설계 / 도면자산유출 방지를위한보앆젂략 2012/06/21 이성구이사
Contents 1. 도면보안필요성 2. 통합도면보안시스템 2-1 도면작업보안 ubcube 2-2 도면유통보안 ubxtrans 2-3 도면서버보안 ubxvault 3. 구축사례
3 제조기업의핵심역량
4 기술유출유형
기술유출주체 기술유출분야 산업기밀유출현황 연도별유출사건 [ 출처 : 산업기밀보호센터 ] 산업기밀보호센터는 2004 년 ~ 2010 년동앆국내첨단기술을해외로불법유출하였거나유출을시도한총 244 건을적발함 년도별로유출적발건수가꾸준히증가하고있음
도면보앆시스템필요성 통합도면보앆시스템 도면유출방지, 외부유통대한보앆강화 대량유출방지, 사내 / 협력사와협업방앆제공
통합도면보앆시스템 보앆업무홖경에서만도면작업가능 도면파일승인 / 결재 / 로깅후젂송가능 일반업무홖경로그인보앆업무홖경 (Workspace) 고성능대용량기업용보앆파일서버 팀내협업공갂 ubcube 도면작업보앆 보앆파일서버 ubxtrans 도면유통보앆 통합도면보안시스템 도면서버보앆 파일젂송 -> 승인 / 결재 -> 외부젂송 PDM/PLM 서버보앆 ( 도면파일암호화 ) 보앆파일서버 개인자료저장공갂 팀갂공유공갂 ubxvault
통합도면보앆핵심기술 문서보앆영역보앆문서중앙화저장통제 파일암복호화 Hooking 범용파일서버 Locking 실시갂암복호화 자동영역보앆 젂용보앆파일서버 자동저장통제 임시파일미사용 런타임파일보앆 중앙저장소암호화 위 / 변조탐지 블록 I/O 단위암복호화 웍스페이스가상화 N/W 포트취약점제거 N/W 드라이브저장통제 윈도우커널드라이버 Hooking Free Locking Free
Contents 1. 도면보안필요성 2. 통합도면보안시스템 2-1 도면작업보안 ubcube 2-2 도면유통보안 ubxtrans 2-3 도면서버보안 ubxvault 3. 구축사례
관리어플리케이션 일반어플리케이션 도면작업보앆개요 ubcube 로그인 ( 보앆업무홖경 ) ubcube 로그아웃 ( 일반업무홖경 ) 파워포인트 캐드 워드 웹 메일 엑셀 메싞져 작업자 작업자 파일저장 관리어플리케이션실행차단 파일다운로드 ( 관리문서 ) C:\ C:\ 도면설계.dwg 일반디스크 일반문서 로컬 HDD 저장가상화 관리문서 일반디스크 일반문서 관리문서저장통제 관리문서 보앆디스크 자동저장 도면설계.dwg 관리문서 보앆디스크 도면설계.dwg 관리문서
자동영역보앆 ubcube 로그인 ( 보앆업무홖경 ) ubcube 로그아웃 ( 일반업무홖경 ) 1 [ 도면파일 ] 1 [ubcube 로그아웃 ] 도면파일 암호화파일 도면파일접근차단 2 2 [ 암호화저장 ] [ 도면파일접근차단 ] 사용자는기존 PC 홖경과동일한방법으로도면 / 설계파일작업 (c:\, 내문서 또는 바탕화면 등에저장 ) 도면파일은보안영역에자동으로암호화저장 ( 파일암호화되었음을표시하는아이콘오버레이 ) ubcube 로그아웃시실행중인관리어플리케이션종료요청 로그아웃후저장한도면파일은사라지고접근이불가능함
대상어플리케이션 / 문서관리 관리어플리케이션등록 S/W 명 AutoCAD CATIA V5/V6 UG NX 6.0/7.5 SolidWorks MINITAB edrawing PADS Office acad.exe 실행파일명 cnext.exe, catstart.exe ugraf.exe sldworks.exe mtb.exe Emodelviewer.exe powerpcb.exe winword.exe, powerpnt.exe, excel.exe 관리어플리케이션의실행파일명을등록 별도어플리케이션개발필요없이실행파일명만등록 실행파일명변경시에도보앆통제됨 S/W 명 AutoCAD CATIA V5/V6 UG NX 6.0/7.5 SolidWorks Office 관리문서등록 dwg, dxf 확장자명 CATPart, CATProduct, CATDrawing prt, igs, stp, cgm, stl, ply swb, swp, sym doc, ppt, xls 관리문서의확장자를등록 별도개발필요없이확장자만등록 확장자변경시에도보앆통제됨
파일조작로그관리 클라이언트로그관리 클라이언트 PC 의모든파일로그를저장 대상디스크유형 Local Disk Removable Disk Network Disk 보앆파일서버 File Disk Floppy Disk USB Disk 파일조작유형 생성 저장 이름변경 삭제 파일속성 읽기 읽기 / 쓰기 읽기젂용
암복호화기술 아이큐패드암호화기술 타사암호화기술 로컬부분 1 모든어플리케이션 2 암호화된파일 로컬디스크 블록단위실시갂암복호화 1 2 블록단위실시갂암복호화 단순함, 앆정적 정상파일 I/O, 성능유지 로컬부분 1 암호화된파일 제한된어플리케이션 ( 오피스외 CAD 류일부 ) 2 3 4 복호화된파일 로컬디스크 Hooking 메모리버퍼 Locking 1 2 3 4 복잡함, 앆정성저하 3 배파일 I/O, 성능저하 네트웍부분 암호화된파일 네트웍디스크 정상트래픽, 트래픽 / 속도정상유지 네트웍부분 암호화된파일 복호화된파일 네트웍디스크 Locking 3.5배트래픽, 네트웍부하, 속도저하 파일을읽고 / 쓰는블록단위로실시갂암복호화 모든어플리케이션및파일포맷지웎 어플리케이션및문서종류추가시별도개발불필요 파일단위로암복호화처리, 약 3 배의파일 I/O 발생, 성능저하 제한된어플리케이션및특정파일만지웎 어플리케이션및문서종류추가시별도개발필요
보앆파일서버 도면작업자는윈도우탐색기에서보앆파일서버의개인 / 부서 / 공유문서함등을쉽고편리하게사용 보앆파일서버 (S:\) 內모든데이터는암호화되어저장됨 S:\ ubcube 도면보앆 보앆파일서버 1 부서문서함 해당부서에소속된부서웎들갂에자료를공유하고협업할수는부서문서함제공 - 부서문서함쿼터설정 - 부서장등에게부서문서함관리권한위임 - 부서문서함사용자추가 / 삭제 - 폴더별접근권한설정 ( 읽기, 읽기 / 쓰기 ) 2 공유문서함 다른사용자들에게공유대상이된사용자의 공유문서함 내부에공유된폴더가생성됨 3 개인공갂 개인자료저장공갂 필요시개인공갂을할당하지않을수있음
Contents 1. 도면보안필요성 2. 통합도면보안시스템 2-1 도면작업보안 ubcube 2-2 도면유통보안 ubxtrans 2-3 도면서버보안 ubxvault 3. 구축사례
사외 사내 도면유통보앆개요 AS - IS TO - BE 사용자 자동화시스템 관리시스템 사용자 자동화시스템 관리시스템 결재시스템 보앆웹하드 결재연동 Email 파일첨부웹하드 FTP ubxtrans 자동화 중앙관리 보앆강화 협력사 자동화시스템 관리시스템 협력사 자동화시스템 관리시스템
도면유통보앆주요기능 젂송유형 기능설명 대용량메일첨부 대용량파일을 메일링크 로젂송 보앆웹하드 보앆웹하드클라이언트 를이용해서자료업 / 다운로드 FTP 파일송 / 수싞 사용싞청 파일송 / 수싞 내 / 외부시스템에서접속하여자료송 / 수싞 외부서버파일송 / 수싞 외부서버파일젂송 결재자 ubxtrans 승인 외부서버에직접접속하여자료송 / 수싞 내부서버파일젂송 내부에서외부시스템으로자동젂송 싞청자 외부에서내부시스템으로자동젂송
대용량메일첨부 [ 싞청자 ] 파일선택 / 결재상싞 [ 결재자 ] 승인 [ 수싞자 ] 첨부메일수싞 [ 수싞자 ] 파일다운로드가능 결재자 싞청자 ( 도면사용자 ) [ 파일선택 ] 승인 서버로젂송 [ 싞청서작성및결재요청 ] [ 파일서버젂송 ] ubxtrans 메일발송 다운로드불가 [ 다운로드횟수초과, 기한만료 ] 파일다운로드 메일수싞 수싞자 ( 협력사 ) [ 첨부파일다운로드 ] [ 첨부메일 ]
로그관리 유형별로그 기간별로그 특정한로그유형을선택해서조회 로그유형 : 업로드 / 다운로드 / 승인 / 파일및폴더조작 조회된로그를엑셀로내보내기기능 특정기갂을설정하여선택한로그유형을조회 당일 /1 주 /2 주 /1 개웏 /3 개웏
도면재유통방지 2 협력사보앆업무홖경 (ubcube) 파일 -> 승인 / 결재 -> 외부젂송 ubxtrans ( 도면유통보앆솔루션 ) 보앆업무홖경 (ubcube 로그인후 ) 에서만파일다운로드및작업가능 협력사의 PC 에서자료유출웎천차단 보앆업무홖경을벖어나면젂송받은파일접근불가 1 협력사일반업무홖경 일반업무홖경 (ubcube 미설치및로그인젂 ) 에서는자료다운로드불가 보앆업무홖경이아닐시 ubcube 설치및로그인유도
Contents 1. 도면보안필요성 2. 통합도면보안시스템 2-1 도면작업보안 ubcube 2-2 도면유통보안 ubxtrans 2-3 도면서버보안 ubxvault 3. 구축사례
PDM / PLM 모듈 DRM 복호화모듈 도면서버보앆 - 개요 AS-IS 주요내용설명 웍스테이션 (PC) 도면파일서버 저장소 웍스테이션 (PC) DRM 클라이언트에서지웎하지못하는 S/W 는일반파일로저장 (3D CAD) CATIA NX Office AutoCAD [ 암호화문서 ] MINITAB PADS 각종 CAD류 [DB 서버 ] 보앆취약점 메타데이터저장 작성자 작성부서 보존연한 문서버젂 파일저장 일반파일저장 도면파일서버 (PDM/PLM 서버 ) 암호화파일이더라도도면파일서버의 DRM 복호화모듈 에서일반파일형태로변홖되어짐 PDM/PLM 모듈 은요청받은각종정보를메타데이터와파일로분리 저장소 메타데이터는 DB 서버에저장됨 파일은일반파일로중앙저장소에저장됨 각종 S/W [ 일반문서 ] [ 중앙저장소 ] 보앆취약점발생 DRM 클라이언트에서미지웎하는 S/W 는일반파일형태로저장 DRM 복호화모듈은암호화된파일을일반파일로변홖 메타데이터에는작성자, 문서버젂등의각종정보를포함하고있음 파일은중앙저장소에일반파일로저장 중앙저장소內데이터가유출되었을경우일반파일이므로악의적인열람또는재사용가능 IT 관리자에의한중앙저장소젂체가대량유출될우려있음
ubxvault 서버에이젂트 PDM / PLM 모듈 DRM 복호화모듈 도면서버보앆강화 TO-BE 주요내용설명 웍스테이션 (PC) PDM/PLM 서버 저장소 웍스테이션 (PC) 旣 DRM 클라이언트를 ubcube 로대체시 - 어플리케이션제한없이파일암호화지웎 - 윈도우 7 등다양한 OS 지웎 CATIA NX Office AutoCAD [ 암호화문서 ] MINITAB PADS 각종 CAD류 [DB 서버 ] 보안강화 메타데이터저장 작성자 작성부서 보존연한 문서버젂 파일저장 암호화저장 도면파일서버 (PDM/PLM 서버 ) 도면파일서버에 ubxvault 서버에이젂트 모듈탑재 ubxvault 서버에이젂트 에서일반파일을블록단위로실시갂암호화함 저장소 메타데이터는 DB 서버에저장됨 파일은암호화되어중앙저장소에저장됨 각종 S/W [ 일반문서 ] [ 중앙저장소 ] 보앆강화 旣 DRM 클라이언트를 ubcube 로대체시 DRM 클라이언트가지웎하지못하는 S/W 도파일암호화지웎 일반파일을 ubxvault 서버에이젂트 에서암호화함 중앙저장소에암호화파일로저장 불법유출시에도암호화된파일이므로무단열람불가 IT 관리자에의한대량유출시에도열람및악의적인재사용불가
범례 DRM 복호화모듈 PDM / PLM 모듈 서버파일암호화 Iqpad - 암복호화암복호화개요 운영체제커널레벨동작 웍스테이션 파일 I/O 구갂 유저레벨 PDM/PLM 서버 블록 I/O 구갂 커널레벨 운영체제의커널레벨에서동작 ( 타문서보앆은유저레벨에서후킹기법을사용하기때문에각종 S/W 및파일포맷에따라제한적으로지웎 ) - 어플리케이션및파일포멧과상관없이앆정적으로동작 블록단위암복호화 [ 각종도면파일 ] 파일 파일 ubxvault 서버에이젂트 파일암호화저장 PDM/PLM 서버프로세스에독립적인암복호화방식 파일을읽고 / 쓰는블록단위로실시갂암복호화 ( 시스템오버헤드최소화 ) 파일 파일 GUID- 파일명.dwg GUID- 파일명.dxf GUID- 파일명.cgr 다양한파일지웎 [ 각종 OA 파일 ] [ 기타파일 ] 암호화 복호화 문서종류에제약없이지웎 - 각종 2D/3D CAD, NX, CATIA 파일등을지웎 - 각종오피스파일인 DOC, PPT, XLS, HWP, PDF, GUL( 훈민정음 ) 등지웎 문서종류가추가되더라도별도개발불필요
Contents 1. 도면보안필요성 2. 통합도면보안시스템 2-1 도면작업보안 ubcube 2-2 도면유통보안 ubxtrans 2-3 도면서버보안 ubxvault 3. 구축사례
A 사연구소문서 / 도면보앆 + 도면보앆 SW 설치사용자 PC 보안파일서버 (2 대 ) + 도면보앆 SW 설치사용자 PC 인사정보 (HR) 스토리지 ( 클러스터링구성용 ) 스토리지 ( 문서 / 도면저장용 ) 인증및로깅서버 보안파일서버 (15 대 ) + 도면보앆 SW 설치사용자 PC 인증서버이중화구성 파일서버 : 국내 (15 대 ) 해외 ( 각 2 대 ) 사용자 : 2,000 명 ( 국내 / 외 ) 오피스외 60 여종이상의 CAD 어플리케이션통제 보안파일서버 (2 대 ) + 도면보앆 SW설치사용자 PC
B 사연구소문서 / 도면보앆 인증서버이중화구성 파일서버 : 국내 5 개지역각각구성 사용자 : 700 명 오피스외 20 여종이상의 CAD 어플리케이션통제 보안파일서버 지역 2 인사정보 (HR) 스토리지 ( 클러스터링구성용 ) 스토리지 ( 문서저장용 ) 보안파일서버 지역 3 인증및로깅서버 보안파일서버 지역 1 + 도면보앆 SW 설치사용자 PC 보안파일서버 지역 4 + 도면보앆 SW설치사용자 PC 보안파일서버 지역 5
C 사문서중앙화 인증서버이중화구성 파일서버 4 대 : 30TB 사용자 : 1,200 명 VDI 및 Real PC 에문서중앙화 SW 설치 Cloud 홖경지웎 인사정보 (HR) 스토리지 ( 클러스터링구성용 ) 스토리지 ( 문서저장용 ) 가상머신호스트 인증및로깅서버 보안파일서버 (4 대 ) + 문서중앙화 SW설치사용자 PC + 문서중앙화 SW 설치사용자 VM
감사합니다. 서울시강남구도곡동 554-1 정경빌딩 2/3 층 TEL. 02-577-3263 FAX. 02-577-3473 Email. sales@iqpad.com http://www.iqpad.com