KR100920922B1 - 바이러스 자동 차단 및 소멸 시스템 - Google Patents
바이러스 자동 차단 및 소멸 시스템 Download PDFInfo
- Publication number
- KR100920922B1 KR100920922B1 KR1020080089545A KR20080089545A KR100920922B1 KR 100920922 B1 KR100920922 B1 KR 100920922B1 KR 1020080089545 A KR1020080089545 A KR 1020080089545A KR 20080089545 A KR20080089545 A KR 20080089545A KR 100920922 B1 KR100920922 B1 KR 100920922B1
- Authority
- KR
- South Korea
- Prior art keywords
- worm virus
- policy
- worm
- virus
- Prior art date
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 387
- 229960005486 vaccine Drugs 0.000 claims abstract description 51
- 230000000903 blocking effect Effects 0.000 claims abstract description 39
- 238000003745 diagnosis Methods 0.000 claims abstract description 39
- 230000009385 viral infection Effects 0.000 claims abstract description 7
- 238000012545 processing Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 42
- 230000008569 process Effects 0.000 abstract description 22
- 230000008033 biological extinction Effects 0.000 abstract description 7
- 230000008439 repair process Effects 0.000 description 10
- 238000012790 confirmation Methods 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000013515 script Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 4
- 238000011282 treatment Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000452734 Eudoraea Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012012 milestone trend analyses Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G06Q50/60—
Abstract
본 발명은 바이러스 자동 차단 및 소멸 시스템에 관한 것으로서, 메일 발신 클라이언트로부터 발송되는 메일을 중계서버에서 제공하는 복호화 키를 통해 복호화되도록 암호화 하고, 상기 암호화된 메일에 웜 바이러스 차단 정책-메일에 웜 바이러스 발견에 따른 웜 바이러스 경고 정책, 또는 백신의 자동 전송 정책, 또는 웜 바이러스 자가 소멸 정책-와 상기 정책을 실행시키는 자동 실행 코드를 탑재시키는 메일 발송 플러그인과, 상기 메일 발신 클라이언트로부터 발송된 메일의 웜 바이러스 존재 유무를 확인하기 위한 메일 패턴 정보 데이터와 백신 제공자로부터 전송된 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보 데이터를 비교하여 상기 메일의 웜 바이러스 존재 여부를 확인하는 웜 바이러스 진단부와, 웜 바이러스 진단부를 통해 상기 메일에 웜 바이러스가 포함된 경우, 상기 메일 수신 클라이언트를 통해 상기 웜 바이러스 차단 정책을 집행하도록 처리하고, 상기 메일에 웜 바이러스가 포함되지 않은 경우, 상기 메일 수신 클라이언트에서 상기 메일에 접근시 상기 메일 수신 클라이언트로 상기 메일을 복호화하는 복호화 키를 제공하도록 처리하는 정책 집행부와, 상기 메일 수신 클라이언트에서 상기 메일에 접근시, 웜 바이러스 코드보다 상기 메일에 탑재된 자동 실행 코드를 우선 실행하여 상기 정책 집행부로부터 상기 메일에 대한 웜 바이러스 차단 정책 집행명령 또는 복호화 키를 수신한 후, 상기 웜 바이러스 차단 정책 집행명령이 수신되면, 상기 수신된 웜 바이러스 차단 정책 집행명령을 통해 상기 자동 실행 코드를 통해 메일에 대하여 상기 웜 바이러스 차단 정책을 집행시키고, 상기 복호화 키가 수신되면, 상기 수신된 복호화 키를 통해 상기 메일을 복호화하는 메일 수신 플러그인을 구비한다.
메일, 웜 바이러스, 백신
Description
도1은 메일 발송자로부터 외부로 발송된 모든 웜 바이러스를 자동 치료하고 소멸시키기 위한 웜 바이러스 차단 및 자동 소멸 시스템에 대한 간단한 블록도이다.
도2는 메일 수신자에게 발송된 메일에 대하여, 웜 바이러스 차단 정책을 집행하기 위한 메일 제어 센터의 간단한 블록도이다.
도3은 메일 발송 플러그인이 메일 정책과 웜 바이러스 차단 정책을 수립하는 과정에 대한 간단한 흐름도이다.
도4는 웜 바이러스 차단 정책을 수립하는 간단한 예시도이다.
도5는 주어진 웜 바이러스를 원천적으로 차단하는 과정에 대한 간단한 흐름도이다.
도6은 웜 바이러스가 확산되는 것을 원천적으로 차단하는 과정에 대한 간단한 흐름도이다.
도7은 메일 제어 센터가 작동하고 있는 네트워크 상의 모든 메일에서 신종 웜 바이러스가 확산되는 것을 원천적으로 차단하는 과정에 대한 간단한 흐름도이다.
<도면의 주요부분에 대한 설명>
100 : 메일 발송자 105 : 메일 발송 플러그인
110 : 메일 수신자 115 : 메일 수신 플러그인
120 : 메일 서버 125 : 메일 제어 센터
130 : 백신 제공자
본 발명은 메일 발신 클라이언트로부터 발송되는 메일을 중계서버에서 제공하는 복호화 키를 통해 복호화되도록 암호화 하고, 상기 암호화된 메일에 웜 바이러스 차단 정책-메일에 웜 바이러스 발견에 따른 웜 바이러스 경고 정책, 또는 백신의 자동 전송 정책, 또는 웜 바이러스 자가 소멸 정책-와 상기 정책을 실행시키는 자동 실행 코드를 탑재시키는 메일 발송 플러그인과, 상기 메일 발신 클라이언트로부터 발송된 메일의 웜 바이러스 존재 유무를 확인하기 위한 메일 패턴 정보 데이터와 백신 제공자로부터 전송된 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보 데이터를 비교하여 상기 메일의 웜 바이러스 존재 여부를 확인하는 웜 바이러스 진단부와, 웜 바이러스 진단부를 통해 상기 메일에 웜 바이러스가 포함된 경우, 상기 메일 수신 클라이언트를 통해 상기 웜 바이러스 차단 정책을 집행하도록 처리하고, 상기 메일에 웜 바이러스가 포함되지 않은 경우, 상기 메일 수신 클라이언트에서 상기 메일에 접근시 상기 메일 수신 클라이언트로 상기 메일 을 복호화하는 복호화 키를 제공하도록 처리하는 정책 집행부와, 상기 메일 수신 클라이언트에서 상기 메일에 접근시, 웜 바이러스 코드보다 상기 메일에 탑재된 자동 실행 코드를 우선 실행하여 상기 정책 집행부로부터 상기 메일에 대한 웜 바이러스 차단 정책 집행명령 또는 복호화 키를 수신한 후, 상기 웜 바이러스 차단 정책 집행명령이 수신되면, 상기 수신된 웜 바이러스 차단 정책 집행명령을 통해 상기 자동 실행 코드를 통해 메일에 대하여 상기 웜 바이러스 차단 정책을 집행시키고, 상기 복호화 키가 수신되면, 상기 수신된 복호화 키를 통해 상기 메일을 복호화하는 메일 수신 플러그인을 구비하는 바이러스 자동 차단 및 소멸 시스템에 관한 것이다.
웜은 단일 컴퓨팅 시스템 내에서 프로그램 사이를 이동하거나 네트워크를 통해 서로 다른 컴퓨터로 자동 전파되는 프로그램 조각으로서, 바이러스와 달리 특별한 감염 대상을 가지고 있지 않으며, 컴퓨터 시스템을 직접 파괴하거나, 오작동을 유발하는 코드를 포함하고 있지는 않다. 그러나, 웜이 전파되는 과정에서 컴퓨터 시스템 내부와 네트워크에 엄청남 부하를 걸 수 있기 때문에, 웜에 의해 시스템 또는 네트워크가 다운되는 원인을 제공하기 한다. 특히, 특별한 감염 대상을 가지고 있지 않은 상태에서, 감염자로부터 획득된 임의 정보를 바탕으로 확산되는 웜은, 일단 발송자로부터 외부로 방출된 후에는 기존의 어떤 방법으로도 통제나 제어가 거의 불가능하다는 특징을 가지고 있다.
컴퓨터 바이러스는 컴퓨터 내에 침투하여 자료를 손상시키거나 다른 프로그램들을 파괴하여 작동할 수 없도록 하는 악성 프로그램으로서, 감염 대상을 가지고 있다는 특징이 있으며, 현재 감염 대상을 감염시키고 다른 감염 대상을 찾아 전파되기 위해 자신을 스스로 복제한다는 특징이 있다.
웜 바이러스는 상기 설명한 웜과 컴퓨터 바이러스가 결합된 형태의 바이러스로서, 컴퓨터 바이러스가 웜을 통해 빠른 속도로 전파되는 특징을 가지고 있다. 실제로 외국에서 최초 보고된 웜 바이러스가 불과 몇 시간 안에 국내에 유입되고, 국내에 유입된 지 하루도 되지 않아 수만 명이 감염될 정도로, 웜 바이러스의 전파 속도는 빠르고 파괴적이다. 최근 웜 바이러스에는 기본적인 웜과 컴퓨터 바이러스 이외에, 백도어(Back Door)와 같은 해킹 도구나 트로이안(Trojan)과 같은 스파이웨어 기능이 추가되고 있으며, 그 기능과 파괴력, 그리고 전파 속도는 더욱더 빠르고 강력해지고 있으며, 현금으로 표현되는 웜 바이러스 피해 액수는 상상을 초월할 정도로 커지고 있다.
따라서, 상기와 같은 엄청난 파괴력을 가지고 있는 웜 바이러스를 퇴치하고자 하는 수많은 시도들이 있었으며, 그 대표적인 방법들은 다음과 같다.
웜 바이러스를 퇴치하려는 첫 번째 방법은, 기존 백신 프로그램을 통해 웜 바이러스에 감염된 컴퓨터 시스템을 진단하고 치료하는 것이다. 백신 프로그램은 컴퓨터 바이러스를 찾아내고 손상된 파일을 치료하는 소프트웨어로서, 특정 파일에 대한 기록이나 변경을 감시하거나 주기적 덧붙임 검사(Cyclic Redundancy Check; CRC) 등을 통해 바이러스 감염 여부를 검사한 후에 침범한 바이러스를 제거한다.
그러나, 백신 프로그램은 웜 바이러스에 감염된 백신 프로그램의 사용자(End User)의 컴퓨터에서 웜 바이러스를 진단하고, 치료하는 기능만이 있을 뿐, 웜 바이러스의 확산을 방지하거나, 퇴치하는 기능은 없다. 결국, 네트워크에 연결되어 있는 모든 컴퓨터들이 해당 웜 바이러스를 치료할 수 있는 백신프로그램을 반드시 한번 이상 구동하여 바이러스를 진단하고, 치료하지 않는 이상, 컴퓨터와 네트워크 상에서 웜 바이러스를 영원히 소멸시키는 것은 불가능하다.
웜 바이러스를 퇴치하려는 두 번째 방법은, 바이러스 경보 시스템을 통해 새로운 신종 웜 바이러스가 발견된 경우, 해당 웜 바이러스에 대한 경보를 발령함으로서, 백신 제공자로부터 상기 웜 바이러스를 치료할 수 있는 백신이 개발되기 전까지 네트워크에 연결된 컴퓨터 사용자는 상기 바이러스에 감염되지 않도록 스스로 주의하도록 하는 것이다. 물론, 백신 제공자로부터 상기 웜 바이러스에 대한 백신이 개발되면, 모든 컴퓨터 사용자는 백신 프로그램을 제공 받아 자신의 컴퓨터에서 웜 바이러스를 진단하고 치료할 수 있다.
그러나, 웜 바이러스 감염되기 전에 해당 웜 바이러스에 대한 정보를 얻지 못한 컴퓨터 사용자와, 웜 바이러스에 대한 정보를 얻었어도 해당 웜 바이러스에 대한 대책을 스스로 마련할 수 없는 컴퓨터 사용자에게 상기 바이러스 경보 시스템은 무용지물이나 다름없다.
웜 바이러스를 퇴치 하여는 세 번째 방법은, 메일 서버나 ISP(Internet Service Provider), 또는 메일 클라이언트 프로그램에 웜 바이러스 차단 필터를 설치함으로서, 알려진 웜 바이러스와 웜 바이러스로 의심이 가는 자료 등을 차단하는 것이다. 이것은 메일 서버 관리자(Delegated Administrator for Mail Server)를 통해 알려진 웜 바이러스를 차단할 수 있는 적절한 조치를 취하게 함은 물론, 메일 클라이언트 프로그램에 알려진 웜 바이러스와 웜 바이러스로서 의심이 가는 자료를 자동으로 차단하도록 하는 것이기 때문에, 컴퓨터 사용자가 웜 바이러스에 대한 특별한 전문 지식이 없어도 웜 바이러스를 차단할 수 있다는 특징이 있다.
그러나, 상기 바이러스 차단 필터를 이용한 웜 바이러스 퇴치 방법은 이미 알려진 웜 바이러스에 대해서만 유용하며, 웜 바이러스로 의심이 가는 자료까지 차단하는 경우, 웜 바이러스가 아닌 유용한 자료까지 차단할 수 있다는 단점을 내포하고 있다.
웜 바이러스를 퇴치하려는 네 번째 방법은, 메일 서버 또는 메일 중계 서버에서 전송되는 메일에 대한 바이러스 감염 여부를 확인한 후, 바이러스에 감염되지 않은 파일과 바이러스 치료가 완료된 파일을 메일 클라이언트에게 전달하도록 하는 것이다. 물론, 상기와 같은 방법은 메일이 메일 서버 또는 메일 중계 서버를 경유하여 메일 클라이언트에 도달하기 때문에, 메일 서버 또는 메일 중계 서버에 과부하가 걸릴 위험이 있으며, 이와 같은 문제점을 해결하기 위해 분산 네트워킹, 분산 데이터 처리(Distributed Data Processing; DDP), 그리고 분산 트랜잭션 처리(Distributed Transaction Processing; DTP) 방법 등을 동원하기도 한다.
그러나, 상기 바이러스 차단 방법 역시 알려진 웜 바이러스에 대해서만 유용하며, 분산 처리 과정에서 메일이 적절한 시간 안에 수신자에게 도달하지 못하거나 사라지는 경우가 발생할 수도 있으며, 설령 그것이 메일 서버 또는 메일 중계 서버라고 할지라도, 발송자의 메일에 대하여 수신자 이외에 제3자가 접근할 수 있는 가능성을 배제하지 못한 것은, 정보 보안과 사용자의 프라이버시(Privacy)에 심각한 문제를 초래할 수 있다.
상기와 같은 문제점들을 보완하기 위한 본 발명의 목적은 메일 발신 클라이언트로부터 발송되는 메일을 중계서버에서 제공하는 복호화 키를 통해 복호화되도록 암호화 하고, 상기 암호화된 메일에 웜 바이러스 차단 정책-메일에 웜 바이러스 발견에 따른 웜 바이러스 경고 정책, 또는 백신의 자동 전송 정책, 또는 웜 바이러스 자가 소멸 정책-와 상기 정책을 실행시키는 자동 실행 코드를 탑재시키는 메일 발송 플러그인과, 상기 메일 발신 클라이언트로부터 발송된 메일의 웜 바이러스 존재 유무를 확인하기 위한 메일 패턴 정보 데이터와 백신 제공자로부터 전송된 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보 데이터를 비교하여 상기 메일의 웜 바이러스 존재 여부를 확인하는 웜 바이러스 진단부와, 웜 바이러스 진단부를 통해 상기 메일에 웜 바이러스가 포함된 경우, 상기 메일 수신 클라이언트를 통해 상기 웜 바이러스 차단 정책을 집행하도록 처리하고, 상기 메일에 웜 바이러스가 포함되지 않은 경우, 상기 메일 수신 클라이언트에서 상기 메일에 접근시 상기 메일 수신 클라이언트로 상기 메일을 복호화하는 복호화 키를 제공하도록 처리하는 정책 집행부와, 상기 메일 수신 클라이언트에서 상기 메일에 접근시, 웜 바이러스 코드보다 상기 메일에 탑재된 자동 실행 코드를 우선 실행하여 상기 정책 집행부로부터 상기 메일에 대한 웜 바이러스 차단 정책 집행명령 또는 복호화 키를 수신한 후, 상기 웜 바이러스 차단 정책 집행명령이 수신되면, 상기 수신된 웜 바이러스 차단 정책 집행명령을 통해 상기 자동 실행 코드를 통해 메일에 대하여 상기 웜 바이러스 차단 정책을 집행시키고, 상기 복호화 키가 수신되면, 상기 수신된 복호화 키를 통해 상기 메일을 복호화하는 메일 수신 플러그인을 구비하는 바이러스 자동 차단 및 소멸 시스템을 제공함에 있다.
본 발명에 따른 바이러스 자동 차단 및 소멸 시스템은, 메일 발신 클라이언트로부터 발송되는 메일을 중계서버에서 제공하는 복호화 키를 통해 복호화되도록 암호화 하고, 상기 암호화된 메일에 웜 바이러스 차단 정책-메일에 웜 바이러스 발견에 따른 웜 바이러스 경고 정책, 또는 백신의 자동 전송 정책, 또는 웜 바이러스 자가 소멸 정책-와 상기 정책을 실행시키는 자동 실행 코드를 탑재시키는 메일 발송 플러그인과, 상기 메일 발신 클라이언트로부터 발송된 메일의 웜 바이러스 존재 유무를 확인하기 위한 메일 패턴 정보 데이터와 백신 제공자로부터 전송된 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보 데이터를 비교하여 상기 메일의 웜 바이러스 존재 여부를 확인하는 웜 바이러스 진단부와, 웜 바이러스 진단부를 통해 상기 메일에 웜 바이러스가 포함된 경우, 상기 메일 수신 클라이언트를 통해 상기 웜 바이러스 차단 정책을 집행하도록 처리하고, 상기 메일에 웜 바이러스가 포함되지 않은 경우, 상기 메일 수신 클라이언트에서 상기 메일에 접근시 상기 메일 수신 클라이언트로 상기 메일을 복호화하는 복호화 키를 제공하도록 처리하는 정책 집행부와, 상기 메일 수신 클라이언트에서 상기 메일에 접근시, 웜 바이러스 코드보다 상기 메일에 탑재된 자동 실행 코드를 우선 실행하여 상기 정책 집행부로부터 상기 메일에 대한 웜 바이러스 차단 정책 집행명령 또는 복호화 키를 수신한 후, 상기 웜 바이러스 차단 정책 집행명령이 수신되면, 상기 수신된 웜 바이러스 차단 정책 집행명령을 통해 상기 자동 실행 코드를 통해 메일에 대하여 상기 웜 바이러스 차단 정책을 집행시키고, 상기 복호화 키가 수신되면, 상기 수신된 복호화 키를 통해 상기 메일을 복호화하는 메일 수신 플러그인을 구비하여 이루어지는 것을 특징으로 한다.
이하 첨부된 도면과 설명을 통해 본 발명의 특징을 상세히 설명한다. 단, 다음의 도면과 설명은 본 발명을 적절하게 설명하기 위한 여러 가지 방법 중에서 유선 인터넷 망의 메일 시스템을 이용하는 대표적인 방법에 대한 것이며, 본 발명이 다음의 도면과 설명만으로 한정되는 것은 아니다.
즉, 본 발명은 전술한 바와 같이 유선 인터넷 및 무선 인터넷 상의 메일 시스템에 모두 적용되며, 무선 인터넷 망에 적용되는 경우, 메일 발송자, 메일 수신자, 메일 서버, 그리고 메일 제어 센터는 무선 인터넷과 연결되어 있을 뿐, 그 작동 원리는 유선 인터넷 상의 메일 시스템과 유사하다.
도면1은 메일 발송자(100)로부터 외부로 발송된 모든 웜 바이러스를 자동 치료하고 소멸시키기 위한 웜 바이러스 차단 및 자동 소멸 시스템에 대한 간단한 블록도이다.
메일 발송자(100)로부터 외부로 발송되는 모든 웜 바이러스를 자동으로 치료하고 소멸시키기 위해서는, 메일 발송자(100)에 메일 발송 플러그인(105)이 탑재되어 있어야 하고, 메일 수신자(110)에는 메일 수신 플러그인(115)이 탑재되어 있어야 하며, 메일 발송자(100)로부터 발송된 메일을 메일 수신자(110)에게 전달시키는 메일 서버(120)와, 주어진 웜 바이러스 차단 정책에 따라 네트워크 상에 존재하는 모든 웜 바이러스가 더 이상 확산되는 것을 원천적으로 차단하고 자동 소멸시키는 메일 제어 센터(125), 그리고 이미 알려진 웜 바이러스는 물론, 아직 알려지지 않은 최신 웜 바이러스에 대한 정보와 백신을 메일 제어 센터(125)에 제공하는 백신 제공자(130) 등이 있어야 한다.
메일 발송자(100)에 탑재되는 메일 발송 플러그인(105)은 메일 발송자(100)에서 발송되는 모든 메일에 대하여 웜 바이러스 차단 정책을 수립하고, 외부로 발송되는 메일에 대하여 주어진 정책과 이것을 실행할 수 있는 자동 실행 코드를 탑재한 후, 암호화하여 메일 수신자(110)에게 발송하는 역할을 수행한다. 일반적으로 메일 발송 플러그인(105)은 웜 바이러스가 활동하는 운영 체제를 개발한 운영 체제 제공자, 인터넷 상에서 웜 바이러스 차단 정책을 실제로 수행하는 메일 제어 센터(125), 그리고 이미 알려진 웜 바이러스에 대한 정보와 아직 알려지지 않은 최신 웜 바이러스에 대한 정보를 메일 제어 센터에 제공하는 백신 제공자(130) 등과 같은 다양한 종류의 컨텐츠 제공자에 의해 배포될 수 있으며, 운영 체제 제공자에 의해 배포되는 경우 웜 바이러스 차단 효과가 가장 우수하다.
메일 발송 플러그인(105)은 메일 발송자(100)에 설치되어 있는 아웃룩 익스프레스(Outlook Expreess)나 유도라(Eudora)와 같은 메일 사용자 에이전트(Mail User Agent; MUA)에 플러그인 되어 있으며, 메일 발송자(100)로부터 발송되는 모든 메일을 암호화하고, 해당 메일에 대하여 수립되어 있는 웜 바이러스 차단 정책을 적용하는 역할을 수행한다. 따라서, 메일 발송 플러그인(105)은 메일 발송자에 탑 재되어 있는 MUA와 MTA를 감시하는 것은 물론, SMTP(Simple Mail Transfer Protocol)가 사용하는 25번 통신 포트를 감시함으로서, 메일 발송자(100)로부터 외부로 발송되는 모든 메일은 물론, SMTP를 내장하고 있는 웜 바이러스에 의해 발송된 메일에 대해서도, 웜 바이러스 차단 정책을 강제로 적용시킬 수 있다.
메일 서버(120)는 기존 메일 서버와 동일하게 메일 발송자(100)에서 발송된 메일을 메일 수신자에게 전달하는 MTA(Mail Transfer Agent) 기능을 수행하며, 웜 바이러스 차단 정책이 적용되어 암호화되어 있는 발송 메일은, 메일 서버(120)를 통해 메일 수신자(110)에게 정상적으로 전달된다.
메일 수신자(110)에 탑재되어 있는 메일 수신 플러그인(115)은 메일 발송 플러그인(105)과 마찬가지로 운영 체제 제공자, 메일 제어 센터(125), 그리고 백신 제공자(130) 등을 포함하는 다양한 컨텐츠 제공자에 의해 배포되며, 메일 수신 플러그인(115)의 가장 효과적인 배포 방법은 메일 발송 플러그인(105)과 마찬가지로 운영 체제 제공자에 의해 배포되는 것이지만, 메일 발송 플러그인(105)에 의해 수립된 웜 바이러스 차단 정책이 적용된 메일을 수신한 후, 해당 메일에 포함되어 있는 스크립트를 통해 인터넷 상의 컨텐츠 제공자로부터 제공받을 수 있다.
메일 수신 플러그인(115)은 메일 발송자(100)의 메일 발송 플러그인(105)에 의해 적용된 웜 바이러스 차단 정책을 실행하는 역할을 수행하며, 메일 수신 자(110)에게 전달된 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인 경우, 웜 바이러스 차단 정책을 통해 해당 메일에 포함되어 있는 웜 바이러스가 확산되는 것을 차단하고, 스스로 소멸 되도록 하는 역할을 수행한다.
일반적으로, 메일 발송 플러그인(105)에 의해 적용되는 정책에는 해당 메일의 만료 날짜와 시간, 정보 접근 정책(Read, Write, Copy, Print etc), 인증(Authentication), 권한 부여(Authorization), 이벤트 로깅(Event Logging), 그리고 자가 소멸 기능과 같은 다양한 정보들과 함께 웜 바이러스 경고 메일과 백신의 전송 여부, 그리고 웜 바이러스 자가 소멸 여부 등에 대한 정보 등이 포함되어 있다.
메일 제어 센터(125)는 웜 바이러스 차단 정책을 메일 수신자(110)에 탑재되어 있는 메일 수신 플러그인(115)을 통해 실행시킴으로써, 메일 발송 플러그인(105)에 의해 수립된 정책을 집행하는 역할을 수행하며, 상기와 같은 과정을 통해 집행된 웜 바이러스 차단 정책의 결과는 메일 제어 센터(125)를 통해 메일 발송자(100)와 메일 수신자(110)에게 전달된다. 따라서, 메일 발송자(100)는 자신이 외부로 발송한 메일과 강제 발송된 메일 중에서 어떤 메일에 웜 바이러스가 포함되어 있었는지 확인할 수 있으며, 메일 수신자(110)는 자신에게 전달된 메일 중에서 어떤 메일에 웜 바이러스가 포함되어 있는지 알 수 있다.
메일 제어 센터(125)는 상기와 같은 작업을 효과적으로 수행하기 위해, 메일 발송 플러그인(105)으로부터 해당 메일에 대한 암호화 키, 웜 바이러스 차단 정책, 그리고 웜 바이러스 패턴 확인 정보 등을 전송 받으며, 메일 발송 플러그인(105)으로부터 메일 제어 센터(125)로 전달된 정보와 정책들은, 메일 발송자 및 수신자가 사용할 수 있는 암호화 키(Encryption Key)와 복호화 키(Decryption Key)를 통해, 웜 바이러스 차단 정책을 집행하는데 사용된다. 예를 들어, 메일 발송자(100)로부터 수신자(110)에게 전달된 메일에 웜 바이러스를 포함하고 있거나, 그 자체가 웜 바이러스라면, 메일 제어 센터(125)는 해당 메일의 정책을 변경함으로서, 해당 메일이 메일 수신자(110)를 감염시키거나, 다른 수신자에게 재발송되는 것을 원천적으로 차단하며, 웜 바이러스 차단 정책에 따라, 해당 메일을 전달받은 모든 수신자에게 경고 메일 및 백신을 전송하고, 메일 내부에 탑재되어 있는 자가 소멸 코드를 실행시킴으로서, 네트워크 상에서 웜 바이러스가 자동 소멸되도록 한다.
즉, 메일 제어 센터(125)가 웜 바이러스 차단 정책을 통해 웜 바이러스가 감염되거나 확산되는 것을 방지하는 방법은, 상기 서술한 바와 같이, 메일 수신자(110)에게 경고 메시지를 전송하여 필요한 조치를 스스로 취하도록 하는 방법, 메일 수신자(110)에게 해당 웜 바이러스를 치료할 수 있는 백신을 자동으로 전송하는 방법, 그리고 메일 안에 포함되어 있는 자가 소멸 코드를 실행시켜 스스로 소멸되도록 하는 방법 등을 포함한다.
백신 제공자(130)는 메일 발송자(100)에서 메일 수신자(110)로 전달된 메일에 대하여, 웜 바이러스 감염 여부를 확인하는 데 필요한 웜 바이러스 패턴 정보를 제공하는 역할과, 웜 바이러스 차단 정책에 따라 메일 수신자(110)에게 전달될 백신을 제공하는 역할을 수행한다. 따라서, 발송자(100)의 메일에서 웜 바이러스가 발견된 경우, 백신 제공자(130)는 메일 제어 센터(125)로부터 메일 수신자(110)에게 전달될 경고 메시지를 생성하는 역할과, 웜 바이러스 감염자에게 전달될 백신을 제공하는 역할을 수행한다.
본 발명에 따르면, 메일 발송 플러그인(105)에 의해 메일 발송자(100)의 메일에 주어진 정책들을 적용하고 암호화하는 과정, 메일 수신자(110)가 메일 수신 플러그인(115)을 통해 이것을 복호화 하는 과정, 그리고 메일 제어 센터(125)가 암호화 키와 복호화 키를 관리하고 전달하는 과정 등은, 현존하는 모든 종류의 암호화 방식과 암호화 알고리즘을 포함하며, 본 발명이 특정 암호화 방식과 알고리즘에 의해 제한 받지는 않는다.
즉, 본 발명은 대칭키 암호화 방식과 비대칭키 암호화 방식 등은 물론, 암호화 키 사용 방법에 따라 전자 서명과 전자 봉투 방법 등을 사용할 수 있으며, DES(Data Encryption Standard), RSA(Rivest, Shamir, Adleman), DSA(Digital Signature Algorithm), 그리고 IDEA(International Data Encryption Algorithm) 등을 포함하는 모든 종류의 암호화 알고리즘을 사용할 수 있다. 다만, 본 발명에서 사용하는 모든 암호화 방법은 위조 불가성(Unforgability), 인증성(authenticity), 부인 방지(non-repudiation), 재사용 불가성(non-reusability), 그리고 메시지 변경 불가성(message integrity) 등과 같은 암호화 특징과 알고리즘을 완벽하게 만족해야 한다.
도면2는 메일 수신자(110)에게 발송된 메일에 대하여, 웜 바이러스 차단 정책을 집행하기 위한 메일 제어 센터(125)의 간단한 블록도이다.
메일 제어 센터(125)는 기본적으로 메일 발송 플러그인(105)에 의해 수립된 웜 바이러스 차단 정책을 집행하는 역할을 수행하며, 이것을 위해 메일 발송 플러그인(105)으로부터 웜 바이러스 차단 정책, 그리고 웜 바이러스 패턴 확인 정보 등을 전송 받고, 백신 제공자(130)로부터 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보를 제공받는다.
메일 제어 센터(125)는 상기와 같이 메일 발송 플러그인과 백신 제공자(130)로부터 전달된 정보들을 이용하여 해당 메일에 대한 웜 바이러스 감염 여부를 진단하고, 웜 바이러스 차단 정책을 실행하기 위해, 정책 집행부(200), 정책 D/B(215), 메일 정보 D/B(220), 정책 갱신부(210), 웜 바이러스 진단부(205), 그리고 웜 바이러스 패턴 D/B(225) 등이 탑재되어 있다.
정책 집행부(200)는 메일 수신자(110)에 전달된 메일에 대하여 웜 바이러스 차단 정책을 집행하는 역할을 수행하며, 웜 바이러스 차단 정책의 집행을 통해 메일 수신자(110)가 메일에 접근하는 권한과 메일의 기능을 제한하고, 메일 수신자(110)에게 전달된 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인 경우, 해당 웜 바이러스를 자동 치료하거나 소멸시킴으로써, 웜 바이러스가 메일 수신자(110)를 감염시키는 것과 다른 수신자에게 확산되는 것을 차단한다.
정책 D/B(215)에는 메일 발송 플러그인(105)에 의해 수립된 웜 바이러스 차단 정책이 저장되어 있으며, 각각의 정책은 기본 정책과 사용자 정의 정책 등으로 구분된다.
기본 정책은 메일 발송자(100)로부터 외부로 발송되는 모든 메일에 대하여 적용되는 정책을 의미하며, 정책이 한번 수립되면, 해당 정책이 변경되기 전에 모든 메일에 동일한 정책이 적용된다. 따라서, 메일 발송자(100)에 메일 발송 플러그인(105)이 일단 탑재되면, 해당 메일 발송자(100)로부터 외부로 발송되는 모든 메일은 웜 바이러스 차단 정책에 무조건 적용된다. 즉, 메일 발송 플러그인(105)이 탑재되어 있는 메일 발송자(100)로부터 외부로 발송되는 모든 메일은 웜 바이러스 차단 정책을 적용 받게 된다.
사용자 정의 정책은 특정 메일에만 적용되는 정책을 의미하며, 해당 메일이 발송되기 전에 사용자에 의해 정의된다. 물론, 메일 발송 전에 사용자 정의 정책을 설정하지 않는다면, 해당 메일은 기본 정책이 적용되어 발송된다.
또한, 메일 발송 플러그인(105)은 메일 제어 센터(125)를 통해, 자신이 보낸 메일의 웜 바이러스 차단 정책, 그리고 해당 메일의 현재 상태 등을 언제든 확인할 수 있으며, 정책의 임의 수정이나 변경은 물론, 해당 메일의 삭제도 가능하다. 특히, 메일 발송 플러그인(105)에 의해 변경된 정책은 그 즉시 해당 메일에 그대로 적용되며, 해당 메일의 만료 기간이 초과되거나 메일 자체가 삭제될 때까지 유지된다.
메일 정보 D/B(220)는 메일 발송 플러그인에 의해 발송된 메일에 웜 바이러스가 감염되어 있는지를 확인할 수 있는 웜 바이러스 패턴 확인 정보와, 메일 수신자(110)에 전달된 후 현재까지 해당 메일에 대한 모든 히스토리 정보(History Information) 등이 저장되어 있다.
웜 바이러스 패턴 확인 정보는 백신 제공자(130)에서 제공되는 웜 바이러스 패턴 정보를 통해, 해당 메일에 웜 바이러스가 감염되어 있는지를 확인할 수 있는 정보로서, 일반적으로 메일 제목이나 첨부파일 종류, 그리고 자동 실행 스크립트 코드 등과 같이 웜 바이러스 여부를 진단하는데 필요한 기본 정보이다. 웜 바이러스 패턴 확인 정보는 새로운 웜 바이러스가 출현할 때마다 갱신되며, 웜 바이러스 진단부(205)는 메일 발송자(100)로부터 전송되는 웜 바이러스 패턴 확인 정보를 통해 해당 메일에 웜 바이러스가 감염되어 있는지 여부를 확인할 수 있다.
히스토리 정보는 메일 수신자(110)가 전달받은 메일에 접근할 때마다 추가되며, 해당 메일에 대한 읽기, 복사, 저장, 인쇄, 그리고 다른 수신자에게 전달 등과 같은 모든 정보가 시간 순서에 따라 저장되며, 메일 수신자(110)가 전달받은 메일에 대한 정책을 강제로 위반하였는지 여부를 확인하는데 사용된다.
정책 갱신부(210)는 메일 발송 플러그인(105)에 의해 적용된 웜 바이러스 차단 정책을 정책 D/B(215)에 저장하고, 메일 발송자(100)가 임의로 정책을 변경하거나, 정책 D/B(215)에 저장되어 있는 정책을 갱신하는 역할을 수행한다. 특히, 발송 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인 경우, 정책 갱신부(210)는 해당 메일의 웜 바이러스 차단 정책에 주어진 웜 바이러스 차단 정책에 따라 정책 D/B(215)의 모든 정책을 자동 갱신한다.
웜 바이러스 진단부(205)는 메일 정보 D/B(220)안에 저장되어 있는 웜 바이러스 패턴 확인 정보와 백신 제공자(130)로부터 제공받은 웜 바이러스 패턴 정보를 통해, 메일 수신자(110)로 전달된 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인지 확인하는 역할을 수행한다. 만약, 상기 과정에서 해당 메일에 웜 바이러스가 포함되어 있거나 그 자체가 웜 바이러스라면, 웜 바이러스 진단 부(205)는 정책 갱신부(210)를 통해 웜 바이러스의 확산을 방지하고 네트워크 상에서 자동 소멸할 수 있도록 웜 바이러스 차단 정책을 갱신과 동시에, 정책 집행부(200)를 통해 웜 바이러스가 확인된 모든 메일에 적절한 웜 바이러스 차단 정책을 즉시 집행하도록 한다.
메일 제어 센터(125)의 웜 바이러스 패턴 D/B(225)는 백신 제공자(130)의 웜 바이러스 패턴 D/B(230)에서 현재 알려진 웜 바이러스에 패턴 정보를 저장하고 있는 역할을 수행하며, 백신 제공자(130)로부터 알려지지 않은 최신 웜 바이러스가 발견된 경우, 메일 제어 센터(125)의 웜 바이러스 패턴 D/B(230)는 백신 제공자(130)를 통해 새롭게 갱신된 웜 바이러스 패턴 정보로 즉시 갱신된다. 만약, 백신 제공자(130)를 통해 메일 제어 센터(125)의 웜 바이러스 패턴 D/B(225)가 새로운 정보로 갱신되면, 웜 바이러스 진단부(205)는 갱신된 웜 바이러스 패턴 정보와, 메일 정보 D/B(220)안에 저장되어 있는 모든 웜 바이러스 패턴 확인 정보를 통해, 메일 발송자(100)로부터 발송된 모든 메일에 대하여 웜 바이러스 진단 작업을 실행한다.
백신 제공자(130)는 기본적으로 웜 바이러스 패턴 D/B(230)와 백신 D/B(235) 등으로 구성되어 있으며, 웜 바이러스 패턴 D/B(230)에는 메일 제어 센터(125)의 웜 바이러스 진단부(205)가 메일 정보 D/B(220)의 웜 바이러스 패턴 확인 정보를 통해 웜 바이러스 감염 여부를 진단하는데 사용되는 웜 바이러스 패턴 정보의 원본 이 저장되어 있으며, 백신 D/B(235)에는 상기 웜 바이러스를 치료하고, 손상된 파일을 복구할 수 있는 백신이 저장되어 있다.
도면3은 메일 발송 플러그인이 웜 바이러스 차단 정책을 수립하는 과정에 대한 간단한 흐름도이며, 도면4는 웜 바이러스 차단 정책을 수립하는 간단한 예시도이다.
메일 발송자(100)에 탑재되어 있는 메일 발송 플러그인(105)의 정책 수립 메뉴를 클릭하면(300), 도면4와 같은 정책 수립 대화상자가 출력된다. 그러면, 메일 발송자(100)는 정책이 적용되는 대상을 결정한다(305).
정책 대상은 메일 발송자(100)로부터 발송되는 메일 중에서 어떤 메일에 정책을 적용할 것인가를 결정하는 단계로서, 모든 메일을 정책 대상으로 결정하면, 메일 발송자(100)로부터 외부로 발송되는 모든 메일에 웜 바이러스 정책이 적용된다. 그러나, 웜 바이러스를 포함하고 있거나, 그 자체가 웜 바이러스일 가능성이 있는 메일에만 정책을 적용하고자 한다면, 도면4와 같이 스크립트와 첨부 파일이 포함되어 있는 메일만을 웜 바이러스 차단 정책의 대상으로 결정할 수도 있다.
상기와 같이 웜 바이러스 차단 정책의 대상이 결정되면, 메일 발송 플러그인(105)은 메일 수신자(110)에게 전달되는 메일의 기능을 제한하기 위한 웜 바이러 스 차단 정책 1단계를 수립한다(310). 도면4에 따르면, 상기 웜 바이러스 차단 정책에는 메일 접근 횟수, 접근 허용 범위, 읽기 제한 시간, 그리고 메일 만료 시간 등이 포함되어 있다.
상기 제1단계 웜 바이러스 차단 정책의 메일 접근 횟수는 메일 수신자(110)가 해당 메일에 접근하는 횟수를 의미하며, 메일 수신자(110)가 접근 횟수 이상 해당 메일을 열어보기 위해서는 메일 발송자(100)가 접근 횟수를 변경해 주어야만 한다. 그러나, 메일 수신자(110)가 메일 접근 횟수를 초과하여도 메일 만료 시간까지는 해당 메일이 메일 수신자(110)에서 삭제되지 않고 저장되어 있으며, 메일 발송자(100)가 메일 만료 시간 이전에 메일 접근 횟수를 증가시키면, 메일 수신자(110)는 해당 메일에 추가로 접근할 수 있는 권한을 얻게 된다.
메일 접근 허용 범위는 메일의 읽기, 복사, 저장, 인쇄, 회신, 그리고 전달 등의 기능을 제한하고 있으며, 도면4와 같이 읽기 기능만을 허용한 경우, 메일 수신자(110)는 해당 메일을 복사, 저장, 인쇄, 회신, 그리고 다른 수신자에게 전달 할 수 없게 된다. 만약, 메일 발송자(100)가 메일 접근 허용 범위에 아무것도 체크하지 않으면, 메일 수신자(110)는 해당 메일의 접근 허용 범위가 메일 발송자(100)에 의해 갱신될 때까지 열어 볼 수 없게 된다.
읽기 제한 시간은 메일 수신자(110)가 해당 메일을 열어볼 수 있는 시간을 제한하며, 메일 수신자(110)가 읽기 제한 시간까지 수신된 메일에 접근하지 않는 경우, 메일 발송자(100)에 의해 해당 메일의 웜 바이러스 차단 정책이 갱신되기 전까지 메일 수신자(110)는 메일을 열어볼 수 없다.
메일 만료 시간은 메일 수신자(110)에 전달된 메일이 자동 소멸되는 시간을 결정하며, 메일 발송자(100)가 메일 만료 시간을 연장하지 않는 이상, 메일 만료 시간이 초과되면, 해당 메일은 메일 수신자(110)를 포함하여 네트워크 상의 모든 수신자들로부터 자동 삭제된다.
상기와 같은 웜 바이러스 차단 정책의 1단계 수립이 완료되면, 메일 발송 플러그인(105)은 웜 바이러스를 원천적으로 차단하기 위한 제 2단계 웜 바이러스 차단 정책을 수립한다(315). 도면4에 따르면, 제 2단계 웜 바이러스 차단 정책에는 알려진 웜 바이러스 정책과 신종 웜 바이러스 정책, 그리고 웜 바이러스 경고 메일에 포함되는 기본 메시지 등이 포함되어 있다.
알려진 웜 바이러스 정책과 신종 웜 바이러스 정책에는 메일 발송자(100)로부터 수신자(110)로 전달된 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인 경우, 해당 메일을 메일 수신자(110)는 물론, 네트워크 상의 모든 수신자들에서 자동 삭제할 것인지, 또는 경고 메일을 전송하거나, 해당 웜 바이러스를 치료하고 복구할 수 있는 백신을 전송할 것인지를 결정한다. 도면4의 경우, 알려진 웜 바이러스에 대하여 모든 수신자에게 전달된 웜 바이러스를 자동 삭제하고, 감염자에게 백신을 전송하도록 되어 있으며, 알려지지 않은 신종 웜 바이러스에 대해서는 모든 메일 수신자에게 자동 삭제 명령과 경고 메일, 그리고 백신이 전송되도록 결정되어 있고, 웜 바이러스 경고 메일에 포함되는 기본 메시지는 HTML(HyperText Markup Language) 형식으로 작성되도록 되어 있다.
상기와 같이 웜 바이러스 차단 정책이 결정되면, 메일 발송 플러그인(105)은 현재 수립된 정책을 기본 정책으로 사용할 것인지 결정한다(320). 만약 현재 설정된 정책이 기본 정책으로 사용된다면(325), 해당 정책은 메일 발송자(100)에 저장되며(330), 메일 발송자(100)로부터 발송되는 모든 정책 대상에 기본적으로 적용된다. 그러나, 현재 설정된 정책이 기본 정책으로 사용되지 않는다면(335), 해당 정책은 현재 발송하는 메일에만 적용되며, 이후 발송되는 메일은 특별한 변경사항이 없는 한 기본 정책에 따라 발송된다.
도면5는 메일 발송 플러그인(105)이 메일 발송자(100)로부터 외부로 발송되는 메일에 대하여 웜 바이러스 차단 정책을 적용하고, 메일에 알려진 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인 경우, 주어진 웜 바이러스를 원천적으로 차단하는 과정에 대한 간단한 흐름도이다.
메일 발송자(100)가 메일 발송 명령을 실행하면(500), 메일 발송 플러그인(105)은 해당 메일에 대한 사용자 정의 정책이 존재하는지 확인한다(505). 만약 현재 발송하는 메일에 대하여 사용자가 임의로 정의한 정책이 존재한다면(510), 해당 정책을 추출하고(515), 반대로 사용자가 정의한 정책이 없다면(520), 메일 발송자에 저장되어 있는 기본 정책을 추출한다(525).
상기와 같이, 현재 발송하는 메일에 적용하기 위한 정책이 추출되면, 메일 발송 플러그인(105)은 추출된 정책을 참조하여 현재 발송하는 메일이 정책의 대상인지 결정한다(530). 예를 들어, 도면4와 같이 스크립트와 첨부 파일이 포함된 메일을 정책의 대상으로 결정하였다면, 추출된 정책은 스크립트와 첨부 파일이 포함된 메일에만 적용되며, 그렇지 않은 경우에는 정책을 적용하지 않고 그대로 발송한다. 이것은 웜 바이러스가 탑재될 수 있는 메일에 대해서 정책을 효율적으로 적용하기 위한 한가지 방법이며, 메일 발송자(100)가 정책 대상을 수정하면 그 즉시 정책의 대상이 확대 또는 축소 될 수 있다.
만약, 현재 발송되는 메일이 정책의 대상이라면(535), 메일 발송 플러그인(105)은 발송되는 메일로부터 웜 바이러스 패턴 확인 정보를 추출한다(540). 웜 바이러스 패턴 확인 정보는 백신 제공자(130)로부터 제공되는 백신을 통해 메일 발송자(100)에서 발송되는 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인지를 확인하기 위한 정보로서, 메일에 포함되는 첨부 파일에 대한 정보 및 실행 가능한 모든 스크립트 등에 대한 다양한 정보가 포함된다. 그러나, 웜 바이러스 패턴 확인 정보에는 메일 발송자(100)로부터 메일 수신자(110)에게 전달되는 메 일의 본문과 첨부 파일은 포함되지 않는다. 즉, 메일 발송자(100)로부터 메일 수신자(110)에게 전달되는 메일의 본문과 첨부 파일은 발송자 본인과 수신자 이외에는 접근할 수 없다.
상기와 같이, 발송 메일로부터 웜 바이러스 패턴 확인 정보가 추출되면, 메일 발송 플러그인(105)은 주어진 암호화 방식에 따라 메일 발송자(100)와 메일 수신자(110)가 해당 메일에 접근하기 위한 암호화 키와 복호화 키를 생성한다(545). 이렇게 생성된 암호화 키와 복호화 키는 메일 발송자(100)와 메일 수신자(110)가 해당 메일에 접근하기 위한 수단 및 메일에 적용된 정책을 집행하고 실행하기 위한 도구로 사용된다.
메일 발송 플러그인(105)에 의해 발송 메일에 대한 웜 바이러스 패턴 확인 정보가 추출되고, 해당 메일에 접근하기 위한 암호화 키와 복호화 키가 생성되면, 메일 발송 플러그인(105)은 메일 발송자(100)와 메일 제어 센터(125) 사이의 보안 프로토콜에 따라, 현재 발송되는 메일에 적용되는 웜 바이러스 차단 정책, 그리고 웜 바이러스 패턴 정보와 암/복호화 키 등을 메일 제어 센터(125)로 전송하여 각각의 D/B에 저장한다(550). 일반적으로 웜 바이러스 차단 정책은 정책 D/B(215)에 저장되고, 웜 바이러스 패턴 확인 정보, 암호화 키, 복호화 키, 그리고 이 후 생성되는 메일 관련 정보는 메일 정보 D/B(220)에 저장된다.
메일 제어 센터(125)가 메일 발송 플러그인(105)으로부터 웜 바이러스 차단 정책, 그리고 웜 바이러스 패턴 확인 정보와 암/복호화키를 전송 받으면, 메일 제어 센터(125)는 웜 바이러스 진단부(205)와 웜 바이러스 패턴 D/B(225)에 저장되어 있는 웜 바이러스 패턴 정보를 통해, 알려진 웜 바이러스가 현재 발송하는 메일에 포함되어 있는지 진단한다(555).
만약, 현재 발송되는 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스라면(560), 메일 제어 센터(125)의 웜 바이러스 진단부(205)는 현재 발송되는 메일이 네트워크 상의 수신자들에게 강제로 뿌려지더라도, 메일 수신자(110)가 해당 메일에 접근할 수 없도록 해당 메일에 대한 정책을 변경한다(565). 그리고 해당 메일을 발송한 메일 발송자(100)에게 최신 백신을 전송함으로서, 메일 발송자(100)에 감염되어 있는 웜 바이러스를 치료하고, 손상된 자료를 복구한다(570).
상기 과정은 메일 발송자(100)로부터 모든 웜 바이러스가 소멸될 때까지 지속되며, 메일 발송자(100)로부터 웜 바이러스 치료와 손상된 파일의 복구가 완료되어(575), 메일 발송자(100)에 더 이상 웜 바이러스가 존재하지 않는 것이 확인되면, 메일 제어 센터(125)는 모든 메일 수신자(110)에서 열리지 않도록 변경되었던 정책을 원래대로 복구한다(580).
메일 발송자(100)로부터 발송되는 메일에 웜 바이러스가 존재하지 않거나, 상기와 같은 과정을 통해 웜 바이러스의 치료와 복구가 완료되면, 메일 발송 플러 그인(105)은 발송 메일에 적용되는 정책의 실행 코드를 메일에 탑재한다(585). 메일에 탑재되는 정책의 실행 코드는 메일 제어 센터(125)의 정책 집행부(200) 및 메일 수신자(110)에 탑재되어 있는 메일 수신 플러그인(115)에 의해 구동되며, 해당 메일에 대한 접근을 제한하고, 해당 메일이 전달되어 저장되어 있는 네트워크 상의 모든 위치에서 웜 바이러스를 원천적으로 차단하는 실질적인 역할을 수행한다. 특히, 정책의 실행 코드에는 네트워크 상에서 해당 메일을 스스로 소멸시킬 수 있는 코드가 탑재되며, 메일 제어 센터(125)에서 상기와 같이 탑재되어 있는 자가 소멸 코드 실행 명령을 내리면, 네트워크 상에 존재하는 해당 메일의 원본과 모든 복제물이 일시에 자동으로 삭제된다.
*상기와 같은 역할을 수행하는 정책의 실행 코드가 발송되는 메일에 탑재되면, 메일 발송 플러그인(105)은 발송 메일을 주어진 암호화 방식에 따라 암호화 한 후, 압축하여(590) 메일 수신자(110)에게 발송하며, 이렇게 웜 바이러스 차단 정책이 적용되어 발송된 메일은, 기존 메일과 동일한 경로를 거쳐 메일 수신자(110)에게 전달된다(595).
도면6은 메일 제어 센터(125)의 웜 바이러스 진단부(205)가 웜 바이러스 패턴과 메일 정보 D/B(220)의 웜 바이러스 패턴 확인 정보를 통해 알려진 웜 바이러스를 진단함으로서, 웜 바이러스가 확산되는 것을 원천적으로 차단하는 과정에 대 한 간단한 흐름도이다.
메일 제어 센터(125)의 웜 바이러스 진단부(205)가 메일 정보 D/B(220)에 저장되어 있는 웜 바이러스 패턴 확인 정보와 웜 바이러스 패턴 D/B(225)에 저장되어 있는 웜 바이러스 패턴 정보를 통해 알려진 웜 바이러스를 진단함으로서, 웜 바이러스가 확산되는 것을 원천적으로 차단하는 작업은, 메일 발송 플러그인(105)이 메일을 발송하는 단계, 메일 수신 플러그인(115)이 수신 메일에 접근하는 단계, 그리고 메일에 적용된 웜 바이러스 차단 정책에 의해 예약된 웜 바이러스 진단 작업이 실행되는 경우 등이며, 일단 메일 제어 센터(125)에서 웜 바이러스 진단 작업이 실행되면, 해당 메일에 대한 웜 바이러스 진단, 치료, 그리고 복구 작업이 종료될 때까지 메일 발송자(100) 및 수신자(110)의 접근은 자동 차단된다.
메일 제어 센터(125)의 웜 바이러스 진단부(205)는 메일 정보 D/B(220)에서 웜 바이러스 진단 대상에 해당하는 메일의 웜 바이러스 패턴 확인 정보를 추출하고(600), 웜 바이러스 패턴 D/B(225)에서 현재까지 알려진 모든 웜 바이러스 패턴 정보를 추출한 후(605), 상기 추출된 정보들을 통해 웜 바이러스 진단 대상에 해당하는 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인지 확인한다(610). 만약, 웜 바이러스 진단 대상에 해당하는 메일에 웜 바이러스가 존재한다면(615), 메일 발송자(100)는 이미 해당 웜 바이러스에 감염된 것이며, 웜 바이러스 진단부(205)는 웜 바이러스로 확인된 메일에 대하여 메일 발송자(100) 및 수신 자(110)가 접근할 수 없도록 해당 메일의 정책을 상향조정하여 갱신한다(620). 그리고, 웜 바이러스가 감염된 메일이 메일 수신자(110)에 의해 열렸었는지 메일 정보 D/B(220)의 히스토리 정보를 통해 확인한다(625). 만약, 현재 확인 중인 메일이 메일 수신자(110)에 의해 열린 적이 있다면, 메일 수신자(110) 역시 웜 바이러스에 감염된 것이다.
상기와 같은 과정을 통해, 현재 진단 중인 메일에 웜 바이러스가 포함되어 있거나, 그 자체가 웜 바이러스인지 확인하고, 해당 웜 바이러스가 메일 발송자(100) 및 메일 수신자(110)를 감염 시켰는지 확인하면(630), 웜 바이러스 진단부(205)는 해당 메일에 적용되어 있는 웜 바이러스 차단 정책을 통해, 해당 웜 바이러스에 대한 치료와 복구, 그리고 자동 소멸 명령 등과 같은 웜 바이러스 차단 정책을 집행하며(635), 상기 과정은 웜 바이러스 진단 대상에 해당하는 모든 메일에 대하여 반복적으로 수행된다. 그리고, 웜 바이러스 진단 대상에 해당하는 모든 메일에 대한 웜 바이러스 진단, 치료, 그리고 자동 소멸 작업이 완료되었는지 확인하고(640), 완료되었다면(645) 웜 바이러스 진단부(205)는 상기 과정에서 메일 발송자(100) 및 수신자(110)가 해당 메일에 접근할 수 없도록 상향조정되었던 정책을 원래대로 복구한다(650).
도면7은 백신 제공자(130)가 신종 웜 바이러스 패턴 정보를 메일 제어 센터(125)에게 제공하는 경우, 웜 바이러스 진단부(205)가 신종 웜 바이러스 패턴과 메일 정보 D/B(220)의 모든 웜 바이러스 패턴 확인 정보를 통해 신종 웜 바이러스 를 진단함으로서, 메일 제어 센터(125)가 작동하고 있는 네트워크 상의 모든 메일에서 신종 웜 바이러스가 확산되는 것을 원천적으로 차단하는 과정에 대한 간단한 흐름도이다.
알려지지 않은 신종 웜 바이러스가 네트워크 상에 출현하면(700), 백신 제공자(130)는 신종 웜 바이러스에 대한 백신을 개발하고, 신종 웜 바이러스 패턴 정보를 추출하여(705), 메일 제어 센터(125)의 웜 바이러스 패턴 D/B(230)로 전송되어 갱신된다(710).
상기와 같이 알려지지 않은 신종 웜 바이러스에 대한 백신과 웜 바이러스 패턴 정보가 메일 제어 센터(125)로 전송되면, 웜 바이러스 진단부(205)는 메일 정보 D/B(220)에서 모든 메일 발송자의 모든 웜 바이러스 패턴 확인 정보를 추출하여 신종 웜 바이러스 감염 여부를 진단한다(715). 이 과정에서 메일 제어 센터(125)가 관리하고 있는 메일 중에 신종 웜 바이러스가 존재하는 것이 확인되면(720), 웜 바이러스 진단부(205)는 메일 정보 D/B(220)의 히스토리 정보를 통해 메일 발송자(100)와 메일 수신자(110)가 신종 웜 바이러스에 감염되었는지 확인한다(725).
만약, 메일 발송자(100) 또는 수신자(110)가 신종 웜 바이러스에 노출되어 감염되었다면(730), 웜 바이러스 진단부(205)는 메일 발송자(100) 또는 수신자(110)에게 신종 웜 바이러스에 대한 경고 메일과 웜 바이러스를 치료하고 손상된 파일을 복구할 수 있는 백신을 전송하여 자동 치료한다(735). 그러나, 반대로 메일 발송자(100) 또는 수신자가(110) 아직까지 신종 웜 바이러스에 노출되지 않았다면(740), 웜 바이러스 진단부(205)는 메일 발송자(100) 또는 수신자(110)가 신종 웜 바이러스에 노출되지 전에 자가 소멸 코드를 실행 시켜 네트워크 상에서 스스로 소멸되도록 한다(745).
상기 과정은 메일 제어 센터(125)가 관리하는 모든 메일에 대한 신종 웜 바이러스 진단 작업이 완료 될 때까지 반복되며(750), 신종 웜 바이러스에 대한 진단, 치료, 복구, 그리고 자가 소멸이 완료되면(755), 메일 제어 센터(125)는 신종 웜 바이러스의 처리 결과를 해당 메일의 발송자(100)와 수신자(110)에게 전달한다(760).
본 발명에 따르면, 메일 발송자에 탑재되어 있는 메일 발송 플러그인(Mail Sender Plug-in)을 통해 외부로 발송되는 메일에 대한 웜 바이러스 차단 정책(policy)을 수립함으로써, 발송자의 메일에 웜 또는 바이러스가 포함되어 있거나, 메일 그 자체가 웜 바이러스 인 경우, 수신자가 메일을 열어서 웜 바이러스에 노출되기 전에 수신자에게 전달된 메일을 자동 소멸시키고, 웜 바이러스에 이미 감염된 수신자에게 자동으로 경고 메일과 백신을 발송하여 웜 바이러스를 원천적으로 자동 차단하고 소멸시키는 효과가 있다.
Claims (1)
- 메일 발신 클라이언트로부터 발송되는 메일을 중계서버에서 제공하는 복호화 키를 통해 복호화되도록 암호화 하고, 상기 암호화된 메일에 웜 바이러스 차단 정책-메일에 웜 바이러스 발견에 따른 웜 바이러스 경고 정책, 또는 백신의 자동 전송 정책, 또는 웜 바이러스 자가 소멸 정책-와 상기 정책을 실행시키는 자동 실행 코드를 탑재시키는 메일 발송 플러그인;상기 메일 발신 클라이언트로부터 발송된 메일의 웜 바이러스 존재 유무를 확인하기 위한 메일 패턴 정보 데이터와 백신 제공자로부터 전송된 웜 바이러스 감염 여부를 진단할 수 있는 웜 바이러스 패턴 정보 데이터를 비교하여 상기 메일의 웜 바이러스 존재 여부를 확인하는 웜 바이러스 진단부;웜 바이러스 진단부를 통해 상기 메일에 웜 바이러스가 포함된 경우, 상기 메일을 수신하는 메일 수신 클라이언트를 통해 상기 웜 바이러스 차단 정책을 집행하도록 처리하고, 상기 메일에 웜 바이러스가 포함되지 않은 경우, 상기 메일을 수신하는 메일 수신 클라이언트에서 상기 메일에 접근시, 상기 메일 수신 클라이언트로 상기 메일을 복호화하는 복호화 키를 제공하도록 처리하는 정책 집행부;상기 메일 수신 클라이언트에서 상기 메일에 접근시, 웜 바이러스 코드보다 상기 메일에 탑재된 자동 실행 코드를 우선 실행하여 상기 정책 집행부로부터 상기 메일에 대한 웜 바이러스 차단 정책 집행명령 또는 복호화 키를 수신한 후, 상기 웜 바이러스 차단 정책 집행명령이 수신되면, 상기 수신된 웜 바이러스 차단 정책 집행명령을 통해 상기 자동 실행 코드를 통해 메일에 대하여 상기 웜 바이러스 차단 정책을 집행시키고, 상기 복호화 키가 수신되면, 상기 수신된 복호화 키를 통해 상기 메일을 복호화하는 메일 수신 플러그인;을 구비하여 이루어지는 것을 특징으로 하는 바이러스 자동 차단 및 소멸 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080089545A KR100920922B1 (ko) | 2008-09-11 | 2008-09-11 | 바이러스 자동 차단 및 소멸 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080089545A KR100920922B1 (ko) | 2008-09-11 | 2008-09-11 | 바이러스 자동 차단 및 소멸 시스템 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020010073681A Division KR100869965B1 (ko) | 2001-11-26 | 2001-11-26 | 바이러스 자동 차단 및 소멸 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080085131A KR20080085131A (ko) | 2008-09-23 |
| KR100920922B1 true KR100920922B1 (ko) | 2009-10-12 |
Family
ID=40024989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080089545A KR100920922B1 (ko) | 2008-09-11 | 2008-09-11 | 바이러스 자동 차단 및 소멸 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100920922B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101657950B1 (ko) * | 2015-03-05 | 2016-09-21 | (주)잉카엔트웍스 | 안티디버깅 장치 및 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000054376A (ko) * | 2000-06-02 | 2000-09-05 | 최정환 | 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템 |
| KR20010076754A (ko) * | 2000-01-27 | 2001-08-16 | 장민근 | 인터넷에서 암호화기술을 이용한 대칭형 보안메일 운영방법 |
-
2008
- 2008-09-11 KR KR1020080089545A patent/KR100920922B1/ko not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010076754A (ko) * | 2000-01-27 | 2001-08-16 | 장민근 | 인터넷에서 암호화기술을 이용한 대칭형 보안메일 운영방법 |
| KR20000054376A (ko) * | 2000-06-02 | 2000-09-05 | 최정환 | 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080085131A (ko) | 2008-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ahmadian et al. | Connection-monitor & connection-breaker: A novel approach for prevention and detection of high survivable ransomwares | |
| US20190158512A1 (en) | Lightweight anti-ransomware system | |
| US9906550B2 (en) | Computer virus protection | |
| US20050132205A1 (en) | Apparatus, methods and computer programs for identifying matching resources within a data processing network | |
| US7415726B2 (en) | Controlling access to suspicious files | |
| US7689835B2 (en) | Computer program product and computer system for controlling performance of operations within a data processing system or networks | |
| TWI362196B (en) | Network isolation techniques suitable for virus protection | |
| US7080408B1 (en) | Delayed-delivery quarantining of network communications having suspicious contents | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| US20120023585A1 (en) | Method and Systems for Computer Security | |
| WO2013069695A1 (ja) | 安全ボックス | |
| CN111885209B (zh) | 一种基于单向光闸的消息队列同步方法、装置及系统 | |
| KR100869965B1 (ko) | 바이러스 자동 차단 및 소멸 방법 | |
| KR20180060819A (ko) | 랜섬웨어 공격 차단 장치 및 방법 | |
| Askarifar et al. | A review of latest wannacry ransomware: Actions and preventions | |
| KR100920922B1 (ko) | 바이러스 자동 차단 및 소멸 시스템 | |
| KR20070003723A (ko) | 바이러스 자동 차단 및 소멸 방법 | |
| KR101889841B1 (ko) | 멀티미디어 파일 보안용 컨텐트 방화벽, 컨텐트 보안 시스템 및 기록매체 | |
| Belmabrouk | Cyber Criminals and Data Privacy Measures | |
| CN112651023A (zh) | 一种用于检测和阻止恶意勒索软件攻击的方法 | |
| Zlatkovski et al. | A new real-time file integrity monitoring system for windows-based environments | |
| Tirranen | CryPTOvirAL ExTOrTiON AS A gLOBAL PrOBLEm OF CyBErSECuriTy | |
| Hu et al. | Detecting unknown massive mailing viruses using proactive methods | |
| Chaithanya | Early-stage analysis and mitigation tactics for ransomware assault exploits | |
| Oujezsky et al. | Data Backup System with Integrated Active Protection Against Ransomware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| J201 | Request for trial against refusal decision | ||
| AMND | Amendment | ||
| B701 | Decision to grant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121004 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20131002 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |