KR100633311B1 - 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법 - Google Patents

메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법 Download PDF

Info

Publication number
KR100633311B1
KR100633311B1 KR1020050051252A KR20050051252A KR100633311B1 KR 100633311 B1 KR100633311 B1 KR 100633311B1 KR 1020050051252 A KR1020050051252 A KR 1020050051252A KR 20050051252 A KR20050051252 A KR 20050051252A KR 100633311 B1 KR100633311 B1 KR 100633311B1
Authority
KR
South Korea
Prior art keywords
messenger
packet
program
file
client
Prior art date
Application number
KR1020050051252A
Other languages
English (en)
Inventor
황건순
묵현상
김종모
Original Assignee
(주)이월리서치
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이월리서치 filed Critical (주)이월리서치
Priority to KR1020050051252A priority Critical patent/KR100633311B1/ko
Application granted granted Critical
Publication of KR100633311B1 publication Critical patent/KR100633311B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/40Business processes related to the transportation industry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법에 관한 것으로, 특히 더욱 상세하게는 구내망을 통해 클라이언트 상호간에 통신을 하는 경우, 구내망을 구성하는 스위치 장비에 메신저 감시 서버를 연결하여 설치하고, 모뎀을 사용하여 광대역 통신망을 통해 네트워크에 직접 접속되어 있는 경우, 메신저 감시 서버를 클라이언트 컴퓨터 내부에서 실행되는 프로그램 형태로 존재하게 함으로써, 구내망에 연결된 메신저 프로그램 및 외부에 연결된 메신저 프로그램에서 전송하는 파일을 감시할 수 있고, 메신저를 통해 수신되는 패킷을 분석하여 파일을 전송하는 경우, 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하면서 악성 프로그램 검사를 수행함으로써, 파일의 전송이 완료되기 전에 악성 프로그램임을 인지할 수 있으며, 파일의 전송이 완료되기 전에 악성 프로그램의 수신을 차단함으로써, 메신저를 통해 전파되는 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단할 수 있고, 메신저를 통해 급속히 전파되는 바이러스, 윔, 스파이웨어 등의 악성 프로그램 전파를 원천적으로 차단할 수 있는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법에 관한 것이다.
클라이언트 컴퓨터가 구내망을 통해 인터넷에 연결되는 경우, 상기 본 발명은 메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 구내망에 접속되어 상기 구내망을 통해 스위치에 연결되는 클라이언트 컴퓨터와; 상기 클라이언트 컴퓨터와 구내망을 통해 연결되고, 라우터에 접속되며, 구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 데이터를 수신하여 상기 구내망에 접속된 클라이언트 컴퓨터로 전송하며, 메신저 감시 서버가 연결되어 설치되는 스위치와; 상기 스위치를 통해 구내망에 접속하여 상기 구내망간에 데이터를 주고받을 수 있게 하고, 상기 데이터에 포함되어 있는 프로토콜을 해석하여 최적의 경로를 선택하고, 상기 경로를 통해 데이터를 송출하는 라우터와; 상기 스위치에 연결되어 설치되고, 구내망 내에 접속된 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터의 메신저 프로그램으로부터 상기 스위치로 전송되는 패킷을 감시하고, 상기 패킷의 프로토콜을 분석하여 상기 패킷의 내용이 파일을 전송하는 경우 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하고, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하며, 상기 파일 재구성 버퍼에 저장된 데이터 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 메신저 감시 서버와; 상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버;로 구성됨을 특징으로 한다.
또한 클라이언트 컴퓨터에 모뎀을 연결하여 광대역 통신망을 통해 인터넷에 연결되는 경우, 상기 본 발명은 메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 모뎀에 연결되어 있는 클라이언트 컴퓨터와; 상기 클라이언트 컴퓨터를 광대역 통신망에 연결시키는 모뎀과; 상기 클라이언트 컴퓨터 내부에서 실행되고, 네트워크 인터페이스 카드(NIC)와 상기 클라이언트 컴퓨터 사이의 통신을 감시하고, 메신저 프로그램을 통해 패킷이 수신될 경우 상기 패킷을 복사하여 분석하고, 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하며, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하고, 상기 파일 재구성 버퍼에 저장된 데이터의 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 클라이언트 컴퓨터 내부의 메신저 감시 프로그램부와; 상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클 라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버;로 구성됨을 특징으로 한다.
따라서 본 발명은 메신저 프로그램을 통해 송·수신 되는 파일을 감시하여 파일의 전송이 완료되기 전에 악성 프로그램임을 인지할 수 있고, 상기 파일이 악성 프로그램일 경우, 파일의 실행과 저장 장치로의 저장을 차단하여 메신저를 통해 급속히 전파되는 바이러스, 윔, 스파웨어 등의 악성 프로그램의 전파를 원천적으로 차단할 수 있는 효과가 있다.
메신저 프로그램, 메신저 감시 서버, 감시 프로그램, 악성 프로그램, 클라이언트 컴퓨터, 메신저 서비스 운영 서버, 모뎀, 라우터, 스위치, 인터넷망, 광대역 통신망, 구내망.

Description

메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법{The system for protecting malicious code transmitted using the messenger program and method thereof}
도 1은 일반적인 메신저 시스템의 네트워크 구성도.
도 2는 본 발명의 일실시예에 따른 메신저 감시 서버에 의해 메신저 프로그램에서 전송하는 파일을 감시하기 위한 메신저 시스템의 네트워크 구성도.
도 3은 본 발명의 다른 일실시예에 따른 광대역 통신망 이용시 메신저 감시 프로그램에 의해 악성 프로그램을 감시하기 위한 메신저 시스템의 네트워크 구성도.
도 4는 본 발명의 일실시예에 따른 메신저를 통해 전파되는 악성 프로그램을 차단하기 위한 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100, 100-1. 구내망 110, 110-1. 스위치
101, 102, 103, 104, 320, 320-1. 클라이언트 컴퓨터
120, 120-1. 라우터 130. 메신저 감시 서버
131, 322-1. 파일 재구성 버퍼 132, 322-2. 악성 프로그램 특성값 DB
200. 인터넷 300. 광대역 통신망
310, 310-1. 모뎀 320. 메신저 감시 프로그램부
321. 네크워크 인터페이스 카드(NIC) 323. 중앙처리장치(CPU)
400. 메신저 서비스 운영 서버 401, 402. 메신저 서버
410. 클라이언트 정보 DB
본 발명은 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법에 관한 것으로, 특히 더욱 상세하게는 구내망을 통해 클라이언트 상호간에 통신을 하는 경우, 구내망을 구성하는 스위치 장비에 메신저 감시 서버를 연결하여 설치하고, 모뎀을 사용하여 광대역 통신망을 통해 네트워크에 직접 접속되어 있는 경우, 메신저 감시 서버를 클라이언트 컴퓨터 내부에서 실행되는 프로그램 형태로 존재하게 함으로써, 구내망에 연결된 메신저 프로그램 및 외부에 연결된 메신저 프로그램에서 전송하는 파일을 감시할 수 있고, 메신저를 통해 수신되는 패킷을 분석하여 파일을 전송하는 경우, 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하면서 악성 프로그램 검사를 수행함으로써, 파일의 전송이 완료되기 전에 악성 프로그램임을 인지할 수 있으며, 파일의 전송이 완료되기 전에 악성 프로그램의 수신을 차단함으로써, 메신저를 통해 전파되는 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단할 수 있고, 메신저를 통해 급속히 전파되는 바이러스, 윔, 스파이웨어 등의 악성 프로그램 전파를 원천적으로 차단할 수 있는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법에 관한 것이다.
메신저 프로그램은 최근 들어 널리 사용되기 시작하여 2005년 현재 1천만이 넘는 사용자가 메신저 프로그램을 사용하고 있다. 메신저 프로그램은 즉시 전달한다는 의미로 인스턴트 메신저라고도 하며, 1996년 미국의 아메리카온라인(AOL)이 회원의 접속 상태를 보여 주는 버디 리스트 서비스를 시작하고, 1997년에 실시간 대화기능을 추가한 것이 시초이고, 우리나라에는 1998년 디지토닷컴이 처음 소개하였다. 메신저 프로그램은 대화하고자 하는 상대방이 인터넷에 접속해 있는지를 확인할 수 있으므로 응답이 즉시 이루어져 전자우편보다 훨씬 속도가 빠르며, 컴퓨터로 작업을 하면서 메시지를 주고받을 수 있다.
또한 메신저 프로그램은 다자간 채팅과 음성채팅도 지원하며 대용량의 동영상 파일은 물론, 이동전화 문자메시지도 보낼 수 있고, 이 밖에도 뉴스나 증권, 음악 정보 등의 서비스도 제공하며, 사용자가 프로그램을 갖춘 사이트에 접속하여 회원으로 등록한 뒤 해당 프로그램을 다운로드 받아 컴퓨터에 설치하여 사용할 수 있다.
2005년 현재 국내 대부분의 인터넷포털 사이트들이 상기 서비스를 제공하고 있으며, 그 중 MSN 메신저는 인터넷 폰 서비스와 음성채팅을 제공하고, 야후 메신저는 음성채팅과 뉴스, 주식정보를 제공하며, 다음 메신저는 디자인을 자유롭게 바꿀 수 있는 기능이 있고, 버디버디 메신저는 기분상태 표시기능과 친구 찾기 서비스 기능을 갖는 등 타 메신저와 차별화를 두고 있다.
이와 같이 메신저 프로그램은 고도 인터넷 사회의 커뮤니케이션 수단의 중심이 되어가고 있지만 메신저가 가지고 있는 보안상의 취약점은 사회적인 많은 문제를 일으키고 있다. 메신저 프로그램을 통해 바이러스 혹은 스파이웨어와 같은 악성 프로그램(malware)을 전송하여 메신저 사용자가 파일을 수신하게 되면 악성 프로그램이 활동을 개시하게 되며, 대표적인 악성 프로그램의 활동으로는 자신의 정보 재복제를 통해 메신저 프로그램 리스트에 등록되어있는 다른 사용자에게 자신의 정보를 재전송하고, 또한 사용자 컴퓨터에 수록된 각종 정보들을 메신저 프로그램을 이용하여 자신이 지정한 계정으로 전송하도록 하여 정보를 절취하는 행동을 한다.
한국트렌드마이크로는 2005년 2월 3일 '브로피아' 악성 프로그램이 발생한 이후 7일 '캘비르'와 '캘비르 변종', 8일 '팻소' 등이 발생해 메신저를 통해 급속히 확산되고 있다고 밝혔다. 2005년 2월 8일 발견된 '팻소'는 MSN 메신저와 함께 P2P(Peer to Peer)를 이용해 전파되고, 이 악성 프로그램은 'Annoying crazy frog getting killed.pif' 'Jennifer Lopez.scr' 등의 선정적인 파일 이름을 전송해 사용자들의 호기심을 자극하고 있다.
일반적으로 메신저를 통해 악성 프로그램에 감염되면 자신에게 등록된 MSN 메신저 대화 상대자에게 자동으로 악성 프로그램이 전송되며 스파이웨어를 통해 PC 정보를 유출하는 특징이 있다. 최근 발생하고 있는 MSN 메신저 바이러스들의 특징은 아는 사람으로부터 파일이 전송되며 그 파일의 이름이 선정적이므로 호기심을 느낀 사용자들이 이 파일을 클릭하기 때문에 피해가 확산되고 있다.
이상과 같은 문제점을 가지고 있는 메신저 프로그램의 보안을 강화하는 방법 들이 안출되었지만, 그 방법들 역시 파일이 다운로드된 다음에 악성 프로그램 검출을 위한 검사를 실행하는 것이라서 메신저 프로그램처럼 실시간에 메시지가 교환되고, 파일이 전송되는 시스템에는 적용되기 곤란하다. 따라서 많은 메신저 사용자를 보유하고 있는 기업들은 메신저 프로그램이 보안에 취약하다는 이유로 메신저 자체를 회사 정책으로 사용 금지시키거나 혹은 네트워크 상에서 메신저 간의 통신을 차단하고 있는 실정이다.
또한 침입차단시스템(IPS)과 같은 장비를 이용하여 구내망으로 유입되는 데이터 패킷을 검사하는 방법이 시행되고 있으나, 메신저 프로그램에서는 자체 파일 전송 프로토콜을 이용하여 파일을 전송하기 때문에 파일의 데이터와 프로토콜의 데이터가 섞여있는 패킷 상태에서는 적절한 악성 프로그램 검사를 시행할 수 없다는 문제점이 있었다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, 구내망을 통해 클라이언트 상호간에 통신을 하는 경우, 구내망을 구성하는 스위치 장비에 메신저 감시 서버를 연결하여 설치하고, 모뎀을 사용하여 광대역 통신망을 통해 네트워크에 직접 접속되어 있는 경우, 메신저 감시 서버를 클라이언트 컴퓨터 내부에서 실행되는 프로그램 형태로 존재하게 함으로써, 구내망에 연결된 메신저 프로그램 및 외부에 연결된 메신저 프로그램에서 전송하는 파일을 감시할 수 있는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법을 제공하는데 그 목적이 있다.
본 발명의 또 다른 목적은 메신저를 통해 수신되는 패킷을 분석하여 파일을 전송하는 경우, 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하면서 악성 프로그램 검사를 수행함으로써, 파일의 전송이 완료되기 전에 악성 프로그램임을 인지할 수 있는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법을 제공하는데 그 목적이 있다.
본 발명의 또 다른 목적은 파일의 전송이 완료되기 전에 악성 프로그램의 수신을 차단함으로써, 메신저를 통해 전파되는 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단할 수 있고, 메신저를 통해 급속히 전파되는 바이러스, 윔, 스파이웨어 등의 악성 프로그램 전파를 원천적으로 차단할 수 있는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법을 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 실시예에 따른 클라이언트 컴퓨터가 구내망을 통해 인터넷에 연결된 경우의 메신저를 통해 전파되는 악성 프로그램의 차단 시스템은 메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 구내망에 접속되어 상기 구내망을 통해 스위치에 연결되는 클라이언트 컴퓨터와; 상기 클라이언트 컴퓨터와 구내망을 통해 연결되고, 라우터에 접속되며, 구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 데이터를 수신하여 상기 구내망에 접속된 클라이언트 컴퓨터로 전송하며, 메신저 감시 서버가 연결되어 설치되는 스위치와; 상기 스위치를 통해 구내망에 접속하여 상기 구내망간에 데이터를 주고받을 수 있게 하고, 상기 데이터 에 포함되어 있는 프로토콜을 해석하여 최적의 경로를 선택하고, 상기 경로를 통해 데이터를 송출하는 라우터와; 상기 스위치에 연결되어 설치되고, 구내망 내에 접속된 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터의 메신저 프로그램으로부터 상기 스위치로 전송되는 패킷을 감시하고, 상기 패킷의 프로토콜을 분석하여 상기 패킷의 내용이 파일을 전송하는 경우, 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하고, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하며, 상기 파일 재구성 버퍼에 저장된 데이터 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 메신저 감시 서버와; 상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버;로 구성됨을 특징으로 한다.
본 발명의 또 다른 실시예에 따른 클라이언트 컴퓨터에 모뎀을 연결하여 광대역 통신망을 통해 인터넷에 연결된 경우의 메신저를 통해 전파되는 악성 프로그 램의 차단 시스템은 메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 모뎀에 연결되어 있는 클라이언트 컴퓨터와; 상기 클라이언트 컴퓨터를 광대역 통신망에 연결시키는 모뎀과; 상기 클라이언트 컴퓨터 내부에서 실행되고, 네트워크 인터페이스 카드(NIC)와 상기 클라이언트 컴퓨터 사이의 통신을 감시하고, 메신저 프로그램을 통해 패킷이 수신될 경우 상기 패킷을 복사하여 분석하고, 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하며, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하고, 상기 파일 재구성 버퍼에 저장된 데이터의 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 클라이언트 컴퓨터 내부의 메신저 감시 프로그램부와; 상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버;로 구성됨을 특징으로 한다.
상기한 본 발명의 목적을 달성하기 위한 메신저를 통해 전파되는 악성 프로 그램의 차단 방법은 구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 패킷을 스위치 또는 클라이언트 컴퓨터 내부의 네트워크 인터페이스 카드(NIC)에서 수신하는 단계와, 상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 상기 수신된 패킷을 읽는 단계와, 상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷인지 여부를 확인하는 단계와, 상기 패킷이 메신저 패킷이면서 파일 전송 패킷일 경우 패킷을 메모리로 복사하는 단계와, 상기 패킷을 분석하여 프로토콜 정보를 제외한 순수 데이터를 추출하는 단계와, 상기 순수 데이터를 파일 재구성 버퍼 뒷부분에 추가하는 단계와, 악성 프로그램 특성값 데이터베이스의 특성값 정보를 이용하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하는 단계와, 상기 악성 프로그램 검사 결과를 통해 악성 프로그램의 검출여부를 확인하는 단계와, 상기 악성 프로그램의 검출여부를 확인한 결과가 악성 프로그램이 검출된 경우에 상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 송신 측으로부터의 파일 전송을 차단하는 단계와, 상기 파일 재구성 버퍼를 비우고, 패킷 수신을 기다리는 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 포함함을 특징으로 한다.
또한 상기 본 발명에 있어서, 상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷인지 여부를 확인한 결과가 메신저 패킷이 아니거나 또는 메신저 패킷이긴 하나 파일 전송 패킷이 아닐 경우에 패킷 수신을 기다리는 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 더 포함함을 특징으로 한다.
또한 상기 본 발명에 있어서, 상기 악성 프로그램의 검출여부 확인 결과가 악성 프로그램이 검출되지 않은 경우에 상기 패킷이 파일의 마지막 패킷인지 여부를 확인하여, 상기 확인 결과 마지막 패킷일 경우에는 파일 재구성 버퍼를 비우고 패킷 수신 단계로 되돌아가 다른 패킷의 도착을 기다리고, 마지막 패킷이 아닐 경우 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 더 포함함을 특징으로 한다.
이하, 본 발명의 바람직한 실시예에 따른 메신저를 통해 전파되는 악성 프로그램의 차단 시스템을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 일반적인 메신저 시스템의 네트워크 구성도이다.
도 1에 도시한 바와 같이, 일반적인 메신저 시스템의 송·수신은 인터넷(200)에 연결된 구내망(100)에 접속된 클라이언트(101, 102)와 인터넷에 연결된 다른 클라이언트(103, 104, 320) 사이 또는 같은 구내망(100, 100-1)에 접속된 클라이언트(101 및 102, 103 및 104) 간에 메신저 연결이 이루어 질 수 있다.
두 대의 클라이언트 컴퓨터 사이에 연결이 이루어지기 위해서는 메신저 서비스를 운영하는 메신저 운영 서버(400)의 메신저 서버(401, 402)에 어느 한쪽의 클라이언트가 접속함으로써 시작된다. 최초 접속된 상기 클라이언트는 자신이 접속했다는 사실을 메신저 서버(401, 402)에 알리고, 상기 메신저 서버(401, 402)는 클라이언트 정보 데이터베이스(410)에 이미 저장되어 있는 상기 클라이언트의 정보로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내고, 상기 리스트에 등록되어 있는 클라이언트가 접속하는 것을 기다린다. 상기 리스트에 등록 되어있는 다른 클라이언트가 메신저 서버(401, 402)에 접속하면 이미 접속해 있던 상기 클라이언트에게 상기 리스트에 등록되어있는 다른 클라이언트가 접속되었음을 알린다. 둘 이상의 클라이언트가 서로 접속하기를 원하는 경우에는 메신저 서버를 경유하거나 클라이언트 간의 직접(P2P : Peer to Peer) 연결을 수행하고, 접속이 이루어지면 메신저 프로그램 창에 접속된 클라이언트들의 아이디(ID)가 나타나며, 상기 클라이언트가 메신저 프로그램의 메신저 창에 메시지를 입력하면 상기 각 메시지가 각각의 해당 클라이언트의 메신저 창에 표시된다.
상기 클라이언트 중의 한명이 메신저 기능 중의 하나인 파일전송 기능을 선택해서 전송을 원하는 파일을 지정하면 수신 측 메신저 창에는 파일의 이름이 보여짐과 동시에 파일 수신의 동의여부를 선택하는 메시지가 나타나게 되고, 이때, 수신 측 클라이언트가 상기 파일 수신에 동의하면 파일 송신 측 클라이언트 메신저 프로그램의 파일 전송 기능을 이용하여 수신 측 클라이언트 컴퓨터로 파일이 전송된다.
상기 파일 전송이 이루어지는 경로는 송신 측 클라이언트(101)에서 메신저 서비스 운영 서버(400)의 메신저 서버(401, 402)를 통해 수신 측 클라이언트(102, 103, 104 또는 320)로 전달되는 경우와 송신 측 클라이언트(101)에서 P2P 연결 방식으로 메신저 서버를 통하지 않고 수신 측 클라이언트(102, 103, 104 또는 320)로 전달되는 두 가지 경로가 있다. 이는 메신저 프로그램의 차이에 기인한 것으로, 실예로 마이크로소프트의 MSN 메신저는 상기 두 방식 모두를 지원하는 반면 SK커뮤니에이션의 네이트온(NateOn) 메신저의 경우에는 메신저 서버를 경유하지 않고 클라이언트와 클라이언트를 직접 연결하는 P2P 연결 방식을 채택하고 있다.
도 2는 본 발명의 일실시예에 따른 메신저 감시 서버에 의해 메신저 프로그램에서 전송하는 파일을 감시하기 위한 메신저 시스템의 네트워크 구성도이다.
도 2에 도시한 바와 같이, 클라이언트 컴퓨터가 구내망을 통해 인터넷에 연결된 경우, 본 발명의 일실시예에 따른 메신저를 통해 전파되는 악성 프로그램의 차단 시스템(1)은 클라이언트 컴퓨터(101, 102)와, 스위치(110)와, 메신저 감시 서버(130)와, 라우터(120)와, 메신저 서비스 운영 서버(400) 등을 포함한다. 상기 각 기술적 수단들의 기능을 설명하면 다음과 같다.
상기 클라이언트 컴퓨터(101, 102)는 구내망(100)에 접속되어 상기 구내망(100)을 통해 스위치에 연결되고, 메신저 프로그램을 통해 다른 클라이언트와 메시지와 파일을 송·수신한다.
상기 스위치(110)는 상기 클라이언트 컴퓨터(101, 102)와 구내망(100)을 통해 연결되고, 라우터에 접속되며, 스위치(110)에는 메신저 감시 서버가 연결되어 설치된다. 상기 스위치(110)는 구내망(100) 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터(미도시)로부터 전송되는 데이터를 수신하여 상기 구내망(100)에 접속된 클라이언트 컴퓨터(101, 102)로 전송하는 기능을 갖는다.
상기 라우터(120)는 상기 스위치(110)를 통해 구내망에 상호 접속하여 상기 구내망간에 데이터를 주고받을 수 있게 하고, 상기 데이터에 포함되어 있는 프로토콜을 해석하여 최적의 경로를 선택하고, 상기 최적의 경로를 통해 데이터를 송출하는 기능을 갖는다.
상기 메신저 감시 서버(130)는 상기 스위치(110)에 연결되어 설치되고, 구내 망(100) 내에 접속된 클라이언트 컴퓨터(101, 102) 및 라우터(120)를 통해 외부에 연결된 클라이언트 컴퓨터(미도시)의 메신저 프로그램으로부터 상기 스위치(110)에 전송되는 패킷을 감시하는 기능을 갖는다. 상기 메신저 감시 서버(130)는 상기 패킷의 프로토콜을 분석하여 상기 패킷의 내용이 파일을 전송하는 경우에는 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼(131)에 추가하고, 상기 파일 재구성 버퍼(131)의 데이터와 악성 프로그램 특성값 데이터베이스(132)에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼(131)를 대상으로 악성 프로그램 검사를 수행한다. 상기 악성 프로그램 검사 실행 결과 상기 파일 재구성 버퍼(131)의 데이터 특성값이 악성 프로그램의 특성값과 일치할 경우에는 상기 파일이 악성 프로그램임을 확정하고, 상기 파일 재구성 버퍼(131)를 비워 메신저 프로그램을 통해 전파되는 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 기능을 갖는다.
상기 메신저 서비스 운영 서버(400)는 클라이언트가 상기 클라이언트 컴퓨터(101, 102)의 메신저 프로그램을 통해 메신저 서버(401, 402)에 접속하면 클라이언트 정보 데이터베이스(410)로부터 접속한 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 접속한 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다린다. 또한 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 메신저 프로그램을 통해 접속하기를 원하는 경우에는 메신저 서버(401, 402)를 경유하거나 클라이언트 컴퓨터(101, 102) 간의 직접 연결(P2P 연결) 을 수행하여 클라이언트가 메신저 서비스를 사용할 수 있게 한다.
상기와 같이, 본 발명은 클라이언트 컴퓨터(101, 102)가 구내망(100)을 통해 인터넷(200)에 연결된 경우, 상기 구내망(100)을 구성하는 스위치(110)에 메신저 감시 서버(130)를 연결하여 설치함으로써, 구내망(100)에 연결된 클라이언트 컴퓨터(101, 102) 및 외부에 연결된 클라이언트 컴퓨터(미도시)의 메신저 프로그램으로부터 전송되는 파일을 감시할 수 있게 한다.
도 3은 본 발명의 다른 일실시예에 따른 광대역 통신망 이용시 메신저 감시 프로그램에 의해 악성 프로그램을 감시하기 위한 메신저 시스템의 네트워크 구성도이다.
도 3에 도시한 바와 같이, 클라이언트 컴퓨터에 모뎀을 연결하여 ADSL, 케이블 망 등의 광대역 통신망을 통해 인터넷에 연결된 경우, 본 발명의 다른 일실시예에 따른 메신저를 통해 전파되는 악성 프로그램의 차단 시스템(1)은 클라이언트 컴퓨터(320, 320-1)와, 메신저 감시 프로그램부(322)와, 모뎀(310)과, 메신저 서비스 운영 서버(400)를 포함한다. 상기 각 기술적 수단들의 기능을 설명하면 다음과 같다.
상기 클라이언트 컴퓨터(320, 320-1)는 메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 모뎀(310)에 연결되어 모뎀을 통해 광대역 통신망(300)에 접속된다.
상기 모뎀(310)은 상기 클라이언트 컴퓨터(320, 320-1)를 광대역 통신망(300)에 연결시켜 주는 기능을 갖는다.
상기 메신저 감시 프로그램부(322)는 상기 클라이언트 컴퓨터(320, 320-1) 내부에서 항시 실행되고, 네트워크 인터페이스 카드(NIC, 321)와 상기 클라이언트 컴퓨터(320, 320-1)의 중앙처리장치(CPU, 323) 사이의 통신을 감시하고, 상기 클라이언트 컴퓨터(320, 320-1)의 메신저 프로그램을 통해 패킷이 수신될 경우 상기 패킷을 복사한 후, 상기 패킷의 프로토콜을 분석하여 상기 패킷의 내용이 파일을 전송하는 경우에는 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼(322-1)에 추가하고, 상기 파일 재구성 버퍼(322-1)의 데이터와 악성 프로그램 특성값 데이터베이스(322-2)에 저장되어 있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼(322-1)을 대상으로 악성 프로그램 검사를 수행한다.
상기 메신저 서비스 운영 서버(400)는 클라이언트가 상기 클라이언트 컴퓨터(320, 320-1)의 메신저 프로그램을 통해 메신저 서버(401, 402)에 접속하여 메신저 서비스를 사용할 수 있게 한다.
상기와 같이, 본 발명은 가정용 PC와 같이 구내망을 통하지 않고, 개별 클라이언트 컴퓨터(320, 320-1)가 모뎀을 이용하여 KT 및 하나로통신에서 제공하는 ADSL, 두루넷에서 제공하는 케이블 망을 포함하는 광대역 통신망(300)을 통해 네트워크에 직접 접속되어 있는 경우, 메신저 감시 서버는 물리적인 형태를 갖추지 않고 클라이언트 컴퓨터(320, 320-1) 내부에 항시 실행되는 프로그램 형태로 존재한다. 따라서 이러한 경우에는 메신저 감시 서버를 메신저 감시 프로그램이라 명명할 수 있다.
상기와 같이, 클라이언트 메신저 프로그램을 통해 서로 연결되어 있는 경우, 송신 측 클라이언트가 파일을 전송을 수신 측 클라이언트에게 요청하고, 상기 수신 측 클라이언트가 파일 수신에 동의하면 상기 두 클라이언트 사이에 파일이 전송되기 시작한다. 파일 전송이 시작되면 송신 측의 메신저 프로그램은 파일을 저장장치로부터 읽어 들여 2,045바이트의 조각으로 나누고, 이 조각의 앞에 메신저 프로그램끼리 이해할 수 있는 프로토콜(protocol) 정보 3 바이트를 덧붙여 패킷을 생성하여 수신 측으로 전송한다. 상기 프로토콜 정보 3 바이트 중 첫째 바이트에는 상기 패킷이 파일의 마지막 패킷이면 1, 전송 중이 패킷이면 0을 기입하고, 두 번째, 세 번째 바이트에는 실제 데이터의 길이를 기입한다. 예를 들어 첫 번째 패킷의 순수 데이터의 길이가 2,045바이트라면 패킷의 최초 3 바이트는 "0, 253, 7"이 된다. 여기에서 "0"은 마지막 패킷이 아님을 알려주는 플래그이고, 두 번째와 세 번째 바이트는 253 + 7 × 256 = 2045로 계산되어 실제 데이터의 길이를 알려준다.
도 4는 본 발명의 일실시예에 따른 메신저를 통해 전파되는 악성 프로그램을 차단하기 위한 흐름도이다.
도 4에 도시한 바와 같이, 메신저를 통해 전파되는 악성 프로그램을 차단하는 방법은 먼저 단계 S10에서 구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 패킷을 스위치 또는 클라이언트 컴퓨터 내부의 네트워크 인터페이스 카드(NIC)에서 수신하고, 단계 S20에서 상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 상기 수신된 패킷을 읽는다. 이어서 단계 S30에서 상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷인지 여부를 확인하여, 상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷일 경우에는 단계 S40에 서 패킷을 메모리로 복사하고, 그렇지 않고 상기 패킷이 메신저 패킷이 아니거나 또는 메신저 패킷이긴 하나 파일 전송 패킷이 아닐 경우에는 패킷 수신을 기다리는 패킷 수신 단계인 S10단계로 되돌아가 다음 패킷의 도착을 기다린다. 단계 S40에 이어 단계 S50에서는 상기 패킷을 분석하여 프로토콜 정보를 제외한 순수 데이터를 추출하고, S60단계에서는 상기 순수 데이터를 파일 재구성 버퍼 뒷부분에 추가한다. 이어서 단계 S70에서는 악성 프로그램 특성값 데이터베이스의 특성값 정보를 이용하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하고, S80단계에서 상기 악성 프로그램 검사 결과를 통해 악성 프로그램의 검출여부를 확인하여 악성 프로그램이 검출된 경우에는 S90단계에서 상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 수신 측의 메신저 프로그램을 대신하여 송신 측으로부터의 파일 전송을 차단하고, 단계 S100에서 상기 파일 재구성 버퍼를 비우고, 패킷 수신을 기다리는 패킷 수신 단계인 S10단계로 되돌아가 다음 패킷의 도착을 기다린다. 상기 S80단계에서 악성 프로그램이 검출되지 않은 경우에는 S81단계에서 상기 패킷이 파일의 마지막 패킷인지 여부를 확인하고, 상기 확인 결과 마지막 패킷일 경우에는 상기 파일은 악성 프로그램에 감염되지 않았다는 것이 확인되었으므로 S100단계에서 파일 재구성 버퍼를 비우고, 패킷 수신 단계인 S10단계로 되돌아가 다른 패킷의 도착을 기다리고, 마지막 패킷이 아닐 경우에는 패킷 수신 단계인 S10단계로 되돌아가 다음 패킷의 도착을 기다리게 된다.
상기와 같이, 본 발명은 메신저를 통해 유입되는 악성 프로그램을 파일 전송 도중에 검출하여 차단하기 위해 패킷 단위로 순차적으로 수신되는 파일의 조각 들을 파일 재구성 버퍼에 축적하면서 파일의 전송이 완료되기 전에 패킷이 도착하기만 하면 즉시 악성 프로그램 검사 단계를 실행한다. 파일 전송 패킷을 수신하는 중에 악성 프로그램 검사 단계에서 악성 프로그램이 검출되면 악성 프로그램 감시 서버 혹은 메신저 감시 프로그램부는 수신 측 메신저 프로그램을 대신해서 송신 측 메신저 프로그램에게 BYE 혹은 CCL 명령어가 담긴 패킷을 발송하여 수신 측에서 파일 전송을 취소하였다는 사실을 알림으로써, 송신 측의 파일 전송을 차단할 수 있게 되는 것이다.
이상에서 설명한 바와 같이, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것은 아니다.
상술한 바와 같이, 본 발명에 따른 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및 그 방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 구내망을 통해 클라이언트 상호간에 통신을 하는 경우, 구내망을 구성하는 스위치 장비에 메신저 감시 서버를 연결하여 설치하고, 모뎀을 사용하여 광대역 통신망을 통해 네트워크에 직접 접속되어 있는 경우, 메신저 감시 서버를 클라이언트 컴퓨터 내부에서 실행되는 프로그램 형태로 존재하게 함으로써, 구내망에 연결된 메신저 프로그램 및 외부에 연결된 메신저 프로그램에서 전송하는 파일을 감시할 수 있다.
둘째, 본 발명은 메신저를 통해 수신되는 패킷을 분석하여 파일을 전송하는 경우, 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하면서 악성 프로그램 검사를 수행함으로써, 파일의 전송이 완료되기 전에 악성 프로그램임을 인지할 수 있다.
셋째, 본 발명은 파일의 전송이 완료되기 전에 악성 프로그램의 수신을 차단함으로써, 메신저를 통해 전파되는 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단할 수 있고, 메신저를 통해 급속히 전파되는 바이러스, 윔, 스파이웨어 등의 악성 프로그램 전파를 원천적으로 차단할 수 있다.

Claims (5)

  1. 클라이언트 컴퓨터가 구내망을 통해 인터넷에 연결된 경우의 악성 프로그램을 차단하는 메신저 시스템에 있어서,
    메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 구내망에 접속되어 상기 구내망을 통해 스위치에 연결되는 클라이언트 컴퓨터와;
    상기 클라이언트 컴퓨터와 구내망을 통해 연결되고, 라우터에 접속되며, 구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 데이터를 수신하여 상기 구내망에 접속된 클라이언트 컴퓨터로 전송하며, 메신저 감시 서버가 연결되어 설치되는 스위치와;
    상기 스위치를 통해 구내망에 접속하여 상기 구내망간에 데이터를 주고받을 수 있게 하고, 상기 데이터에 포함되어 있는 프로토콜을 해석하여 최적의 경로를 선택하고, 상기 경로를 통해 데이터를 송출하는 라우터와;
    상기 스위치에 연결되어 설치되고, 구내망 내에 접속된 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터의 메신저 프로그램으로부터 상기 스위치로 전송되는 패킷을 감시하고, 상기 패킷의 프로토콜을 분석하여 상기 패킷의 내용이 파일을 전송하는 경우 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하고, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하고, 상기 파일 재구성 버퍼에 저장된 데이터 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 메신저 감시 서버와;
    상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버를 포함함을 특징으로 하는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템.
  2. 클라이언트 컴퓨터에 모뎀을 연결하여 광대역 통신망을 통해 인터넷에 연결된 경우의 악성 프로그램을 차단하는 메신저 시스템에 있어서,
    메신저 프로그램을 통해 다른 클라이언트와 메시지 및 파일을 송·수신하고, 모뎀에 연결되어 있는 클라이언트 컴퓨터와;
    상기 클라이언트 컴퓨터를 광대역 통신망에 연결시키는 모뎀과;
    상기 클라이언트 컴퓨터 내부에서 실행되고, 네트워크 인터페이스 카드(NIC)와 상기 클라이언트 컴퓨터 사이의 통신을 감시하고, 메신저 프로그램을 통해 패킷이 수신될 경우 상기 패킷을 복사하여 분석하고, 상기 패킷으로부터 순수 데이터를 추출하여 파일 재구성 버퍼에 추가하며, 상기 파일 재구성 버퍼의 데이터와 악성 프로그램 특성값 데이터베이스에 저장되어있는 특성값 정보를 비교하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하고, 상기 파일 재구성 버퍼에 저장된 데이터의 특성값이 악성 프로그램의 특성값과 일치할 경우 상기 파일 재구성 버퍼를 비워 악성 프로그램 파일의 실행과 저장 장치로의 저장을 차단하는 클라이언트 컴퓨터 내부의 메신저 감시 프로그램부와;
    상기 클라이언트 컴퓨터의 메신저 프로그램을 통해 클라이언트가 메신저 서버에 접속하면 클라이언트 정보 데이터베이스로부터 상기 클라이언트와 메신저 연결을 하기로 등록되어 있는 다른 클라이언트들의 리스트를 읽어내어 상기 리스트에 등록된 다른 클라이언트들의 접속 여부를 상기 클라이언트에게 알려주고, 접속하지 않은 다른 클라이언트들의 접속을 기다리며, 상기 메신저 프로그램을 통해 둘 이상의 클라이언트가 접속하기를 원하는 경우 메신저 서버를 경유하거나 클라이언트 컴퓨터 간의 직접 연결(P2P 연결)을 수행하여 클라이언트들에게 메신저 서비스를 제공하는 메신저 서비스 운영 서버를 포함함을 특징으로 하는 메신저를 통해 전파되는 악성 프로그램의 차단 시스템.
  3. 메신저를 통해 전파되는 악성 프로그램의 차단 방법에 있어서,
    구내망 내의 다른 클라이언트 컴퓨터 및 외부에 연결된 클라이언트 컴퓨터로부터 전송되는 패킷을 스위치 또는 클라이언트 컴퓨터 내부의 네트워크 인터페이스 카드(NIC)에서 수신하는 단계와,
    상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 상기 수신된 패킷을 읽는 단계와,
    상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷인지 여부를 확인하는 단계와,
    상기 패킷이 메신저 패킷이면서 파일 전송 패킷일 경우 패킷을 메모리로 복사하는 단계와,
    상기 패킷을 분석하여 프로토콜 정보를 제외한 순수 데이터를 추출하는 단계와,
    상기 순수 데이터를 파일 재구성 버퍼 뒷부분에 추가하는 단계와,
    악성 프로그램 특성값 데이터베이스의 특성값 정보를 이용하여 상기 파일 재구성 버퍼를 대상으로 악성 프로그램 검사를 수행하는 단계와,
    상기 악성 프로그램 검사 결과를 통해 악성 프로그램의 검출여부를 확인하는 단계와,
    상기 악성 프로그램의 검출여부를 확인한 결과가 악성 프로그램이 검출된 경우에 상기 메신저 감시 서버 또는 메신저 감시 프로그램부에서 송신 측으로부터의 파일 전송을 차단하는 단계와,
    상기 파일 재구성 버퍼를 비우고, 패킷 수신을 기다리는 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 포함함을 특징으로 하는 메신저를 통해 전파되는 악성 프로그램의 차단 방법.
  4. 제 3항에 있어서,
    상기 패킷이 메신저 패킷이면서 동시에 파일 전송 패킷인지 여부를 확인한 결과가 메신저 패킷이 아니거나 또는 메신저 패킷이긴 하나 파일 전송 패킷이 아닐 경우에 패킷 수신을 기다리는 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 더 포함함을 특징으로 하는 메신저를 통해 전파되는 악성 프로그램의 차단 방법.
  5. 제 3항에 있어서,
    상기 악성 프로그램의 검출여부 확인 결과가 악성 프로그램이 검출되지 않은 경우에 상기 패킷이 파일의 마지막 패킷인지 여부를 확인하여, 상기 확인 결과 마지막 패킷일 경우에는 파일 재구성 버퍼를 비우고 패킷 수신 단계로 되돌아가 다른 패킷의 도착을 기다리고, 마지막 패킷이 아닐 경우 패킷 수신 단계로 되돌아가 다음 패킷의 도착을 기다리는 단계를 더 포함함을 특징으로 하는 메신저를 통해 전파되는 악성 프로그램의 차단 방법.
KR1020050051252A 2005-06-15 2005-06-15 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법 KR100633311B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050051252A KR100633311B1 (ko) 2005-06-15 2005-06-15 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050051252A KR100633311B1 (ko) 2005-06-15 2005-06-15 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법

Publications (1)

Publication Number Publication Date
KR100633311B1 true KR100633311B1 (ko) 2006-10-12

Family

ID=37626079

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050051252A KR100633311B1 (ko) 2005-06-15 2005-06-15 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법

Country Status (1)

Country Link
KR (1) KR100633311B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101033510B1 (ko) * 2008-11-17 2011-05-09 (주)소만사 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101033510B1 (ko) * 2008-11-17 2011-05-09 (주)소만사 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템

Similar Documents

Publication Publication Date Title
JP5917573B2 (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
JP4104658B2 (ja) 電子メールウイルスの検出および除去のための装置および方法
US8069213B2 (en) Method of controlling access to network resources using information in electronic mail messages
US7802304B2 (en) Method and system of providing an integrated reputation service
RU2498520C2 (ru) Способ обеспечения одноранговой связи на веб-странице
US8775521B2 (en) Method and apparatus for detecting zombie-generated spam
US20050165785A1 (en) Social network surfing
US20100262646A1 (en) Obtaining instrumentation data
US20080140777A1 (en) Selective mirrored site accesses from a communication
US10574628B2 (en) Computer security system and method based on user-intended final destination
US7962749B2 (en) Method and system for creating a non-repudiable chat log
JP2010541425A (ja) eメールディレクトリ取得物攻撃のダイナミックな検出と緩和
US20080043971A1 (en) Transparent transfer of a two-way communication
US7426551B1 (en) System, method and computer program product for dynamic system adaptation using contracts
US20090210500A1 (en) System, computer program product and method of enabling internet service providers to synergistically identify and control spam e-mail
KR100633311B1 (ko) 메신저를 통해 전파되는 악성 프로그램의 차단 시스템 및그 방법
KR20060119993A (ko) 자전하는 이-메일 바이러스들의 완화
JP4014566B2 (ja) 電子メールウイルスの検出及び治療誘導システム並びに方法
CN111130993B (zh) 一种信息提取的方法及装置、可读存储介质
CN113938311A (zh) 一种邮件攻击溯源方法及系统
Kisembo et al. An algorithm for improvement of email security on android operating system in the era of industry 4.0.
KR101149995B1 (ko) 메시지로의 확장성 포인트의 액세스를 규제하기 위한시스템 및 방법
US11949707B1 (en) Isolating suspicious links in email messages
Douglas Circumvention of censorship of internet access and publication
JP2001318865A (ja) ウエブメールシステム、ウエブサーバ及びウエブメールアクセス方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131002

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141128

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151102

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161101

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee