KR101590486B1 - 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 - Google Patents

지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 Download PDF

Info

Publication number
KR101590486B1
KR101590486B1 KR1020150096188A KR20150096188A KR101590486B1 KR 101590486 B1 KR101590486 B1 KR 101590486B1 KR 1020150096188 A KR1020150096188 A KR 1020150096188A KR 20150096188 A KR20150096188 A KR 20150096188A KR 101590486 B1 KR101590486 B1 KR 101590486B1
Authority
KR
South Korea
Prior art keywords
mail
information
sender
attribute
history information
Prior art date
Application number
KR1020150096188A
Other languages
English (en)
Inventor
송동수
김경인
박창환
Original Assignee
(주)다우기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)다우기술 filed Critical (주)다우기술
Priority to KR1020150096188A priority Critical patent/KR101590486B1/ko
Application granted granted Critical
Publication of KR101590486B1 publication Critical patent/KR101590486B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/08Annexed information, e.g. attachments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 이메일을 사전 차단할 수 있도록 하고, 첨부파일 검사를 통해 위험 이메일을 용이하게 판단할 수 있도록 지원하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법에 관한 것이다. 본 발명은 이력정보가 충분히 수집되지 않거나 이력정보가 존재하지 않는 이메일에 대해서도 이메일에 포함된 첨부파일에 대한 다양한 검사를 통해 위험 이메일을 분류하여 사전 차단할 수 있으며, 이를 통해 이메일을 수신하는 수신자의 사용자 장치에서 첨부파일을 통한 악성코드가 실행되지 않도록 방지할 수 있다.

Description

지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법{Inspection system and method of attached file for detecting Advanced Persistent Threat}
본 발명은 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 이메일을 사전 차단할 수 있도록 하고, 첨부파일 검사를 통해 위험 이메일을 용이하게 판단할 수 있도록 지원하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법에 관한 것이다.
최근 이메일을 통해 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 공격을 가하는 지능형 지속 위협(이하, APT: Advanced Persistent Threat)이 등장하고 있으며, 이러한 APT 공격은 악성코드를 심은 이메일을 실행한 특정 조직 내부 직원의 PC를 장악하고, 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 수법이다.
이러한, APT 공격의 특징은 지속성과 은밀함으로서, APT의 공격 기간은 평균 1년으로, 길게는 5년 가까이 공격을 하는 경우도 있어 APT의 공격을 당했는지는 확인하기 어려운 경우도 적지 않다.
이러한 APT 공격 방식 중 가장 선호하는 방식으로 이메일에 악성코드를 심은 첨부파일을 첨부하여 해당 이메일을 수신한 사용자가 이메일을 실행하도록 유도하는 방식이 있다. 이와 같은 방식은, 사용자가 해당 이메일의 첨부파일을 실행하게 되면 악성코드가 사용자 장치에 설치되어 정보를 빼내거나 파일을 삭제하거나 전산망을 마비시키는 등의 미리 설정된 동작을 수행한다.
이와 같은 해킹을 방지하기 위하여, 현재 악성코드를 포함하는 이메일을 전송한 특정 IP 주소나 메일 서버를 등록하여 해당 IP 주소나 메일 서버를 통해 전송되는 이메일을 사전에 차단하여 첨부파일이 실행되지 않도록 방지하는 기술이 있으나, 해당 이메일을 전송하는 송신자의 IP 주소가 변경되거나 메일 서버가 변경되는 경우 이메일의 사전 차단이 어렵게 되며 이로 인해 사용자측으로 악성 이메일이 전달되어 사용자 장치를 공격하게 된다.
더하여, 송신자가 사용자와 연관되어 인증된 다른 송신자의 메일 주소를 도용하여 전송하는 경우 기존과 같은 이메일 해킹 방지 방식에서는 정상적인 메일로 간주되어 사용자에게 전달되므로, 기존의 이메일 해킹 방지 방식이 무용해지는 문제점이 있다.
이외에도, 첨부파일의 실행을 통해 사용자 장치에 심어진 악성코드 중 잠복기를 가지거나 가상 환경을 인식하여 동작하는 파일은 사전 차단이 불가능하며, 이러한 악성 코드의 실행시간을 예측할 수 없어 해당 악성 코드를 탐지하는데 상당한 시간이 소요되는 문제점이 있다.
따라서, 기존 APT 관련 이메일에 대한 정확한 탐지와 더불어 APT 관련 첨부파일의 실행을 방지하기 위한 시스템 개발이 요구되고 있다.
한국등록특허 제10-0927240호
상술한 문제점을 해결하기 위하여, 본 발명은 일정 기간 동안 수집된 이메일의 패턴을 분석하고 정규화하여 그 데이터를 기반으로 새로 유입된 메일의 위험성 여부를 판단하여 APT 공격을 위한 이메일을 정확하게 탐지할 수 있는 시스템 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 패턴 분석이 어려운 이메일에 대하여 이메일에 포함된 첨부파일에 대한 다양한 검사를 통해 사용자 장치를 공격할 수 있는 위험 이메일을 용이하게 구분하여 사전 차단할 수 있도록 지원하기 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템은 이메일을 수신하는 이메일 수신부와, 상기 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부와, 상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부와, 상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부 및 상기 이메일 수신부를 통해 수신된 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하고, 상기 이력정보가 존재하는 경우 상기 데이터 추출부로부터 상기 최근 이메일에 대하여 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 이메일에 포함된 첨부파일을 추출하고 첨부파일에 포함된 하나 이상의 확장자가 미리 설정된 확장자 리스트 또는 이중 확장자 리스트에 포함되는지 여부에 따라 상기 최근 이메일의 위험 여부를 검출하는 검사부를 포함할 수 있다.
본 발명과 관련된 일 예로서, 상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 이력정보를 저장하는 저장부를 더 포함하며, 상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 검사부는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 첨부파일에 포함된 매직넘버를 기초로 상기 첨부파일의 확장자를 식별하여 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 검사부는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 첨부파일의 파일명에 미리 설정된 유니코드의 포함여부를 판단하며, 상기 파일명에 유니코드가 존재하는 경우 상기 파일명에 포함된 유니코드에 대응되어 미리 설정된 문자 배열 방향에 따라 상기 파일명의 문자 배열 순서를 식별하고, 상기 문자 배열 순서에 따라 상기 파일명에서 식별된 확장자를 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 검사부는 상기 첨부파일이 압축파일인 경우 압축을 해제하여 상기 최근 이메일에 대한 위험 여부를 검출하는 것을 특징으로 할 수 있다.
본 발명의 실시예에 따른 이메일을 수신하여 지능형 지속 위협을 탐지하기 위한 메일 서버의 첨부파일 검사 방법에 있어서, 이메일을 수신하는 단계와, 상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계와, 상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계와, 현재 수신된 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하는 단계 및 상기 이력정보가 존재하는 경우 상기 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성하고, 상기 최근 이메일에 대하여 추출한 상기 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 이력정보가 존재하지 않는 경우 상기 이메일에 포함된 첨부파일을 추출하고 첨부파일에 포함된 확장자가 미리 설정된 확장자 리스트 또는 이중 확장자 리스트에 포함되는지 여부에 따라 상기 최근 이메일의 위험 여부를 검출하는 단계를 포함할 수 있다.
본 발명에 따르면, 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호하는 효과가 있다.
또한, 본 발명은 이력정보가 충분히 수집되지 않거나 이력정보가 존재하지 않는 이메일에 대해서도 이메일에 포함된 첨부파일에 대한 다양한 검사를 통해 위험 이메일을 분류하여 사전 차단할 수 있으며, 이를 통해 이메일을 수신하는 수신자의 사용자 장치에서 첨부파일을 통한 악성코드가 실행되지 않도록 방지할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 구성도.
도 2는 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 이력정보 수집에 대한 예시도.
도 3은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 위험 이메일 검출에 대한 동작 예시도.
도 4 내지 도 8은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 속성별 위험 이메일 검출 및 격리에 대한 다양한 예시를 도시한 예시도.
도 9는 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 첨부파일 검사에 대한 동작 예시도.
도 10 내지 도 12는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 첨부파일 검사를 위한 다양한 실시예를 도시한 도면.
도 13은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 방법에 대한 순서도.
이하, 도면을 참고하여 본 발명의 상세 실시예를 설명한다.
도 1은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템의 구성도로서, 도시된 바와 같이 이메일 수신부(110), 데이터 추출부(120), 이력 관리부(130), 패턴 분석부(140), 검사부(150)를 포함하는 메일 서버(100)로 구성될 수 있다.
이때, 상기 이메일 수신부(110)는 통신망을 통해 수신되는 이메일(E-mail)을 수신할 수 있다.
또한, 상기 데이터 추출부(120)는 도 2에 도시된 바와 같이 상기 이메일 수신부(110)를 통해 수신된 이메일로부터 미리 설정된 하나 이상의 속성에 대응되어 속성정보를 추출할 수 있다.
이때, 상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버, 메일 클라이언트(mail client) 중 어느 하나에 대응되며, 상기 데이터 추출부(120)는 상기 이메일로부터 각 속성에 대응되는 속성정보를 추출할 수 있다. 특히, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 상기 각 속성에 대응되는 속성정보를 추출할 수 있다.
다음, 상기 이력 관리부(130)는 상기 데이터 추출부(120)를 통해 추출된 속성별 속성정보를 정규화하여 이력 DB(101)에 이력정보로 누적 저장할 수 있다.
이때, 상기 이력 관리부(130)는 송수신자에 대한 속성에 대응되어 추출된 상기 속성정보를 기초로 상기 이메일의 송신자를 판단하고, 상기 이메일의 송신자에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다. 일례로, 상기 이력 관리부(130)는 속성정보에 포함된 송신자의 계정에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 이력 관리부(130)는 상기 데이터 추출부(120)와 연동하여 상기 이메일 수신부(110)를 통해 수신된 상기 이메일의 송신 시간에 대한 시간정보를 이력정보에 포함시킬 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이력 DB(101)에 누적된 복수의 이력 정보를 기초로 속성별 패턴을 분석하여 패턴정보를 생성할 수 있다.
일례로, 상기 패턴 분석부(140)는 이력 DB(101)에 상기 특정 송신자에 대응되어 누적 저장된 이력정보들 중에서 상기 특정 송신자에 대응되어 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 이력정보를 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 특정 송신자의 이메일 패턴에 대한 최신성을 유지하기 위하여 상기 이력 DB(101)에 상기 특정 송신자에 대응되어 저장된 이력정보 중 시간정보를 기초로 미리 설정된 기간 동안 미리 설정된 개수 이상의 이메일이 수신된 경우에만 상기 패턴정보를 생성할 수도 있다.
또한, 상기 패턴 분석부(140)는 상기 이메일의 수신자가 특정 송신자에 대응되어 설정한 설정정보를 기초로 상기 속성별 패턴정보를 생성할 수도 있다.
일례로, 상기 패턴 분석부(140)는 특정 메일 클라이언트에 대한 값을 상기 수신자로부터 설정받아 설정정보로 저장하고, 상기 설정정보에 대응되는 특정 메일 클라이언트를 상기 복수의 속성 중 하나인 메일 클라이언트에 대한 패턴정보로 생성할 수 있다.
한편, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 최근 이메일에 대하여 상기 각 속성별로 추출된 속성정보를 수신할 수 있으며, 속성정보 수신시 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되는 속성별 패턴정보를 생성하고, 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되는 패턴 정보를 수신할 수 있다.
이에 따라, 상기 검사부(150)는 상기 패턴 분석부(140)로부터 제공된 속성별 패턴정보와 상기 데이터 추출부(120)로부터 수신된 속성별 속성정보를 동일 속성끼리 미리 설정된 기준에 따라 비교하여 일치 여부를 판단하고, 불일치하는 경우 상기 최근 이메일을 이상이 발생한 위험 이메일로 검출할 수 있다.
이때, 상기 검사부(150)는 이상이 발생한 상기 위험 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있다.
이를 도 3을 통해 상세히 설명하면, 도시된 바와 같이 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 상기 최근 이메일에 대한 속성별 속성정보를 수신할 수 있다.
이때, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 속성별 속성정보와 함께 상기 최근 이메일을 수신하거나 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신할 수 있으며, 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신한 경우 상기 데이터 추출부(120)와 연동하여 상기 최근 이메일에 대한 상기 속성별 속성정보를 추출할 수 있다.
이에 따라, 상기 검사부(150)는 상기 최근 이메일에 대하여 추출된 속성정보에서 송신자 정보(일례로, 송신자 계정)를 검색하여 상기 최근 이메일의 송신자가 송신자 1임을 판단할 수 있으며, 상기 패턴 분석부(140)와 연동하여 상기 송신자 1에 대응되어 수신된 기존 이메일들로부터 추출된 속성정보를 기초로 생성되어 누적 저장된 이력정보가 이력 DB(101)에 존재하는지 판단하고, 존재하는 경우 해당 송신자 1에 대응되는 하나 이상의 이력정보를 속성별로 이력 DB(101)로부터 추출하고, 해당 속성별 이력정보를 기초로 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 값을 패턴정보로 생성하여 속성별 패턴정보를 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 상기 누적 저장된 이력정보들 중에서 상기 이력 DB(101)에 각 이력정보에 포함된 시간정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 수신된 이력정보만을 추출하여 상기 속성별 패턴정보를 생성할 수 있다.
이후, 상기 검사부(150)는 상기 이력정보를 기초로 상기 패턴 분석부(140)로부터 제공되는 속성별 상기 패턴 정보를 제공받아 각 속성에 대응되어 미리 설정된 하나 이상의 기준에 따라 상기 최근 이메일에 대응되는 속성별 속성정보와 동일 속성끼리 상호 비교할 수 있다.
이때, 상기 각 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부, 경유 국가의 일치 여부 중 적어도 하나를 포함할 수 있다.
이후, 상기 검사부(150)는 상기 각 속성 모두에 대하여 패턴정보와 속성정보가 일치하는 경우 상기 최근 이메일을 미리 지정된 메일 DB(102)에서 상기 최근 이메일에 포함된 수신자의 계정에 대응되어 저장할 수 있으며, 적어도 하나의 속성에 대하여 패턴정보와 속성정보가 일치하지 않는 경우 상기 최근 이메일에 이상이 발생한 것으로 판단하고, 상기 최근 이메일을 APT(Advanced Persistent Threat: 지능형 지속 위협)와 같은 악성 코드가 의심되는 위험 이메일로 검출할 수 있다.
이에 따라, 상기 검사부(150)는 해당 위험 이메일을 상기 위험 이메일의 수신자 계정에 대응되어 임시 DB(103)에 저장하여 격리시킬 수 있다.
이하, 상술한 구성을 기초로 상기 메일 서버(100)의 이메일에 대한 검사 실시예를 도 4 내지 도 8을 통해 상세히 설명한다.
첫 번째 일례로, 상기 데이터 추출부(120)는 도 4에 도시된 바와 같이 이메일 수신부(110)를 통해 수신된 이메일에 포함되는 헤더 정보로부터 상기 복수의 속성 중 하나인 메일 클라이언트를 표시하는 X-Mailer 값을 추출하여 속성정보를 생성할 수 있다. 즉, 상기 데이터 추출부(120)는 X-Mailer 값인 Microsoft Outlook 15.0을 메일 클라이언트에 대한 속성정보로 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 이메일의 송신자에 대응되어 메일 클라이언트의 속성에 대한 이력 정보로 이력 DB(101)에 저장할 수 있다.
이때, 메일 클라이언트는 송신자의 송신자 장치에 구성되어 상기 메일 서버(100)로 메일을 전송하는 이메일 에이전트(E-mail agent)에 대한 식별정보를 의미할 수 있다.
또한, 상기 메일 클라이언트의 종류에 따라 상기 이메일의 헤더 정보에 X-Mailer 이외에도 User-Agent로 표시될 수도 있으며, 상기 데이터 추출부(120)는 상기 User-Agent의 값을 상기 메일 클라이언트에 대한 속성정보로 추출할 수도 있다.
한편, 상기 패턴 분석부(140)는 지속적으로 수신되는 상기 송신자와 동일한 송신자에 대응되어 수신되는 복수의 이메일로부터 메일 클라이언트에 대한 속성정보로 Microsoft Outlook 15.0이 수신되어 상기 이력 DB(101)에 이력정보로 누적된 경우 상기 패턴 분석부(140)는 상기 메일 클라이언트의 속성에 대응되어 누적된 이력정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 값인 Microsoft Outlook 15.0을 상기 메일 클라이언트에 대한 패턴 정보로 생성할 수 있다.
이후, 상기 검사부(150)는 상기 데이터 추출부(120)를 통해 상기 이메일 수신부(110)에 현재 수신된 최근 이메일의 속성정보를 수신한 경우 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 패턴 분석부(140)로부터 상기 메일 클라이언트에 대한 패턴 정보를 수신하고, 상기 메일 클라이언트의 일치 여부에 대한 상기 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 제공되는 상기 메일 클라이언트에 대한 패턴 정보인 Microsoft Outlook 15.0과 일치하지 않는 X-Mailer 값 또는 User-Agent 값을 가진 상기 최근 이메일을 위험 이메일로 검출하고, 상기 격리부(160)는 상기 위험 이메일을 별도의 저장소인 임시 DB(103)에 저장하여 격리시킬 수 있다.
두번째 일례로, 상기 데이터 추출부(120)는 이메일에 포함된 헤더 정보로부터 복수의 속성 중 하나인 이메일이 경유한 각 경유 메일 서버에 대한 속성 정보를 상기 경유 메일 서버에 대한 속성에 대응되어 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 경유 메일 서버에 대한 속성에 대응되는 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
예를 들어, 상기 데이터 추출부(120)는 도 5 및 도 6에 도시된 바와 같이 이메일의 헤더 정보로부터 도시된 Received 항목의 By값을 상기 경유 메일 서버에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 해당 By값을 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 상기 데이터 추출부(120)는 경유 메일 서버가 여러 개인 경우 이메일의 헤더 정보에 포함된 복수의 Received 항목 중에서 최초 메일 전달 서버 및 최종 메일 전달 서버에 대한 Received 항목을 식별하고, 도 5에 도시된 바와 같은 최종 메일 전달 서버에 대한 Received 항목의 By 값과 도 6에 도시된 바와 같은 최초 메일 전달 서버에 대한 Received 항목의 By 값을 포함하는 속성정보를 추출할 수 있다.
또한, 상기 이력 관리부(130)는 상기 이력 정보 저장시 최초 메일 전달 서버 또는 최종 메일 전달 서버를 구분하기 위한 식별정보를 상기 이력정보에 포함하여 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 메일 서버에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 최초 메일 전달 서버 및 최종 메일 전달 서버 중 적어도 하나에 대한 By 값을 패턴 정보로 생성할 수 있다. 이때, 패턴정보에는 최초 메일 전달 서버 및 최종 메일 전달 서버의 구분을 위한 식별정보가 포함될 수 있다.
또한, 경유 메일 서버가 1개인 경우 상기 최초 메일 전달 서버 및 최종 메일 전달 서버는 상호 동일할 수 있다.
이에 따라, 상기 검사부(150)는 도 5에 도시된 바와 같이 현재 수신된 최근 이메일에 포함된 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By 값을 상기 데이터 추출부(120)로부터 수신한 경우, 상기 최종 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최종 메일 전달 서버에 대응되는 By 값과 상기 패턴정보에 따른 최종 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
또한, 상기 검사부(150)는 도 6에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 최초 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최초 메일 전달 서버에 대응되는 By값과 상기 패턴정보에 따른 최초 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 최초 메일 전달 서버는 상기 경유 메일 서버 중 최초로 상기 이메일을 전달한 서버를 의미하며, 상기 최종 메일 전달 서버는 상기 경유 메일 서버 중 마지막으로 상기 이메일을 상기 메일 서버(100)로 전송한 서버를 의미할 수 있다.
세 번째 일례로, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 복수의 속성 중 하나인 송수신자에 대한 Received 항목을 식별하고, 도 7에 도시된 바와 같이 해당 Received 항목의 From 값을 송수신자에 대한 속성정보로 추출할 수 있다.
이때, 송수신자에 대한 Received 항목은 최초 메일 전달 서버의 Received 항목과 일치하지만, 해당 Received 항목에서 By값이 아닌 From 값을 송수신자에 대한 속성정보로 추출할 수 있으며, 이력 관리부(130)는 해당 From 값을 송수신자에 대한 이력 정보로 이메일의 송신자에 대응되어 이력 DB(101)에 누적 저장할 수 있다.
또한, 송수신자에 대한 Received 항목에서 From 값은 자신의 서버에 접속한 메일 클라이언트 정보이고 By 값은 자신의 정보를 나타낸다. 그렇기 때문에 첫 번째 Received 항목의 From 값은 최초 메일 전달 서버에 접속한 송신자의 IP(Internet Protocol) 정보(접속 정보)를 포함하고 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 복수의 이메일로부터 추출된 송수신자에 대한 속성정보를 기초로 누적된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 송수신자에 대한 속성 정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 7에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 송수신자에 대응되어 추출된 속성정보인 상기 From 값을 데이터 추출부(120)로부터 수신한 경우 상기 송신자 접속 정보의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 송수신자에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 송수신자에 대한 속성정보에 포함되는 From 값과 상기 패턴정보에 따른 송신자 접속 정보에 대한 From 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
네 번째 일례로, 상기 데이터 추출부(120)는 복수의 속성 중 하나인 경유 국가에 대한 속성정보를 추출하기 위해, 이메일의 헤더정보로부터 도 8에 도시된 바와 같이 모든 Received 항목의 By 값과 From 값을 경유 국가에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 각 Received 항목의 By 값과 From 값을 이력정보로 이력 DB(101)에 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 이력 관리부(130)는 By 값과 From 값에 포함된 IP 정보를 기초로 하나 이상의 경유 국가에 대한 국가정보를 취득할 수 있으며, 이를 이력정보로 이력 DB(101)에 누적 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적인 수신된 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 국가에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 이력정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 8에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보에서 경유 국가에 대응되어 모든 Received 항목으로부터 추출된 By 값과 From 값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 경유 국가의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 국가에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 국가에 대한 속성정보에서 각 Received 항목의 By 과 From 값에 포함된 IP 정보로부터 국가정보를 확인하여 상기 패턴 정보에 따른 하나 이상의 경유 국가와 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 이력 관리부(130)는 상기 이력 DB(101)에 이력정보를 누적 저장시 송신자의 메일 주소와 매칭하여 상기 이력정보를 누적 저장할 수 있으며, 상기 이메일의 송신시간에 대한 시간정보를 상기 이메일에 대한 이력정보에 포함시켜 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 최근 이메일을 수신하여 위험 이메일로 검출된 최근 이메일을 격리부(160)와 연동하여 격리시킬 수 있다.
더하여, 상기 패턴 분석부(140)는 상기 검사부(150)로부터 상기 최근 이메일에 대응되는 송신시간 또는 현재시간을 수신하고, 상기 이력 DB(101)에 누적 저장된 각 이력정보에 포함된 시간정보를 기초로 상기 최근 이메일에 대응되는 송신시간 또는 현재 시간을 기준으로 미리 설정된 기간 동안에 특정 속성에 대응되어 누적 저장된 이력정보만을 대상으로 상술한 패턴 분석을 수행하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 값을 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 미리 설정된 기간 동안 미리 설정된 횟수 이상의 이력정보가 누적된 경우에만 패턴정보를 생성하도록 동작할 수도 있다.
상술한 구성을 통해, 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템이 적용된 메일 서버(100)는 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 이메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호할 수 있다.
그러나, 상술한 구성에서 최근 이메일의 송신자에 대응되어 저장된 이력정보가 이력 DB(101)에 존재하지 않거나 충분한 이력정보가 수집되지 않아 패턴정보가 생성되지 않는 경우 상기 최근 이메일에 대한 이상 여부 판단이 어려우므로 위험 이메일을 정상 이메일로 판단할 수 있다.
또한, 최근 이메일에 악성코드를 포함하는 첨부파일이 포함된 경우 정상 이메일로 판단된 최근 이메일을 수신한 수신자의 사용자 장치에서 상기 이메일에 포함된 첨부파일을 실행하는 경우 악성코드가 실행되어 사용자 장치가 APT 공격에 노출될 수 있다.
이를 방지하기 위하여, 상기 검사부(150)는 상기 최근 이메일에 포함된 첨부파일에 대한 검사를 통해 위험 이메일을 검출할 수 있는데, 이를 이하 도면을 참조하여 상세히 설명한다.
우선, 도 1 및 도 9에 도시된 바와 같이 상기 검사부(150)는 상기 최근 이메일에 포함된 첨부파일을 검사하기 위한 첨부파일 검사부(151)를 더 포함할 수 있다.
이에 따라, 상기 검사부(150)는 상기 이메일 수신부(110) 또는 데이터 추출부(120)를 통해 현재 수신된 최근 이메일을 수신하는 경우 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되는 이력정보가 이력 DB(101)에 존재하는지 판단할 수 있으며, 이력정보가 존재하지 않거나 패턴정보의 생성에 필요한 이력정보가 수집되지 않은 경우 상기 첨부파일 검사부(151)를 활성화시킬 수 있다.
상기 첨부파일 검사부(151)는 상기 최근 이메일에 첨부파일이 포함되어 있는지 여부를 확인하고, 첨부파일이 포함된 경우 첨부파일에 대한 검사를 수행하여 상기 최근 이메일의 위험 여부를 판단할 수 있다.
이때, 상기 첨부파일 검사부(151)는 상기 첨부파일이 압축 파일인지 판단할 수 있으며, 압축파일인 경우 압축을 해제한 후 압축이 해제된 첨부파일에 대하여 검사를 수행할 수 있다.
상기 첨부파일의 검사에 대한 실시예로서, 도 10(a)에 도시된 바와 같이 상기 첨부파일 검사부(151)는 상기 첨부파일의 확장자를 미리 설정된 확장자 리스트와 비교할 수 있으며, 일례로 test.exe와 같이 상기 첨부파일의 파일명에서 확장자인 exe를 추출하여 상기 확장자 리스트와 비교하고, 상기 첨부파일의 확장자가 상기 확장자 리스트에 포함된 경우 상기 첨부파일을 포함한 최근 이메일을 위험 이메일로 검출할 수 있다.
이때, 상기 확장자 리스트는 실행 가능한 상기 실행 확장자에 대한 정보를 포함할 수 있으며, 일례로 exe, com, bat, dall 등과 같이 응용 프로그램의 설치 없이 바로 실행 가능한 확장자를 포함할 수 있다.
이를 통해, 상기 첨부파일 검사부(151)는 사용자 장치에서 실행되어 사용자 장치를 공격할 가능성이 있는 실행 확장자를 가진 첨부파일을 포함하는 최근 이메일을 위험 이메일로 검출할 수 있다.
또한, 도 10(b)에 도시된 바와 같이 상기 첨부파일 검사부(151)는 상기 첨부파일의 확장자가 복수인 경우 미리 설정된 이중 확장자 리스트와 비교할 수 있으며, 상기 첨부파일에 대응되는 복수의 확장자가 상기 이중 확장자 리스트에 포함된 경우 상기 첨부파일을 포함하는 최근 이메일을 위험 이메일로 검출할 수 있다.
일례로, 도시된 바와 같이 상기 첨부파일의 파일명이 A.doc.exe로 구성되며 미리 알려진 확장자에 대한 확장자명을 숨기도록 옵션이 설정된 경우 A.doc로 표시되므로, 이로 인해 수신자가 해당 첨부파일을 doc에 대응되는 문서 파일로 착각하여 해당 파일을 실행할 우려가 있다.
이를 방지하기 위해, 상기 첨부파일 검사부(151)는 도시된 바와 같이, doc.exe, xls.exe, hwp.com 등과 같이 첨부파일의 파일명 중 마지막에 상기 실행 확장자가 위치하는 이중 확장자 리스트를 저장하고, 실행 확장자와 더불어 추가 확장자를 포함하는 첨부파일을 상기 이중 확장자 리스트와 비교하여 상기 첨부파일의 이중 확장자가 상기 이중 확장자 리스트에 포함된 경우 상기 최근 이메일을 위험 이메일로 검출할 수 있다.
상술한 구성과 같이 확장자 비교를 통해 위험 이메일을 검출할 수 있으나, 송신자가 악의적인 의도를 가지고 상기 첨부파일의 확장자를 위변조하거나 유니코드를 사용하여 변경한 경우 상술한 구성만으로 악성코드를 포함할 가능성이 있는 첨부파일을 검출하기 어려운 문제점이 있다.
위변조의 일례로, 송신자가 실행 가능한 확장자를 포함하는 첨부파일의 파일명을 변경하여 실제로는 exe와 같이 실행 가능한 확장자를 포함하는 파일이지만 첨부파일의 파일명이 A.xlsx로 나타나도록 확장자를 변경할 수 있다.
또한, 유니코드를 통한 파일명 변경의 일례로, 아랍권에서는 문자를 오른쪽에서 왼쪽으로 읽기 때문에 아랍어와 관련된 유니코드를 파일명에 삽입하는 경우 해당 파일명에서 상기 아랍어 관련 유니코드의 위치 이전에 위치하는 문자의 문자배열 순서는 왼쪽에서 오른쪽으로 표시되나 해당 상기 아랍어 관련 유니코드의 위치 이후에 위치하는 문자의 문자 배열 순서는 오른쪽에서 왼쪽으로 표시될 수 있다.
이를 보완하기 위해, 상기 첨부파일 검사부(151)는 상기 첨부파일의 확장자가 상기 확장자 리스트 또는 이중 확장자 리스트에 포함되지 않은 경우 확장자의 위변조를 검사할 수 있다.
이를 도 11을 통해 설명하면, 상기 첨부파일 검사부(151)는 상기 첨부파일로부터 확장자에 대응되는 매직 넘버(magic number)를 추출할 수 있으며, 이를 통해 도시된 바와 같이 송신자가 확장자를 변경하여 A.xlsx로 표시한 첨부파일에 대하여 상기 매직 넘버를 기초로 상기 첨부파일의 실제 확장자인 exe를 식별할 수 있다.
이에 따라, 상기 첨부파일 검사부(151)는 식별된 실제 확장자를 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하여 상기 확장자 리스트 또는 이중 확장자 리스트에 포함된 경우 상기 최근 이메일을 위험 이메일로 검출할 수 있다.
이때, 상기 첨부파일 검사부(151)는 상기 첨부파일의 파일명에 포함된 확장자를 상기 매직넘버를 기초로 실제 확장자로 변경할 수도 있다.
또한, 상기 첨부파일 검사부(151)는 유니코드를 이용한 확장자 변경에 대하여 RLO(Right to Left Override) 검사를 수행할 수 있다.
이를 도 12를 통해 설명하면, 상기 첨부파일 검사부(151)는 상기 첨부파일의 파일명에서 미리 설정된 복수의 유니코드 중 어느 하나가 상기 첨부파일에 삽입되어 있는지 식별할 수 있으며, 상기 파일명에서 식별된 유니코드의 위치 이후에 배열된 문자의 배열 순서를 상기 유니코드에 따른 문자배열 방향을 기초로 판단할 수 있다.
일례로, testcod.exe로 명시된 첨부파일의 파일명에서 test와 cod 사이에 아랍어에 대응되는 아랍어 관련 유니코드가 삽입된 경우 상기 첨부파일 검사부(151)는 test 이후의 각 문자의 배열 순서를 상기 아랍어 관련 유니코드를 기초로 문자배열 방향을 판단하여 도시된 바와 같이 문자 배열 순서를 판단할 수 있으며, 이에 따라 testcod.exe로 표시된 파일명을 상기 유니코드를 기초로 한 문자 배열 순서의 판단을 통해 testexe.doc로 식별할 수 있다.
따라서, 상기 첨부파일 검사부(151)는 첨부파일의 실제 확장자명인 doc인 것으로 식별할 수 있으며, 식별된 실제 확장자를 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하여 상기 확장자 리스트 또는 이중 확장자 리스트에 포함된 경우 상기 최근 이메일을 위험 이메일로 검출할 수 있다.
상술한 구성에서, 상기 검사부(150)는 상기 첨부파일 검사부(151)를 통해 위험 이메일로 검출된 최근 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있음은 물론이다.
상술한 바와 같이, 본 발명은 이력정보가 충분히 수집되지 않거나 이력정보가 존재하지 않는 이메일에 대해서도 다양한 첨부파일 검사를 통해 위험 이메일을 분류하여 사전 차단할 수 있으며, 이를 통해 이메일을 수신하는 수신자의 사용자 장치에서 첨부파일을 통한 악성코드가 실행되지 않도록 방지할 수 있다.
도 13은 본 발명의 실시예에 따른 지능형 지속 위협 탐지를 위한 첨부파일 검사 방법에 대한 순서도로서, 우선 상기 메일 서버(100)는 이메일을 수신하여 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출할 수 있으며, 이를 정규화하여 상기 각 속성에 대한 이력정보로 이력 DB(101)에 누적 저장할 수 있다.
이후, 상기 메일 서버(100)는 현재 수신되는 최근 이메일에 대하여(S1) 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 상기 이력 DB(101)에 존재하는지 판단할 수 있다(S2).
다음, 상기 메일 서버(100)는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는 경우 상기 최근 이메일로부터 상기 속성별 속성정보를 추출하고(S3), 상기 최근 이메일의 송신자에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성할 수 있다(S4).
이후, 상기 메일 서버(100)는 상기 최근 이메일로부터 상기 각 속성에 대하여 추출한 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 상기 속성별 패턴정보와 비교하여(S5) 이상이 발생한(S6) 위험 이메일을 검출할 수 있다(S7).
한편, 상기 메일 서버(100)는 상기 최근 이메일의 송신자에 대응되어 이력정보가 이력 DB(101)에 존재하지 않는 경우(S2) 상기 최근 이메일에 첨부파일이 존재하는지 여부를 판단하고(S8), 첨부파일이 존재하는 경우 해당 첨부파일을 최근 이메일로부터 추출할 수 있다.
이때, 상기 메일 서버(100)는 상기 첨부파일이 압축 파일인 경우(S9) 압축을 해제할 수 있다(S10).
이후, 상기 메일 서버(100)는 상기 첨부파일에 포함된 하나 이상의 확장자가 미리 설정된 확장자 리스트 또는 미리 설정된 이중 확장자 리스트에 포함되는지 여부에 따라(S11, S6) 상기 최근 이메일의 위험 여부를 검출할 수 있다(S7).
이때, 상기 메일 서버(100)는 상기 첨부파일의 확장자가 상기 확장자 리스트 또는 상기 이중 확장자 리스트에 포함되지 않은 경우 상기 첨부파일에 포함된 매직넘버를 기초로 상기 첨부파일의 확장자를 식별하여 상기 확장자 리스트 또는 이중 확장자 리스트와 비교할 수 있으며, 상기 매직 넘버를 기초로 식별된 확장자가 상기 확장자 리스트 또는 이중 확장자 리스트에 포함된 경우 위험 이메일로 검출할 수 있다.
또한, 상기 메일 서버(100)는 상기 첨부파일의 파일명에 미리 설정된 유니코드의 포함(삽입) 여부를 판단하고, 상기 파일명에 포함된 유니코드에 대응되어 미리 설정된 문자 배열 방향에 따라 상기 파일명의 문자배열 순서를 판단하고 이를 통해 식별된 확장자를 상기 확장자 리스트 또는 이중 확장자 리스트와 비교할 수 있으며, 상기 유니코드에 따라 식별된 확장자가 상기 확장자 리스트 또는 이중 확장자 리스트에 포함된 경우 위험 이메일로 검출할 수 있다.
이를 통해, 상기 메일 서버(100)는 첨부파일의 확장자 검사를 수행하여 이력정보가 부족한 최근 이메일에 대해서도 위험 여부를 검출할 수 있으며, 확장자의 위변조시에도 용이하게 실제 확장자를 식별하여 최근 이메일의 위험 여부를 검출할 수 있다.
한편, 상술한 구성에서 상기 메일 서버(100)는 위험 이메일로 검출된 상기 최근 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있다.
본 명세서에 기술된 다양한 서버, 장치 및 구성부는 하드웨어 회로(예를 들어, CMOS 기반 로직 회로), 펌웨어, 소프트웨어 또는 이들의 조합에 의해 구현될 수 있다. 예를 들어, 다양한 전기적 구조의 형태로 트랜지스터, 로직게이트 및 전자회로를 활용하여 구현될 수 있다.
더하여, 상기 메일 서버(100)는 이메일 수신시 널리 알려진 다양한 유무선 통신망을 통해 이메일을 전송하거나 사용자 장치로 이메일을 전송할 수 있음은 물론이며, 상기 사용자 장치는 통신 기능을 구비한 스마트 폰(Smart Phone), 휴대 단말기(Portable Terminal), 이동 단말기(Mobile Terminal), 개인 정보 단말기(Personal Digital Assistant: PDA) 등과 같은 다양한 단말기를 포함할 수 있다.
전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 메일 서버 101: 이력 DB
102: 메일 DB 103: 임시 DB
110: 이메일 수신부 120: 데이터 추출부
130: 이력 관리부 140: 패턴 분석부
150: 검사부 151: 첨부파일 검사부

Claims (8)

  1. 이메일을 수신하는 이메일 수신부;
    상기 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부;
    상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부;
    상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부; 및
    상기 이메일 수신부를 통해 수신된 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하고, 상기 이력정보가 존재하는 경우 상기 데이터 추출부로부터 상기 최근 이메일에 대하여 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 이메일에 포함된 첨부파일을 추출하고 첨부파일에 포함된 하나 이상의 확장자가 미리 설정된 확장자 리스트 또는 이중 확장자 리스트에 포함되는지 여부에 따라 상기 최근 이메일의 위험 여부를 검출하는 검사부를 포함하고,
    상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  2. 청구항 1에 있어서,
    상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  3. 삭제
  4. 청구항 1에 있어서,
    상기 이력정보를 저장하는 저장부를 더 포함하며,
    상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  5. 청구항 1에 있어서,
    상기 검사부는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 첨부파일에 포함된 매직넘버를 기초로 상기 첨부파일의 확장자를 식별하여 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  6. 청구항 1에 있어서,
    상기 검사부는 상기 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하지 않는 경우 상기 첨부파일의 파일명에 미리 설정된 유니코드의 포함여부를 판단하며, 상기 파일명에 유니코드가 존재하는 경우 상기 파일명에 포함된 유니코드에 대응되어 미리 설정된 문자 배열 방향에 따라 상기 파일명의 문자 배열 순서를 식별하고, 상기 문자 배열 순서에 따라 상기 파일명에서 식별된 확장자를 상기 확장자 리스트 또는 이중 확장자 리스트와 비교하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  7. 청구항 1에 있어서,
    상기 검사부는 상기 첨부파일이 압축파일인 경우 압축을 해제하여 상기 최근 이메일에 대한 위험 여부를 검출하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템.
  8. 이메일을 수신하여 지능형 지속 위협을 탐지하기 위한 메일 서버의 첨부파일 검사 방법에 있어서,
    이메일을 수신하는 단계;
    상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계;
    상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계;
    현재 수신된 최근 이메일의 송신자에 대응되는 상기 이력정보가 존재하는지 판단하는 단계; 및
    상기 이력정보가 존재하는 경우 상기 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴 분석을 통해 속성별 패턴정보를 생성하고, 상기 최근 이메일에 대하여 추출한 상기 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 이력정보가 존재하지 않는 경우 상기 이메일에 포함된 첨부파일을 추출하고 첨부파일에 포함된 확장자가 미리 설정된 확장자 리스트 또는 이중 확장자 리스트에 포함되는지 여부에 따라 상기 최근 이메일의 위험 여부를 검출하는 단계를 포함하고,
    상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 하는 지능형 지속 위협 탐지를 위한 첨부파일 검사 방법.
KR1020150096188A 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 KR101590486B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150096188A KR101590486B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150096188A KR101590486B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101590486B1 true KR101590486B1 (ko) 2016-02-01

Family

ID=55354212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150096188A KR101590486B1 (ko) 2015-07-06 2015-07-06 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101590486B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101930941B1 (ko) 2016-07-19 2018-12-20 주식회사 안랩 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100927240B1 (ko) 2008-12-29 2009-11-16 주식회사 이글루시큐리티 가상환경을 통한 악성코드탐지방법
KR20100118422A (ko) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 정보보안 증적 추적 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100927240B1 (ko) 2008-12-29 2009-11-16 주식회사 이글루시큐리티 가상환경을 통한 악성코드탐지방법
KR20100118422A (ko) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 정보보안 증적 추적 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101930941B1 (ko) 2016-07-19 2018-12-20 주식회사 안랩 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법

Similar Documents

Publication Publication Date Title
US11470029B2 (en) Analysis and reporting of suspicious email
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US11677783B2 (en) Analysis of potentially malicious emails
US8199965B1 (en) System, method, and computer program product for preventing image-related data loss
CN107454037B (zh) 网络攻击的识别方法和系统
CN104781824A (zh) 针对恶意软件检测的动态隔离
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US11563757B2 (en) System and method for email account takeover detection and remediation utilizing AI models
CN109328448A (zh) 基于网络流数据的垃圾邮件分类系统
CN102571767A (zh) 文件类型识别方法及文件类型识别装置
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
US7890588B2 (en) Unwanted mail discriminating apparatus and unwanted mail discriminating method
CN109600362B (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
CN108347370A (zh) 一种针对性攻击邮件的检测方法及系统
CN103716335A (zh) 基于伪造发件人的垃圾邮件检测与过滤方法
CN113630397A (zh) 电子邮件安全控制方法、客户端及系统
Jain et al. Towards mining latent client identifiers from network traffic
KR101666614B1 (ko) 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
KR101590486B1 (ko) 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
GB2550657A (en) A method of protecting a user from messages with links to malicious websites
CN114172721A (zh) 恶意数据防护方法、装置、电子设备及存储介质
US20160285905A1 (en) System and method for detecting mobile cyber incident
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
KR101434179B1 (ko) 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법
KR101663247B1 (ko) 문자 세트 검출을 이용한 지능형 지속 위협 탐지를 위한 이메일 검사 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200128

Year of fee payment: 5