[go: up one dir, main page]

KR101373542B1 - System for Privacy Protection which uses Logical Network Division Method based on Virtualization - Google Patents

System for Privacy Protection which uses Logical Network Division Method based on Virtualization Download PDF

Info

Publication number
KR101373542B1
KR101373542B1 KR1020120085844A KR20120085844A KR101373542B1 KR 101373542 B1 KR101373542 B1 KR 101373542B1 KR 1020120085844 A KR1020120085844 A KR 1020120085844A KR 20120085844 A KR20120085844 A KR 20120085844A KR 101373542 B1 KR101373542 B1 KR 101373542B1
Authority
KR
South Korea
Prior art keywords
virtualization
mode
manager
access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020120085844A
Other languages
Korean (ko)
Other versions
KR20140019574A (en
Inventor
이상진
백승태
김태완
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020120085844A priority Critical patent/KR101373542B1/en
Publication of KR20140019574A publication Critical patent/KR20140019574A/en
Application granted granted Critical
Publication of KR101373542B1 publication Critical patent/KR101373542B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 논리적 망 분리 기반 개인정보 보호 시스템 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 논리적 망 분리 기반의 사용자 단말은, 개인정보 및 민감정보를 제공하는 내부 망에 대한 접속이 제한되는, 일반 모드에서는 읽기 및 쓰기 가능하며, 상기 내부 망에 접속 가능하나 외부 망에 대한 접속이 제한되는, 보안 모드에서는 읽기 전용으로 이용되는 일반 저장소; 상기 일반 모드에서는 확인 및 접근 불가하고, 상기 보안 모드에서는 확인, 접근, 읽기 및 쓰기 가능한, 암호화된 가상 저장소; 및 설치 및 실행되면, 가상화 서버에 의해 제공되는 보안정책에 따라 상기 일반 모드 및 상기 보안 모드에서, 실행 가능한 프로세스, 상기 내부 망 및 상기 외부 망에 대한 접속 허용 및 접속 차단을 제어하는 가상화 매니저를 포함하는 것을 특징으로 한다.The present invention discloses a privacy protection system and method based on logical network separation. According to an aspect of the present invention, a user terminal based on logical network separation may read and write in a general mode in which access to an internal network providing personal information and sensitive information is limited, and may access the internal network, but may access an external network. General storage used read-only in secure mode, where access to the server is limited; An encrypted virtual store that is indeterminate and inaccessible in the normal mode, and that is invisible, accessible, read and write in the secure mode; And a virtualization manager that, when installed and executed, controls executable processes, access allowance and disconnection to the internal network and the external network in the normal mode and the security mode according to the security policy provided by the virtualization server. Characterized in that.

Description

가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템{System for Privacy Protection which uses Logical Network Division Method based on Virtualization}System for Privacy Protection which uses Logical Network Division Method based on Virtualization}

본 발명은 개인정보 보호 시스템에 관한 것으로서, 더 구체적으로는 사용자 단말이 공격자에 의해 장악되어도 개인정보 및 민감정보의 유출을 방지할 수 있는 논리적 망 분리 기반 개인정보 보호 시스템 및 방법에 관한 것이다.The present invention relates to a personal information protection system, and more particularly to a logical network separation-based personal information protection system and method that can prevent the leakage of personal information and sensitive information even if the user terminal is taken over by an attacker.

최근, 개인정보 유출 사고가 계속해서 발생하고 있어, 개인정보보호의 중요성이 높아지고 있다.Recently, personal information leakage accidents continue to occur, and the importance of personal information protection is increasing.

따라서, 정부와 국회는 정보통신망법의 개정과 개인정보보호법(2012.09.30 시행)을 제정 및 시행하여 개인이나, 기업 등에 개인정보의 안전관리에 대한 법적 의무를 부과하고 있다.Accordingly, the government and the National Assembly have enacted and amended the Information and Communication Network Act and enacted and enforced the Personal Information Protection Act (enacted on September 30, 2012) to impose legal obligations on the safety of personal information to individuals and companies.

또한, 개인정보의 안전관리를 위한 기준 고시(행정안전부 2012.09.30)가 발표됨에 따라 보안 업체들은 개인정보보호 컴플라이언스 기술 및 솔루션을 개발하여 제공하고 있다.In addition, with the announcement of the standard notification for the safety management of personal information (Ministry of Public Administration and Security, September 30, 2012), security companies are developing and providing privacy compliance technology and solutions.

대표적으로, "호스트 자료유출방지 솔루션(이하, Host DLP라고 함)"이 있으며, Host DLP 솔루션의 핵심 기술은 정보 보유 현황 관리 및 통제 기술과 정보 흐름 통제 기술의 두 가지이다. 여기서, 정보 보유 현황 관리 및 통제 기술은 사용자 단말의 디스크에 저장되어 있는 개인정보 및 민감정보가 포함된 파일을 검색한 후 암호화, 삭제, 격리 등의 조치를 취하는 것이다. 그리고, 정보 흐름 통제 기술은 개인정보 및 민감정보가 포함된 파일들의 인터넷 전송, 이동식 저장매체(예컨대, USB 등)로 복사, 프린트 출력하는 등을 제한하거나 통제하는 것이다.Typically, there is a "Host Data Loss Prevention Solution" (hereinafter referred to as Host DLP), and the core technologies of the Host DLP solution are information management and control technology and information flow control technology. Here, the information holding status management and control technology is to search for files containing personal information and sensitive information stored in the disk of the user terminal and take measures such as encryption, deletion, and quarantine. In addition, the information flow control technology restricts or controls the transmission of files containing personal and sensitive information to the Internet, copying, printing, etc. to a portable storage medium (eg, USB).

이러한 Host DLP 솔루션의 핵심 기술은 개인정보보호를 위한 컴플라이언스 요건을 충족하기 때문에, 최근의 정보보호 기술 및 솔루션 시장에서 많이 사용되고 있다.Since the core technology of the Host DLP solution meets the compliance requirements for privacy, it is widely used in the information security technology and solution market.

그러나, 신종 표적 해킹 기법인 APT(Advanced Persistent Threat; 지능적 지속 위협) 공격의 타깃 기업 및 기관의 특정 사용자 단말가 장악될 경우에는 적용된 호스트 DLP의 컴플라이언스 기능이 무력화될 수 있고, 그렇지 않더라도 공격자가 임의로 생성한 개별 통신 채널(Custom Communication Channel; 공격자가 방화벽이나 기타 보안 시스템의 탐지를 피해 우회하기 위해 Well-Known Port 등을 이용한 사용자 정의 프로토콜 기반의 통신 채널을 통칭)을 통해 개인정보 및 민감정보가 유출될 수 있다.However, if a particular user terminal of a target enterprise and organization is attacked by a new target hacking technique, Advanced Persistent Threat (APT) attack, the compliance function of the applied host DLP may be disabled, even if the attacker arbitrarily generates it. Personal and sensitive information can be leaked through a custom communication channel (collectively referred to as a user-defined protocol-based communication channel using well-known ports to help attackers bypass the detection of firewalls or other security systems). have.

따라서, 공격자에 의해 사용자 단말이 장악되거나, 호스트 DLP의 컴플라이언스 기능이 무력화되거나, 개별 통신 채널을 통한 정보 유출이 시도되는 경우 등에 대비할 수 있는 새로운 기능 및 기술이 필요로 하다.Therefore, there is a need for a new function and technology that can be prepared in case the user terminal is taken over by the attacker, the compliance function of the host DLP is disabled, information leakage through the individual communication channel is attempted.

본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 사용자 단말의 파일시스템 가상화, 저장소 암호화, 프로세스 및 네트워크 접속 제어의 융합 기술에 의해 신종 위협에 의한 개인정보 및 민감정보의 유출을 방지할 수 있는 논리적 망 분리 기반 개인정보 보호 시스템 및 방법을 제공하는 것을 그 목적으로 한다.The present invention has been made in the technical background as described above, and can prevent the leakage of personal and sensitive information due to new threats by the convergence technology of file system virtualization, storage encryption, process and network access control of the user terminal. Its purpose is to provide a privacy protection system and method based on logical network separation.

본 발명의 일면에 따른 논리적 망 분리 기반의 사용자 단말은, 개인정보 및 민감정보를 제공하는 내부 망에 대한 접속이 제한되는, 일반 모드에서는 읽기 및 쓰기 가능하며, 상기 내부 망에 접속 가능하나 외부 망에 대한 접속이 제한되는, 보안 모드에서는 읽기 전용으로 이용되는 일반 저장소; 상기 일반 모드에서는 확인 및 접근 불가하고, 상기 보안 모드에서는 확인, 접근, 읽기 및 쓰기 가능한, 암호화된 가상 저장소; 및 설치 및 실행되면, 가상화 서버에 의해 제공되는 보안정책에 따라 상기 일반 모드 및 상기 보안 모드에서, 실행 가능한 프로세스, 상기 내부 망 및 상기 외부 망에 대한 접속 허용 및 접속 차단을 제어하는 가상화 매니저를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, a user terminal based on logical network separation may read and write in a general mode in which access to an internal network providing personal information and sensitive information is limited, and may access the internal network, but may access an external network. General storage used read-only in secure mode, where access to the server is limited; An encrypted virtual store that is indeterminate and inaccessible in the normal mode, and that is invisible, accessible, read and write in the secure mode; And a virtualization manager that, when installed and executed, controls executable processes, access allowance and disconnection to the internal network and the external network in the normal mode and the security mode according to the security policy provided by the virtualization server. Characterized in that.

본 발명의 다른 면에 따른 논리적 망 분리 기반의 가상화 서버는, 사용자 단말에 설치된 가상화 매니저에 제공될 보안정책을 관리하는 정책 관리부; 상기 가상화 매니저가 상기 사용자 단말에 최초 설치될 때, 사용자에 의해 입력된 사용자 정보를 수신 및 저장하며, 상기 사용자의 요청에 따라 상기 가상화 매니저가 일반 모드에서 보안 모드로 전환하려 할 때 상기 가상화 매니저의 권한 인증 요청에 따라 상기 사용자 정보에 기반한 권한 인증을 수행하는 매니저 관리부; 및 상기 가상화 매니저가 상기 보안 모드에서, 상기 사용자 단말의 실행 프로세스에 의한 복사 작업에 대한 승인을 요청하면, 승인권자 또는 개인정보 보호 책임자에 상기 승인을 요청하며, 상기 승인권자 또는 개인정보 보호 책임자의 승인 또는 반려에 대응하여 상기 실행 프로세스에 의한 상기 복사 작업을 승인 또는 반려하는 승인결제 관리부를 포함하는 것을 특징으로 한다.Logical network separation-based virtualization server according to another aspect of the present invention, the policy management unit for managing the security policy to be provided to the virtualization manager installed in the user terminal; When the virtualization manager is first installed in the user terminal, it receives and stores user information input by the user, and when the virtualization manager attempts to switch from the normal mode to the secure mode at the request of the user, A manager manager which performs authority authentication based on the user information according to the authority authentication request; And when the virtualization manager requests approval of a copy job by an execution process of the user terminal in the secure mode, requests the approval to the approver or the person in charge of privacy, and approves the permission of the approver or person in charge of privacy. And an approval settlement management unit for approving or returning the copy job by the execution process in response to the return.

본 발명의 또 다른 면에 따른 사용자 단말에 설치된 가상화 매니저에 의한 논리적 망 분리 기반의 개인정보 보호 방법은, 최초로 설치되면, 가상화 서버에 사용자 아이디 및 패스워드 기반의 에이전트 인증을 요청하는 단계; 상기 가상화 서버에 의해 상기 에이전트 인증되면, 상기 가상화 서버로부터 보안정책을 제공받아 저장하는 단계; 일반 모드에서, 개인정보 및 민감정보를 제공하는 내부 망에 대한 접속을 제한하고, 외부 망에 대한 접속을 허용하며, 일반 저장소를 읽기 및 쓰기로 제어하는 단계; 사용자에 의해 상기 일반 모드에서 보안 모드로의 전환이 요청되면, 상기 가상화 서버에 상기 사용자의 권한 인증을 요청하는 단계; 및 상기 가상화 서버에 의해 상기 권한 인증을 받으면, 상기 보안 모드로 전환되어, 상기 내부 망에 대한 접속을 허용하고, 상기 외부 망에 대한 접속을 차단하며, 상기 일반 저장소를 읽기 전용으로 제어하고, 상기 일반 모드에서는 확인 및 접근 불가한, 암호화된 가상 저장소를 마운트(Mount)하여 상기 보안 모드에서 실행 가능한 프로세스의 저장 경로로 이용하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, a method for protecting personal information based on logical network separation by a virtualization manager installed in a user terminal, the method comprising: requesting an agent authentication based on a user ID and password from a virtualization server; If the agent is authenticated by the virtualization server, receiving and storing a security policy from the virtualization server; In a normal mode, restricting access to an internal network providing personal and sensitive information, allowing access to an external network, and controlling the general storage to read and write; Requesting authorization of the user from the virtualization server when a switch from the normal mode to the secure mode is requested by the user; And upon receiving the authorization authentication by the virtualization server, enters the secure mode, permits access to the internal network, blocks access to the external network, controls the general storage to be read-only, and Mounting the encrypted virtual storage, which cannot be identified and accessed in the normal mode, is used as a storage path of a process executable in the secure mode.

본 발명에 따르면, 사용자 단말의 저장 영역을, 개인정보나 민감정보를 다루는 내부 망에 접근 불가하며, 외부 망에 접근 가능한, 일반 모드에서 이용되는 일반 저장소와, 내부 망에만 접근 가능하며 외부 망에는 접근 불가한, 보안 모드에서 이용되는 암호화된 가상 저장소로 구분하여 관리함에 따라 개인정보 및 민감정보의 유출을 방지할 수 있다.According to the present invention, the storage area of the user terminal is not accessible to the internal network that handles personal or sensitive information, and is accessible to the external network, the general storage used in the normal mode, and accessible only to the internal network. It is possible to prevent leakage of personal information and sensitive information by managing it by classifying it into encrypted virtual storage which is inaccessible and used in a secure mode.

뿐만 아니라, 본 발명은 가상화 서버를 통한 에이전트 인증 및 권한 인증을 받지 못하면, 가상 저장소를 마운트하지 않아, 사용자의 확인 및 접근이 불가하므로, 본 발명을 적용한 사용자 단말이나, 하드디스크(HDD)가 도난당하거나 유출되어도, 에이전트 인증 및 권한 인증을 수행할 수 없어, 가상 저장소에 저장된 개인정보 및 기밀정보가 포함된 파일은 유출되지 않을 수 있다.In addition, the present invention does not mount the virtual storage, if the agent authentication and authorization through the virtualization server is not received, so that the user can not check and access, the user terminal or hard disk (HDD) to which the present invention is applied is stolen Even if it is stolen or leaked, the agent authentication and authority authentication cannot be performed, and thus files containing personal and confidential information stored in the virtual storage may not be leaked.

더욱이, 본 발명은 국가정보원 IT 보안인증사무국이나, CC(Common Criteria) 인증을 위한 공통 규격상에서 명시되어 검증된 암호화 모듈 등에 의해 높은 암호화 비도(秘度)로 가상 저장소를 암호화하므로, 그외 다른 수단에 의해 가상 저장소를 평문 파일로 복구할 수는 없어, 보안성이 매우 높을 수 있다.Furthermore, the present invention encrypts the virtual storage with a high encryption ratio by an IT security certification bureau of the National Intelligence Service or an encryption module specified and verified on a common standard for CC (Common Criteria) certification. This makes it impossible to recover the virtual store to plain text files, which can be very secure.

또한, 본 발명은 지능적 지속 위협(APT) 공격이나, 사용자 계정 획득 등에 의해 해당 사용자 단말이 공격자에 의해 장악되어도, 가상 저장소에 저장된 개인정보나 기밀정보가 포함된 파일을 외부로 반출하기 위해 일반 저장소로 복사하려 할 때 승인을 요청하므로, 승인자나 개인정보 보호 책임자의 확인작업에 의해 비인가 사용자의 승인 요청이 걸러질 수 있어, 비인가 사용자에 의한 파일 유출을 차단할 수 있다.In addition, the present invention is a general repository to export a file containing personal or confidential information stored in the virtual storage to the outside, even if the user terminal is seized by an attacker by an intelligent persistent threat (APT) attack, or user account acquisition, etc. When the user attempts to copy the file, the user's approval request can be filtered by the approver or the person in charge of protecting personal information, thereby preventing the user from leaking the file.

더 나아가, 본 발명은 자체적으로도 논리적 망 분리를 통해 개인정보보호 컴플라이언스 시스템의 기능들을 제공할 뿐 아니라, 사용자 단말에 하나의 플러그인 형태의 프로그램(가상화 매니저)을 추가 설치함에 따라 사용 가능하므로 종래의 호스트 DLP 시스템 또는 DB 접근제어 시스템의 에이전트와도 용이하게 연동하여 강력한 개인정보보호 컴플라이언스 시스템의 통합 환경을 제공할 수도 있다.Furthermore, the present invention can not only provide functions of the privacy compliance system through logical network separation but also can be used by installing one plug-in type program (virtualization manager) in the user terminal. It can also be easily interworked with agents of the host DLP system or DB access control system to provide an integrated environment of a strong privacy compliance system.

도 1은 본 발명의 논리적 망 분리 기반의 개인정보 보호 시스템을 도시한 개념도.
도 2는 본 발명의 논리적 망 분리 기반의 개인정보 보호 시스템을 도시한 구성도.
도 3은 본 발명의 가상화 매니저를 도시한 구성도.
도 4는 본 발명의 화면 제어 모듈의 화면 제어 예를 도시한 도면.1 is a conceptual diagram illustrating a personal information protection system based on logical network separation of the present invention.
2 is a block diagram showing a personal information protection system based on logical network separation of the present invention.
3 is a block diagram illustrating a virtualization manager of the present invention.
4 is a diagram showing an example of screen control of the screen control module of the present invention;

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms " comprises, " and / or "comprising" refer to the presence or absence of one or more other components, steps, operations, and / Or additions.

이제 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 논리적 망 분리 기반의 개인정보 보호 시스템을 도시한 개념도이고, 도 2는 본 발명의 실시예에 따른 논리적 망 분리 기반의 개인정보 보호 시스템을 도시한 구성도이다.Embodiments of the present invention will now be described in detail with reference to the accompanying drawings. 1 is a conceptual diagram showing a personal information protection system based on logical network separation according to an embodiment of the present invention, Figure 2 is a block diagram showing a personal information protection system based on logical network separation according to an embodiment of the present invention. .

도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 개인정보 보호 시스템(20)은 가상화 매니저(110)가 설치된 사용자 단말(100) 및 가상화 서버(200)를 포함한다.As shown in FIG. 2, the personal information protection system 20 according to the embodiment of the present invention includes a user terminal 100 and a virtualization server 200 in which the virtualization manager 110 is installed.

도 1에 도시된 바와 같이, 가상화 매니저(110)는 사용자 단말(100)에 설치되어, 보안 정책에 기반하여 일반 모드와 보안 모드에서 각기 프로세스 실행 통제 기능과 네트워크 접속 통제 기능을 수행한다.As shown in FIG. 1, the virtualization manager 110 is installed in the user terminal 100 to perform a process execution control function and a network access control function in a normal mode and a security mode, respectively, based on a security policy.

가상화 매니저(110)는 사용자 단말(100)에 최초로 설치되면, 사용자에 요청하여 사용자 이름, 사번, 소속부서코드, 사용자 아이디, 사용자 패스워드나, IP 주소 등을 포함하는 사용자 정보를 입력받고, 사용자 정보를 가상화 서버(200)에 전달한다.When the virtualization manager 110 is first installed in the user terminal 100, the user requests a user to receive user information including a user name, company number, department code, user ID, user password, IP address, and the like, and user information. To the virtualization server 200.

가상화 매니저(110)는 사용자 단말(100)의 부팅시에 자동으로 실행되며, 사용자 아이디 및 패스워드 기반의 에이전트 인증 후에, 일반 모드로 동작한다.The virtualization manager 110 is automatically executed at the time of booting the user terminal 100, and operates in a normal mode after agent authentication based on a user ID and password.

가상화 매니저(110)는 사용자에 의해 모드 전환이 요청되면, 가상화 서버(200)에 요청하여 권한 인증 후에 보안 모드로 전환된다. 이때, 가상화 매니저(110)는 가상화 서버(200)로부터 갱신된 보안정책을 내려받아(Download) 저장한다. 여기서, 보안정책은 실행 차단할 프로세스명, 접속 통제할 IP 주소와 URL 리스트 및 가상 저장소의 크기 등일 수 있다.When the mode switch is requested by the user, the virtualization manager 110 requests the virtualization server 200 to switch to the secure mode after authorization authentication. In this case, the virtualization manager 110 downloads the updated security policy from the virtualization server 200 and stores it. Here, the security policy may be a process name to block execution, an IP address and URL list to control access, and a size of the virtual store.

가상화 매니저(110)는 일반 모드에서 개인정보나 민감정보를 제공하는 내부 망에 대한 접속을 차단하고, 가상 저장소(150)를 마운트하지 않아, 가상 저장소(150)에 대한 접근은 물론 확인도 허용하지 않고, 외부 망과 일반 저장소(140)에 대한 접근만을 허용한다.The virtualization manager 110 blocks access to the internal network providing personal or sensitive information in the normal mode, and does not mount the virtual storage 150, thereby allowing access to the virtual storage 150 as well as confirmation. Instead, it only allows access to the external network and general storage 140.

가상화 매니저(110)는 보안 모드에서 허용된 프로세스와 내부 망에 대한 접근만을 허용한다.The virtualization manager 110 only allows access to the processes and the internal network allowed in the secure mode.

가상화 매니저(110)는 보안 모드에서, 일반 저장소(140)를 읽기 전용으로 제어하며, 가상 저장소(150)를 읽기/쓰기용으로 제어한다.In the secure mode, the virtualization manager 110 controls the general storage 140 to be read only, and controls the virtual storage 150 for read / write.

가상화 매니저(110)는 보안 모드에서, 실행 프로세스(예컨대, 응용 프로그램)가 일반 저장소(140)의 파일에 대한 편집 작업을 수행하면, 가상화 서버(200)의 승인을 받은 후, COW(Copy On Write) 기능에 의해 편집 작업의 경로를 가상 저장소(150)로 재설정한다.In the secure mode, the virtualization manager 110, when an executing process (for example, an application) edits a file in the general storage 140, receives approval from the virtualization server 200, and then copies on write. The function resets the path of the editing operation to the virtual storage 150.

또한, 가상화 매니저(110)는 일반 저장소(140)에 대한 쓰기 작업을 수행하면, 쓰기 작업의 경로를 가상 저장소(150)로 재설정한다. In addition, when the virtualization manager 110 performs a write operation on the general storage 140, the virtualization manager 110 resets the path of the write operation to the virtual storage 150.

이 같이, 본 발명의 가상화 매니저(110)는 내부 망이나, 내부 시스템 등 인가된 망 접속만을 허용하여 인가된 망 접속에 의해 개인정보나 민감정보를 송수신하거나, 저장하는 보안 모드에서는 가상 저장소(150)만 쓰기 가능하도록 제어하므로, 개인정보나 민감정보가 기본적으로 가상 저장소(150)에 저장되도록 하고, 일반 저장소(140)로 복사할 때도 승인결제 후에 복사 가능하도록 하여 개인정보나 민감정보의 유출을 방지할 수 있다. 뿐만 아니라, 가상화 매니저(110)는 보안 모드에서 외부 망 및 비인가 시스템에 대한 접근(접속)을 차단하므로, 비인가된 접속을 통해 개인정보나 민감정보가 유출되지 않도록 방지할 수 있다. 한편, 가상화 매니저(110)의 세부 구성요소에 대해서는 도 3을 참고하여 후술하도록 하겠다.As such, the virtualization manager 110 of the present invention permits only an authorized network connection, such as an internal network or an internal system, to transmit or store personal information or sensitive information by an authorized network connection. ), So that only personal information or sensitive information is stored in the virtual storage 150, and when copying to the general storage 140, the personal information or sensitive information can be copied after approval payment to prevent leakage of personal information or sensitive information. You can prevent it. In addition, since the virtualization manager 110 blocks access (access) to external networks and unauthorized systems in a secure mode, personal or sensitive information may be prevented from leaking through unauthorized access. Meanwhile, detailed components of the virtualization manager 110 will be described later with reference to FIG. 3.

도 2에 도시된 바와 같이, 가상화 서버(200)는 정책 관리부(220), 매니저 관리부(210) 및 승인결제 관리부(230)를 포함한다. 이하, 가상화 서버(200)의 각 구성요소에 대하여 설명한다.As shown in FIG. 2, the virtualization server 200 includes a policy manager 220, a manager manager 210, and an approval management manager 230. Hereinafter, each component of the virtualization server 200 will be described.

정책 관리부(220)는 각 사용자 단말(100)에 설치된 가상화 매니저(110)에 의해 적용될 보안정책을 정의한다. 여기서, 보안정책은 각 모드에서 실행 차단할 프로세스 명칭과, 접속 통제할 IP 주소와 URL 리스트, 가상 저장소의 크기(예컨대, 수 MB) 중 적어도 하나를 포함한다. 이때, 보안정책은 적용대상인 사용자나 부서단위로 각기 정의 및 적용할 수 있다.The policy manager 220 defines a security policy to be applied by the virtualization manager 110 installed in each user terminal 100. Here, the security policy includes at least one of a process name to be blocked in each mode, an IP address and URL list to control access, and a size of the virtual storage (for example, several MB). In this case, the security policy can be defined and applied to each user or department.

매니저 관리부(210)는 가상화 매니저(110)로부터 사용자 이름, 소속 부서나, 직급 등의 인사정보, 사용자 IP 주소, 사용자 아이디나, 사용자 패스워드 등의 인증정보를 포함하는 사용자 정보를 수신 및 저장한다.The manager manager 210 receives and stores the user information including the user name, the department or the personnel information such as the rank, the user IP address, the user ID or the user information including authentication information such as the user password from the virtualization manager 110.

매니저 관리부(210)는 사용자 단말(100)의 부팅 후 실행된 가상화 매니저(110)로부터 사용자 아이디 및 패스워드를 전달받으면, 에이전트 인증을 수행한다.When the manager manager 210 receives the user ID and password from the virtualization manager 110 executed after the booting of the user terminal 100, the manager manager 210 performs agent authentication.

매니저 관리부(210)는 가상화 매니저(110)로부터 일반 모드에서 보안 모드로 전환할 때 권한 인증을 수신하면, 유효한 가상화 매니저 및 인증 정보인지를 확인하고, 유효하면 권한 인증하고 그렇지 않으면, 권한 인증하지 않는다.When the manager manager 210 receives the authorization authentication from the virtualization manager 110 to the secure mode from the virtual manager 110, the manager manager 210 verifies that the virtualization manager and the authentication information are valid, and if it is valid, the authorization is authenticated. .

매니저 관리부(210)는 가상화 매니저(110)로부터 [에이전트 ID|사용자 아이디|사용자 패스워드|IP 주소]의 조합으로 생성된 해쉬값을 수신하여 해쉬 처리하고, 해쉬 처리한 값과 데이터베이스에 저장된 값을 비교한다. The manager manager 210 receives a hash value generated from a combination of [agent ID | user ID | user password | IP address] from the virtualization manager 110 and hashes it, and compares the hashed value with the value stored in the database. do.

이때, 매니저 관리부(210)는 해쉬 처리한 값과 저장된 값이 일치하면, 유효한 가상화 매니저 및 인증 정보라고 판단하고, 그렇지 않으면 유효하지 않은 가상화 매니저 및 인증정보라고 판단한다.At this time, if the hashed value and the stored value match, the manager manager 210 determines that it is valid virtualization manager and authentication information. Otherwise, the manager manager 210 determines that it is invalid virtualization manager and authentication information.

이후, 매니저 관리부(210)는 유효한 가상화 매니저 및 인증 정보이면, 인증 성공을 가상화 매니저(110)에 알리며, 그렇지 않으면, 인증 실패를 가상화 매니저(110)에 알린다.Thereafter, the manager manager 210 notifies the virtualization manager 110 of the authentication success if it is a valid virtualization manager and authentication information, or notifies the virtualization manager 110 of the authentication failure.

승인결제 관리부(230)는 가상화 매니저(110)에 의해 가상 저장소(150)에서 일반 저장소(140)로 복사 작업에 대한 신규 승인이 요청되면, 기지정된 승인권자에 승인을 요청한다.If the approval management unit 230 requests a new approval for the copy job from the virtual storage 150 to the general storage 140 by the virtualization manager 110, it requests a approval from a predetermined approver.

승인결제 관리부(230)는 승인권자 또는 개인정보보호 책임자에게 문자 메시지나, 메일 등으로 승인을 요청하며, 승인권자 또는 개인정보보호 책임자는 승인 요청을 확인하면, 승인요청시간, 사전 승인 여부 등을 참고하여 해당 요청에 대해 승인 또는 반려한다.The approval settlement management unit 230 requests approval from the approver or the person in charge of personal information protection by text message or e-mail, and the approver or person in charge of personal information protection confirms the request for approval, referring to the approval request time and prior approval status. Approve or return the request.

예를 들어, 승인권자는 승인요청시간을 받은 시간이 업무 외 시간(예컨대, 심야시간)이거나, 사용자의 출장/휴가/외근시간과 겹친다는 것을 확인하면, 비정상적인 승인 요청이라고 판단하고, 해당 승인 요청에 대해 반려할 수 있다. For example, if the approver finds that the time the approval request time is received is outside of business hours (e.g., midnight hours) or overlaps with the user's travel / vacation / out of office hours, the approver determines that it is an abnormal approval request and You can return.

이때, 승인권자는 정보 유출로 의심되는 비상상황이라고 판단하고, 경찰에 신고하는 등의 대처를 할 수 있다. 또는, 승인결제 관리부(230)는 승인 요청이 반려되면, 비상상황에 대처하는 기설정된 수행을 할 수도 있다.At this time, the approving authority may determine that the emergency situation is suspected of leaking information, and may take actions such as reporting to the police. Alternatively, if the approval request is rejected, the approval management manager 230 may perform a predetermined operation to cope with an emergency situation.

이와 같이, 본 발명의 가상화 매니저(110)는 사용자 단말(100)의 저장 영역을 일반 저장소(140)와 암호화된 가상 저장소(150)로 구분하여 관리하고, 보안 모드에서는 외부 망으로 접속하지 못하며, 가상 저장소(150)에 대한 편집만을 허용하며, 일반 모드에서는 가상 저장소(150)가 보이지 않도록 하며, 접근하지도 못하게 함에 따라 개인정보 및 민감정보의 유출을 근본적으로 차단할 수 있다.As such, the virtualization manager 110 of the present invention divides and manages the storage area of the user terminal 100 into the general storage 140 and the encrypted virtual storage 150, and cannot access the external network in the security mode. Only editing of the virtual storage 150 is allowed, and in the normal mode, the virtual storage 150 is invisible and is not accessible, thereby preventing the leakage of personal information and sensitive information.

뿐만 아니라, 본 발명의 가상화 매니저(110)를 적용한 사용자 단말(100)은 가상화 서버(200)의 에이전트 인증 및 권한 인증을 받지 못하면, 마운트되지 않고 접근도 불가하므로, 본 발명의 가상화 매니저(110)를 적용한 사용자 단말(100)이나, 하드디스크(HDD)가 도난당하거나 유출되어도 가상 저장소(150)에 저장된 개인정보 및 기밀정보가 포함된 파일은 유출되지 않을 수 있다.In addition, if the user terminal 100 to which the virtualization manager 110 of the present invention is applied does not receive the agent authentication and the authorization of the virtualization server 200, the user terminal 100 is not mounted and cannot be accessed, and thus, the virtualization manager 110 of the present invention. Even if the user terminal 100 or the hard disk (HDD) to which the is applied is stolen or leaked, a file including personal information and confidential information stored in the virtual storage 150 may not be leaked.

또한, 본 발명은 지능적 지속 위협(APT) 공격이나, 사용자 계정 획득 등에 의해 해당 사용자 단말(100)이 공격자에 의해 장악되어도, 가상 저장소(150)에 저장된 파일을 외부로 반출하기 위해 일반 저장소(140)로 복사하려 할 때 권한 인증을 수행하고, 외부 망에 대한 접속을 차단하므로, 인증되지 않은 사용자에 의한 외부로의 파일 유출을 원천 차단할 수 있다.In addition, the present invention, even if the user terminal 100 is seized by an attacker by an intelligent persistent threat (APT) attack or by obtaining a user account, the general storage 140 to export the file stored in the virtual storage 150 to the outside. If you try to copy the file, the authorization is performed and the access to the external network is blocked, so the file leakage to the outside by an unauthenticated user can be blocked.

더욱이, 본 발명의 가상 저장소(150)는 국가정보원 IT 보안인증사무국이나, CC(Common Criteria) 인증을 위한 공통 규격상에서 명시되어 검증된 암호화 모듈 등에 의해 높은 암호화 비도(秘度)를 갖고 암호화되므로, 해당 암호화 모듈 이외의 다른 수단에 의해 평문 파일로 복구될 수는 없어, 가상 저장소(150)의 보안성은 더욱 보장된다.Furthermore, since the virtual storage 150 of the present invention is encrypted with a high encryption ratio by an IT security certification office of the National Intelligence Service or an encryption module specified and verified on a common standard for CC (Common Criteria) authentication, It cannot be restored to the plain text file by any means other than the encryption module, so that the security of the virtual storage 150 is further ensured.

이하, 도 3을 참조하여 본 발명의 실시예에 따른 가상화 매니저의 구체 구성에 대하여 살펴본다. 도 3은 본 발명의 실시예에 따른 가상화 매니저를 도시한 구성도이다.Hereinafter, a detailed configuration of a virtualization manager according to an embodiment of the present invention will be described with reference to FIG. 3. 3 is a block diagram illustrating a virtualization manager according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 가상화 매니저(110)는 인증/통신 모듈(111), 암호화 저장 관리 모듈(112), 파일시스템 제어 모듈(116), 화면 제어 모듈(113), 프로그램 실행 제어 모듈(114) 및 네트워크 제어 모듈(115)을 포함한다.As shown in FIG. 3, the virtualization manager 110 according to an embodiment of the present invention may include an authentication / communication module 111, an encrypted storage management module 112, a file system control module 116, and a screen control module 113. ), Program execution control module 114 and network control module 115.

인증/통신 모듈(111)은 가상화 매니저(110)가 실행되면, 사용자 아이디, 패스워드 기반의 에이전트 인증을 수행한다.When the virtualization manager 110 is executed, the authentication / communication module 111 performs agent authentication based on a user ID and a password.

인증/통신 모듈(111)은 에이전트 인증 후, 가상화 서버(200)로부터 갱신된 보안정책을 다운로드 하여 파일시스템 제어 모듈(116), 프로그램 실행 제어 모듈(114) 및 네트워크 제어 모듈(115) 중 적어도 하나에 전달한다.The authentication / communication module 111 downloads the updated security policy from the virtualization server 200 after agent authentication, and at least one of the file system control module 116, the program execution control module 114, and the network control module 115. To pass on.

인증/통신 모듈(111)은 가상화 매니저(110)의 실행 상태에서, 사용자에 의해 일반 모드에서 보안 모드로 모드 전환이 요청되면, 가상화 서버(200)로 권한 인증을 각기 요청한다. 이때, 인증/통신 모듈(111)은 [에이전트 ID|사용자 아이디|사용자 패스워드|IP 주소]의 조합에 의해 생성된 해쉬값을 송신한다. 이후, 인증/통신 모듈(111)은 가상화 서버(200)로부터 권한 인증 요청에 대한 인증 성공 또는 인증 실패를 알리는 메시지를 수신하여 파일시스템 제어 모듈(116)에 전달한다.In the running state of the virtualization manager 110, the authentication / communication module 111 requests permission authorization from the virtualization server 200 when a mode switch is requested from the normal mode to the security mode. At this time, the authentication / communication module 111 transmits the hash value generated by the combination of [agent ID | user ID | user password | IP address]. Thereafter, the authentication / communication module 111 receives a message indicating the authentication success or authentication failure for the authorization authentication request from the virtualization server 200 and transmits the message to the file system control module 116.

또한, 인증/통신 모듈(111)은 사용자에 의해 가상 저장소(150)에서 일반 저장소(140)로의 복사 작업이 요청되면, 가상화 서버(200)로 승인 요청을 송신한다. 이때, 인증/통신 모듈(111)은 파일명, 파일 저장 경로나, 파일에 포함된 적어도 하나의 텍스트를 이용하여 생성된 해쉬값 등을 가상화 서버(200)로 송신한다. 또한, 인증/통신 모듈(111)은 복사 작업에 대한 승인 요청에 대한 가상화 서버(200)의 인증 또는 반려를 알리는 메시지를 수신하여 파일시스템 제어 모듈(116)로 전달한다.In addition, the authentication / communication module 111 transmits an approval request to the virtualization server 200 when a copy job is requested from the virtual storage 150 to the general storage 140 by the user. In this case, the authentication / communication module 111 transmits a file name, a file storage path, or a hash value generated using at least one text included in the file to the virtualization server 200. In addition, the authentication / communication module 111 receives a message indicating the authentication or return of the virtualization server 200 for the approval request for the copy job and delivers a message to the file system control module 116.

인증/통신 모듈(111)은 파일시스템 제어 모듈(116)에 의해 생성된 복사 작업 등에 대응하는 감사 로그를 가상화 서버(200)로 송신한다.The authentication / communication module 111 transmits the audit log corresponding to the copy job generated by the file system control module 116 to the virtualization server 200.

파일시스템 제어 모듈(116)은 파일시스템 드라이버(120)와 연계하여 보안 모드에서 실행되는 프로세스에 의해 접근되는 저장 영역을 가상 저장소(150)로 재설정(Re-direction)한다.The file system control module 116 re-directs the storage area accessed by the process executed in the secure mode to the virtual storage 150 in association with the file system driver 120.

파일시스템 제어 모듈(116)은 보안 모드에서 가상 저장소(150)에서 일반 저장소(140)로의 복사 작업이 요청되면, 기설정된 보안정책에 따른 프로세스 통제 기능을 수행한다. 이때, 파일시스템 제어 모듈(116)은 무조건 차단, 또는 가상화 서버(200)에 의한 승인 후 허용 등의 방식으로 복사 작업을 통제할 수 있다.The file system control module 116 performs a process control function according to a predetermined security policy when a copy operation from the virtual storage 150 to the general storage 140 is requested in the secure mode. In this case, the file system control module 116 may control the copy operation in a manner such as unconditionally blocking or allowing after approval by the virtualization server 200.

구체적으로, 파일시스템 제어 모듈(116)은 승인 후 허용 방식을 수행할 때, 인증/통신 모듈(111)을 통해 가상화 서버(200)에 복사 작업에 대해 승인을 요청하고, 인증/통신 모듈(111)을 통해 승인 성공을 확인하면, 가상 저장소(150)에서 일반 저장소(140)로의 복사 작업을 허용한다. 반면, 파일시스템 제어 모듈(116)은 인증/통신 모듈(111)을 통해 승인 실패를 확인하면, 가상 저장소(150)로부터 일반 저장소(140)로의 복사 작업에 대한 불허를 사용자에게 통보하거나, 보안정책에 대응하는 대응책(관리자 통지 등)을 수행한다.Specifically, when the file system control module 116 performs the permission after approval method, the file system control module 116 requests the virtual server 200 to approve the copy operation through the authentication / communication module 111, and the authentication / communication module 111. When the approval success is confirmed through), the copy operation from the virtual storage 150 to the general storage 140 is allowed. On the other hand, if the file system control module 116 confirms the approval failure through the authentication / communication module 111, the file system control module 116 notifies the user of the disallowing a copy operation from the virtual storage 150 to the general storage 140, or the security policy. Take countermeasures (administrator notification, etc.) corresponding to the

파일시스템 제어 모듈(116)은 요청된 파일이 가상 저장소(150)에서 일반 저장소(140)로 복사 완료되면, 파일 정보를 포함한 감사 로그를 생성하여 인증/통신 모듈(111)을 통해 가상화 서버(200)로 전송한다.When the file system control module 116 completes copying the requested file from the virtual storage 150 to the general storage 140, the file system control module 116 generates an audit log including file information to generate the audit log through the authentication / communication module 111. To send).

암호화 저장 관리 모듈(112)은 보안 모드에서 권한 인증 성공하면, 가상 저장소(150)를 사용자 단말(100)의 가상 드라이버 형태(예컨대, 가상 CD)로 마운트(Mount)하고, 보안 모드에서 일반 모드로 전환되면, 자동으로 가상 저장소(150)를 언마운트(Un-mount)시킨다. 이때, 암호화 저장 관리 모듈(112)은 보안정책에 대응하는 크기의 가상 저장소(150)를 생성하여 마운트할 수 있다.The encryption storage management module 112 mounts the virtual storage 150 in the form of a virtual driver of the user terminal 100 (for example, a virtual CD) when the authorization authentication is successful in the secure mode, and in the secure mode in the normal mode. Once switched, the virtual repository 150 is automatically unmounted. In this case, the encrypted storage management module 112 may generate and mount the virtual storage 150 having a size corresponding to the security policy.

즉, 암호화 저장 관리 모듈(112)은 사용자가 보안 모드에서는 일반 저장소(140)와 가상 저장소(150)를 확인할 수 있도록 하고, 일반 모드에서는 일반 저장소(140)만 확인 가능하도록 하고, 가상 저장소(150)는 확인할 수 없도록 한다.That is, the cryptographic storage management module 112 enables the user to check the general store 140 and the virtual store 150 in the secure mode, only the normal store 140 in the normal mode, and the virtual store 150. ) Cannot be verified.

암호화 저장 관리 모듈(112)은 데이터를 높은 암호화 비도(秘度)로 암호화하여 가상 저장소(150)에 저장한다. 여기서, 높은 암호화 비도로 암호화한다는 것은 현재의 슈퍼컴퓨팅 기술로 적어도 5년의 연산을 통해서만 해독가능한 수준의 암호화를 수행한다는 것이다.The encrypted storage management module 112 encrypts the data with a high encryption ratio and stores the data in the virtual storage 150. Here, encrypting with a high encryption ratio means that the current supercomputing technology performs a decryptable level only after at least five years of operation.

화면 제어 모듈(113)은 보안 모드로 전환되면, 현재 모드가 보안 모드임을 강조하기 위해 바탕화면을 자동으로 변경한다.When the screen control module 113 is switched to the security mode, the screen control module 113 automatically changes the desktop to emphasize that the current mode is the security mode.

예를 들어, 화면 제어 모듈(113)은 도 4와 같이, 일반 모드에는 통상의 바탕화면을 표시하고, 보안 모드에서는 바탕화면에 "PC 보안 가상 환경 실행중"이라는 문자와 아이콘을 표시할 수 있다.For example, the screen control module 113 may display a normal desktop in a normal mode as shown in FIG. 4, and display a letter and an icon of “running the PC secure virtual environment” on the desktop in the security mode. .

프로그램 실행 제어 모듈(114)은 보안정책에 대응하는 화면 제어 모듈(113)에 보안 모드에서 실행 가능한 프로그램(또는, 프로세스)의 정보를 공유한다. 따라서, 화면 제어 모듈(113)은 공유된 실행 가능한 프로그램의 정보를 토대로 보안 모드에서 실행 가능한 프로그램의 바로 가기 아이콘만을 바탕 화면에 표시할 수 있다.The program execution control module 114 shares information of a program (or process) executable in the security mode with the screen control module 113 corresponding to the security policy. Accordingly, the screen control module 113 may display only the shortcut icon of the program executable in the security mode on the desktop based on the information of the shared executable program.

프로그램 실행 제어 모듈(114)은 보안 모드에서 바탕 화면에 표시된 실행 가능한 프로그램 이외의 프로그램의 실행을 차단한다.The program execution control module 114 blocks execution of programs other than the executable program displayed on the desktop in the secure mode.

예를 들어, 프로그램 실행 제어 모듈(114)은 보안 모드로 전환되면, 윈도우 운영체제에서 기본적으로 제공하는 프로세스 관리 프로그램인 "Taskmgr.exe" 이외에 Explorer.exe, gmer.exe 등 운영체제에서 실행중인 프로세스를 검색한다. 그리고, 프로그램 실행 제어 모듈(114)은 검색된 프로세스 중에서, 보안정책에 따라 프로세스 탐색기나, 유사 프로그램의 실행 프로세스 등의 실행을 차단한다.For example, when the program execution control module 114 is switched to the security mode, the program execution control module 114 searches for processes running in the operating system, such as Explorer.exe and gmer.exe, in addition to the process management program "Taskmgr.exe" provided by the Windows operating system. do. The program execution control module 114 blocks the execution of the process explorer or the execution process of the similar program among the searched processes according to the security policy.

네트워크 제어 모듈(115)은 망 분리용 네트워크 드라이버(130)와 연계하여 보안정책에 따라 일반 모드 및 보안 모드에서 각기 실행되는 프로그램에 대해 접속 허용된 네트워크 시스템 및 웹 URL에 대한 접속만을 허용하고, 그외의 접속을 차단한다.The network control module 115, in connection with the network driver 130 for network separation, permits access only to network systems and web URLs allowed to access programs executed in normal mode and security mode according to the security policy. Block the connection.

예를 들어, 네트워크 제어 모듈(115)은 망 분리용 네트워크 드라이버(130)와 연계하여 보안 모드에서는 내부 망의 개인 정보 처리 시스템에 대한 접속만 허용하고, 그외 인터넷 접속 및 비인가 시스템에 대한 접속을 차단한다.For example, the network control module 115, in connection with the network driver 130 for network separation, permits only access to the personal information processing system of the internal network in a secure mode, and blocks other access to the Internet and unauthorized systems. do.

또한, 네트워크 제어 모듈(115)은 망 분리용 네트워크 드라이버(130)와 연계하여 일반 모드에서는 내부 망의 접속은 불허하고, 외부 망의 접속만을 허용한다.In addition, the network control module 115 in connection with the network driver 130 for network separation does not allow the connection of the internal network in the normal mode, and allows only the connection of the external network.

망 분리용 네트워크 드라이버(130)는 네트워크 제어 모듈(115)의 지시에 따라 실제로 TCP/IP 패킷 제어를 통해 네트워크 접속을 제어한다.The network driver 130 for network separation actually controls a network connection through TCP / IP packet control according to the instruction of the network control module 115.

구체적으로, 네트워크 제어 모듈(115)은 가상화 서버(200)로부터 다운로드된 보안정책에서 일반 모드에서 차단될 블랙리스트(Blacklist)와 보안 모드에서 허용될 화이트리스트(Whitelist)를 확인한다. 그리고, 네트워크 제어 모듈(115)은 일반 모드에서는 블랙리스트 기반 제어 명령을 망 분리용 네트워크 드라이버(130)로 송신하고, 보안 모드에서는 화이트리스트 기반 제어 명령을 망 분리용 네트워크 드라이버(130)로 송신한다. 그러면, 망 분리용 네트워크 드라이버(130)는 일반 모드에서는 블랙리스트 기반 제어 명령에 따라 블랙리스트에 포함된 서버 IP + 서버 포트 조합에 대응하는 패킷의 송수신을 차단한다. 또한, 망 분리용 네트워크 드라이버(130)는 보안 모드에서는 화이트리스트 기반 제어 명령에 따라 화이트리스트에 포함된 서버 IP + 서버 포트 조합에 대응하는 패킷의 송수신을 허용한다.Specifically, the network control module 115 checks the blacklist to be blocked in the normal mode and the whitelist to be allowed in the security mode in the security policy downloaded from the virtualization server 200. In addition, the network control module 115 transmits the blacklist based control command to the network separation network driver 130 in the normal mode, and transmits the whitelist based control command to the network separation network driver 130 in the security mode. . Then, in the normal mode, the network separation network driver 130 blocks transmission and reception of a packet corresponding to the server IP + server port combination included in the blacklist according to the blacklist based control command. In addition, the network driver 130 for network separation allows the transmission and reception of packets corresponding to the server IP + server port combination included in the white list according to the white list based control command.

한편, 전술한 예에서는 인증/통신 모듈(111), 암호화 저장 관리 모듈(112), 화면 제어 모듈(113), 프로그램 실행 제어 모듈(114), 네트워크 제어 모듈(115) 및 파일시스템 제어 모듈(116)이 각각의 구성요소로 구성된 경우를 예로 들어 설명하였지만, 각각의 모듈은 다른 모듈의 기능을 종합적으로 제공할 수도 있음은 물론이다.Meanwhile, in the above example, the authentication / communication module 111, the encryption storage management module 112, the screen control module 113, the program execution control module 114, the network control module 115, and the file system control module 116 are described. Has been described as an example consisting of the respective components, each module may provide a comprehensive function of the other module, of course.

한편, 본 발명의 가상화 매니저(110)는 하기와 같은 자체 보호 기능을 더 수행할 수 있다.On the other hand, the virtualization manager 110 of the present invention may further perform the following self-protection function.

암호화 저장 관리 모듈(112)은 사용자 패스워드, 가상화 매니저(110)의 운영과 관련된 암호키, 가상화 매니저(110)의 설정값 및 감사 데이터 등을 암호화된 가상 저장소(150)에 저장한다. 또한, 암호화 저장 관리 모듈(112)은 부득이하게 이러한 정보들을 파일시스템이나, 레지스트리에 저장할 경우에는 암호화하여 저장한다. 따라서, 암호화 저장 관리 모듈(112)은 비인가된 사용자나, 불법적으로 사용자 권한을 획득한 공격자에게 노출되지 않도록 방지할 수 있고, 기밀성을 확보할 수 있다.The encrypted storage management module 112 stores the user password, the encryption key associated with the operation of the virtualization manager 110, the setting values of the virtualization manager 110, audit data, and the like in the encrypted virtual storage 150. In addition, the encrypted storage management module 112 inevitably stores such information in a file system or a registry when it is stored. Therefore, the encrypted storage management module 112 can prevent exposure to unauthorized users or attackers who have illegally obtained user rights, and can secure confidentiality.

매니저 관리부(210) 또는 다른 구성요소는 가상화 매니저(110)의 실행시 적어도 1회, 시스템 설정값(보안정책, 실행환경), 가상화 매니저(110)의 실행파일, 파일시스템 드라이버(120)나, 망 분리용 네트워크 드라이버(130) 등을 해쉬 알고리즘을 이용해 무결성을 검증하고, 무결성 검증 결과를 관리자에게 이메일 등으로 통보할 수 있다.The manager manager 210 or another component may be configured at least once when the virtualization manager 110 is executed, a system setting value (security policy, execution environment), an executable file of the virtualization manager 110, a file system driver 120, or the like. The network driver 130 for network separation may be verified using a hash algorithm, and the result of the integrity verification may be notified to an administrator through an e-mail.

매니저 관리부(210) 또는 다른 구성요소는 무결성 검증 결과, 위변조된 정보를 감지하면, 과거 무결성에 이상이 없었던 최종 시스템 설정값, 실행파일, 파일시스템 드라이버(120)나, 망 분리용 네트워크 드라이버(130) 등으로 복구할 수 있다.When the manager management unit 210 or another component detects the forged information as a result of the integrity verification, the final system setting value, the executable file, the file system driver 120 or the network driver 130 for network separation that did not have any abnormality in the past integrity. ), Etc.

한편, 가상화 매니저(110)는 악성코드나, 비인가된 강제종료 명령에 의해 임의로 종료되지 않도록 실행파일의 임의 종료방지 기능을 제공할 수 있다.On the other hand, the virtualization manager 110 may provide a random termination prevention function of the executable file so that it is not terminated arbitrarily by malicious code or unauthorized forced termination command.

이와 같이, 본 발명은 보안 모드에서는 기인가된 개인정보 처리시스템(웹, DB) 등에 대한 접속만 허용하고, 네이버나, 다음 등의 인터넷 포털 사이트나, 기타 불특정 인터넷 사이트에 대한 접속을 차단함으로써, 사용자 단말(100)이 공격자에 의해 장악되더라도 인터넷을 통한 개인정보 유출을 근본적으로 차단할 수 있다.As described above, the present invention allows access only to the personal information processing system (web, DB), etc., which is caused in the secure mode, and blocks access to Naver, the following Internet portal sites, or other unspecified Internet sites. Even if the user terminal 100 is secured by an attacker, personal information leakage through the Internet may be fundamentally blocked.

이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.While the present invention has been described in detail with reference to the accompanying drawings, it is to be understood that the invention is not limited to the above-described embodiments. Those skilled in the art will appreciate that various modifications, Of course, this is possible. Accordingly, the scope of protection of the present invention should not be limited to the above-described embodiments, but should be determined by the description of the following claims.

Claims (13)

개인정보 및 민감정보를 제공하는 내부 망에 대한 접속이 제한되는, 일반 모드에서는 읽기 및 쓰기 가능하며, 상기 내부 망에 접속 가능하나 외부 망에 대한 접속이 제한되는, 보안 모드에서는 읽기 전용으로 이용되는 일반 저장소;
상기 일반 모드에서는 확인 및 접근 불가하고, 상기 보안 모드에서는 확인, 접근, 읽기 및 쓰기 가능한, 암호화된 가상 저장소; 및
설치 및 실행되면, 가상화 서버에 의해 제공되는 보안정책에 따라 상기 일반 모드 및 상기 보안 모드에서, 실행 가능한 프로세스, 상기 내부 망 및 상기 외부 망에 대한 접속 허용 및 접속 차단을 제어하는 가상화 매니저를 포함하되,
상기 가상화 매니저는,
상기 보안 모드에서 상기 실행 가능한 프로세스에 의해 상기 가상 저장소에서 상기 일반 저장소로 복사 작업이 요청되면, 상기 가상화 서버에 상기 복사 작업에 대한 승인을 요청하고, 상기 가상화 서버의 승인을 받으면, 상기 프로세스에 의한 상기 복사 작업을 허용하는 것
인 논리적 망 분리 기반의 사용자 단말.Read and write in normal mode, where access to the internal network providing personal and sensitive information is restricted, and access to the internal network but limited to access to the external network. General store;
An encrypted virtual store that is indeterminate and inaccessible in the normal mode, and that is invisible, accessible, read and write in the secure mode; And
When installed and executed, the virtual mode manager includes a virtualization manager for controlling access to and blocking access to the executable process, the internal network and the external network in the normal mode and the security mode according to the security policy provided by the virtualization server. ,
The virtualization manager,
When the copy job is requested from the virtual storage to the general storage by the executable process in the secure mode, requesting the virtual server to approve the copy job, and when receiving the approval of the virtual server, Allowing said copy operation
Logical network separation based user terminal. 제1항에 있어서, 상기 가상화 매니저는,
상기 실행되면, 상기 가상화 서버의 에이전트 인증 후 상기 일반 모드로 동작하며, 사용자에 의해 상기 보안 모드로의 전환이 요청되면, 상기 가상화 서버에 상기 사용자의 권한 인증을 받은 후, 상기 보안 모드로 전환되는 것인 논리적 망 분리 기반의 사용자 단말.The method of claim 1, wherein the virtualization manager,
When the execution is performed, after the agent authentication of the virtualization server operates in the normal mode, when a switch to the security mode is requested by the user, after receiving the user's authorization authentication to the virtualization server, the security mode is switched to Logical network separation based user terminal. 개인정보 및 민감정보를 제공하는 내부 망에 대한 접속이 제한되는, 일반 모드에서는 읽기 및 쓰기 가능하며, 상기 내부 망에 접속 가능하나 외부 망에 대한 접속이 제한되는, 보안 모드에서는 읽기 전용으로 이용되는 일반 저장소;
상기 일반 모드에서는 확인 및 접근 불가하고, 상기 보안 모드에서는 확인, 접근, 읽기 및 쓰기 가능한, 암호화된 가상 저장소; 및
설치 및 실행되면, 가상화 서버에 의해 제공되는 보안정책에 따라 상기 일반 모드 및 상기 보안 모드에서, 실행 가능한 프로세스, 상기 내부 망 및 상기 외부 망에 대한 접속 허용 및 접속 차단을 제어하는 가상화 매니저를 포함하되,
상기 가상화 매니저는,
상기 실행되면, 상기 가상화 서버의 에이전트 인증 후 상기 일반 모드로 동작하며, 사용자에 의해 상기 보안 모드로의 전환이 요청되면, 상기 가상화 서버에 상기 사용자의 권한 인증을 받은 후, 상기 보안 모드로 전환되고, 상기 권한 인증을 요청할 때 에이전트 아이디, 사용자 아이디, 사용자 패스워드 및 IP 주소의 조합으로 생성된 해쉬값을 송신하며,
상기 가상화 서버는,
상기 해쉬값을 수신하여 해쉬 처리하고, 해쉬 처리한 값과 데이터베이스에 저장된 값을 비교하여 일치하면, 상기 사용자의 상기 보안 모드로의 전환에 대한 권한 인증을 하는 것인 논리적 망 분리 기반의 사용자 단말.Read and write in normal mode, where access to the internal network providing personal and sensitive information is restricted, and access to the internal network but limited to access to the external network. General store;
An encrypted virtual store that is indeterminate and inaccessible in the normal mode, and that is invisible, accessible, read and write in the secure mode; And
When installed and executed, the virtual mode manager includes a virtualization manager for controlling access to and blocking access to the executable process, the internal network and the external network in the normal mode and the security mode according to the security policy provided by the virtualization server. ,
The virtualization manager,
When the execution is performed, after the agent authentication of the virtualization server operates in the normal mode, when a switch to the security mode is requested by the user, after receiving the authority authentication of the user to the virtualization server, the security mode is switched to Sending a hash value generated by a combination of an agent ID, a user ID, a user password and an IP address when requesting the authorization authentication,
The virtualization server includes:
And receiving the hash value, hashing the hash value, and comparing the hashed value with a value stored in a database to perform authorization authentication for the user's switching to the security mode. 삭제delete 제1항에 있어서, 상기 가상화 매니저는,
상기 복사 작업의 완료 후에 상기 복사 작업 된 파일 정보를 포함하는 감사 로그를 생성하여 상기 가상화 서버로 송신하는 것인 논리적 망 분리 기반의 사용자 단말.The method of claim 1, wherein the virtualization manager,
Logical network separation based user terminal to generate an audit log including the file information of the copy operation after completion of the copy operation to the virtualization server. 제1항에 있어서, 상기 가상화 매니저는,
상기 보안 모드에서, 상기 가상 저장소를 마운트(Mount)하여 확인 및 접근 가능하도록 제어하며, 상기 일반 모드에서는 상기 가상 저장소를 언마운트(Unmount)하여 확인 및 접근 불가하도록 제어하는 것인 논리적 망 분리 기반의 사용자 단말.The method of claim 1, wherein the virtualization manager,
In the secure mode, the virtual storage is mounted and controlled to be identified and accessible, and in the normal mode, the virtual storage is unmounted to control the identification and access. User terminal. 제1항에 있어서, 상기 가상화 매니저는,
상기 보안 모드에서, 바탕 화면에 보안 모드임을 표시하는 아이콘 및 문자 중 적어도 하나를 표시하는 것인 논리적 망 분리 기반의 사용자 단말.The method of claim 1, wherein the virtualization manager,
In the secure mode, a logical network separation based user terminal to display at least one of the icon and the character indicating that the security mode on the desktop. 제1항에 있어서, 상기 가상화 매니저는,
상기 보안 모드에서, 상기 실행 가능한 프로세서의 저장 경로를 상기 가상 저장소로 재설정하는 것인 논리적 망 분리 기반의 사용자 단말.The method of claim 1, wherein the virtualization manager,
And in the secure mode, resetting the storage path of the executable processor to the virtual storage. 사용자 단말에 설치된 가상화 매니저에 제공될 보안정책을 관리하는 정책 관리부;
상기 가상화 매니저가 상기 사용자 단말에 최초 설치될 때, 사용자에 의해 입력된 사용자 정보를 수신 및 저장하며, 상기 사용자의 요청에 따라 상기 가상화 매니저가 일반 모드에서 보안 모드로 전환하려 할 때 상기 가상화 매니저의 권한 인증 요청에 따라 상기 사용자 정보에 기반한 권한 인증을 수행하는 매니저 관리부; 및
상기 가상화 매니저가 상기 보안 모드에서, 상기 사용자 단말의 실행 프로세스에 의한 복사 작업에 대한 승인을 요청하면, 승인권자 또는 개인정보 보호 책임자에 상기 승인을 요청하며, 상기 승인권자 또는 개인정보 보호 책임자의 승인 또는 반려에 대응하여 상기 실행 프로세스에 의한 상기 복사 작업을 승인 또는 반려하는 승인결제 관리부
를 포함하는 논리적 망 분리 기반의 가상화 서버.A policy manager for managing a security policy to be provided to a virtualization manager installed in a user terminal;
When the virtualization manager is first installed in the user terminal, it receives and stores user information input by the user, and when the virtualization manager attempts to switch from the normal mode to the secure mode at the request of the user, A manager manager which performs authority authentication based on the user information according to the authority authentication request; And
When the virtualization manager requests the approval of the copy job by the execution process of the user terminal in the secure mode, the approver or the personal information protection officer requests the approval, and the approval or return of the approver or personal information protection officer. In response to the approval settlement management unit for approving or returning the copy job by the execution process
Logical network separation based virtualization server comprising a. 제9항에 있어서, 상기 승인결제 관리부는,
상기 승인권자 또는 상기 개인정보 보호 책임자에 문자 메시지 및 메일 중 적어도 하나의 방법으로, 상기 복사 작업에 대한 승인을 요청하며, 상기 승인권자 또는 개인정보 보호 책임자는 상기 복사 작업에 대한 승인요청시간 및 사전 승인 여부 중 적어도 하나를 참고하여 상기 복사 작업을 승인 또는 반려하는 것인 논리적 망 분리 기반의 가상화 서버.The method of claim 9, wherein the payment management unit,
The approver or the person in charge of personal information is requested to approve the copying job by at least one of a text message and an e-mail. The virtual network server based on the logical network separation which approves or returns the copy operation by referring to at least one of the. 사용자 단말에 설치된 가상화 매니저에 의한 논리적 망 분리 기반의 개인정보 보호 방법으로서,
최초로 설치되면, 가상화 서버에 사용자 아이디 및 패스워드 기반의 에이전트 인증을 요청하는 단계;
상기 가상화 서버에 의해 상기 에이전트 인증되면, 상기 가상화 서버로부터 보안정책을 제공받아 저장하는 단계;
일반 모드에서, 개인정보 및 민감정보를 제공하는 내부 망에 대한 접속을 제한하고, 외부 망에 대한 접속을 허용하며, 일반 저장소를 읽기 및 쓰기로 제어하는 단계;
사용자에 의해 상기 일반 모드에서 보안 모드로의 전환이 요청되면, 상기 가상화 서버에 상기 사용자의 권한 인증을 요청하는 단계; 및
상기 가상화 서버에 의해 상기 권한 인증을 받으면, 상기 보안 모드로 전환되어, 상기 내부 망에 대한 접속을 허용하고, 상기 외부 망에 대한 접속을 차단하며, 상기 일반 저장소를 읽기 전용으로 제어하고, 상기 일반 모드에서는 확인 및 접근 불가한, 암호화된 가상 저장소를 마운트(Mount)하여 상기 보안 모드에서 실행 가능한 프로세스의 저장 경로로 이용하는 단계
를 포함하는 논리적 망 분리 기반의 개인정보 보호 방법.As a privacy protection method based on logical network separation by a virtualization manager installed in a user terminal,
Requesting an agent authentication based on a user ID and a password to the virtualization server when first installed;
If the agent is authenticated by the virtualization server, receiving and storing a security policy from the virtualization server;
In a normal mode, restricting access to an internal network providing personal and sensitive information, allowing access to an external network, and controlling the general storage to read and write;
Requesting authorization of the user from the virtualization server when a switch from the normal mode to the secure mode is requested by the user; And
Upon receiving the authorization authentication by the virtualization server, the security mode is switched to allow access to the internal network, block access to the external network, control the general storage to be read-only, and general Mounting encrypted virtual storage, which is invisible and inaccessible in mode, to use as a storage path for processes executable in the secure mode.
Logical network separation based privacy protection method comprising a. 제11항에 있어서,
상기 보안 모드에서 상기 실행 가능한 프로세스에 의해 상기 가상 저장소에서 상기 일반 저장소로의 복사 작업이 요청되면, 상기 가상화 서버에 상기 복사 작업에 대한 승인을 요청하는 단계;
상기 가상화 서버에 의해 상기 승인이 완료되면, 상기 실행 가능한 프로세스에 대한 상기 복사 작업을 허용하는 단계; 및
상기 실행 가능한 프로세스에 의한 상기 복사 작업의 완료 후에 상기 복사 작업이 수행된 파일 정보를 포함하는 감사 로그를 생성하여 상기 가상화 서버로 송신하는 단계
를 포함하는 것인 논리적 망 분리 기반의 개인정보 보호 방법.12. The method of claim 11,
Requesting approval for the copy job from the virtualization server when a copy job from the virtual storage to the general storage is requested by the executable process in the secure mode;
Allowing the copy operation for the executable process when the approval is completed by the virtualization server; And
Generating, after the completion of the copying operation by the executable process, an audit log including file information on which the copying operation is performed and transmitting the audit log to the virtualization server;
Logical network separation based privacy protection method comprising a. 제11항에 있어서,
상기 보안정책에 따라 상기 일반 모드와 상기 보안 모드에서 상기 실행 가능한 프로세스를 제한하는 단계
를 더 포함하는 논리적 망 분리 기반의 개인정보 보호 방법.12. The method of claim 11,
Limiting the executable process in the normal mode and the security mode according to the security policy
Logical network separation based privacy protection method further comprising.
KR1020120085844A 2012-08-06 2012-08-06 System for Privacy Protection which uses Logical Network Division Method based on Virtualization Active KR101373542B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120085844A KR101373542B1 (en) 2012-08-06 2012-08-06 System for Privacy Protection which uses Logical Network Division Method based on Virtualization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120085844A KR101373542B1 (en) 2012-08-06 2012-08-06 System for Privacy Protection which uses Logical Network Division Method based on Virtualization

Publications (2)

Publication Number Publication Date
KR20140019574A KR20140019574A (en) 2014-02-17
KR101373542B1 true KR101373542B1 (en) 2014-03-12

Family

ID=50266991

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120085844A Active KR101373542B1 (en) 2012-08-06 2012-08-06 System for Privacy Protection which uses Logical Network Division Method based on Virtualization

Country Status (1)

Country Link
KR (1) KR101373542B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160118A1 (en) * 2014-04-15 2015-10-22 (주)나무소프트 Access control method and apparatus of application program for secure storage area
WO2024019461A1 (en) * 2022-07-22 2024-01-25 삼성전자주식회사 Electronic device, method, and non-transitory computer-readable storage medium for performing mount operation for part of partition

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11120140B2 (en) 2018-06-27 2021-09-14 International Business Machines Corporation Secure operations on encrypted data
KR102064283B1 (en) * 2019-05-21 2020-02-11 주식회사 포지큐브 A method for operating of network separation device for using public artificial intelligence services by an institution system
KR102094316B1 (en) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 Network Separation System Based on Account Switching
KR102094315B1 (en) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 Network Separation System Based On Access Point Allocation Per Account
CN113872925A (en) * 2020-06-30 2021-12-31 北京金山云网络技术有限公司 Verification method and device of IP address
KR102554875B1 (en) * 2020-09-25 2023-07-14 한국전자통신연구원 Apparatus and method for connecting network for providing remote work environment
US11991150B2 (en) 2020-09-25 2024-05-21 Electronics And Telecommunications Research Institute Apparatus and method for providing remote work environment
KR102471562B1 (en) 2020-12-10 2022-11-25 주식회사 국민은행 Internal Network Deliver Method of the webmail using RPA
KR102518064B1 (en) * 2022-08-14 2023-04-06 (주) 제이앤에스팩토리 System for providing suicide lifeline service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020069165A (en) * 2001-02-23 2002-08-29 세이코 인스트루먼트 가부시키가이샤 Server system and security system
KR20040099459A (en) * 2002-04-18 2004-11-26 어드밴스드 마이크로 디바이시즈, 인코포레이티드 A computer system including a secure execution mode-capable cpu and a security services processor connected via a secure communication path
KR20100030875A (en) * 2008-09-11 2010-03-19 현대중공업 주식회사 Secure infrastructure by the virtual separation of personal device(personal computer) network and hard drive
KR20120063040A (en) * 2010-12-07 2012-06-15 (주)이스트소프트 File management method in the web storage system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020069165A (en) * 2001-02-23 2002-08-29 세이코 인스트루먼트 가부시키가이샤 Server system and security system
KR20040099459A (en) * 2002-04-18 2004-11-26 어드밴스드 마이크로 디바이시즈, 인코포레이티드 A computer system including a secure execution mode-capable cpu and a security services processor connected via a secure communication path
KR20100030875A (en) * 2008-09-11 2010-03-19 현대중공업 주식회사 Secure infrastructure by the virtual separation of personal device(personal computer) network and hard drive
KR20120063040A (en) * 2010-12-07 2012-06-15 (주)이스트소프트 File management method in the web storage system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160118A1 (en) * 2014-04-15 2015-10-22 (주)나무소프트 Access control method and apparatus of application program for secure storage area
KR20150144312A (en) * 2014-04-15 2015-12-24 (주)나무소프트 Method and software product for controlling application program which access secure saving area
KR101705550B1 (en) 2014-04-15 2017-02-10 (주)나무소프트 Method and software product for controlling application program which access secure saving area
US10289860B2 (en) 2014-04-15 2019-05-14 Namusoft Co., Ltd. Method and apparatus for access control of application program for secure storage area
WO2024019461A1 (en) * 2022-07-22 2024-01-25 삼성전자주식회사 Electronic device, method, and non-transitory computer-readable storage medium for performing mount operation for part of partition

Also Published As

Publication number Publication date
KR20140019574A (en) 2014-02-17

Similar Documents

Publication Publication Date Title
KR101373542B1 (en) System for Privacy Protection which uses Logical Network Division Method based on Virtualization
CN109923548B (en) Method, system and computer program product for implementing data protection by supervising process access to encrypted data
Modi et al. A survey on security issues and solutions at different layers of Cloud computing
US8719901B2 (en) Secure consultation system
US9118617B1 (en) Methods and apparatus for adapting the protection level for protected content
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
EP3438864B1 (en) Method and system for protecting a computer file against possible malware encryption
CN104102595A (en) High security removable storage device
CN102799539A (en) Safe USB flash disk and data active protection method thereof
Chandramouli et al. Security guidelines for storage infrastructure
Kim et al. A study on the security requirements analysis to build a zero trust-based remote work environment
US20240070303A1 (en) File Encapsulation Validation
Egerton et al. Applying zero trust security principles to defence mechanisms against data exfiltration attacks
Wang et al. MobileGuardian: A security policy enforcement framework for mobile devices
CN110457920A (en) A kind of data ciphering method and encryption device
Hutchings et al. Criminals in the cloud: Crime, security threats, and prevention measures
Nadjar et al. A case study on the multi-vector data breach on astoria
CN111079154A (en) Kernel reinforcing system for protecting kernel of operating system from being damaged by external program
Mahalakshmi Assessment on security issues and classification in cloud computing
Michelson Wannacry ransomware attack: Learning the essentials
Arai et al. A proposal for an effective information flow control model for sharing and protecting sensitive information
Lisdorf Securing the Cloud
Арустамов et al. Профессиональный иностранный язык для специалистов в области компьютерной безопасности: учебное пособие
Washington Software Supply Chain Attacks
CN119316183A (en) A method and device for application server security protection based on trusted computing

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20120806

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130820

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140210

PG1501 Laying open of application
GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140306

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140306

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20170228

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20180227

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20190228

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20200228

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210226

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20220304

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230228

Start annual number: 10

End annual number: 10