최근 기업의 내부 중요 정보 유출이 날이 갈수록 심각해지고 있으며, 이러한 유출의 대부분은 내부자에 의해 발생되고 있다. 따라서 기업 내부의 정보를 보호하기 위해 다양한 기술적 방안들이 연구되고 있다. 본 논문에서는 다양한 내부정보 유출 경로 중 USB를 통한 파일 이동, 복사 작업을 수행할 때 해당 파일이 기밀파일로 분류된 경우 유출을 차단하는 기법을 제안한다. 구현한 기밀파일 유출차단시스템은 기밀파일 관리를 위해 시그너처를 삽입하는 시그니처 삽입 관리자와 기밀파일 탐지를 위한 기밀파일 탐지 관리자로 구성되어 있다. 시그너처 삽입 관리자는 기관에서 기밀 파일로 분류된 파일에 기밀 파일을 나타내는 특정 패턴을 삽입하는 기능을 한다. 한편, 기밀 파일 탐지관리자는 사용자가 기밀 파일을 USB로 이동 또는 복사할 경우 이를 탐지하고 차단하여 기밀 파일 유출을 방지한다. 본 연구 결과는 USB를 통한 기업 내부 기밀 파일 유출을 통한 피해를 줄이는데 기여할 수 있을 것이다.
최근 기업의 내부 중요 정보 유출이 날이 갈수록 심각해지고 있으며, 이러한 유출의 대부분은 내부자에 의해 발생되고 있다. 따라서 기업 내부의 정보를 보호하기 위해 다양한 기술적 방안들이 연구되고 있다. 본 논문에서는 다양한 내부정보 유출 경로 중 USB를 통한 파일 이동, 복사 작업을 수행할 때 해당 파일이 기밀파일로 분류된 경우 유출을 차단하는 기법을 제안한다. 구현한 기밀파일 유출차단시스템은 기밀파일 관리를 위해 시그너처를 삽입하는 시그니처 삽입 관리자와 기밀파일 탐지를 위한 기밀파일 탐지 관리자로 구성되어 있다. 시그너처 삽입 관리자는 기관에서 기밀 파일로 분류된 파일에 기밀 파일을 나타내는 특정 패턴을 삽입하는 기능을 한다. 한편, 기밀 파일 탐지관리자는 사용자가 기밀 파일을 USB로 이동 또는 복사할 경우 이를 탐지하고 차단하여 기밀 파일 유출을 방지한다. 본 연구 결과는 USB를 통한 기업 내부 기밀 파일 유출을 통한 피해를 줄이는데 기여할 수 있을 것이다.
Recently industry is suffering severe losses of important internal information, and most of the leaks result from the insiders. Thus, various technological counter measures are being studied in order to protect private organization information. In this paper, among various internal information leaka...
Recently industry is suffering severe losses of important internal information, and most of the leaks result from the insiders. Thus, various technological counter measures are being studied in order to protect private organization information. In this paper, among various internal information leakage path protection mechanisms, we propose a technique for preventing files which are defined as confidential from being copied or moved through USB. The implemented confidential file loss prevention system is composed of both signature insert manager and confidential file detect manager. The signature insert manager allows a system administrator to insert a special pattern specifying a classified confidential file, while the confidential file detect manager protects confidential file leakage when a user attempts to move or copy a confidential file to the USB memory. This results would be contributed to reducing the damage caused by leakage of confidential files outside of the company via USB.
Recently industry is suffering severe losses of important internal information, and most of the leaks result from the insiders. Thus, various technological counter measures are being studied in order to protect private organization information. In this paper, among various internal information leakage path protection mechanisms, we propose a technique for preventing files which are defined as confidential from being copied or moved through USB. The implemented confidential file loss prevention system is composed of both signature insert manager and confidential file detect manager. The signature insert manager allows a system administrator to insert a special pattern specifying a classified confidential file, while the confidential file detect manager protects confidential file leakage when a user attempts to move or copy a confidential file to the USB memory. This results would be contributed to reducing the damage caused by leakage of confidential files outside of the company via USB.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 USB를 통한 기밀파일 유출을 확인 및 차단할 수 있는 기법을 제안한다. 우선 USB에서 기밀 파일을 확인할 수 있도록 기밀파일에 대한 정의를 한다.
시그니처를 탐지하기 위해 .Net Framework에서 제공하는 FileSystemWatcher 클래스를 이용한다.
USB 메모리를 통한 기업 내부 기밀 파일 유출 건수가 나날이 증가하고 있다. 이에 본 논문에서는 기업 내부의 기밀 파일 유출을 차단하기 위해 기밀 파일을 USB 로 이동 또는 복사를 시도할 경우 이를 차단할 수 있는 기법을 제안하였다. 제안하는 DLP기법은 기존 DLP 기법과 다르게 관리자가 직접 프로그램을 통해 시그니처를 삽입해야하지만, 기밀파일 유무를 확인하는 속도는 기존 DLP 기법보다 빠르다.
제안 방법
제안한 시스템은 Windows 7 및 10 .Net Framework 환경에서 일반 파일의 파일 필드에 시그니처를 삽입하는 형태로 구현하였다.
새로운 파일의 이동이나 복사가 감지가 되었을 때, 미리 지정한 파일 형식의 확장자를 가진 파일인 경우 FileStream을 이용해 해당 파일의 전체를 바이트 단위로 버퍼에 복사한다. 그 다음 해당 버퍼와 관리자가 정의한 시그니처를 비교하여 해당 파일에 시그니처 유무를 확인한다.
관리자가 지정할 수 있는 기밀 파일의 확장자는 아래 한글 파일, 워드 파일, 파워포인트 파일, 엑셀 파일, JPEG 파일, PNG 파일, PDF 파일 등을 포함한다. 기밀 파일 차단시스템의 성능 확인을 위해 USB 메모리가 컴퓨터에 연결되어 있는 상태에서 기밀 파일을 USB로 복사 또는 이동하는 동작을 차단하는 기능을 확인하였다. 또한, 사용자 PC에서 일반 파일 및 기밀 파일에 대한 이동 및 복사에 따른 이벤트 로그를 서버에 전송해 웹을 통해 관리자가 관리할 수 있는 기능도 실험하였다.
기존 DLP 기법은 중요내용을 탐색하여 기밀파일에 대한 차단을 막았지만, 제안하는 DLP 기법은 시그니처를 삽입함으로써 내용 기반이 아닌 시그니처 탐색기반으로 기밀파일에 대한 차단여부를 결정한다.
기밀 파일 차단시스템의 성능 확인을 위해 USB 메모리가 컴퓨터에 연결되어 있는 상태에서 기밀 파일을 USB로 복사 또는 이동하는 동작을 차단하는 기능을 확인하였다. 또한, 사용자 PC에서 일반 파일 및 기밀 파일에 대한 이동 및 복사에 따른 이벤트 로그를 서버에 전송해 웹을 통해 관리자가 관리할 수 있는 기능도 실험하였다.
본 논문에서 제안하는 기밀파일 유출차단시스템은 그림 2와 같이 기밀파일 관리를 위해 시그너처를 삽입하는 시그니처 삽입 관리자(Signature Insert Manager)와 기밀파일 탐지를 위한 기밀파일 탐지 관리자(Confidential File Detect Manager)로 구성되어 있다. 즉, 시그너처 삽입 관리자는 기관에서 기밀 파일로 분류된 파일에 기밀 파일을 나타내는 특정 패턴을 삽입하는 기능을 한다.
대상 데이터
즉, USB를 이용하여 기밀 파일을 이동 및 복사하려는 시도가 있을 경우 이를 모니터링하고 탐지하여 파일 유출은 차단하고 관련 정보를 유출 차단시스템 서버의 데이터베이스에 저장하고 웹 서버를 통하여 관리자가 관리할 수 있도록 한다. 기밀파일탐지 관리자는 USB 감지 모듈(USB Detect Module), 시그니처 탐지 모듈(Signature Detect Module), 기밀 파일 차단 모듈(Confidential File Protect Module), 로그 전송 모듈(Log Transmit Module), 프로세스 은닉 모듈(Process Hiding Module)및 자동 실행 모듈(Autorun Module) 등 총 6개의 모듈로 구성되어 있다(그림 4).
이론/모형
클라이언트 프로그램이 사용자에 의해 강제 종료되는 것을 방지하기 위해서는 프로세스를 은닉할 필요가 있다. DKOM(Direct Kernel Object Manipulation) 기법을 사용하여 클라이언트에서 프로세스를 은닉한다. DKOM은 윈도우즈 커널에 의해 관리되는 커널 개체를 직접적으로 제어하는 기법이다.
성능/효과
이에 본 논문에서는 기업 내부의 기밀 파일 유출을 차단하기 위해 기밀 파일을 USB 로 이동 또는 복사를 시도할 경우 이를 차단할 수 있는 기법을 제안하였다. 제안하는 DLP기법은 기존 DLP 기법과 다르게 관리자가 직접 프로그램을 통해 시그니처를 삽입해야하지만, 기밀파일 유무를 확인하는 속도는 기존 DLP 기법보다 빠르다.
후속연구
향후 연구로서 현재 기밀 파일로 정의된 파일뿐만 아니라 그 외 다양한 형태의 파일 유출을 차단할 수 있는 연구 및 내부자가 시그니처를 찾아 조작하여 이를 USB로 이동 및 복사를 하는 경우 시그니처 조작 방지를 위한 연구도 필요할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
API 후킹이란 무엇입니까?
API 후킹(hooking)이란 Windows API 호출을 가로 채서 제어권을 획득하는 것이다. API 호출 전후에 후킹 코드를 실행시킬 수 있으며, API에 입력된 파라미터나 반환 값을 조작하거나 사용자 코드로 실행 흐름을 변경 시킬 수 있다[7-9].
네트워크 기반 DLP의 Monitor의 핵심은 무엇입니까?
네트워크 기반 DLP는 Monitor와 Prevent 2개의 그룹으로 나뉜다. Monitor는 Network Mirroring 방식으로 운영되며, 감시와 차단 전용으로 다양한 유출 경로에 대한 모니터링이 핵심이다. Prevent는프록시 방식으로 원천적으로 유출을 사전 차단하는 방식을 의미하는데, 대표적으로 Mail Proxy와 DB Proxy 가 있으며 사전 통제 기능 때문에 도입 시에는 선호되지만 제공하는 프로토콜이 한정적이고 과도한 차단 현상으로 인해 실제 운영에서는 Monitor 형태가 선호된다.
네트워크 기반 DLP의 역할은 무엇입니까?
네트워크 기반 DLP는 이메일, 메시징, 웹 하드, 웹 게시판, FTP, P2P, SNS, 터미널 서비스, 프락시 서비스 등 정보 유출에 대해 네트워크 단에서 감시하고 통제하는 역할을 수행한다. 네트워크 기반 DLP는 Monitor와 Prevent 2개의 그룹으로 나뉜다.
참고문헌 (10)
J. S. Lee and K. H. Lee, "A Study on Security Container to Prevent Data Leaks," Journal of the Korea Institute of Information Security & Cryptology, vol. 24, no. 6, pp. 1225-1241, June 2014.
M. B. Hyun and S. J. Lee, "The Proactive Threat Protection Method from Predicting Resignation Throughout DRM Log Analysis and Monitor," Journal of The Korea Institute of Information Security & Cryptology, vol. 26, no. 2, pp. 369-375, April 2016.
S. H. Lee and I. Y. Lee, "A Study on Security Solution for USB Flash Drive," Journal of Korea Multimedia Society, vol.13, no.1, pp.93-101, Jan. 2010.
J. H. Choi and S. Y. Rhew, "Monitoring System of File Outflow through Storage Devices and Printers," Journal of the Korea Institute of Information Security & Cryptology, vol. 15, no. 4, pp. 51-60, April 2005.
T. K. Ju and W. Shin, "A New Filtering System against the Disclosure of Sensitive Internal Information," Journal of the Korea Institute of Information and Communication Engineering, vol. 19, no. 5, pp. 1137-1143, May 2015.
J. U. Choi and Y. J. Lee, "E-DRM-based Privacy Protection Technology for Overcoming Technical Limitations of DLP-based Solutions," Journal of the Korea Institute of Information Security & Cryptology, vol.22, no.5, pp. 1103-1113, Sept. 2012.
J. H. Song and I. T. Hwang, "A Study on Neutralization Malicious Code using Windows Crypto API and an Implementation of Crypto API Hooking tool," Journal of the Korea Institute of Information Security & Cryptology, vol. 21, no .2, pp. 111-117, April 2011.
W. K. Kim and W. Y. Soh, "Design and Implementation of the Detection Tool of API Hooking Based on Window XP Kernel," Journal of Security Engineering, vol. 7, no. 4, pp. 385-397, Aug. 2010.
C. W. Park, J. W. Son, H. K. Hwang, and K. C. Kim, "Detection of systems infected with C&C Zeus through technique of Windows API hooking," Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology, vol. 5, no. 2, pp.297-304, April 2015.
B. Nagpal, N. Chauhan, and N. Singh, "A Survey on the Detection of SQL Injection Attacks and Their Countermeasures," Journal of Information Processing Systems, vol. 13, No. 4, pp. 689-702, April 2017.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.