DiskLock의 동작 원리

파일시스템 필터

응용 프로그램으로부터 발생한 모든 파일 작업은 파일 시스템을 통해 처리됩니다. 우리는 요청된 파일 작업을 선별적으로 허용 또는 차단하도록 커널 영역에서 동작하는 파일시스템 필터를 구현하여 제공합니다. 

1)   설정 및 실행

클라우독 파일시스템 필터는 커널 영역에서 동작하는 커널 드라이버로 제작되어 배포됩니다. 또한, 윈도우 시스템 부팅 중 IO시스템 초기화 후 서비스(service) 형태로 자동 실행되도록 기본 설정되어 있습니다.

배포 위치: C:\Program Files\NetID\PlusDrive\PlusFsfd.sys

서비스 이름: PlusFsfd

명령 프롬프트에서 서비스 제어 명령어(sc.exe)로 클라우독 파일시스템 필터 동작 여부를 확인할 수 있으며, 상태가 “RUNNING”이어야 합니다.

2)   동작 절차

클라우독 파일시스템 필터는 응용 프로그램과 파일 시스템 중간에 위치합니다. 응용 프로그램의 파일 작업 요청을 파일 시스템에 보낼지 여부는 디스크락 정책에 따라 처리합니다.

클라우독 파일시스템 필터의 동작 절차는 아래와 같습니다.

  

①    엑셀, 윈도우탐색기 등과 같은 응용프로그램에서 요청한 파일 작업은 파일시스템 필터가 파일 시스템보다 우선적으로 처리합니다.

②    파일시스템 필터는 서버에서 수신한 디스크락 정책을 참조하여 파일 요청을 허용 또는 거부 처리합니다. 거부된 경우 거부 결과를 응용 프로그램에 즉각 전달합니다.

③    허용된 파일 요청은 하위 파일 시스템에 전달되어 정상적인 파일 작업을 처리합니다. 물론, 그 처리 결과는 파일시스템 필터를 경유하여 응용 프로그램에 전달됩니다.

디스크락 정책 파일

사용자가 윈도우 에이전트에 정상적으로 로그인하면, 에이전트는 서버에서 디스크락 정책을 수신하여 로컬디스크에 파일 형태로 저장합니다.

           저장 위치: C:\DiskLock 폴더

C:\Disklock 폴더 내 파일들은 읽기/쓰기/삭제가 모두 거부 처리되어 사용자가 임의로 변경할 수 없습니다.

로컬디스크에 저장된 정책 파일은 윈도우 시스템 재부팅되어도 계속 사용됩니다. 즉, 윈도우 에이전트에 마지막으로 로그인한 계정의 디스크락 정책이 계속 적용됩니다.

에이전트는 2분(고정) 주기로 서버와 통신하여 변경된 디스크락 정책을 확인하고 필요시 갱신합니다. 에이전트 트레이 메뉴의 [정책 새로 고침]을 통해 수동으로 새 정책을 즉각 확인하고 갱신할 수 있습니다.

윈도우 세션과 디스크락 정책

윈도우 멀티 유저 지원으로 여러 사용자가 동시에 윈도우 로그인하여 사용하는 상황이 발생할 수 있습니다. 이때, 윈도우 세션별 서로 다른 디스크락 정책을 적용하고 있습니다. 에이전트에 로그인한 적 없는 세션에도 디스크락 정책을 적용할 수 있습니다.

예를 들어,

위 표에 winuser1, winuser2 각 계정의 윈도우 세션에서 실행한 응용 프로그램은 클라우독 계정 cloudoc_user1, cloudoc_user2 디스크락 정책의 영향을 각각 받습니다.

반면, 서비스 세션과 winuser3 로그인 세션은 클라우독에 로그인한 적이 없어 적용할 디스크락 정책이 없습니다. 관리자는 이들 세션에 적용할 디스크락 정책을 별도 생성, 배포하여 파일 보안을 강화할 수 있습니다.