들을 대상으로 하는 사용자 입력 동작을 실시간으로 모니터링하여 감지할 수 있다. 예를 들어, 후술하겠지만, 감지되는 이벤트는 암호화 영역에 저장된 파일을 드래그 앤 드랍 하거나, 암호화 영역에 저장된 파일을 더블클릭 하는 등의 이벤트 일 수 있다.
일 양상에 따르면, 암/복호화 단계(S3)는 파일에 대한 이벤트 감지에 따라 사용자의 추가적인 조작 없이 파일을 암/복호화 한다. 일 실시 예에 있어서, 암호화 영역에 저장된 파일에 대한 이벤트가 감지된 경우, 해당 이벤트 감지만으로 보안을 위해 해당 파일을 자동으로 암호화할 수 있다. 또 다른 일 실시 예에 있어서, 암호화 영역에 저장된 파일에 대한 보안이 확보된 경우, 해당 파일을 자동으로 복호화 할 수 있다. 자세한 내용은 후술한다. 도 2 ①에서는 파일이 암호화 영역을 벗어나는 순간 암호화 되어, 파일이 장치 외부로 반출되기 전의 구간에서도 암호화 되어 보안성이 향상되는 모습을 보여준다.
도 3은 일 실시 예에 따른 영역 암호화 방법을 도시한 흐름도이다. 도 3에 도시된 바와 같이, 영역 암호화 방법은 암/복호화 단계 이전에 접근 권한 확인 단계를 포함한다.
일 양상에 있어서, 접근 권한 확인 단계에서는 암호화 영역 내의 파일에 대하여 이벤트를 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인한다. 일 실시 예에 따르면, 암호화 영역에 접근하여 해당 영역에 저장된 파일들을 관리하거나 처분하기 위해서는 암호화 영역에 대한 접근 권한을 승인 받아야 한다. 예를 들어, 암호화 영역에 저장된 파일을 열어보거나, 암호화 영역 밖으로 이동시키거나, 삭제하는 등의 모든 행위는 암호화 영역에 대한 접근 권한의 승인이 필요하다. 따라서, 접근 권한 확인 단계에서 이벤트를 발생시킨 대상의 접근 권한 승인 여부를 확인하여, 해당 권한을 승인 받은 경우에만 해당 이벤트의 수행을 허가하게 된다. 나아가, 해당 권한을 승인 받은 경우에만 해당 파일의 자동 암호화 또는 자동 복호화가 행하여 질 수 있다.
또 다른 일 실시 예에 있어서, 이벤트 감지 단계는 반출 감지 단계, 오픈 감지 단계를 포함한다.
일 양상에 따르면, 반출 감지 단계는 암호화 영역으로부터 파일을 반출하는 이벤트를 감지한다. 예를 들어, 영역 암호화 장치는 암호화 영역에 저장된 파일을 드래그(Drag)하여 암호화 영역 밖에서 드랍(Drop)하는 이벤트를 실시간으로 감지할 수 있다.
또 다른 일 양상에 따르면, 오픈 감지 단계는 암호화된 파일을 암호화 영역에서 오픈하는 이벤트를 감지한다. 예를 들어, 영역 암호화 장치는 암호화 영역에서 암호화 된 파일을 열도록 해당 파일을 더블 클릭(Double click)하는 이벤트를 실시간으로 감지할 수 있다. 후술하겠지만, 암호화 영역에 저장되었던 파일이 암호화 영역 밖으로 반출되면 해당 파일은 암호화 되고, 해당 파일을 복호화 하기 위해서는 해당 파일이 다시 암호화 영역에 놓여져야 한다.
또 다른 일 실시 예에 따르면, 암/복호화 단계는 암호화 단계, 복호화 단계를 포함한다.
일 양상에 따르면, 암호화 단계는 암호화 영역으로부터 파일을 반출하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 파일을 암호화 한다. 예를 들어, 이벤트 감지 단계에서, 구제적으로 반출 감지 단계에서 암호화 영역 내의 파일을 외부로 반출하는 드래그 앤 드랍을 감지한 경우, 영역 암호화 장치는 해당 이벤트의 감지만으로 반출되는 파일을 암호화 한다. 해당 이벤트 탐지 외에 다른 사용자의 추가적인 암호화 명령의 조작 없이도, 자동으로 파일이 암호화 된다.
또 다른 일 양상에 따르면, 복호화 단계에서는 암호화된 파일을 암호화 영역에서 오픈하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 상기 파일을 복호화 한다. 전술 한 바와 같이, 반출 감지 단계, 암호화 단계를 통해 암호화 영역에서 암호화 된 파일은 다시 암호화 영역에 놓인 경우에 복호화 될 수 있다. 따라서, 암호화 된 파일을 암호화 영역에 이동시켜 저장하고 해당 파일을 더블클릭 하면, 해당 더블클릭의 이벤트 감지에 따라 더블클릭 된 파일이 자동으로 복호화 된다. 즉, 사용자의 추가적인 복호화 명령 입력 없이, 암호화 영역 내의 암호화 된 파일에 대한 더블클릭만으로 해당 파일을 복호화 할 수 있다
또 다른 일 실시 예에 있어서, 전술한 암호화 및 복호화 단계는 이벤트를 발생시킨 대상의 접근 권한 승인이 전제된다. 즉, 접근 권한을 승인 받은 대상이 암호화 영역에 평문으로 저장된 파일을 암호화 영역 밖으로 반출하는 경우, 해당 파일은 자동으로 암호화 된다. 또는, 접근 권한을 승인 받은 대상이 암호화 영역에 저장된 암호화된 파일을 열어보는 경우, 해당 파일은 자동으로 복호화 된다.
또 다른 일 양상에 따르면, 영역 암호화 방법은 암/복호화 단계 이전에 접근 권한의 승인이 없는 대상이 파일을 반출하는 이벤트를 발생시킨 경우 해당 파일을 내부 반출 영역으로 이동시키는 단계를 포함한다. 일 실시 예에 있어서, 전술한 접근 권한 확인 단계에서, 이벤트를 발생 시킨 대상의 접근 권한의 승인여부를 확인한 결과 그 승인 없는 경우, 이벤트 발생 대상이 된 파일은 해당 이벤트 명령에 따라 처분되지 않는다. 즉, 전술한 바와 같이 드래그 앤 드랍 명령에 따라 파일이 이동하지 않는다. 일 실시 예에 따르면, 암호화 영역에서 파일을 반출하는 이벤트가 감지되었는데, 해당 이벤트를 발생 시킨 대상이 접근 권한의 승인이 없는 경우 암호화 영역 장치는 해당 파일을 미리 설정된 내부 반출 영역으로 이동시킨다. 나아가, 해당 파일은 내부 반출 영역에 저장되면서 자동으로 암호화 된다. 제안된 발명은 사용자가 내부 반출 영역을 확인함으로써, 접근 권한의 승인 없는 대상이 어떤 파일에 접근을 시도하였는지 확인하게 할 수 있고, 나아가 내부 반출 영역에서 암호화 된 파일을 통해 해당 파일을 보안을 유지할 수 있다.
도 4는 제안된 영역 암호화 방법의 또 다른 일 실시 예를 도시한 흐름도이다. 도 4에 도시된 바와 같이, 영역 암호화 방법은 화이트 리스트 생성 단계, 접근 권한 설정 단계를 더 포함한다.
일 양상에 따르면, 화이트 리스트 생성 단계는 암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성한다. 일 실시 예에 있어서, 영역 암호화 방법은 설정된 암호화 영역에 접근할 수 있는 프로그램들을 미리 설정할 수 있다. 이와 같이 암호화 영역에 접근 가능하도록 설정되는 프로그램 목록을 화이트 리스트(White-List)라고 부른다. 사용자는 영역 암호화 장치에 설치된 프로그램들 중 적어도 하나 이상의 프로그램을 선택하여 화이트 리스트를 생성할 수 있다. 예를 들어, 영역 암호화 장치(100)내에 MS-Office, 훈민정음, 메모장, Adobe Acrobat Reader 등이 설치되어 있고, 사용자가 훈민정음과 메모장만 선택하여 화이트 리스트를 생성할 수 있다.
일 양상에 따르면, 접근 권한 설정 단계는 화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인한다. 일 실시 예에 있어서, 사용자의 입력에 따라 화이트 리스트가 생성되면, 영역 암호화 장치는 해당 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인한다. 따라서, 화이트 리스트에 포함된 프로그램을 통해 암호화 영역에 저장된 파일에 접근할 수 있다. 만약, 화이트 리스트에 포함되지 않은 프로그램을 통해 암호화 영역에 저장된 파일에 접근을 시도하는 경우 그 접근은 차단된다. 예를 들어, 영역 암호화 장치(100)내에 MS-Office, 훈민정음, 메모장, Adobe Acrobat Reader 등이 설치되어 있고, 사용자가 훈민정음과 메모장만 선택하여 화이트 리스트를 생성할 수 있다. 이후에 훈민정음과 메모장을 통해 암호화 영역에 저장된 파일을 열 수 있으나, MS-Office, Adobe Acrobat Reader 를 통해서는 해당 파일들을 열 수 없다.
추가적인 일 실시 예에 따르면, 접근 권한 설정 단계는 화이트 리스트 외에도, 해당 장치를 사용하는 사용자에 대하여 접근 권한을 설정할 수 있다. 예를 들어, 해당 장치를 사용하는 사용자에 대한 ID등의 개인정보가 존재하는 경우, 각 ID별로 접근 권한을 설정할 수 있다.
일 실시 예에 따르면, 영역 암호화 방법은 해쉬 비교 단계를 포함한다. 일 양상에 있어서, 해쉬 비교 단계는 암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교하여, 비교 결과가 동일한지 여부를 살핀다. 즉, 암호화 영역에 접근하는 프로그램이 화이트 리스트에 포함되어 접근 권한을 승인 받은 것인지 확인하기 위해 접근 프로그램과 화이트 리스트의 해쉬(hash) 값을 비교한다. 그 비교 결과가 동일한 경우에만 해당 접근 프로그램이 화이트 리스트에 포함된 프로그램인 것으로 확인하여 해당 프로그램에 대한 암호화 영역의 접근을 허용하게 된다. 이러한 해쉬 값 비교를 통해 프로그램의 접근 허용 여부를 결정함으로써, 단순히 프로그램명만 변경하여 접근을 시도하는 비승인 프로그램의 접근을 차단할 수 있다. 예를 들어, 도 2의 ②에서 도시하는 바와 같이 최근 유행하는 랜섬웨어의 공격에 효과적으로 대응할 수 있다.
또 다른 일 실시 예에 있어서, 영역 암호화 방법은 암호화 된 파일이 영역 암호화 장치의 외부로 반출될 때에도, 반출을 시도하는 프로그램이 화이트 리스트에 포함된 프로그램인지 확인하여, 승인되지 않은 프로그램을 통한 파일을 불법 유통을 차단할 수 있다.
도 5는 일 실시 예에 따른 영역 암호화 장치의 구성을 도시한 블록도이다. 일 실시 예에 따르면, 영역 암호화 장치는 암호화 영역 설정부(10), 이벤트 감지부(20), 접근 권한 확인부(30), 접근 승인부(40), 화이트 리스트 생성부(50) 및 접근 권한 설정부(60)를 포함한다. 또 다른 일 실시 예에 따르면, 접근 승인부(40)는 암/복호화부(41)를 더 포함한다. 이하의 설명에서 자세한 내용은 전술한 바와 같다.
일 양상에 따르면, 암호화 영역 설정부(10)는 저장 공간 내에 일정 영역을 암호화 영역으로 설정한다.
또 다른 일 양상에 따르면, 이벤트 감지부(20)는 암호화 영역 내의 파일에 대한 이벤트를 감지한다.
또 다른 일 양상에 다르면, 접근 권한 환인부는 암호화 영역 내의 파일에 대하여 이벤트르 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인한다.
또 다른 일 양상에 따르면, 접근 승인부(40)는 암호화 공간에 저장된 파일에 접근하는 대상의 접근 권한 확인 결과에 따라 접근의 승인 여부를 결정한다.
구체적인 일 양상에 따르면, 암/복호화부(41)는 파일에 대한 이벤트 감지 및 접근 권한 확인 결과에 따라 사용자의 추가적인 조작 없이 파일을 암/복호화 한다.
또 다른 일 실시 예에 따르면, 영역 암호화 장치는 화이트 리스트 생성부(50), 접근 권한 설정부(60)를 더 포함한다.
일 양상에 따르면, 화이트 리스트 생성부(50)는 암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성할 수 있다.
일 양상에 따르면, 접근 권한 설정부(60)는 화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인할 수 있다.
또 다른 일 실시 예에 따르면, 접근 권한 확인부(30)는 해쉬 비교부를 더 포함한다. 일 양상에 따르면, 접근 여부 결정부(70)는 암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교할 수 있다. 해당 비교 결과에 따라 접근 승인부(40)에서 해당 프로그램의 암호화 영역에 대한 접근 여부를 결정하게 된다. 즉, 비교 결과가 동일한 경우 해당 프로그램의 접근이 허용되고, 동일하지 않는 경우 접근이 차단된다.
한편, 본 발명의 실시 예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현하는 것을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.
본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100 : 영역 암호화 장치 10 : 암호화 영역 설정부
20 : 이벤트 감지부 30 : 접근 권한 확인부
40 : 접근 승인부 41 : 암/복호화부
50 : 화이트 리스트 생성부
60 : 접근 권한 설정부 70 : 접근 여부 결정부

Claims (11)

  1. 저장 공간 내에 일정 영역을 암호화 영역으로 설정하는 암호화 영역 설정 단계;
    암호화 영역 내의 파일에 대한 이벤트를 감지하는 이벤트 감지 단계; 및
    상기 파일에 대한 이벤트 감지에 따라 사용자의 추가적인 조작 없이 상기 파일을 암/복호화 하는 암/복호화 단계;
    를 포함하는 영역 암호화 방법.
  2. 제 1항에 있어서, 상기 암/복호화 단계 이전에
    암호화 영역 내의 파일에 대하여 이벤트를 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인하는 접근 권한 확인 단계;
    를 포함하는 영역 암호화 방법
  3. 제 1항에 있어서, 상기 이벤트 감지 단계는
    암호화 영역으로부터 파일을 반출하는 이벤트를 감지하는 반출감지 단계; 및
    암호화된 파일을 암호화 영역에서 오픈하는 이벤트를 감지하는 오픈감지 단계;
    를 더 포함하는 영역 암호화 방법.
  4. 제 1항에 있어서, 상기 암/복호화 단계는
    암호화 영역으로부터 파일을 반출하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 상기 파일을 암호화 하는 암호화 단계;
    를 포함하는 영역 암호화 방법.
  5. 제 1항에 있어서, 상기 암/복호화 단계는
    암호화된 파일을 암호화 영역에서 오픈하는 이벤트의 감지에 따라 사용자의 추가적인 조작 없이 상기 파일을 복호화 하는 복호화 단계;
    를 포함하는 영역 암호화 방법.
  6. 제 1항에 있어서, 상기 암/복호화 단계 이전에
    접근 권한의 승인이 없는 대상이 파일을 반출하는 이벤트를 발생시킨 경우 상기 파일을 내부 반출 영역으로 이동시키는 단계;
    를 포함하는 영역 암호화 방법.
  7. 제 1항에 있어서,
    암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성하는 화이트 리스트 생성 단계;
    화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인하는 접근 권한 설정 단계;
    를 더 포함하는 영역 암호화 방법.
  8. 제 7항에 있어서,
    암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교하는 해쉬 비교 단계;
    를 포함하는 영역 암호화 방법.
  9. 저장 공간 내에 일정 영역을 암호화 영역으로 설정하는 암호화 영역 설정부;
    암호화 영역 내의 파일에 대한 이벤트를 감지하는 이벤트 감지부;
    암호화 영역 내의 파일에 대하여 이벤트를 발생시킨 대상이 접근 권한을 승인 받았는지 여부를 확인하는 접근 권한 확인부;
    상기 파일에 대한 이벤트 감지 및 접근 권한 확인 결과에 따라 사용자의 추가적인 조작 없이 상기 파일을 암/복호화 하는 암/복호화부를 포함하는 접근 승인부;
    를 포함하는 영역 암호화 장치.
  10. 제 9항에 있어서,
    암호화 영역에 대한 접근 권한을 승인할 프로그램을 선택 받아 화이트 리스트를 생성하는 화이트 리스트 생성부;
    화이트 리스트에 대하여 암호화 영역에 대한 접근 권한을 승인하는 접근 권한 설정부;
    를 더 포함하는 영역 암호화 장치.
  11. 제 10항에 있어서, 상기 접근 권한 확인부는
    암호화 영역에 접근하는 프로그램과 화이트 리스트 대상의 해쉬를 비교하는 해쉬 비교부;
    를 포함하는 영역 암호화 장치.
KR1020160122422A 2016-09-23 2016-09-23 영역 암호화 장치 및 방법 KR20180032999A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160122422A KR20180032999A (ko) 2016-09-23 2016-09-23 영역 암호화 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160122422A KR20180032999A (ko) 2016-09-23 2016-09-23 영역 암호화 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20180032999A true KR20180032999A (ko) 2018-04-02

Family

ID=61976226

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160122422A KR20180032999A (ko) 2016-09-23 2016-09-23 영역 암호화 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180032999A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112597523A (zh) * 2021-03-02 2021-04-02 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012249035A (ja) * 2011-05-27 2012-12-13 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012249035A (ja) * 2011-05-27 2012-12-13 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
일본 공개특허공보 특개2012-249035호(2012.12.13.) 1부. *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112597523A (zh) * 2021-03-02 2021-04-02 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质
CN112597523B (zh) * 2021-03-02 2021-06-18 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质

Similar Documents

Publication Publication Date Title
CN109923548B (zh) 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
CA2242596C (en) System for controlling access and distribution of digital property
CN112513857A (zh) 可信执行环境中的个性化密码安全访问控制
US8341756B2 (en) Securing data in a networked environment
RU2631136C2 (ru) Способ защищенного доступа и устройство защищенного доступа прикладной программы
US20010056533A1 (en) Secure and open computer platform
JP2007535727A (ja) 仮想ディスクを利用した応用プログラム別接近統制システムとその統制方法
KR20060045000A (ko) 파일 락커 및 파일 락커를 제공하고 사용하기 위한메커니즘
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
US20170185790A1 (en) Dynamic management of protected file access
JP5211716B2 (ja) ファイルアクセス制御方法、ファイルアクセス制御プログラム、およびファイルアクセス制御装置
JP2010134935A (ja) ファイル操作を実行するための方法及び装置
US20170187527A1 (en) Obtaining A Decryption Key From a Mobile Device
Morovati et al. A network based document management model to prevent data extrusion
JP4471129B2 (ja) 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム
US8321915B1 (en) Control of access to mass storage system
US7694154B2 (en) Method and apparatus for securely executing a background process
US20100088770A1 (en) Device and method for disjointed computing
US9733852B2 (en) Encrypted synchronization
KR20180032999A (ko) 영역 암호화 장치 및 방법
EP2975547B1 (en) Method and apparatus for preventing illegitimate outflow of electronic document
KR100523843B1 (ko) 디지털 저작권 관리 클라이언트에서의 접근권한 제어를위한 접근 제어 목록 기반의 제어 장치
KR20130116485A (ko) 파일 암호화 장치 및 방법
US11841970B1 (en) Systems and methods for preventing information leakage
JP5367805B2 (ja) ハードディスク暗号化のための装置及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application