KR20190140285A - File backup apparatus for preventing infection to malicious process ang method thereof - Google Patents

File backup apparatus for preventing infection to malicious process ang method thereof Download PDF

Info

Publication number
KR20190140285A
KR20190140285A KR1020180066884A KR20180066884A KR20190140285A KR 20190140285 A KR20190140285 A KR 20190140285A KR 1020180066884 A KR1020180066884 A KR 1020180066884A KR 20180066884 A KR20180066884 A KR 20180066884A KR 20190140285 A KR20190140285 A KR 20190140285A
Authority
KR
South Korea
Prior art keywords
file
storage area
backup
temporary storage
area
Prior art date
Application number
KR1020180066884A
Other languages
Korean (ko)
Other versions
KR102084183B1 (en
Inventor
홍지만
손명준
이진우
김용민
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020180066884A priority Critical patent/KR102084183B1/en
Priority to CN201811221536.0A priority patent/CN110580407A/en
Publication of KR20190140285A publication Critical patent/KR20190140285A/en
Application granted granted Critical
Publication of KR102084183B1 publication Critical patent/KR102084183B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Abstract

The present invention relates to a file backup device for blocking malicious process infection and a method thereof. According to an embodiment of the present invention, the file backup device for blocking malicious process infection comprises: a file copying part copying a file stored in a backup target area in a storage means of a user terminal to a temporary storage area in a storage means of the file backup device at regular intervals; an infection checking part checking whether the file copied to the temporary storage area is infected by a malicious process; and a file storage part storing the file, copied in the temporary storage area, in the file storage area in the storage means of the file backup device when the file copied in the temporary storage area is not infected by the malicious process.

Description

악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법{FILE BACKUP APPARATUS FOR PREVENTING INFECTION TO MALICIOUS PROCESS ANG METHOD THEREOF}FILE BACKUP APPARATUS FOR PREVENTING INFECTION TO MALICIOUS PROCESS ANG METHOD THEREOF}

실시 예는 파일 백업 시스템 및 그 방법에 관한 것이다.An embodiment relates to a file backup system and a method thereof.

랜섬웨어는 사용자 디바이스 또는 네트워크 스토리지 디바이스의 저장소에 존재하는 파일들을 암호화하여 인질로 삼는 멀웨어(Malware)의 일종이다. 암호화된 파일을 원상태로 되돌리기 위해서는 복호화 키가 필요하며, 랜섬웨어 개발자는 이 복호화 키를 통해 암호화 된 파일들에 대해서 비용을 요구한다. 일반적으로 비용은 추적이 어렵다고 알려진 암호화폐(비트코인 등)를 이용한 전자 결제 방식을 통해서 지불하게 된다. 랜섬웨어는 대부분 이메일에 정상적인 파일로 가장된 상태로 첨부되어 배포되며, 첨부 파일을 열어보는 순간 랜섬웨어 프로그램이 활성화 된다. 랜섬웨어는 운영체제의 취약점이나 일반 사용자들이 사용하는 프로그램인 애플리케이션의 취약점을 이용하여 암호화를 수행하는 것이 일반적이다. Ransomware is a type of malware that encrypts files in the storage of user devices or network storage devices as hostages. A decryption key is required to return an encrypted file to its original state, and the ransomware developer charges for files encrypted using the decryption key. In general, the cost is paid through an electronic payment method using cryptocurrency (Bitcoin, etc.), which is known to be difficult to track. Most ransomwares are distributed as e-mails disguised as normal files, and the ransomware program is activated when you open the attached file. Ransomware usually encrypts it using vulnerabilities in operating systems or vulnerabilities in applications, which are programs used by ordinary users.

일부 컴퓨터 운영체제의 경우 자체적으로 램섬웨어와 같은 악성 프로세스로부터 데이터를 보호하는 자체 보안 기능을 가진다. 자체 보안 기능이 없는 운영체제의 경우에는 함정파일을 이용하는 별도의 백신 프로그램을 사용하여 랜섬웨어를 방지한다. 최근 다년간의 성장을 통해 큰 규모로 성장한 클라우드 컴퓨팅을 통해서 랜섬웨어를 대응 하는 기술들도 등장하고 있다.  Some computer operating systems have their own security features that protect data from malicious processes such as ramsomware. For operating systems that do not have their own security features, a separate antivirus program using a trap file is used to prevent ransomware. Recently, technologies that cope with ransomware through large-scale cloud computing have emerged.

하지만, 함정 파일을 두는 경우에는 그것들을 배치하는 경로가 랜섬웨어에 따라 가변적일 수 있고 어떤 함정 파일을 두느냐에 따라 랜섬웨어 탐지는 가능하지만 방지는 불가능 할 수 있다. 또한 클라우드 컴퓨팅을 통한 랜섬웨어 방지 솔루션은 그 클라우드 자체가 랜섬웨어에 감염된다면 기존 백업 파일 역시 랜섬웨어에 감염될 수 있는 문제가 발생한다. However, in the case of trap files, the path to deploy them can be variable depending on the ransomware, and depending on which trap file is placed, the ransomware can be detected but not prevented. In addition, ransomware prevention solution through cloud computing, if the cloud itself is infected with ransomware, existing backup files can also be infected with ransomware.

실시 예는 랜섬웨어를 포함하는 악성 프로세스가 백업 파일에 감염되는 것을 차단하는 파일 백업 장치 및 그 방법을 제공하기 위한 것이다. Embodiments provide a file backup device and a method of preventing a malicious process including ransomware from being infected by a backup file.

실시 예에서 해결하고자 하는 과제는 이에 한정되는 것은 아니며, 아래에서 설명하는 과제의 해결수단이나 실시 형태로부터 파악될 수 있는 목적이나 효과도 포함된다고 할 것이다.The problem to be solved in the examples is not limited thereto, and the object or effect that can be grasped from the solution means or the embodiment described below will also be included.

본 발명의 실시예에 따른 파일 백업 장치는 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 파일 복사부, 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 감염 검사부, 그리고 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 파일 보관부를 포함한다. A file backup device according to an embodiment of the present invention includes a file copy unit for copying a file stored in a backup target area in a storage means of a user terminal to a temporary storage area in a storage means of a file backup device at regular intervals, and copied to the temporary storage area. An infection check unit that checks whether a file is infected with a malicious process, and if the result of the check determines that the file copied to the temporary storage area is not infected with a malicious process, the file copied to the temporary storage area is stored in the storage means of the file backup device. It includes a file storage unit for storing in the file storage area.

상기 백업 대상 영역에 저장된 파일은, 상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며, 상기 감염 검사부는, 상기 함정파일이 상기 악성 프로세스에 의해 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사할 수 있다. The file stored in the backup target area includes a trap file that is an infection target of the malicious process, and the infection checker checks whether the malicious process is infected by whether the trap file is encrypted by the malicious process. Can be.

상기 임시 저장 영역으로 복사가 완료되면, 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 연결 제어부를 더 포함할 수 있다. When copying to the temporary storage area is completed, the backup destination area may further include a connection controller for unmounting the backup destination area and disconnecting the temporary storage area.

상기 연결 제어부는, 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시킬 수 있다. If it is determined that the file copied to the temporary storage area is not infected by a malicious process, the connection controller may mount the file storage area and connect the file storage area to the temporary storage area.

상기 연결 제어부는, 상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결할 수 있다. If the file copied to the temporary storage area is stored in the file storage area, the connection control unit unmounts the file storage area to release the connection between the temporary storage area and the file storage area, and the backup. The target area may be mounted to connect the backup target area with the temporary storage area.

본 발명의 실시예에 따른 파일 백업 장치를 이용한 파일 백업 방법에 있어서, 파일 백업 방법은 상기 파일 백업 장치가 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 상기 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 단계, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 단계, 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 단계를 포함한다. In the file backup method using the file backup device according to an embodiment of the present invention, the file backup method is a file backup device in the storage means of the file backup device is stored in the backup destination area in the storage means of the user terminal at regular intervals; Copying to a temporary storage area, checking whether the file backup device is infected with a malicious process of a file copied to the temporary storage area, and if the result of the test determines that the file copied to the temporary storage area is not infected with a malicious process And storing, by the file backup device, a file copied to the temporary storage area in a file storage area in a storage means of the file backup device.

상기 백업 대상 영역에 저장된 파일은, 상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며, 상기 악성 프로세스 감염 여부를 검사하는 단계는, 상기 함정파일이 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사할 수 있다. The file stored in the backup target area includes a trap file that is the target of infection of the malicious process, and the step of checking whether the malicious process is infected includes checking whether the malicious file is infected by whether the trap file is encrypted or not. can do.

상기 임시 저장 영역으로 복사가 완료되면, 상기 파일 백업 장치가 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 단계를 더 포함할 수 있다. When copying to the temporary storage area is completed, the file backup device may further include unmounting the backup destination area to disconnect the backup destination area from the temporary storage area.

검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키는 단계를 더 포함할 수 있다. If it is determined that the file copied to the temporary storage area is not infected by a malicious process, the file backup device may further include mounting the file storage area and connecting the file storage area to the temporary storage area.

상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결할 수 있다. When the file copied to the temporary storage area is stored in the file storage area, the file backup device unmounts the file storage area to disconnect the temporary storage area from the file storage area, and the backup The target area may be mounted to connect the backup target area with the temporary storage area.

본 발명의 실시예에 따르면, 파일의 악성 프로세스 감염 검사 및 파일 복사 저장 단계마다 보조 기억 장치 사이의 연결이나 보조 기억 장치 내 저장 영역의 연결을 유지하거나 해제함으로써 백업 시스템에 악성 프로세스가 감염되는 상황을 미연에 방지할 수 있다. 이에 따라, 사용자는 중요한 데이터를 보다 안전하게 보관할 수 있는 장점이 있다. According to an exemplary embodiment of the present invention, a malicious process is infected by a backup system by maintaining or releasing a connection between auxiliary storage devices or a storage area within the auxiliary storage device at each stage of the malicious process infection check and file copy storage step of a file. It can prevent it beforehand. Accordingly, the user has an advantage of safer storage of important data.

본 발명의 다양하면서도 유익한 장점과 효과는 상술한 내용에 한정되지 않으며, 본 발명의 구체적인 실시형태를 설명하는 과정에서 보다 쉽게 이해될 수 있을 것이다.Various and advantageous advantages and effects of the present invention are not limited to the above description, and will be more readily understood in the course of describing specific embodiments of the present invention.

도 1은 본 발명의 실시예에 따른 파일 백업 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 파일 백업 장치의 구성도이다.
도 3은 본 발명의 실시예에 따른 파일 백업 방법의 순서도이다.
도 4는 본 발명의 실시예에 따른 연결 제어부가 각 영역의 연결을 제어하는 과정을 설명하기 위한 도면이다. 1 is a block diagram of a file backup system according to an embodiment of the present invention.
2 is a block diagram of a file backup apparatus according to an embodiment of the present invention.
3 is a flowchart of a file backup method according to an embodiment of the present invention.
4 is a view for explaining a process of controlling the connection of each area by the connection control unit according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated and described in the drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms including ordinal numbers, such as second and first, may be used to describe various components, but the components are not limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the second component may be referred to as the first component, and similarly, the first component may also be referred to as the second component. The term and / or includes a combination of a plurality of related items or any item of a plurality of related items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments will be described in detail with reference to the accompanying drawings, and the same or corresponding components will be given the same reference numerals regardless of the reference numerals, and redundant description thereof will be omitted.

도 1은 본 발명의 실시예에 따른 파일 백업 시스템의 구성도이다. 1 is a block diagram of a file backup system according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 파일 백업 시스템은 사용자 단말(100)과 파일 백업 장치(200)를 포함한다. As shown in FIG. 1, a file backup system according to an exemplary embodiment of the present invention includes a user terminal 100 and a file backup apparatus 200.

본 발명의 실시예에 따른 파일 백업 시스템은 사용자 단말(100)에 저장된 파일을 파일 백업 장치(200)에 저장할 때 랜섬웨어(ransomware)와 같은 악성 프로세스(malware)의 감염이 없는 파일만을 선택적으로 보관할 수 있다. 이를 통해, 본 발명의 실시예에 따른 파일 백업 시스템은 파일 보관의 안전성을 높일 수 있다. The file backup system according to an embodiment of the present invention may selectively store only files that are not infected by a malicious process such as ransomware when the file stored in the user terminal 100 is stored in the file backup device 200. Can be. Through this, the file backup system according to the embodiment of the present invention can increase the safety of the file storage.

그러면, 본 발명의 실시예에 따른 파일 백업 시스템의 각 구성에 대해 구체적으로 살펴보도록 한다. Then, each configuration of the file backup system according to an embodiment of the present invention will be described in detail.

우선, 사용자 단말(100)은 사용자가 데이터 처리 시스템과 교신하기 위한 입출력 장치를 의미한다. 사용자 단말은 휴대폰(mobile phone), 스마트 폰(smart phone), 노트북 컴퓨터(notebook computer), 데스크탑 컴퓨터(desktop computer), PDA(personal digital assistants), PMP(portable multimedia player), 태블릿 PC(tablet PC)와 같은 장치를 통해 구현될 수 있다. First, the user terminal 100 means an input / output device for the user to communicate with the data processing system. User terminals include mobile phones, smart phones, notebook computers, desktop computers, personal digital assistants, portable multimedia players, and tablet PCs. It can be implemented through a device such as.

사용자 단말(100)은 파일 시스템(110) 및 저장 수단(120)을 포함한다. The user terminal 100 includes a file system 110 and a storage means 120.

파일 시스템(file system)은 운영 체제에서 보조 기억 장치와 그 안에 저장되는 파일을 관리하는 시스템을 의미한다. 본 발명의 실시예에서, 사용자 단말(100)의 파일 시스템(110)은 사용자 단말(100)의 운영 체제에서 저장 수단(120) 및 저장 수단(120)에 저장되는 파일을 관리하는 시스템을 의미할 수 있다. A file system refers to a system that manages auxiliary storage devices and files stored therein in an operating system. In an embodiment of the present invention, the file system 110 of the user terminal 100 may mean a system for managing files stored in the storage means 120 and the storage means 120 in the operating system of the user terminal 100. Can be.

저장 수단(120)은 파일을 저장하는 보조 기억 장치를 의미한다. 보조 기억 장치는 중앙처리장치가 아닌 외부에서 프로그램이나 데이터를 보관하기 위한 기억장치를 의미한다. 따라서, 저장 수단은 HDD(Hard Disk Drive), SSD(Solid State Disk), USB(Universal Serial Bus), 자기 테이프, 자기 디스크, 레이저 디스크, 광자기디스크, 플로피 디스크, CD-ROM 등을 포함할 수 있다. The storage means 120 means an auxiliary storage device for storing a file. The auxiliary storage device refers to a storage device for storing a program or data outside the central processing unit. Thus, the storage means may include a hard disk drive (HDD), a solid state disk (SSD), a universal serial bus (USB), a magnetic tape, a magnetic disk, a laser disk, a magneto-optical disk, a floppy disk, a CD-ROM, and the like. have.

사용자 단말(100)의 저장 수단(120)은 사용자 단말(100)의 파일 시스템(110)에 의해 관리될 수 있다. 사용자가 사용자 단말(100)을 통해 파일을 생성하면, 파일 시스템(110)은 저장 수단의 특정 영역에 파일을 저장할 수 있다. 여기서, 특정 영역이란 디렉토리나 폴더, 논리 드라이브를 의미할 수 있다. 뿐만 아니라, 사용자 단말(100)의 저장 수단이 복수일 경우, 물리적으로 분리된 하나 이상의 저장 수단일 수도 있다. The storage means 120 of the user terminal 100 may be managed by the file system 110 of the user terminal 100. When a user creates a file through the user terminal 100, the file system 110 may store the file in a specific area of the storage means. Here, the specific area may mean a directory, a folder, or a logical drive. In addition, when there are a plurality of storage means of the user terminal 100, it may be one or more storage means physically separated.

사용자 단말(100)은 저장 수단(120) 내에 어느 특정 영역을 백업 대상 영역(121)으로 설정할 수 있다. 구체적으로, 사용자 단말(100)의 파일 시스템(110)은 저장 수단(120) 내에 어느 특정 영역을 백업 대상 영역(121)으로 설정할 수 있다. 여기서, 백업 대상 영역(121)이란 본 발명의 실시예에 따른 파일 백업 장치(200)로 전송될 대상 파일이 저장된 공간을 의미한다. 예를 들어, 사용자 단말(100)은 “c:\Un-safe region\”이라는 폴더를 백업 대상 영역(121)으로 설정할 수 있으며, “c:\Un-safe region\” 폴더 내에 저장된 파일은 파일 백업 장치(200)로 전송될 수 있다. 따라서, 백업 대상 영역(121) 이외의 영역에 저장된 파일은 파일 백업 장치(200)로 전송될 수 없다. The user terminal 100 may set a specific area in the storage means 120 as the backup target area 121. In detail, the file system 110 of the user terminal 100 may set a specific area in the storage unit 120 as the backup target area 121. Here, the backup target area 121 refers to a space in which a target file to be transmitted to the file backup apparatus 200 according to an embodiment of the present invention is stored. For example, the user terminal 100 may set a folder “c: \ Un-safe region \” as the backup target area 121, and a file stored in the “c: \ Un-safe region \” folder may be a file. It may be transmitted to the backup device 200. Therefore, files stored in areas other than the backup target area 121 may not be transmitted to the file backup device 200.

사용자 단말(100)은 저장 수단(120) 내 백업 대상 영역(121)에 함정파일(미끼파일)을 생성할 수 있다. 함정파일은 악성 프로세스의 감염 대상이 파일을 의미한다. 따라서, 백업 대상 영역(121)에 저장된 파일이 파일 백업 장치(200)로 전송될 때, 함정파일도 함께 전송될 수 있다. The user terminal 100 may generate a trap file (decoy file) in the backup target area 121 in the storage unit 120. A trap file is a file that is infected by a malicious process. Therefore, when a file stored in the backup target area 121 is transmitted to the file backup device 200, the trap file may also be transmitted.

함정 파일은 악성 프로세스의 정책 기초하여 생성될 수 있다. 예를 들어, 랜섬웨어가 사용자 단말의 저장 수단 내 최상위 경로부터 암호화를 진행하는 정책을 가진다고 가정한다. 그러면, 사용자 단말은 파일명이나 폴더명 앞에 특수기호(%, $, !, @ 등)가 배치되는 함정파일(decoy file)을 생성할 수 있다.A trap file can be created based on the policy of a malicious process. For example, assume that ransomware has a policy of proceeding with encryption from the highest level in the storage means of the user terminal. Then, the user terminal may generate a decoy file in which a special symbol (%, $,!, @, Etc.) is placed before the file name or the folder name.

다음으로, 파일 백업 장치(200)는 사용자 단말(100)과 통신하여 파일을 수신 및 저장할 수 있는 입출력 장치를 의미한다. 본 발명의 실시예에 따르면, 파일 백업 장치(200)는 서버(sever)의 형태로 구현될 수 있으며, 서버의 기능을 구현할 수 있는 장치를 모두 포함할 수 있다. 파일 백업 장치(200)는 클라우드(Cloud), NAS(Network Attached Storage), 데스크탑 컴퓨터, 노트북 컴퓨터, 태블릿 PC 등을 포함할 수 있다. Next, the file backup apparatus 200 refers to an input / output device capable of receiving and storing a file by communicating with the user terminal 100. According to the exemplary embodiment of the present invention, the file backup apparatus 200 may be implemented in the form of a server and may include all the apparatuses that can implement the functions of the server. The file backup device 200 may include a cloud, a network attached storage (NAS), a desktop computer, a notebook computer, a tablet PC, and the like.

파일 백업 장치(200)는 파일 시스템(210) 및 저장 수단(220)을 포함한다. The file backup device 200 includes a file system 210 and a storage means 220.

파일 시스템(210)은 운영 체제에서 보조 기억 장치와 그 안에 저장되는 파일을 관리하는 시스템을 의미한다. 본 발명의 실시예에서, 파일 백업 장치(200)의 파일 시스템(210)은 파일 백업 장치(200)의 운영 체제에서 저장 수단(220) 및 저장 수단(220)에 저장되는 파일을 관리하는 시스템을 의미할 수 있다.The file system 210 refers to a system that manages an auxiliary storage device and a file stored therein in an operating system. In an embodiment of the present invention, the file system 210 of the file backup device 200 is a system for managing files stored in the storage means 220 and the storage means 220 in the operating system of the file backup device 200. Can mean.

저장 수단(220)은 파일을 저장하는 보조 기억 장치를 의미한다. 보조 기억 장치는 중앙처리장치가 아닌 외부에서 프로그램이나 데이터를 보관하기 위한 기억장치를 의미한다. 따라서, 저장 수단(220)은 HDD(Hard Disk Drive), SSD(Solid State Disk), USB(Universal Serial Bus), 자기 테이프, 자기 디스크, 레이저 디스크, 광자기디스크, 플로피 디스크, CD-ROM 등을 포함할 수 있다. The storage means 220 means an auxiliary storage device for storing a file. The auxiliary storage device refers to a storage device for storing a program or data outside the central processing unit. Accordingly, the storage unit 220 may include a hard disk drive (HDD), a solid state disk (SSD), a universal serial bus (USB), a magnetic tape, a magnetic disk, a laser disk, a magneto-optical disk, a floppy disk, a CD-ROM, and the like. It may include.

파일 백업 장치(200)의 저장 수단(220)은 파일 백업 장치(200)의 파일 시스템(210)에 의해 관리될 수 있다. 파일 백업 장치(200)의 파일 시스템은 사용자 단말(100)로부터 수신한 파일을 저장 수단(220)의 특정 영역에 저장할 수 있다. 여기서, 특정 영역이란 디렉토리나 폴더, 논리 드라이브를 의미할 수 있다. 뿐만 아니라, 파일 백업 장치(200)의 저장 수단(220)이 복수일 경우, 물리적으로 분리된 하나 이상의 저장 수단(220)일 수도 있다. The storage means 220 of the file backup apparatus 200 may be managed by the file system 210 of the file backup apparatus 200. The file system of the file backup apparatus 200 may store a file received from the user terminal 100 in a specific area of the storage unit 220. Here, the specific area may mean a directory, a folder, or a logical drive. In addition, when there are a plurality of storage means 220 of the file backup apparatus 200, the storage means 220 may be one or more physically separated storage means 220.

파일 백업 장치(200)는 저장 수단(220) 내에 어느 특정 영역을 임시 저장 영역(221)으로 설정할 수 있다. 예를 들어, 파일 백업 장치(200)의 파일 시스템(210)은 저장 수단(220) 내에 어느 특정 영역을 임시 저장 영역(221)으로 설정할 수 있다. 여기서, 임시 저장 영역(221)이란 사용자 단말(100)의 백업 대상 영역(121)에 저장된 파일을 복사하여 저장하는 영역을 의미한다. 예를 들어, 파일 백업 장치(200)는 “c:\Middle region\”이라는 폴더를 임시 저장 영역(221)으로 설정할 수 있으며, 사용자 단말(100)로부터 전송된 파일은 “c:\Middle region\” 폴더 내에 저장될 수 있다. The file backup apparatus 200 may set a specific area in the storage unit 220 as the temporary storage area 221. For example, the file system 210 of the file backup apparatus 200 may set a specific area in the storage unit 220 as the temporary storage area 221. Here, the temporary storage area 221 refers to an area for copying and storing a file stored in the backup target area 121 of the user terminal 100. For example, the file backup apparatus 200 may set a folder “c: \ Middle region \” as a temporary storage area 221, and a file transmitted from the user terminal 100 may be “c: \ Middle region \”. Can be stored in a folder.

또한, 파일 백업 장치(200)는 저장 수단(220) 내에 어느 특정 영역을 파일 보관 영역(222)으로 설정할 수 있다. 예를 들어, 파일 백업 장치(200)의 파일 시스템(210)은 저장 수단(220) 내에 어느 특정 영역을 파일 보관 영역(222)으로 설정할 수 있다. 여기서, 파일 보관 영역(222)이란 임시 저장 영역(221)에 저장된 파일 중 악성 프로세스가 감염되지 않은 파일을 저장하는 영역을 의미한다. 예를 들어, 파일 백업 장치(200)는 “c:\Safe region\”이라는 폴더를 파일 보관 영역(222)으로 설정할 수 있으며, 악성 프로세스의 감염이 되지 않았다고 검증된 파일을 “c:\Safe region\” 폴더 내에 저장할 수 있다.In addition, the file backup apparatus 200 may set any specific area in the storage means 220 as the file storage area 222. For example, the file system 210 of the file backup apparatus 200 may set a specific area in the storage means 220 as the file storage area 222. Here, the file storage area 222 means an area for storing a file not infected by a malicious process among files stored in the temporary storage area 221. For example, the file backup device 200 may set a folder named “c: \ Safe region \” as the file storage area 222, and may select a file “c: \ Safe region” that has been verified as not infected by a malicious process. \ ”Folder.

본 발명의 실시예에 따르면, 사용자 단말과 파일 백업 장치는 통신망(10)을 통해 연결될 수 있으며, SMB(server message block) 프로토콜이나 CIFS(common Internet file system) 프로토콜을 통해 연결될 수 있다. 예를 들어, 파일 백업 장치는 SMB 프로토콜을 이용하여 사용자 단말과 통신 연결할 수 있으며, SMB 프로토콜 및 CIFS 프로토콜 기반의 삼바(samba)를 통해 백업 대상 영역의 파일을 전송받아 임시 저장 영역에 복사할 수 있다. 이는 본 발명의 일 실시예로서, 사용자 단말과 파일 백업 장치의 파일 시스템에 따라 프로토콜은 달라질 수 있다. According to an embodiment of the present invention, the user terminal and the file backup device may be connected through the communication network 10, and may be connected through a server message block (SMB) protocol or a common Internet file system (CIFS) protocol. For example, a file backup device may communicate with a user terminal using the SMB protocol, and may receive and copy a file of a backup target area to a temporary storage area through samba based on the SMB protocol and CIFS protocol. . This is an embodiment of the present invention, and the protocol may vary depending on the file system of the user terminal and the file backup device.

그러면, 도 2를 참조하여, 본 발명의 실시예에 따른 파일 백업 장치에 대해 살펴보도록 한다. Next, a file backup device according to an embodiment of the present invention will be described with reference to FIG. 2.

도 2는 본 발명의 실시예에 따른 파일 백업 장치의 구성도이다. 2 is a block diagram of a file backup apparatus according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 파일 백업 장치(200)는 파일 시스템(210)과 저장 수단(220)을 포함하며, 파일 시스템(210)은 파일 복사부(211), 감염 검사부(212), 파일 보관부(213) 및 연결 제어부(214)를 포함한다. As shown in FIG. 2, the file backup apparatus 200 according to an exemplary embodiment of the present invention includes a file system 210 and a storage unit 220, and the file system 210 includes a file copying unit 211, An infection check unit 212, a file storage unit 213, and a connection control unit 214 are included.

도 2에서는 파일 복사부(211), 감염 검사부(212), 파일 보관부(213) 및 연결 제어부(214)가 파일 시스템(210)에 포함된 구성으로 설명하고 있으나, 이에 한정되지 않으며, 파일 시스템(210)과 다른 별도의 시스템으로 구현될 수도 있다. 저장 수단(220)의 경우 도 1을 통해 설명하였는바, 상세한 설명은 생략하도록 하며, 아래에서는 파일 시스템(210)의 구성에 관해 살펴보도록 한다. In FIG. 2, the file copying unit 211, the infection inspecting unit 212, the file storing unit 213, and the connection control unit 214 are described as configurations included in the file system 210, but the present invention is not limited thereto. It may be implemented as a separate system from 210. In the case of the storage unit 220 has been described with reference to FIG. 1, a detailed description thereof will be omitted, and the configuration of the file system 210 will be described below.

우선, 파일 복사부(211)는 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)의 저장 수단(220) 내 임시 저장 영역으로 복사한다. First, the file copying unit 211 copies the file stored in the backup target area in the storage means of the user terminal to the temporary storage area of the storage means 220 of the file backup device 200 at regular intervals.

이때, 파일 전송은 일정 주기마다 진행된다. 예를 들어, 일정 주기가 24시간인 경우, 24시간마다 파일 전송이 진행된다. 일정 주기는 사용자가 사용자 단말(100)을 통해 설정될 수 있다. 사용자가 파일을 생성하는 빈도나 저장되는 파일의 중요도에 따라 전송 주기를 설정할 수 있으므로, 파일 보관의 안전성을 높일 수 있다.At this time, the file transfer is performed every certain period. For example, if a certain period is 24 hours, file transfer proceeds every 24 hours. The predetermined period may be set by the user through the user terminal 100. The transmission cycle can be set according to the frequency at which the user creates the file or the importance of the stored file, thereby increasing the safety of the file storage.

다음으로, 감염 검사부(212)는 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사한다. 감염 검사부(212)는 함정파일이 악성 프로세스에 의해 암호화되었는지 여부를 통해 악성 프로세스 감염 여부를 검사할 수 있다. Next, the infection checker 212 checks whether a file copied to the temporary storage area is infected with a malicious process. The infection checker 212 may check whether the trap file is infected by a malicious process or not.

다음으로, 파일 보관부(213)는 검사 결과 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 임시 저장 영역에 복사된 파일을 파일 백업 장치(200)의 저장 수단(220) 내 파일 보관 영역에 저장한다. Next, when the file storage unit 213 determines that the file copied to the temporary storage area is not infected by a malicious process, the file storage unit 213 stores the file copied to the temporary storage area in the storage means 220 of the file backup device 200. Save to file storage area.

다음으로, 연결 제어부(214)는 임시 저장 영역으로 복사가 완료되면, 사용자 단말과의 연결을 해제한다. 이때, 연결 제어부(214)는 사용자 단말(100)의 파일 시스템과 파일 백업 장치(200)의 파일 시스템 간 연결을 의미할 수 있다. 즉, 연결 제어부(214)는 사용자 단말(100)의 백업 대상 영역을 언마운트하여, 백업 대상 영역과 임시 저장 영역의 연결을 해제할 수 있다. Next, when copying is completed to the temporary storage area, the connection controller 214 releases the connection with the user terminal. In this case, the connection controller 214 may refer to a connection between the file system of the user terminal 100 and the file system of the file backup apparatus 200. That is, the connection controller 214 may unmount the backup target area of the user terminal 100 to release the connection between the backup target area and the temporary storage area.

연결 제어부(214)는 검사 결과 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 파일 보관 영역을 마운트(mount)하여 임시 저장 영역에 연결시킨다. If it is determined that the file copied to the temporary storage area is not infected by the malicious process, the connection control unit 214 mounts the file storage area and connects it to the temporary storage area.

연결 제어부(214)는 임시 저장 영역에 복사된 파일이 파일 보관 영역에 저장되면, 파일 보관 영역을 언마운트(unmount)하여 임시 저장 영역과 파일 보관 영역의 연결을 해제하고, 사용자 단말과의 통신을 연결한다. When the file copied to the temporary storage area is stored in the file storage area, the connection control unit 214 unmounts the file storage area to release the connection between the temporary storage area and the file storage area and to communicate with the user terminal. Connect.

그러면, 도 3을 통해 본 발명의 실시예에 따른 파일 백업 방법에 대해 살펴보도록 한다. Next, a file backup method according to an embodiment of the present invention will be described with reference to FIG. 3.

도 3은 본 발명의 실시예에 따른 파일 백업 방법의 순서도이다. 3 is a flowchart of a file backup method according to an embodiment of the present invention.

도 3을 참조하면, 우선, 사용자 단말(100)은 사용자 단말(100)의 저장 수단 내 백업 대상 영역을 설정한 후, 백업 대상 영역에 함정파일을 생성한다(S5). Referring to FIG. 3, first, the user terminal 100 sets a backup target area in a storage means of the user terminal 100, and then generates a trap file in the backup target area (S5).

그리고, 사용자 단말(100)은 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)로 전송한다(S10). 백업 대상 영역에는 사용자의 사용자 단말(100) 사용에 따라 생성된 파일 뿐만 아니라, S5 단계에서 생성된 함정파일도 포함된다.The user terminal 100 transmits the file stored in the backup target area to the file backup apparatus 200 (S10). The backup target area includes not only a file generated according to the user's use of the user terminal 100, but also a trap file generated in step S5.

다음으로, 파일 백업 장치(200)는 전송된 파일, 즉 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)의 저장 수단 내 임시 저장 영역으로 복사한다(S15). 이때, 복사된 파일에는 S5 단계에서 생성된 함정파일도 포함된다. Next, the file backup apparatus 200 copies the transferred file, that is, the file stored in the backup target region to the temporary storage region in the storage means of the file backup apparatus 200 (S15). In this case, the copied file also includes a trap file generated in step S5.

임시 저장 영역으로의 복사가 완료되면, 파일 백업 장치(200)는 사용자 단말(100)과의 연결을 해제한다(S20). S25 단계 등을 수행하는 중 사용자 단말(100)에 악성 프로세스가 감염될 수 있는데, 이때 사용자 단말(100)의 백업 대상 영역과 파일 백업 장치(200)의 임시 저장 영역이 계속 연결되어 있으면 S15 단계 이후에 파일 백업 장치(200)가 악성 프로세스에 감염될 수 있다. 예를 들어, S25 단계에서 악성 프로세스 감염 검사가 완료되어 악성 프로세스의 감염이 없다고 판단된 후 복사된 파일이 악성 프로세스에 감염될 수 있다. 이로 인해, 파일 백업 장치(200)에 저장되어 있던 파일들까지 악성 프로세스에 감염될 수 있는 문제점이 발생한다. 따라서, 본 발명의 실시예에 따른 파일 백업 장치(200)는 S20 단계에서 파일 백업 장치(200)와 사용자 단말(100) 간 연결을 해제함으로써 상기의 문제점을 미연에 차단하여 파일 보관의 안전성을 높인다. When copying to the temporary storage area is completed, the file backup apparatus 200 releases the connection with the user terminal 100 (S20). While performing a step S25 or the like, a malicious process may be infected to the user terminal 100. In this case, if the backup target area of the user terminal 100 and the temporary storage area of the file backup device 200 are continuously connected, the step S15 may be performed. The file backup device 200 may be infected by a malicious process. For example, after the malicious process infection check is completed in step S25 and determined that there is no infection of the malicious process, the copied file may be infected by the malicious process. As a result, even a file stored in the file backup device 200 may be infected by a malicious process. Therefore, the file backup apparatus 200 according to the embodiment of the present invention increases the safety of file storage by blocking the above problems in advance by releasing the connection between the file backup apparatus 200 and the user terminal 100 in step S20. .

S20 단계에서, 파일 백업 장치(200)와 사용자 단말(100) 간 통신 연결이 해제되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하여(S25, S30). In operation S20, when the communication connection between the file backup apparatus 200 and the user terminal 100 is released, the file backup apparatus 200 checks whether or not a malicious process is infected with the file copied to the temporary storage area (S25 and S30). .

검사 결과, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되지 않았다고 판단되면, 파일 백업 장치(200)는 파일 보관 영역을 마운트(mount)하여 임시 저장 영역에 연결한다(S35). If it is determined that the malicious process is not infected with the file copied to the temporary storage area, the file backup apparatus 200 mounts the file storage area and connects the temporary storage area (S35).

즉, 파일 보관 영역에는 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되지 않았다고 판단될 때까지 접근할 수 없다. 따라서, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되었다고 하더라도, 파일 보관 영역에 저장된 파일은 악성 프로세스의 감염을 피할 수 있는 장점이 있다. That is, the file storage area cannot be accessed until it is determined that a malicious process is not infected with the file copied to the temporary storage area. Therefore, even if a malicious process is infected with a file copied to the temporary storage area, the file stored in the file storage area has an advantage of avoiding infection of the malicious process.

파일 보관 영역이 마운트되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일을 파일 보관 영역에 저장한다(S40). When the file storage area is mounted, the file backup device 200 stores the file copied to the temporary storage area in the file storage area (S40).

그리고, 파일 보관 영역에 저장이 완료되면, 파일 백업 장치(200)는 파일 보관 영역을 언마운트(unmount)하여 임시 저장 영역과 파일 보관 영역의 연결을 해제한다(S45). When the storage is completed in the file storage area, the file backup device 200 unmounts the file storage area to release the connection between the temporary storage area and the file storage area (S45).

즉, 파일 보관 영역으로의 저장이 완료되면, 악성 프로세스가 접근할 수 없도록 임시 저장 영역과 파일 보관 연결의 연결을 해제하여, 파일 보관의 안전성을 높인다. That is, when the storage in the file storage area is completed, the connection between the temporary storage area and the file storage connection is released so that a malicious process cannot access the file, thereby increasing the safety of the file storage.

그리고, 파일 백업 장치(200)는 사용자 단말(100)과 재연결한다(S50). 구체적으로, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역을 마운트하여 임시 저장 영역과 재연결을 수행한다. 파일 백업 장치(200)와 사용자 단말(100) 사이의 연결은 다음 주기에서 임시 저장 영역에 파일이 복사될 때까지 계속된다. In operation S50, the file backup apparatus 200 reconnects with the user terminal 100. In detail, the file backup apparatus 200 mounts the backup target area of the user terminal 100 to reconnect with the temporary storage area. The connection between the file backup device 200 and the user terminal 100 continues until the file is copied to the temporary storage area in the next cycle.

한편, S25 및 S30 단계의 검사 결과, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되었다고 판단되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일을 삭제할 수 있다(S55). On the other hand, if it is determined that the malicious process is infected with the file copied to the temporary storage area as a result of the inspection of steps S25 and S30, the file backup apparatus 200 may delete the file copied to the temporary storage area (S55).

S55 단계에서 파일의 삭제가 완료되면, 파일 백업 장치(200)는 사용자 단말(100)로 백업 대상 영역에 악성 프로세스가 감염되었음을 통지할 수 있다(S60). 이 경우, 예를 들어, 사용자 단말(100)이 백업 대상 영역에 대한 악성 프로세스 삭제나 치료 등의 조치를 취하기 전까지 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역을 마운트하지 않는다. When the deletion of the file is completed in step S55, the file backup apparatus 200 may notify the user terminal 100 that a malicious process is infected in the backup target area (S60). In this case, for example, the file backup apparatus 200 does not mount the backup target area of the user terminal 100 until the user terminal 100 takes an action such as deleting or treating a malicious process for the backup target area.

S10 내지 S60 단계는 일정 주기로 반복될 수 있다. Steps S10 to S60 may be repeated at regular intervals.

도 4는 본 발명의 실시예에 따른 연결 제어부가 각 영역의 연결을 제어하는 과정을 설명하기 위한 도면이다. 4 is a diagram for describing a process of controlling a connection of each region by a connection controller according to an exemplary embodiment of the present invention.

우선, 파일 백업이 수행되지 않는 동안에는, 도 4의 (a)에서와 같이, 사용자 단말(100)의 백업 대상 영역(121)과 파일 백업 장치(200)의 임시 저장 영역(221)은 서로 연결된다. 즉, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역(121)을 마운트하여 백업 대상 영역(121)과 임시 저장 영역(221)을 연결한다. 하지만, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결되지 않는다. First, while the file backup is not performed, as shown in FIG. 4A, the backup target area 121 of the user terminal 100 and the temporary storage area 221 of the file backup device 200 are connected to each other. . That is, the file backup apparatus 200 mounts the backup target area 121 of the user terminal 100 to connect the backup target area 121 and the temporary storage area 221. However, the temporary storage area 221 and the file storage area 222 in the file backup device 200 are not connected to each other.

다음으로, 도 3의 S15단계가 완료된 후에는, 도 4의 (b)에서와 같이, 사용자 단말(100)의 백업 대상 영역(121)과 파일 백업 장치(200)의 임시 저장 영역(221)은 연결이 해제된다. 즉, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역(121)을 언마운트하여 백업 대상 영역(121)과 임시 저장 영역(221)을 연결을 해제한다. 이때, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결되지 않는다. Next, after the step S15 of FIG. 3 is completed, as shown in FIG. 4B, the backup target area 121 of the user terminal 100 and the temporary storage area 221 of the file backup device 200 are separated. The connection is released. That is, the file backup apparatus 200 disconnects the backup target region 121 and the temporary storage region 221 by unmounting the backup target region 121 of the user terminal 100. In this case, the temporary storage area 221 and the file storage area 222 of the file backup device 200 are not connected to each other.

그리고, 도 3의 S30 단계가 종료되고 악성 프로세스의 감염이 없다고 판단된 후에는 도 4의 (c)에서와 같이, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결된다. 이때, 사용자 단말(100)과 파일 백업 장치(200)는 연결이 되지 않는다. After the step S30 of FIG. 3 ends and it is determined that there is no infection of the malicious process, as shown in FIG. 4C, the temporary storage area 221 and the file storage area 222 of the file backup device 200 are used. Are connected to each other. At this time, the user terminal 100 and the file backup device 200 are not connected.

다음으로, 도 3의 S40 단계가 종료되면, 도 4의 (d)에서와 같이, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)의 연결은 해제된다. 그리고, 사용자 단말(100)과 파일 백업 장치(200)는 연결된다. 즉, 도 4의 (a)와 같은 연결 상태가 된다. Next, when the step S40 of FIG. 3 is finished, as shown in FIG. 4D, the connection between the temporary storage area 221 and the file storage area 222 of the file backup device 200 is released. The user terminal 100 and the file backup apparatus 200 are connected to each other. That is, the connection state is as shown in FIG.

본 발명의 실시예에 따르면, 파일의 악성 프로세스 감염 검사 및 파일 복사 저장 단계마다 보조 기억 장치 사이의 연결이나 보조 기억 장치 내 저장 영역의 연결을 유지하거나 해제함으로써 백업 시스템에 악성 프로세스가 감염되는 상황을 미연에 방지할 수 있다. 이에 따라, 사용자는 중요한 데이터를 보다 안전하게 보관할 수 있는 장점이 있다. According to an exemplary embodiment of the present invention, a malicious process is infected by a backup system by maintaining or releasing a connection between auxiliary storage devices or a storage area within the auxiliary storage device at each stage of the malicious process infection check and file copy storage step of a file. It can prevent it beforehand. Accordingly, the user has an advantage of safer storage of important data.

본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~ part' used in the present embodiment refers to software or a hardware component such as a field-programmable gate array (FPGA) or an ASIC, and '~ part' performs certain roles. However, '~' is not meant to be limited to software or hardware. '~ Portion' may be configured to be in an addressable storage medium or may be configured to play one or more processors. Thus, as an example, '~' means components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, procedures, and the like. Subroutines, segments of program code, drivers, firmware, microcode, circuits, data, databases, data structures, tables, arrays, and variables. The functionality provided within the components and the 'parts' may be combined into a smaller number of components and the 'parts' or further separated into additional components and the 'parts'. In addition, the components and '~' may be implemented to play one or more CPUs in the device or secure multimedia card.

이상에서 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다. Although the above description has been made based on the embodiments, these are merely examples and are not intended to limit the present invention. Those skilled in the art to which the present invention pertains may not have been exemplified above without departing from the essential characteristics of the present embodiments. It will be appreciated that many variations and applications are possible. For example, each component specifically shown in the embodiment can be modified. And differences relating to such modifications and applications will have to be construed as being included in the scope of the invention defined in the appended claims.

100 : 사용자 단말 200 : 파일 백업 장치
210 : 파일 복사부 220 : 감염 검사부
230 : 파일 보관부 240 : 제어부100: user terminal 200: file backup device
210: file copy unit 220: infection detection unit
230: file storage unit 240: control unit

Claims (10)

일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 파일 복사부,
상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 감염 검사부, 그리고
검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 파일 보관부를 포함하는 파일 백업 장치. A file copying unit copying a file stored in a backup target area in the storage means of the user terminal to a temporary storage area in the storage means of the file backup device at regular intervals;
An infection checker that checks whether a file copied to the temporary storage area is infected with a malicious process, and
If it is determined that the file copied to the temporary storage area is not infected by a malicious process, the file backup unit may include a file storage unit storing the file copied to the temporary storage area in a file storage area of a storage means of the file backup device. Device. 제1항에 있어서,
상기 백업 대상 영역에 저장된 파일은,
상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며,
상기 감염 검사부는,
상기 함정파일이 상기 악성 프로세스에 의해 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사하는 파일 백업 장치. The method of claim 1,
The file stored in the backup target area,
Includes a trap file that is the target of infection of the malicious process,
The infection inspection unit,
And a file backup device that checks whether the trap file is infected by whether the trap file is encrypted by the malicious process. 제1항에 있어서,
상기 임시 저장 영역으로 복사가 완료되면, 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 연결 제어부를 더 포함하는 파일 백업 장치. The method of claim 1,
And a copy controller configured to disconnect the backup target area from the temporary storage area by unmounting the backup target area when copying is completed to the temporary storage area. 제3항에 있어서,
상기 연결 제어부는,
검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키는 파일 백업 장치. The method of claim 3,
The connection control unit,
And determining that the file copied to the temporary storage area is not infected by a malicious process, and mounting the file storage area and connecting the temporary storage area to the temporary storage area. 제4항에 있어서,
상기 연결 제어부는,
상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 보관 영역을 언마운트하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결하는 파일 백업 장치. The method of claim 4, wherein
The connection control unit,
When the file copied to the temporary storage area is stored in the file storage area, the file storage area is unmounted to release the connection between the temporary storage area and the file storage area, and the backup destination area is mounted to mount the backup destination. A file backup device that connects an area with the temporary storage area. 파일 백업 장치를 이용한 파일 백업 방법에 있어서,
상기 파일 백업 장치가 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 상기 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 단계,
상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 단계,
검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 단계를 포함하는 파일 백업 방법. In the file backup method using a file backup device,
Copying, by the file backup device, a file stored in the backup target area in the storage means of the user terminal to a temporary storage area in the storage means of the file backup device at regular intervals;
Checking whether the file backup device is infected with a malicious process of a file copied to the temporary storage area;
If it is determined that the file copied to the temporary storage area is not infected with a malicious process, the file backup device stores the file copied to the temporary storage area in a file storage area of the storage means of the file backup device. Including file backup method. 제6항에 있어서,
상기 백업 대상 영역에 저장된 파일은,
상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며,
상기 악성 프로세스 감염 여부를 검사하는 단계는,
상기 함정파일이 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사하는 파일 백업 방법. The method of claim 6,
The file stored in the backup target area,
Includes a trap file that is the target of infection of the malicious process,
The step of checking whether the malicious process is infected,
A file backup method for checking whether the malicious process is infected through whether the trap file is encrypted. 제6항에 있어서,
상기 임시 저장 영역으로 복사가 완료되면, 상기 파일 백업 장치가 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 단계를 더 포함하는 파일 백업 방법. The method of claim 6,
And copying, by the file backup device, to unmount the backup target area and disconnecting the backup target area from the temporary storage area when copying to the temporary storage area is completed. 제8항에 있어서,
검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키는 단계를 더 포함하는 파일 백업 방법. The method of claim 8,
If it is determined that the file copied to the temporary storage area is not infected by a malicious process, the file backup device may further include mounting the file storage area and connecting the file storage area to the temporary storage area. . 제9항에 있어서,
상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결하는 파일 백업 방법.The method of claim 9,
When the file copied to the temporary storage area is stored in the file storage area, the file backup device unmounts the file storage area to disconnect the temporary storage area from the file storage area, and the backup A file backup method for mounting a target area to connect the backup target area with the temporary storage area.
KR1020180066884A 2018-06-11 2018-06-11 File backup apparatus for preventing infection to malicious process ang method thereof KR102084183B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180066884A KR102084183B1 (en) 2018-06-11 2018-06-11 File backup apparatus for preventing infection to malicious process ang method thereof
CN201811221536.0A CN110580407A (en) 2018-06-11 2018-10-19 File backup device and file backup method for preventing malicious process infection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180066884A KR102084183B1 (en) 2018-06-11 2018-06-11 File backup apparatus for preventing infection to malicious process ang method thereof

Publications (2)

Publication Number Publication Date
KR20190140285A true KR20190140285A (en) 2019-12-19
KR102084183B1 KR102084183B1 (en) 2020-03-03

Family

ID=68810376

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180066884A KR102084183B1 (en) 2018-06-11 2018-06-11 File backup apparatus for preventing infection to malicious process ang method thereof

Country Status (2)

Country Link
KR (1) KR102084183B1 (en)
CN (1) CN110580407A (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090089584A (en) * 2008-02-19 2009-08-24 (주)아이시큐어 Method and system for testing web site
KR20150057980A (en) * 2013-11-20 2015-05-28 캐논 가부시끼가이샤 Information processing apparatus, method of controlling the same, and storage medium
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system
KR20170137534A (en) * 2016-06-03 2017-12-13 주식회사 케이티 Apparatus and method for controlling file backup

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9378370B2 (en) * 2013-06-17 2016-06-28 Microsoft Technology Licensing, Llc Scanning files for inappropriate content during synchronization
US20180027006A1 (en) * 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090089584A (en) * 2008-02-19 2009-08-24 (주)아이시큐어 Method and system for testing web site
KR20150057980A (en) * 2013-11-20 2015-05-28 캐논 가부시끼가이샤 Information processing apparatus, method of controlling the same, and storage medium
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system
KR20170137534A (en) * 2016-06-03 2017-12-13 주식회사 케이티 Apparatus and method for controlling file backup

Also Published As

Publication number Publication date
KR102084183B1 (en) 2020-03-03
CN110580407A (en) 2019-12-17

Similar Documents

Publication Publication Date Title
US9418222B1 (en) Techniques for detecting advanced security threats
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
US10242186B2 (en) System and method for detecting malicious code in address space of a process
US9729579B1 (en) Systems and methods for increasing security on computing systems that launch application containers
JP6059812B2 (en) Technology for detecting security vulnerabilities
JP6196393B2 (en) System and method for optimizing scanning of pre-installed applications
US9058492B1 (en) Techniques for reducing executable code vulnerability
US8775369B2 (en) Computer system architecture and method having isolated file system management for secure and reliable data processing
US9813443B1 (en) Systems and methods for remediating the effects of malware
JP6596596B2 (en) System and method for detecting malware infection via domain name service traffic analysis
US20070078990A1 (en) System for identifying the presence of Peer-to-Peer network software applications
US9405904B1 (en) Systems and methods for providing security for synchronized files
EP3797371B1 (en) Systems and methods for controlling an application launch based on a security policy
US9894085B1 (en) Systems and methods for categorizing processes as malicious
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
US10140454B1 (en) Systems and methods for restarting computing devices into security-application-configured safe modes
GB2512376A (en) Secure execution of software modules on a computer
US9792436B1 (en) Techniques for remediating an infected file
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US11204992B1 (en) Systems and methods for safely executing unreliable malware
US9219707B1 (en) Systems and methods for sharing the results of malware scans within networks
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US9141795B2 (en) Techniques for detecting malicious activity
KR102084183B1 (en) File backup apparatus for preventing infection to malicious process ang method thereof
EP3800567A1 (en) Systems and methods for countering removal of digital forensics information by malicious software

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant