KR101428004B1 - 데이터를 유출하는 악성 코드 탐색 방법 및 장치 - Google Patents

데이터를 유출하는 악성 코드 탐색 방법 및 장치 Download PDF

Info

Publication number
KR101428004B1
KR101428004B1 KR1020140040494A KR20140040494A KR101428004B1 KR 101428004 B1 KR101428004 B1 KR 101428004B1 KR 1020140040494 A KR1020140040494 A KR 1020140040494A KR 20140040494 A KR20140040494 A KR 20140040494A KR 101428004 B1 KR101428004 B1 KR 101428004B1
Authority
KR
South Korea
Prior art keywords
malicious code
information
data
outflow
destination
Prior art date
Application number
KR1020140040494A
Other languages
English (en)
Inventor
차형건
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020140040494A priority Critical patent/KR101428004B1/ko
Application granted granted Critical
Publication of KR101428004B1 publication Critical patent/KR101428004B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

데이터를 유출하는 악성 코드 탐색 방법 및 장치가 개시된다. 본 발명의 일측면에 따른 사용자 단말과 통신망을 통해 연결된 서버 장치에서의 악성 코드 탐색 방법은, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보를 수신하는 단계; 복수개 수신된 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계; 및 결정 결과를 사용자 단말들로 제공하는 단계를 포함한다. 본 발명에 따르면, 사용자 단말단에서 외부로 데이터를 유출시키는 경우에 대한 정보를 중앙에서 수집하여 빅데이터 분석함으로써, 해당 프로세서가 악성 코드인지 여부를 확인할 수 있어, 신종 악성 코드도 빠른 시간 내에 탐색할 수 있다.

Description

데이터를 유출하는 악성 코드 탐색 방법 및 장치{Method and device for detecting malicious processes outflow data}
본 발명은 악성 코드 탐색에 관한 것으로서, 좀 더 상세하게는 데이터를 외부로 유출하는 악성 코드 탐색 방법 및 장치에 관한 것이다.
최근에는 컴퓨팅 장치의 일부 소프트웨어 또는 하드웨어를 제대로 작동하지 못하게 하는 악성코드뿐 아니라, 중요한 내부 데이터를 외부로 유출시키는 악성코드가 문제가 되고 있다. 이에 따라 개인정보의 유출뿐 아니라, 보안상 중요한 파일 등이 외부로 유출됨으로써, 그 피해가 커지고 있다.
외부로 데이터를 유출시키는 악성 코드의 경우, 사용자의 명령과는 상관없이 자체적으로 프로세스를 구동시켜 내부 데이터를 특정 목적지로 유출시킨다. 이를 예방하기 위해 외부로 데이터를 유출시키는 모든 프로세스를 막는 방법도 제안될 수 있으나, 이러한 경우 정당한 프로세서에 의한 데이터의 외부 전송까지도 차단하게 되는 문제가 초래될 수 있다.
대한민국 등록특허 제10-1018848 (공고일자 2011년03월04일) 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 외부로 데이터를 유출시키는 프로세스가 존재하는 경우 해당 프로세스가 악성 코드에 의한 것인지 여부를 확인하는 악성 코드 탐색 방법 및 장치를 제공하기 위한 것이다.
또한, 본 발명은 악성 코드에 의해 데이터가 유출되는 유출 목적지를 DB화함으로써, 동일한 피해를 최소화하기 위한 악성 코드 탐색 방법 및 장치를 제공하기 위한 것이다.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
본 발명의 일 측면에 따르면, 사용자 단말과 통신망을 통해 연결된 서버 장치에서의 악성 코드 탐색 방법에 있어서, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보를 수신하는 단계; 복수개 수신된 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계; 및 결정 결과를 상기 사용자 단말들로 제공하는 단계를 포함하는 악성 코드 탐색 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.
여기서, 아이피주소, 지역 또는 국가에 대한 정보를 갖는 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 데이터베이스화하는 단계를 더 포함하되, 회원단말들에게 상기 악성코드정보가 제공될 수 있다.
또한, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어 동일한 유출목적지를 갖는 리포트 정보의 개수는 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달라질 수 있다.
또한, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계에서는, 상기 유출목적지가 일부 상이하더라도 일정 기간 동안 수신된 리포트 정보에 따른 각 유출데이터의 유형이 동일 또는 유사한 경우에는 상기 감시대상 프로세스를 악성 코드에 의한 것으로서 결정하되, 각 유출목적지를 하나의 그룹으로 설정하여 데이터베이스화할 수 있다.
그리고, 통신망과 연결된 컴퓨팅 장치에서의 악성 프로세스 탐색 방법에 있어서, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식하는 단계; 상기 감시대상 프로세스에 따른 데이터의 유출목적지에 대한 정보를 포함하는 리포트 정보를 악성코드 탐색장치로 전송하는 단계; 및 상기 악성코드 탐색장치로부터 수신된 악성 판단 결과가 악성으로 판단되면 상기 감시대상 프로세스에 따른 코드를 악성코드로서 처리하는 단계를 포함하되, 상기 악성코드 탐색장치는 상기 리포트 정보를 복수개의 회원단말로부터 수신하여 분석함으로써 상기 감시대상 프로세스가 악성 프로세스인지 여부를 판단하는 것을 특징으로 하는 악성 코드 탐색 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.
여기서, 상기 감시대상 프로세스를 인식하는 단계는, 상기 감시대상 프로세스에 따른 데이터의 유출목적지가 상기 악성코드 탐색장치로부터 미리 수신되어 저장된 악성코드정보에 의한 악성목적지 중 하나인지 여부를 판단하는 단계를 더 포함하되, 상기 유출목적지가 악성목적지인 경우 상기 감시대상 프로세스를 차단할 수 있다.
본 발명의 다른 측면에 따르면, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보를 수신하기 위한 통신부; 복수개 수신된 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하고, 결정된 결과를 상기 사용자 단말들에게 제공하는 제어부; 및 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장하기 위한 저장부를 포함하는 악성 코드 탐색 장치가 제공된다.
여기서, 상기 제어부는 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어, 동일한 유출목적지를 갖는 리포트 정보의 개수를 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달리할 수 있다.
본 발명에 따르면, 사용자 단말단에서 외부로 데이터를 유출시키는 경우에 대한 정보를 중앙에서 수집하여 빅데이터 분석함으로써, 해당 프로세서가 악성 코드인지 여부를 확인할 수 있어, 신종 악성 코드도 빠른 시간 내에 탐색할 수 있다.
또한, 본 발명에 따르면 악성 코드에 의해 데이터가 유출되는 유출 목적지를 DB화함으로써, 동일한 피해를 최소화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 데이터를 유출하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 악성코드 탐색장치의 구성을 도시한 블록도.
도 3은 본 발명의 일 실시예에 따른 악성 코드 탐색 과정을 도시한 흐름도.
도 4는 본 발명의 일 실시예에 따른 악성 코드 판단을 위한 기준정보를 도시한 테이블.
도 5는 본 발명의 일 실시예에 따른 사용자 단말에서 수행되는 악성코드 탐색 과정을 도시한 흐름도.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 데이터를 유출하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도이다.
도 1을 참조하면, 본 실시예에 따른 전체 시스템은 악성코드를 탐지하는 악성코드 탐색장치(30)와 사용자 단말들(10-1, 10-2, ..., 10-n, 이하 10으로 통칭)을 포함한다.
사용자 단말(10)은 통신망을 통한 통신이 가능한 단말장치로서, 도면에 도시된 바와 같은 데스크탑 컴퓨터(10-n), 노트북(10-2)뿐 아니라 스마트폰(10-1), 태블릿PC(도시되지 않음) 등의 모바일 기기일 수 있다.
사용자 단말(10)은 키보드, 터치스크린, 마우스 등의 입력 수단을 구비하며, 사용자로부터 입력 수단을 통해 갖가지 명령을 입력 받아 처리한다. 사용자 단말(10)은 이러한 사용자의 명령에 의한 프로세스를 제외하고, 나머지 프로세스(이하 감시대상 프로세스라 칭함)에 의해 통신망을 통해 외부로 데이터가 유출되는지 여부를 감지한다. 감시대상 프로세스가 존재한다는 것은, 해당 프로세스가 악성 코드에 의해 구동되어 중요 데이터가 외부로 유출될 수도 있기 때문이다.
이처럼, 사용자 단말(10)은 감시대상 프로세스가 구동되어 외부로 데이터가 유출되는 경우, 이를 감지하여 악성코드 탐색장치(30)로 보고한다.
악성코드 탐색장치(30)는 이처럼 복수개의 사용자 단말(10)들로부터 보고된 정보(이하 리포트 정보라 칭함)를 기반으로, 해당 사용자 단말(10)들에서 악성 코드에 의해 데이터가 유출되었는지 여부를 판단하는 것이다.
이하, 악성코드 탐색장치(30)의 구성과 그 처리 방식에 대해 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 악성코드 탐색장치(30)의 구성을 도시한 블록도이다.
도 2를 참조하면, 악성코드 탐색장치(30)는 통신부(210), 저장부(220) 및 제어부(230)를 포함하되, 제어부(230)는 악성 판단부(231), 악성코드 관리부(233)를 포함할 수 있다.
통신부(210)는 사용자 단말(10)들과 통신하기 위한 수단으로, 사용자 단말(10)들로부터 리포트 정보를 수신한다.
상술한 바와 같이, 사용자 단말(10)들은 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식하고, 그 감시대상 프로세스에 의해 데이터가 유출되는 목적지인 유출목적지에 대한 정보를 포함하는 리포트 정보를 생성한다.
제어부(230)의 악성 판단부(231)는 복수개 수신된 리포트 정보들을 기반으로 데이터 그 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정한다. 즉, 일정 개수 이상의 사용자 단말(10)들에서 동일한 유출목적지로 데이터를 유출한 경우, 해당 감시대상 프로세스들은 악성코드에 의한 것으로 판단되는 것이다.
여기서, 사용자 단말(10)들의 연관성이 더 판단될 수 있다. 만일 각 사용자 단말(10)들이 동일 아이피를 이용한다거나, 동일한 로컬 네트워크를 이용하는 단말들인 경우 연관성이 있는 것으로 판단될 수 있다. 연관성이 존재하는 단말들은 정상적인 프로세스에 의해 동일한 유출목적지로 데이터를 유출할 수도 있기 때문에, 연관성이 없는 사용자 단말(10)들로부터의 리포트 정보만이 이용되어 동일한 유출 목적지인지 여부가 판단될 수 있다.
유출 목적지는 그 아이피주소 정보가 이용될 수 있으며, 더욱이 맥주소(MAC Address)도 함께 이용될 수 있다.
유출 목적지의 동일성 여부에 의해 악성 여부가 결정되면 해당 결과 정보는 사용자 단말(10)들에게 제공되어, 사용자 단말(10)은 그에 따라 해당 프로세스에 따른 프로세서를 처리한다. 예를 들어, 만일 악성으로 판단된 경우, 사용자 단말(10)은 해당 프로세스를 구동한 코드를 악성으로 판단하여 삭제 처리할 수 있다.
그리고 제어부(230)의 악성코드 관리부(233)는 유출목적지 및 해당 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장부(220)에 저장한다.
악성코드정보는 리포트 정보를 송신한 사용자 단말(10)들뿐 아니라 모든 회원단말들로 제공되어, 동일한 악성코드에 의한 데이터 유출을 예방하도록 한다.
일례에 따르면, 저장부(220)에는 블랙리스트와 화이트리스트에 따른 코드정보들이 DB화되어 저장될 수 있다. 쉬운 예로, 악성 코드로 판단된 유출 목적지 및 프로세스 정보들은 블랙리스트로서 관리되고, 이와 반대로 악성이 아닌 정상 코드로 판단된 유출 목적 및 프로세스 정보들은 화이트리스트로서 관리되는 것이다. 이러한 블랙리스트 및 화이트리스트에 대한 정보는 회원 단말들로 제공되어, 회원 단말들은 이를 활용할 수 있다. 이에 대한 상세한 설명은 관련 도면(도 5)를 참조하여 후술하기로 한다.
이하, 악성코드 탐색장치(30)에서의 악성 코드 탐색 과정에 대해 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 악성 코드 탐색 과정을 도시한 흐름도이고, 도 4는 본 발명의 일 실시예에 따른 악성 코드 판단을 위한 기준정보를 도시한 테이블이다.
도 3을 참조하면, 악성코드 탐색장치(30)는 외부로 데이터를 유출하는 사용자 단말(10)들로부터 리포트 정보를 취득한다(S310). 리포트 정보로는 유출 목적지에 대한 아이피주소, 지역(또는 국가) 정보, 해당 프로세스를 구동하는 프로세서에 대한 정보 등이 포함될 수 있다.
이렇게 취득된 리포트 정보들은 빅데이터로서 관리되어, 빅데이터 분석이 수행된다. 즉, 악성코드 탐색장치(30)는 일정기간 동안 또는 일정개수 이상 수신된 리포트 정보를 기반으로 유출목적지가 동일한 리포트 정보의 개수를 분석하여 악성여부를 결정한다(S320). 예를 들어, 리포트 정보가 100개 수신된 경우, 그 중 유출목적지가 동일한 것이 80개인 경우 그 80개는 악성코드에 의한 것으로 결정되는 것이다.
악성코드 탐색장치(30)는 결정된 결과를 각 사용자 단말(10)들로 통보한다(S330). 따라서, 사용자 단말(10)은 해당 악성 코드를 삭제하는 등의 조치를 취할 수 있게 된다.
여기서, 악성코드 탐색장치(30)가 유출목적지의 동일성이 얼마나 되어야 악성인지 여부를 판단하기 위한 기준으로서, 그 기준을 미리 설정할 수 있는데, 일례에 따르면 유출목적지 또는 유출 데이터의 유형(또는 사이즈(size) 등)에 따라 달라질 수 있다.
이에 대한 일례를 도시한 도 4를 참조하면, 유출 목적지가 해외인지 또는 국내인지에 따라 그 유출 목적지가 동일한 리포트 정보의 개수가 달라질 수 있다.
또한, 유출데이터가 개인정보인지, 보안파일인지 등에 따라서도 달라질 수 있다.
지금까지는 유출 목적지의 동일성만을 이용하여 악성 여부를 판단하는 것을 위주로 설명하였으나, 다른 일례에 따르면 유출 목적지가 모두 또는 일부 상이하더라도 유출데이터의 유형이 동일 또는 유사하다면 해당 리포트 정보에 따른 프로세서들은 악성 코드로 판단될 수도 있다. 쉬운 예를 들어, 악성 코드가 복수개로 제작되고 또한 서로 다른 유출 목적지로 유출되도록 제작된 경우가 있을 수 있으므로, 일정기간(예를 들어, 1시간 등) 동안에 수집되는 리포트 정보에 따른 유출데이터들의 유형이 유사하다면 해당 프로세서는 악성 코드로서 판단될 수 있다. 이 경우, 그 각각의 유출목적지는 그룹으로 설정되어 블랙리스트로서 관리될 수 있다.
이하에서는 사용자 단말(10)에서 처리되는 악성코드 탐색 과정에 대해 설명하기로 한다.
도 5는 본 발명의 일 실시예에 따른 사용자 단말(10)에서 수행되는 악성코드 탐색 과정을 도시한 흐름도이다.
도 5를 참조하면, 사용자 단말(10)은 감시대상 프로세스의 구동이 인식되면(S510), 해당 프로세서가 관리되는 코드정보로서 미리 등록되어 있는지 여부를 판단한다(S520). 즉, 상술한 바와 같이 해당 프로세서가 블랙리스트 또는 화이트리스트로 등록되어 있는지를 판단하는 것이다.
사용자 단말(10)은 만일 코드정보로서 등록되어 있다면 해당 코드정보에 따라 처리하는데(S530), 쉽게 말해 화이트리스트인 경우엔 정상적으로 처리하고, 블랙리스트라면 실행을 차단할 수 있을 것이다.
이와 달리 등록되어 있지 않은 경우, 사용자 단말(10)은 리포트 정보를 생성하여 악성코드 탐색장치(30)로 전송하고(540), 그에 따른 응답으로 수신되는 결과에 따라 처리한다(S550). 리포트 정보 등은 상술하였으므로 중복되는 설명은 생략한다.
본 실시예에 의하면, 사용자 단말(10)은 미리 저장된 정보를 이용하거나 악성코드 탐색장치(30)로 문의하여 현재 인식된 감시대상 프로세스의 악성 여부를 판단하고, 미리 등록되지 않은 새로운 프로세스인 경우에만 리포트 정보를 생성하여 보고한다. 따라서, 악성코드 탐색장치(30)에서 관리되는 악성 코드(즉 미리 파악된 악성 코드)에 의한 데이터 유출은 예방할 수 있으며, 새로운 악성 코드도 일부 사용자 단말(10)로부터의 리포트 정보에 의해 그 악성 여부가 판단될 수 있으므로, 그로 인한 데이터 유출도 최소화 할 수 있다.
상술한 본 발명에 따른 악성 코드 탐색 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10-1, 10-2, ..., 10-n : 사용자 단말
30 : 악성코드 탐색장치

Claims (9)

  1. 사용자 단말과 통신망을 통해 연결된 서버 장치에서의 악성 코드 탐색 방법에 있어서,
    사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보를 수신하는 단계;
    복수개 수신된 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계; 및
    결정 결과를 상기 사용자 단말들로 제공하는 단계를 포함하되,
    상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어 동일한 유출목적지를 갖는 리포트 정보의 개수는 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달라지는 것을 특징으로 하는 악성 코드 탐색 방법.
  2. 청구항 1에 있어서,
    아이피주소, 지역 또는 국가에 대한 정보를 갖는 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 데이터베이스화하는 단계를 더 포함하되,
    회원단말들에게 상기 악성코드정보가 제공되는 것을 특징으로 하는 악성 코드 탐색 방법.
  3. 삭제
  4. 청구항 1에 있어서,
    상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계에서는,
    상기 유출목적지가 일부 상이하더라도 일정 기간 동안 수신된 리포트 정보에 따른 각 유출데이터의 유형이 동일 또는 유사한 경우에는 상기 감시대상 프로세스를 악성 코드에 의한 것으로서 결정하되, 각 유출목적지를 하나의 그룹으로 설정하여 데이터베이스화하는 것을 특징으로 하는 악성 코드 탐색 방법.
  5. 삭제
  6. 삭제
  7. 제 1항 내지 제 2항, 제 4항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
  8. 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터를 유출하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보를 수신하기 위한 통신부;
    복수개 수신된 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하고, 결정된 결과를 상기 사용자 단말들에게 제공하는 제어부; 및
    상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장하기 위한 저장부를 포함하되,
    상기 제어부는 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어, 동일한 유출목적지를 갖는 리포트 정보의 개수를 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달리하는 것을 특징으로 하는 악성 코드 탐색 장치.
  9. 삭제
KR1020140040494A 2014-04-04 2014-04-04 데이터를 유출하는 악성 코드 탐색 방법 및 장치 KR101428004B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140040494A KR101428004B1 (ko) 2014-04-04 2014-04-04 데이터를 유출하는 악성 코드 탐색 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140040494A KR101428004B1 (ko) 2014-04-04 2014-04-04 데이터를 유출하는 악성 코드 탐색 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101428004B1 true KR101428004B1 (ko) 2014-08-11

Family

ID=51749915

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140040494A KR101428004B1 (ko) 2014-04-04 2014-04-04 데이터를 유출하는 악성 코드 탐색 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101428004B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101819322B1 (ko) * 2016-03-16 2018-02-28 주식회사 엘지유플러스 악성코드 분석모듈 및 그 악성코드 분석방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968915B1 (ko) * 2008-03-14 2010-07-14 주식회사 제이니스 외부 프로그램의 동작에 따라 적어도 하나 이상의 기능을구비하는 프로그램에서 그 기능을 제어하는 방법 및 시스템
JP2011002916A (ja) * 2009-06-17 2011-01-06 Lac Co Ltd 感染活動検知装置、感染活動検知方法、及びプログラム
KR101086203B1 (ko) * 2011-07-15 2011-11-23 에스지에이 주식회사 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968915B1 (ko) * 2008-03-14 2010-07-14 주식회사 제이니스 외부 프로그램의 동작에 따라 적어도 하나 이상의 기능을구비하는 프로그램에서 그 기능을 제어하는 방법 및 시스템
JP2011002916A (ja) * 2009-06-17 2011-01-06 Lac Co Ltd 感染活動検知装置、感染活動検知方法、及びプログラム
KR101086203B1 (ko) * 2011-07-15 2011-11-23 에스지에이 주식회사 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101819322B1 (ko) * 2016-03-16 2018-02-28 주식회사 엘지유플러스 악성코드 분석모듈 및 그 악성코드 분석방법

Similar Documents

Publication Publication Date Title
US10194266B2 (en) Enforcement of proximity based policies
US11086983B2 (en) System and method for authenticating safe software
JP6228966B2 (ja) マルウェアを検出するコンピューティングデバイス
WO2020019484A1 (zh) 一种模拟器识别方法、识别设备及计算机可读介质
US8966634B2 (en) System and method for correcting antivirus records and using corrected antivirus records for malware detection
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US20120137369A1 (en) Mobile terminal with security functionality and method of implementing the same
US9280663B2 (en) Apparatus and method for analyzing malware in data analysis system
WO2019144548A1 (zh) 安全测试方法、装置、计算机设备和存储介质
KR101264102B1 (ko) 보안 기능을 가지는 스마트 폰 및 이의 보안방법
US9348999B2 (en) User terminal, reliability management server, and method and program for preventing unauthorized remote operation
CN107148022A (zh) 一种防蹭网提醒方法及相关设备
KR101428004B1 (ko) 데이터를 유출하는 악성 코드 탐색 방법 및 장치
US10893090B2 (en) Monitoring a process on an IoT device
KR101427412B1 (ko) 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치
JP6018344B2 (ja) 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム
US11811815B2 (en) IP-based security control method and system thereof
CN115828256A (zh) 一种越权与未授权逻辑漏洞检测方法
CN105812270A (zh) 一种信息处理方法和无线路由设备
CN103366115A (zh) 安全性检测方法和装置
KR101499666B1 (ko) 네트워크 스캔 탐지 방법 및 장치
KR20190067994A (ko) 행위기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체
CN114386025A (zh) 异常检测方法、装置、电子设备及存储介质
KR101582420B1 (ko) 실행 모듈의 무결성 체크 방법 및 장치
CN113836529A (zh) 进程检测方法、装置、存储介质以及计算机设备

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170818

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190211

Year of fee payment: 5

R401 Registration of restoration