WO2014077474A1

WO2014077474A1 - 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법

Info

Publication number: WO2014077474A1
Application number: PCT/KR2013/003525
Authority: WO
Inventors: 조정현
Original assignee: 주식회사 파수닷컴
Priority date: 2012-11-13
Filing date: 2013-04-24
Publication date: 2014-05-22
Also published as: US9648042B2; JP2015536497A; JP6089111B2; US20150281284A1; KR101394369B1

Abstract

가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법이 개시된다. 데이터 제어부는 콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신하여 저장수단에 저장한다. 보안 처리부는 데이터 제어부로부터 제공받은 권한정책을 기초로 콘텐츠를 암호화하거나 복호화한다. 보안 파일시스템 인터페이스부는 커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하고, 커널 모드로부터 후킹된 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트에 대응하는 콘텐츠를 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시한다. 본 발명에 따르면, 서로 다른 환경에서 작성된 콘텐츠를 별도의 콘텐츠 변환작업없이 권한정보에 기초하여 사용자에게 제공할 수 있다.

Description

가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법

본 발명은 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법에 관한 것으로, 보다 상세하게는, 서로 다른 환경에서 생성된 콘텐츠를 서로 다른 환경에서 별도의 작업없이 콘텐츠 또는 사용자에 대해 설정된 권한에 따라 제어가 가능한 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법에 관한 것이다.

스마트폰의 보급과 무선 통신 기술의 발전에 따라 클라우드 컴퓨팅(Cloud computing) 기술이 널리 사용됨에 따라 문서, 그림, 동영상 등과 같은 콘텐츠를 작성하고 열람하는 컴퓨팅 환경이 다양해지고 있다. 그러나 이와 더불어 콘텐츠의 작성 환경과 열람 환경이 다름으로 인해 클라우드 컴퓨팅 기술을 제대로 활용하지 못하는 경우가 발생한다. 클라우드 컴퓨팅 기술을 제대로 활용하기 위해서는 콘텐의 변환없이 동일한 환경에서 콘텐츠의 작성과 열람이 가능할 있도록 지원하는 것이 필요하게 되었다. 특히, 서로 다른 운영 시스템(Operating System : OS) 환경에서 콘텐츠를 열람하기 위해서는 공통적인 환경을 통해 콘텐츠를 생성하고 열람할 수 있는 작업이 필요하다. 그리고 이를 지원하기 위해서 각각의 OS 환경에 맞는 가상 환경을 구축하여 콘텐츠의 생성, 열람, 권한 등과 관련된 제어가 가능하도록 구성하여야 한다. 예를 들면, 마이크로소프트사의 윈도우(MS Windows) 환경에서 작성된 암호화된 콘텐츠를 다른 OS 환경인 맥(Mac) OS에서 별도의 작업없이 콘텐츠의 권한에 따라 제어가 가능하게 할 수 있는 기술이 요구된다.

그러나 지금까지 제안된 방식은 복수의 사용자 단말장치가 엑세스할 수 있는 별도의 가상 데이터베이스를 생성하여 콘텐츠를 관리하거나, 각각의 사용자 단말에서 가상화기술을 이용하여 가상폴더를 생성하여 콘텐츠를 관리하는 기법만이 제시되어 있을 뿐 상술한 요구를 수용할 수 있는 기술이 제안된 바 없다. 특히 복수의 사용자 단말장치가 엑세스할 수 있는 별도의 가상 데이터베이스를 생성하여 콘텐츠를 관리하는 방법은 콘텐츠에 대한 권한정책에 대한 관리를 통해 각각의 사용자에 대한 콘텐츠의 제공여부 및 제공된 콘텐츠의 사용정책을 달리할 수는 있으나, 서로 다른 OS에서 콘텐츠의 변환없이 콘텐츠를 열람할 수 있는 기법을 제공하고 있지 못하는 문제가 있다.

[선행기술문헌]

[특허문헌]

(특허문헌 1)한국공개특허공보 10-2011-0124339 (인텔 코오퍼레이션, 2011.11.16)

(특허문헌 2) 한국공개특허공보 10-2012-0093296 (델픽스 코퍼레이션, 2012.08.22)

본 발명이 이루고자 하는 기술적 과제는, 서로 다른 환경에서 생성된 콘텐츠를 별도의 콘텐츠 변환작업없이 권한정보에 기초하여 사용자에게 제공할 수 있는 가상 폴더를 이용한 콘텐츠 관리 장치 및 방법을 제공하는 데 있다.

본 발명이 이루고자 하는 다른 기술적 과제는, 서로 다른 환경에서 생성된 콘텐츠를 별도의 콘텐츠 변환작업없이 권한정보에 기초하여 사용자에게 제공할 수 있는 가상 폴더를 이용한 콘텐츠 관리 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 보안 콘텐츠 관리 장치에 대한 바람직한 일 실시예는, 콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신하여 저장수단에 저장하는 데이터 제어부; 상기 데이터 제어부로부터 제공받은 권한정책을 기초로 콘텐츠를 암호화하거나 복호화하는 보안 처리부; 및 커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하고, 커널 모드로부터 후킹된 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 보안 파일시스템 인터페이스부;를 구비한다.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 보안 콘텐츠 관리 장치에 대한 바람직한 다른 실시예는, 콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신된 상기 권한정책과 보안 콘텐츠를 관리하기 위한 보안 콘텐츠 관리 프로그램이 저장되는 저장수단; 및 상기 보안 콘텐츠 관리 프로그램의 실행에 의해 상기 콘텐츠에 대한 보안 관리를 수행하는 프로세서;를 포함하고, 상기 보안 콘텐츠 관리 프로그램은, 상기 보안 콘텐츠 서버로부터 수신된 상기 권한책을 상기 저장수단에 저장하는 데이터 제어 모듈; 상기 데이터 제어 모듈로부터 제공받은 권한정책을 기초로 콘텐츠를 암호화하거나 복호화하는 보안 처리 모듈; 및 커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하고, 커널 모드로부터 후킹된 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리 모듈에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 보안 파일시스템 인터페이스 모듈;을 구비한다.

상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 보안 콘텐츠 관리 방법에 대한 바람직한 일 실시예는, (a) 콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신하여 저장수단에 저장하는 단계; (b) 커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하는 단계; 및 (c) 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트를 커널 모드로부터 후킹하고, 상기 후킹된 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 단계;를 갖는다.

본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법에 의하면, 서로 다른 환경에서 생성된 콘텐츠를 별도의 콘텐츠 변환작업없이 권한정보에 기초하여 사용자에게 제공할 수 있다. 또한 기존의 커널 모드를 활용한 파일 처리시 발생하였던 메모리 관리 및 어셈블리를 이용한 레지스터 처리로 인한 시스템 충돌을 줄일 수 있게 되어 안정적으로 파일을 처리할 수 있는 이점이 있다.

도 1은 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치에 대한 바람직한 실시예의 구성을 도시한 도면,

도 2 및 도 3은 각각 Mac 운영시스템에 구현된 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)를 포함하는 전체 시스템 구성과 스택 구조를 도시한 도면,

도 4는 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)에서 수행되는 보안 콘텐츠 관리 방법의 수행과정을 도시한 도면,

도 5는 보안폴더에 콘텐츠를 저장하거나 보안폴더에 저장되어 있는 콘텐츠를 열람하는 과정을 도시한 도면, 그리고,

도 6은 메뉴창을 통해 사용자로부터 입력받은 메뉴에 따른 보안폴더에 대한 관리동작의 수행과정을 도시한 도면이다.

이하에서 첨부된 도면들을 참조하여 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.

도 1은 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치에 대한 바람직한 실시예의 구성을 도시한 도면이다. 이하의 설명에서 콘텐츠는 문서, 그림, 동영상 등 컴퓨터, 스마트폰 등의 정보처리장치에서 열람, 수정, 저장 등이 가능한 전자적 형태의 파일을 의미한다. 그리고 설명의 편의상 구체적 구현형태인 문서, 파일 등으로 콘텐츠를 칭할 수도 있다. 또한 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치는 서버, 데스크탑 컴퓨터, 노트북, PDA, 스마트폰 등이 될 수 있다.

도 1을 참조하면, 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)는, 데이터 제어부(110), 보안 파일시스템 인터페이스부(120), 보안 처리부(130) 및 사용자 인터페이스부(140)를 구비한다.

데이터 제어부(110)는 각 실행파일 사이의 IPC 통신(Inter-Process Communication), 보안 콘텐츠 서버(200)와의 보안 정책 및 정보 송수신, 콘텐츠 사용 정책 관리 등을 수행한다. 이를 위해 데이터 제어부(110)는 중앙처리부(112), IPC 통신부(114) 및 정책관리부(116)를 구비한다. 중앙처리부(112)는 각 실행파일의 기능을 수행할 수 있도록 세션을 유지시키며, REST, JSON, WebSocket 등 다양한 데이터 송수신 프로토콜을 지원하여 보안 콘텐츠 서버(200)와 데이터를 송수신한다. 또한 중앙처리부(112)는 보안 처리부(130)의 콘텐츠 보안을 위한 정책제공요청에 응답하여 정책정보를 제공한다. 정책정보에는 권한정책정보와 보안정책정보가 포함되며, 이들 정책은 사용자에 의해 설정되거나 보안 콘텐츠 서버(200)로부터 수신된다. 또한 중앙처리부(112)는 권한 제어를 위한 사용자 인터페이스를 가지는 프로세스, 시스템 트레이 프로세스, 통합 뷰어 프로세스 등 실행 프로세스 간의 통신 및 권한 정보 등을 처리한다. IPC 통신부(114)는 실행되는 각각의 실행파일 사이의 IPC 통신을 관리한다. 정책관리부(116)는 보안 콘텐츠 서버(200)로부터 수신된 정책정보, 사용자가 각각의 콘텐츠 또는 보안 폴더에 대해 직접 설정한 정책정보 등을 별도의 저장수단(미도시)에 저장하며, 필요에 따라 보안 콘텐츠 서버(200)로 전송하거나 보안 처리부(130)의 정책제공요청에 응답하여 정책정보를 보안 처리부(130)에 제공한다.

보안 파일시스템 인터페이스부(120)는 보안 콘텐츠에 대한 파일 입출력을 관장하고, 콘텐츠의 생성, 변경, 열람 등에 대한 모니터링을 수행하며, 인증된 사용자에 의한 콘텐츠의 생성, 변경, 열람 등을 수행하기 위해 통합 뷰어를 호출하거나 보안 처리부(130)에 콘텐츠의 암호화 또는 복호화를 요청한다. 이러한 보안 파일시스템 인터페이스부(120)는 커널익스텐션 파일 입출력 후킹 기술과 FUSE(FileSystem in USerspace) 기술을 접목하여 가상 폴더의 생성 및 앞에서 언급한 기능을 수행한다.

도 2와 도 3은 각각 Mac 운영시스템에 구현된 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)를 포함하는 시스템 구성과 스택 구조를 도시한 도면이다. 도 2 및 도 3에서 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)는 보안 콘텐츠 관리를 위한 어플리케이션(SCMac.App)이 탑재된 컴퓨터, 노트북, PDA, 스마트폰 등과 같은 통신기능을 구비한 정보처리장치의 형태로 구현된 실시예이다.

도 2 및 도 3을 참조하면, 사용자 모드에서 동작하는 본 발명에 따른 가상 폴더를 이용한 콘텐츠 관리 장치가 구동되면 보안 파일시스템 인터페이스부(120)는 가상 폴더를 마운트(mount)시킬 경로를 확인한 후 그 경로의 폴더 정보를 스캐닝한다. 그리고 보안 파일시스템 인터페이스부(120)는 사용자 모드에서 동작하는 커널제어 프레임워크를 통해 커널 모드서 동작하는 가상폴더 생성모듈에 의한 가상폴더의 생성 및 관리를 진행한다. 이때 보안 파일시스템 인터페이스부(120)는 가상폴더 생성모듈에 포함되어 있는 기능을 통해 폴더의 스캐닝 정보를 가지고 가상폴더를 생성하여 파일시스템에 마운트시키는 작업을 진행한다.

다음으로 파일시스템에의 가상폴더 마운트가 완료되면 보안 파일시스템 인터페이스부(120)는 가상폴더로 들어오는 파일의 입출력을 사용자 모드로 끌어올려 해당 파일의 처리 위치(즉, 사용자 모드와 커널 모드)를 판단한 후 그 결과를 커널 모드에 통지하기 위해 커널 모드와의 통신 채널을 수립한다. 이와 같은 처리에 의해 커널 모드로 들어오는 파일의 생성, 읽기, 쓰기, 이동, 복사 등의 이벤트에 대해 사용자 모드에서 처리가 필요한 동작 여부를 판단하여 처리할 수 있다. 또한 암호화 파일에 대해서는 권한 관리를 통해 파일을 열람할 수 있도록 복호화하고, 암호화 폴더에서 생성되는 일반 파일에 대해 암호화할 수 있게 된다. 그리고 이러한 구성에 의해 본 발명은 기존의 커널 모드를 활용한 파일 처리시 발생하였던 메모리 관리 및 어셈블리를 이용한 레지스터 처리로 인한 시스템 충돌을 줄일 수 있게 되어 안정적으로 파일을 처리할 수 있는 이점이 있다.

한편 보안 파일시스템 인터페이스부(120)가 수행하는 작업은 크게 파일입출력 관리작업, 팩킹작업 및 연동작업으로 구분될 수 있다. 파일입출력 관리작업은 커널 모드와의 인터페이싱을 통해 파일에 대한 이벤트를 감지하여 해당 파일에 대한 처리 위치를 결정하는 작업이다. 팩킹작업은 사용자 모드에서 처리하기로 결정된 파일에 암호화 또는 복호화가 필요하다고 인정된 경우에 보안 처리부(130)에 해당 파일을 제공하여 암호화 또는 복호화를 요청하는 작업이다. 연동작업은 레거시 서버 프레임워크를 통해 레거시 서버와의 연동하여 동작하는 작업이다.

보안 처리부(130)는 특정한 폴더(예를 들면, 가상 폴더, 보안 폴더 등)에서 생성되는 파일에 대해 새로운 보안파일의 포맷으로 암호화하거나 보안파일을 복호화한다. 이러한 보안 처리부(130)의 동작은 보안 파일시스템 인터페이스부(120)에 의해 요청되며, 보안 파일시스템은 파일의 보안파일로의 암호화여부에 대해 결정한다. 또한 보안 처리부(130)는 파일의 암호화 또는 복호화시 데이터 제어부(110)로부터 파일보안을 위한 정책정보를 획득하여 파일의 암호화 또는 복호화를 수행한다.

사용자 인터페이스부(140)는 사용자로부터 파일에 대한 처리명령(생성, 열람, 복사, 수정 등)을 입력받거나 사용자에게 처리결과를 출력하는 수단을 제공한다. 이러한 사용자 인터페이스부(140)는 마우스의 오른쪽 버튼 클릭에 따른 팝업창 처리, DRM 콘텐츠를 사용자에게 출력하기 위해 OLE 포맷을 지원하는 뷰어의 구동 등을 수행한다.

이상에서 도 1 내지 도 3을 참조하여 설명한 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)는 어플리케이션이 탑재된 컴퓨터, 노트북, PDA, 스마트폰 등과 같은 통신기능을 구비한 정보처리장치의 형태로 구현될 수 있다. 이때 각각의 하드웨어 모듈은 대응되는 소프트웨어 모듈로 구현된다. 그리고 정보처리장치는 네트워크 인터페이스장치, 입출력 장치, 디스플레이 장치, 프로세서, 비휘발성 저장장치, 시스템 메모리 등으로 구성된다. 그리고 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리를 수행하기 위한 어플리케이션은 시스템 메모리 상에 설치되며, 사용자의 구동명령 또는 정보처리장치의 부팅시 구동된다.

도 4는 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 장치(100)에서 수행되는 보안 콘텐츠 관리 방법의 수행과정을 도시한 도면이다.

도 4를 참조하면, 본 발명에 따른 가상 폴더를 이용한 보안 콘텐츠 관리 방법의 수행에 앞서 사용자는 보안 콘텐츠 관리 장치(100)에 클라우드 서비스를 설치하고 클라우드 계정을 설정한다(S400). 이러한 클라우드 서비스의 설치 및 계정 설정은 선택적인 절차이나, 본 발명이 클라우드 서비스와 연동되어 동작할 경우(즉, 클라우드 서비스를 통해 내려받거나 업로드하는 파일에 대한 관리)에는 필수적인 절차이다. 다음으로 사용자는 보안 콘텐츠 관리 장치(100)에 보안 콘텐츠 관리를 위해 필요한 프로그램을 설치하고 보안 콘텐츠 서버(200)에 자신의 계정을 설정한다(S410). 이와 같은 사전 절차가 완료되면 사용자는 보안 콘텐츠 관리 서비스를 이용할 수 있다.

먼저, 보안 콘텐츠 관리 장치(100)의 부팅시 시작 프로그램의 설정에 따라 보안 콘텐츠 관리를 위한 어플리케이션(예를 들면, Mac OS의 경우 scmac.app)이 실행되거나 사용자의 구동명령에 의해 보안 콘텐츠 관리를 위한 어플리케이션(예를 들면, Mac OS의 경우 scmac.app)이 실행된다(S420). 이때 보안 콘텐츠 관리 장치(100)는 미리 정의되어 있는 경로 및 가상화 대상 폴더의 위치를 확인하고, 보안이 유지되는(즉, 사용자의 로그인 정보를 활용한 파일 데이터베이스의 잠금이 수행된) 저장수단(예를 들면, 파일 데이터베이스)이 존재하는지 확인한다(S430). 이는 보안이 유지되는 물리적인 저장수단의 존재여부를 확인하는 과정이며, 이때 보안 폴더(즉, 가상폴더 생성모듈이 FUSE를 활용하여 생성된 가상 폴더)가 생성되지는 않는다.

다음으로, 보안 콘텐츠 관리 장치(100)는 사용자에게 보안 콘텐츠 서비스를 제공하기 위해 사용자 인증과정을 진행한다(S440). 이때 보안 콘텐츠 관리 장치(100)는 사용자 인증 화면을 통해 사용자로부터 입력받은 로그인 정보를 기초로 저장수단에 사용자 정보를 저장하고, 보안 콘텐츠 서버(200)로부터 DRM 정책(사용자 정책, 기존의 보안폴더가 존재하면 보안폴더 정책)을 수신한다. 만약 본 발명에 따른 보안 콘텐츠 서비스가 클라우드 서비스와 연동하여 수행되면 이 과정에서 클라우드 인증 토큰에 의한 클라우드 서비스에 대한 사용자 인증과정도 함께 수행된다. 다음으로 보안 콘텐츠 관리 장치(100)는 보안 콘텐츠 서버(200)로부터 수신된 DRM 정책을 저장수단에 저장하거나 저장수단에 기저장되어 있는 DRM 정책을 보안 콘텐츠 서버(200)로부터 새로 수신된 DRM 정책으로 갱신한다.

다음으로, 보안 콘텐츠 관리 장치(100)는 보안폴더를 검색하여 초기화한다(S450). 이는 보안폴더가 이미 존재하는지 여부를 확인하는 과정이다. 그리고 보안 콘텐츠 관리 장치(100)는 저장수단에서 사용자에 해당하는 DRM 정책을 확인하고, 가상화 대상 폴더에서 특정한 설정 파일(즉, 보안폴더를 구별하는 정보가 포함되어 있는 설정 파일)을 확인하여 해당 설정 파일에 기록되어 있는 정보가 저장수단에 저장되어 있는 정보와 동일한지 확인한다.

다음으로, 보안 콘텐츠 관리 장치(100)는 보안폴더로 확인된 정보를 탐색기(예를 들면, Mac OS의 파인더)에 구분하여 표시한다(S460). 이때 보안 콘텐츠 관리 장치(100)는 가상화 대상 폴더를 FUSE를 활용하여 가상폴더의 형태인 보안폴더로 생성하여 파일시스템에 마운트하고, 보안폴더로 마운트된 폴더정보를 탐색기의 즐겨찾기에 표시한다. 그리고 보안 콘텐츠 관리 장치(100)는 커널제어 프레임워크의 기능을 이용해 커널 파일시스템을 통해 전달되는 파일 입출력을 사용자 모드로 전달하여 콘텐츠의 제어 여부를 모니터링한다.

다음으로, 보안 콘텐츠 관리 장치(100)는 생성된 보안폴더에 대한 설정정보를 사용자로부터 입력받아 저장수단에 저장하고 보안 콘텐츠 서버(200)로 전송한다(S470). 이를 위해 보안 콘텐츠 관리 장치(100)는 보안폴더 설정 화면을 사용자에게 출력하며, 사용자가 설정한 권한을 저장수단에 저장한다. 그리고 보안폴더의 정보를 보안 콘텐츠 서버(200)로 전송한다.

이상과 같은 절차를 통해 보안폴더(즉, 가상폴더)가 생성되면 사용자는 보안폴더에 콘텐츠를 저장하거나 보안폴더에 저장되어 있는 콘텐츠 열람하거나 보안폴더에 대한 설정정보를 변경하거나 보안폴더에 저장되어 있는 파일의 정보를 확인하거나 보안폴더에 저장되어 있는 파일에 대한 사용이력을 조회하는 등의 관리동작을 수행할 수 있다. 이러한 보안폴더에 대한 관리동작을 위해 보안 콘텐츠 관리 장치(100)는 각각의 동작과 연계되어 있는 메뉴가 포함되어 있는 메뉴창을 출력하며, 메뉴창의 출력은 마우스의 오른쪽 버튼의 눌림과 연동되어 수행되도록 구현할 수 있다.

도 5는 보안폴더에 콘텐츠를 저장하거나 보안폴더에 저장되어 있는 콘텐츠를 열람하는 과정을 도시한 도면이다.

도 5를 참조하면, 사용자가 탐색기 상에 표시된 보안폴더에 콘텐츠의 저장을 선택하면(S500), 보안 콘텐츠 관리 장치(100)의 보안 파일시스템 인터페이스부(120)는 커널 모드로부터 해당 콘텐츠에 대한 파일 입출력을 후킹하여 해당 콘텐츠가 암호화 대상인지 확인한다(S505). 이때 콘텐츠의 암호화 대상여부에 대한 확인은 데이터 제어부(110)로부터 제공받은 정책정보를 기초로 수행된다. 만약 암호화 대상으로 확인되면 보안 파일시스템 인터페이스부(120)는 보안 처리부(130)로 해당 콘텐츠를 전달하며, 보안 처리부(130)는 데이터 제어부(110)로부터 제공받은 정책정보를 기초로 해당 콘텐츠를 암호화하여 돌려준다(S510). 다음으로, 암호화된 콘텐츠는 저장수단의 물리적 위치에 저장되며, 보안 파일시스템 인터페이스부(120)는 해당 콘텐츠의 확장자를 변경(예를 들면, 해당 콘텐츠의 파일명이 userfile.doc이면 변경된 파일명은 userfile.scd)한 후 보안폴더에 기록하고, 해당 콘텐츠의 파일명과 변경된 파일명을 연계하여 관리한다(S515). 이때 보안 파일시스템 인터페이스부(120)는 보안폴더의 사용이력에 해당 콘텐츠의 저장과 관련된 정보를 기록하여 보안폴더의 사용이력을 갱신한다(S520).

이와 달리, 사용자가 탐색기 상에 표시된 보안폴더에 저장되어 있는 콘텐츠의 열람을 선택하면(S525), 보안 콘텐츠 관리 장치(100)의 보안 파일시스템 인터페이스부(120)는 커널 모드로부터 해당 콘텐츠에 대한 파일 입출력을 후킹하고, 보안 콘텐츠 서버(200)로부터 수신된 DRM 정책을 기초로 사용자가 해당 콘텐츠를 열람할 수 있는 권한이 있는 사용자인지 여부를 확인한다(S530). 이때 콘텐츠에 대한 열람권한의 보유여부는 데이터 제어부(110)로부터 제공받은 정책정보를 기초로 수행된다. 만약 사용자의 권한이 인정되면, 보안 파일시스템 인터페이스부(120)는 보안 처리부(130)로 해당 콘텐츠를 전달하며, 보안 처리부(130)는 데이터 제어부(110)로부터 제공받은 정책정보를 기초로 해당 콘텐츠를 복호화하여 돌려준다(S535). 복호화된 콘텐츠는 사용자에게 출력되며, 보안 파일시스템 인터페이스부(120)는 보안폴더의 사용이력에 해당 콘텐츠의 열람과 관련된 정보를 기록하여 보안폴더의 사용이력을 갱신한다(S540).

한편, 도 5를 참조하여 설명한 보안폴더에의 콘텐츠 저장 및 콘텐츠 열람 외에 콘텐츠의 수정, 삭제 등 다른 동작의 수행도 가능하며, 이때 각각의 동작에 대한 권한(즉, 해당 콘텐츠에 대해 수정이 허용되는지 여부, 사용자가 해당 콘텐츠에 대한 수정권한이 있는지 여부)의 인정여부는 데이터 제어부(110)에 저장되어 있는 정책정보를 기초로 수행된다. 그리고 보안폴더의 사용이력은 갱신될 때마다 또는 일정한 주기로 보안 콘텐츠 서버(200)로 전송된다.

도 6을 참조하면, 사용자가 탐색기 상에 표시된 보안폴더를 선택한 후 마우스 오른쪽 버튼을 클릭하면, 보안 콘텐츠 관리 장치(100)의 사용자 인터페이스부(140)는 메뉴가 포함되어 있는 메뉴창을 출력한다(S600). 이때 사용자로부터 메뉴창의 출력명령을 입력받는 수단으로 마우스의 오른쪽 버튼을 예로 들었지만, 이는 하나의 예로서 다른 형태의 입력수단이 채용될 수 있다. 만약 사용자가 '보안폴더설정' 메뉴를 선택하면(S605), 데이터 제어부(110)는 사용자 인터페이스부(140)에 보안폴더설정을 위한 화면을 출력하도록 제어한다(S610). 그리고 데이터 제어부(110)는 사용자로부터 설정받은 보안폴더에 대한 권한정보를 사용자 정책정보로서 저장수단에 저장하고, 보안 콘텐츠 서버(200)로 전송한다(S615).

다음으로, 사용자가 '보안폴더변경' 메뉴를 선택하면(S620), 데이터 제어부(110)는 사용자의 권한을 확인한 후 사용자 인터페이스부(140)에 보안폴더변경을 위한 화면을 출력하도록 제어한다(S625). 그리고 데이터 제어부(110)는 저장수단에 저장되어 있는 보안폴더에 대한 권한정보를 새로 설정받은 권한정보로 갱신하고, 갱신된 권한정보를 보안 콘텐츠 서버(200)로 전송한다(S630).

다음으로, 사용자가 '보안파일정보' 메뉴를 선택하면(S635), 데이터 제어부(110)는 저장수단에 저장되어 있는 파일정보로부터 보안폴더에 저장되어 있는 보안파일에 대한 암호화 정보를 읽어와서 사용자 인터페이스부(140)를 통해 사용자에게 출력한다(S640).

다음으로, 사용자가 '사용이력조회' 메뉴를 선택하면(S645), 데이터 제어부(110)는 보안 콘텐츠 서버(200)에 해당 사용자의 보안폴더의 사용이력(즉, 보안폴더의 생성에 대한 정보, 보안폴더에의 파일저장에 대한 정보, 보안폴더에 저장되어 있는 파일의 열람에 대한 정보 등)의 제공을 요청하고, 보안 콘텐츠 서버(200)로부터 수신된 사용이력을 사용자 인터페이스부(140)를 통해 사용자에게 출력한다(S650).

다음으로, 사용자가 '보안폴더해지' 메뉴를 선택하면(S655), 데이터 제어부(110)는 사용자의 권한을 확인한 후 사용자 인터페이스부(140)를 통해 보안폴더해지에 따른 주의사항을 공지한다(S660). 그리고 데이터 제어부(110)는 보안폴더해지에 따라 보안폴더에 기록되어 있는 보안파일의 복호화여부를 문의하고, 사용자의 선택에 따라 사용자가 지정한 폴더에 보안문서를 복호화하여 저장한다(S665). 이때 보안파일의 복호화는 보안 처리부(130)에 의해 수행된다. 그리고 데이터 제어부(110)는 선택적으로 해당 보안폴더의 해지에 대한 정보를 보안 콘텐츠 서버(200)로 전송한다.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.

Claims

콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신하여 저장수단에 저장하는 데이터 제어부;

상기 데이터 제어부로부터 제공받은 권한정책을 기초로 콘텐츠를 암호화하거나 복호화하는 보안 처리부; 및

커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하고, 커널 모드로부터 후킹된 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 보안 파일시스템 인터페이스부;를 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 1항에 있어서,

상기 콘텐츠는 상기 파일 공유 서비스를 제공하는 파일 공유 서버로부터 수신되거나 상기 파일 공유 서버로 전송될 콘텐츠인 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 1항 또는 제 2항에 있어서,

상기 보안 파일시스템 인터페이스부는 상기 커널 모드로부터 상기 가상폴더에 콘텐츠의 기록에 대한 이벤트가 후킹되면 상기 보안 처리부에 상기 후킹된 이벤트에 대응하는 콘텐츠를 제공하여 암호화하도록 지시하고,

상기 보안 처리부는 상기 데이터 제어부로부터 획득한 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 암호화하여 상기 보안 파일시스템 인터페이스부에 제공하며,

상기 보안 파일시스템 인터페이스부는 상기 후킹된 이벤트에 대응하는 콘텐츠의 확장자를 암호화되었음을 나타내는 확장자로 변경한 후 상기 가상폴더에 기록하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 1항 또는 제 2항에 있어서,

상기 보안 파일시스템 인터페이스부는 상기 커널 모드로부터 상기 가상폴더에 기록되어 있는 콘텐츠의 읽기에 대한 이벤트가 후킹되면 상기 보안 처리부에 상기 후킹된 이벤트에 대응하는 콘텐츠를 제공하여 복호화하도록 지시하고,

상기 보안 처리부는 상기 데이터 제어부로부터 획득한 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 복호화하여 상기 보안 파일시스템 인터페이스부에 제공하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 4항에 있어서,

상기 데이터 제어부는 상기 저장수단에 저장되어 있는 상기 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠의 읽기를 요청한 사용자의 권한을 확인하며,

상기 보안 파일시스템 인터페이스부는 상기 데이터 제어부로부터 상기 사용자의 권한이 인증된 경우에 상기 보안 처리부에 상기 후킹된 이벤트에 대응하는 콘텐츠를 제공하여 복호화하도록 지시하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 1항 또는 제 2항에 있어서,

상기 보안 파일시스템 인터페이스부는 상기 가상폴더에 기록되어 있는 콘텐츠 각각에 대한 열람, 복사 및 수정 중에서 적어도 하나를 포함하는 사용이력을 생성하고,

상기 데이터 제어부는 사용자의 명령 또는 사전에 설정된 주기에 의해 상기 보안 콘텐츠 서버로 상기 사용이력을 전송하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 6항에 있어서,

상기 보안 파일시스템 인터페이스부는 사용자로부터 상기 가상폴더에 기록되어 있는 콘텐츠에 대한 사용이력의 제공이 요청되면, 상기 보안 콘텐츠 서버로부터 상기 사용이력을 획득하여 사용자에게 출력하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 1항 또는 제 2항에 있어서,

상기 데이터 제어부는,

상기 보안 콘텐츠 서버로부터 상기 권한정책을 수신하고, 상기 보안 파일시스템 인터페이스부가 생성한 상기 가상폴더에 기록되어 있는 콘텐츠 각각에 대한 열람, 복사 및 수정 중 적어도 하나를 포함하는 사용이력을 상기 보안 콘텐츠 서버로 전송하는 중앙 처리부;

상기 데이터 제어부, 상기 보안 처리부 및 상기 보안 파일시스템 인터페이스부에 의해 실행되는 프로세스 사이의 통신을 관리하는 IPC 통신부; 및

상기 보안 콘텐츠 서버로부터 수신된 권한정책과 사용자가 각각의 콘텐츠 또는 상기 가상 폴더에 대해 직접 설정한 정책정보를 상기 저장수단에 저장하여 관리하며, 상기 보안 처리부의 권한정책 제공요청에 응답하여 상기 저장수단으로부터 상기 권한정책을 읽어내어 상기 보안 처리부에 제공하는 정책관리부;를 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신된 상기 권한정책과 보안 콘텐츠를 관리하기 위한 보안 콘텐츠 관리 프로그램이 저장되는 저장수단; 및

상기 보안 콘텐츠 관리 프로그램의 실행에 의해 상기 콘텐츠에 대한 보안 관리를 수행하는 프로세서;를 포함하고,

상기 보안 콘텐츠 관리 프로그램은,

상기 보안 콘텐츠 서버로부터 수신된 상기 권한책을 상기 저장수단에 저장하는 데이터 제어 모듈;

상기 데이터 제어 모듈로부터 제공받은 권한정책을 기초로 콘텐츠를 암호화하거나 복호화하는 보안 처리 모듈; 및

커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하고, 커널 모드로부터 후킹된 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 보안 파일시스템 인터페이스 모듈;을 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 9항에 있어서,

상기 콘텐츠는 상기 파일 공유 서비스를 제공하는 파일 공유 서버로부터 수신되거나 상기 파일 공유 서버로 전송될 콘텐츠인 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 9항 또는 제 10항에 있어서,

상기 보안 파일시스템 인터페이스 모듈은 상기 커널 모드로부터 상기 가상폴더에 콘텐츠의 기록에 대한 이벤트가 후킹되면 상기 보안 처리 모듈에 상기 후킹된 이벤트에 대응하는 콘텐츠를 제공하여 암호화하도록 지시하고,

상기 보안 처리 모듈은 상기 데이터 제어 모듈로부터 획득한 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 암호화하여 상기 보안 파일시스템 인터페이스 모듈에 제공하며,

상기 보안 파일시스템 인터페이스 모듈은 상기 후킹된 이벤트에 대응하는 콘텐츠의 확장자를 암호화되었음을 나타내는 확장자로 변경한 후 상기 가상폴더에 기록하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 9항 또는 제 10항에 있어서,

상기 보안 파일시스템 인터페이스 모듈은 상기 커널 모드로부터 상기 가상폴더에 기록되어 있는 콘텐츠의 읽기에 대한 이벤트가 후킹되면 상기 보안 처리 모듈에 상기 후킹된 이벤트에 대응하는 콘텐츠를 제공하여 복호화하도록 지시하고,

상기 보안 처리 모듈은 상기 데이터 제어 모듈로부터 획득한 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 복호화하여 상기 보안 파일시스템 인터페이스 모듈에 제공하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 9항 또는 제 10항에 있어서,

상기 보안 파일시스템 인터페이스 모듈은 상기 가상폴더에 기록되어 있는 콘텐츠 각각에 대한 열람, 복사 및 수정 중 적어도 하나를 포함하는 사용이력을 생성하고,

상기 데이터 처리 모듈은 사용자의 명령 또는 사전에 설정된 주기에 의해 상기 보안 콘텐츠 서버로 상기 사용이력을 전송하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
제 13항에 있어서,

상기 보안 파일시스템 인터페이스 모듈은 사용자로부터 상기 가상폴더에 기록되어 있는 콘텐츠에 대한 사용이력의 제공이 요청되면, 상기 보안 콘텐츠 서버로부터 상기 사용이력을 획득하여 사용자에게 출력하는 것을 특징으로 하는 보안 콘텐츠 관리 장치.
(a) 콘텐츠에 대한 권한정책을 보안 콘텐츠 서버로부터 수신하여 저장수단에 저장하는 단계;

(b) 커널 모드에서 동작하는 가상폴더 생성 모듈을 구동하여 가상화 대상폴더의 위치정보와 가상폴더의 경로정보를 기초로 가상폴더를 생성하여 파일시스템에 등록하는 단계; 및

(c) 상기 가상폴더에 기록되어 있거나 기록될 콘텐츠에 대한 입출력 이벤트를 커널 모드로부터 후킹하고, 상기 후킹된 입출력 이벤트에 대응하는 콘텐츠를 상기 보안 처리부에 제공하여 암호화 또는 복호화를 수행하도록 지시하는 단계;를 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 방법.
제 15항에 있어서,

상기 콘텐츠는 상기 파일 공유 서비스를 제공하는 파일 공유 서버로부터 수신되거나 상기 파일 공유 서버로 전송될 콘텐츠인 것을 특징으로 하는 보안 콘텐츠 관리 방법.
제 15항 또는 제 16항에 있어서,

상기 (c)단계는,

상기 커널 모드로부터 상기 가상폴더에 콘텐츠의 기록에 대한 이벤트가 후킹되면 상기 저장수단에 저장되어 있는 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 암호화하는 단계; 및

상기 후킹된 이벤트에 대응하는 콘텐츠의 확장자를 암호화되었음을 나타내는 확장자로 변경한 후 상기 가상폴더에 기록하는 단계;를 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 방법.
제 15항 또는 제 16항에 있어서,

상기 (c)단계는, 상기 커널 모드로부터 상기 가상폴더에 기록되어 있는 콘텐츠의 읽기에 대한 이벤트가 후킹되면 상기 저장수단에 저장되어 있는 권한정책을 기초로 상기 후킹된 이벤트에 대응하는 콘텐츠를 복호화하는 단계를 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 방법.
제 15항 또는 제 16항에 있어서,

(d) 상기 가상폴더에 기록되어 있는 콘텐츠 각각에 대한 열람, 복사 및 수정 중 적어도 하나를 포함하는 사용이력을 생성하는 단계; 및

(e) 사용자의 명령 또는 사전에 설정된 주기에 의해 상기 보안 콘텐츠 서버로 상기 사용이력을 전송하는 단계;를 더 포함하는 것을 특징으로 하는 보안 콘텐츠 관리 방법.
제 15항 또는 제 16항에 기재된 보안 콘텐츠 관리 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.