KR101444930B1 - 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법 - Google Patents

악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법 Download PDF

Info

Publication number
KR101444930B1
KR101444930B1 KR1020130031430A KR20130031430A KR101444930B1 KR 101444930 B1 KR101444930 B1 KR 101444930B1 KR 1020130031430 A KR1020130031430 A KR 1020130031430A KR 20130031430 A KR20130031430 A KR 20130031430A KR 101444930 B1 KR101444930 B1 KR 101444930B1
Authority
KR
South Korea
Prior art keywords
malicious code
inspection
client terminal
important
location information
Prior art date
Application number
KR1020130031430A
Other languages
English (en)
Inventor
김경희
김락현
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020130031430A priority Critical patent/KR101444930B1/ko
Application granted granted Critical
Publication of KR101444930B1 publication Critical patent/KR101444930B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은, 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법이 개시되어 있다. 본 발명의 실시예들은 클라이언트단말 내의 전체 검사위치 중에서 현재 유행하고 있는 신규의 악성코드들이 활동하여 주로 영향을 미치는 일부 검사위치에 대해서 악성코드 감염 여부를 검사함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하는 효과 뿐 아니라, 기존의 고정된 검사위치만을 대상으로 하는 검사 방식에 비해 중요한 위치에 대해 미검사할 확률을 현저히 낮춰 검사의 효율을 크게 증대시킬 수 있는 기술에 대한 것이다.

Description

악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법{CONTROL METHOD FOR SIGNIFICANT MALICIOUS CODE DETECTING PERFORMANCE DEVICE, AND CONTROL METHOD FOR MALICIOUS CODE SERVER}
본 발명의 실시예들은, 수많은 신규 악성코드가 급속도로 등장하고 있는 현 상황에서, 클라이언트단말 내의 전체 검사위치 중 고정된 검사위치가 아닌 신규 악성코드가 설치되는 위치를 기반으로 하는 가변적인 검사위치에 대해서 악성코드 감염 여부를 선 수행함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하면서 검사의 효율을 증대시킬 수 있는 기술들과 관련된다.
현재, 클라이언트단말에 대하여 악성코드 감염 여부를 검사하는 방식 중에서 가장 일반적인 방식은, 사용자의 검사 요청에 따라 클라이언트단말의 전체를 검사대상으로 하여 악성코드 감염 여부를 검사하는 방식이다.
이러한 전체 검사 방식은, 악성코드의 활동 전에 감염 여부를 조기 발견할 수 있고 상세검사가 가능하다는 장점이 있으나, 클라이언트단말의 전체를 검사할 경우 검사를 수행하는데 소요되는 검사 시간이 길다는 단점이 있다.
이에, 최근에는, 검사를 수행하는데 소요되는 검사 시간을 단축하기 위해, 클라이언트단말의 전체가 아닌 특정 폴더 또는 특정 파일만을 검사대상으로 하여 악성코드 감염 여부를 검사하는 일부 검사 방식이 등장하였다.
하지만, 기존의 일부 검사 방식은, 클라이언트단말 내의 고정된 특정 폴더 또는 특정 파일을 검사대상으로 하기 때문에, 만약 악성코드가 검사대상이 아닌 위치에서 활동한다면 이를 진단하지 못하는 문제점이 갖는다.
한편, 현재 수많은 신규 악성코드가 급속도로 등장하고 있다. 이처럼 수많은 신규 악성코드가 급속도로 등장한다는 것은, 신규 악성코드가 예측되지 않은 위치에서 활동할 가능성이 높아지기 때문에, 기존의 일부 검사 방식이 갖는 전술의 문제점이 점점 대두될 것임을 의미한다.
이에, 본 발명에서는, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하면서, 수많은 신규 악성코드가 급속도로 등장하고 있는 현 상황에 적합하게 전술한 문제점을 해결하여 검사의 효율을 증대시킬 수 있는 방안을 제안하고자 한다.
본 발명의 실시예들은 수많은 신규 악성코드가 급속도로 등장하고 있는 현 상황에서, 클라이언트단말 내의 전체 검사위치 중 고정된 검사위치가 아닌 신규 악성코드가 설치되는 위치를 기반으로 하는 가변적인 검사위치에 대해서 악성코드 감염 여부를 선 수행함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하면서 검사의 효율을 증대시킬 수 있는 기술 방안을 제안할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 악성코드대응서버의 동작 방법은, 신규의 악성코드를 수집하는 악성코드수집단계; 수집한 상기 신규의 악성코드가 클라이언트단말에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성하는 설치위치정보생성단계; 및 상기 생성한 설치위치정보를 상기 클라이언트단말로 제공하여, 상기 클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있도록 하는 설치위치정보제공단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신하는 설치위치정보수신단계; 클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시, 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행하는 중요검사수행단계를 포함한다.
본 발명의 실시예들은 클라이언트단말 내의 전체 검사위치 중에서 현재 유행하고 있는 신규의 악성코드들이 활동하여 주로 영향을 미치는 일부 검사위치에 대해서 악성코드 감염 여부를 검사함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하는 효과 뿐 아니라, 기존의 고정된 검사위치만을 대상으로 하는 검사 방식에 비해 중요한 위치에 대해 미검사할 확률을 현저히 낮춰 검사의 효율을 크게 증대시킬 수 있는 효과를 갖는다.
도 1은 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치 및 악성코드대응서버가 포함된 시스템의 구성을 보여주는 예시도이다.
도 2는 본 발명의 바람직한 실시예에 따른 악성코드대응서버의 구성을 보여주는 구성도이다.
도 3은 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치의 구성을 보여주는 구성도이다.
도 4는 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치 및 악성코드대응서버가 포함된 시스템의 제어 흐름을 보여주는 흐름도이다.
도 5는 본 발명의 바람직한 실시예에 따른 악성코드대응서버의 동작 방법을 보여주는 동작 흐름도이다.
도 6은 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치의 동작 방법을 보여주는 동작 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치 및 악성코드대응서버가 포함된 시스템의 구성을 보여주고 있다.
도 1에 도시된 바와 같이 시스템에는, 클라이언트단말(100)와, 본 발명에 따른 악성코드대응서버(300)가 포함된다. 여기서, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에 탑재될 수도 있고 악성코드대응서버(300)에 탑재될 수 도 있다.
예컨대, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)이 클라이언트단말(100)에 탑재된다면 본 발명에서 후술할 중요검사는 클라이언트 기반으로 수행되는 경우이고, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)이 악성코드대응서버(300)에 탑재된다면 본 발명에서 후술할 중요검사는 클라우드 기반으로 수행되는 경우일 것이다.
이하에서는 설명의 편의를 위해, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)이 클라이언트단말(100)에 탑재되는 클라이언트 기반 중요검사 수행의 경우를 설명하도록 하겠다.
클라이언트단말(100)은, 기 설치된 플랫폼을 기반으로 동작하게 되는 장치로서, 예컨대 컴퓨터 및 모바일단말 등을 포함할 수 있다. 여기서, 다수의 플랫폼으로는, 예컨대 윈도우 7, 윈도우 8, 리눅스 등이 있다. 이하에서는, 설명의 편의를 위해 클라이언트단말(100)은, 윈도우 7을 기반으로 동작하는 것으로 설명하겠다.
악성코드대응서버(300)는, 신규의 악성코드를 수집하고, 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성하는 서버이다.
예컨대, 악성코드대응서버(300)는, 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300) 자신이 정의한 신규의 악성코드를 수집할 수 있다.
악성코드대응서버(300)는, 이처럼 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보, 즉 신규의 악성코드가 클라이언트단말(100)의 어떤 위치에서 활동하는지에 대한 설치위치정보를 생성할 수 있다.
예컨대, 악성코드대응서버(300)는, 윈도우 7을 기반으로 다수의 테스트단말(미도시)을 신규의 악성코드에 감염시켜 테스트단말(미도시) 상에서 신규의 악성코드가 어떤 위치에서 활동/설치되는 지를 확인함으로써, 신규의 악성코드에 대한 설치위치정보를 생성할 수 있다.
물론, 악성코드대응서버(300)는, 전술과 같이 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300) 자신이 정의한 신규의 악성코드를 수집하면서, 동시에 이러한 정보들을 토대로 신규의 악성코드에 대한 설치위치정보를 생성할 수도 있다.
이러한 과정을 통해, 악성코드대응서버(300)는, 수집되는 신규의 악성코드 각각에 대하여 설치위지정보를 생성할 수 있다.
이러한 악성코드대응서버(300)는, 전술과 같이 생성한 설치위치정보를 클라이언트단말(100)로 제공하여, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있도록 한다.
즉, 클라이언트단말(100)에 탑재되는 본 발명의 악성코드 관련 중요검사수행장치(200)는, 악성코드대응서버(300)로부터 전술과 같이 생성한 설치위치정보를 수신한다.
이에, 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시, 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행한다.
한편, 본 발명에서는, 실제 악성코드를 판별하기 위한 진단 정보 및 악성코드 제거를 위한 치료 정보의 유포, 업데이트 및 사용은, 통상의 악성코드 진단/치료 장치의 범위로 가정한다.
이하에서는, 도 2를 참조하여 본 발명에 따른 악성코드대응서버의 구성을 보다 구체적으로 설명하도록 하겠다.
본 발명에 따른 악성코드대응서버(300)는, 신규의 악성코드를 수집하는 악성코드수집부(310)와, 수집한 상기 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성하는 설치위치정보생성부(320)와, 상기 생성한 설치위치정보를 클라이언트단말(100)로 제공하여, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있도록 하는 설치위치정보제공부(330)를 포함한다.
악성코드수집부(310)는, 신규의 악성코드를 수집한다.
즉, 악성코드수집부(310)는, 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300)에서 정의한 신규의 악성코드를 수집할 수 있다.
이에, 악성코드수집부(310)는, 새롭게 등장하여 정의되는 신규의 악성코드마다 지속적으로 수집하게 된다.
설치위치정보생성부(320)는, 악성코드수집부(310)에서 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성한다.
즉, 설치위치정보생성부(320)는, 악성코드수집부(310)에서 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보, 즉 신규의 악성코드가 클라이언트단말(100)의 어떤 위치에서 활동하는지에 대한 설치위치정보(예 : 설치패스)를 생성할 수 있다.
예컨대, 설치위치정보생성부(320)는, 윈도우 7을 기반으로 테스트단말(미도시)을 신규의 악성코드에 감염시켜 테스트단말(미도시) 상에서 신규의 악성코드가 어떤 위치에서 활동/설치되는 지를 확인함으로써, 신규의 악성코드에 대한 설치위치정보를 생성할 수 있다.
물론, 설치위치정보생성부(320)는, 전술과 같이 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300) 자신이 정의한 신규의 악성코드를 수집하면서, 동시에 이러한 정보들을 토대로 신규의 악성코드에 대한 설치위치정보를 생성할 수도 있다.
이에, 설치위치정보생성부(320)는, 새롭게 등장하는 다양한 신규의 악성코드 각각에 대한 설치위치정보를 지속적으로 생성할 수 있다.
이때, 신규의 악성코드 마다 활동/설치되는 위치가 다르기 때문에, 설치위치정보생성부(320)에서 전술과 같이 생성하는 신규의 악성코드에 대한 설치위치정보 역시 신규의 악성코드 마다 클라이언트단말(100)의 다양한 위치를 나타낼 것이다.
설치위치정보제공부(330)는, 생성한 설치위치정보를 클라이언트단말(100)로 제공한다.
예컨대, 설치위치정보제공부(330)는, 설치위치정보생성부(320)에서 신규의 악성코드에 대한 설치위치정보가 생성될 때마다, 생성한 신규의 악성코드에 대한 설치위치정보를 클라이언트단말(100)로 제공할 수 있다.
보다 바람직하게는, 설치위치정보제공부(330)는, 기 설정된 업데이트주기(예 : 12시간) 경과 시마다, 상기 업데이트주기(예 : 12시간) 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 클라이언트단말(100)로 제공할 수 있다.
이에, 클라이언트단말(100)의 악성코드 관련 중요검사수행장치(200)는, 악성코드대응서버(300)로부터 신규의 악성코드에 대한 설치위치정보가 생성될 때마다 제공되는 신규의 악성코드에 대한 설치위치정보, 보다 바람직하게는 업데이트주기(예 : 12시간) 경과 시마다 제공되는 악성코드별 설치위치정보를 수신할 수 있다.
이에, 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시 전술의 수신한 악성코드별 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다.
더 나아가, 본 발명에서는 전술한 신규의 악성코드에 대한 설치위치정보를 활용하여 보다 강력한 중요검사 수행을 달성하고자 한다.
이를 위해, 본 발명에 따른 악성코드대응서버(300)는, 파일정보/폴더정보제공부(340)를 더 포함할 수 있다.
파일정보/폴더정보제공부(340)는, 기 설정된 분석기간(예 : 1개월) 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 클라이언트단말(100)에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보 중 적어도 하나를 확인한다.
즉, 파일정보/폴더정보제공부(340)는, 기 설정된 분석기간(예 : 1개월) 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간(예 : 1개월) 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지 및 어떤 폴더와 연관된 위치에서 활동하는지를 분석하는 것이다.
보다 바람직하게는, 신규의 악성코드가 어떤 파일에서 활동하는지를 분석하는데 이용하는 분석기간과, 신규의 악성코드가 어떤 폴더에서 활동하는지를 분석하는데 이용하는 분석기간이 다를 수도 있다.
예컨대, 분석기간1은 1개월, 분석기간2는 3개월이라고 가정하면 다음과 같다. 파일정보/폴더정보제공부(340)는, 기 설정된 분석기간1 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간1 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지를 분석하고, 기 설정된 분석기간2 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간2 동안 수집된 신규의 악성코드가 어떤 폴더와 연관된 위치에서 활동하는지를 분석할 수 있다.
이에, 파일정보/폴더정보제공부(340)는, 전술의 분석을 통해 확인한 파일 및 폴더를, 클라이언트단말(100)에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보인 것으로 확인할 수 있다.
이에, 파일정보/폴더정보제공부(340)는, 전술과 같이 확인된 파일정보 및 폴더정보 중 적어도 하나를 클라이언트단말(100)로 제공한다.
이에, 클라이언트단말(100)의 악성코드 관련 중요검사수행장치(200)는, 악성코드대응서버(300)로부터 최소한 분석기간1 이상의 주기마다 제공되는 파일정보와, 최소한 분석기간2 이상의 주기마다 제공되는 폴더정보 중 적어도 하나를 수신할 수 있다.
이에, 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시 전술의 수신한 악성코드별 설치위치정보 뿐 아니라 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 중요검사를 수행할 수 있다.
이하에서는, 도 3을 참조하여 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치의 구성을 구체적으로 설명하도록 하겠다.
본 발명에 따른 악성코드 관련 중요검사수행장치(200)는, 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신하는 설치위치정보수신부(210)와, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시, 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행하는 중요검사수행부(230)를 포함한다.
그리고, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)는, 파일정보/폴더정보수신부(220)를 더 포함할 수 있다.
설치위치정보수신부(210)는, 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신한다.
보다 구체적으로는, 설치위치정보수신부(210)는, 악성코드대응서버(300)로부터 전술과 같이 생성한 설치위치정보를 수신한다.
예컨대, 설치위치정보수신부(210)는 악성코드대응서버(300)로부터 신규의 악성코드에 대한 설치위치정보가 생성될 때마다, 생성한 신규의 악성코드에 대한 설치위치정보를 수신할 수 있다.
보다 바람직하게는, 설치위치정보수신부(210)는, 악성코드대응서버(300)로부터 기 설정된 업데이트주기(예 : 12시간) 경과 시마다, 상기 업데이트주기(예 : 12시간) 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 수신할 수 있다.
이하에서는 설명의 편의를 위해, 설치위치정보수신부(210)는, 악성코드대응서버(300)로부터 업데이트주기(예 : 12시간) 경과 시마다 악성코드별 설치위치정보가 수신되는 경우를 언급하여 설명하도록 하겠다.
이에, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)는, 새롭게 등장하는 다양한 신규의 악성코드 각각에 대한 설치위치정보(예 : 설치패스)를 지속적으로 수신하여 보유할 수 있게 된다.
이때, 신규의 악성코드 마다 활동/설치되는 위치가 다르기 때문에, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)에서 전술과 같이 수신하여 보유하게 되는 신규의 악성코드에 대한 설치위치정보 역시 신규의 악성코드 마다 클라이언트단말(100)의 다양한 위치를 나타낼 것이다.
중요검사수행부(230)는, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시, 전술의 수신한 설치위치정보 즉 악성코드별 설치위치정보를 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행한다.
보다 구체적으로 설명하면, 중요검사수행부(230)는, 설치위치정보수신부(210)를 통해 설치위치정보 즉 악성코드별 설치위치정보를 수신한 경우, 이를 중요검사목록에 반영시킨다.
예컨대, 중요검사수행부(230)는, 설치위치정보수신부(210)를 통해 악성코드별 설치위치정보가 수신되면, 수신한 악성코드별 설치위치정보를 중요검사목록에 추가시킴으로써, 악성코드별 설치위치정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
예컨대, 금번 수신된 악성코드별 설치위치정보가 신규의 악성코드1,2,3에 대한 설치위치정보1,2,3이며, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)에서 관리되는 중요검사목록에는 이전에 수신된 악성코드별 설치위치정보에 따른 신규의 악성코드7,8,9,10,11...에 대한 설치위치정보7,8,9,10,11...가 포함된 상태라면, 중요검사수행부(230)는, 중요검사목록에 금번 수신된 악성코드별 설치위치정보 즉 신규의 악성코드1,2,3에 대한 설치위치정보1,2,3를 중요검사목록에 추가시킴으로써, 중요검사목록에 설치위치정보7,8,9,10,11...1,2,3이 포함되도록 할 수 있다.
그리고, 중요검사수행부(230)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시, 전술과 같이 수신된 악성코드별 설치위치정보를 반영시킨 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행한다.
여기서, 중요검사수행 이벤트 이벤트는, 클라이언트단말(100)의 구동이 시작되는 시점, 클라이언트단말(100)에 탑재된 악성코드 관련 중요검사수행장치(200)의 구동이 시작되는 시점, 클라이언트단말(100)의 사용자에 의해 중요검사 수행이 입력되는 시점 중 적어도 하나의 시점에 발생될 수 있다.
이에, 중요검사수행부(230)는, 클라이언트단말(100)에서 전술과 같은 중요검사수행 이벤트 발생 시, 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치, 예컨대 설치위치정보7,8,9,10,11...1,2,3에 따른 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다.
더 나아가, 본 발명에서는 전술한 신규의 악성코드에 대한 설치위치정보를 활용하여 보다 강력한 중요검사 수행을 달성하고자 한다.
이를 위해, 본 발명에 따른 악성코드대응서버(300)는, 파일정보/폴더정보수신부(220)를 더 포함할 수 있다.
파일정보/폴더정보수신부(220)는, 악성코드대응서버(300)로부터, 기 설정된 분석기간 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보의 분석을 통해 악성코드에 의한 공격대상이 되는 것으로 확인된 파일정보 및 폴더정보 중 적어도 하나를 수신한다.
예컨대, 전술한 바와 같이 악성코드대응서버(300)는, 기 설정된 분석기간1 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간1 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지를 분석하고, 기 설정된 분석기간2 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간2 동안 수집된 신규의 악성코드가 어떤 폴더와 연관된 위치에서 활동하는지를 분석할 수 있다.
이에, 파일정보/폴더정보수신부(220)는, 전술과 같이 악성코드대응서버(300)로부터 제공되는 파일정보 및 폴더정보 중 적어도 하나를 수신할 수 있다.
이후 중요검사수행부(230)는, 파일정보/폴더정보수신부(220)를 통해 수신되는 파일정보 및 폴더정보를 중요검사목록에 반영시킨다.
예컨대, 중요검사수행부(230)는, 파일정보/폴더정보수신부(220)를 통해 파일정보 및 폴더정보가 수신되면, 금번 수신한 파일정보 및 폴더정보로 중요검사목록에 포함된 이전 파일정보 및 폴더정보를 변경함으로써, 금번 수신한 파일정보 및 폴더정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
예컨대, 금번 수신된 파일정보가 파일a,b,c,d,e이고 폴더정보가 폴더X,Y이며, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)에서 관리되는 중요검사목록에는 이전에 수신된 파일정보 및 폴더정보에 따른 파일a,b,c,d,f와 폴더X,Y,Z가 포함된 상태라면, 중요검사수행부(230)는, 금번 수신한 파일정보 및 폴더정보에 따른 파일a,b,c,d,e과 폴더X,Y로 중요검사목록의 파일a,b,c,d,f와 폴더X,Y,Z를 변경함으로써, 금번 수신한 파일정보 및 폴더정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
이에, 중요검사수행부(230)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시, 악성코드별 설치위치정보 뿐 아니라 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다.
즉, 중요검사수행부(230)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시, 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치 뿐 아니라, 신규의 악성코드가 설치되는 특정 위치와 연관이 있는 파일 및 폴더를 포함한 일부 검사위치, 예컨대 설치위치정보7,8,9,10,11...1,2,3 및 파일a,b,c,d,f 및 폴더X,Y,Z에 따른 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다.
따라서, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100) 내의 전체 검사위치 중에서 항상 고정된 일부 검사위치에 대해서 악성코드 감염 여부를 검사하는 것이 아니라, 클라이언트단말(100) 내의 전체 검사위치 중에서 현재 유행하고 있는 악성코드들이 어떤 위치에서 활동/설치되는 지에 따라서 가변적인 일부 검사위치에 대해서 악성코드 감염 여부를 검사를 수행하는 것이다.
결국, 본 발명에 따른 악성코드 관련 중요검사수행장치(200)에 따르면, 클라이언트단말(100) 내의 전체 검사위치 중에서 그 시점에 유행하고 있는 신규의 악성코드들이 주로 활동하여 영향을 미치는 일부 검사위치에 대해서 악성코드 감염 여부를 검사를 수행할 수 있다.
중요검사수행부(230)는, 전술과 같이 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행한 결과, 악성코드 감염이 진단되지 않으면 중요검사를 정상적으로 종료할 수 있다.
한편, 중요검사수행부(230)는, 전술의 중요검사를 수행한 결과 악성코드 감염이 진단되면, 보다 정확하고 세밀한 검사를 위해 클라이언트단말(100) 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것이 바람직하다.
예컨대, 중요검사수행부(230)는, 클라이언트단말(100)내에서 클라이언트단말(100) 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 검사엔진(미도시)을 구동시켜 전체검사 수행을 명령할 수 있고, 또는 전체검사 수행이 필요함을 클라이언트단말(100)의 표시부를 통해 표시하여 사용자에게 인지시킬 수도 있다.
한편, 전술한 중요검사목록에 포함되는 신규의 악성코드 각각에 대한 설치위치정보는, 수신된 시점으로부터 기 설정된 보유시간이 경과하면 중요검사목록에서 삭제되는 것이 바람직하다.
즉, 현재 수많은 신규의 악성코드가 급속도로 등장하고 있다는 점을 감안한다면, 악성코드대응서버(300)로부터 수신되는 신규의 악성코드에 대한 설치위치정보의 양 역시 상당할 것이며, 이를 모두 반영한 중요검사목록을 본 발명에 따른 악성코드 관련 중요검사수행장치(200)에서 보유하는 것을 바람직하지 못하다.
이에, 중요검사목록에 포함되는 신규의 악성코드 각각에 대한 설치위치정보는, 악성코드대응서버(300)로부터 수신된 시점으로부터 기 설정된 보유시간(예 : 1주일)이 경과하면 중요검사목록에서 삭제되는 것이 바람직하다. 여기서, 기 설정된 보유시간은, 신규의 악성코드가 유행하여 급속히 퍼진 후 어느 시간이 지나면 신규의 악성코드 감염을 방지하는 여러 기술들이 등장함에 따라서 신규의 악성코드가 퍼지는 속도가 급격히 늦어지거나 아예 신규의 악성코드가 사라지는 경우가 대부분임을 감안하여, 유동적으로 정해지는 시간인 것이 바람직하다.
예컨대, 중요검사수행부(230)가, 중요검사목록에 포함되는 신규의 악성코드 각각에 대한 설치위치정보7,8,9,10,11...1,2,3중에서, 수신된 시점으로부터 기 설정된 보유시간(예 : 1주일)이 경과한 설치위치정보(예 : 설치위치정보 7,8)가 확인되면, 확인한 설치위치정보(예 : 설치위치정보 7,8)를 삭제하는 것이 가능할 것이다.
한편, 전술한 바와 같이 중요검사목록에서 기 설정된 보유시간(예 : 1주일)이 경과한 설치위치정보를 삭제하게 되면, 클라이언트단말(100)에서 중요검사수행 이벤트가 발생하여 전술과 같이 중요검사를 수행하는 시점과 클라이언트단말(100)에서 이전에 마지막으로 수행한 중요검사 시점 간의 기간이 길어질수록 중요검사 수행에 따른 결과의 신뢰도가 떨어질 우려가 있다.
이에, 중요검사수행부(230)는, 중요검사수행 이벤트 발생 시, 이전에 클라이언트단말(100)에서 마지막으로 수행한 중요검사 시점으로부터 금번 중요검사수행 이벤트가 발생한 시점까지의 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내인지 여부를 판단한다.
이에, 중요검사수행부(230)는, 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내인 경우, 전술과 같이 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치, 신규의 악성코드가 설치되는 특정 위치와 연관이 있는 파일 및 폴더를 포함한 일부 검사위치, 예컨대 설치위치정보7,8,9,10,11...1,2,3 및 파일a,b,c,d,f 및 폴더X,Y,Z에 따른 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행하는 것이 바람직하다.
한편, 중요검사수행부(230)는, 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내가 아닌 경우, 즉, 권장기간(예 : 5일 또는 1주일 등) 이상 중요검사를 수행하지 않은 경우라면, 클라이언트단말(100) 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것이 바람직하다.
한편, 전술에서는 본 발명의 악성코드 관련 중요검사수행장치가 클라이언트단말(100)에 포함되는 구성으로 설명하고 있으나, 이는 일 실시예일 뿐이다.
예컨대, 본 발명의 악성코드 관련 중요검사수행장치가 악성코드대응서버(300)에 포함되고, 전술의 중요검사 수행 이벤트 발생 시에 클라이언트단말(100) 및 악성코드대응서버(300)가 통신을 개시함으로써 악성코드대응서버(300)에 포함된 악성코드 관련 중요검사수행장치에 의해 전술의 중요검사가 클라우드 기반 방식으로 수행되는 것도 가능할 것이다.
이상에서 설명한 바와 같이, 본 발명에 따른 악성코드대응서버 및 악성코드 관련 중요검사수행장치는, 클라이언트단말 내의 전체 검사위치 중에서 현재 유행하고 있는 신규의 악성코드들이 활동하여 주로 영향을 미치는 일부 검사위치에 대해서 악성코드 감염 여부를 검사함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하는 효과 뿐 아니라, 기존의 고정된 검사위치만을 대상으로 하는 검사 방식에 비해 중요한 위치에 대해 미검사할 확률을 현저히 낮춰 검사의 효율을 크게 증대시킬 수 있는 효과를 도출한다.
이하에서는, 도 4 내지 도 6을 참조하여 본 발명의 바람직한 실시예에 따른 악성코드대응서버의 동작 방법 및 악성코드 관련 중요검사수행장치의 동작 방법을 보다 구체적으로 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 3에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.
이하에서는 설명의 편의를 위해, 도 1에 도시된 바와 같이 클라이언트단말(100)에 악성코드 관련 중요검사수행장치가 탑재되는 것으로 설명하도록 하겠다.
먼저, 도 4를 참조하여 본 발명에 따른 악성코드대응서버의 동작 방법 및 악성코드 관련 중요검사수행장치가 포함된 시스템의 제어 흐름을 설명하도록 한다.
악성코드대응서버(300)는, 신규의 악성코드를 수집하고, 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성한다(S10).
예컨대, 악성코드대응서버(300)는, 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300) 자신이 정의한 신규의 악성코드를 수집할 수 있다.
그리고, 악성코드대응서버(300)는, 이처럼 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보, 즉 신규의 악성코드가 클라이언트단말(100)의 어떤 위치에서 활동하는지에 대한 설치위치정보를 생성할 수 있다.
이러한 악성코드대응서버(300)는, 기 설정된 업데이트주기(예 : 12시간) 경과 시마다, 전술과 같이 생성한 설치위치정보 즉 상기 업데이트주기(예 : 12시간) 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 클라이언트단말(100)로 제공할 수 있다(S20).
이에, 클라이언트단말(100)에 포함된 악성코드 관련 중요검사수행장치(200)는, 악성코드대응서버(300)로부터 설치위치정보 즉 악성코드별 설치위치정보를 수신한 경우, 이를 중요검사목록에 반영시킨다(S30).
한편, 악성코드대응서버(300)는, 기 설정된 분석기간(예 : 1개월) 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 클라이언트단말(100)에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보 중 적어도 하나를 확인한다(S40).
이에, 악성코드대응서버(300)는, 전술과 같이 확인된 파일정보 및 폴더정보 중 적어도 하나를 클라이언트단말(100)로 제공한다(S50).
이에, 클라이언트단말(100)의 악성코드 관련 중요검사수행장치(200)는, 악성코드대응서버(300)로부터 최소한 분석기간1 이상의 주기마다 제공되는 파일정보와, 최소한 분석기간2 이상의 주기마다 제공되는 폴더정보 중 적어도 하나를 수신하여, 중요검사목록에 반영시킨다(S60).
이에, 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시(S70), 악성코드별 설치위치정보 뿐 아니라 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다(S80).
이하에서는, 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 악성코드대응서버의 동작 방법을 구체적으로 설명하도록 하겠다.
본 발명에 따른 악성코드대응서버의 동작 방법은, 신규의 악성코드를 수집하고, 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성한다(S100).
즉, 본 발명에 따른 악성코드대응서버의 동작 방법은, 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300)에서 정의한 신규의 악성코드를 수집할 수 있다.
이에, 본 발명에 따른 악성코드대응서버의 동작 방법은, 새롭게 등장하여 정의되는 신규의 악성코드마다 지속적으로 수집하게 된다.
본 발명에 따른 악성코드대응서버의 동작 방법은, 전술에서 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성한다.
즉, 본 발명에 따른 악성코드대응서버의 동작 방법은, 수집한 신규의 악성코드가 클라이언트단말(100)에서 설치되는 특정 위치를 나타내는 설치위치정보, 즉 신규의 악성코드가 클라이언트단말(100)의 어떤 위치에서 활동하는지에 대한 설치위치정보(예 : 설치패스)를 생성할 수 있다.
예컨대, 본 발명에 따른 악성코드대응서버의 동작 방법은, 윈도우 7을 기반으로 테스트단말(미도시)을 신규의 악성코드에 감염시켜 테스트단말(미도시) 상에서 신규의 악성코드가 어떤 위치에서 활동/설치되는 지를 확인함으로써, 신규의 악성코드에 대한 설치위치정보를 생성할 수 있다.
물론, 본 발명에 따른 악성코드대응서버의 동작 방법은, 전술과 같이 다수의 클라이언트단말(100)로부터 보고되는 악성감염정보 및 악성코드분석시스템으로부터 분석 결과 및 샌드박스 환경에서의 실행 정보 및 통계 정보 중 적어도 하나를 토대로, 타 시스템장치에서 정의되는 신규의 악성코드 또는 악성코드대응서버(300) 자신이 정의한 신규의 악성코드를 수집하면서, 동시에 이러한 정보들을 토대로 신규의 악성코드에 대한 설치위치정보를 생성할 수도 있다.
이에, 본 발명에 따른 악성코드대응서버의 동작 방법은, 새롭게 등장하는 다양한 신규의 악성코드 각각에 대한 설치위치정보를 지속적으로 생성할 수 있다.
본 발명에 따른 악성코드대응서버의 동작 방법은, 생성한 설치위치정보를 클라이언트단말(100)로 제공한다.
예컨대, 본 발명에 따른 악성코드대응서버의 동작 방법은, 신규의 악성코드에 대한 설치위치정보가 생성될 때마다, 생성한 신규의 악성코드에 대한 설치위치정보를 클라이언트단말(100)로 제공할 수 있다.
보다 바람직하게는, 본 발명에 따른 악성코드대응서버의 동작 방법은, 기 설정된 업데이트주기(예 : 12시간) 경과 시마다, 상기 업데이트주기(예 : 12시간) 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 클라이언트단말(100)로 제공할 수 있다(S110).
더 나아가, 본 발명에서는 전술한 신규의 악성코드에 대한 설치위치정보를 활용하여 보다 강력한 중요검사 수행을 달성하고자 한다.
이를 위해 본 발명에 따른 악성코드대응서버의 동작 방법은, 기 설정된 분석기간(예 : 1개월) 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 클라이언트단말(100)에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보 중 적어도 하나를 확인한다(S120).
즉, 본 발명에 따른 악성코드대응서버의 동작 방법은, 기 설정된 분석기간(예 : 1개월) 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간(예 : 1개월) 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지 및 어떤 폴더와 연관된 위치에서 활동하는지를 분석하는 것이다.
보다 바람직하게는, 신규의 악성코드가 어떤 파일에서 활동하는지를 분석하는데 이용하는 분석기간과, 신규의 악성코드가 어떤 폴더에서 활동하는지를 분석하는데 이용하는 분석기간이 다를 수도 있다.
예컨대, 분석기간1은 1개월, 분석기간2는 3개월이라고 가정하면 다음과 같다. 본 발명에 따른 악성코드대응서버의 동작 방법은, 기 설정된 분석기간1 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간1 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지를 분석하고, 기 설정된 분석기간2 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간2 동안 수집된 신규의 악성코드가 어떤 폴더와 연관된 위치에서 활동하는지를 분석할 수 있다.
이에, 본 발명에 따른 악성코드대응서버의 동작 방법은, 전술의 분석을 통해 확인한 파일 및 폴더를, 클라이언트단말(100)에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보인 것으로 확인할 수 있다.
이에, 본 발명에 따른 악성코드대응서버의 동작 방법은, 전술과 같이 확인된 파일정보 및 폴더정보 중 적어도 하나를 클라이언트단말(100)로 제공한다(S130).
이에, 악성코드 관련 중요검사수행장치(200)는, 클라이언트단말(100)에서 중요검사수행 이벤트 발생 시 전술의 수신한 악성코드별 설치위치정보 뿐 아니라 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 중요검사를 수행할 수 있다(S140).
이하에서는, 도 6을 참조하여 본 발명의 바람직한 실시예에 따른 악성코드 관련 중요검사수행장치의 동작 방법을 구체적으로 설명하도록 하겠다.
본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신한다(S200).
보다 구체적으로는, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 악성코드대응서버(300)로부터 기 설정된 업데이트주기(예 : 12시간) 경과 시마다, 상기 업데이트주기(예 : 12시간) 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 수신할 수 있다.
이에, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 새롭게 등장하는 다양한 신규의 악성코드 각각에 대한 설치위치정보(예 : 설치패스)를 지속적으로 수신할 수 있게 된다.
이때, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 설치위치정보 즉 악성코드별 설치위치정보를 수신한 경우, 이를 중요검사목록에 반영시킨다(S210).
예컨대, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 통해 악성코드별 설치위치정보가 수신되면, 수신한 악성코드별 설치위치정보를 중요검사목록에 추가시킴으로써, 악성코드별 설치위치정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
예컨대, 금번 수신된 악성코드별 설치위치정보가 신규의 악성코드1,2,3에 대한 설치위치정보1,2,3이며, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법에서 관리되는 중요검사목록에는 이전에 수신된 악성코드별 설치위치정보에 따른 신규의 악성코드7,8,9,10,11...에 대한 설치위치정보7,8,9,10,11...가 포함된 상태라면, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 중요검사목록에 금번 수신된 악성코드별 설치위치정보 즉 신규의 악성코드1,2,3에 대한 설치위치정보1,2,3를 중요검사목록에 추가시킴으로써, 중요검사목록에 설치위치정보7,8,9,10,11...1,2,3이 포함되도록 할 수 있다.
한편, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 악성코드대응서버(300)로부터, 기 설정된 분석기간 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보의 분석을 통해 악성코드에 의한 공격대상이 되는 것으로 확인된 파일정보 및 폴더정보 중 적어도 하나를 수신한다(S220).
예컨대, 전술한 바와 같이 악성코드대응서버(300)는, 기 설정된 분석기간1 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간1 동안 수집된 신규의 악성코드가 어떤 파일과 연관된 위치에서 활동하는지를 분석하고, 기 설정된 분석기간2 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 윈도우 7 환경에서 분석기간2 동안 수집된 신규의 악성코드가 어떤 폴더와 연관된 위치에서 활동하는지를 분석할 수 있다.
이에, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 전술과 같이 악성코드대응서버(300)로부터 제공되는 파일정보 및 폴더정보 중 적어도 하나를 수신할 수 있다.
이후, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 수신되는 파일정보 및 폴더정보를 중요검사목록에 반영시킨다(S230).
예컨대, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 파일정보 및 폴더정보가 수신되면, 금번 수신한 파일정보 및 폴더정보로 중요검사목록에 포함된 이전 파일정보 및 폴더정보를 변경함으로써, 금번 수신한 파일정보 및 폴더정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
예컨대, 금번 수신된 파일정보가 파일a,b,c,d,e이고 폴더정보가 폴더X,Y이며, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법에서 관리되는 중요검사목록에는 이전에 수신된 파일정보 및 폴더정보에 따른 파일a,b,c,d,f와 폴더X,Y,Z가 포함된 상태라면, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 금번 수신한 파일정보 및 폴더정보에 따른 파일a,b,c,d,e과 폴더X,Y로 중요검사목록의 파일a,b,c,d,f와 폴더X,Y,Z를 변경함으로써, 금번 수신한 파일정보 및 폴더정보가 중요검사목록에 포함되도록 반영시킬 수 있다.
이러한 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 클라이언트단말(100)에서 기 지정된 중요검사수행 이벤트 발생 시(S240 Yes), 이전에 클라이언트단말(100)에서 마지막으로 수행한 중요검사 시점으로부터 금번 중요검사수행 이벤트가 발생한 시점까지의 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내인지 여부를 판단한다(S250).
이에, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내인 경우(S250 Yes), 악성코드별 설치위치정보 뿐 아니라 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다(S260).
즉, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 신규의 악성코드가 설치되는 특정 위치 뿐 아니라, 신규의 악성코드가 설치되는 특정 위치와 연관이 있는 파일 및 폴더를 포함한 일부 검사위치, 예컨대 설치위치정보 7,8,9,10,11...1,2,3 및 파일a,b,c,d,f 및 폴더X,Y,Z에 따른 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있다.
결국, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법에 따르면, 클라이언트단말(100) 내의 전체 검사위치 중에서 항상 고정된 일부 검사위치에 대해서 악성코드 감염 여부를 검사하는 것이 아니라, 클라이언트단말(100) 내의 전체 검사위치 중에서 현재 유행하고 있는 악성코드들이 어떤 위치에서 활동/설치되는 지에 따라서 가변적인 일부 검사위치에 대해서 악성코드 감염 여부를 검사를 수행하는 것이다.
본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 전술과 같이 중요검사목록을 이용하여 클라이언트단말(100) 내의 전체 검사위치 중에서 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행한 S260단계의 수행 결과 악성코드 감염이 진단되지 않으면(S270 No), 중요검사를 정상적으로 종료할 수 있다.
한편, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, 전술의 중요검사를 수행한 S260단계의 수행 결과 악성코드 감염이 진단되면(S270 Yes), 보다 정확하고 세밀한 검사를 위해 클라이언트단말(100) 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것이 바람직하다(S280).
한편, 본 발명에 따른 악성코드 관련 중요검사수행장치의 동작 방법은, S250단계의 판단 결과 중요검사기간이 기 설정된 권장기간(예 : 5일 또는 1주일 등) 이내가 아닌 경우, 즉, 권장기간(예 : 5일 또는 1주일 등) 이상 중요검사를 수행하지 않은 경우라면, 클라이언트단말(100) 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것이 바람직하다(S280).
이상에서 설명한 바와 같이 본 발명에 따른 악성코드대응서버의 동작 방법 및 악성코드 관련 중요검사수행장치의 동작 방법은, 클라이언트단말 내의 전체 검사위치 중에서 현재 유행하고 있는 신규의 악성코드들이 활동하여 주로 영향을 미치는 일부 검사위치에 대해서 악성코드 감염 여부를 검사함으로써, 클라이언트단말 전체를 검사하는데 비하여 검사 시간을 단축하는 효과 뿐 아니라, 기존의 고정된 검사위치만을 대상으로 하는 검사 방식에 비해 중요한 위치에 대해 미검사할 확률을 현저히 낮춰 검사의 효율을 크게 증대시킬 수 있는 효과를 도출한다.
본 발명의 일실시예에 따른 악성코드대응서버의 동작 방법 및 악성코드 관련 중요검사수행장치의 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 클라이언트단말
200 : 악성코드 관련 중요검사수행장치
300 : 악성코드대응서버

Claims (11)

  1. 신규의 악성코드를 수집하는 악성코드수집단계;
    수집한 상기 신규의 악성코드가 클라이언트단말에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성하는 설치위치정보생성단계; 및
    상기 생성한 설치위치정보를 상기 클라이언트단말로 제공하여, 상기 클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있도록 하는 설치위치정보제공단계를 포함하며;
    상기 클라이언트단말에서는,
    상기 중요검사목록을 이용하여 상기 중요검사를 수행한 결과 악성코드 감염이 진단되면, 상기 클라이언트단말 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것을 특징으로 하는 악성코드대응서버의 동작 방법.
  2. 제 1 항에 있어서,
    기 설정된 분석기간 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 분석하여, 상기 클라이언트단말에서 악성코드에 의한 공격대상이 되는 파일정보 및 폴더정보 중 적어도 하나를 확인하는 단계; 및
    상기 확인된 파일정보 및 폴더정보 중 적어도 하나를 상기 클라이언트단말로 제공하여, 상기 클라이언트단말에서 상기 중요검사수행 이벤트 발생 시 상기 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 상기 중요검사를 수행할 수 있도록 하는 단계를 더 포함하는 것을 특징으로 하는 악성코드대응서버의 동작 방법.
  3. 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신하는 설치위치정보수신단계;
    클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시, 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행하는 중요검사수행단계; 및
    상기 중요검사목록을 이용하여 상기 중요검사를 수행한 결과 악성코드 감염이 진단되면, 상기 클라이언트단말 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 단계를 포함하는 것을 특징으로 하는 악성코드 관련 중요검사수행장치의 동작 방법.
  4. 제 3 항에 있어서,
    상기 설치위치정보수신단계는,
    악성코드대응서버로부터, 기 설정된 업데이트주기 경과 시마다, 상기 업데이트주기 동안 수집한 신규의 안성코드 각각에 대하여 생성한 악성코드별 설치위치정보를 수신하는 것을 특징으로 하는 악성코드 관련 중요검사수행장치의 동작 방법.
  5. 제 3 항에 있어서,
    악성코드대응서버로부터, 기 설정된 분석기간 동안 수집한 신규의 악성코드 각각에 대하여 생성한 악성코드별 설치위치정보의 분석을 통해 악성코드에 의한 공격대상이 되는 것으로 확인된 파일정보 및 폴더정보 중 적어도 하나를 수신하는 단계를 더 포함하고;
    상기 중요검사수행단계는,
    상기 클라이언트단말에서 상기 중요검사수행 이벤트 발생 시, 상기 파일정보 및 폴더정보 중 적어도 하나를 더 포함하는 중요검사목록을 이용하여 상기 중요검사를 수행하는 것을 특징으로 하는 악성코드 관련 중요검사수행장치의 동작 방법.
  6. 제 3 항에 있어서,
    상기 중요검사목록에 포함되는 신규의 악성코드 각각에 대한 설치위치정보는, 수신된 시점으로부터 기 설정된 보유시간이 경과하면 상기 중요검사목록에서 삭제되는 것을 특징으로 하는 악성코드 관련 중요검사수행장치의 동작 방법.
  7. 제 3 항에 있어서,
    상기 중요검사수행단계는,
    상기 중요검사수행 이벤트 발생 시, 이전에 상기 클라이언트단말에서 마지막으로 수행한 중요검사 시점으로부터 상기 중요검사수행 이벤트가 발생한 시점까지의 중요검사기간이 기 설정된 권장기간 이내인지 여부를 판단하고,
    상기 중요검사기간이 상기 권장기간 이내인 경우 상기 중요검사목록을 이용하여 상기 중요검사를 수행하고,
    상기 중요검사기간이 상기 권장기간 이내가 아닌 경우 상기 클라이언트단말 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는 것을 특징으로 하는 악성코드 관련 중요검사수행장치의 동작 방법.
  8. 삭제
  9. 신규의 악성코드를 수집하는 악성코드수집부;
    수집한 상기 신규의 악성코드가 클라이언트단말에서 설치되는 특정 위치를 나타내는 설치위치정보를 생성하는 설치위치정보생성부; 및
    상기 생성한 설치위치정보를 상기 클라이언트단말로 제공하여, 상기 클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행할 수 있도록 하는 설치위치정보제공부를 포함하며;
    상기 클라이언트단말에서는,
    상기 중요검사목록을 이용하여 상기 중요검사를 수행한 결과 악성코드 감염이 진단되면, 상기 클라이언트단말 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는, 악성코드대응서버.
  10. 신규의 악성코드가 설치되는 특정 위치를 나타내는 설치위치정보를 수신하는 설치위치정보수신부; 및
    클라이언트단말에서 기 지정된 중요검사수행 이벤트 발생 시, 상기 설치위치정보를 포함하는 중요검사목록을 이용하여 상기 클라이언트단말 내의 전체 검사위치 중에서 상기 신규의 악성코드가 설치되는 특정 위치를 포함한 일부 검사위치에 대해서만 악성코드 감염 여부를 검사하는 중요검사를 수행하는 중요검사수행부를 포함하며;
    상기 중요검사수행부는,
    상기 중요검사목록을 이용하여 상기 중요검사를 수행한 결과 악성코드 감염이 진단되면, 상기 클라이언트단말 내의 전체 검사위치에 대하여 악성코드 감염 여부를 검사하는 전체검사 수행을 유도하는, 악성코드 관련 중요검사수행장치.
  11. 제 1 항 내지 제 7 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020130031430A 2013-03-25 2013-03-25 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법 KR101444930B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130031430A KR101444930B1 (ko) 2013-03-25 2013-03-25 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130031430A KR101444930B1 (ko) 2013-03-25 2013-03-25 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법

Publications (1)

Publication Number Publication Date
KR101444930B1 true KR101444930B1 (ko) 2014-09-26

Family

ID=51761254

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130031430A KR101444930B1 (ko) 2013-03-25 2013-03-25 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법

Country Status (1)

Country Link
KR (1) KR101444930B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104112A (ko) * 2003-06-03 2004-12-10 주식회사 안철수연구소 악성쓰레드 검출기 및 그 방법
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR20070111643A (ko) * 2006-05-18 2007-11-22 주식회사 엔클루 네트워크의 보안을 관리하는 시스템 및 에이전트프로그램을 기록한 기록 매체
KR20110035382A (ko) * 2009-09-30 2011-04-06 주식회사 케이티 액세서 네트워크에서 비정상 트래픽 필터링 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104112A (ko) * 2003-06-03 2004-12-10 주식회사 안철수연구소 악성쓰레드 검출기 및 그 방법
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR20070111643A (ko) * 2006-05-18 2007-11-22 주식회사 엔클루 네트워크의 보안을 관리하는 시스템 및 에이전트프로그램을 기록한 기록 매체
KR20110035382A (ko) * 2009-09-30 2011-04-06 주식회사 케이티 액세서 네트워크에서 비정상 트래픽 필터링 장치 및 방법

Similar Documents

Publication Publication Date Title
EP2587379B1 (en) System test apparatus
CN103390130B (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
CN102483780A (zh) 防病毒扫描
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
KR101325954B1 (ko) 코드분석과 화면분석을 이용한 안드로이드 어플의 자동실행 방법, 및 이를 위한 안드로이드 어플 자동실행 프로그램을 기록한 컴퓨터로 판독가능한 기록매체
CN111026601A (zh) Java应用系统的监控方法、装置、电子设备及存储介质
EP2073121A2 (en) Analyzer and analyzing system, and computer program product
KR101602881B1 (ko) 분석 회피형 악성 코드 탐지 시스템 및 방법
KR101748833B1 (ko) 소프트웨어 고장의 위치 확정 방법, 장치 및 설비
EP2881877A1 (en) Program execution device and program analysis device
KR102105753B1 (ko) 모바일 어플리케이션 환경설정을 시험하기 위한 시험 항목 자동 생성 방법 및 시스템
CN110781073A (zh) 安全测试方法和系统
CN110688063A (zh) 一种Raid的慢盘筛选方法、装置、设备及介质
CN107562621B (zh) 确定手工测试用例与被测试代码关联关系的方法和装置
KR101337216B1 (ko) 컴퓨터 시스템 및 시그니처검증서버
CN107621963B (zh) 一种软件部署方法、软件部署系统及电子设备
CN107544902B (zh) 程序测试方法、装置和设备
CN110888731B (zh) 路由数据采集方法、装置、设备及存储介质
US10853492B2 (en) Systems and methods for protecting a computing device against malicious code
JP5571230B1 (ja) 評価システムおよび評価方法
KR101444930B1 (ko) 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법
CN105574410A (zh) 一种应用程序的安全检测方法及装置
CN105701004B (zh) 一种应用测试方法和装置
KR101794016B1 (ko) 분산 컴퓨팅 기반의 어플리케이션 객체 분석 방법, 이를 수행하는 어플리케이션 객체 분석 서버 및 이를 저장하는 기록매체
KR101412203B1 (ko) 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180919

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190919

Year of fee payment: 6