KR100977150B1 - 웹 사이트 점검 방법 및 그 시스템 - Google Patents

웹 사이트 점검 방법 및 그 시스템 Download PDF

Info

Publication number
KR100977150B1
KR100977150B1 KR1020080014830A KR20080014830A KR100977150B1 KR 100977150 B1 KR100977150 B1 KR 100977150B1 KR 1020080014830 A KR1020080014830 A KR 1020080014830A KR 20080014830 A KR20080014830 A KR 20080014830A KR 100977150 B1 KR100977150 B1 KR 100977150B1
Authority
KR
South Korea
Prior art keywords
information
web site
forgery
site
web
Prior art date
Application number
KR1020080014830A
Other languages
English (en)
Other versions
KR20090089584A (ko
Inventor
원유준
Original Assignee
(주)아이시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)아이시큐어 filed Critical (주)아이시큐어
Priority to KR1020080014830A priority Critical patent/KR100977150B1/ko
Publication of KR20090089584A publication Critical patent/KR20090089584A/ko
Application granted granted Critical
Publication of KR100977150B1 publication Critical patent/KR100977150B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

웹 사이트 점검 방법 및 그 시스템이 개시된다. 상기 웹 사이트 점검 방법은 로컬 단말기에 설치된 점검 어플리케이션이 서버로부터 사이트 정보를 수신하는 단계, 상기 점검 어플리케이션이 수신된 상기 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검하는 단계, 및 점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션이 백업장치로 제어신호를 전송하여, 상기 백업 장치에 저장된 백업 정보를 상기 웹 사이트에 반영하도록 하는 단계를 포함한다.

Description

웹 사이트 점검 방법 및 그 시스템{Method and system for testing web site}
본 발명은 웹 사이트를 검사하는 방법 및 그 시스템에 관한 것이다. 더욱 상세하게는 로컬 시스템에서 웹 사이트의 위조/변조 등의 공격 또는 바이러스 감염 여부 등을 점검할 수 있는 방법 및 그 시스템에 관한 것이다.
컴퓨터, 통신, 및 네트워크 기술의 비약적인 발전으로 말미암아 가상의 공간인 인터넷은 점점 더 방대해지고 있으며, 실생활 영역에서도 많은 부분에 걸쳐 영향을 미치고 있다.
사람들은 셀 수 없을 정도로 많이 자신의 로컬 시스템(예컨대, 사용자 컴퓨터 등)을 여러 웹 사이트에 연결하여 필요한 정보를 습득하거나 웹 사이트에 정보를 제공하곤 한다.
하지만, 이처럼 사람들의 실생활에 많은 영향을 미치는 웹 사이트가 악의적인 공격자(예컨대, 크래커(cracker) 등)에 의해 위조/변조 또는 바이러스에 감염되는 경우나 자신의 이익을 위해 스파이웨어(spyware) 또는 애드웨어(adware) 등을 웹 사이트에 올려놓는 경우에는 직접적으로는 웹 사이트를 운영하는 운영자가 일차 적인 피해를 보게 되며, 이차적으로는 상기 웹 사이트에 접근한 무수한 사용자들 까지 피해를 볼 수 있다.
본 명세서에서는 웹 사이트의 위조/변조, 바이러스 감염, 스파이웨어 또는 애드웨어의 무단 설치, 피싱(phsing)이나 파밍(pharming) 등의 웹 사이트의 제작자/운영자의 의도와 관계없이 웹 사이트를 구성하는 웹 문서의 적어도 일부분이 무단으로 변경/삭제/추가되는 경우를 광범위하게 포함하여 웹 사이트의 위조/변조로 칭하도록 한다.
이러한 웹 사이트의 위조/변조를 막기 위해서는 종래에는 웹 사이트를 제공하는 웹 서버측에서 IPS(Intrusion prevention system), IDS(Intrusion detection system), 또는 웹 방화벽(Web Application Firewall)등을 설치하거나, 웹 서버 측에서 위조/변조를 막기 위한 소정의 점검 모듈을 설치하여 상기 웹 사이트의 악의적인 위조/변조를 방지하곤 했다.
하지만, 이러한 방법들은 웹 서버가 공격당했을 때, 웹 서버의 운영자 또는 관리자가 웹 서버 측의 피해 또는 위조/변조에 대한 인식수준에만 그칠 뿐, 유저 시스템에 어떠한 영향을 미치는지 알기 어렵다. 또한, 웹 서버 측에 설치된 상기 위조/변조 방지를 위한 모듈 또는 시스템이 웹 서버와 같이 공격당할 수 있으므로 그 역할을 제대로 수행할 수 없는 문제점이 있다.
또한, 서버 측에서 모든 트래픽 또는 데이터의 패턴을 검사하므로 서버의 리소스가 낭비되는 문제점이 있고, 패턴에 기반하여 탐지 또는 차단을 하기 때문에 신종 공격에는 무방비 상태에 있다.
따라서 이러한 문제점들을 극복할 수 있는 웹 사이트의 점검 방법 및 그에 따른 시스템이 절실히 요구된다.
본 발명이 이루고자 하는 기술적인 과제는 웹 사이트의 점검을 일반유저와 똑같은 환경에서 검사할 수 있는 웹 사이트 점검 방법 및 그 시스템을 제공하는 것이다.
또한, 웹 서버 측이 아닌 로컬 시스템에 웹 사이트의 위조/변조 방지를 위한 모듈 또는 시스템을 설치함으로써, 상기 모듈 또는 시스템이 공격당하여 그 기능을 제대로 발휘할 수 없는 경우를 예방할 수 있으며, 서버 측에서 수행하던 트래픽 또는 데이터의 패턴을 검사하는 기능을 적어도 일부분 로컬 시스템에 분할함으로써 서버의 성능 향상을 가져올 수 있는 웹 사이트 점검 방법 및 그 시스템을 제공하는 것이다.
상기 기술적 과제를 해결하기 위한 웹 사이트 점검 방법은 로컬 단말기에 설치된 점검 어플리케이션이 서버로부터 사이트 정보를 수신하는 단계, 상기 점검 어플리케이션이 수신된 상기 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검하는 단계, 및 점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션이 백업장치로 제어신호를 전송하여, 상기 백업 장치에 저장된 백업 정보를 상기 웹 사이트에 반영하도록 하는 단계를 포함한다.
상기 사이트 정보를 수신하는 단계는 상기 점검 어플리케이션이 상기 웹 사이트에 접속하는 단계 및 접속 결과 상기 사이트 정보를 상기 로컬 단말기의 임시 폴더에 저장하는 단계를 포함할 수 있다.
상기 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 단계는, 기준 정보 DB에 포함된 상기 웹 사이트의 정상 사이트 정보와 수신된 상기 사이트 정보를 비교하는 단계를 포함할 수 있다.
상기 웹 사이트의 정상 사이트 정보와 수신된 상기 사이트 정보를 비교하는 단계는 상기 정상 사이트 정보와 상기 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중 적어도 하나의 개수 또는 사이즈 중 적어도 하나를 비교하는 단계를 포함할 수 있다.
상기 점검결과 위/변조로 판단되는 경우는 상기 정상 사이트 정보와 상기 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중 적어도 하나의 개수 또는 사이즈 중 적어도 하나를 비교한 결과, 변경된 비율이 미리 설정된 소정의 값 이상인 경우 또는 통계적 분석에 의한 분석 값과 다르게 변경된 경우 중 적어도 하나일 수 있다.
상기 웹 사이트의 정상 사이트 정보와 수신된 상기 사이트 정보를 비교하는 단계는 상기 정상 사이트 정보와 상기 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 링크, 팝업, 또는 입력 폼 중 적어도 하나의 개수를 비교하는 단계를 포함할 수 있다.
상기 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 단계는 수신된 상기 사이트 정보에 기초하여 바이러스 감염 여부를 판단하는 단계를 포함할 수 있다.
상기 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 단계는 수신된 상기 사이트 정보가 특정 패턴을 포함하는지 판단하는 단계를 포함할 수 있다.
상기 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 단계는 수신된 상기 사이트 정보가 악성 정보 리스트에 저장된 정보를 포함하는지 비교하는 단계를 포함할 수 있다.
상기 웹 사이트 점검 방법은 상기 점검 어플리케이션이 점검결과 위/변조로 판단된 경우 또는 에러가 발생한 경우 중 적어도 한 경우에 오류 보고서를 생성하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 웹 사이트 점검 방법은 로컬 단말기에 설치된 점검 어플리케이션이 서버로부터 사이트 정보를 수신하는 단계, 상기 점검 어플리케이션이 수신된 상기 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검하는 단계, 및 점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션이 소정의 기본 페이지를 상기 웹 사이트에 반영하도록 하는 단계를 포함한다. 상기 웹 사이트 점검 방법은 프로그램을 기록한 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.
상기 기술적 과제를 해결하기 위한 웹 사이트 점검 시스템은 웹 사이트를 제공하는 서버, 상기 서버로부터 상기 웹 사이트의 사이트 정보를 수신하고, 수신된 상기 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 점검 어플리케이션, 및 점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션으로부터 제어신호를 수신하여 백업정보를 상기 서버에 반영하는 백업 장치를 포함한다.
상기 점검 어플리케이션은 제어모듈 및 상기 웹 사이트의 정상 사이트 정보를 저장하는 기준 정보 DB를 포함하며, 상기 제어모듈은 상기 기준 정보 DB에 포함된 정보와 상기 사이트 정보를 비교하여 상기 웹 사이트의 위/변조를 판단할 수 있다.
상기 점검 어플리케이션은 상기 제어모듈의 제어하에, 상기 웹 사이트의 바이러스 감염 여부를 판단하기 위한 안티바이러스 모듈, 상기 웹 사이트에 특정 패턴이 포함되는지를 판단하기 위한 패턴 비교 모듈, 또는 상기 웹 사이트가 악성 정보 리스트에 저장된 정보를 포함하는지를 비교하기 위한 악성 정보 리스트 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따른 웹 사이트 점검 방법 및 그 시스템은 관리자가 언제든지 점검 어플리케이션을 로컬 시스템에 설치하여 웹 사이트를 원격에서 점검하고 관리할 수 있는 효과가 있다.
또한, 일반 유저 환경과 동일한 환경에서 웹 사이트를 점검함으로써, 웹 서버 측에서는 그 영향이 미미한 위조/변조 등도 손쉽게 파악하여 대응할 수 있는 효과가 있다.
또한, 웹 서버 측에 위조/변조 방지를 위한 모듈 또는 시스템이 모두 설치되 는 것이 아니므로, 서버의 성능 향상을 가져올 수 있는 효과가 있다.
또한, 웹 서버 측에 위조/변조 방지를 위한 모듈 또는 시스템이 모두 설치되는 것이 아니라 로컬 시스템에 본 발명의 실시 예에 따른 점검 어플리케이션이 설치되므로, 웹 서버 측에 설치된 모듈 또는 시스템이 공격당하더라도 상기 점검 어플리케이션에 의해 웹 사이트의 위조/변조를 방지하고 대응할 수 있는 효과가 있다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 실시 예에 따른 웹 사이트 점검 시스템의 개략적인 구성도 및 데이터 흐름을 나타낸다.
도 1을 참조하면, 본 발명의 실시 예에 따른 웹 사이트 점검 시스템(1)은 로컬 단말기(또는 시스템)에 설치되는 점검 어플리케이션(100), 웹 사이트를 제공하는 서버(200) 및 상기 서버(200)가 위조/변조로 판단된 경우 상기 서버(200)를 복구하기 위한 백업장치를 포함한다.
본 발명의 실시 예에 따른 웹 사이트 점검 방법을 설명하면, 로컬 단말기(미도시)에 설치된 상기 점검 어플리케이션(100)은 상기 서버(200)로부터 사이트 정보를 수신한다(S100). 상기 로컬 단말기(미도시)는 유/무선 네트워크를 통하여 상기 서버(200)에 접속하여 데이터 통신이 가능하며, 본 발명의 실시 예에 따른 점검 어플리케이션(100)이 구동될 수 있는 어떠한 데이터 처리 시스템도 포함하는 의미로 사용될 수 있다.
상기 점검 어플리케이션(100)은 상기 서버(200)가 제공하는 웹 사이트에 접속하여 상기 웹 사이트에 상응하는 사이트 정보(즉, 웹 문서의 데이터)를 읽어오는 기능을 포함하거나, 웹 클라이언트와 연동하여 상기 웹 클라이언트가 읽어 온 데이터에 접근할 수 있는 어플리케이션(application)일 수 있다. 이하에서는 상기 점검 어플리케이션(100)이 직접 상기 사이트 정보를 수신하는 경우를 예를 들어 설명하지만, 본 발명의 권리범위가 이에 한정되지는 않는다.
상기 사이트 정보는 웹 사이트를 구성하는 모든 구성요소(예컨대, 삽입된 파일, 디렉터리, 또는 HTML 소스 등)을 포함하는 의미로 사용될 수 있다. 일반적으로 웹 클라이언트(예컨대, 브라우저 등)가 소정의 웹 사이트에 접속하면, 상기 웹 사이트에 상응하는 사이트 정보는 로컬 단말기의 임시 폴더(예컨대, Temp 폴더 등)에 저장된다. 이와 유사하게 상기 점검 어플리케이션(100)은 상기 웹 사이트에 상응하는 상기 사이트 정보를 수신할 수 있다. 즉, 상기 점검 어플리케이션(100)은 상기 웹 사이트에 접속하고, 접속 결과 상기 사이트 정보를 상기 로컬 단말기의 임시 폴더에 저장할 수 있다. 물론, 상기 임시 폴더는 상기 로컬 단말기에 설치된 웹 클라이언트가 사용하는 임시 폴더와는 별개의 폴더일 수도 있다.
결국, 상기 점검 어플리케이션(100)은 상기 웹 사이트에 접속하는 과정을 미리 거칠 수 있으며, 구현 예에 따라 웹 클라이언트가 상기 웹 사이트를 로딩하는 것과 같이 상기 점검 어플리케이션(100)은 상기 웹 사이트를 로딩할 수도 있다. 이때 사용자는 웹 클라이언트(예컨대, 웹 브라우저)로 상기 웹 사이트에 접속한 것과 동일한 효과를 상기 점검 어플리케이션(100)을 통해 얻을 수 있다.
이를 통해 상기 점검 어플리케이션(100)은 수신된 상기 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검한다(S110). 웹 사이트의 위/변조를 점검한다고 함은, 전술한 바와 같이 웹 사이트의 위조/변조, 바이러스 감염, 스파이웨어 또는 애드웨어의 무단 설치, 피싱(phsing)이나 파밍(pharming) 등과 같은 경우 중 적어도 하나의 경우가 웹 사이트의 제작자/운영자의 의도와 관계없이 웹 사이트를 구성하는 웹 문서의 적어도 일부분이 무단으로 변경/삭제/추가되는 경우가 있는지 검사하는 것을 의미할 수 있다.
점검결과 위/변조로 판단되면, 상기 점검 어플리케이션(100)은 상기 백업장 치(300)로 제어신호를 전송할 수 있다(S120). 상기 백업 장치(300)는 상기 제어신호에 응답하여 상기 백업 장치(300)에 저장된 백업 정보를 상기 서버(200)에 전송하고(S130), 상기 서버(200)는 상기 백업정보에 기초하여 상기 웹 사이트를 복구함으로써 상기 웹 사이트에 상기 백업정보를 반영할 수 있다.
상기 백업 정보는 상기 웹 사이트가 위조/변조되기 전의 웹 사이트에 상응하는 사이트 정보 또는 구현 예에 따라 상기 웹 사이트의 제작자/운영자가 별도로 구성해 놓은 웹 사이트의 사이트 정보일 수 있다.
상기 백업 장치(300)는 상기 서버(200)와 콜로케이티드(colocated)된 장치일 수 있다. 콜로케이티드 되었다 함은, 상기 백업 장치(300)가 상기 서버(200)의 적어도 일부분에 포함되는 경우뿐만 아니라, 물리적으로 분리되어 있더라도 네트워크를 통하여 서로 필요한 데이터를 주고받을 수 있는 상태를 의미할 수 있다.
상기 백업 장치(300)는 상기 서버(200)로부터 상기 웹 사이트의 사이트 정보를 미리 주기적으로 백업해 놓을 수 있다.
구현 예에 따라, 상기 점검 어플리케이션(100)은 상기 웹 사이트가 위조/변조 되었다고 판단한 경우, 소정의 기본 페이지를 상기 웹 사이트에 반영하도록 할 수 있다. 상기 소정의 기본 페이지는 상기 웹 사이트가 임시적으로 사용될 수 없음을 사용자에게 알리는 내용의 웹 페이지일 수 있다. 예컨대, '임시 복구 중입니다'라는 내용을 로딩하는 웹 페이지일 수 있다. 전술한 바와 같이, 본 발명의 실시 예에 따른 웹 사이트 점검 시스템(1)은 자동으로 웹 사이트를 백업을 통해 복구할 수도 있지만, 백업이 적절하지 않거나 사이트 운영자의 필요에 의해 백업을 바로 수 행하지 않고 상기 소정의 기본 페이지를 상기 웹 사이트에 로딩함으로써 위조/변조에 유연하게 대응할 수도 있을 것이다. 상기 점검 어플리케이션(100)은 구현 예에 따라 상기 소정의 기본 페이지를 직접 상기 서버(200)로 전송할 수도 있고, 상기 백업장치(300)에 저장된 상기 소정의 기본 페이지를 상기 서버(200)로 전송하도록 제어할 수도 있다.
상기 점검 어플리케이션(100)이 상기 웹 사이트의 위조/변조를 점검하는 방법은 도 2를 참조하여 설명하기로 한다.
도 2는 본 발명의 실시 예에 따른 점검 어플리케이션의 개략적인 기능 블록도를 나타낸다. 도 2를 참조하면, 본 발명의 실시 예에 따른 점검 어플리케이션(100)은 제어모듈(110) 및 기준 정보 DB(120)를 포함한다. 상기 점검 어플리케이션(100)은 안티 바이러스 모듈(130), 패턴비교 모듈(140), 및/또는 악성정보 리스트(150) 중 적어도 하나를 더 포함할 수 있다.
본 명세서에서 모듈이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 모듈은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
상기 제어모듈(110)은 상기 점검 어플리케이션(100)의 전체적인 연산과 작동을 제어할 수 있다. 상기 제어모듈(110)은 도 2에 도시된 구성요소의 제어 이외에 상기 서버(200)와의 데이터 입출력과 기타 부수적인 기능을 더 수행할 수 있다.
상기 기준 정보 DB(120)는 상기 웹 사이트의 정상 사이트 정보를 저장한다. 즉, 상기 웹 사이트가 위조/변조되지 않았을 때의 사이트 정보를 포함하며, 상기 정상 사이트 정보를 포함하기만 하면, 상기 기준 정보 DB(120)가 , 링크드 리스트(linked-list), 트리(Tree), 관계형 DB의 형태 등 어떠한 방식으로 구현되든지 본 발명의 권리범위에 속한다 할 것이다. 즉, 상기 기준 정보 DB(120)는 상기 정상 사이트 정보를 저장할 수 있는 모든 데이터 저장매체 및 데이터 구조를 포함한다.
한편, 상기 제어모듈(110)은 상기 기준 정보 DB(120)에 포함된 정보와 수신된 상기 사이트 정보를 비교하여 상기 웹 사이트의 위/변조를 판단할 수 있다. 즉, 위조/변조되지 않은 정상 사이트 정보를 기준으로 하여, 수신된 현재의 사이트 정보가 차이가 있는지 또는 얼마나 차이가 나는지를 비교, 분석하여 위조/변조 여부를 판단할 수 있다.
예컨대, 상기 제어모듈(110)은 상기 정상 사이트 정보와 상기 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중 적어도 하나의 개수 또는 사이즈 중 적어도 하나를 비교할 수 있다. 상기 제어모듈(110)은 수신된 사이트 정보가 저장된 임시 폴더에 저장된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML 소스의 개수 및 크기를 알 수 있다. 그러므로, 정상 사이트 정보와 상기 임시 폴더에 저장된 사이트 정보에 기초하여 위조/변조 여부를 판단할 수 있는 것이다. 예컨대, 상기 제어 모듈(110)은 상기 웹 사이트가 정상 상태에서는 파일을 10개 포함하고 있는데, 수신된 사이트 정보에 기초하여 파일(예컨대, 이미지 파일 등)의 개수를 판단한 결과 11개라면 위조/변조되었을 가능성이 크다고 볼 수 있다. 또한, 특정 파일의 크기(size)가 변경된 경우 위조/변조되었을 가능성이 크다고 볼 수 있다. 또한, 상기 웹 사이트에 포함되는 디렉터리의 개수가 변경된 경우 또는 삽입된 파일이나 디렉터리가 아닌 순수 HTML 소스의 크기가 변경된 경우 상기 웹 사이트는 위조/변조되었을 가능성이 크다고 볼 수 있다.
한편, 위조/변조 여부의 최종 판단 방법은 구현 예에 따라, 또는 상기 웹 사이트의 특성에 따라 다소 다를 수 있다.
예컨대, 상기 웹 사이트가 정적인 사이트여서, 상기 웹 사이트에 상응하는 웹 문서의 정보가 거의 변동되지 않는 경우에는 전술한 것처럼, 상기 사이트 정보에 포함된 파일, 디렉터리, 또는 HTML 소스 중 적어도 하나가 변경되기만 하면 위조/변조되었다고 판단할 수 있다.
하지만, 상기 웹 사이트가 동적(dynamic)으로 변경되는 사이트이고, 실시간으로 유저에 의해 파일 또는 정보가 변경될 수 있는 사이트인 경우에는 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중 적어도 하나의 개수 또는 사이즈 중 적어도 하나를 비교한 결과 미리 설정된 소정의 비율 이상 변경된 경우에 위조/변조되었다고 판단할 수 있다. 예컨대, 특정 파일의 크기가 5%이상 변경된 경우에만 위조/변조되었다고 판단할 수 있다. 또한, 전체 HTML 소스는 변경된 경우라면 무조건 위조/변조되었다고 판단할 수도 있다. 또한, 파일 의 개수가 10%이상 차이가 있는 경우에만 위조/변조되었다고 판단할 수도 있다. 상기 미리 설정된 소정의 비율은 통계적 분석에 의해 미리 결정될 수 있으며, 상술한 바와 같이 분석항목(예컨대, 파일, 디렉터리, 또는 HTML 소스 등)에 따라 그 비율이 다르게 설정될 수도 있다.
또한, 위조/변조되었다고 판단하는 기준은 통계적 분석에 의해 정해질 수도 있다. 예컨대, 지수가중이동평균(EWMA)과 같은 알고리즘을 이용하여 현재 값과 예측 값을 통계적 분석에 의해 예측하고, 예상치와 다르게 변경된 경우에 위조/변조되었다고 판단될 수 있다. 이러한 예측 값은 상황에 맞게 자동으로 설정될 수 있다.
또한, 상기 제어모듈(110)이 상기 정상 사이트 정보와 수신된 현재의 사이트 정보를 비교하는 항목이 전술한 바와 같은 웹 사이트의 파일, 디렉터리, 또는 HTML 소스에 국한되지는 않음은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 도출될 수 있을 것이다.
예컨대, 상기 정상 사이트 정보와 상기 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 링크(link), 팝업(pop-up), 또는 입력 폼(input form) 중 적어도 하나의 개수를 비교할 수도 있다. 상기 링크(link), 팝업(pop-up), 또는 입력 폼(input form)은 상기 사이트 정보에서 태그(tag) 분석을 통하여 그 개수를 확인할 수 있으며, 다양한 방법으로 다이내믹 링크(dynamic link)의 개수도 확인할 수 있음은 자명한 사실이다. 또한, 상기 링크(link), 팝업(pop-up), 또는 입력 폼(input form)의 개수도 소정의 비율 이상 차이가 있는 경우에만 위조/변조되었다 고 판단할 수 있다.
상기 기준 정보 DB(120)는 상기 서버(200)와 네트워크를 통해 연결되어 수동 또는 자동으로 업 데이트 될 수 있다.
한편, 상기 제어모듈(110)은 수신된 상기 사이트 정보의 적어도 일부분을 상기 안티 바이러스 모듈(130)로 전송하도록 제어하여 상기 웹 사이트의 바이러스 감염 여부를 판단할 수도 있다. 본 명세서에서는 상기 바이러스는 악의적 목적을 가지고 유포/배포되는 스파이웨어 또는 애드웨어를 포함하는 의미로 사용될 수 있다. 또한, 사용자의 선택 기준에 따라서 상기 웹 사이트의 특정 종류의 파일 또는 특정 태그만을 검사할 수도 있다.
상기 안티바이러스 모듈(130)은 다양한 바이러스의 패턴에 대한 정보를 저장할 수 있으며, 종래의 안티바이러스 프로그램의 기능을 그대로 수행할 수 있다 . 즉, 상기 안티바이러스 모듈(130)은 패턴 검색을 통해 이미 알고 있는 바이러스에 해당하는 패턴이 검사되는지 여부를 확인함으로써 상기 웹 사이트가 바이러스에 감염되었는지 여부를 판단할 수 있다. 상기 안티바이러스 모듈(130)의 역할 및 기능은 다양한 안티바이러스 프로그램이 공지되어 있으므로 상세한 설명은 생략한다. 상기 안티바이러스 모듈(130)은 안티바이러스 프로그램을 제공하는 서비스 제공자 시스템과 연결되어 주기적으로 또는 특정 시점에서 업 데이트 될 수 있다.
한편, 상기 제어모듈(110)은 수신된 상기 사이트 정보가 특정 패턴을 포함하는지를 더 판단할 수도 있다. 상기 특정 패턴이라 함은, 바이러스가 아닌 소정의 규제에 의하거나 웹 사이트 운영자가 임의로 설정하여 상기 웹 사이트에서는 포함 되지 못하도록 설정된 정보의 패턴을 의미할 수 있다.
예컨대, 특정 사이트에서는 주민번호 또는 신용카드 번호 등이 암호화되거나 인코딩(encoding) 되지 않은 상태에서는 노출될 수 없도록 설정될 수 있다. 이럴 때, 상기 패턴비교 모듈(140)은 상기 주민번호 또는 상기 신용카드 번호에 상응하는 레귤러 익스프레션(regular expression)을 이용하여 상기 웹 사이트에 주민번호 또는 신용카드번호가 설정 값과 달리 노출되었는지를 판단할 수 있다. 이러한 레귤러 익스프레션은 상기 패턴 비교모듈(140)에 미리 저장될 수 있다. 또한, 패턴 비교 모듈(140)이 특정 패턴이 포함되었는지를 판단하기 위해 상기 레귤러 익스프레션 외에 다양한 방법이 사용될 수 있음은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
예컨대, 미성년자가 접근할 수 있는 사이트에는 음란 단어나 음란 텍스트의 샘플이 상기 패턴 비교 모듈(140)에 미리 저장되어 있으며, 상기 패턴 비교 모듈(140)은 상기 제어모듈(110)의 제어하에 상기 음란 단어나 음락 텍스트가 상기 웹 사이트에 포함되었는지를 판단할 수 있다.
또한, 상기 악성 정보 리스트(150)는 악성 코드를 심어 놓은 서버 주소 또는 유해한 정보를 담고 있는 URL 주소 등에 대한 정보를 포함할 수 있다. 예컨대, 상기 악성 정보 리스트(150)에는 아이 프레임(iframe)과 같이 악성코드가 배포될 수 있는 URL 주소 또는 접속시에 서버 시스템 및/또는 로컬 시스템에 악영향(예컨대, 바이러스, 애드웨어, 스파이웨어, 또는 유해정보 등)을 미칠 수 있는 여러 주소들을 포함할 수 있다. 따라서, 상기 제어모듈(110)은 상기 사이트 정보에 포함된 정 적 또는 동적 링크가 상기 악성 정보 리스트(150)에 포함된 정보를 포함하는지를 판단하여, 사전적으로 위조/변조 또는 공격을 차단할 수 있는 효과가 있다. 이러한 악성 정보 리스트(150)는 소프트웨어 보안 분야의 전문가 집단에 의해 실시간으로 업데이트 되면서 공유되고 있는 경우도 있고, 본 발명의 실시 예에 따라 별도로 작성되어 주기적으로 업 데이트 될 수 있다.
전술한 바와 같은 웹 사이트의 다양한 위조/변조 검사의 결과는 오류 보고서 형식으로 생성될 수 있다. 이러한 오류 보고서는 위조/변조 검사의 결과뿐만아니라, 정상적인 웹 사이트 즉, 위조/변조되지 않은 웹 사이트에서 발생할 수 있는 오류(예컨대, 스크립트 에러 등)에 대한 정보도 포함할 수 있다. 이는 상기 점검 어플리케이션(100)은 웹 브라우징 기능을 수행할 수 있기 때문이다.
본 발명에 따른 클라이언트를 통한 웹 사이트 점검 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드, 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의 해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 웹 사이트 점검 시스템의 개략적인 구성도 및 데이터 흐름을 나타낸다.
도 2는 본 발명의 실시 예에 따른 점검 어플리케이션의 개략적인 기능 블록도를 나타낸다.

Claims (15)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 로컬 단말기에 설치된 점검 어플리케이션이 서버로부터 사이트 정보를 수신하는 단계;
    상기 점검 어플리케이션이 수신된 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검하는 단계; 및
    점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션이 백업장치로 제어신호를 전송하여, 상기 백업 장치에 저장된 백업 정보를 상기 웹 사이트에 반영하도록 하는 단계를 포함하며,
    상기 위/변조를 점검하는 단계는,
    기준 정보 DB에 포함된 상기 웹 사이트의 정상 사이트 정보와 상기 수신된 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중에서 적어도 하나의 개수 또는 사이즈를 비교하고 비교 결과에 따라 상기 위/변조를 점검하는 웹 사이트 점검 방법.
  5. 제4항에 있어서, 상기 점검결과는,
    상기 적어도 하나의 개수 또는 상기 사이즈를 비교한 결과, 변경된 비율이 미리 설정된 소정의 값보다 같거나 큰 경우 또는 통계적 분석에 의한 분석 값과 다르게 변경된 경우 상기 위/변조로 판단되는 웹 사이트 점검 방법.
  6. 로컬 단말기에 설치된 점검 어플리케이션이 서버로부터 사이트 정보를 수신하는 단계;
    상기 점검 어플리케이션이 수신된 사이트 정보에 기초하여 웹 사이트의 위/변조를 점검하는 단계; 및
    점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션이 백업장치로 제어신호를 전송하여, 상기 백업 장치에 저장된 백업 정보를 상기 웹 사이트에 반영하도록 하는 단계를 포함하며,
    상기 위/변조를 점검하는 단계는,
    기준 정보 DB에 포함된 상기 웹 사이트의 정상 사이트 정보와 상기 수신된 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 링크, 팝-업, 또는 입력 폼 중에서 적어도 하나의 개수를 비교하고 비교 결과에 따라 상기 위/변조를 점검하는 웹 사이트 점검 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 제4항, 제5항, 또는 제6항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체.
  13. 웹 사이트를 제공하는 서버;
    상기 서버로부터 상기 웹 사이트의 사이트 정보를 수신하고, 수신된 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 점검 어플리케이션; 및
    점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션으로부터 제어신호를 수신하여 백업정보를 상기 서버에 반영하는 백업 장치를 포함하며,
    상기 점검 어플리케이션은,
    기준 정보 DB에 포함된 상기 웹 사이트의 정상 사이트 정보와 상기 수신된 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 파일, 디렉터리, 또는 HTML(Hyper Text Markup Language) 소스 중에서 적어도 하나의 개수 또는 사이즈를 비교하고 비교 결과에 따라 상기 위/변조를 판단하는 웹 점검 시스템.
  14. 웹 사이트를 제공하는 서버;
    상기 서버로부터 상기 웹 사이트의 사이트 정보를 수신하고, 수신된 사이트 정보에 기초하여 상기 웹 사이트의 위/변조를 점검하는 점검 어플리케이션; 및
    점검결과 위/변조로 판단된 경우, 상기 점검 어플리케이션으로부터 제어신호를 수신하여 백업정보를 상기 서버에 반영하는 백업 장치를 포함하며,
    상기 점검 어플리케이션은,
    기준 정보 DB에 포함된 상기 웹 사이트의 정상 사이트 정보와 상기 수신된 사이트 정보에 포함된 정보에 기초하여 상기 웹 사이트의 링크, 팝-업, 또는 입력 폼 중에서 적어도 하나의 개수를 비교하고 비교 결과에 따라 상기 위/변조로 판단하는 웹 점검 시스템.
  15. 제13항 또는 제14항에 있어서, 상기 점검 어플리케이션은,
    상기 웹 사이트의 바이러스 감염 여부를 판단하기 위한 안티 바이러스 모듈, 상기 웹 사이트에 특정 패턴이 포함되는지 여부를 판단하기 위한 패턴 비교 모듈, 또는 상기 웹 사이트가 악성 정보 리스트에 저장된 정보를 포함하는지 여부를 비교하기 위한 악성 정보 리스트 중 적어도 하나를 포함하는 웹 점검 시스템.
KR1020080014830A 2008-02-19 2008-02-19 웹 사이트 점검 방법 및 그 시스템 KR100977150B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080014830A KR100977150B1 (ko) 2008-02-19 2008-02-19 웹 사이트 점검 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080014830A KR100977150B1 (ko) 2008-02-19 2008-02-19 웹 사이트 점검 방법 및 그 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020100023324A Division KR20100049514A (ko) 2010-03-16 2010-03-16 웹 사이트 점검 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20090089584A KR20090089584A (ko) 2009-08-24
KR100977150B1 true KR100977150B1 (ko) 2010-08-23

Family

ID=41207701

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080014830A KR100977150B1 (ko) 2008-02-19 2008-02-19 웹 사이트 점검 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR100977150B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101431951B1 (ko) 2013-01-03 2014-08-19 사단법인 금융결제원 더미 링크 기반 레퍼러 모니터링을 이용한 피싱 탐지 방법 및 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102084183B1 (ko) * 2018-06-11 2020-03-03 숭실대학교산학협력단 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010104036A (ko) * 2000-05-12 2001-11-24 오경수 인터넷을 이용한 통합 보안 서비스 시스템
KR20050108511A (ko) * 2004-05-12 2005-11-17 삼성전자주식회사 변경된 웹페이지 출력 시스템 및 그 방법
KR20060033603A (ko) * 2004-10-15 2006-04-19 유문수 시나리오를 이용한 자동 보안 서비스 시스템 및 그 방법
KR20080026676A (ko) * 2006-09-20 2008-03-26 (주)지오트 웹 사이트의 침입을 발견하기 위한 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010104036A (ko) * 2000-05-12 2001-11-24 오경수 인터넷을 이용한 통합 보안 서비스 시스템
KR20050108511A (ko) * 2004-05-12 2005-11-17 삼성전자주식회사 변경된 웹페이지 출력 시스템 및 그 방법
KR20060033603A (ko) * 2004-10-15 2006-04-19 유문수 시나리오를 이용한 자동 보안 서비스 시스템 및 그 방법
KR20080026676A (ko) * 2006-09-20 2008-03-26 (주)지오트 웹 사이트의 침입을 발견하기 위한 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101431951B1 (ko) 2013-01-03 2014-08-19 사단법인 금융결제원 더미 링크 기반 레퍼러 모니터링을 이용한 피싱 탐지 방법 및 시스템

Also Published As

Publication number Publication date
KR20090089584A (ko) 2009-08-24

Similar Documents

Publication Publication Date Title
Lee et al. CloudRPS: a cloud analysis based enhanced ransomware prevention system
JP7084778B2 (ja) 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法
JP6304833B2 (ja) マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
CN110647744B (zh) 文件系统中的取证分析的方法、装置、介质和系统
US10009370B1 (en) Detection and remediation of potentially malicious files
US20110030060A1 (en) Method for detecting malicious javascript
KR102093274B1 (ko) 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN102301373A (zh) 对网络资源的基于健康状况的访问
CN101223562A (zh) 使html浏览器及扩展对已知的易受攻击性免疫
CA2674327C (en) Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
KR100916324B1 (ko) 방화벽을 이용한 악성 코드 유포 사이트 관리 방법, 장치및 시스템
US10938849B2 (en) Auditing databases for security vulnerabilities
Dubin Content disarm and reconstruction of PDF files
Delosières et al. Infrastructure for detecting Android malware
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
KR101345867B1 (ko) 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법
Mohata et al. Mobile malware detection techniques
KR100977150B1 (ko) 웹 사이트 점검 방법 및 그 시스템
KR20120070025A (ko) 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법
CN104580200A (zh) 一种网站防护方法与装置
Hauser et al. A taint marking approach to confidentiality violation detection
KR101968633B1 (ko) 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
KR20100049514A (ko) 웹 사이트 점검 방법 및 그 시스템
Mun et al. Secure short url generation method that recognizes risk of target url

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee